ACL Cisco IPLAB - HK

METTRE EN PLACE LES ACL CISCO

INTRODUCTION

Les ACL (Access Control List) permettent de filtrer des paquets sur des interfaces selon certains critres plus ou moins complexes, pour le trafic sortant ou entrant. Elles sont utilises afin dassurer la scurit des rseaux ou den optimiser la charge. Une ACL se prsente sous la forme dune liste dinstructions de filtrage termine par une dernire instruction implicite rejetant tous les paquets. Celle-ci sera excute si aucune autre condition prcdente dans la liste na t valide. En effet, dans une ACL, toute instruction ne rencontrant pas la condition dfinie est passe, ceci jusqu excution de linstruction implicite.

ACL Cisco IPLAB - HK

Logique dun filtrage par ACL sur un routeur :

PAQUET

ROUTAGE
Accept

ACL Trafic Sortant (IFace Se0/2 sur R2) Refus

Accept

R3

ACL Trafic Entrant (IFace Se0/1 sur R2)

Refus

SUPRESSION

R1

ACL Cisco IPLAB - HK

Ci-dessus nous constatons que les ACL permettent de filtrer les donnes entrantes, arrivant sur linterface, avant leur routage et de filtrer les donnes sortantes, avant de quitter linterface, aprs leur routage. Tous les paquets filtrs par les ACL sont supprims. Les ACL sont classs en deux catgories : Standard et Etendues : Les listes standard filtrent seulement par ladresse IP source Les listes tendues peuvent filtrer par adresses IP/Ports source et destination ainsi que par type de protocole utilis (ex : IP, TCP, UDP)

Ces listes sont dfinies par un numro ou par un nom. Les numros ont une signification puisquils permettent au routeur didentifier le type de liste utilise. Dans le cas o lon utilise un nom plutt quun numro (souvent pour des raisons pratiques), il faudra spcifier le type de liste (standard/tendue) Catgories des ACL : Protocoles Plages de Numros 1-99 / 1300-1999 100-199 / 2000-2699 600-699 800-899 900-999 1000-1099

IP IP (Liste Etendue) Apple Talk IPX IPX (Liste Etendue) IPX Service Advertising

Pour finir, il faut savoir quil est possible de spcifier un masque avec les adresses IP. Cependant ces masques sont des mas ques de type gnrique (Wildcard) : Utilisation de masques Wildcard

ACL Cisco IPLAB - HK Pour rsumer :

- Les ACL sont des listes dinstructions permettant de filtrer les paquets selon des critres dfinis. Elles sont places en sortie dinterface ou en entre dinterface, avant ou aprs routage des paquets. - A la fin dune ACL, une dernire instruction implicite limine tous les paquets restants nayant pas concids avec une condition de la liste. - Il est possible de filtrer les paquets selon lIP source dans les ACL standard, et selon les IP et Ports source et de destination, ainsi que par le protocole utilis chez les ACL tendues. Un masque gnrique peut aussi tre spcifi. - Les listes sont dfinies par des numros ou par des noms.

ACL Cisco IPLAB - HK

EN PRATIQUE Pour mettre en pratique diffrents exemples dACL appliques sur un rseau, nous allons nous servir de ce rseau cr sous Packet Tracer :

ACL Cisco IPLAB - HK Table dadressage : Routeur R1 Interface Fast Ethernet 0/0 Serial 0/3/0 Fast Ethernet Serial 0/2/0 Serial 0/3/1 Serial 0/3/0 Fast Ethernet 0/0 Serial 0/3/0 Fast Ethernet 0/0 Serial 0/3/0 Carte Rseau Carte Rseau Carte Rseau Carte Rseau Carte Rseau Adresse IP 192.168.1.254 10.20.30.10 192.168.2.254 10.20.30.1 10.20.30.5 10.20.30.9 192.168.3.254 10.20.30.6 192.168.4.254 10.20.30.2 192.168.1.1 192.168.2.1 192.168.3.1 192.168.4.1 192.168.4.2 Masque 255.255.255.0 255.255.255.252 255.255.255.0 255.255.255.252 255.255.255.252 255.255.255.252 255.255.255.0 255.255.255.252 255.255.255.0 255.255.255.252 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0

R2

R3 R4 S1-PC1 S2-PC1 S3-PC1 S4-PC1 S4-PC2

Table de Routage : Routeur R1 R3 R4 R2 Type D D D S S S Rseau distant 0.0.0.0 0.0.0.0 0.0.0.0 192.168.1.0 192.168.3.0 192.168.4.0 Masque du rseau 0.0.0.0 0.0.0.0 0.0.0.0 255.255.255.0 255.255.255.0 255.255.255.0 Passerelle 10.20.30.10 10.20.30.6 10.20.30.2 Interface Serial 0/3/0 Serial 0/3/0 Serial 0/3/0 Serial 0/3/0 Serial 0/3/1 Serial 0/2/0

ACL Cisco IPLAB - HK Nous allons maintenant tudier les commandes CISCO IOS qui permettent de crer et de mettre en place les ACL : Dabord, nous crons une ACL standard dans le terminal de configuration du routeur R1 :
R1(config)#access-list 10 deny 192.168.4.1 0.0.0.0 R1(config)#access-list 10 permit 0.0.0.0 255.255.255.255 R1(config)#access-list 10 remark bloque lacces aux paquets provenant de lhote 192.168.4.1

1. 2. 3. 4.

Cette liste est numrote 10 , ce qui en fait automatiquement une ACL Standard. Elle bloque (deny) tous les paquets provenant de lhte 192.168.4.1, le masque 0.0.0.0 spcifiant un hte (tous les bits significatifs) En dernier, juste avant linstruction implicite bloquant tous les paquets, elle permet (permit) tous les paquets de passer (0.0.0.0 255.255.255.255) Nous entrons une remarque (remark) relative cette ACL, pour expliquer son but (trs pratique lorsque les ACL deviennent plus complexes)

Nous pouvons simplifier la syntaxe des instructions de cette manire :

R1(config)#access-list 10 deny host 192.168.4.1 R1(config)#access-list 10 permit any R1(config)#access-list 10 remark bloque laccs aux paquets provenant de lhte 192.168.4.1

Nous avons ici remplac linstruction deny 192.168.4.1 0.0.0.0 ) par deny host 192.168.4.1 , cest une autre manire de dsigner un host. Nous avons aussi remplac permit 0.0.0.0 255.255.255.255 par permit any , any dsignant simplement tout . Maintenant quelle est termine, nous allons placer cette ACL (ip access-group 10) sur linterface Fast Ethernet 0/0 du routeur R1, et lutiliser pour filtrer le trafic sortant (out), puis enregistrer la configuration du routeur :
R1(config)#interface fa0/0 R1(config-if)#access-group 10 out R1(config-if)#end R1#write Building configuration... [OK]

ACL Cisco IPLAB - HK Effectivement, lorsquon envoie une requte ping lhte 192.168.1.1 en provenance de lhte 192.168.4.1, le paquet ne passe plus :

Nous allons maintenant crer une ACL tendue sur le routeur R3 :

R3(config)#access-list 101 permit tcp 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255 eq 23 R3(config)#access-list 101 permit icmp 192.168.3.0 0.0.0.255 any

1. Cette liste est numrote 101 , ce qui fait delle une ACL Etendue. 2. Elle autorise les paquets tcp destination du rseau 192.168.1.0/24 et en provenance du rseau 192.168.3.0/24 sils sont destination du port 23 (eq 23), ce qui correspond au protocole Telnet. 3. Elle autorise galement les paquets icmp en provenance du rseau 192.168.3.0/24 (notamment utiliss par le ping) vers toutes les destinations (any) Nous allons lappliquer sur linterface Fast Ethernet 0/0 du routeur R3 en entre (in), et on enregistre le tout :
R3(config)#interface fa0/0 R3(config-if)#ip access-group 101 in R1(config-if)#end R3#write Building configuration... [OK]

ACL Cisco IPLAB - HK Si lACL fonctionne correctement, nous sommes en mesure de contacter lhte 192.168.1.1 laide de la commande telnet telnet 192.168.1.1 , ce dernier nous refusera tout de mme la connexion et nous enverra le message % Connection refused by remote host , mais ceci nous indique galement que lhte a reu la requte. A linverse, si le message % Connection timed out; remote host not responding nous parvient, cela veut dire que la requte nest pas parvenue lhte et a t filtre par lACL. Les oprateurs : Loprateur eq exprimait equal dans lexemple prcdent, afin de dsigner le port 23. Voici la liste des oprateurs : lt = less than (plus petit que) gt = greater than (plus grande que) eq = equal (gal ) neq = not equal (non gal ) range = exclusive range (plage) Autres exemples :
Router(config)#access-list 101 permit tcp any any lt 1024

On autorise les protocoles se servant des ports infrieurs 1024 (de 0 1023 = ports reconnus, rservs)
Router(config)#ip access-list standard refus_reseau_bureau_detude Router(config-std-nacl)#deny 172.16.0.0 0.0.255.255 Router(config-std-nacl)#permit any

Exemple dune ACL standard nomme. Pour une ACL tendue on remplace standard par extended

ACL Cisco IPLAB - HK

Router(config)#ip access-list extended refus_web Router(config-ext-nacl)#deny udp any any eq http Router(config-ext-nacl)#permit any

Exemple dune ACL tendue nomme. Ici on remplace le numro de port par une valeur nominative http (port 80)

Router#sh ip access-lists Extended IP access list 101 permit tcp 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255 eq telnet (4 match(es)) permit icmp 192.168.3.0 0.0.0.255 any (12 match(es)) Standard IP access list hello permit any

Cette commande permet dafficher les ACL enregistres sur le routeur ainsi que leurs types et leur contenu.

Router(config)#access-list 123 permit tcp any any neq 443 log

Largument log plac en fin dinstruction permet denregistrer le comportement dune ACL et den consulter les logs. Pour finir : Les ACL standard se placent toujours au plus prs de la destination des paquets, les ACL tendues au plus prs de la source des paquets. Il est conseill dannoter et de nommer les ACL complexes. La mthode approprie pour ne pas semmler est dditer vos ACL dans un fichier texte et de copier le contenu de ce fichier sur le routeur une fois termin. Il faut placer les instructions prcises en priorit dans une ACL. Les instructions plus gnrales se placent la fin.