TP CISCO ACL

Filtrage des paquets : configuration des ACL sur un routeur Cisco 1 Gnralits

Ce cours ainsi que les Tp qui suivront vont vous permettre de manipuler les ACL des routeurs Cisco. Les ACL (en anglais Acces Control Lists ) ou en Franais Listes de Contrle dAccs , vous permettent dtablir des rgles de filtrage sur les routeurs, pour rgler le trafic des datagrammes en transit. Les ACL permettent de mettre en place un filtrage dit statique des datagrammes, c'est-dire dinstaurer un certain nombre de rgles appliquer sur les champs concerns des en-ttes des divers protocoles.

Fonctionnement des ACL

2.1 Gnralits
Quelque soit le type dACL dont il sagit ; leur utilisation se fait toujours selon les mmes principes gnraux : Premire tape : En mode config , on cre une ACL, c'est--dire une liste de rgles. Chaque rgle est du type (condition, action). Les rgles sont interprtes squentiellement. Si la condition analyse ne correspond pas, on passe la rgle suivante. Si la condition correspond, laction correspondante est effectue, et le parcours de lACL est interrompu. Par dfaut, toutes les ACL considrent la rgle (VRAI, REJET) si aucune des rgles prcdentes na t prise en compte, c'est--dire que tout datagramme non explicitement accept par une rgle pralable sera rejet. Deuxime tape : En mode config-int , on applique une ACL en entre (in) (respectivement en sortie(out)), c'est--dire que lon dcide dactiver la liste de rgles correspondante tous les datagrammes entrant dans le routeur (respectivement sortant du routeur) par linterface considre. En consquence, sur un routeur, il peut y avoir au maximum 2 ACLs (IP) par interface.

1/13

TP CISCO ACL

Lorsque lon construit une ACL, les rgles sont ajoutes la fin de la liste dans lordre dans lequel on les saisit. On ne peut pas insrer de rgle dans une ACL, ni mme en supprimer le seul moyen reste deffacer compltement lACL et de recommencer ! En situation relle, pour saisir une ACL assez longue, il peut tre judicieux de crer un fichier texte et de le faire prendre en compte par la suite comme un fichier de capture de configuration de routeur

2.2 Les ACL standards

Les ACL standards noffrent pas normment de possibilits, elles permettent simplement de crer des rgles dont les conditions ne prennent en compte que les adresses IP sources des datagrammes IP analyss. Cest assez contraignant, mais cela permet dj un certain nombre de manipulations intressantes. La commande pour crer une ACL standard (ou ajouter une rgle une ACL existante) est la suivante : access-list <#ACL> {permit/deny} <@IP source> <masque> Le numro de liste (#ACL) doit tre compris entre 1 et 99 pour une ACL standard (tapez un ? aprs la commande access-list pour visualiser toutes les fourchettes possibles en fonctions des types dACL). Permit ou deny indique laction prendre (deux seules actions sont possibles : autoris ou refus) LIP source + masque indique la condition.

2/13

TP CISCO ACL
2.3 Les ACL tendues
La syntaxe un peu plus complte des ACL tendues, permet, selon le mme principe que prcdemment, de crer des rgles de filtrage plus prcises, en utilisant des conditions applicables sur dautres champs des en-ttes des divers protocoles. La commande pour crer une ACL (ou ajouter une rgle une ACL existante) est la suivante : access-list <#ACL> {permit/deny} <protocole> <@IPsource> <masque> [port] <@IPdest> <masque> [port] [established] Le numro de liste (#ACL) doit tre compris entre 100 et 199 pour une ACL tendue. Permit ou deny indique laction prendre (deux seules actions sont possibles : autoris ou refus) protocole indique le protocole concern par le filtre (tapez un ? pour avoir la liste des protocoles disponibles) Les protocoles indiqus peuvent tre de diffrents niveaux jusquau niveau transport (ex : TCP ou UDP, mais galement IP ou ICMP). La distinction sur les protocoles applicatifs (http, FTP ) se fera sur le champ port . IP et masques suivent les mmes rgles que pour les ACL standards, port permet dindiquer un numro de port (ou son nom symbolique si il est connu http, FTP, Telnet, ). Notez quun port doit tre indiqu prcd dun oprateur (ex : eq http ou eq 80 ou lt 1024 ) avec eq (pour equal ), lt (pour lower than ) ou gt (pour greater than), established indique quil sagit dune communication TCP dj tablie (et donc pas dune demande de connexion avec le bit syn positionn).

2.4 Remarques essentielles sur la syntaxe des ACL

le masque est compltement invers par rapport la notion de masque que vous connaissez jusquici !!! (On parle de masque gnrique) ex : 193.55.221.0 avec le masque 0.0.0.255 dsigne toute adresse source du type 193.55.221.X

3/13

TP CISCO ACL

Abrviations dans une rgle : 0.0.0.0 255.255.255.255 qui signifie tout quipement peut tre remplac par le mot cl any . W.X.Y.Z 0.0.0.0 qui signifie lquipement W.X.Y.Z peut tre remplac par host W.X.Y.Z Par dfaut, la rgle deny any est prise en compte par toutes les ACL. En dautres termes, le simple fait de crer une ACL vide et de lappliquer une interface interdit le passage a tout datagramme. Pour changer de politique par dfaut dune ACL, il suffit de mettre la rgle permit any (ou permit ip any any pour les ACL tendues) en fin de liste. Cette rgle sera prise en compte si aucune des prcdentes ne lest. En mode enabled la commande show access-list <#ACL> vous permet de visualiser (et donc de capturer le cas chant ) le contenu de lACL dont vous donnez le numro.

Exercice complter le masque gnrique

Complter le tableau ci-dessous :

4/13

TP CISCO ACL

2.5 Activation dune ACL

Pour activer une ACL sur une interface, il faut : Se positionner dans le mode de configuration de linterface, grce la commande interface <nom de linterface> Saisir la commande : ip access-group <#ACL> < in | out> . Noubliez pas de vous considrer lintrieur du routeur , pour choisir entre le mot cl in et le mot cl out

2.6 Dsactivation dune ACL

Pour dsactiver une ACL, (comme toujours selon la logique Cisco), les manipulations sont les mmes que pour lactiver, en utilisant le mot cl no devant la commande

2.7 Utilisation des ACL standards et tendues dans la vraie vie

Dans la pratique, tant donn que les ACL standards ne peuvent prendre en compte que les adresse IP sources, il est logique quelles soient souvent utilises pour filtrer les datagrammes proches de la destination finale, sur un passage oblig pour joindre le destinataire final.

5/13

TP CISCO ACL
En revanche, les ACL tendues prenant aussi en compte les adresses destination, peuvent tre utilises au contraire sur les routeurs les plus proches des quipements sources concerns, ceci afin dviter du trafic superflu sur le rseau.

6/13

TP CISCO ACL
3 Exemple de cas de rseau

7/13

TP CISCO ACL

TP: configuration de listes de contrle d'accs tendues numrotes

Objectifs de l'exercice tudier la configuration actuelle du rseau valuer une stratgie de rseau et planifier la mise en uvre de listes de contrle d'accs Configurer des listes de contrle d'accs tendues numrotes et/ou nommes

1) Configuration de la premire liste de contrle d'accs tendue pour R1 En mode de configuration globale, configurez la premire liste de contrle d'accs avec le numro 110. Vous souhaitez tout d'abord bloquer le trafic Telnet vers tout emplacement pour toutes les adresses IP du rseau 192.168.10.0/24. Lorsque vous crivez l'instruction, vrifiez que vous vous trouvez bien en mode de configuration globale.
R1(config)# access-list 110 deny tcp 192.168.10.0 0.0.0.255 any eq telnet

Bloquez ensuite pour toutes les adresses IP du rseau 192.168.10.0/24 l'accs TFTP l'hte l'adresse192.168.20.254.
R1(config)# access-list 110 deny udp 192.168.10.0 0.0.0.255 host192.168.20.254 eq tftp

Enfin, autorisez tout autre trafic.

R1(config)# access-list 110 permit ip any any

2) Configuration de la seconde liste de contrle d'accs tendue pour R1 Configurez la seconde liste de contrle d'accs avec le numro 111. Autorisez l'accs www l'hte ayant l'adresse 192.168.20.254 toute adresse IP du rseau 192.168.11.0/24.
R1(config)# access-list 111 permit tcp 192.168.11.0 0.0.0.255 host192.168.20.254 eq www

Autorisez ensuite l'accs TFTP l'hte ayant l'adresse 192.168.20.254 toutes les adresses IP du rseau 192.168.11.0/24.

R1(config)# access-list 111 permit udp 192.168.11.0 0.0.0.255 host192.168.20.254 eq tftp

Bloquez tout autre trafic en provenance du rseau 192.168.11.0/24 vers le rseau 192.168.20.0/24.
R1(config)# access-list 111 deny ip 192.168.11.0 0.0.0.255 192.168.20.00.0.0.255

Enfin, autorisez tout autre trafic. Cette instruction garantit que le trafic en provenance dautres rseaux n'est pas bloqu.
R1(config)# access-list 111 permit ip any any

3) Vrification de la configuration des listes de contrle d'accs Pour confirmer les configurations sur R1, lancez la commande show access-lists Le rsultat doit tre similaire celui-ci : 8/13

TP CISCO ACL
R1# show access-lists Extended IP access list 110 deny tcp 192.168.10.0 0.0.0.255 any eq telnet deny udp 192.168.10.0 0.0.0.255 host 192.168.20.254 eq tftp permit ip any any Extended IP access list 111 permit tcp 192.168.11.0 0.0.0.255 host 192.168.20.254 eq www permit udp 192.168.11.0 0.0.0.255 host 192.168.20.254 eq tftp deny ip 192.168.11.0 0.0.0.255 192.168.20.0 0.0.0.255 permit ip any any

4) Application des instructions aux interfaces Pour appliquer une liste de contrle d'accs une interface, passez en mode de configuration d'interface. Configurez la commande ip access-group numro-liste-accs {in |out} pour appliquer la liste de contrle d'accs l'interface. Chaque liste de contrle d'accs filtre le trafic entrant. Appliquez la liste 110 l'interface Fast Ethernet0/0 et la liste 111 l'interface Fast Ethernet 0/1.
R1(config)# interface fa0/0 R1(config-if)# ip access-group 110 in R1(config-if)# interface fa0/1 R1(config-if)# ip access-group 111 in

Vrifiez que les listes de contrle d'accs apparaissent dans la configuration en cours de R1 et qu'elles ont t appliques aux interfaces correctes.

5) Test des listes de contrle d'accs configures sur R1 Une fois les listes de contrle d'accs configures et appliques, il est trs important de tester si le trafic est bloqu ou autoris comme prvu. partir de PC1, essayez d'obtenir un accs Telnet n'importe quel priphrique. Cette opration doit tre bloque. partir de PC1, essayez d'accder au serveur Web/TFTP d'entreprise via le protocole HTTP. Cette opration doit tre autorise. A partir de PC2, essayez d'accder au serveur Web/TFTP via le protocole HTTP. Cette opration doit tre autorise. partir de PC2, essayez d'accder au serveur Web externe via le protocole HTTP. Cette opration doit tre autorise. En vous basant sur vos connaissances des listes de contrle d'accs, ralisez quelques tests de connectivit supplmentaires partir de PC1 et de PC2.

9/13

TP CISCO ACL 6) configuration d'une liste de contrle d'accs tendue numrote pour R3 o Dfinition du masque gnrique o La stratgie d'accs pour la moiti infrieure des adresses IP du rseau 192.168.30.0/24 requiert les conditions suivantes : Refus de l'accs au rseau 192.168.20.0/24 Autorisation de l'accs vers toutes les autres destinations

o La moiti suprieure des adresses IP du rseau 192.168.30.0/24 possde les restrictions suivantes : Autorisation de l'accs 192.168.10.0 et 192.168.11.0 Refus de l'accs 192.168.20.0 Autorisation des accs Web et ICMP vers tous les autres emplacements Pour dfinir le masque gnrique, rflchissez aux bits qui doivent tre tests pour que la liste de contrle d'accs corresponde aux adresses IP 0-127 (moiti infrieure) ou 128-255 (moiti suprieure). Rappelez-vous qu'une manire de dterminer le masque gnrique consiste soustraire le masque rseau normal de 255.255.255.255. Le masque normal pour les adresses IP 0-127 et 128-255 dans le cas d'une adresse de classe C est 255.255.255.128. En utilisant la mthode par soustraction, voici le masque gnrique qui convient : 255.255.255.255 - 255.255.255.128 0. 0. 0.127

o Configuration des listes de contrle d'accs tendues sur R3 Sur R3, passez en mode de configuration globale et configurez la liste de contrle d'accs avec le numro de liste d'accs 130. La premire instruction empche l'hte 192.168.30.0/24 d'accder toutes les adresses du rseau192.168.20.0/24.
R3(config)# access-list 130 deny ip 192.168.30.0 0.0.0.255 192.168.20.0 0.0.0.255

La seconde instruction permet la moiti infrieure du rseau 192.168.30.0/24 d'accder toutes les autres destinations.
R3(config)# access-list 130 permit ip 192.168.30.0 0.0.0.127 any

Les instructions suivantes autorisent explicitement la moiti suprieure du rseau 192.168.30.0/24 accder aux rseaux et aux services permis par la stratgie rseau.
R3(config)# access-list 130 permit ip 192.168.30.128 0.0.0.127 192.168.10.0 0.0.0.255 R3(config)# access-list 130 permit ip 192.168.30.128 0.0.0.127 192.168.11.0 0.0.0.255 R3(config)# access-list 130 permit tcp 192.168.30.128 0.0.0.127 any eq www

10/13

TP CISCO ACL
R3(config)# access-list 130 permit icmp 192.168.30.128 0.0.0.127 any R3(config)# access-list 130 deny ip any any

o Application de l'instruction l'interface Pour appliquer une liste de contrle d'accs une interface, passez en mode de configuration d'interface. Configurez la commande ip access-group numro-liste-accs { in |out} pour appliquer la liste de contrle d'accs l'interface. R3(config)# interface fa0/0 R3(config-if)# ip access-group 130 in o Vrification et test des listes de contrle d'accs Une fois la liste de contrle d'accs configure et applique, il est trs important de tester si le trafic est bloqu ou autoris comme prvu. partir de PC3, envoyez une requte ping au serveur Web/TFTP. Cette opration doit tre bloque. partir de PC3, envoyez une requte ping vers tout autre priphrique. Cette opration doit tre autorise. partir de PC4, envoyez une requte ping au serveur Web/TFTP. Cette opration doit tre bloque. partir de PC4, ouvrez une session Telnet vers R1 l'adresse 192.168.10.1 ou 192.168.11.1. Cette opration doit tre autorise. A partir de PC4, envoyez une requte ping PC1 et PC2. Cette opration doit tre autorise. partir de PC4, ouvrez une session Telnet vers R2 l'adresse 10.2.2.2. Cette opration doit tre bloque. Une fois que les tests ont donn les rsultats attendus, lancez la commande d'excution privilgie show access-lists sur R3 pour vrifier que les instructions de liste de contrle d'accs ont des correspondances. En vous basant sur vos connaissances des listes de contrle d'accs, ralisez d'autres tests pour vrifier que chaque instruction correspond au trafic correct 7) configuration d'une liste de contrle d'accs tendue nomme sur R2 Configuration d'une liste de contrle d'accs tendue nomme sur R2 Rappelez-vous que la stratgie sur R2 doit tre conue pour filtrer le trafic Internet.

11/13

TP CISCO ACL R2 ayant une connexion au fournisseur de services (FAI), il constitue le meilleur emplacement pour la liste de contrle d'accs. Configurez une liste de contrle d'accs nomme FIREWALL sur R2 l'aide de la commande ip access-list extended nom Cette commande place le routeur en mode de configuration de liste de contrle d'accs nomme. Remarquez que l'invite du routeur est diffrente.
R2(config)# ip access-list extended FIREWALL R2(config-ext-nacl)#

En mode de configuration de liste de contrle d'accs, ajoutez les instructions de filtrage du trafic dcrites dans la stratgie - Les htes externes peuvent tablir une session Web avec le serveur Web interne uniquement sur le port 80. - Seules les sessions TCP tablies sont autorises en entre. Les rponses ping sont autorises via R2.
R2(config-ext-nacl)# permit tcp any host 192.168.20.254 eq www R2(config-ext-nacl)# permit tcp any any established R2(config-ext-nacl)# permit icmp any any echo-reply R2(config-ext-nacl)# deny ip any any

Une fois la liste de contrle d'accs configure sur R2, lancez la commande show access-lists pour vrifier que la liste contient les instructions correctes. Application de l'instruction l'interface : lancez la commande
ip access-group nom {in|out}

pour appliquer la liste de contrle d'accs en entre de l'interface de R2 relie FAI.

R2(config)# interface s0/1/0 R2(config-if)# ip access-group FIREWALL in

Vrification et test des listes de contrle d'accs Ralisez les tests suivants pour vous assurer que la liste de contrle d'accs fonctionne comme prvu A partir de Outside Host, ouvrez une page Web sur le serveur Web/TFTP interne. Cette opration doit tre autorise. A partir de Outside Host, envoyez une requte ping au serveur Web/TFTP interne. Cette opration doit tre bloque. A partir de Outside Host, envoyez une requte ping PC1. Cette opration doit tre bloque. 12/13

TP CISCO ACL partir de PC1, envoyez une requte ping au serveur Web l'adresse 209.165.201.30. Cette opration doit tre autorise. partir de PC1, ouvrez une page Web sur le serveur Web externe. Cette opration doit tre autorise. Une fois que les tests ont donn les rsultats attendus, lancez la commande d'excution privilgie show access-lists sur R2 pour vrifier que les instructions de liste de contrle d'accs ont des correspondances. En vous basant sur vos connaissances des listes de contrle d'accs, ralisez d'autres tests pour vrifier que chaque instruction correspond au trafic correct

13/13