LES ACL Listes de contrle daccs

1-

Dfinition

Une liste de contrle daccs permet dautoriser ou de refuser des paquets en fonction dun certain nombre de critres, tels que : -L'adresse d'origine -L'adresse de destination -Le numro de port. -Les protocoles de couches suprieures - autres paramtres !horaires par e"emple# Les listes de contrle d'accs permettent $ un administrateur de grer le trafic et d'anal%ser des paquets particuliers. Les &'Ls sont associes $ une interface du routeur, et tout trafic achemin par cette interface est (rifi afin d'% dceler certaines conditions faisant partie de la liste de contrle d'accs. Les &'L peu(ent )tre crs pour tous les protocoles routs. *l faut donc dfinir une liste de contrle d'accs dans le cas de chaque protocole acti( dans une interface pour contrler le flu" de trafic achemin par cette interface. 2Vrification des paquets

Lorsque le routeur dtermine s'il doit acheminer ou bloquer un paquet, la plate-forme logicielle 'isco *+, e"amine le paquet en fonction de chaque instruction de condition dans l'ordre dans lequel les instructions ont t cres. ,i le paquet arri(ant $ linterface du routeur satisfait $ une condition, il est autoris ou refus !sui(ant linstruction# et les autres instructions ne sont pas (rifis.

! Si un paquet ne correspond aucune instruction dans lACL, le paquet est jet. Ceci est le rsultat de linstruction implicite deny any la fin de chaque ACL.
3Cration des ACL - Gnralits

-our crer une liste de contrle daccs, il faut : . . 'rer la liste de contrle d'accs en mode de configuration globale. &ssigner cette &'L $ une interface

,tructure dune &'L : /outerndlp!config#0access-list numro dACL 1permit2den%3 instructions

a) Les diffrents types dACL

*l e"iste 4 t%pes de liste de contrle daccs : les &'Ls standards, les &'Ls tendues et les &'Ls nommes. Les &'Ls standards utilisent des spcifications dadresses simplifies et autorisent ou refusent un ensemble de protocole. Les &'Ls tendues utilisent des spcifications dadresses plus comple"es et autorisent ou refusent des protocoles prcis. Les &'Ls nommes peu(ent )tre soit standards, soit tendues 5 elles nont pour but que de faciliter la comprhension et de conna6tre la finalit de l&'L. b) Assi nation des ACLs au! interfaces

Les listes de contrle d'accs sont affectes $ une ou plusieurs interfaces et peu(ent filtrer du trafic entrant ou sortant, selon la configuration. 7ous (errons plus loin o8 placer les &'Ls de fa9on optimale selon le t%pe d&'L cre. Une seule liste de contrle d'accs est permise par port, par protocole et par direction, cest-$-dire quon ne peut pas par e"emple dfinir deu" &'Ls sur linterface :; pour le trafic *- sortant. -ar contre, on peut dfinir deu" &'Ls pour le trafic *- mais, une pour le trafic entrant et lautre pour le trafic sortant<

Bts IG SIO

Cisco les ACL

JM Debroise

Page 1

c)

"u#ro des ACLs

&u moment de configurer les listes de contrle d'accs il faut identifier chaque liste de protocole en lui attribuant un numro unique. Le numro choisi pour identifier une liste de contrle d'accs doit se trou(er $ l'intrieur d'une plage prcise, (alable pour le protocole.

-lage =->> =;;-=>> *- standard *- tendue

-rotocole

-ar e"emple, si lon affecte le numro 4; $ une &'L, cela induit le fait que cette &'L sera de t%pe standard et concernera le trafic *-. d) Le #asque nrique

Un masque gnrique est ?umel $ une adresse *-. Les chiffres = et ; sont utiliss pour indiquer la fa9on de traiter les bits de l'adresse *- correspondante. ; pour (rifier et = pour ne pas (rifier -renons le"emple sui(ant : +n (eut (rifier !autoriser ou refuser# les sous rseau" =@A.4;.=B.; $ =@A.4;.4=.; Les deu" premiers octets de ladresse *- sont identiques =B en notation binaire: ;;;= ;;;; 4= en notation binaire: ;;;= ==== Les bits commencent $ )tre diffrents $ partir du Cme bit de ce 4me octet. & partir de l$ on met tous les bits $ = $ Le masque gnrique est alors ;.;.=D.ADD $- Cration dune ACL standard Eoici la structure dune &'L standard : /outer!config#0access-list ,oit la topologie sui(ante : nF de l&'L 1den% 2 permit3 adresse dori ine masque gnrique

+n (eut interdire au rseau G *n(it H daccder au rseau G 'omptabilit H.

1%re tape & cration de lacl

/outerndlp!config#0access-list = den% =>A.=BI.=;.; ;.;.;.ADD /outerndlp!config#0access-list = permit an%
Le numro de l&'L est = : il sagit donc dune &'L ip standard Ladresse dorigine est =>A.=BI.; et le masque est ;.;.;.ADD +n note que les trois premiers octets du masque ne sont constitus que de ; et que le dernier octet nest constitu que de =. +n (rifie donc e"actement les trois premiers octets de ladresse dorigine, mais on ne soccupe pas du dernier octet. +n a donc bien interdit !den%# tous les postes du rseau =>A.=BI.;.; La deu"ime ligne indique dautoriser !permit# tout le reste !an%#, car noublions pas quil % a tou?ours une commande implicite G den% an% H $ la fin des &'Ls

Bts IG SIO

Cisco les ACL

JM Debroise

Page 2

2nd tape & affectation de cette ACL ' une interface du routeur( /outerndlp!config#0int e; /outerndlp!config-if#0ip access-group = out
+n saper9oit que le routeur qui a t choisi est /outeurJ&. :n effet a(ec les &'Ls standards, comme on ne peut dfinir que ladresse dorigine, on place ces &'Ls au plus prs de la destination. ,i on a(ait mis cette &'L sur le routeur K on aurait interdit laccs $ partir de ce routeur, alors quon ne (eut interdire que laccs au rseau G 'omptabilit H. LACL est dfinie en ) out * : on interdit donc le trafic !requ)te# pro(enant du rseau G *n(it H $ sortir sur linterface du rseau G 'omptabilit H. ,i on (eut interdire du trafic $ rentrer sur une interface, on remplace G out H par G in H.

"+ & ,i on ne dfinit ni )in* ni )out*- la .aleur )out* est prise par dfaut(
/Cration dune ACL tendue

Eoici la structure dune &'L tendue : /outer!config#0 access-list numro-liste-d'accs 1per#it 2 deny3 protocol adresse dori ine masque gnrique adresse destination masque gnrique operateur operande LestablishedM +perateur operande : lt, gt, eq neq sui(i dun numro de port Lt pour loNer than !plus petit que# Ot pour greater than !plus grand que# :q pour equal !gal $# 7eq pour non equal !diffrent de# :stablished permet au trafic P'- de passer si les bit &'Q sont acti(es. ,oit la topologie sui(ante :

-our cet e"emple, on (eut refuser au stagiaire daccder au ser(eur PRP-. /outerndlpJ'!config#0access-list =;; den% udp host A=A.=B.A4.B host =;.A4.C.B eq tftp /outerndlpJ'!config#0access-list =;; permit ip an% an%

+n remarque que le mot host a t tap a(ant les adresses *-. 'e mot permet d(iter de de(oir taper le masque gnrique ;.;.;.; aprs ladresse *-. Sost signifie donc quil faut (rifier tous les bits de ladresse *-. eq tftp indique quil faut interdire le trafic tftp uniquement. Le protocole indiqu est U - 5 en effet, U - est le protocole de couche suprieure qui supporte le ser(ice PRP-. La deu"ime ligne indique quil faut autoriser tout le reste du trafic !*-# pour nimporte quelle source !an%# (ers nimporte quelle destination !le deu"ime an%#.

Bts IG SIO

Cisco les ACL

JM Debroise

Page 3

&ssignons dsormais cette &'L :

/outerndlpJc!config#0int e; /outerndlpJc!config-if#0ip access-group =;; out

+n remarque que l&'L a t place sur le routeur ', au plus proche de la source. Les &'Ls tendues nous permettent de spcifier ladresse de destination, il est donc possible de bloquer au plus (ite les paquets non dsirs, et d(iter quils atteignent le routeur & , et donc de polluer la bande passante pour des paquets qui seront refuss. 0Les ACL no##es(

Eoici la s%nta"e des &'Ls nommes : access-list 1standard 2 e"tended3 nom de lACL

instructions

/eprenons le"emple prcdent, on peut nommer cette &'L G stagiaire H ce qui sera plus parlant quun numro. +n procde comme suit : /outerJ'!config#0 access-list e"tended ,tagiaire den% udp host A=A.=B.A4.B host =;.A4.C.B eq tftp /outerJ'!config#0 access-list ,tagiaire permit ip an% an% /outerJ'!config-if# ip access-group ,tagiaire out 1Vrifier ses ACLs

UtiliseT la commande s2o3 access-lists pour afficher le contenu de toutes les listes de contrle d'accs. UtiliseT la commande s2o3 access-lists sui(ie du nom ou du numro d'une liste de contrle d'accs pour afficher le contenu de cette liste d'accs

#show ip interface (pour afficher les ACL appliques linterface) Router#show ip interface fa 0/0.3 FastEthernet0/0.3 is up, line protocol is up (connected) Internet address is 192.168.3.254/24 Broadcast address is 255.255.255.255 Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Multicast reserved groups joined: 224.0.0.9 Outgoing access list is 2 Inbound access list is not set Ici lACL n 2 est applique en out linterface 0/03

Bts IG SIO

Cisco les ACL

JM Debroise

Page 4