ACLs et diagnostic

goffinet@goffinet.eu version 14.02

Ce document de goffinet@goffinet.eu est mis disposition selon les termes de la la Licence Creative Commons Attribution 3.0 non transpos.

ACL dfinition et utilit

ACL = ensemble de rgles de filtrage du trafic Utiles pour : les fonctions de pare-feu marquage du trafic NAT Vision Cisco IOS mais bon point de dpart en scurit.

Deux types dACLs IPv4

Les deux types dACLs se distinguent en fonction des critres utiliss. Une liste simple (standard) et lautre plus complexe (tendue). Standard : adresse IPv4 source Etendue : protocole IPv4, ICMPv4, TCP, UDP, ESP, AH, ... origine et destination port et types de messages

ACLs numrotes
Les ACLs numrotes sont constitues dun ensemble de rgles ordonnes selon la frappe ayant un mme numro Pratique obsolte (en IPv6) dont le numro indique la nature : IP standard 1 - 99 et 1300 - 1999 IP tendue 100 - 199 et 2000 - 2699

Exemple dACLs numrotes

En configuration globale (config)# access-list 1 deny host 192.168.10.1 access-list 1 permit any ou access-list 102 deny tcp any any eq 23 access-list 102 permit ip any any
LACL standard 1 empche seulement le trafic venant de lhte 192.168.10.1 LACL extended 102 empche tout trafic vers le service Telnet et autorise tout autre trafic IPv4. Faut-il encore placer ces ACLs dans une fonction (filtrage, marquage, rgles NAT)

ACL nommes
Les ACLs nommes prennent un nom. Il faut spcifier le type standard ou extended en IPv4. Les ACLs IPv6 sont doffice extended. les rgles sincrmentent dun numro dordre (tous les 10).
(config)#ip access-list standard ACL_IPv4_STD (config-std-nacl)#permit | deny ? (config)#exit (config)#ip access-list extended ACL_IPv4_EXT (config-ext-nacl)#permit | deny ? (config)#exit (config)#ipv6 access-list ACL_IPv6 (config-ipv6-acl)#permit | deny ?

Exemple ACLs nommes

(config)#ip access-list extended IPv4_LAN (config-ext-nacl)# permit tcp 192.168.0.0 0.0.255.255 any eq 80 #show access-lists Standard IP access list ACL_IPv4_STD Extended IP access list ACL_IPv4_EXT Extended IP access list IPv4_LAN 10 permit tcp 192.168.0.0 0.0.255.255 any eq www 20 permit tcp 192.168.0.0 0.0.255.255 any eq 443 IPv6 access list ACL_IPv6

Logique
Le routeur parcourt la liste daccs et valide chaque rgle jusqu trouver une correspondance. Si une correspondance est trouve, le routeur prend la dcision permit ou deny correspondante. Une ACL se termine toujours par un deny any implicite.

Masque gnrique
Il ne faut pas confondre un masque gnrique (wilcard mask) avec un masque de sous-rseau (subnet mask). Un masque gnrique est un masque de filtrage. Quand un bit aura une valeur de 0 dans le masque, il y aura vrification de ce bit sur l'adresse IP de rfrence. Lorsque le bit aura une valeur de 1, il n'en y aura pas. Cette notion est utilise dans les configurations OSPFv2 sous Cisco IOS.

Masque de rseau
Un masque de rseau est un masque de division ou de regroupement. Une addition boolenne d'une adresse IP et d'un masque de rseau est utilise pour distinguer la partie rseau de la partie hte. En binaire, alors qu'un masque de rseau est ncessairement une suite homogne de 1 et puis de 0, un masque gnrique peut tre une suite quelconque de 1 et de 0 en fonction du filtrage que l'on veut oprer sur des adresses IP.

Exemples de masque gnrique (1/3)

Soit un masque gnrique 0.0.0.0 demande une correspondance exacte de ladresse IP de rfrence : permit 192.168.1.1 0.0.0.0 Le mot-cl host remplace 0.0.0.0 permit host 192.168.1.1 255.255.255.255 filtre toutes les adresses IPv4. permit 0.0.0.0 255.255.255.255 Le mot-cl any remplace 0.0.0.0 255.255.255.255 permit any

Exemples de masque gnrique (2/3)

Filtrer 192.168.1.0/24 192.168.1.0 255.255.255.0 ACL : 192.168.1.0 0.0.0.255 Filtrer 192.168.1.40/30 192.168.1.40 255.255.255.252 ACL : 192.168.1.40 0.0.0.3

Exemples de masque gnrique (3/3)

Masque de sumarization : Filtrer tous les rseaux qui commencent en 192.168 : ACL : 192.168.0.0 0.0.255.255 Numros pairs sur le dernier octet du /24 : ACL : 192.168.1.0 0.0.0.254 Numros impairs sur le troisime octet : ACL : 0.0.1.0 255.255.254.255

Applications
En soi, une ACL na pas de porte si elle nest pas applique. Filtrage sans tat de trafic de donnes sur des interfaces. Firewall (filtrage tat) sur des interfaces : ACL bloquante Filtrage de trafic de trafic de gestion (sur une ligne VTY). Trafic source dans une rgle NAT (inside source list) pour dsigner de nombreuse adresses IP prives traduire. Transfert de port Dboggage pour filtrer les sorties. et bien dautres en ingnrie du trafic (VPN, QoS, )

Filtrage sans tat

#show access-lists Extended IP access list IPv4_LAN 10 permit tcp 192.168.0.0 0.0.255.255 any eq www (5 match(es)) 20 permit tcp 192.168.0.0 0.0.255.255 any eq 443

(config)#int f0/0.1 (config-subif)#ip access-group IPv4_LAN in

Pare-feu simple (filtrage tat)

(config)#ip access-list extended IP_BLOCK (config-ext-nacl)#deny ip any any (config-ext-nacl)#exit (config)#exit (config)#int f0/1 (config-if)#description interface Internet (config-if)#ip access-group IP_BLOCK in #show access-list IP_BLOCK Extended IP access list IP_BLOCK deny ip any any (39 match(es)) (config)#ip inspect name FW tcp (config)#int f0/0.1 (config-subif)#description interface LAN (config-subif)#ip inspect FW in

Filtrage VTY
(config)#ip access-list extended VTY (config-ext-nacl)#permit ip host 172.16.0.1 any (config-ext-nacl)#permit ip 192.168.0.0 0.0.255.255 any (config-ext-nacl)#exit (config)#line vty 0 4 (config-line)#ip access-class VTY in

ACLs IPv6

NAT
Permet de traduire : les adresses internes (inside) prive (local) en publique (global) les adresses externes (outside) Le routeur NAT tient une table de traduction Il transforme le trafic : il remplace les en-ttes IP et de couche transport (UDP/TCP).

PAT
Un routeur peut prendre en compte le port TCP ou UDP utilis. Permet de transfrer un service TCP ou UDP sur une adresse prive vers une adresse publique. Permet de multiplexer la connectivit globale d un LAN avec une seule adresse IP publique.

Transfert de port
(config)# ip nat inside source static tcp 192.168.10.1 3389 interface f0/1 3389

Mise en oeuvre du PAT

access-list 1 permit 192.168.0.0 0.0.255.255 ip nat inside source list 1 interface f0/1 overload interface f0/0.1 ip nat inside interface f0/0.2 ip nat inside interface f0/1 ip nat outside

Vrification du NAT/PAT
Gateway# show ip nat translations Pro Inside global Inside local global icmp 195.238.2.21:11 192.168.1.254:11 11 icmp 195.238.2.21:12 192.168.1.254:12 12 icmp 195.238.2.21:13 192.168.1.254:13 13 icmp 195.238.2.21:14 192.168.1.254:14 14 icmp 195.238.2.21:15 192.168.1.254:15 15 Gateway# Outside local 195.238.2.22:11 195.238.2.22:12 195.238.2.22:13 195.238.2.22:14 195.238.2.22:15 Outside 195.238.2.22: 195.238.2.22: 195.238.2.22: 195.238.2.22: 195.238.2.22:

Inside Local = adressage priv Inside Global = adressage public

Vrification L2 sur le routeur

show ip interface brief

Vrification L2 sur le routeur

show interface f0/0

Vrification L3 sur le routeur

1ab1#show ip interface g3 GigabitEthernet3 is up, line protocol is up Internet address is 192.168.1.254/24 Broadcast address is 255.255.255.255 Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Multicast reserved groups joined: 224.0.0.251 Outgoing Common access list is not set Outgoing access list is not set Inbound Common access list is not set Inbound access list is not set Proxy ARP is enabled Local Proxy ARP is disabled Security level is default Split horizon is enabled ICMP redirects are always sent ICMP unreachables are always sent ICMP mask replies are never sent IP fast switching is enabled IP Flow switching is disabled IP CEF switching is enabled IP CEF switching turbo vector IP Null turbo vector Associated unicast routing topologies: Topology "base", operation state is UP IP multicast fast switching is enabled IP multicast distributed fast switching is disabled IP route-cache flags are Fast, CEF Router Discovery is disabled IP output packet accounting is disabled IP access violation accounting is disabled TCP/IP header compression is disabled RTP/IP header compression is disabled Probe proxy name replies are disabled Policy routing is disabled Network address translation is enabled, interface in domain inside BGP Policy Mapping is disabled Input features: Virtual Fragment

Table de routage
1ab1#show ip route Gateway of last resort is 176.31.61.174 to network 0.0.0.0 S* C L C L 0.0.0.0/0 [1/0] via 176.31.61.174 176.31.0.0/16 is variably subnetted, 2 subnets, 2 masks 176.31.61.0/24 is directly connected, GigabitEthernet4 176.31.61.161/32 is directly connected, GigabitEthernet4 192.168.1.0/24 is variably subnetted, 2 subnets, 2 masks 192.168.1.0/24 is directly connected, GigabitEthernet3 192.168.1.254/32 is directly connected, GigabitEthernet3

Protocole de routage
R1# show ip protocols Routing Protocol is "ospf 1" Outgoing update filter list for all interfaces is not set Incoming update filter list for all interfaces is not set Router ID 1.1.1.1 It is an area border and autonomous system boundary router Redistributing External Routes from, Number of areas in this router is 2. 2 normal 0 stub 0 nssa Maximum path: 4 Routing for Networks: 192.168.1.0 0.0.0.255 area 1 192.168.2.0 0.0.0.255 area 1 192.168.12.0 0.0.0.3 area 0 Passive Interface(s): Loopback1 Loopback2 Routing Information Sources: Gateway Distance Last Update 2.2.2.2 110 00:01:45 Distance: (default is 110)

CDP
Activ par dfaut, updates 60 secondes gw#show cdp Global CDP information: Sending CDP packets every 60 seconds Sending a holdtime value of 180 seconds Sending CDPv2 advertisements is enabled gw#show cdp neighbors Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge S - Switch, H - Host, I - IGMP, r - Repeater, P - Phone Device ID Local Intrfce Holdtme Capability Platform Port ID SW0 Fas 0/0 148 S 2960 Gig 1/2 Switch Fas 0/1 178 S 2950 Fas 0/1 gw#show cdp neighbors detail gw(config)#int f0/1 gw(config-if)#no cdp enable gw(config-if)#exit gw(config)#no cdp run

Commutateur : port daccs (1/2)

SW0# show vlan VLAN Name Status Ports ---- ----------------------------- --------------------------------------1 default active Gig1/1, Gig1/2 10 production active Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/5, Fa0/6, Fa0/7, Fa0/8 Fa0/9, Fa0/10, Fa0/11, Fa0/12 20 direction active Fa0/13, Fa0/14, Fa0/15, Fa0/16 Fa0/17, Fa0/18, Fa0/19, Fa0/20 Fa0/21, Fa0/22, Fa0/23, Fa0/24 30 gestion active

Commutateur : port daccs (2/2)

#show interface switchport Name: Fa0/1 Switchport: Enabled Administrative Mode: static access Operational Mode: static access Administrative Trunking Encapsulation: dot1q Operational Trunking Encapsulation: native Negotiation of Trunking: Off Access Mode VLAN: 10 (production) Trunking Native Mode VLAN: 1 (default) ...

Commutateur : port Trunk (1/2)

#show interface switchport Name: Gig1/1 Switchport: Enabled Administrative Mode: trunk Operational Mode: trunk Administrative Trunking Encapsulation: dot1q Operational Trunking Encapsulation: dot1q Negotiation of Trunking: On Access Mode VLAN: 1 (default) Trunking Native Mode VLAN: 1 (default) Voice VLAN: none Name: Gig1/2 Switchport: Enabled Administrative Mode: trunk Operational Mode: trunk Administrative Trunking Encapsulation: dot1q Operational Trunking Encapsulation: dot1q Negotiation of Trunking: On Access Mode VLAN: 1 (default) Trunking Native Mode VLAN: 1 (default)

Commutateur : port Trunk (2/2)

SW0# show interface trunk Port Mode Encapsulation Gig1/1 on 802.1q Gig1/2 on 802.1q Port Gig1/1 Gig1/2 Port Gig1/1 Gig1/2 Port Gig1/1 Gig1/2 Vlans allowed on trunk 1-1005 1-1005 Vlans allowed and active in management domain 1,10,20,30 1,10,20,30 Vlans in spanning tree forwarding state and not pruned 1,10,20,30 1,10,20,30 Status trunking trunking Native vlan 1 1