Vous êtes sur la page 1sur 16

Universit de Reims Cham a!

ne - "rdenne

Les ACL Cisco

www.cours-ofppt.com

F. Nolot

Master 2 Professionnel STIC-Informatique

Universit de Reims Cham a!ne - "rdenne

www.cours-ofppt.com
Les ACL Cisco

Prsentation

F. Nolot

Master 2 Professionnel STIC-Informatique

Universit de Reims Cham a!ne - "rdenne

www.cours-ofppt.com

Les ACL Cisco ?

Les ACL (Access Control Lists) permettent de filtrer des packets suivant des critres dfinis par l'utilisateur Sur des packets IP, il est ainsi possi le de filtrer les pa!uets entrants ou sortant d'un routeur en fonction "e l'IP source "e l'IP destination ### Il e$iste % t&pes d'ACL Standard ' uni!uement sur les IP sources (tendue ' sur !uasiment tous les c)amps des en*t+tes IP, ,CP et -"P

F. Nolot

Master 2 Professionnel STIC-Informatique

Universit de Reims Cham a!ne - "rdenne

www.cours-ofppt.com

Sc)ma du principe

Permit

Routage

Outbound ACL Deny

Permit

Inbound ACL

Deny

Trash

F. Nolot

Master 2 Professionnel STIC-Informatique

Universit de Reims Cham a!ne - "rdenne

www.cours-ofppt.com

Les ACL Cisco

Fon tionnement!et! on"iguration

F. Nolot

Master 2 Professionnel STIC-Informatique

Universit de Reims Cham a!ne - "rdenne

www.cours-ofppt.com

La lo.i!ue des ACL

Il est possi le de rsumer le fonctionnement des ACL de la fa/on suivante ' Le p0!uet est vrifi par rapport au 1er critre dfini S'il vrifie le critre, l'action dfinie est appli!ue Sinon le pa!uet est compar successivement par rapport au$ ACL suivants S'il ne satisfait aucun critre, l'action den# est appli!ue Les critres sont dfinit sur les informations contenues dans les en*t+tes IP, ,CP ou -"P "es mas!ues ont t dfini pour pouvoir identifier une ou plusieurs adresses IP en une seule dfinition Ce mas!ue dfini la portion de l'adresse IP !ui doit +tre e$amine 2#2#%33#%33 si.nifie !ue seuls les % premiers octets doivent +tre e$amins den& 12#1#4#2 avec 2#2#2#%33 ' refus de toutes les IP commencant par 12#1#4
F. Nolot

Master 2 Professionnel STIC-Informatique

Universit de Reims Cham a!ne - "rdenne

www.cours-ofppt.com

Standard IP Access List Confi.uration

5onctionnement des ACL ,est des r.les les unes aprs les autres Si aucune r.le n'est applica le, re6et du pa!uet "finition d'une r.le access-list number [deny|permit] source [source-wildcard]
Number compris entre 1 et 77 ou entre 1422 et 1777

access-list number remark test Activation d'une ACL sur une interface ip access-group 8 num$er 9 name 8 in 9 out : : ;isualiser les ACL show access-lists 8 num$er 9 name : ' toutes les ACL !uel!ue soit l'interface
F. Nolot

show ip access-lists 8 num$er 9 name : ' les ACL uni!uement lis au protocole IP
Master 2 Professionnel STIC-Informatique

Universit de Reims Cham a!ne - "rdenne

www.cours-ofppt.com

($emple (1<4)
inter"a e!&thernet' i(!address!1$2)1#)1)1!255)255)255)' i(!a ess*grou(!1!out a a a ess*+ist!1!remar,!sto(!tous!+es!(a-uets!d.IP!sour e!1$2)1#)3)1' ess*+ist!1!deny!1$2)1#)3)1'!')')')' ess*+ist!1!(ermit!')')')'!255)255)255)255

access*list 1 den& 1=%#1>#4#12 2#2#2#2 ?efuse les pa!uets d'IP source 1=%#1>#4#12 Le mas!ue (.alement appel @ildcard mask) si.nifie ici !ue tous les its de l'adresse IP sont si.nificatifs access*list 1 permit 2#2#2#2 %33#%33#%33#%33 ,ous les pa!uets IP sont autoriss
F. Nolot

Le mas!ue %33#%33#%33#%33 si.nifie !u'aucun it n'est si.nificatif


Master 2 Professionnel STIC-Informatique %

Universit de Reims Cham a!ne - "rdenne

www.cours-ofppt.com

($emple (%<4)

inter"a e!&thernet' i(!address!1$2)1#)1)1!255)255)255)' i(!a ess*grou(!1!out a a a ess*+ist!1!remar,!sto(!tous!+es!(a-uets!d.IP!sour e!1$2)1#)3)1' ess*+ist!1!deny!host!1$2)1#)3)1' ess*+ist!1!(ermit!any

-ne notation amliore est possi le pour remplacer le mas!ue %33#%33#%33#%33 !ui dsi.ne une mac)ine
-tilisation du terme host

2#2#2#2 avec le @ildcard mas!ue A %33#%33#%33#%33 !ui dsi.ne tout le monde


-tilisation du terme any
F. Nolot

Master 2 Professionnel STIC-Informatique

Universit de Reims Cham a!ne - "rdenne

www.cours-ofppt.com

($emple (4<4)

inter"a e!&thernet' i(!address!1$2)1#)1)1!255)255)255)' i(!a ess*grou(!1!out inter"a e!&thernet1 i(!address!1$2)1#)2)1!255)255)255)' i(!a ess*grou(!2!in a a a a a ess*+ist!1!remar,!0to((e!tous!+es!(a-uets!d.IP!sour e!1$2)1#)3)1' ess*+ist!1!deny!host!1$2)1#)3)1' ess*+ist!1!(ermit!any ess*+ist!2!remar,!Autorise!-ue!+es!trames!d.IP!sour e!1$2)1#)3)'124 ess*+ist!2!(ermit!1$2)1#)3)'!')')')255

F. Nolot

Master 2 Professionnel STIC-Informatique

1'

Universit de Reims Cham a!ne - "rdenne

www.cours-ofppt.com

Les e$tended ACL

Les e$tended ACL permettent filtrer des pa!uets en fonction de l'adresse de destination IP "u t&pe de protocole (,CP, -"P, ICBP, IC?P, ICBP, ###) Port source Port destination ###

F. Nolot

Master 2 Professionnel STIC-Informatique

11

Universit de Reims Cham a!ne - "rdenne

www.cours-ofppt.com

La s&nta$e et e$emple

access-list number { deny | permit } protocol source sourcewildcard destination dest.-wildcard num er ' compris entre 122 et 177 ou %222 et %>77

access-list 101 deny ip any host 10.1.1.1 ?efus des pa!uets IP A destination de la mac)ine 12#1#1#1 et provenant de n'importe !uelle source access-list 101 deny tcp any gt 1023 host 10.1.1.1 eq 23 ?efus de pa!uet ,CP provenant d'un port D 12%4 et A destiantion du port %4 de la mac)ine d'IP 12#1#1#1 access-list 101 deny tcp any host 10.1.1.1 eq http ?efus des pa!uets ,CP A destination du port E2 de la mac)ine d'IP 12#1#1#1
F. Nolot

Master 2 Professionnel STIC-Informatique

12

Universit de Reims Cham a!ne - "rdenne

www.cours-ofppt.com

Les ACL nomms

-ne ACL numrot peut +tre compos de nom reuses r.les# La seule fa/on de la modifier et de faire no access-list number Puis de la redfinir Avec les ACL nommes, il est possi le de supprimer !u'une seule li.ne au lieu de toute l'ACL Sa dfinition se fait de la manire suivante ?outer(confi.)F ip access-list extended bart ?outer(confi.*e$t*nacl)F deny tcp host 10.1.1.2 eq www any ?outer(confi.*e$t*nacl)F deny ip 10.1.1.0 0.0.0.255 any ?outer(confi.*e$t*nacl)F permit ip any any Pour supprimer une des li.nes, il suffit de refaire un ip access-list extended bart
F. Nolot

Puis un no deny ip 10.1.1.0 0.0.0.255 any


Master 2 Professionnel STIC-Informatique 13

Universit de Reims Cham a!ne - "rdenne

www.cours-ofppt.com

L'accs au ,elnet avec une ACL

Pour utiliser une ACL dans le ut de controler l'accs au telnet (donc au vt&) access-class number { in | out }

+ine!2ty!'!4 +ogin (ass3ord!Cis o a ess* +ass!3!in 4 4 a ess*+ist!3!(ermit!1')1)1)'!')')')255

F. Nolot

Master 2 Professionnel STIC-Informatique

14

Universit de Reims Cham a!ne - "rdenne

www.cours-ofppt.com

Les ACL Cisco

&n!(rodu tion

F. Nolot

Master 2 Professionnel STIC-Informatique

15

Universit de Reims Cham a!ne - "rdenne

www.cours-ofppt.com

Guel!ues conseils

La cration, la mise A 6our, le de u..a.e ncessitent eaucoup de temps et de ri.eur dans la s&nta$e Il est donc conseill "e crer les ACL A l'aide d'un diteur de te$te et de faire un copier<coller dans la confi.uration du routeur Placer les e$tended ACL au plus prs de la source du pa!uet !ue possi le pour le dtruire le plus vite possi le Placer les ACL standard au plus prs de la destination sinon, vous ris!ueH de dtruire un pa!uet trop top
?appel ' les ACL standard ne re.ardent !ue l'IP source

Placer la r.le la plus spcifi!ue en premier Avant de faire le moindre c)an.ement sur une ACL, dsactiver sur l'interface concern celle*ci (no ip access*.roup)
F. Nolot

Master 2 Professionnel STIC-Informatique

1#