1

PLAN

Dfinition des listes de contrle

daccs
Les listes de contrle daccs sont des listes de
conditions qui sont appliques au trafic circulant
via une interface de routeur . Ces listes indiquent
au routeur les types de paquets accepter ou
rejeter. Lacceptation et le refus peuvent tre
bass sur des conditions prcises. Les ACL
permettent de grer le trafic et de scuriser
laccs dun rseau en entre comme en sortie.

 Les listes daccs filtrent le trafic rseau en commandant

aux interfaces dun routeur dacheminer ou de bloquer
des paquets routs. Le routeur examine chaque paquet
afin de dterminer sil doit lacheminer ou le rejeter en
fonction des conditions prcises dans la liste de contrle
daccs. Certaines conditions dans une ACL sont des
adresses source et de destination, des protocoles et des
numros de port de couche suprieure.

Types de protocoles :
Les types de protocoles que nous allons pouvoir configurer
dans les instructions de filtrage sont ceux qui concernent :
le port source
l'adresse IP source
6

une partie de l'adresse source

le port de destination
l'adresse IP de destination
une partie de l'adresse de destination

Utilit:
Une liste d'accs va servir : A supprimer des
paquets pour des raisons de scurit.
A filtrer des mises jour de routage.
A filtrer des paquets en fonction de leur priorit
(QoS : Quality of Service).
A dfinir du trafic intressant pour des
configurations spcifiques (NAT, ISDN, etc.).
7

Principes :
Voici les principales raisons pour lesquelles il est ncessaire
de crer des listes de contrle daccs :
Limiter le trafic rseau et accrotre les performances. En limitant le
trafic vido, par exemple, les listes de contrle daccs permettent
de rduire considrablement la charge rseau et donc daugmenter
les performances.
Contrler le flux de trafic. Les ACL peuvent limiter larrive des mises
jour de routage. Si aucune mise jour nest requise en raison des
conditions du rseau, la bande passante est prserve.
Fournir un niveau de scurit daccs rseau de base. Les listes de
contrle daccs permettent un hte daccder une section du
rseau tout en empchant un autre hte davoir accs la mme
section. Par exemple, lhte A peut accder au rseau rserv aux
ressources humaines, tandis que lhte B ne peut pas y accder.
8

 Dterminer le type de trafic qui sera achemin ou bloqu

au niveau des interfaces de routeur. Il est possible
dautoriser lacheminement des messages lectroniques
et de bloquer tout le trafic via Telnet.
Autoriser un administrateur contrler les zones
auxquelles un client peut accder sur un rseau.
Filtrer certains htes afin de leur accorder ou de leur
refuser laccs une section de rseau. Accorder ou
refuser aux utilisateurs la permission daccder certains
types de fichiers, tels que FTP ou HTTP.

Fonctionnement des listes de

contrle daccs
Une liste de contrle daccs est un groupe
dinstructions qui dfinissent si les paquets sont
accepts ou rejets au niveau des interfaces
dentre et de sortie. Pour prendre ces dcisions,
les paquets sont compars avec une instruction
de condition dune liste daccs, puis accepts
ou rejets selon laction dfinie dans linstruction.

10

 Lordre des instructions ACL est important. La plate-forme

logicielle Cisco IOS teste le paquet par rapport chaque
instruction de condition en partant du dbut de la liste
jusqu la fin. Lorsquune condition est satisfaite dans la
liste, le paquet est accept ou rejet et les autres
instructions ne sont pas vrifies.
11

 Si une instruction de condition autorisant laccs tout le

trafic est situe en haut de la liste, aucune instruction
ajoute en dessous ne sera vrifie.
Pour ajouter des instructions de condition supplmentaires
dans une liste daccs, vous devez supprimer toute la liste
et en recrer une avec les nouvelles instructions. Pour
faciliter le processus de rvision dune liste de contrle
daccs, il est prfrable dutiliser un diteur de texte
comme le Bloc-notes et de coller la liste dans la
configuration du routeur.

Fonctionnement:
les instructions dune liste de contrle daccs
fonctionnent dans lordre squentiel logique. Si une
condition est satisfaite, le paquet est autoris ou
refus et les autres instructions ne sont pas vrifies.
12

 Si aucune des instructions ne correspond au paquet, une

instruction implicite deny any est place la fin de la liste
par dfaut. Linstruction invisible deny any sur la dernire
ligne dune ACL interdit laccs de tout paquet qui ne
correspond pas aux instructions de la liste de contrle
daccs. Lorsque vous crez une ACL pour la premire
fois, il est recommand dajouter linstruction deny la fin
de la liste pour renforcer la prsence dynamique de
linterdiction implicite.

13

 Diffrence entre liste d'accs standard et liste

d'accs tendue:
Une liste d'accs standard examinera seulement
l'adresse IP source.
Une liste d'accs tendue pourra examiner les
adresses IP et les ports aussi bien source que
destination, ainsi que le type de protocole (IP,
ICMP, TCP, UDP). Par ailleurs, il sera possible de
vrifier une partie des adresses avec un masque
gnrique (wildcard mask).

14

Cration de listes de
contrle daccs
Router (config)#
Les ACL sont cres en mode de configuration globale. Il
existe diffrents types de listes de contrle daccs :
standard, tendues, IPX et AppleTalk. Au moment de
configurer les listes de contrle daccs dun routeur, vous
devez identifier chaque liste en lui attribuant un numro
unique. Ce numro identifie le type de liste daccs cr
et doit tre compris dans la plage de numros valide pour
ce type.

15

 Aprs avoir accd au mode de commande appropri

et dcid dun numro de type de liste, lutilisateur saisit
les instructions de la liste daccs laide de la
commande access-list, suivi des paramtres appropris.
La seconde partie du processus consiste les assigner
linterface qui convient. Cette premire tape est la
premire dun processus qui en compte deux. La
seconde partie du processus consiste assigner lACL
linterface qui convient.

16

17

 Sous TCP/IP, les listes de contrle daccs sont affectes une

ou plusieurs interfaces et peuvent filtrer le trafic entrant ou
sortant laide de la commande ip access-group disponible
partir du mode de configuration dinterface.

Lorsque vous affectez une ACL une interface, vous devez

spcifier la direction du filtre (entre ou sortie). La direction du
filtre peut tre dfinie de manire vrifier les paquets qui sont
reus ou envoys par une interface. Pour dterminer si une liste
de contrle daccs concerne le trafic entrant ou sortant,
ladministrateur rseau doit regarder les interfaces comme sil
tait positionn lintrieur du routeur.
18

 Les rgles de base suivantes doivent tre respectes lors

de la cration et de lapplication des listes daccs :
Une liste daccs par direction et par protocole.
Les listes daccs standard doivent tre appliques le plus prs
possible de la destination.
Les listes daccs tendues doivent tre appliques le plus prs
possible de la source.
Les instructions sont traites dans lordre depuis le dbut de la liste
jusqu la fin jusqu ce quune correspondance soit trouve. Si
aucune correspondance nest dtecte, le paquet est refus.
Il existe un refus implicite deny any la fin de toutes les listes de
contrle daccs. Cela napparat pas dans la liste de configuration.
La condition de correspondance est examine en premier
Lacceptation ou le refus est examin UNIQUEMENT si la condition
est vraie.

19

Ne travaillez jamais avec une liste daccs qui est applique de manire
active.
Les nouvelles lignes sont toujours ajoutes la fin de la liste de contrle
daccs. La commande no access-listx supprime toute la liste. Il nest pas
possible dajouter et de supprimer des lignes spcifiques dans des listes
daccs numrotes.
Une liste daccs IP envoie un message ICMP dhte inaccessible
lmetteur du paquet rejet et limine le paquet dans la corbeille prvue
cet effet.
Soyez particulirement attentif lorsque vous supprimez une liste daccs.
Si la liste daccs est applique une interface de production et que
vous la supprimez, selon la version de lIOS, une instruction deny any peut
tre applique par dfaut linterface et tout le trafic peut tre arrt.
Les filtres de sortie ne concernent pas le trafic gnr par le routeur local

20

Le masque gnrique (Wildcard Mask

ou Masque Gnrique) :
Un masque gnrique est une quantit de 32 bits diviss en quatre
octets. Un masque gnrique est jumel une adresse IP. Les chiffres
1 et 0 du masque sont utiliss pour indiquer la faon dont les bits de
ladresse IP correspondante doivent tre traits. Lexpression masque
gnrique est un surnom du procd de correspondance masque-bit
des listes de contrle daccs. Les masques gnriques nont aucune
relation fonctionnelle avec les masques de sous-rseau. Ils sont
utiliss dans des cas diffrents et suivent des rgles diffrentes.
Considrons l'exemple suivant :
Adresse de rfrence :

10.1.1.0

Masque gnrique :

0.0.0.255

Adresse de rfrence (binaire) :

00001010. 00000001. 00000001.00000000

Masque gnrique (binaire) :

00000000. 00000000. 00000000.11111111

21

Masque gnrique

Version binaire

0.0.0.0

00000000.00000000.00000000.00000000

0.0.0.255

00000000.00000000.00000000.11111111

Les 24 premiers bits seront

examins

0.0.255.255

00000000.00000000.11111111.11111111

Les 16 premiers bits seront

examins

0.255.255.255

00000000.11111111.11111111.11111111

Les 8 premiers bits seront

examins

255.255.255.255

11111111.11111111.11111111.11111111

L'adresse ne sera pas

examine. Tous les bits
correspondent d'emble.

0.0.15.255

00000000.00000000.00001111.11111111

Les 20 premiers bits seront

examins

0.0.3.255

00000000.00000000.00000011.11111111

Les 22 premiers bits seront

examins

00100000.00110000.00000000.11111111

Tous les bits seront

examins sauf le 3me, le
11me, le 12me et les 8
22
derniers

32.48.0.255

Description
Tous les bits seront
examins

Vrification des listes de contrle daccs:

La commande show access-lists affiche le
contenu de toutes les listes de contrle daccs
sur le routeur.

23

Listes de contrle daccs standard

La syntaxe complte de la commande ACL
standard est la suivante:
Router(config)#access-list access-list-number {deny |
permit | remark} IP source [source-wildcard] [log]
numro-liste-accs : identifier la liste laquelle appartient
cette entre, c'est un nombre compris entre 1 et 99.
deny|permit: indique si cette entre autorise ou refuse le
trafic pour cette adresse.
adresse-source : identifier l'adresse source IP.
masque-source :identifier quels bits du champ adresse
sont concerns .Placez la valeur 1 aux position indiquant
ne pas considrer et la valeur 0 pour celles devant tre
imprativement suivies. Des caractres gnriques
peuvent tre utiliss.
24

la forme no est Utiliser pour supprimer une liste de

contrle daccs standard:
Router(config)#no access-list numro-liste-daccs
La commande IP access-group applique une ACL
standard existante une interface:
Router(config-if)#IP access-group {access-list
number | access-list-name} {in | out}

25

Listes de contrle daccs

tendues
Pour une mme liste de contrle daccs, plusieurs instructions
peuvent tre configures. Chacune de ces instructions doit contenir
le mme numro de liste daccs pour que toutes les instructions
soient associes la mme liste de contrle daccs. Vous pouvez
dfinir autant dinstructions que vous le souhaitez, la seule limite tant
la mmoire disponible sur le routeur. Il va sans dire que plus il y a
dinstructions, plus la liste de contrle daccs est difficile
comprendre et grer.

26

 La commande qui permet de crer une liste d'accs IP

tendu :
Router(config)#access-list {numro-liste-accs}
{deny|permit} {protocole} {adresse-source masque-source}
[oprateur port] {adresse-destination masque-destination}
[oprateur port] [established]
Dans cette commande :
Numro_liste_accs : identifie la liste par un nombre compris
entre 100 et 199.
Permit | deny : indique si cette entre autorise ou refuse le trafic
pour cette adresse.
Protocole : indique le type de protocole (IP, TCP, UDP, ICMP, GRP,
ou IGRP).
Source et destination : identifient l'adresse IP source et
destination.

ERROR: undefined
OFFENDING COMMAND: en
STACK: