Ccna4 - Chapitre 5

CHAPITRE 5
LES LISTES DE CONTRLE DACCS
ACL
Fait par : Fadla HAMDAD

Source : Curriculum Cisco CCNA4 4.0, CCNA2 5.2 et CCNA Security
avec ajouts, modifications et corrections
Tous les textes sont mentionns CCNA4 4.0.
Cependant, certains peuvent tre issus du CCNA2 5.2 (en plus des illustrations) ou du CCNA
Security.
Objectifs du chapitre
Source : Curriculum Cisco CCNA4 4.0
Introduction
Il est possible de configurer un pare-feu simple, qui assure les fonctions de base de filtrage du trafic
entrant et sortant laide de listes de contrle daccs (ACL).
Il est possible de configurer de ACL pour contrler le trafic en fonction du port TCP utilis.
Utiliser les ACL pour scurise un rseau
Utiliser
LES LISTES DE CONTRLE DACCS IP

pour scuriser les rseaux
Filtrage du trafic IP par les ACL
Il est aussi possible de filtrer le trafic non IP (IPX, AppleTalk par ex.) mais cela sort du cadre de ce cours.
Rappel : TCP
Les ports TCP
Le filtrage des paquets
LE FILTRAGE DES PAQUETS

Le filtrage des paquets, parfois appel statique, contrle laccs un rseau en analysant les paquets
entrants et sortants, et en les transmettant ou en les arrtant en fonction de critres prdfinis.
Le filtrage des paquets fonctionne sur la couche RSEAU ou TRANSPORT.

ACL et filtrage de paquets
ACL et filtrage de paquet

Un routeur filtre des paquets en fonction :
- des adresses IP source et de destination,
- du port source et du port de destination,
- du protocole des paquets.
Ces rgles sont dfinies en fonction des ACL.
Exemple de filtrage
Exemple de filtrage de paquet

Il est possible de configurer
plusieurs rgles pour dfinir
lautorisation ou le refus daccs
Sil sagit du paquet TCP SYN sur A avec port 80, son passage est autoris.
Tout autre accs est refus ces utilisateurs.
Sil sagit du paquet TCP SYN sur B avec port 80, son passage est bloqu.
Tout autre accs est autoris.
Quest ce quune ACL?
Quest ce quune ACL
Les ACL sont les objets les plus couramment utiliss dans Cisco IOS.
Une ACL est un ensemble squentiel dinstructions dautorisation ou de refus qui sappliquent
aux adresses IP, aux n de ports ou aux protocoles de couche suprieure.
chaque fois quun paquet traverse une interface avec une ACL, cette ACL est vrifie de haut
en bas, ligne par ligne, la recherche dune correspondance de paquet entrant.
Un routeur na aucune ACL configure par dfaut.

Cest pourquoi un routeur route mais ne filtre pas le trafic par dfaut.
Suite
Utiliser des ACL sur les routeurs pare-feu entre le rseau interne et un rseau externe.
Utiliser des ACL sur un routeur situ entre deux sections du rseau pour contrler le trafic entrant ou sortant.
Utiliser des ACL sur les routeurs priphriques situs la frontire du rseaux.
Configurer des ACL sur une interface pour filtrer les trafics entrant, sortant ou les deux.
Rge des 3 P
Rgle des trois "P"
Les trois P sont une rgle gnrale pour appliquer des ACL sur un routeur.
Configurer une ACL par protocole, par direction et par interface :

Une ACL Par protocole : Dfinir une ACL pour chaque protocole activ sur linterface.
Une ACL Par direction : Les ACL contrlent le trafic dans une direction la fois sur une interface.
Crer 2 ACL : la premire pour contrler le trafic entrant et la seconde pour contrler le trafic sortant.
Une ACL Par interface : Les ACL contrlent le trafic pour une interface, telle que FastEthernet 0/0.
OUT
IN
F0/0
F0/1
IN
OUT
(6 par direction).
Les tches effectues par une ACL
Les tches effectues par les ACL

Elles limitent le trafic rseau pour accrotre ses performances.
Si la stratgie de lentreprise interdit le trafic vido, configurer des ACL pour bloquer ce trafic.
Elles contrlent le flux de trafic. Les ACL peuvent limiter larrive des mises jour de routage.
Si aucune mise jour nest requise vu les conditions du rseau, la bande passante est prserve.
Elles fournissent un niveau de scurit de base pour laccs rseau.
Les ACL permettent un hte daccder une section du rseau tout en empchant un autre hte dy avoir accs.
Elles dterminent le type de trafic acheminer ou bloquer sur les interfaces de routeur.
Une ACL peut autoriser le trafic de messagerie mais bloquer tout trafic Telnet.
Elles filtrent les htes pour autoriser ou refuser laccs aux services sur le rseau.
Les ACL peuvent autoriser ou refuser un utilisateur laccs certains types de fichier, tels que FTP ou HTTP.
Elles fonctionnent comme des pare-feu pour filtrer les paquets et liminer tout trafic indsirable.
Fonctionnement des ACL
Fonctionnement des ACL
ACL entrante
ACL Entrante
ACL, rgles de contrle pour les paquets :
Une ACL est utilise de haut en

bas, une instruction aprs lautre.
- arrivant par les interfaces dentre,

- passant par le routeur et
- sortant par les interfaces de sortie.
Elles ne grent pas les paquets provenant
du routeur lui-mme.
Une ACL entrante rduit la charge des recherches

de routage en cas dabandon du paquet.
Routage
Explication diapo suivante
Remarque importante
!
Le systme ne vrifie plus les conditions aprs la premire correspondance
lordre des conditions dans une ACL est primordial.
ACL sortante
ACL Sortante
Une ACL peut sappliquer

plusieurs interfaces.
Il ne peut y avoir quseule ACL
par protocole, par direction et
par interface.
Refus implicite
Explication diapo suivante
Le refus implicite
LE REFUS IMPLICITE : deny all ou deny all traffic

Une instruction implicite finale sapplique tous les paquets qui nont pas rpondu aux conditions.
Cette condition finale se solde par une INSTRUCTION DE REFUS.
Le routeur abandonne tous les paquets restants.

Le refus implicite est le comportement par dfaut des ACL. on ne peut pas la modifier.
Une ACL doit donc comporter au moins une instruction dautorisation.
Sinon, lACL bloque tout le trafic y compris les mises jour de routage!
Rcap. du fonctionnement de lACL
Fonctionnement rcapitulatif des ACL

Couche 1+2
Couche 3
Routage
Couche 2+1
Syntaxe sommaire d'une ACL Cisco
Syntaxe dune ACL Cisco

(Syntaxe sommaire)
permit/deny
Action de lACL
Adresse IP source
ACL 1 :
access-list 10 permit 192.168.30.0 0.0.0.255
ACL 2 :
access-list 101 deny 10.0.0.0 0.0.0.255

Commande
N de lACL
ACL 1 : Permettre tout le trafic provenant du rseau 192.168.30.0/24
Tout trafic provenant dailleurs est refus compte tenu du deny any implicite.
ACL 2 : Refuser tout le trafic provenant du rseau 10.0.0.0/24
Tout trafic provenant dailleurs est refus compte tenu du deny any implicite.

access-list 10 deny any
On y reviendra!
Types dACL : standard et tendue
Types dACL
standard et tendue
ACL standard
Permettent dautoriser et de refuser le trafic en provenance dadresses IP source.
La destination du paquet et les ports concerns nont aucune incidence.
Ici, tout trafic en provenance du rseau 192.168.30.0/24 est autoris.

Compte tenu de linstruction implicite deny any la fin de la liste, tout autre trafic est bloqu.
ACL tendues
Filtrent les paquets IP en fonction de plusieurs attributs :
- le type de protocole,
- ladresse IP source, ladresse IP de destination,
- les ports TCP ou UDP source, les ports TCP ou UDP de destination,
- informations facultatives sur le type de protocole pour une meilleure prcision du contrle.
any eq 80 :
Nimporte quelle
destination sur le port 80
Ici, LACL 103 autorise tout le trafic provenant dune adresse sur le rseau
192.168.30.0/24 vers tout port hte de destination 80 (HTTP) (dtails de la syntaxe plus loin).
Les ACL standards et tendues sont cres en mode de configuration globale.
Les ACL numrotes et nommes
Les ACL numrotes et les ACL nommes

Les ACL numrotes sont utilises sur des rseaux de petite taille.
Un numro ninforme pas clairement sur la fonction dune ACL.
Utiliser un nom pour identifier une ACL est possible (depuis la version 11.2 de Cisco IOS).
Les ACL nommes seront traites plus loin.
Rgle de numrotation et dattribution dun nom aux ACL :
Les numros 200 1299 sont ignors pour les ACL numrotes car ils sont utiliss par dautres protocoles.
Par exemple, les numros 600 699 sont utiliss par AppleTalk, alors que les numros 800 899 le sont par IPX.
Le cours porte sur les ACL IP uniquement.

Fonctionnement dune ACL standard
Fonctionnement dune ACL standard
Fonctionnement dune ACL tendue plus loin.
Suite
Exemple
Positionnement des ACL
Positionnement des ACL

Les administrateurs placent des ACL uniquement sur les priphriques quils contrlent.
Par consquent, cet emplacement doit tre dans lespace de contrle de ladministrateur.
Chaque ACL doit tre place l o elle aura le plus grand impact sur les performances.
Les rgles de base sont les suivantes :
tant donn que les ACL standard ne prcisent pas les adresses de destination, placez-les le plus prs possible
de la destination.
Placez les ACL tendues le plus prs possible de la source du trafic refus. Ainsi, le trafic indsirable est filtr sans
traverser linfrastructure rseau.
Explications
Exemple 1 : Placement dans une ACL standard
Exemple 1 : ACL standard

Ici, ladministrateur souhaite empcher laccs
du trafic provenant du rseau 192.168.10.0/24 au
rseau 192.168.30.0/24.
Une ACL sur linterface de sortie de R1

lempche denvoyer le trafic vers toute
autre destination.
Solution : Placer une ACL standard sur

linterface dentre de R3 pour arrter tout
trafic provenant de 192.168.10.0/24.
Une ACL standard rpond cette exigence car

elle ne se soucie que des adresses IP source.
Exemple 2 : Placement dans une ACL tendue
Exemple 2 : ACL tendue

Ici, ladministrateur rseaux contrle les rseaux 192.168.10.0/24 et 192.168.11.0/24 (R1).
Il souhaite refuser laccs du trafic Telnet et FTP de 192.168.11.0/24 192.168.30.0/24.
Les autres types de trafic sont autoriss de 10 30.
On peut procder de plusieurs faons :
Une ACL tendue sur R3 pourrait bloquer Telnet et FTP sur le rseau 11.
Malheureusement, ladministrateur ne contrle pas R3.
Cette ACL autorise le trafic indsirable pour le bloquer quune fois arriv destination.
Cette situation affecte les performances rseau globales.
Une ACL tendue sortante de R1 disant : Le trafic Telnet et FTP du

rseau 11 nest pas autoris vers le rseau 30.
Cette ACL tendue sera place sur le port S0/0/0 sortant de R1.
Linconvnient est que le trafic du rseau 10 (et dautres plus tard) sera galement trait
par lACL, bien que le trafic Telnet et FTP soit autoris (refus implicite deny any).
Le mieux est de se rapprocher de la source et de placer une ACL

tendue sur linterface dentre Fa0/2 de R1.
Ainsi, les paquets du rseau 11 naccdent pas au routeur R2 ou R3. Le trafic dont les
adresses de destination et les ports sont diffrents peut traverser R1.
Erreurs dans le curriculum.

Mthodes pour utiliser bien les ACL
Mthodes recommandes pour les ACL

Des erreurs dans les ACL provoquent des pannes de rseau, dimportants efforts de dpannage et des
services rseau mdiocres.
Une planification de base est obligatoire avant toute configuration dune ACL.
Exercice : questions diverses
Exercices - 5.1.9.2
Rpondre des questions diverses
Configurer les ACL standards
Configurer
LES ACL STANDARDS
ACL standard numrotes, crer lACL standard puis lactiver sur une interface.
La commande de configuration globale access-list dfinit une ACL standard avec un nombre entre 1 et 99.
Cisco IOS 12.0.1 a tendu cette plage de 1300 1999 afin de prendre en charge un maximum de 798 ACL standard.
Ces numros supplmentaires sont appels des ACL IP largies.
Routeur(config)# access-list numro-liste-accs deny | permit

| remark source [masque-gnrique-source] | any [log]
numro-liste-accs : Numro dune ACL.
deny : Refuse laccs si les conditions sont respectes.
permit : Autorise laccs si les conditions sont respectes.
remark : Ajoute une remarque sur les entres dans une ACL IP pour en faciliter la comprhension et la recherche.
source : Adresse IP source ou le mot cl any qui veut dire nimporte quelle source : 0.0.0.0 255.255.255.255
masque-gnrique-source : masque gnrique correspondant ladresse IP.
log : Provoque un message de journalisation informatif la console, au sujet du paquet correspondant lentre ACL.
La commande logging console contrle le niveau des messages enregistrs sur la console.
Le message comprend le numro de lACL (que le paquet ait t autoris ou refus), ladresse source et le nombre de paquets.
Le message est gnr pour le 1er paquet pour lequel il y a correspondance, puis par intervalles de 5 minutes, et comprend le nombre de paquets autoriss ou
refuss dans lintervalle de cinq minutes prcdent.
Les ACL numrotes peuvent tre configures autrement (plus loin)
Cette ACL autorise laccs provenant du rseau 192.168.10.0 /24 :

R1(config)# access-list 10 permit 192.168.10.0 0.0.0.255
Afficher et supprimer les ACL
Afficher et supprimer une ACL

show access-list affichent les ACL, telles quelles sont configures sur le routeur.
Pour supprimer une ACL, utiliser no access-list numro_de_lACL.
(2 match(es))
Compteur de correspondance (matches)
Les commentaires (remarques)
Les commentaires (remarques) dans une ACL

Si une ACL est rvise, ce qui paraissait vident dans un premier temps risque de ne plus ltre.
Le mot cl remark est utilis pour documenter les ACL ce qui facilite leur comprhension.
Chaque remarque comporte 100 caractres au maximum.
Remarques affiches
avec show run pas avec
show access-list
Suite
Commenter une ACL

Une remarque peut prcder ou suivre une instruction permit ou deny.
Quand une adresse est

ajoute sans host ni masque,
le systme ajoute host.
Si on place certaines remarques avant les permit ou deny associes et dautres aprs, on risque de sy perdre.
Supprimer un commentaire
no access-list 1 remark Do not allow Smith through
Ne supprime pas la remarque mais toute lACL!
no access-list 1 remark (rien aprs)
Efface la remarque mais laisse le mot cl dans le running-config
Cela ne fonctionne pas sur Packet-Tracer
Pour supprimer la remarque, supprimer puis remettez lACL (avec un diteur de texte)
On peut supprimer une remarque avec no remark dans lautre mode de configuration quon verra plus loin.
Les masques gnriques et les ACL
Les masques gnriques et les ACL
Exemple
Exemple 2
0.0.15.255
00000000.00000000.11111110.11111111
Erreurs dans le curriculum.
Exemple 3
Exemple 1 :
Autoriser laccs tous les utilisateurs sur le rseau 192.168.3.0.
Masque gnrique 0.0.0.255.
Exemple 2 :
Autoriser laccs rseau 14 utilisateurs dans le sous-rseau 192.168.3.32 /28.
Exemple 3 :
Autoriser laccs aux rseaux 192.168.10.0 et 192.168.11.0.
R1(config)# access-list 10 permit 192.168.10.0
R1(config)# access-list 10 permit 192.168.11.0
ou
Exercices faire : 192.168.4.0/0.0.250.255 ; 192.168.0.0/0.0.253.255 ; 172.16.192.0/0.0.128.255

Importance du masque gnrique
Efficacit du masque gnrique

Pour faire correspondre les rseaux 192.168.16.0 192.168.31.0 comme suit :
R1(config)#
R1(config)#
R1(config)#
R1(config)#
R1(config)#
R1(config)#
R1(config)#
R1(config)#
R1(config)#
R1(config)#
R1(config)#
R1(config)#
R1(config)#
R1(config)#
R1(config)#
R1(config)#
access-list
access-list
access-list
access-list
access-list
access-list
access-list
access-list
access-list
access-list
access-list
access-list
access-list
access-list
access-list
access-list
10
10
10
10
10
10
10
10
10
10
10
10
10
10
10
10
permit
permit
permit
permit
permit
permit
permit
permit
permit
permit
permit
permit
permit
permit
permit
permit
192.168.16.0
192.168.17.0
192.168.18.0
192.168.19.0
192.168.20.0
192.168.21.0
192.168.22.0
192.168.23.0
192.168.24.0
192.168.25.0
192.168.26.0
192.168.27.0
192.168.28.0
192.168.29.0
192.168.30.0
192.168.31.0
La configuration du masque gnrique suivant en fait un choix bien plus efficace :

Host et any
Les options host et any
host remplace le masque 0.0.0.0. Tous les bits de l@ IP doivent correspondre ou quun seul hte est conforme.
any remplace ladresse IP et le masque 255.255.255.255. Aucun bit de l@ IP ne doit correspondre ou daccepter
nimporte quelle adresse.
Exercices 9.1.3.5-6 CCNA2 5.2
Appliquer les ACL aux interfaces
Appliquer les ACL aux interfaces
Routeur(config-if)# ip access-group {numro-liste-accs |

nom-liste-accs} {in | out}
no ip access-group : supprimer laffectation de lACL linterface.
Routeur(config-if)# ip access-group {numro-liste-accs | nom-liste-accs} {in | out}
access-list 1 deny any
Autorise le trafic provenant du rseau 192.168.10.0 quitter R1 par S0/0/0 (out). Le trafic provenant
dautres rseaux est bloqu notamment de 192.168.11.0/24.
Supprime la version prcdente de lACL 1. Cette ACL refuse au PC1 192.168.10.10 de quitter R1. Les
autres htes du rseau 192.168.10.0 /24 sont autoriss. Linstruction de refus implicite empche tous
les autres rseaux (192.168.11.0/24 notamment) quitter R1.
Supprime la version prcdente de lACL 1. Cette ACL refuse au PC1 192.168.10.10 de quitter R1. Les
htes du rseau 192.168.0.0/16 sont autoriss : y compris les autres htes de 192.168.10.0/24 et tout le
rseau 192.168.11.0/24. Tous les autres rseaux ne sont pas autoriss quitter R1.
Les ACL pour contrler VTY
Utiliser une ACL pour contrler laccs VTY

Si Cisco IOS ne prend pas en charge SSH sur le routeur, on peut amliorer en partie la scurit
des lignes administratives en limitant laccs VTY (pour une utilisation de Telnet ou SSH).
Pour contrler laccs VTY :

- Commande access-class : filtre une ligne vty
- Commande access-group : filtre une interface (ACL tendue avec protocole TELNET)
access-class numro-ACL/nom-ACL {in [vrf-also] | out}

In : limite les connexions entrantes,
Out : limite les connexions sortantes.
Vrf-also : VPN routing/forwarding
Et la console et AUX?
Mme commande que pour VTY
pour contrler laccs console et AUX
Exemple dACL avec VTY
Autoriser les rseaux 192.168.10.0 et 192.168.11.0 accder

aux lignes VTY 0 - 4.
Laccs aux lignes VTY est refus tous les autres rseaux.
Filtrage Telnet : access-group et access-class
Filtrage TELNET : Access-class vs access-group

access-class sapplique une ligne VTY.
Les adresses refuses dans lACL ne pourront pas accder R1 quelque soit linterface de R1 utilise.
access-group sapplique une interface.
Les adresses refuses dans lACL ne peuvent pas accder R1 par linterface spcifie (in). Mais peuvent le faire
par une autre interface non protge.
Les ACL sappliquent aux paquets traversant un routeur. Elles ne sont pas destines bloquer les paquets crs sur
le routeur.
Une ACL tendue filtrant Telnet en sortie nempche pas le routeur de lancer des sessions Telnet. Il faut utiliser
access-class dans ce cas (sur VTY si on est sur le routeur grce VTY ou la console si on y est grce la console*).
Ne marche pas sur PT (test sur GNS3)
Access-class sapplique une ligne VTY. R1 protg avec access-class empchera un hte de sy connecter
mais ne lempchera pas de se connecter un routeur R2 connect R1.
Il faut utiliser access-group pour que R2 soit protg en mme temps que R1. (voir pkt ACL_AccessClass et ceci)
Attention ce qui est crit dans le curriculum.
* Si jaccde mon routeur avec la console et que jessaie de me connecter via Telnet un autre routeur, cest ma console que jutilise pour accder au
VTY du routeur distant. Mais si jaccde mon routeur par VTY (Telnet) et que jessaie de me connecter au routeur voisin sur son VTY, cest mon VTY que
jutilise :-) voir
Prcaution lors de la configuration des ACL sur VTY
Prcautions lors de la configuration dACL sur des lignes VTY

Seules des ACL numrotes peuvent tre appliques aux lignes VTY. FAUX!
Cest dit dans le curriculum 4.0 mais cest dpass!
Dfinir les mmes restrictions sur toutes les lignes VTY car un utilisateur peut tenter de se connecter nimporte laquelle.
Modification des ACL numrotes
Modifier (diter) les ACL numrotes
Par dfaut, lors de la configuration dune ACL, les instructions sont ajoutes dans leur ordre de saisie la fin de lACL.
Plus loin, nous verrons comment manipuler lordre des instructions saisies.
Il est recommand dutiliser un diteur de texte pour la cration ou la modification dune ACL.
Adresse
errone
R1
Copier
Bloc-notes
R1
R1 nest pas protg par lACL
pendant sa correction!
Coller
Supprimer une ligne dans une ACL
Supprimer des lignes dans une ACL numrotes

Dans les versions antrieures des IOS, pour supprimer une ligne dans une ACL, il fallait supprimer toute
lACL et la reconfigurer sans cette ligne supprimer.
Seules les ACL nommes permettaient de supprimer une ligne spcifique dune ACL. (Voir plus loin)
Evolution en vue ! Les ACL numrotes sont manipules de la mme manire que les ACL nommes!
Voir plus loin.
Les ACL nommes
Les ACL nommes

Plus pratiques que les ACL numrotes?
Avant oui avec les nouvelles versions dIOS non!
Avec une ACL nomme, il est plus facile den comprendre la fonction.
Par exemple, vous pouvez utiliser NO_FTP pour appeler une ACL refusant le trafic FTP.
Lorsquune ACL est identifie par un nom plutt quun numro, le mode de configuration et la syntaxe
de commande sont lgrement diffrents.
Les ACL numrote bnficient maintenant de ce mode de configuration (plus loin) (dans le curriculum 4.0, il est dit que non : erreur).
Configurer une ACL nomme
Configurer une ACL nomme
Exemple
Exemple dune ACL nomme
Majuscule
recommande
Nomme et numrote, diffrences
Les options host et any,

Les masques gnriques,
Laffectation une interface,
Scuriser une ligne VTY
sont configures de la mme manire avec les ACL nommes quavec les ACL numrotes.
Router(config)# ip access-list standard NO_WEB
Router(config-std-nacl)# permit 192.168.30.0 0.0.0.15
Router(config-std-nacl)# deny host 192.168.10.10
Router(config-std-nacl)# permit any
Router# sh access-lists
Standard IP access list NO_WEB
10 permit 192.168.30.0 0.0.0.15
20 deny host 192.168.10.10
30 permit any
Router(config-std-nacl)# int fa0/0
Router(config-if)# ip access-group NO_WEB out
Router(config-if)# line vty 0 4
Router(config-line)# access-class NO_WEB in
Router(config-line)# end
Commentaires des ACL nommes
Exemple de commentaire des ACL nommes
Pour supprimer la remarque : no remark remarque
(ne marche pas sur Packet tracer).
Vrification des ACL
Contrler et vrifier les ACL
Ayant vrifi que les ACL ont t configures comme convenu, il faut ensuite confirmer quelles
fonctionnent comme prvu.
La confirmation du bon fonctionnement des ACL peut tre une tche complexe et longue.
Modifier les ACL nommes
Modifier les ACL nommes
Ajouter et supprimer des lignes dans les ACL
Les ACL IP nommes permettent de SUPPRIMER des entres dans une ACL depuis la version 12.3 de Cisco IOS.
Des numros de squence sont utiliss pour INSRER des instructions nimporte o dans lACL nomme.
Avec une version antrieure dIOS, il est possible dajouter des instructions uniquement en bas de lACL nomme.
Grce la suppression numrote, on peut MODIFIER lACL sans la supprimer ni la reconfigurer dans son intgralit.
10
10
LACL limite laccs au serveur Web.

Pour autoriser laccs la station 192.168.11.10, insrer une ligne numrote.
Insrer des lignes dans les ACL

Supprimer les lignes dans les ACL nommes
R1#sh access-lists
Standard IP access list TEST1
10 permit 192.168.10.0 0.0.0.255
20 permit 10.0.0.0 0.255.255.255
R1#conf t
R1(config)#ip access-list standard TEST1

R1(config-std-nacl)#no permit 10.0.0.0 0.255.255.255
R1(config-std-nacl)#end
R1#
Supprimer des lignes

dans les ACL
R1#sh access-lists
10 permit 192.168.10.0 0.0.0.255
R1#conf t
R1(config)#ip access-list standard TEST1
R1(config-std-nacl)#no 10
R1(config-std-nacl)#end
R1#
R1#sh access-lists
Mme les ACL numrotes peuvent faire a maintenant!
Dsormais, mme les ACL numrotes peuvent tre gres comme les ACL nommes!
Dans le curriculum, il est dit que non!
Router(config)#ip access-list standard 10

Router(config-std-nacl)# deny host 192.168.11.10
Router(config-std-nacl)# permit any
Router(config-std-nacl)# end
Standard IP access list 10
10 permit 192.168.10.0 0.0.0.255
20 deny host 192.168.11.10
30 permit 10.10.0.0 0.0.255.255
40 permit any
Router#conf t
Router(config)# ip access-list standard 10
Router(config-std-nacl)# no 20
Router(config-std-nacl)#end
10 permit 192.168.10.0 0.0.0.255
30 permit 10.10.0.0 0.0.255.255
40 permit any

Router(config-std-nacl)# 5 permit 172.16.0.0 0.0.0.255
Router(config-std-nacl)# remark interessant!
5 permit 172.16.0.0 0.0.0.255
10 permit 192.168.10.0 0.0.0.255
30 permit 10.10.0.0 0.0.255.255
40 permit any
Router#conf t
Router(config-std-nacl)# no permit 10.10.0.0 0.0.255.255
Router(config-std-nacl)# no remark interessant!
5 permit 172.16.0.0 0.0.0.255
10 permit 192.168.10.0 0.0.0.255
40 permit any
Voir Page suivante
Source : Curriculum Cisco

CCNA2 5.2
Voir Page suivante
REMARQUE :
La fonction de hachage est applique
uniquement aux instructions d'hte dans les
ACL IPv4 standard.
L'algorithme n'est pas utilis pour les ACL
tendues IPv4 ni pour les ACL IPv6.
Les dtails de la fonction de hachage sortent
du cadre de ce cours.
Lorsquon insre une instruction ACL, le numro

d'ordre affecte la position de l'instruction dans
la liste uniquement si elle concerne une plage.
Les instructions d'hte sont toujours organises
par la fonction de hachage.
Exercice : Configurer une ACL standard
Exercice 5.2.8.2
Configurer des ACL standards
Exercices divers CCNA2 5.2
9.1.5.4, 9.2.1.9
Les ACL tendues
Configurer
LES ACL TENDUES
Les ACL tendues

Pour un filtrage du trafic plus prcis, utiliser les ACL tendues numrotes
une total de 799 ACL) ou nommes.
(de 100 199 et de 2000 2699 pour
Les ACL tendues sont plus utilises que les standards car elles garantissent un meilleur contrle et
renforcent la scurit.
Les ACL tendues VRIFIENT ladresse de paquet source, ladresse de destination, le protocole et les
numros de port (ou services).
Par exemple, une ACL tendue peut autoriser le trafic mail dun rseau vers une destination spcifique tout en refusant les transferts
de fichiers et la navigation sur le Web.
Fonctionnement des ACL tendues
Configurer les ACL tendues
Mais pas que
IP englobe TCP, ICMP,

UDP et tous les autres qui
se trouvent au-dessus.
Les ports sont facultatifs.

Le plus souvent, on utilise
le ports de destination.
Exemple et option established
ESTABLISHED
Stratgie de scurit de lentreprise :

Ladministrateur doit limiter laccs Internet 192.168.10.0 et
nautoriser que la navigation sur le Web.
Aucun accs Web entrant ne doit tre permis.
En autorisant le trafic WEB entrant?

NON! Cest contraire la stratgie
de scurit!
LACL 103 sera

applique sur
F0/0 en entre.
Solution :
Tout trafic Web

entrant est interdit!
Autoriser le trafic Web entrant

mais seulement les rponses
aux requtes sortantes!
sur Fa0/0 en entre.
Comment distingue-t-on les

rponses Web du reste du trafic
Web?
LE MOT CL ESTABLISHED.
sur Fa0/0
en sortie.
Il sagit dautoriser le trafic en provenance de toute adresse sur 192.168.10.0 accder nimporte quelle destination, condition que ce soit
un trafic WEB : 80 (HTTP) et 443 (HTTPS).
Established nautorise le trafic Web que si le bit ACK=1 ou RST=1 ce qui indique que le paquet appartient une connexion existante.
Sans established dans linstruction de lACL, les clients peuvent envoyer le trafic vers un serveur Web mais ils ne peuvent pas le recevoir.
LACL 104 sera applique sur Fa0/0 en sortie.
Appliquer les ACL tendues aux interfaces
Source : Curriculum
Cisco CCNA2 5.2
Appliquer les ACL tendues aux interfaces
Exemple
Exemple : Bloquer FTP
Refus du trafic FTP en

provenance du sous-rseau
192.168.11.0 destination
du sous-rseau 192.168.10.0.
Tout autre trafic est autoris.
21 ou ftp
20 ou ftp-data
Exemple 2
Exemple : Bloquer TELNET (1)
Refuse tout trafic Telnet

en provenance de
192.168.11.0 vers
linterface Fa0/1.
Autorise tout autre trafic
IP lentre de Fa0/1.
Fa0/1
in
Exemple 3
Exemple : Bloquer TELNET (2)
Source : Curriculum Cisco

CCNA2 5.2
Les exemples utilisent permit ip any any la fin

de la liste. Pour plus de scurit, utiliser permit
192.168.11.0 0.0.0.255 any.
Filtrage Telnet : RAPPEL
Filtrage TELNET : Access-class vs access-group

access-class sapplique une ligne VTY.
Les adresses refuses dans lACL ne pourront pas accder R1 quelque soit linterface de R1 utilise.
access-group sapplique une interface.
Les adresses refuses dans lACL ne peuvent pas accder R1 par linterface de R1 laquelle est applique
lACL. Mais peuvent le faire par une autre interface non protge.
Les ACL sappliquent aux paquets traversant un routeur. Elles ne sont pas destines bloquer les paquets crs sur
le routeur.
Une ACL tendue filtrant Telnet en sortie nempche pas le routeur de lancer des sessions Telnet. Il faut utiliser
access-class dans ce cas (sur VTY si on est sur le routeur grce VTY ou la console si on y est grce la console*).
Ne marche pas sur PT (test sur GNS3)
Access-class sapplique une ligne VTY. R1 protg avec access-class empchera un hte de sy connecter
mais ne lempchera pas de se connecter un routeur R2 connect R1.
Il faut utiliser access-group pour que R2 soit protg en mme temps que R1. (voir pkt ACL_AccessClass et ceci)
Attention ce qui est crit dans le curriculum.
* Si jaccde mon routeur avec la console et que jessaie de me connecter via Telnet un autre routeur, cest ma console que jutilise pour accder au
VTY du routeur distant. Mais si jaccde mon routeur par VTY (Telnet) et que jessaie de me connecter au routeur voisin sur son VTY, cest mon VTY que
jutilise :) voir
ACL tendue nomme
Fonctionnement
dune ACL tendue
Rappel :
Un Non ne signifie pas un refus. Il signifie que le processus
passera lentre suivante et ainsi de suite.
La dcision dautorisation ou de refus nest prise que sil y a

correspondance ou quaprs avoir trait toutes les entres.
Test des ports eq
Test des ports et des services

Le filtrage en fonction du protocole et du numro de port permet de crer des ACL tendues spcifiques.
Il est possible dutiliser des oprateurs logiques :
gal : eq
non gal : neq
suprieur : gt
infrieur : lt
Configurer une ACL tendue
Crer une ACL tendue nomme
no ip access-list extended nom

show access-lists [numro | nom]
Exercice : Configurer les ACL tendues
ou utiliser un diteur de texte

!
Configurer les ACL sur un rseau de test,
puis de les mettre en uvre sur le rseau de production.
Exercice 5.3.4.2
Configurer des ACL tendues
Exercices divers CCNA2 5.2
9.3.2.7 - 9
Les ACL complexes
DPANNER LES ERREURS COURANTES

RELATIVES AUX ACL
Les erreurs les plus courantes sur les ACL portent sur la saisie des instructions dans un
mauvais ordre et sur la non-application des critres adquats aux rgles.
Exemple 1
Exemple : Erreur 1
Solution
SOLUTION
Consulter lordre des instructions de lACL.

Lhte 192.168.10.10 na tabli aucune connectivit avec 192.168.30.12 cause de lordre de la rgle 10 dans
lACL.
Sachant que le routeur traite les ACL de haut en bas, linstruction 10 refuse lhte 192.168.10.10, donc linstruction
20 nest pas traite.
Les instructions 10 et 20 doivent tre inverses.
La dernire ligne autorise tout autre trafic non TCP correspondant au protocole IP (ICMP, UDP et ainsi de suite).
Exemple 2
Exemple : Erreur 2
0.0.0.255
Le rseau 192.168.10.0/24 ne peut

pas accder TFTP.
Solution
SOLUTION
Le rseau 192.168.10.0 /24 ne peut pas utiliser TFTP pour se connecter au rseau 192.168.30.0 /24 car TFTP utilise le
protocole de transport UDP.
Linstruction 30 dans lACL 120 autorise tout autre trafic TCP.
Sachant que TFTP utilise UDP, il est refus implicitement. Linstruction 30 doit tre ip any any.
Exemple 3
Exemple : Erreur 3
Solution
SOLUTION
192.168.10.0 /24 peut utiliser Telnet vers 192.168.30.0 /24 car le numro du port Telnet dans linstruction 10 de
lACL 130 est mal plac.
Linstruction 10 refuse actuellement toute source avec un numro de port gal Telnet qui essaie dtablir une
connexion.
Pour refuser le trafic Telnet entrant sur F0/0, refusez le numro de port de destination quivalent Telnet :
deny tcp any any eq telnet.
Exemple 4
Exemple : Erreur 4
F0/0 :
192.168.10.1
Solution
SOLUTION
Lhte 192.168.10.10 peut utiliser Telnet pour se connecter au rseau 192.168.30.12 car aucune rgle ne refuse
lhte 192.168.10.10 ou son rseau en tant que source.
Linstruction 10 de lACL 140 refuse linterface du routeur Fa0/0 do partirait le trafic.
Ces paquets partent du PC1, leur adresse source est 192.168.10.10 et non celle de linterface du routeur.
Comme pour la solution de lerreur 2, cette ACL doit sappliquer linterface Fa0/0 de R1 dans le sens entrant.
Exemple 5
Exemple : Erreur 5
En entre de s0/0/1 de R3
Solution
SOLUTION
Lhte 192.168.30.12 peut utiliser Telnet vers 192.168.10.10 du fait de la direction dans laquelle est applique
lACL150 linterface S0/0/1 de R3.
Linstruction 10 refuse ladresse source 192.168.30.12.
Ceci dit, cette adresse est la source uniquement si le trafic est sortant (et non entrant) sur S0/0/1 de R3.
Exercices finaux
Exercice 5.4.5.2
Rpondre des questions diverses
Exercice PT - 9.4.2.6 CCNA2 5.2
Dpannage
Exercice PT - 5.5.1.2
Configuration de base
(voir le PDF fait partir du PT de Cisco sans les rponses)
Exercice PT - 5.6.1.3
OSPF, PAP/CHAP, ACL
LES ACL COMPLEXES

Les ACL standard et tendues forment la base des ACL complexes,
qui fournissent des fonctions supplmentaires.
ACL complexes?
Les ACL dynamiques
Les ACL dynamiques

ACL de verrou
LACL tendue effectue le contrle des adresses IP source mais pas des utilisateurs.
LACL dynamique rgle ce problme et permet lauthentification des utilisateurs.
La fonction de verrou est disponible pour le trafic IP uniquement.
Quand utiliser les ACL dynamiques
Quand utiliser les ACL dynamiques

Lorsquon souhaite quun utilisateur ou quun groupe dutilisateurs distants accde un hte sur le rseau.
Le verrou authentifie lutilisateur et autorise un accs limit par le biais du routeur pare-feu.
Lauthentification peut tre faite par un serveur de scurit comme AAA, TACACS+ ou le routeur lui-mme.
Comment a marche
Source : Curriculum Cisco CCNA4 Security
Comment a marche?
Afin obtenir un accs

momentan au rseau
192.168.30.0 /24 pour le PC1
via R3, une ACL dynamique est
configure sur linterface srie
S0/0/1 de R3.
S0/0/1
PC1
192.168.30.0/24
R3
Suite
Comment a marche?
tout le trafic IP en fait (ACL 101)
Crer un compte utilisateur local
Temps absolu
Affecter lACL dynamique

linterface en entre
Voir dtails
Temps dinactivit
Avantage des ACL dynamiques
Avantages des ACL dynamiques

Mcanisme dauthentification des utilisateurs.
Gestion simplifie sur les rseaux de grande taille.

Traitement rduit du routeur requis pour les ACL.
Limitation des ventuelles infractions du rseau par des pirates informatiques.
Accs utilisateur dynamique via un pare-feu, sans compromettre les autres restrictions de scurit configures.
Les ACL rflexives
Les ACL rflexives
Les ACL rflexives

Sont utilises pour autoriser le trafic IP pour des sessions provenant du rseau intrieur tout en refusant
le trafic IP pour les sessions dont la source est extrieure au rseau.
Comme vu prcdemment, cela est possible avec les ACL tendues avec le mot cl ESTABLISHED.
Mais ceci nest valable que pour TCP.
Avec UDP ou avec dautres protocoles de couche 3 comme ICMP (sans ACK et RST), ce nest pas possible.
Loption established vrifie uniquement les bits ACK ou RST ; elle ignore les adresses sources ou de destination.
(voir avantages des ACL rflexives plus loin)
Schma explicatif
Comment a marche
Comment a marche lACL rflexive ?

Le routeur examine le trafic SORTANT :
Lorsque le routeur dtecte une nouvelle connexion, il ajoute une entre une ACL rflexive pour autoriser les
rponses mais pas les connexions inities de lextrieur : REFLECT.
Cette entre est supprime automatiquement la clture dune session.
ACL tendue nomme
R2(config)# ip access-list extended OUTBOUND

R2(config-ext-nacl)# permit ip any any reflect ACL-REF
R2(config-ext-nacl)# int s0/1/0
R2(config-if)# ip access-group OUTBOUND out
Trafic autoris avec cration dune rgle

rflexive : ACL dynamique ACL-REF interdisant
le trafic initi de lextrieur.
REFLECT indique au routeur quil devra crer lACL rflexive ACL-REF correspondant
au trajet inverse. Elle apparaitra dans le show access-list (en bas) quand il y aura un trafic sortant.
Trafic ENTRANT :
Lorsque le routeur dtecte le trafic entrant, il utilise lACL ACL-REF pour
empcher le trafic sil est initi de lextrieur : EVALUATE.
R2(config)# ip access-list extended INTBOUND
R2(config-ext-nacl)# evaluate ACL-REF
R2(config-ext-nacl)# int s0/1/0
R2(config-if)# ip access-group OUTBOUND in
Trafic de rponse autoris.

Interdiction de trafic initi de lextrieur
Trs important savoir propos des ACL rflexives
!
Les ACL rflexives permettent au routeur de grer le trafic de session de manire dynamique.
Les ACL rflexives comprennent uniquement des entres provisoires.
Les ACL rflexives ne sont dfinies quavec des ACL IP tendues nommes.
Les ACL rflexives ne sappliquent pas directement une interface.
Les ACL rflexives sont imbriques dans une ACL tendue nomme.
Les ACL rflexives ne fonctionnent pas avec les applications qui changent le numro de port
en cours de session.
FTP actif par exemple. Idem avec la fonction established de lACL tendue.
Exemple
Exemple
ACL rflexive autorise le trafic
ICMP entrant et sortant, autorise
uniquement le trafic TCP initi
lintrieur du rseau.
Tout autre trafic est refus.
LACL rflexive est applique
linterface de sortie de R2.
Suite de lexemple
Pas de dtails. Cest juste indicatif les ACL complexes.

Avantages des ACL rflexives
Avantages des ACL rflexives

Elles contribuent la protection du rseau contre les pirates (dfense pare-feu).
Elles sont une scurit contre lusurpation et certaines attaques DoS.
Les ACL rflexives sont plus difficiles mystifier car un nombre suprieur de critres de filtrage doit correspondre avant que le
passage dun paquet soit autoris.
Une vrification est opre sur les adresses source et destination, les numros de port, et pas seulement sur les bits ACK ou RST.
Cest plus simple de mystifier un segment en modifiant les ACK et RST les mettant 1.
LACL rflexive vrifie les adresses IP et ports en fonction du trafic sortant. Established vrifie que ACK ou RST sont 1 voir lACL rflexive.
Les ACL temporelles
Les ACL temporelles

Permettent dinterdire certains trafic pendant une priode donne.
Schma
Exemple
Exemple
Dans cet exemple, une connexion Telnet est autorise depuis le
rseau intrieur au rseau extrieur les lundis, mercredis et vendredis
pendant les heures ouvrables.
S0/0/0
tape 1. Dfinir la plage horaire et la nommer EVERYOTHERDAY.

tape 2. Applique la plage horaire lACL
tape 3. Appliquer lACL linterface.
La plage horaire repose sur lhorloge

systme du routeur.
La fonction est optimise avec la
synchronisation du protocole NTP.
Avantages des ACL temporelles
Avantages des ACL temporelles

Elles renforcent le contrle en autorisant ou en refusant laccs aux ressources pendant un temps.
Elles permettent de contrler les messages de journalisation.

Les entres des ACL peuvent enregistrer le trafic certains moments de la journe mais pas tout le temps.
Avec les ACL temporelles, ladministrateur naura pas analyser les nombreux journaux gnrs pendant la journe.
On cre une ACL temporelle pour les messages de journalisation. Les messages de journalisation narrivent ladministrateur
que pendant a priode quil dfinit.
Dpannage des ACL
TP - 5.5.2.1
Configurer les liaisons sries en PPP/CHAP et PAP
Exercice PT faire librement - 5.6.1.3

Ne pas corriger sauf questions
FIN
FIN

Ccna4 - Chapitre 5

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Ccna4 - Chapitre 5

Transféré par

Droits d'auteur :

Formats disponibles

CHAPITRE 5

LES LISTES DE CONTRLE DACCS

Fait par : Fadla HAMDAD

Source : Curriculum Cisco CCNA4 4.0

Source : Curriculum Cisco CCNA4 4.0

Utiliser les ACL pour scurise un rseau

Source : Curriculum Cisco CCNA4 4.0

LES LISTES DE CONTRLE DACCS IP

Source : Curriculum Cisco CCNA4 4.0

Les ports TCP

Source : Curriculum Cisco CCNA4 4.0

Le filtrage des paquets

Source : Curriculum Cisco CCNA4 4.0

LE FILTRAGE DES PAQUETS

Le filtrage des paquets fonctionne sur la couche RSEAU ou TRANSPORT.

Source : Curriculum Cisco CCNA4 4.0

ACL et filtrage de paquet

Ces rgles sont dfinies en fonction des ACL.

Source : Curriculum Cisco CCNA4 4.0

Exemple de filtrage de paquet

Source : Curriculum Cisco CCNA4 4.0

Quest ce quune ACL

Source : Curriculum Cisco CCNA4 4.0

Un routeur na aucune ACL configure par dfaut.

Source : Curriculum Cisco CCNA4 4.0

Source : Curriculum Cisco CCNA4 4.0

Rgle des trois "P"

Configurer une ACL par protocole, par direction et par interface :

Les tches effectues par une ACL

Source : Curriculum Cisco CCNA4 4.0

Les tches effectues par les ACL

Elles fournissent un niveau de scurit de base pour laccs rseau.

Fonctionnement des ACL

Source : Curriculum Cisco CCNA4 4.0

Fonctionnement des ACL

Source : Curriculum Cisco CCNA4 4.0

ACL, rgles de contrle pour les paquets :

Une ACL est utilise de haut en

- arrivant par les interfaces dentre,

Une ACL entrante rduit la charge des recherches

Source : Curriculum Cisco CCNA4 4.0

Source : Curriculum Cisco CCNA4 4.0

Une ACL peut sappliquer

Explication diapo suivante

Source : Curriculum Cisco CCNA4 4.0

LE REFUS IMPLICITE : deny all ou deny all traffic

Le routeur abandonne tous les paquets restants.

Rcap. du fonctionnement de lACL

Source : Curriculum Cisco CCNA4 4.0

Fonctionnement rcapitulatif des ACL

Syntaxe sommaire d'une ACL Cisco

Source : Curriculum Cisco CCNA4 4.0

Syntaxe dune ACL Cisco

Source : Curriculum Cisco CCNA4 4.0

access-list 10 permit 192.168.30.0 0.0.0.255

access-list 101 deny 10.0.0.0 0.0.0.255

ACL 1 : Permettre tout le trafic provenant du rseau 192.168.30.0/24

ACL 2 : Refuser tout le trafic provenant du rseau 10.0.0.0/24

access-list 10 permit 192.168.30.0 0.0.0.255

access-list 10 permit 192.168.30.0 0.0.0.255

Source : Curriculum Cisco CCNA4 4.0

Source : Curriculum Cisco CCNA4 4.0

Ici, tout trafic en provenance du rseau 192.168.30.0/24 est autoris.