Listes de contrle daccs : ACL

Prsent par Abdoul Aziz Ciss

Docteur en Cryptologie, Consultant ITSec
LACGAA/FST/UCAD
Email: alekciss@gmail.com
Web : www.alekciss.com
Tel: 77 451 92 95

Gnralits
Les ACL (en anglais Acces Control Lists ) ou en Franais Listes de
Contrle dAccs , permettent dtablir des rgles de filtrage sur les
routeurs, pour rgler le trafic des datagrammes en transit.
Les ACL permettent de mettre en place un filtrage dit statique des
datagrammes, c'est--dire dinstaurer un certain nombre de rgles
appliquer sur les champs concerns des en-ttes des divers
protocoles.

Gnralits

Fonctionnement
Etape 1 : En mode config , on cre une ACL, c'est--dire une liste
de rgles. Chaque rgle est du type (condition, action). Les rgles
sont interprtes squentiellement. Si la condition analyse ne
correspond pas, on passe la rgle suivante. Si la condition
correspond, laction correspondante est effectue.
Etape 2 : En mode config-int , on applique une ACL en entre (in)
(respectivement en sortie(out)), c'est--dire que lon dcide dactiver
la liste de rgles correspondante tous les datagrammes entrant
dans le routeur (respectivement sortant du routeur) par
linterface considre. En consquence, sur un routeur, il peut y avoir
au maximum 2 ACLs (IP) par interface.

Les ACL Standard

Elles permettent simplement de crer des rgles dont les conditions ne
prennent en compte que les adresses IP sources des datagrammes IP
analyss.
Une ACL standard se cre avec la commande suivante :
access-list <#ACL> {permit/deny} <@IP source> <masque>

Le numro de liste (#ACL) doit tre compris entre 1 et 99 pour une ACL
standard (tapez un ? aprs la commande access-list pour visualiser toutes
les fourchettes possibles en fonctions des types dACL).
Permit ou deny indique laction prendre (deux seules actions sont
possibles : autoris ou refus)
LIP source + masque indique la condition.

Les ACL tendues

Les ACL tendues permettent de crer des rgles de filtrage plus
prcises, en utilisant des conditions applicables sur dautres champs
des en-ttes des divers protocoles.
Commande
access-list <#ACL> {permit/deny} <protocole> <@IPsource> <masque>
<@IPdest> <masque> [port]

Les ACL tendues

Le numro de liste (#ACL) doit tre compris entre 100 et 199
pour une ACL tendue.
protocole : indique le protocole concern par le filtre (tapez un ?
pour avoir la liste des protocoles disponibles) Les protocoles indiqus
peuvent tre de diffrents niveaux jusquau niveau transport (ex :
TCP ou UDP, mais galement IP ou ICMP). La distinction sur les
protocoles applicatifs (http, FTP ) se fera sur le champ port .
port : permet dindiquer un numro de port (ou son nom
symbolique si il est connu http, FTP, Telnet, ). Notez quun port
doit tre indiqu prcd dun oprateur (ex : eq http ou eq
80 ou lt 1024 ) avec eq (pour equal ), lt (pour lower
than ) ou gt (pour greater than),

Remarques
1.

Le masque est compltement invers (on parle de masque

gnrique)
Ex :
access-list 1 permit 192.168.1.0

0.0.0.255

qui signifie tout quipement

peut tre remplac par le mot cl "any".
2. W.X.Y.Z
0.0.0.0 qui signifie lquipement W.X.Y.Z peut
tre remplac par "host W.X.Y.Z"
3. En mode "enabled" la commande "show access-list
<#ACL> " vous permet de visualiser le contenu de lACL dont
vous donnez le numro.
1. 0.0.0.0

255.255.255.255

Exercice

Exercice

Activation dune ACL

Pour activer une ACL sur une interface, il faut :
1.

Se positionner dans le mode de configuration de linterface, grce la

commande
interface <nom de linterface>

2.

Saisir la commande :
ip access-group

<#ACL>

< in | out> .