Académique Documents
Professionnel Documents
Culture Documents
Select Page
RÉSEAUX, SÉCURITÉ 0
Dans cet article nous allons voir: qu’est qu’une ACL (Access Control List) ? Puis, comment mettre en
place des ACL sur des équipements Cisco?
Partager cet article
Prè-requis:
Une ACL (Access Control List) va nous permettre de filtrer les paquets qui passent sur notre réseau. Elle fait partie des moyens pour sécuriser notre
réseau en limitant l’accès à certaines parties.
L’ACL est composée d’une liste d’ACE (Access Control Entry), ces ACEs vont être interprétées de manières séquentielles c’est-à-dire, lorsqu’un
paquet arrivera sur l’interface du routeur où nous avons configuré notre ACL celui-ci va regarder la première ACE si celle-ci correspond au trafic qu’il
analyse, il va appliquer ce qui est décrit dans l’ACE, si la première ACE ne correspond pas au trafic il va regarder la seconde et ainsi de suite
jusqu’à trouver une correspondance. S’il ne trouve aucune correspondance le paquet sera supprimé, en effet lors de la création d’une ACL tout ceux
qui ne sont pas directement autorisés dans l’ACL est interdit.
ACL standard.
ACL étendue.
ACL nommée.
ACL réflexive.
ACL dynamique.
Le wildcard mask
Le wildcard mask est un masque générique, qui permet de spécifier la partie de l’adresse IP qui doit servir de critère de comparaison. Les bits à
zéro représentent la partie de l’adresse IP à examiner. Par exemple:
si on a comme wildcard mask:
0.0.255.255
Dans le cas des ACL, lorsqu’on désire filtrer le paquet provenant d’un réseau en entier on calculera le wildcard mask à partir du masque de sous-
réseau grâce à une simple soustraction.
Par exemple:
Prenons l’adresse de réseau suivant 192.168.2.0 et son masque de sous réseau 255.255.255.0, pour trouver le wildcard mask on fera la
soustraction octet par octet entre 255.255.255.255 et notre masque de sous-réseau 255.255.255.0 ce qui donne:
255.255.255.255
-255.255.255.0
—————-
0 .0 . 0 .255
On a donc comme wildcard mask: 0.0.0.255 la partie de l’adresse IP à examiner sera donc les 24 premier bits soit 192.168.2 ce qui correspond à la
partie réseau de notre adresse IP
Les ACL standards sont numérotées de 1-99, elles se basent sur les adresses IP de source pour savoir quel paquet filtrer, elles doivent être placées
au plus près de la destination.
Avec une ACL standard il est aussi possible de filtrer le trafic venant d’un hôte en particulier grâce au mot-clé host.
Par exemple:
Cette ACL va permette de bloquer le trafic venant de l’hôte ayant l’IP 192.168.2.4 et uniquement de lui.
Contrairement au ACL standard les ACL étendues ne se reposent pas uniquement sur l’adresse IP source, mais sur plusieurs champs de l’en-tête
IP et les protocoles utilisés. Les ACL étendues se placent au plus proche de la source (afin d’éviter de gaspiller de la bande passante en envoyant
sur le réseau des paquets qui seront supprimées une fois arriver à destination.). Les ACL étendues sont numérotées de 100 à 199.
De plus, comme pour les ACL standard nous pouvons filtrer aussi uniquement des hôtes:
Cette ACL va permettre de bloquer le trafic entre l’hôte source 192.168.2.3 et l’hôte destination 192.168.3.6
Les ACL étendues permettent de filtrer le trafic selon le protocole utilisé, grâce au numéro de port correspondant. On pourra spécifier le port source
et le port de destination.
Ici cette ACL vas permette le trafic entre le réseau 192.168.2.0 et l’hôte 192.168.3.8 a destination du port 80 TCP (port http).
Les opérateurs:
eq: égal à
neq: Différent de
lt: Inférieur à (tous les port inférieur)
gt: Supérieur à (tous les pour supérieur)
Les ACL nommées sont utilisées pour pouvoir donner un nom à notre ACL et ne plus les identifier par un numéro. En effet on pourra lui donner un
nom explicite ce qui nous aidera à déterminer plus facilement le but de notre ACL.
le mot clé IP
le mot clé access-list
le nom de l’ACL.
puis on spécifie toutes les ACE qui compose notre ACL.
Les ACL réflexives, aussi appelées filtre de session IP, elles sont basées sur les sessions TCP et UDP. Lorsqu’un trafic autorisé passe par notre
routeur celui-ci va créer une instruction permit pour autoriser le trafic retour. Elle nécessite l’utilisation d’ACL étendues nommées et des mots-clés :
reflect et evaluate.
Les ACL dynamiques
Les ACL dynamiques obligent l’utilisateur à établir une connexion Telnet sur le routeur en fournissant à ce dernier une combinaison nom
d’utilisateur/ mot de passe, pour autoriser le trafic de cette utilisateur. Si l’authentification Telnet a réussi, le routeur modifie dynamiquement l’ACL
associée, autorisant le trafic provenant de l’IP de l’utilisateur.
Maintenant que nous savons comment créer nos ACLs, nous devons appliquer nos ACLs sur nos équipements. On peut appliquer notre ACL sur
une interface, la ligne console et les lignes vty.
Dans cette exemple on place notre ACL sur l’interface fastEthernet 0/1 en entré. Pour ce faire, on entre dans le mode de configuration de l’interface.
Et on utilise la commande ip access-group suivie du numéro d’ACL ou du nom de l’ACL et du sens in ou out.
R1(config)#line console 0
R1(config-line)#ip access-class 10 in
Dans cette exemple on place notre ACL sur la ligne console. Pour ce faire on entre dans le mode de configuration de la ligne console 0. Et on utilise
la commande ip access-class suivie du numéro d’ACL et du nom de l’ACL et du sens d’application de l’ACL.
Conclusion:
Cet article se termine et nous avons vu quels sont les types d’ACLs, comment les appliquer sur nos équipements Cisco. Bien entendu, d’autres
types d’ACLs existent, mais ça c’est une autre histoire.
Avez-vous des questions? Connaissez-vous une autre méthode pour filter les paquets? Faites nous part de vos commentaires.Cédric ROBERT
Tagged with: access control list, ACE, ACL, ACL étendue, ACL nommées, ACL standard, cisco, cisco acl, configuration Cisco ACL, configurer
ACL
Mise en place d’un serveur DNS sous Windows Server 2008 ou 2008 R2 Structure basique d’un jeu avec la SDL
Articles liés
J’ai oublié le mot de passe de mon Une bonne politique de mot de passe sur
Laisser un commentaire
your name
email@address.co.uk
www
Votre commentaire
COMMENTER
493 511
Découvrez le premier livre français sur Centreon co-rédigé par le fondateur de ce blog :
Quel est la catégorie que vous lisez le plus ?
Base de données Supervision
Microsoft Linux
Réseaux Sécurité
Autre
VOTE
Publicité
Liens
Ici on parle de …
c# centreon cisco configuration developpement dns esx esxi fonctionnement gestion google installation ios
centos
iphone linux microsoft mise en place mise à jour mysql nagios nagvis netw ork oracle plugins protection présentation réseau réseaux
sauvegarde securite securité server serveur SQL supervision sécurité ubuntu vcenter virtualisation vmware vsphere web Windows
wordpress
Le fondateur
Passionné de supervision, virtualisation et réseaux, Loïc FONTAINE fonde Lolok ai Conseil en 2013 avec comme objectif de devenir une société experte en
supervision et automatisation. Sa passion l'a conduit naturellement à fonder un blog afin de présenter son travail en collaboration avec différents
rédacteurs. Il est également l'auteur d'un ouvrage sur Centreon publié aux éditions ENI.