Chapitre3 SécuritéAccesInterneRéseaux

Chapitre 3:
Sécurité d’accès interne à

réseau
1
Les listes de contrôle d'accès
 Sont des listes d'instructions applicables à une interface du routeur pour
indiquer le type de paquets à accepter et le type à refuser
 L'acceptation et le refus peuvent être fondés sur certaines caractéristiques :
 Adresse Source et Adresse de Destination
 Port Source et Port de destination
 Protocole Applicatif
 filtrent le trafic réseau en commandant aux interfaces d'un routeur
d'acheminer ou de bloquer des paquets routés
 Un routeur examine chaque paquet afin de déterminer s'il doit
l'acheminer ou l'abandonner
2
3
 Sont configurées au niveau du
routeur en vue de contrôler
l'accès à un réseau ou à un sous-
réseau pour :
 Limiter le trafic réseau et
accroître les performances
 Contrôler le flux de trafic

 Fournir un niveau de sécurité
d'accès réseau de base
 Déterminer le type de trafic qui
sera acheminé ou bloqué au
niveau des interfaces du
routeur 4
Vérification des paquets
 L'ordre des instructions ACL
(Access Control List) est
important
 Dès que la plateforme IOS-
CISCO découvre une
correspondance, elle cesse de
vérifier les instructions de
condition
 Si une instruction de condition
autorisant l'accès à tout le
trafic est créée, aucune
instruction créée par la suite ne
sera vérifiée 5
Fonctionnement des listes de
contrôle d'accès
 Une liste de contrôle d'accès est
un groupe d'instructions
précisant divers facteurs relatifs
aux paquets :
 Comment les paquets entrent-ils
par les interfaces d'arrivée ?
 Comment sont-ils relayés par le
routeur ?
 Comment sortent-ils par les
interfaces de départ du routeur ?
 Si aucune des instructions ne correspond au paquet, une instruction

implicite " deny any " interdisant l'accès est imposée
6
Fonctionnement des listes de
contrôle d'accès
7
Configuration de listes de contrôle
d’accès
 Créer des listes de contrôle d'accès en mode de configuration globale.
 Spécifier un numéro de liste de contrôle d'accès entre 1 et 99 : ACL
standards.
 Spécifier un numéro de liste de contrôle d'accès entre 100 et 199 :
ACL étendues.
 Sélectionner avec soin et classer logiquement les éléments de la liste
de contrôle d'accès. Préciser les protocoles IP autorisés, tous les
autres protocoles seront refusés.
 Sélectionner les protocoles IP à vérifier, les autres protocoles ne
seront pas vérifiés. Plus tard dans la procédure, il sera également
possible d'indiquer un port de destination en option pour plus de
précision.
8
Configuration de listes de contrôle
d’accès
 La plupart des protocoles nécessitent deux étapes de base pour
effectuer le filtrage :
 la première étape est la création d'une définition de liste de contrôle
d'accès
 la seconde, l'application de cette liste à une interface.
 Il convient d'identifier chaque liste de protocole en lui attribuant un

numéro unique
Router{config}#access-list numéro-liste-accés {permit|deny}

{conditions-de-test)
Router(config-if) # {protocole} access-group numéro-liste-d’accès9

Les bits de masque générique
 Un masque générique est une quantité de 32 bits divisés en quatre
octets contenant chacun 8 bits:
 Un bit 0 de masque générique signifie " vérifier la valeur du bit
correspondant "
 un bit 1 signifie " ne pas vérifier (ignorer) la valeur du bit correspondant "
10
Les bits de masque générique
 les masques génériques et les
masques de sous-réseaux IP
fonctionnent différemment :
 les 0 et les 1 du masque de sous-
réseau déterminent les portions
réseau, sous-réseau et hôte de
l'adresse IP correspondante
 Les 0 et les 1 du masque générique
déterminent si les bits
correspondants de l'adresse IP
doivent être vérifiés ou ignorés à
des fins de contrôle d'accès
11
La commande any
 Travailler avec des représentations décimales de bits de masque
générique peut se révéler fastidieux :
 Pour les usages les plus courants de masquage générique, vous pouvez
recourir à des abréviations pour indiquer :
 n'importe quelle adresse IP, tapez 0.0.0.0,
 puis pour indiquer que la vérification doit ignorer (c.-à-d. autoriser sans
vérifier) toute valeur, tapez les bits de masque générique correspondants
pour cette adresse, qui seraient tous des 1 (c.-à-d. 255.255.255.255).
Router(config)# access-list 1 permit 0.0.0.0 255.255.255.255
vous pouvez utiliser ceci :
Router(config)# access-list 1 permit any
12
La commande host
 permet également d'utiliser une abréviation dans le masque générique
de liste de contrôle d'accès lorsque vous souhaitez faire correspondre
tous les bits d'une adresse d'hôte IP complète :
 Exemple : vous souhaitiez préciser qu'une adresse hôte IP sera
refusée par une vérification de liste de contrôle d'accès :
 Router(config)# access-list 1 permit 172.30.16.29 0.0.0.0
vous pouvez utiliser ceci :
Router(config)# access-list 1 permit host 172.30.16.29
13
standard
 Vous pouvez utiliser les listes de contrôle d'accès standard pour
refuser l'accès à un réseau à tout le trafic, autoriser tout le trafic
issu d'un réseau particulier ou refuser des ensembles de protocoles :
 Router(config)# access-list numéro-liste-d'accès {deny | permit}
source [masque-générique-source ] [log]
14
Vérification des listes de contrôle
d'accès
 la commande EXEC show access-list permet d’afficher le contenu de
toutes les listes de contrôle d'accès :
 Exemple :
access-list 1 permit 192.5.34.0 0.0.0.255

!(Remarque : tous les autres accès sont implicitement refusés.)
 La commande ip access-group associe une liste de contrôle d'accès

existante à une interface
Router(config-if)#ip access-group numéro-liste-d'accès {in | out}

15
Exemple 1 de configuration
 la liste de contrôle d'accès permet uniquement l'acheminement du
trafic du réseau d'origine 172.16.0.0
16
 bloquer le trafic d'une adresse particulière, 172.16.4.13, et permettre
l'acheminement du trafic de toutes les autres adresses
17
 liste de contrôle d'accès est conçue pour bloquer le trafic d'un sous-
réseau particulier, 172.16.4.0, et permettre l'acheminement de tout
autre trafic
18
étendues
 les listes de contrôle d'accès étendues fournissent une plus grande
gamme de contrôles que les listes d'accès standard
 Exemple : vous pouvez utiliser une liste de contrôle d'accès étendue

pour autoriser le trafic Web, mais refuser le trafic FTP ou Telnet en
provenance de réseaux externes
 Les listes de contrôle d'accès étendues vérifient les adresses

d'origine et de destination d'un paquet.
 Elles peuvent également vérifier des protocoles et des numéros de

port particuliers, ainsi que d'autres paramètres
19
étendues
20
étendues
 La forme complète de la commande access-list est :
Router(config)# access-list numéro-liste-d'accès {permit | deny}
protocol source [source-mask] destination [destination-mask] operator
operand] [established]
 La commande ip access-group lie une liste de contrôle d'accès
étendue existante à une interface.
 une seule liste de contrôle d'accès est permise par interface, par
direction et par protocole. Le format de cette commande est le
suivant :
Router(config-if)# ip access-group numéro-liste-d'accès {in | out}

21
étendues
22
 un exemple de liste de contrôle d'accès étendue bloquant le trafic FTP
23
 Empêche que le trafic
Telnet (eq 23) dont
l'adresse d'origine est
172.16.4.0. soit acheminé
par l'interface E0. Tout le
trafic transmis depuis un
autre point vers une autre
destination peut être
acheminé par cette
interface
24
Emplacement des listes de contrôle
d'accès
 La règle est de placer les
listes de contrôle d'accès
étendues le plus près
possible de la source du
trafic refusé
 Étant donné que les listes

de contrôle d'accès
standard ne précisent pas
les adresses de
destination, vous devez
les placer le plus près
possible de la destination 25
Emplacement des listes de contrôle
d'accès
 Les listes de contrôle d'accès doivent être utilisées dans les routeurs
pare-feu, lesquels sont souvent placés entre le réseau interne et un
réseau externe, tel qu'Internet
 Le routeur pare-feu fournit un point d'isolation qui protège l'ensemble

de la structure du réseau interne
 Vous pouvez également utiliser les listes de contrôle d'accès sur un

routeur situé entre deux sections du réseau pour contrôler le trafic
entrant ou sortant d'une section particulière du réseau interne
 Pour tirer parti des avantages des listes de contrôle d'accès en

matière de sécurité, vous devez au moins configurer des listes de
contrôle d'accès sur les routeurs périphériques situés aux frontières
du réseau 26

Chapitre3 SécuritéAccesInterneRéseaux

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Chapitre3 SécuritéAccesInterneRéseaux

Transféré par

Droits d'auteur :

Formats disponibles

Chapitre 3:

Sécurité d’accès interne à

indiquer le type de paquets à accepter et le type à refuser

 L'acceptation et le refus peuvent être fondés sur certaines caractéristiques :

 Adresse Source et Adresse de Destination

 Port Source et Port de destination

 filtrent le trafic réseau en commandant aux interfaces d'un routeur

d'acheminer ou de bloquer des paquets routés

 Un routeur examine chaque paquet afin de déterminer s'il doit

 Contrôler le flux de trafic

 Si aucune des instructions ne correspond au paquet, une instruction

 la seconde, l'application de cette liste à une interface.

 Il convient d'identifier chaque liste de protocole en lui attribuant un

Router{config}#access-list numéro-liste-accés {permit|deny}

Router(config-if) # {protocole} access-group numéro-liste-d’accès9

Router(config)# access-list 1 permit 0.0.0.0 255.255.255.255

vous pouvez utiliser ceci :

Router(config)# access-list 1 permit any

de liste de contrôle d'accès lorsque vous souhaitez faire correspondre

tous les bits d'une adresse d'hôte IP complète :

 Exemple : vous souhaitiez préciser qu'une adresse hôte IP sera

refusée par une vérification de liste de contrôle d'accès :

 Router(config)# access-list 1 permit 172.30.16.29 0.0.0.0

vous pouvez utiliser ceci :

Router(config)# access-list 1 permit host 172.30.16.29

refuser l'accès à un réseau à tout le trafic, autoriser tout le trafic

issu d'un réseau particulier ou refuser des ensembles de protocoles :

 Router(config)# access-list numéro-liste-d'accès {deny | permit}

source [masque-générique-source ] [log]

access-list 1 permit 192.5.34.0 0.0.0.255

 La commande ip access-group associe une liste de contrôle d'accès

Router(config-if)#ip access-group numéro-liste-d'accès {in | out}

 Exemple : vous pouvez utiliser une liste de contrôle d'accès étendue

 Les listes de contrôle d'accès étendues vérifient les adresses

 Elles peuvent également vérifier des protocoles et des numéros de

Router(config)# access-list numéro-liste-d'accès {permit | deny}

protocol source [source-mask] destination [destination-mask] operator

 La commande ip access-group lie une liste de contrôle d'accès

étendue existante à une interface.

direction et par protocole. Le format de cette commande est le

Router(config-if)# ip access-group numéro-liste-d'accès {in | out}

 Étant donné que les listes

 Le routeur pare-feu fournit un point d'isolation qui protège l'ensemble

 Vous pouvez également utiliser les listes de contrôle d'accès sur un

 Pour tirer parti des avantages des listes de contrôle d'accès en

Vous aimerez peut-être aussi