Vous êtes sur la page 1sur 26

Chapitre 3:

Sécurité d’accès interne à


réseau

1
Les listes de contrôle d'accès
 Sont des listes d'instructions applicables à une interface du routeur pour

indiquer le type de paquets à accepter et le type à refuser

 L'acceptation et le refus peuvent être fondés sur certaines caractéristiques :

 Adresse Source et Adresse de Destination

 Port Source et Port de destination

 Protocole Applicatif

 filtrent le trafic réseau en commandant aux interfaces d'un routeur

d'acheminer ou de bloquer des paquets routés

 Un routeur examine chaque paquet afin de déterminer s'il doit

l'acheminer ou l'abandonner
2
Les listes de contrôle d'accès

3
Les listes de contrôle d'accès
 Sont configurées au niveau du
routeur en vue de contrôler
l'accès à un réseau ou à un sous-
réseau pour :
 Limiter le trafic réseau et
accroître les performances

 Contrôler le flux de trafic


 Fournir un niveau de sécurité
d'accès réseau de base
 Déterminer le type de trafic qui
sera acheminé ou bloqué au
niveau des interfaces du
routeur 4
Vérification des paquets
 L'ordre des instructions ACL
(Access Control List) est
important
 Dès que la plateforme IOS-
CISCO découvre une
correspondance, elle cesse de
vérifier les instructions de
condition
 Si une instruction de condition
autorisant l'accès à tout le
trafic est créée, aucune
instruction créée par la suite ne
sera vérifiée 5
Fonctionnement des listes de
contrôle d'accès
 Une liste de contrôle d'accès est
un groupe d'instructions
précisant divers facteurs relatifs
aux paquets :
 Comment les paquets entrent-ils
par les interfaces d'arrivée ?
 Comment sont-ils relayés par le
routeur ?
 Comment sortent-ils par les
interfaces de départ du routeur ?

 Si aucune des instructions ne correspond au paquet, une instruction


implicite " deny any " interdisant l'accès est imposée
6
Fonctionnement des listes de
contrôle d'accès

7
Configuration de listes de contrôle
d’accès
 Créer des listes de contrôle d'accès en mode de configuration globale.
 Spécifier un numéro de liste de contrôle d'accès entre 1 et 99 : ACL
standards.
 Spécifier un numéro de liste de contrôle d'accès entre 100 et 199 :
ACL étendues.
 Sélectionner avec soin et classer logiquement les éléments de la liste
de contrôle d'accès. Préciser les protocoles IP autorisés, tous les
autres protocoles seront refusés.
 Sélectionner les protocoles IP à vérifier, les autres protocoles ne
seront pas vérifiés. Plus tard dans la procédure, il sera également
possible d'indiquer un port de destination en option pour plus de
précision.
8
Configuration de listes de contrôle
d’accès
 La plupart des protocoles nécessitent deux étapes de base pour
effectuer le filtrage :
 la première étape est la création d'une définition de liste de contrôle
d'accès

 la seconde, l'application de cette liste à une interface.

 Il convient d'identifier chaque liste de protocole en lui attribuant un


numéro unique

Router{config}#access-list numéro-liste-accés {permit|deny}


{conditions-de-test)

Router(config-if) # {protocole} access-group numéro-liste-d’accès9


Les bits de masque générique
 Un masque générique est une quantité de 32 bits divisés en quatre
octets contenant chacun 8 bits:
 Un bit 0 de masque générique signifie " vérifier la valeur du bit
correspondant "
 un bit 1 signifie " ne pas vérifier (ignorer) la valeur du bit correspondant "

10
Les bits de masque générique
 les masques génériques et les
masques de sous-réseaux IP
fonctionnent différemment :
 les 0 et les 1 du masque de sous-
réseau déterminent les portions
réseau, sous-réseau et hôte de
l'adresse IP correspondante
 Les 0 et les 1 du masque générique
déterminent si les bits
correspondants de l'adresse IP
doivent être vérifiés ou ignorés à
des fins de contrôle d'accès

11
La commande any
 Travailler avec des représentations décimales de bits de masque
générique peut se révéler fastidieux :
 Pour les usages les plus courants de masquage générique, vous pouvez
recourir à des abréviations pour indiquer :
 n'importe quelle adresse IP, tapez 0.0.0.0,

 puis pour indiquer que la vérification doit ignorer (c.-à-d. autoriser sans
vérifier) toute valeur, tapez les bits de masque générique correspondants
pour cette adresse, qui seraient tous des 1 (c.-à-d. 255.255.255.255).

Router(config)# access-list 1 permit 0.0.0.0 255.255.255.255

vous pouvez utiliser ceci :

Router(config)# access-list 1 permit any

12
La commande host
 permet également d'utiliser une abréviation dans le masque générique

de liste de contrôle d'accès lorsque vous souhaitez faire correspondre

tous les bits d'une adresse d'hôte IP complète :

 Exemple : vous souhaitiez préciser qu'une adresse hôte IP sera

refusée par une vérification de liste de contrôle d'accès :

 Router(config)# access-list 1 permit 172.30.16.29 0.0.0.0

vous pouvez utiliser ceci :

Router(config)# access-list 1 permit host 172.30.16.29

13
Les listes de contrôle d'accès
standard
 Vous pouvez utiliser les listes de contrôle d'accès standard pour

refuser l'accès à un réseau à tout le trafic, autoriser tout le trafic

issu d'un réseau particulier ou refuser des ensembles de protocoles :

 Router(config)# access-list numéro-liste-d'accès {deny | permit}

source [masque-générique-source ] [log]

14
Vérification des listes de contrôle
d'accès
 la commande EXEC show access-list permet d’afficher le contenu de
toutes les listes de contrôle d'accès :

 Exemple :

access-list 1 permit 192.5.34.0 0.0.0.255


access-list 1 permit 128.88.0.0 0.0.255.255
access-list 1 permit 36.0.0.0 0.255.255.255
!(Remarque : tous les autres accès sont implicitement refusés.)

 La commande ip access-group associe une liste de contrôle d'accès


existante à une interface

Router(config-if)#ip access-group numéro-liste-d'accès {in | out}


15
Exemple 1 de configuration
 la liste de contrôle d'accès permet uniquement l'acheminement du
trafic du réseau d'origine 172.16.0.0

16
Exemple 2 de configuration
 bloquer le trafic d'une adresse particulière, 172.16.4.13, et permettre
l'acheminement du trafic de toutes les autres adresses

17
Exemple 3 de configuration
 liste de contrôle d'accès est conçue pour bloquer le trafic d'un sous-
réseau particulier, 172.16.4.0, et permettre l'acheminement de tout
autre trafic

18
Les listes de contrôle d'accès
étendues
 les listes de contrôle d'accès étendues fournissent une plus grande
gamme de contrôles que les listes d'accès standard

 Exemple : vous pouvez utiliser une liste de contrôle d'accès étendue


pour autoriser le trafic Web, mais refuser le trafic FTP ou Telnet en
provenance de réseaux externes

 Les listes de contrôle d'accès étendues vérifient les adresses


d'origine et de destination d'un paquet.

 Elles peuvent également vérifier des protocoles et des numéros de


port particuliers, ainsi que d'autres paramètres

19
Les listes de contrôle d'accès
étendues

20
Les listes de contrôle d'accès
étendues
 La forme complète de la commande access-list est :

Router(config)# access-list numéro-liste-d'accès {permit | deny}

protocol source [source-mask] destination [destination-mask] operator

operand] [established]

 La commande ip access-group lie une liste de contrôle d'accès

étendue existante à une interface.

 une seule liste de contrôle d'accès est permise par interface, par

direction et par protocole. Le format de cette commande est le

suivant :

Router(config-if)# ip access-group numéro-liste-d'accès {in | out}


21
Les listes de contrôle d'accès
étendues

22
Exemple 1 de configuration
 un exemple de liste de contrôle d'accès étendue bloquant le trafic FTP

23
Exemple 2 de configuration
 Empêche que le trafic
Telnet (eq 23) dont
l'adresse d'origine est
172.16.4.0. soit acheminé
par l'interface E0. Tout le
trafic transmis depuis un
autre point vers une autre
destination peut être
acheminé par cette
interface

24
Emplacement des listes de contrôle
d'accès
 La règle est de placer les
listes de contrôle d'accès
étendues le plus près
possible de la source du
trafic refusé

 Étant donné que les listes


de contrôle d'accès
standard ne précisent pas
les adresses de
destination, vous devez
les placer le plus près
possible de la destination 25
Emplacement des listes de contrôle
d'accès
 Les listes de contrôle d'accès doivent être utilisées dans les routeurs
pare-feu, lesquels sont souvent placés entre le réseau interne et un
réseau externe, tel qu'Internet

 Le routeur pare-feu fournit un point d'isolation qui protège l'ensemble


de la structure du réseau interne

 Vous pouvez également utiliser les listes de contrôle d'accès sur un


routeur situé entre deux sections du réseau pour contrôler le trafic
entrant ou sortant d'une section particulière du réseau interne

 Pour tirer parti des avantages des listes de contrôle d'accès en


matière de sécurité, vous devez au moins configurer des listes de
contrôle d'accès sur les routeurs périphériques situés aux frontières
du réseau 26