TRAVAUX PRATIQUES

LISTES DE CONTROLE D’ACCES

Prérequis :
 Cours de Sécurité des Réseaux
 Cours d’Administration des Réseaux

Outils matériels / logiciels :

 Ordinateurs Windows / Linux avec interface IP
 Réseau IP
 Logiciel « Packet Tracer »
Introduction
L’une des compétences les plus importantes dont un administrateur réseau a besoin est la maîtrise des listes de
contrôle d’accès (ACL - Access Control List). Les administrateurs utilisent les ACL pour arrêter le trafic ou n’autoriser
qu’un trafic spécifique sur leurs réseaux.
Les ACLs peuvent appliquer un certain nombre de fonctionnalités de sécurité, y compris le routage basé sur des
stratégies, la qualité de service (QoS), la translation des adresses réseau (NAT), et la translatation des adresses des
port (PAT).
On peut également configurer des ACLs sur les interfaces d’un routeur pour contrôler le type de trafic autorisé à travers
ledit routeur.
Nous examinerons les concepts d’ACL, y compris ce qu’ils sont, comment un routeur les utilise pour filtrer le trafic, et
quels types d’ACL sont disponibles.

Définition
Une ACL est un script de configuration de routeur (une liste d’instructions) qui contrôle si un routeur autorise ou refuse
le passage de paquets, en fonction de critères dans l’en-tête du paquet.
L’opération par défaut d’un routeur est de transférer tout paquet reçu tant qu’une route existe pour celui-ci et que le lien
de sortie est établi. Les ACLs peuvent aider à y mettre en œuvre un niveau de sécurité de base. EIles permettent de
filtrer les accès entre les différents réseaux ou de filtrer les accès au routeur lui-même.
Les paramètres pouvant être contrôlés sont :
 l’adresse source ;
 l’adresse destination ;
 le protocole utilisé ;
 le numéro de port.
Les ACLs peuvent être appliquées sur le trafic entrant ou sortant. Il y a deux actions : soit le trafic est interdit, soit le
trafic est autorisé.
Les ACLs sont prises en compte de façon séquentielle : il faut donc placer les instructions les plus précises en
premier et l'instruction la plus générique en dernier.
Il y a un déni implicite de toute déclaration à la fin de l’ACL : si un paquet ne correspond à aucune des instructions
de la liste ACL, le paquet est supprimé (par défaut, tout le trafic est interdit).

Types d’ACLs : ACLs standards et ACLs étendues

L'ACL standard filtre uniquement sur les adresses IP sources. Elle a un numéro compris entre 1 et 99 ou entre 1300 et
1999. Elle est de la forme :
access-list numéro-de-la-liste {permit|deny} {host|source source-wildcard|any}
L'ACL étendue filtre sur les adresses source et destination, sur le protocole et le numéro de port. Elle est de la forme :
access-list numéro-de-la-liste {deny|permit} protocole source masque-source [operateur [port]] destination
masque-destination [operateur [port]][established][log]
Quelques opérateurs :
 eq : égal
 neq : différent
 gt : plus grand que
 lt : plus petit que
Le numéro de l'ACL étendue est compris entre 100 et 199 ou entre 2000 et 2699.
Listes de contrôle d’accès (ACL – Access Control List), A.DJIMELI / A.CHIME 1/5
Il est possible de nommer les ACLs. Dans ce cas, on précisera dans la commande si ce sont des ACLs standards ou
étendues.

Notion de maque générique (wildcard mask)

Les ACLs utilisent un masque permettant de sélectionner des plages d'adresses.

Fonctionnement :
En binaire, seuls les bits de l'adresse qui correspondent au bit à 0 du masque sont vérifiés. Par exemple, avec
172.16.2.0 (comme adresse) et 0.0.255.255 (comme masque), la partie vérifiée par le routeur sera 172.16 (c'est-à-dire
les deux premiers octets de l’adresse IPv4, "Contraire du masque de sous-réseau")
Sur le couple suivant: 0.0.0.0 (comme adresse) et 0.0.0.0 (comme masque), toutes les adresses sont concernées (any).
Et sur le couple 192.168.2.3 255 et 255.255.255, on vérifie uniquement l'hôte ayant l'IP 192.168.2.3 (host).

Comment appliquer les ACL?

On crée l'ACL, puis on l’applique à une interface en entrée ou en sortie (in ou out).
Le choix d’utiliser une ACL entrante ou sortante est facile à opérer si l’on s’imagine « à l’intérieur » du routeur. A partir
d’une telle position, on peut visualiser le traitement d’un paquet entrant dans une interface de routeur (trafic entrant),
décider quoi faire du paquet (existe-t-il une ACL entrante ? une route vers la destination ?), et transférer le paquet
(quelle est l’interface de sortie ? y a-t-il une ACL sur cette interface ?).
Si l'ACL doit être modifiée, il sera nécessaire de supprimer celle-ci puis de la recréer entièrement. Une façon pratique
de faire est de conserver l'ACL dans un fichier texte puis de faire un copier/coller.

Exemple de configuration

Création d'une entrée d'une access-list

Dans l'exemple qui suit … :
 on créer une ACL étendue nommée "reseau-secretariat"
 on autorise la machine 192.168.2.12 à se connecter via ssh à toutes les machines du réseau 192.168.3.0/24 ;
 on autorise les réponses DNS en provenance de la machine 192.168.2.30 ;
 on autorise les paquets entrants pour les connexions TCP établies ;
 enfin on supprime le reste du trafic qui va apparaitre dans les logs.
R2(config)#ip access-list extended reseau-secretariat
R2(config-ext-nacl)#permit tcp host 192.168.2.12 gt 1023 192.168.3.0 0.0.0.255 eq 22
R2(config-ext-nacl)#permit udp host 192.168.2.30 eq 53 192.168.3.0 0.0.0.255 gt 1023
R2(config-ext-nacl)#permit tcp any any established
R2(config-ext-nacl)#deny ip any any log
Application de la liste d'accès à une interface
R2(config)#int fa1/1
R2(config-if)#ip access-group reseau-secretariat out
R2(config-if)#
Affichage de la configuration de l'interface
R2#sh run int fa1/1
Building configuration...
Current configuration : 136 bytes
!
interface FastEthernet1/1
ip address 192.168.3.2 255.255.255.0

Listes de contrôle d’accès (ACL – Access Control List), A.DJIMELI / A.CHIME 2/5
 ip access-group reseau-secretariat out
duplex auto
speed auto
end
R2#
Affichage de la liste de contrôle
R2#show access-lists reseau-secretariat
Extended IP access list reseau-secretariat
10 permit tcp host 192.168.2.1 gt 1023 192.168.3.0 0.0.0.255 eq 22
20 permit tcp any any established
30 deny ip any any log
R2#
Suppression d'une ACL
R2(config)#no ip access-list extended reseau-secretariat
R2(config)#end
Suppression de l'association de la liste de contrôle à une interface
R2(config)#int fa1/1
R2(config-if)#no ip access-group reseau-secretariat out
R2(config-if)#

Quelques règles pour réussir son ACL

Des listes de contrôle d’accès bien conçues et mises en œuvre ajoutent une composante de sécurité importante au
réseau. Pour s’assurer que les ACLs crées produiront les résultats attendus, il est faut suivre les principes généraux ci-
après :
 En fonction des conditions de test, choisir une ACL standard ou étendue, numérotée ou nommée.
 Garder à l’esprit qu’une seule ACL est autorisée par protocole, par direction et par interface.
 Organiser l’ACL pour permettre le traitement de haut en bas ; l’organiser de sorte que des références plus
spécifiques à un réseau, un sous-réseau ou un hôte apparaissent avant des références plus générales ; placer
les conditions qui surviennent plus fréquemment avant celles qui surviennent moins fréquemment.
 Retenir que toutes les listes de contrôle d’accès contiennent un refus implicite à la fin.
 Créer l’ACL avant de l’appliquer à une interface.
 Selon la façon dont l’ACL est appliquée, celle-ci filtre le trafic qui passe par le routeur, qui va au routeur, ou qui
vient de ce dernier, comme le trafic en provenance ou à destination des lignes vty.
 De manière générale, placer les ACLs étendues aussi près que possible de la source du trafic que l’on veut
bloquer. Comme les listes de contrôle d’accès standard ne spécifient pas d’adresses de destination, il faut
placer une liste de contrôle d’accès standard aussi près que possible de la destination du trafic que l’on veut
bloquer afin que la source puisse atteindre des réseaux intermédiaires.

Limite des ACLs

Les ACLs ne sont pas la seule solution de sécurité qu’une grande organisation devrait mettre en œuvre. En fait, l’une
de leurs limites est qu’ils augmentent la latence des routeurs. Si le réseau est de très grande taille et que les routeurs
gèrent le trafic de centaines ou de milliers d’utilisateurs, l’administrateur utilisera très probablement une combinaison
d’autres implémentations de sécurité. Par exemple …

Listes de contrôle d’accès (ACL – Access Control List), A.DJIMELI / A.CHIME 3/5
Contrôle de prérequis
1. Quels sont les protocoles de transport et les numéros de port des applications usuelles suivantes : Telnet, SSH,
SMTP, POP3, IMAP, DNS, DHCP, FTP, TFTP, HTTP,
2. Quel est le rôle de l’adresse MAC dans une communication?
3. Quels sont les rôles des adresses IP dans une communication?
4. A envoie un paquet à B. Quelles sont les adresses MAC « source » et « destination » mis en jeu pendant la
transmission?

Figure :
5. A envoie un paquet à B. Quelles sont les adresses IP Source et de destination mis en jeu pendant la transmission?
6. Quel est le rôle des numéros de port de la couche transport dans la communication?
7. Nous supposons que B est un serveur WEB et A un client. A envoie une requête vers B et B répond en lui envoyant
la page demandée. Quels sont les numéros de ports impliqués dans chacune des étapes de la communication?

Listes de contrôle d’accès (ACL – Access Control List), A.DJIMELI / A.CHIME 4/5