Scribd Logo
Importer

Bienvenue sur Scribd !

  • Chapitre 03

    Transféré par

    barry allen
    32 vues5 pages

    Titre original

    Chapitre03

    Copyright

    © © All Rights Reserved

    Formats disponibles

    PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Signaler ce document

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    32 vues5 pages

    Chapitre 03

    Transféré par

    barry allen

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    sur 5

    Les aspects techniques de la sécurité – Suite –

    1. Sécurité dans les réseaux – Les par feus ou les Routeurs

    1.1 Définition :

     Un pare-feu est un appareil de sécurité des réseaux qui contrôle le trafic réseau entrant et
    sortant et décide s’il bloque ou autorise le trafic selon un ensemble défini de règles de
    sécurité.
     Les pare-feu sont sur la première ligne de défense de la sécurité des réseaux. Ils établissent
    une barrière entre les réseaux internes sécurisés et contrôlés et les réseaux externes dites de
    non confiance, comme Internet.
     Un pare-feu peut être matériel, logiciel ou les deux.

    1.2 Access Control List (liste de contrôle d'accès) ACL

    S0 : interface routeur 0
    S1 interface routeur 1
    Permit : autoriser
    Deny : interdire

    Les listes de contrôle d’accès sont des instructions qui expriment une liste de règles sur les paquets
    reçus et transmis par le routeur.

     Elles sont implémentées pour assurer la sécurité dans les réseaux


     Les listes de contrôle d’accès sont capables:
    – D’autoriser (permit) ou d’interdire (deny) des paquets, que ce soit en entrée ou en sortie des
    interfaces
    – Filtrer le trafic en entrée ou en sortie du routeur
     Elles opèrent selon un ordre séquentiel, en évaluant les paquets à partir du début de la liste
    d’instructions.
    Il existe deux types d'ACL : Standard et Etendue

    1.3 Les ACL standards


    Les ACL standards sont numérotées de 1-99, elles se basent uniquement sur les adresses IP source
    pour savoir quel paquet filtrer, elles doivent être placées au plus près de la destination.
    Syntaxe: access-list access-list-number {permit | deny} source {source-mask}

    Exemple :

    Dans cet exemple on va définir une ACL standard qui va autoriser le réseau 10.0.0.0/8 à accéder au
    serveur situer à l'interface Fa0/1.
    access-list 1 permit 10.0.0.0 0.255.255.255

    Il ya par défaut à la fin de chaque ACL un deny ip any (pour bloquer tout autre accès)
    L’ACL Standard est placée près de la destination pour ne pas sanctionner d’autres paquets.
    0.255.255.255 représente le masque générique (wildcard mask) ou masque inverse.

    1.4 Les ACL étendues (extended Access List)


    Les ACL étendues (100-199) vérifient les adresses sources et destinations, vérifient également les
    ports et protocoles spécifiques tel que UDP/TCP/IP.
    Syntaxe : access-list access-list-number {permit | deny} protocol source {source-mask} destination
    {destination-mask} [eq destination-port]

    Quelques opérateurs:

     eq : égal
     neq : différent
     gt : plus grand que
     lt : moins grand que
    Exemple :
    Empêcher le trafic FTP du réseau 10.0.0.0/8 vers le serveur et autoriser tout le reste
    N.B: FTP utilise TCP et les ports 20 & 21.

    1ème méthode
    access-list 101 deny tcp 10.0.0.0 0.255.255.255 187.100.1.6 0.0.0.0 eq 21
    access-list 101 deny tcp 10.0.0.0 0.255.255.255 187.100.1.6 0.0.0.0 eq 20
    access-list 101 permit ip any any
    2ème method.
    Access-list 101 deny tcp 10.0.0.0 0.255.255.255 host 187.100.1.6 eq 20
    Access-list 101 deny tcp 10.0.0.0 0.255.255.255 host 187.100.1.6 eq 21
    Access-list permit ip any any.

    Remarque : Cette ACL est à mettre près de la source


    1. any : n’importe quelle adresse (équivaut à 0.0.0.0 255.255.255.255)
    2. host : abréviation du masque générique Ex: host 172.16.33.5 équivaut à 172.16.33.5 0.0.0.0

    2.1.3 Masque générique :(masque inverse ou wildcard mask)


    Soit le masque de sous réseau : 255.255.255.0 alors son wildcard mask : 0.0.0.255
    Utilisation :
    Le masque inverse est un filtre qui permet de vérifier chaque bit qui soit égale à 0 et laisse passer les
    bits à 1. (ici les 3 premier octets seront vérifiés) pour déterminer quel paquet sera contrôler (deny ou
    permit).

    2.3 Calcul du masque inverse


    Exemple 01
    10.1.1.0/8 équivalent à 10.1.1.0/255.0.0.0
    Le masque inverse est :
    255.255.255.255 - 255.0.0.0=0.255.255.255

    Exemple 02 :
    172.23.16.0/255.255.240.0
    Le masque inverse est :
    255.255.255.255 – 255.255.240.0 = 0.0.15.255

    Avec ce masque on peut déterminer l’intervalle des IP qui vérifie l’ACL


    Exemple 01 :
    10.1.1.0 Début première adresse ip
    +
    0.0.0.255
    ------------------------
    =10.1.1.255 (fin de la plage)
    Donc les plages d’adressage de 10.1.1.0 à 10.1.1.255 seront autorisées

    Exemple 02 :
    autoriser le réseau 172.23.16.0/255.255.240.0
    access-list 1 permit 172.23.16.0 0.0.15.255
    172.23.16.0 0.0.15.255
    172.23.16.0 (début)
    +
    0.0.15.255
    ------------------
    172.23.31.255 (fin)
    Donc de 172.23.16.0 à 172.23.31.255

    Exemple 03 :
    Access-list 2 permit 172.16.1.3 0.0.0.252
    Question :
    Est-ce que les adresses IP suivante seront autorisées par cette ACL
    a) 172.16.1.5
    b) 172.16.1.51
    c) 712.16.1.13

    Ip : 172.16.1. 00 00 00 11
    Masque inverse 0.0.0.11 11 11 11 00 --------- xx xx xx 00
    Les règles suivantes :
    1&&0 =1
    0&&0=0
    X&&1=x
    X&&0=x

    Donc on aura :
    172.16.1.00000011 && 0.0.0.xxxxxx00 donne 172.16.1.xxxxxx11
    Reste à vérifier pour a, b et c.
    Bibliographie

    https://www.cisco.com/c/fr_ca/products/security/firewalls/what-is-a-firewall.html
    https://routeur.clemanet.com/acl-cisco.php

    Vous aimerez peut-être aussi