CHAPITRE 4 : LISTES DE CONTROLE D'ACCES

4.1 Définition

Une liste de contrôle d'accès (ou ACL) est une série de commandes IOS qui

déterminent si un routeur achemine ou abandonne les paquets en fonction des informations

contenues dans l'en-tête de paquet.

Une fois configurées, les listes de contrôle d'accès assurent les tâches suivantes :

• Elles limitent le trafic réseau pour accroître les performances réseau. Si la stratégie de

l'entreprise interdit, par exemple, le trafic vidéo sur le réseau, vous pouvez configurer

et appliquer des listes de contrôle d'accès pour bloquer ce trafic. Ainsi, la charge

réseau est nettement réduite et les performances réseau sont sensiblement améliorées.

• Elles contrôlent le flux de trafic. Les listes de contrôle d'accès peuvent limiter l'arrivée

des mises à jour de routage. Si aucune mise à jour n'est requise vu les conditions du

réseau, la bande passante est préservée.

• Elles fournissent un niveau de sécurité de base pour l'accès réseau. Les listes de

contrôle d'accès permettent à un hôte d'accéder à une section du réseau tout en

empêchant un autre hôte d'y avoir accès. Par exemple, l'accès au réseau du

département Ressources humaines peut être limité aux utilisateurs autorisés.

• Elles filtrent le trafic en fonction de son type. Ainsi, une liste de contrôle d'accès peut

autoriser le trafic des e-mails, mais bloquer tout le trafic Telnet.

• Elles filtrent les hôtes pour autoriser ou refuser l'accès aux services sur le réseau. Les

listes de contrôle d'accès peuvent autoriser ou refuser à un utilisateur l'accès à certains

types de fichier, tels que FTP ou HTTP.

 Lorsqu’une liste de contrôle d'accès est appliquée à une interface, le routeur évalue en

outre tous les paquets réseau lorsqu'ils traversent l'interface pour déterminer s'ils peuvent être

acheminés.

4.2 Filtrage des paquets

Pour évaluer le trafic réseau, la liste de contrôle d'accès extrait les informations
suivantes de l'en-tête de paquet de couche 3 :

• Adresse IP source

• Adresse IP de destination

• Type de message ICMP

La liste de contrôle d'accès peut également extraire des informations de couche

supérieure à partir de l'en-tête de couche 4, notamment :

• Port source TCP/UDP

• Port de destination TCP/UDP

4.3 Fonctionnement des listes de contrôle d'accès

4.4 Types de listes de contrôle d'accès IPv4 Cisco

Il existe deux types de listes de contrôle d'accès IPv4 Cisco : les listes standard et les listes

étendues.
4.5 Numérotation et attribution d'un nom aux listes de contrôle d'accès

4.6 Mots-clés de masque générique

Les mots-clés host (hôte) et any (tous) permettent d'identifier les utilisations les plus

courantes des masques génériques, et simplifient ainsi cette tâche.

4.7 Directives générales sur la création de listes de contrôle d'accès

Remarque : il n'est pas nécessaire de configurer les listes de contrôle d'accès dans les deux

directions. Le nombre de listes de contrôle d'accès et leur direction appliquée à l'interface

dépendront des exigences.

Vous trouverez ci-dessous quelques instructions pour utiliser les listes de contrôle

d'accès :

• Utilisez des listes de contrôle d'accès sur les routeurs pare-feu entre votre réseau

interne et un réseau externe, par exemple Internet.

 • Utilisez des listes de contrôle d'accès sur un routeur situé entre deux sections de votre

réseau pour contrôler le trafic entrant ou sortant sur une partie donnée du réseau

interne.

• Configurez des listes de contrôle d'accès sur les routeurs périphériques situés à la

périphérie de vos réseaux. Cela permet de fournir une protection de base contre le

réseau externe ou entre une zone plus sensible et une zone moins contrôlée de votre

réseau.

• Configurez des listes de contrôle d'accès pour tout protocole réseau configuré sur les

interfaces de routeur périphérique.

4.8 Règle des trois P

4.9 Positionnement des listes de contrôle d'accès

Chaque liste de contrôle d'accès doit être placée là où elle aura le plus grand impact sur les
performances. Comme le montre la figure,
4.9 Les règles de base sont les suivantes :

Listes de contrôle d'accès étendues : placez les listes de contrôle d'accès étendues le plus

près possible de la source du trafic à filtrer. De cette manière, le trafic indésirable est refusé

près du réseau source et ne traverse pas l'infrastructure réseau.

Listes de contrôle d'accès standard : étant donné que les listes de contrôle d'accès standard

ne précisent pas les adresses de destination, placez-les le plus près possible de la destination.

Le fait de placer une liste de contrôle d'accès standard à la source du trafic empêche

efficacement ce trafic d'accéder à tous les autres réseaux via l'interface à laquelle la liste est

appliquée.

4.9.1 Position de l'ACL standard

Les listes de contrôle d'accès standard permettent uniquement de filtrer le trafic en fonction

d'une adresse source. Le principe de base consiste donc à placer la liste de contrôle d'accès

standard aussi près que possible du réseau de destination. Cela permet au trafic d'accéder à

tous les autres réseaux à l'exception de celui où les paquets sont filtrés.
4.9.2 Emplacement de la liste de contrôle d'accès étendue

Comme les listes de contrôle d'accès standard, les listes de contrôle d'accès étendues

peuvent filtrer le trafic en fonction de l'adresse source. Cependant, une liste de contrôle

d'accès étendue peut également filtrer le trafic en fonction de l'adresse de destination, du

protocole et du numéro de port. Cela offre aux administrateurs réseau davantage de flexibilité

au niveau du type de trafic pouvant être filtré et de la position de la liste. La règle de base

pour le placement des listes de contrôle d'accès étendues consiste à les placer aussi près que

possible de la source. Cela empêche le trafic indésirable d'être envoyé sur plusieurs réseaux

pour être finalement refusé lorsqu'il atteint sa destination.

3.9.3 Saisie des instructions de critères

4.10 Configuration d'une liste de contrôle d'accès standard

La syntaxe complète de la commande des listes de contrôle d'accès standard est la

suivante :

Router(config)# access-list access-list-number { deny | permit | remark } source [ source-

wildcard ][ log ]
4.10.1 Logique interne

4.10.2 Application de listes de contrôle d'accès standard aux interfaces

Une fois qu'une liste de contrôle d'accès standard est configurée, elle est associée à une

interface à l'aide de la commande ipaccess-group en mode de configuration d'interface :

Router(config-if)# ip access-group { access-list-number | access-list-name } { in | out }

Pour supprimer une liste de contrôle d'accès IP d'une interface, entrez d'abord la commande

no ipaccess-group sur l'interface, puis la commande globale no access-list pour supprimer

l'ensemble de la liste.

4.10.3 Création de listes de contrôle d'accès standard nommées

Si vous attribuez un nom à une liste de contrôle d'accès, il vous sera plus facile d'en

comprendre la fonction
4.10.4 Vérification des listes de contrôle d'accès

La commande show ip interface permet de vérifier la liste de contrôle d'accès sur l'interface

4.10.5 Configuration d'une liste de contrôle d'accès standard pour sécuriser un

port VTY

Cisco recommande d'utiliser le protocole SSH pour les connexions administratives aux

routeurs et aux commutateurs. Si l'image du logiciel Cisco IOS sur votre routeur ne prend pas

en charge le protocole SSH, vous pouvez améliorer la sécurité des lignes administratives en

limitant l'accès VTY

access-class est la suivante :

Router(config-line)# access-classaccess-list-number { in [ vrf-also ] | out }

Le paramètre in limite les connexions entrantes entre les adresses de la liste d'accès et

le périphérique Cisco, tandis que le paramètre out limite les connexions sortantes entre un

périphérique Cisco spécifique et les adresses de la liste d'accès.

4.10.6 Vérification d'une liste de contrôle d'accès standard utilisée pour sécuriser

un port VTY
4.11 Listes de contrôle d'accès étendues

Les listes de contrôle d'accès étendues sont numérotées de 100 à 199 et de 2 000 à

2 699 ce qui offre un total de 799 numéros de listes de contrôle d'accès étendues disponibles.

Vous pouvez également attribuer un nom aux listes de contrôle d'accès étendues.
4.11.1 Filtrage du trafic à l'aide de listes de contrôle d'accès étendues

4.11.2 Création de listes de contrôle d'accès étendues nommées

Étape 1. En mode de configuration globale, utilisez la commande ipaccess-listextendedname

pour définir le nom de la liste de contrôle d'accès étendue.

Étape 2. En mode de configuration de la liste de contrôle d'accès nommée, spécifiez les

conditions permit oudeny.

Étape 3. Repassez en mode d'exécution privilégié et vérifiez la liste à l'aide de la commande

show access-listsname.

Étape 4. Enregistrez les entrées dans le fichier de configuration en utilisant la commande

copy running-config startup-config.

Pour supprimer une liste de contrôle d'accès étendue nommée, utilisez la commande de

configuration globale no ipaccess-listextendedname.