RAPPORT SUR LE CONCEPT DE ACLs

Introduction
Dans la communauté fermée où vivent vos grands-parents, il existe des règles pour qui peut
entrer et sortir des lieux. Le garde ne lèvera pas la porte pour vous laisser entrer dans la
communauté jusqu'à ce que quelqu'un confirme que vous êtes sur une liste de visiteurs
approuvée. Tout comme le gardien dans la communauté fermée, le trafic réseau passant par une
interface configurée avec une liste de contrôle d'accès (ACL) autorise et refuse le trafic. La
question ici est de savoir : Comment configurez ces ACL ? Comment les modifier s'ils ne
fonctionnent pas correctement ou s'ils nécessitent d'autres modifications ?

Qu'est-ce qu'une ACL ?

Les routeurs prennent des décisions de routage en fonction des informations contenues dans
l'en-tête du paquet. Le trafic entrant dans une interface de routeur est acheminé uniquement sur
la base des informations contenues dans la table de routage. Le routeur compare l'adresse IP de
destination avec les routes de la table de routage pour trouver la meilleure correspondance, puis
transfère le paquet en fonction de la meilleure route de correspondance. Ce même processus
peut être utilisé pour filtrer le trafic à l'aide d'une liste de contrôle d'accès (ACL).

Une liste de contrôle d'accès est une série de commandes IOS utilisées pour filtrer les paquets
en fonction des informations trouvées dans l'en-tête du paquet. Par défaut, un routeur n'a aucune
ACL configurée. Cependant, lorsqu'une ACL est appliquée à une interface, le routeur effectue
la tâche supplémentaire d'évaluer tous les paquets réseau lorsqu'ils traversent l'interface pour
déterminer si le paquet peut être transféré.

Une ACL utilise une liste séquentielle d'instructions d'autorisation ou de refus, appelées entrées
de contrôle d'accès (ACE).

Lorsque le trafic réseau passe par une interface configurée avec une ACL, le routeur compare
les informations contenues dans le paquet à chaque ACE, dans un ordre séquentiel, pour
déterminer si le paquet correspond à l'une des ACE. Ce processus est appelé filtrage de paquets
Filtrage de paquets
Le filtrage de paquets contrôle l'accès à un réseau en analysant les paquets entrants et/ou
sortants et en les transmettant ou en les rejetant en fonction de critères donnés. Le filtrage de
paquets peut se produire au niveau de la couche 3 ou de la couche 4.

Les routeurs Cisco prennent en charge deux types d'ACL :

• ACL standard - Les ACL filtrent uniquement au niveau de la couche 3 en utilisant

uniquement l'adresse IPv4 source.
• ACL étendues - Les ACL filtrent au niveau de la couche 3 à l'aide de l'adresse IPv4
source et/ou de destination. Ils peuvent également filtrer au niveau de la couche 4 à
l'aide des ports TCP, UDP et des informations facultatives sur le type de protocole pour
un contrôle plus précis.
ACL numérotées et nommées

▪ ACL numérotées
Les ACL de numéro 1 à 99, ou 1300 à 1999 sont des ACL standard tandis que les ACL de
numéro 100 à 199, ou 2000 à 2699 sont des ACL étendues. On peut voir cette liste en tapant
la commande suivante :

▪ ACL nommées
Les listes de contrôle d'accès nommées sont la méthode préférée à utiliser lors de la
configuration des listes de contrôle d'accès. Plus précisément, les ACL standard et étendues
peuvent être nommées pour fournir des informations sur l'objectif de l'ACL.

Par exemple, nommer une ACL étendue FTP-FILTER est bien mieux que d'avoir une ACL
numérotée 100.

La commande de configuration globale ip access-list est utilisée pour créer une ACL nommée,
comme illustré dans l'exemple suivant.
On peut résumer les règles à suivre pour les ACL nommées comme suit :

- Attribuez un nom pour identifier l'objectif de l'ACL.

- Les noms peuvent contenir des caractères alphanumériques.

- Les noms ne peuvent pas contenir d'espaces ou de ponctuation.

- Il est suggéré d'écrire le nom en MAJUSCULES.

- Des entrées peuvent être ajoutées ou supprimées dans l'ACL.

Fonctionnement de la LCA
Les ACL définissent l'ensemble de règles qui donnent un contrôle supplémentaire pour les
paquets qui entrent dans les interfaces entrantes, les paquets qui transitent par le routeur et les
paquets qui sortent des interfaces sortantes du routeur.

Les ACL peuvent être configurées pour s'appliquer au trafic entrant et au trafic sortant, comme
illustré dans la figure.

Remarque : les ACL n'agissent pas sur les paquets provenant du routeur lui-même.

Lorsqu'une ACL est appliquée à une interface, elle suit une procédure de fonctionnement
spécifique. Lorsque le trafic est entré dans une interface de routeur avec une ACL IPv4 standard
entrante configurée, voici par exemple les étapes opérationnelles utilisée :

▪ Le routeur extrait l'adresse IPv4 source de l'en-tête du paquet.

▪ Le routeur démarre en haut de l'ACL et compare l'adresse IPv4 source à chaque ACE
dans un ordre séquentiel.
▪ Lorsqu'une correspondance est établie, le routeur exécute l'instruction, soit en autorisant
soit en refusant le paquet, et les ACE restantes dans l'ACL, le cas échéant, ne sont pas
analysées.
▪ Si l'adresse IPv4 source ne correspond à aucun ACE dans l'ACL, le paquet est rejeté car
un ACE de refus implicite est automatiquement appliqué à toutes les ACL.
 CONFIGURATION ACLs

Syntaxe ACL IPv4 standard numérotée

Pour créer une ACL standard numérotée, utilisez la commande de configuration globale
suivante :

NB : Utilisez la commande de configuration globale no access-list access-list-number pour

supprimer une ACL standard numérotée.

Syntaxe ACL IPv4 standard nommée

Nommer une ACL facilite la compréhension de sa fonction. Pour créer une ACL standard
nommée, utilisez la commande de configuration globale suivante :

Remarque : utilisez la commande de configuration globale no ip access-list standard access-

list-name pour supprimer une ACL IPv4 standard nommée.

Syntaxe ACL IPv4 étendue numérotée

Les étapes de la procédure de configuration des ACL étendues sont les mêmes que pour les
ACL standard. L'ACL étendue est d'abord configurée, puis elle est activée sur une interface.
Cependant, la syntaxe et les paramètres de la commande sont plus complexes pour prendre en
charge les fonctionnalités supplémentaires fournies par les ACL étendues.

La commande pour appliquer une ACL IPv4 étendue à une interface est la même que la
commande utilisée pour les ACL IPv4 standard.

Remarque : La logique interne appliquée à l'ordre des instructions ACL standard ne s'applique
pas aux ACL étendues. L'ordre dans lequel les états sont saisis lors de la configuration est l'ordre
dans lequel ils sont affichés et traités.
Protocoles et numéros de port
Exemples de configuration de protocoles et de numéros de port

Les listes de contrôle d'accès étendues peuvent filtrer sur différentes options de numéro de port
et de nom de port. Cet exemple configure une ACL étendue 100 pour filtrer le trafic HTTP. Le
premier ACE utilise le nom de port www. Le deuxième ACE utilise le numéro de port 80. Les
deux ACE obtiennent exactement le même résultat.

La configuration du numéro de port est requise lorsqu'aucun nom de protocole spécifique n'est
répertorié, tel que SSH (numéro de port 22) ou HTTPS (numéro de port 443), comme illustré
dans l'exemple suivant.

TCP établi ACL étendu

TCP peut également exécuter des services de pare-feu avec état de base à l'aide du mot-clé
établi TCP. Le mot-clé permet au trafic interne de sortir du réseau privé interne et permet au
trafic de réponse de retour d'entrer dans le réseau privé interne.

Dans l'exemple, l'ACL 120 est configurée pour autoriser uniquement le retour du trafic Web
vers les hôtes internes. La nouvelle ACL est ensuite appliquée en sortie sur l'interface R1
G0/0/0. La commande show access-lists affiche les deux ACL. Notez dans les statistiques de
correspondance que les hôtes internes ont accédé aux ressources Web sécurisées à partir
d'Internet.
 Modifier les ACL
Une fois qu'une ACL est configurée, il peut être nécessaire de la modifier. Les ACL avec
plusieurs ACE peuvent être complexes à configurer. Parfois, l'ACE configuré ne produit pas
les comportements attendus. Pour ces raisons, les ACL peuvent initialement nécessiter un peu
d'essais et d'erreurs pour obtenir le résultat de filtrage souhaité.

Nous avons deux méthodes à utiliser lors de la modification d'une ACL :

- Utiliser un éditeur de texte

- Utiliser les numéros de séquence

Implémenter les ACL

Où placer les ACL ?

Chaque ACL doit être placée là où elle est la plus efficace.

La figure ci-après illustre l'emplacement des listes de contrôle d'accès standard et étendues
dans un réseau d'entreprise. Supposons que l'objectif est d'empêcher le trafic provenant du
réseau 192.168.10.0/24 d'atteindre le réseau 192.168.30.0/24.
Les listes de contrôle d'accès étendues doivent être situées le plus près possible de la source du
trafic à filtrer. De cette façon, le trafic indésirable est refusé à proximité du réseau source sans
traverser l'infrastructure du réseau.

Les listes de contrôle d'accès standard doivent être situées aussi près que possible de la
destination. Si une liste de contrôle d'accès standard a été placée à la source du trafic,
"l'autorisation" ou le "refus" se produira en fonction de l'adresse source donnée, quelle que soit
la destination du trafic.

EXEMPLES D’IMPLEMENTATION D’ACLs DANS LE FIREWALL ASA

➢ Cette configuration d’ACL permet à tous les hôtes du réseau interne de passer à travers
le Firewall ASA
➢ Par défaut, tout autre trafic est refusé, sauf autorisation explicite.
➢ L'ACL empêche les hôtes sur 192.168.1.0/24 d'accéder au réseau 209.165.201.0/27.
➢ Les hôtes internes sont autorisés à accéder à toutes les autres adresses.
➢ Tout autre trafic est implicitement refusé.

➢ L'ACL permet aux hôtes de 192.168.1.0/24 d'accéder au réseau 209.165.201.0/27.

➢ Par défaut, tout autre trafic est refusé, sauf s'il est explicitement autorisé.

➢ L'ACL empêche tous les hôtes internes d'accéder à un service web situé au
209.165.201.29.
➢ Les hôtes internes sont autorisés à accéder à tous les autres services au 209.165.201.29.
➢ Les hôtes internes sont autorisés à accéder à toutes les autres adresses.
➢ Tout autre trafic est implicitement refusé.