Vous êtes sur la page 1sur 17

29/09/08

Les listes de contrle daccs


ACLs

Introduction
La securit informatique compte actuellement parmi les sujets les plus importants. Laccroissement dInternet a introduit des vulnrabilits au sein des rseaux. Anciennement les entreprises ntaient pas connectes lInternet ce qui les isolait des attaques externes Tous les services se partageaient les informations.

29/09/08

Introduction
Les routeurs peuvent tre utiliss dans le cadre dune stratgie de scurit des rseaux. Ils utilisent pour cela des listes de contrle daccs Ces listes dfinissent des rgles qui permettent dempcher certains paquets de circuler sur le rseau. Cela peut aller de linterdiction dun membre de la socit daccder une machine particulire ou encore dviter que des pirates immobilisent votre serveur web, ftp ou e-commerce.
3

Dfinition
Les ACLs pour IP permettent un routeur de supprimer certains paquets en fonction de critres dfinis par lingnieur de rseau. Le but des ACLs, aussi appels filtres est de protger le rseau de tout trafic indsirable, quil provienne de lextrieur (pirates) ou de lintrieur.
4

29/09/08

Prsentation
Les ACLs (Access Control List) permettent de filtrer des paquets suivant des critres dfinis par l'utilisateur Sur des paquets IP, il est ainsi possible de filtrer les paquets entrants ou sortants d'un routeur en fonction

De l'IP source De l'IP destination ... Standard : uniquement sur les IP sources Etendue : sur quasiment tous les champs des en-ttes IP, TCP et UDP

Il existe 2 types d'ACL


Exemple
Bob ne doit pas tre autoris accder au Serveur 1

29/09/08

Exemple
La logique de filtrage pourrait tre configure sur nimporte laquelle des interfaces des routeurs. Quel est le routeur le plus appropri?

Exemple
Le logiciel IOS de Cisco applique la logique de filtrage soit larrive dun paquet, soit lorsquil sort Il associe donc une ACL une interface spcifiquement pour le trafic entrant ou sortant. Aprs avoir choisi le routeur pour lACL, il faut donc choisir linterface.
8

29/09/08

Fonctionnement

Suite de lexemple
Nous avons donc encore deux choix:
Filtrer les paquets de Bob destins au serveur 1 lorsquils entrent sur linterface S1de R1 Filtrer les paquets de Bob destins au serveur 1 lorsquils quittent linterface E0 sur R1.

10 Vous pouvez filtrer la fois pour le trafic entrant et sortant sur chaque interface

29/09/08

Caractristiques essentielles des ACLs


Les paquets peuvent tre filtrs lorsquils entrent sur une interface, avant la dcision de routage Les paquets peuvent tre filtrs en sortant aprs la dcision de routage LIOS de Cisco emploie le mot cl deny pour signifier que les paquets doivent tre rejets LIOS de Cisco emploie le mot cl permit pour signifier que les paquets doivent tre autoriss La logique de filtrage est configure dans les ACLs Une instruction implicite indiquant quil faut rejeter tout le trafic (deny all) est incluse la fin de chaque ACL
11

Fonctionnement
Il est possible de rsumer le fonctionnement des ACL de la faon suivante :
Le paquet est vrifi par rapport au 1er critre dfini S'il vrifie le critre, l'action dfinie est applique Sinon le paquet est compar successivement par rapport aux rgles suivantes

S'il ne satisfait aucun critre, l'action deny est applique

12

29/09/08

Suite de lexemple
On pourrait crer une ACL sur R1 et lappliquer son interface S1 afin de contrler les paquets qui proviennent de Bob. Elle devra tre active pour les paquets entrants

13

Fonctionnement
Une ACL implique un traitement en deux tapes:
Matching : recherche de correspondance Action: application de la rgle

Lors dune correspondance, deux actions possibles:


Permit Deny
14

29/09/08

Suite de lexemple
Notre ACL pour Bob
Rechercher les paquets dont ladresse IP source est celle de BOB et ladresse IP destination est celle de Serveur 1 et les supprimer. Transmettre tous les autres paquets.

15

La recherche de correspondance
Le matching: Le masque gnrique
Pour spcifier quelle partie de ladresse est examiner, CISCO utilise le masque gnrique (wildcard mask) Un masque gnrique ressemble un masque de rseau mais na pas la mme fonction et le mme comportement
Les bits 0 signifient que le routeur doit comparer ces bits Les bits 1 signifient que le routeur ne doit pas tenir compte de ces bits (dont care bits)
16

29/09/08

La recherche de correspondance
Exemples:
0.0.0.0 : tous les bits de ladresse doivent tre examins 0.0.0.255: Seuls les 3 premiers octets sont examins 255.255.255.255 : ladresse na pas besoin dtre examine. Tous les bits sont censs correspondre demble et sont donc ignors. 0.0.15.255: Les 20 premiers bits sont examins 0.0.3.255: Les 22 premiers bits sont examins

17

Configuration des ACLs standard pour IP


Dfinition d'une rgle access-list number [deny|permit] source [sourcewildcard]
Number compris entre 1 et 99 ou entre 1300 et 1999 pour les ACLs standard

access-list number remark text : Activation d'une ACL sur une interface ip access-group [ number | name [ in | out ] ] Visualiser les ACL show access-lists [ number | name ] : toutes les ACL quelque soit l'interface show ip access-lists [ number | name ] : les ACL uniquement lis au protocole IP
18

29/09/08

Exemple 1/3

access-list 1 deny 172.16.3.10 0.0.0.0 Refuse les paquets d'IP source 172.16.3.10 Le masque (galement appel wildcard mask) signifie ici que tous les bits de l'adresse IP sont significatifs access-list 1 permit 0.0.0.0 255.255.255.255 Tous les paquets IP sont autoriss Le masque 255.255.255.255 signifie qu'aucun bit n'est significatif
19

Exemple 2/3

Une notation amliore est possible pour remplacer le masque 255.255.255.255 qui dsigne une machine: Utilisation du terme host 0.0.0.0 avec le wildcard masque 255.255.255.255 qui dsigne tout le monde Utilisation du terme any

20

10

29/09/08

Exemple 3/3

21

Bob, vous de jouer


ACL standard sur R1 empchant Bob datteindre Serveur1 (Interface E0)

Stoppe aussi l'accs aux autres serveurs

22

11

29/09/08

Configuration des ACLs tendues pour IP


Les ACLS tendues (extended IP ACLS) prsentent la fois des points communs et des diffrences avec les ACLS standard
Entrant / sortant et mme squencement de fonctionnement Les Ex ACL peuvent demander au routeur dexaminer plusieurs champs den tte IP la fois.

23

Configuration des ACLs tendues pour IP

Les extended ACL permettent de filtrer des paquets en fonction de l'adresse de destination IP Du type de protocole (TCP, UDP, ICMP, IGRP, IGMP, ...) Port source Port destination

...
24

12

29/09/08

Configuration des ACLs tendues pour IP

25

Configuration des ACLs tendues pour IP

26

13

29/09/08

Configuration des ACLs tendues pour IP


access-list number { deny | permit } protocol source sourcewildcard destination dest.-wildcard number : compris entre 100 et 199 ou 2000 et 2699 access-list 101 deny ip any host 10.1.1.1

Refus des paquets IP destination de la machine 10.1.1.1 et provenant de n'importe quelle source
access-list 101 deny tcp any gt 1023 host 10.1.1.1 eq 23

Refus de paquet TCP provenant d'un port source > 1023 et destination du port 23 de la machine d'IP 10.1.1.1
access-list 101 deny tcp any host 10.1.1.1 eq http

Refus des paquets TCP destination du port 80 de la machine d'IP 10.1.1.1


27

Bob tendu
Refuser Bob laccs tous les serveurs ftp joignable via linterface Ethernet de R1 et Larry na pas le droit de se connecter au serveur web du serveur 1. Reste autoris

28

14

29/09/08

Les ACLs nommes


Identifie par un nom et non par un numro Supporte la suppression dinstructions individuelles
Une ACL numrot peut tre compos de nombreuses rgles. La seule faon de la modifier et de faire no accesslist number puis de la redfinir Avec les ACL nommes, il est possible de supprimer qu'une seule ligne au lieu de toute l'ACL

29

Les ACLs nommes


Sa dfinition se fait de la manire suivante
Router(config)# ip access-list extended bart Router(config-ext-nacl)# deny tcp host 10.1.1.2 eq www any Router(config-ext-nacl)# deny ip 10.1.1.0 0.0.0.255 any Router(config-ext-nacl)# permit ip any any

Pour supprimer une des lignes, il suffit de refaire un


ip access-list extended bart

Puis un
no deny ip 10.1.1.0 0.0.0.255 any

30

15

29/09/08

Cas dutilisation pour ladministrateur


Le contrle du telnet
Pour utiliser une ACL dans le but de controler l'accs au telnet (donc au vty):
access-class number { in | out }

31

Les ACLs en production


La cration, la mise jour, le debuggage ncessitent beaucoup de temps et de rigeur dans la syntaxe Il est donc conseill : De crer les ACL l'aide d'un diteur de texte et de faire un copier/ coller dans la configuration du routeur Placer les extended ACL au plus prs de la source du paquet que possible pour le dtruire le plus vite possible Placer les ACL standard au plus prs de la destination sinon, vous risquez de dtruire un paquet trop top Rappel : les ACL standard ne regardent que l'IP source Placer la rgle la plus spcifique en premier Avant de faire le moindre changement sur une ACL, dsactiver sur l'interface concern celle-ci (no ip access-group)

32

16

29/09/08

access-list number [deny|permit] source [sourcewildcard]

access-list number remark text : Activation d'une ACL sur une interface ip access-group [ number | name [ in | out ] ]

Number compris entre 1 et 99 ou entre 1300 et 1999 pour les ACLs standard

access-list number { deny | permit } protocol source sourcewildcard destination dest.-wildcard number : compris entre 100 et 199 ou 2000 et 2699 access-list 101 deny ip any host 10.1.1.1

Refus des paquets IP destination de la machine 10.1.1.1 et provenant de n'importe quelle source Refus de paquet TCP provenant d'un port source > 1023 et destination du port 23 de la machine d'IP 10.1.1.1

access-list 101 deny tcp any gt 1023 host 10.1.1.1 eq 23

33

17