Vous êtes sur la page 1sur 22

Les ACLs

Les listes de contrle daccs


A quoi a sert Comment a marche ACL standard ou tendue Les masques gnriques (Wildcard Masks) La configuration des ACLs.

ACL - A quoi a sert


Ajoute les fonctions de firewall au routeur
School backbone
Email Server DNS server Application Server Library Server Admin. Server

Wan (Internet) 10.1.112.0

E0

Router

E1

10.1.128.0

10.1.112.0

Contrler le trafic lintrieur dun rseau local Contrler le trafic depuis lextrieur (WAN) vers lintrieur d un rseau local

ACL - Comment a marche


Filtre les paquets en utilisant des lments des couches 3 (adresses IP) et 4 (numros de port des applications) de TCP-IP ; Par dfaut, une liste de contrle non paramtre refuse tous les accs.

Router

Quelle adresse ?

192.168.10.3

OK, circulez !

Le paramtrage de lACL dcide quel hte ou groupe dhte peut (permit) ou ne peut pas (deny) transiter par le routeur.

ACL - Comment a marche (2)


Les ACLs sont cres en mode de configuration globale. Elles doivent ensuite tre affecte un (ou plusieurs) ports.

Router

Grce aux masques gnriques (wildcard mask), le contrle peut sappliquer un rseau, un sous-rseau, un hte ou une catgorie dhtes. Ne contrle pas les paquets mis par le routeur lui-mme.

Les paramtres In et Out


(Inbound-Outbound)

Par dfaut, ce paramtre est configur sur out (vers le rseau) Le paramtre In (vers le routeur) ou Out se place sur linterface laquelle on veut appliquer la liste daccs

In/Out
Internet

E0

Router

S0

Quel port choisir


Deux solutions pour bloquer A vers B
ACL 1 Deny A Attribut ACL 1 linterface E0 in B
E1

A
E0
Router

C
Internet

S0

ACL 1 Deny A Attribut ACL 1 linterface E1 out

ACL standard ou tendue ?


Les listes de contrles standards filtrent laccs :
partir de ladresse source uniquement .

Les listes de contrle tendues peuvent filtrer laccs :


selon ladresse de source et de destination ; selon les types de protocole de transport (TCP, UDP) et le numro de port (couche application).

Les types de liste daccs


LACL sapplique au protocole rout choisi

Permission ou refus
Par dfaut, ds quune liste daccs est cre, elle refuse le passage tout ce qui nest pas spcifiquement autoris De faon implicite (cela napparat pas la ligne de commande) la liste de contrle daccs se termine par linstruction refuse tout (deny any). En gnral, ladministrateur devrait donner des permissions (permit) plutt que des interdictions (deny).

Les masques gnriques


(Wildcard Masks)
Utiliss pour identifier les cibles des ACLs. Dans la ligne suivante :
Router (config)# access-list 11 deny 192.168.18.0 0.0.0.255

Le masque gnrique indique que laccs est refus tous les postes du rseau 192.168.18.0.

Les masques gnriques (2)


Addresse

1100 0000 . 1010 1000 . 0001 0010 . 0000 0000 0000 0000 . 0000 0000 . 0000 0000 . 1111 1111
Masque gnrique Inverse du MSR

Router (config)# access-list 11 permit 192.168.18.0 0.0.0.255

Les 0 signifient que le nombre doit tre pris en compte (match). Les 1 indiquent que le nombre doit tre ignor. Dans ce cas, lnonc ignore tout ce qui concerne la partie hte de ladresse.

Les masques gnriques (3)


Addresse

1100 0000 . 1010 1000 . 0001 0010 . 0000 0000 0000 0000 . 0000 0000 . 0000 0000 . 1111 1110
Masque gnrique Router (config)# access-list 11 permit 192.168.18.0 0.0.0.254

Ici, lnonc ignore tout ce qui concerne la partie hte de ladresse, sauf le dernier bit. Tous les htes pairs du rseau se voient autoriser laccs.

Les masques gnriques (4)


Addresse

1100 0000 . 1010 1000 . 0001 0010 . 0000 0101 0000 0000 . 0000 0000 . 0000 0000 . 0000 0000
Masque gnrique Router (config)# access-list 11 permit 192.168.18.5 0.0.0.0

Avec ce masque, les 32 bits de ladresse doivent tre prises en compte (rseau et hte) Dans ce cas, lhte 192.168.18.5 est le seul se voir autoriser laccs.

Les masques gnriques (5)


Router (config)# access-list 11 permit any

Autorise laccs tous


(0.0.0.0 255.255.255.255)

Router (config)# access-list 11 host 192.168.16.1

Autorise laccs pour le poste 192.168.16.1 uniquement (192.168.16.1 0.0.0.0)

Les lignes de commandes


Refuse tout accs aux membres du rseau 192.168.128.0 vers toutes les destinations
Router (config)# access-list 101 deny ip 192.168.128.0 0.0.0.255 any Router (config)# access-list 101 permit ip any any

Applique les restrictions daccs linterface E1 vers lintrieur


Router (config)# int e1 Router (config-if)# ip access-group 101 in

Les lignes de commandes


Autorise laccs au Web aux postes dsigns
(10.1.128.1 10.1.128.254)
Router (config)# access-list 102 permit tcp 10.1.128.0 0.0.0.255 host 10.1.96.0 eq 80

Applique les restrictions daccs linterface E0 vers lintrieur


Router (config)# int e0 Router (config-if)# ip access-group 102 in

Les lignes de commandes


Refuse tout accs depuis toutes les sources vers toutes les destinations
Router (config)# access-list 103 deny ip any any

Applique les restrictions daccs linterface S0 vers lintrieur


Router (config)# int s0 Router (config-if)# ip access-group 103 in

Autres lignes de commandes


La mention established autorise les retours pour les applications qui fonctionnent double sens (Bit de Ack sur 1)
permit tcp any eq 80 192.168.10.0 255.255.255.0 gt 1000 established

Les mentions, lt, gt, eq, neq sont des oprateurs logiques utiliss pour autoriser les accs par type d application.
permit tcp host 10.14.72.10 host 192.168.10.3 lt 1024

La mention range
permit tcp host 10.14.72.10 range 1024 1072 host 192.168.10.3 range 1024 1072

Les lignes de commandes


La commande show interface permet de voir si une liste de contrile daccs est active. La commande show access-list permettent de vrifier le contenu des listes de contrle daccs.

Les 6 rgles des ACLs


Une seule ACL par direction, par interface et par protocole. Toute ACL se termine par une exclusion globale. ACL IP standard (1-99) et tendue (100-199) Par dfaut, lACL sapplique sur la sortie (out). Les ACLs standards sont prs de la destination. Les ACLs tendues sont prs de la source. Les ACLs ne sappliquent pas aux paquets gnrs par les routeurs.

Les autres fonctions des ACLs


Identification des paquets pour priorisation et contrle des listes dattentes ; Meilleur contrle des mises jour des tables de routage ; Contrle dynamique des accs sur le trafic IP avec processus dauthentification des utilisateurs (lock and key features) ; Identification des paquets pour encryption ; Contrle des accs Telnet au routeur ; Contrle daccs au DDR (Dial-on-Demand Routing).