Acl 3

Chapter 7: ACL (Access Control List)
ACL
• Introduction:
La sécurité du réseau est un sujet de taille. Ceci dit, la compréhension
approfondie des listes de contrôle d'accès est l'une des principales
compétences requises chez un administrateur réseau.
Les concepteurs de réseaux utilisent des pare-feu pour protéger les réseaux
de toute utilisation non autorisée.
Sur un Routeur Cisco, vous pouvez configurer un pare-feu simple, qui
assurera les fonctions de base de filtrage du trafic à l'aide de listes de
contrôle d'accès.
Les administrateurs utilisent des listes de contrôle d'accès pour Bloquer le
trafic ou n‘Autoriser qu'un trafic spécifique sur leurs réseaux.
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 2
ACL
• Qu'est-ce qu'une liste de contrôle d'accès ?

Les listes de contrôle d’accès sont des instructions qui expriment une liste
de règles, imposées par l’opérateur, donnant un contrôle supplémentaire
sur les paquets Reçus et Transmis par le routeur.
Les listes de contrôle d’accès sont capables d’Autoriser ou d’Interdire des
paquets, que ce soit en entrée ou en sortie vers une destination.
Elles opèrent selon un ordre séquentiel et logique, en évaluant les paquets à
partir du début de la liste d’instructions. Si le paquet répond au critère de
la première instruction, il ignore le reste des règles et il est Autorisé ou
Refusé.
ITE PC v4.0
ACL
Elles limitent le trafic réseau pour accroître les performances réseau. Par
exemple, vous pouvez configurer et appliquer des ACL pour Bloquer le
trafic vidéo sur le réseau. Ainsi, la charge réseau est nettement réduite et
les performances réseau sont sensiblement améliorées.
Elles fournissent un niveau de sécurité de base pour l'accès réseau. Les ACL
permettent à un hôte d'accéder à une section du réseau tout en empêchant
un autre hôte d'y avoir accès. Par exemple, l'accès au réseau du
département Ressources humaines peut être limité aux utilisateurs
autorisés.
Elles filtrent le trafic en fonction de son type. Ainsi, une liste de contrôle
d'accès peut Autoriser le trafic des E-mails, mais Bloquer tout le trafic
Telnet.
ITE PC v4.0
ACL
Lorsque le routeur détermine s'il doit Acheminer ou Bloquer un paquet, la
plate-forme logicielle Cisco IOS examine le paquet en fonction de chaque
instruction de condition dans l'ordre dans lequel les instructions ont été
créées.
Si le paquet arrivant à l’interface du routeur satisfait à une condition, il est
Autorisé ou Refusé (suivant l’instruction) et les autres instructions ne sont
pas vérifiées.
Si un paquet ne correspond à aucune instruction dans l’ACL, le paquet est
Jeté. Ceci est le résultat de l’instruction implicite Deny Any à la fin de
chaque ACL.
ITE PC v4.0
ACL
• Conversation TCP:
Les listes de contrôle d'accès permettent aux administrateurs de Contrôler le
trafic Entrant et Sortant d'un réseau. Il peut tout simplement s'agir
d‘Autoriser ou de Refuser le trafic en fonction des adresses réseau ou bien
d'atteindre des objectifs plus complexes, notamment contrôler le trafic
réseau en fonction du port TCP demandé.
Lorsqu'un Client demande des données à un Serveur Web, le protocole IP
gère les communications entre le PC (source) et le Serveur (destination).
Le protocole TCP gère les communications entre le navigateur Web
(application) et le logiciel du serveur réseau.
Lorsque vous envoyez un E-mail, consultez une page Web ou Téléchargez
un fichier, le protocole TCP se charge de répartir les données en segments
pour IP avant leur envoi.
ITE PC v4.0
ACL
• Filtrage des paquets:
Le filtrage des paquets, parfois appelé filtrage statique des paquets, contrôle
l'accès à un réseau en analysant les paquets Entrants et Sortants et en les
Transmettant ou en Rejetant selon des critères spécifiques, tels que l‘@ IP
source, les @ IP de destination et le protocole Transporté dans le paquet.
Lorsqu'un paquet arrive sur un routeur de filtrage des paquets, le routeur
extrait certaines informations de l'en-tête de paquet. Celles-ci lui
permettent de décider si le paquet peut être Acheminé ou Non en fonction
des règles de filtre configurées. Le filtrage des paquets peut fonctionner
sur différentes couches du modèle OSI ou sur la couche Internet du
modèle TCP/IP.
ITE PC v4.0
ACL
Un routeur peut également effectuer le filtrage des paquets au niveau de la
couche 4, la couche Transport. Le routeur peut filtrer les paquets en
fonction des Ports source et de destination du segment TCP ou UDP.
Une ACL est un ensemble séquentiel d'instructions d‘Autorisation ou de
Refus, appelées Entrées de Contrôle d‘Accès (ACE). Les ACE sont
couramment appelées des instructions de liste de contrôle d'accès.
Pour évaluer le trafic réseau, une ACL extrait les informations suivantes de
l'en-tête de paquet de couche 3 :
@ IP Source, @ IP de Destination, Type de Message ICMP
Une ACL peut également extraire des informations de couche supérieure à
partir de l'en-tête de couche 4, notamment :
Port source TCP/UDP, Port de destination TCP/UDP
ITE PC v4.0
ACL
• Fonctionnement des listes de contrôle d'accès:
Les ACL définissent des règles de contrôle pour les paquets Arrivant par les
Interfaces d‘Entrée, passant par le Routeur et atteignant leur destination
par les Interfaces de Sortie. Elles ne gèrent pas les paquets provenant du
Routeur lui-même.
ITE PC v4.0
ACL
• Types de listes de Contrôle d‘Accès IPv4:
Il existe 3 types de liste de contrôle d’accès : les ACLs Standards, les ACLs
Etendues et les ACLs Nommées.
Les ACLs Standards utilisent des spécifications d’adresses simplifiées et
Autorisent ou Refusent un ensemble de protocole.
Les ACLs Etendues utilisent des spécifications d’adresses plus complexes et
Autorisent ou Refusent des protocoles précis.
Les ACLs Nommées peuvent être soit Standards, soit Etendues ; elles n’ont
pour but que de faciliter la compréhension et de connaître la finalité de
l’ACL.
ACL Standard : Uniquement sur les IP sources :Named et Numbered 1-99
ACL Etendue : Sur quasiment tous les champs des en-têtes IP, TCP et UDP
Named et Numbered 100-199
ITE PC v4.0
ACL
• Assignation des ACLs aux interfaces

Les listes de contrôle d'accès sont affectées à une ou plusieurs interfaces et
peuvent filtrer du trafic Entrant ou Sortant, selon la configuration.
Une seule liste de contrôle d'accès est permise par port, par protocole et par
direction, c’est-à-dire qu’on ne peut pas par exemple définir deux ACLs
sur l’interface f0/0 pour le trafic IP sortant. Par contre, on peut définir
deux ACLs pour le trafic IP mais, une pour le trafic Entrant et l’autre
pour le trafic Sortant…
ITE PC v4.0
ACL
• Exemple:
ITE PC v4.0
ACL
Permettre à 10.10.10.2 d'accéder à Internet (Permit) et Refuser à 10.10.10.3

d'accéder à Internet ou de communiquer avec 10.10.10.4 (Deny).
Au moment que 10.10.10.2 veut accéder à Internet l'ACL vérifie sur sa liste
s'il est autorisé ou non.
• Remarque :
Toute liste ACL comprend Deny Any par défaut. (Refuser à toutes autres)
Le Pc 10.10.10.4 n'est pas autorisé à franchir le Routeur.
ITE PC v4.0
ACL
Règle 1:
Toute liste ACL doit comprendre au moins une ligne Permit.
Où se situe l'ACL?
L'ACL se situe sur une des interfaces du Routeur soit IN soit OUT.
Il faut placer l'ACL sur le chemin du trafic de telle manière à vérifier les accès.
Règle 2:
Chaque interface d’un Routeur peut supporter deux ACL(IN et OUT)
ITE PC v4.0
ACL
• Règle 3:
L'ACL standard ne peut contrôler que deux ensembles : l'adresse IP source et

une partie de l'adresse IP destination, au moyen de masque générique.
Autoriser ou Refuser tout le trafic à partir d'un certain hôte.
Dans une ACL Numérotée, on ne peut jamais ajouter une ligne au

milieu de la liste ou modifier une ligne, à moins d’annuler toute la liste.
ITE PC v4.0
ACL
• Standared ACL :Numbered 1-99
Exemple 1:
1. Permettre au Pc 10.10.10.2 d'accéder à Internet

2. Bloquer le reste du réseau vers Internet.
ITE PC v4.0
ACL
•Question:
Quel est le meilleur Endroit pour placer la liste ACL?
•Réponse:
Elle peut se placer sur f0/0 ou sur s0/0 mais de préférence sur f0/0 pour
éviter un routage non nécessaire.
• Configuration:
ITE PC v4.0
ACL
• Exemple 2:
ITE PC v4.0
ACL
• Problème:
On désire protéger le Serveur.
1. Le Pc 192.168.1.2 peut voir le Serveur mais le reste du réseau ne le
peut pas.
2. Le réseau 172.16.0.0 n'est pas Autorisé à voir le Serveur mais il peut
voir les autre réseaux.
3. Il existe un autre réseau d'@ inconnue qui peut voir le Serveur.
• Règle 4:
ITE PC v4.0
ACL
• Configuration:
• Application de l’ACL au niveau de l’interface de sortie e2:
ITE PC v4.0
ACL
• Standared Named ACL:
ITE PC v4.0
ACL
•Configuration:
ITE PC v4.0
ACL
•Extended Numbered ACL
Une liste de contrôle d’accès Etendue permet de faire un filtrage plus
précis qu’une liste Standard, elle permet également d’effectuer un filtrage
en fonction du protocole, du timing, sur le routage…
Extended ACL
Numbered 100-199
Named
ITE PC v4.0
ACL
• Les ACL étendues les plus répondus:
ITE PC v4.0
ACL
• Remarque:
La dernière ligne dans l'ACL Etendue doit être Deny any any.
ITE PC v4.0
ACL
• Exemple:
Empêcher le Host 192.168.1.2 de faire Telnet sur le Serveur 192.168.4.2
ITE PC v4.0
ACL
• Extended Named ACL
• Remarque:
La liste ACL Nommée est plus flexible que celle Numérotée
Pour voir l'état de la liste :
ITE PC v4.0
ACL
• Gestion des Routeurs par Telnet:
1. Routage OSPF (Tout le réseau dans Area 0)
2. Configuration de Telnet sur tous les Routeurs
ITE PC v4.0
ACL
• Seuls les Admin du réseau 10.10.10.0 qui peuvent faire Telnet sur les
autres routeurs. A condition d'être sur site et non ailleurs .
• Configuration Telnet:
• Configuration Access-list:
• Même configuration sur tous les autres routeurs.
ITE PC v4.0
ACL
• Mac-Access-Liste:
On peut aussi faire une liste ACL sur les Switch à travers les @ Mac.
• Remarque: Une ACL des @ Mac est seulement du type Etendue et
Nommée.
ITE PC v4.0
ACL
• Configuration
ITE PC v4.0
ACLv6
• Listes de contrôle d'accès IPv6

Les listes de contrôle d'accès IPv6 sont très semblables aux listes de
contrôle d'accès IPv4, tant dans leur fonctionnement que dans leur
configuration. Si vous connaissez déjà les listes d'accès IPv4, vous
n'aurez aucun mal à comprendre et à utiliser les listes IPv6.
Il existe deux types de listes de contrôle d'accès IPv4, les listes de contrôle
d'accès Standard et Etendues. Ces deux types de liste peuvent être
numérotés ou nommés.
ITE PC v4.0
ACLv6
• En revanche, il n'existe qu'un seul type de liste de contrôle d'accès IPv6 et
il correspond à une liste de contrôle d'accès étendue IPv4 nommée. Les
listes de contrôle d'accès IPv6 numérotées n'existent pas. Pour résumer,
les listes de contrôle d'accès IPv6 présentent les caractéristiques
suivantes :
1. Elles sont nommées uniquement
2. Leur fonctionnalité équivaut à celle d'une liste de contrôle d'accès IPv4
étendue
3. Une liste de contrôle d'accès IPv4 et une liste de contrôle d'accès IPv6
ne peuvent pas porter le même nom.
ITE PC v4.0
ACLv6
• Application d'une liste de contrôle d'accès IPv6:
La commande ip access-group permet d'appliquer une liste de contrôle
d'accès IPv4 à une interface IPv4. IPv6 utilise la commande ipv6 traffic-
filter pour effectuer la même tâche sur les interfaces IPv6.
• Aucun masque générique:
IPv6 n'utilisent pas de masques génériques. Au lieu de cela, la longueur de
préfixe est utilisée pour indiquer dans quelle mesure l'adresse IPv6 source
ou de destination doit correspondre.
• Instructions supplémentaires par défaut:
Il existe également une instruction implicite deny ipv6 any any similaire
dans IPv4 à la fin de chaque liste de contrôle d'accès IPv6.
Dans le cas d'IPv6, deux autres instructions implicites sont appliquées par
défaut :
ITE PC v4.0
ACLv6
• Exemple 1:
ITE PC v4.0
ACLv6
1-Refuser le trafic FTP vers le serveur 2001:2222:2::2/64
2-Seul les machines du réseau 2001:eee:1::/64 peuvent naviguer sur http et
https du serveur.
3-Autoriser aux machines du réseau 2001:eee:1::/64 de faire un Ping sur le
réseau 2001:2222:2::/64
1-
ITE PC v4.0
ACLv6
2-
3-
Interface de sortie de l’ACL
ITE PC v4.0
ACLv6
• Exemple 2:
ITE PC v4.0
ACLv6
1-Refuser au Host 2001:456::3 de faire Ping sur le Serveur.
2-Refuser au Host 2001:456::2 de naviguer sur http sur le Serveur.
1-
2-
Interface de sortie de l’ACL
ITE PC v4.0
ACLv6
• Exemple 3:
ITE PC v4.0
ACLv6
1-Refuser l'accés Telnet depuis PC1 vers tous les routeurs.

2-Refuser l'accés au Serveur de fichier (FTP) depuis le réseau 192.168.1.0
3-Refuser l'accés au Serveur Web (http) depuis le réseau 192.168.2.0
Refuser tous les autres Trafic.
4-Refuser l'envoi de Ping depuis le Pc2 vers le réseau 192.168.2.0
Autoriser le reste.
ITE PC v4.0
ACLv6
1-
2-
4-
3-
ITE PC v4.0
ACLv6
Exemple 4:
ITE PC v4.0
ACLv6
• ACL Standard
log:list 1 permitted 0 10.10.12.2 -> 224.0.0.5, 1 packet (Message de Log

provenant du message Hello du Protocole OSPF chaque 10s. Pour éviter
une surcharge sur le routeur, les message Log sera envoyer chaque 5min)
ITE PC v4.0
ACLv6
(UUUU:signifie que le Ping n'a pas abouti)
(.....:signifie que Echo Request a abouti mais Echo Reply a échoué)

(Le protocole ICMP présente deux messages:EchoRequest et Echo Reply
donc la réponse de R3 au Ping de R1sera bloquée par l'ACL)
ITE PC v4.0
ACLv6
Numéro de Séquence
• Remarque2:
U:signifie que la destination est impossible c.-à-d. qu'il existe un Firewall

(ACL) sur R1.
ITE PC v4.0
ACLv6
Par mesure de sécurité R1peut cacher cette Liste (ACL) comme si elle
n'existait pas:
Maintenant:
....:signifie R1 n'a pas répondu à R3.
ITE PC v4.0
ACLv6
• Remarque3:
Si on désire annuler une ligne de la liste ACL Standard alors toute la liste
disparait.
Il faut aussi annuler la liste sous l'interface pour éliminer toute sa trace.
ITE PC v4.0
ACLv6
• ACL Extended
1er cas:
Permit Telnet et Deny Ping de R1 sur R2.
ITE PC v4.0
ACLv6
2cas:
Permit Ping et Deny Telnet de R3 sur R2.
ITE PC v4.0
ACLv6
• Remarque1:
Si on supprime la ligne:
Alors:
ITE PC v4.0
ACLv6
• ACL nommée:
ITE PC v4.0
ACLv6
• Pour effacer une ligne:
ITE PC v4.0
ACLv6
• Si on veut ajouter une ligne:
ITE PC v4.0
ACLv6
• Remarque:
On peut supprimer une ligne sans perdre la liste dans une ACL Numérotée
au moyen d'une ACL Nommée.
On a:
ITE PC v4.0
ACLv6
Si on rajoute une ligne:
ITE PC v4.0
ACLv6
• Remarque:
Si on désire que seul R1peut faire Telnet sur R2:
• Remarque:
Si on désire empêcher R2 de faire Telnet seulement sur R1:
ITE PC v4.0
Dépannage
• Access List 1:
ITE PC v4.0
Dépannage
Un administrateur tente de faire Ping et Telnet du Commutateur au Routeur.
Switch> ping 10.4.4.3
U.U.U
success rate is 0 percent (0/5)
SwitchC> telnet 10.4.4.3
Trying 10.4.4.3
% Destination unreachable; gateway or host down
• Question 1
Comment pouvons-nous résoudre le problème du Ping tout en désactivant
Telnet?
A - attribuer correctement une adresse IP à l'interface fa0 /1
B - Modifier la commande ip access-group sur fa0/0 de "in" pour "out"
C - Supprimer l'accès groupe 106 à partir de l'interface fa0 /0 et ajouter l'accès-groupe 115.
D - Supprimer l'accès-groupe 102 à partir de l'interface s0/0/0 et ajouter l'accès-groupe 114
E - Supprimer l'accès-groupe 106 à partir de l'interface fa0/0 et ajouter l'accès-groupe 104
ITE PC v4.0
Dépannage
• Question 2
Qu'est-ce qui se passera après l'émission de la commande "ip access-group
114" à l'interface Fa0 /0?
A - Les tentatives de telnet au routeur échouerait
B - Tout le trafic du réseau 10.4.4.0 serait permit de passer
C - trafic TCP et UDP ne sont pas autorisés à passer
D - mises à jour du protocole de routage pour le réseau 10.4.4.0
ne serait pas accepté de l'interface Fa0 /0
• Question 3
A la sortie de l'accès-liste 114: access-list 114 permis ip 10.4.4.0 0.0.0.255 nous
pouvons facilement comprendre que cette liste d'accès autorise tout le trafic (ip) à
partir de 10.4.4.0/24 réseau.
Qu'est-ce qui se passera après l'émission de la commande "access-group 115" sur le s0 /0/1
interface?
A - Les hôtes peuvent se connecter au routeur via s0 /0/1
B - Telnet et ping fonctionnerait, mais les mises à jour de routage échoueraient.
C - FTP, FTP-DATA, l'écho et le trafic HTTP fonctionnerait, mais telnet échouerait
D - Seul le trafic du réseau 10.4.4.0 passerait à travers l'interface
ITE PC v4.0
Thank you

Acl 3

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Acl 3

Transféré par

Droits d'auteur :

Formats disponibles

Chapter 7: ACL (Access Control List)

• Qu'est-ce qu'une liste de contrôle d'accès ?

• Assignation des ACLs aux interfaces

Permettre à 10.10.10.2 d'accéder à Internet (Permit) et Refuser à 10.10.10.3

Chaque interface d’un Routeur peut supporter deux ACL(IN et OUT)

L'ACL standard ne peut contrôler que deux ensembles : l'adresse IP source et

Autoriser ou Refuser tout le trafic à partir d'un certain hôte.

Dans une ACL Numérotée, on ne peut jamais ajouter une ligne au

1. Permettre au Pc 10.10.10.2 d'accéder à Internet

• Application de l’ACL au niveau de l’interface de sortie e2:

• Les ACL étendues les plus répondus:

• Même configuration sur tous les autres routeurs.

• Listes de contrôle d'accès IPv6

Interface de sortie de l’ACL

Interface de sortie de l’ACL

1-Refuser l'accés Telnet depuis PC1 vers tous les routeurs.

log:list 1 permitted 0 10.10.12.2 -> 224.0.0.5, 1 packet (Message de Log

(UUUU:signifie que le Ping n'a pas abouti)

(.....:signifie que Echo Request a abouti mais Echo Reply a échoué)

U:signifie que la destination est impossible c.-à-d. qu'il existe un Firewall

....:signifie R1 n'a pas répondu à R3.

Vous aimerez peut-être aussi