S35 : CONCEPTS ET

PROTOCOLES DE ROUTAGE

1
ACL
I- ACL
1- Principe fondamental
 Une ACL (Access Control List) est une liste séquentielle de critères
utilisée pour du filtrage des paquets.
 Les ACLs sont capables d'autoriser ou d'interdire des paquets, que ce
soit en entrée ou en sortie.
 Cette liste est parcourue de la première à la dernière instruction jusqu'à
trouver une correspondance.
 Si le paquet répond aux critères d'une instruction, le reste des
instructions est ignoré et le paquet est autorisé ou refusé.
 Si aucune correspondance n'est trouvée dans les critères explicités par
l'administrateur, le paquet est implicitement supprimé.
 Les ACLs permettent ainsi d'autoriser ou d'interdire des trafics en
fonctions de critères tels que les adresses sources et destinations, les
protocoles utilisés et les numéros de ports.
 Une ACL est identifiable par son numéro ou son nom, attribué suivant
le protocole et le type :
 ACL standard (numérotée)
 ACL étendue (numérotée) 2
 ACL nommée (peut être de type standard ou étendue)
 L'avantage principal des ACLs est donc de fournir une base de sécurité réseau
en filtrant les trafics traversant un routeur.
 Le principal inconvénient est malheureusement un traitement supplémentaire à
effectuer pour chaque paquet entrant et/ou sortant du routeur, rallongeant ainsi
à la latence réseau et à la surcharge CPU.
 Chaque liste de contrôle d’accès doit être placée là où elle aura le plus grand
impact sur les performances.
 Les règles de base sont les suivantes :
 Placez les listes de contrôle d’accès étendues le plus près possible de la
source du trafic refusé. Ainsi, le trafic indésirable est filtré sans traverser
l’infrastructure réseau.
 Étant donné que les listes de contrôle d’accès standard ne précisent pas les
adresses de destination, placez-les le plus près possible de la destination.

3
 Quelques précautions sont à prendre en compte lors de la configuration
ou de l'utilisation des ACLs :
 Les instructions sont toujours parcourues de la première à la
dernière, jusqu'à correspondance des critères.
 Si aucune instruction ne correspond au paquet, la dernière instruction
implicite indique alors de supprimer ce paquet (deny any).
 Une ACL appliquée sur une interface mais dont les instructions ne
sont pas configurées n'a pour seule instruction que la dernière qui
bloque tout.
 Tout trafic serait alors interdit.

 Lors de la création des instructions, il faut toujours procéder du plus

précis (exceptions) jusqu'au plus générique.
 Une ACL IP qui interdit un paquet enverra automatiquement un
message ICMP Host Unreachable.
 Une ACL pour un trafic sortant n'affecte pas le trafic originaire du
routeur local.
 La configuration des ACLs se fait en deux parties distinctes, à
savoir : 4
 Création de l'ACL
 Application de l'ACL sur une interface réseau
 2- Types ACL :
A- Listes de contrôle d’accès standard
 Les listes de contrôle d’accès standard permettent d’autoriser et de
refuser le trafic en provenance d’adresses IP source.
 La destination du paquet et les ports concernés n’ont aucune incidence.
Dans cet exemple, tout trafic en provenance du réseau 192.168.30.0/24
est autorisé.
 Compte tenu de l’instruction implicite « deny any » à la fin de la liste,
tout autre trafic est bloqué avec cette liste.
 Les listes de contrôle d’accès standard sont créées en mode de
configuration globale.

B- Listes de contrôle d’accès étendues

 Les listes de contrôle d’accès étendues filtrent les paquets IP en
fonction de plusieurs attributs, dont le type de protocole, l’adresse IP
source, l’adresse IP de destination, les ports TCP ou UDP source, les
ports TCP ou UDP de destination, et les informations facultatives sur le
5
type de protocole pour une meilleure précision du contrôle.
II- Masque générique
 Les instructions utilisées dans les ACLs utilisent les masques génériques
(Wildcard Mask) conjointement à des préfixes réseaux pour identifier
des plages d'adresses.
 Un masque générique est une valeur 32 bits noté sous la forme décimale
pointée (comme les IP et les masques de sous-réseaux), sachant que :
 "0" binaire : Doit correspondre

 "1" binaire : Peut varier

 On observe donc qu'un masque générique est l'inverse binaire d'un

masque de sous-réseaux, ou, du point de vue décimal pointé, est le
complément à 255 du masque de sous-réseau correspondant :

 Par conséquent, un masque générique ne peut prendre que ces valeurs

6
(pour chaque octet) :
 Les masques génériques et les masques de sous-réseau sont différents
dans la mesure où il ne font pas correspondre les chiffres binaires 1 et 0
de manière identique. Les masques génériques respectent les règles
suivantes pour faire correspondre les chiffres binaires 1 et 0 :
 Bit 0 de masque générique : permet de vérifier la valeur du bit
correspondant dans l’adresse.
 Bit 1 de masque générique : permet d’ignorer la valeur du bit

correspondant dans l’adresse.

 Le calcul des masques génériques représente une tâche difficile mais
vous pouvez le faire facilement en soustrayant le masque de sous-réseau
de 255.255.255.255.
 Au niveau syntaxique, deux masques génériques précis (les deux
extrêmes, à savoir tout ou rien) peuvent s'écrire normalement, sous la
forme préfixe/masque générique, ou sous une forme plus conviviale.
 Ces deux exceptions d'écriture sont les suivantes :
 {IP} {0.0.0.0} = host {IP}
7
 {IP} {255.255.255.255} = any
Mots clés de bits de masque générique

8
III- ACL standard
1- Création d’ACL standard numérotée :
La commande de configuration globale access-list définit une liste de
contrôle d’accès standard avec un nombre entre 1 et 99. La version 12.0.1
du logiciel Cisco IOS a étendu cette plage de numérotation de 1300 à 1999
afin de prendre en charge un maximum de 798 listes de contrôle d’accès
standard.
Ces numéros supplémentaires sont appelés des listes de contrôle d’accès
IP élargies.
 Une ACL standard permet d'autoriser ou d'interdire des adresses
spécifiques ou bien un ensemble d'adresses ou de protocoles, sachant
que, dans les instructions d'une ACL standard, on ne peut indiquer que
des adresses sources.
 Ce sont les ACLs les plus simples et, par conséquent, les moins
gourmandes en ressources CPU.
 Elles sont par exemple utilisées pour autoriser ou interdire toute une
plage d'adresses réseaux ou encore pour le filtrage des informations
contenues dans des mises à jour de routage. 9
 Pour configurer une instruction pour une ACL standard pour IP, il faut
utiliser la commande suivante :
Routeur(config)#access-list numéro-liste-accès deny permit remark
source [masque-générique-source] [log]
 Mode de configuration globale
 Si le masque générique n'est pas précisé, le masque générique par défaut
0.0.0.0 est utilisé.
 log permet de garder en mémoire le nombre de paquets correspondant à
l'instruction en cours.
 Le mot clé remark suivi d'un commentaire permet d'indiquer l'utilité de
l‘instruction.
 L'ordre de parcours des instructions dépend de l'ordre dans lequel on a
configuré les instructions. Une nouvelle instruction est donc
obligatoirement ajoutée à la fin de la liste, et il est impossible de
supprimer une instruction particulière.
 Pour toute modification, il est donc conseillé d'utiliser un éditeur de
texte, de copier la liste des instructions de l'ACL devant être modifiée, 10
de supprimer cette ACL sur le routeur, d'éditer les instructions pour faire
les modifications voulues puis de les insérer dans le routeur.
Exemples :
 Pour octroyer le numéro 10 à une liste de contrôle d’accès afin
d’autoriser l’accès au réseau 192.168.10.0 /24, entrez :
R1(config)# access-list 10 permit 192.168.10.0

Supprimer ACL :

11
 2- Application d’ACL standard à un interface:
 Après sa configuration, une liste de contrôle d’accès standard est liée à
une interface à l’aide de la commande ip access-group :
Routeur(config-if)#ip access-group {numéro-liste-accès | nom-liste-accès} {in | out}
 Pour supprimer une liste de contrôle d’accès d’une interface, commencez
par entrer la commande no ip access-group sur l’interface puis la
commande globale no access-list pour la supprimer dans son intégralité.
3- Utilisation d’une ACLpour contrôler l’accès VTY
 Cisco recommande d’utiliser SSH pour toute connexion administrative
aux routeurs et aux commutateurs.
 La restriction de l’accès VTY est une technique vous permettant de

définir les adresses IP avec un accès Telnet au processus d’exécution du

routeur.
 Vous pouvez décider quelle station de travail administrative ou quel
réseau gère le routeur avec une liste de contrôle d’accès et une
instruction access-class sur les lignes VTY.
 Vous pouvez également utiliser cette technique avec SSH pour renforcer12
la sécurité de tout accès administratif.
 On doit prendre en compte les éléments suivants lors de la configuration
de listes de contrôle d’accès sur des lignes VTY :
 Seules des listes de contrôle d’accès numérotées peuvent être
appliquées aux lignes VTY.
 On doit définir les mêmes restrictions sur toutes les lignes VTY car un

utilisateur peut tenter de se connecter à n’importe laquelle.

 La syntaxe de la commande access-class est la suivante :
access-class numéro-liste-accès {in | out}
4- Création d’ACL standard nommée:
 Si vous attribuez un nom à une liste de contrôle d’accès, il vous sera plus
facile d’en comprendre la fonction.
 Par exemple, vous pouvez utiliser NO_FTP pour appeler une liste de
contrôle d’accès refusant le trafic FTP.
 Lorsque vous identifiez une liste de contrôle d’accès par un nom plutôt
qu’un numéro, le mode de configuration et la syntaxe de commande sont
légèrement différents.
13
Exemple :

Configurer une liste de contrôle

d’accès Standard nommée sur le
routeur R1, l’interface convenable
pour empêcher l’hôte 192.168.11.10
d’accéder au réseau 192.168.10.0

14
 La configuration d’une liste de contrôle d’accès est terminée, utilisez
les commandes show du logiciel Cisco IOS pour la vérifier :

4- Edition d’ACL standard nommée:

 Les listes de contrôle d’accès nommées présentent un gros avantage par
rapport aux listes de contrôle d’accès numérotées dans la mesure où
leur édition est plus facile.
 Les listes de contrôle d’accès IP nommées vous permettent de
supprimer des entrées dans une liste d’accès donnée depuis la version
12.3 du logiciel Cisco IOS.
 Utilisez des numéros de séquence pour insérer des instructions
n’importe où dans la liste de contrôle d’accès nommée. Si vous utilisez
une version antérieure du logiciel Cisco IOS, vous pouvez ajouter des
instructions uniquement en bas de la liste de contrôle d’accès nommée.
 Dans la mesure où vous pouvez supprimer des entrées, vous pouvez
modifier la liste de contrôle d’accès sans la supprimer ni la reconfigurer
15
dans son intégralité.
16
III- ACL Étendue :
 Une ACL étendue permet de faire un filtrage plus précis qu'une ACL
standard. En effet, une ACL étendue permet de filtrer en fonction de :
 Protocole utilisé (couche 3 et 4)
 Adresse source
 Adresse de destination
 Numéro de port
 Les listes de contrôle d’accès étendues sont plus souvent utilisées que
les listes de contrôle d’accès standard car elles garantissent un meilleur
contrôle et par conséquent renforcent votre sécurité.
 À l’image des listes de contrôle d’accès standard, les listes de contrôle
d’accès étendues vérifient non seulement les adresses de paquets
source, mais aussi l’adresse de destination, les protocoles et les
numéros de port (ou services).
 La plage de critères est ainsi bien plus grande.
 Une liste de contrôle d’accès étendue peut autoriser le trafic
électronique d’un réseau vers une destination spécifique tout en
17
refusant les transferts de fichiers et la navigation sur le web.
 Le filtrage en fonction du protocole et du numéro de port vous permet
de créer des listes de contrôle d’accès étendues très spécifiques.
 Si vous utilisez le numéro de port approprié, vous pouvez spécifier une
application en configurant le numéro de port ou le nom d’un port
connu.
 Les étapes de configuration sont identiques pour les listes de contrôle
d’accès étendues et pour les listes de contrôle d’accès standard.
 Créez d’abord la liste de contrôle d’accès étendue puis activez-la sur
une interface.
 La syntaxe et les paramètres de commande sont plus complexes car ils
prennent en charge des fonctions supplémentaires fournies par les listes
de contrôle d’accès étendues.

access-list {numéro} {permit | deny} {protocole} {préfixe source} {masque

source} [{opérateur} {opérande}] {préfixe destination} {masque
destination} [{opérateur} {opérande}] [icmp-type] [log] [established]
Established : (Facultatif) Pour le protocole TCP uniquement : indique une 18

connexion établie.
 Mode de configuration globale
 Protocole peut être soit le nom (IP, TCP, UDP, ICMP, IGRP, etc.) Soit
le numéro du Protocole .
 Le couple opérateur/opérande est pour les numéros de ports tcp ou udp
uniquement, et peut être spécifié pour la source et/ou pour la
destination :

 Le paramètre icmp-type ne peut être utilisé que pour le protocole ICMP, et

correspond au nom ou au numéro du type de message ICMP devant être
vérifié.
 Le paramètre established ne peut être utilisé que pour le protocole TCP et
permet de faire correspondre uniquement les sessions TCP déjà établies
(drapeaux ACK, FIN, PSH, RST, SYN ou URG). 19
 Pour l'ordre de parcours ou la modification, les règles sont les mêmes qu'avec
une ACL standard.
 Exemples :

20
21
 Avec les listes de contrôle d’accès étendues, vous pouvez utiliser les
numéros de port, par exemple, ou désigner un port connu par son nom.
Dans l’exemple précédent de liste de contrôle d’accès étendue, les
instructions étaient rédigées comme suit :
 access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq ftp
22
 access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq ftp-data
23
24
III- liste de contrôle d’accès complexes :
 Les listes de contrôle d’accès standard et étendues forment la base des
listes de contrôle d’accès complexes, qui fournissent des fonctions
supplémentaires.
 les trois catégories de listes de contrôle d’accès complexes sont :
 Dynamique (Verrou).

 Réflexive.

 Basée sur le temps

1- liste de contrôle d’accès dynamique :

a- Définition :
 Le verrou est une fonction de sécurité conçue pour filtrer le trafic qui
utilise les listes de contrôle d’accès dynamiques, qu’on appelle parfois
listes de contrôle d’accès de verrou.
 La fonction de verrou est disponible pour le trafic IP uniquement. Les
listes de contrôle d’accès dynamiques dépendent de la connectivité
25
Telnet, de l’authentification (locale ou distante) et des listes de contrôle
d’accès étendues.
 b- Fonctionnement :
 La configuration des listes de contrôle d’accès dynamiques commence
par l’application d’une liste de contrôle d’accès étendue pour bloquer le
trafic traversant le routeur.
 La liste de contrôle d’accès étendue bloque les utilisateurs souhaitant
traverser le routeur tant qu’ils n’utilisent pas Telnet pour se connecter
au routeur et tant qu’ils n’ont pas été authentifiés.
 La connexion Telnet est alors abandonnée et la liste de contrôle d’accès
dynamique à entrée unique est ajoutée à la liste de contrôle d’accès
étendue existante.
 Le trafic est alors autorisé pour une durée déterminée.
 On peut définir des délais d’inactivité et des délais de déconnexion
absolus.

26
 b- Cas d’utilisation :
 Les ACL dynamique sont utilisées :
 Lorsqu’on souhaite qu’un utilisateur distant spécifique ou qu’un
groupe d’utilisateurs distants accède à un hôte sur le réseau, depuis
leurs hôtes distants via Internet.
 Le verrou authentifie l’utilisateur et autorise un accès limité par le
biais du routeur pare-feu pour un hôte ou un sous-réseau et pour
une durée déterminée.
 Lorsqu’on souhaite qu’un sous-ensemble d’hôtes sur un réseau local
puisse accéder à un hôte sur un réseau distant protégé par un pare-
feu. Grâce au verrou, vous pouvez activer l’accès à l’hôte distant
uniquement pour l’ensemble d’hôtes locaux.
 Le verrou exige que les utilisateurs soient authentifiés par un
serveur AAA, TACACS+ ou un autre serveur de sécurité, avant de
permettre à leurs hôtes d’accéder aux hôtes distants.

27
 c- Avantages des ACLs dynamiques :
 Les listes de contrôle d’accès dynamiques présentent les avantages de
sécurité suivants par rapport aux listes de contrôle d’accès étendues
statiques et standard :
 Recours à un mécanisme d’authentification des utilisateurs ;

 Gestion simplifiée sur les inter-réseaux de grande taille ;

 Traitement réduit du routeur requis pour les listes de contrôle

d’accès, dans de nombreux cas ;
 Limitation des éventuelles infractions du réseau par des pirates
informatiques ;
 Création d’un accès utilisateur dynamique via un pare-feu, sans
compromettre les autres restrictions de sécurité configurées.
Exemple :

28
 2- ACL Réflexive :
a- Définition :
 Les listes de contrôle d’accès réflexives imposent au trafic de réponse
issu de la destination d’un paquet sortant connu et récent d’accéder à la
source de ce paquet.
 Elles permettent un meilleur contrôle du trafic que vous autorisez sur le
réseau et augmentent les capacités des listes de contrôle d’accès
étendues.
 Elles sont utilisées pour autoriser le trafic IP pour des sessions
provenant de leur réseau tout en refusant le trafic IP pour les sessions
dont la source est extérieure au réseau.
 Ces listes de contrôle d’accès permettent au routeur de gérer le trafic de
session de manière dynamique.
 Le routeur examine le trafic sortant.
 Lorsqu’il détecte une nouvelle connexion, il ajoute une entrée à une
liste de contrôle d’accès provisoire pour autoriser les réponses.
 Les listes de contrôle d’accès réflexives comprennent uniquement
des entrées provisoires.
 Ces entrées sont créées automatiquement au lancement d’une
nouvelle session IP, par exemple, avec un paquet sortant. 29

 Les entrées sont supprimées automatiquement à la clôture d’une

session.
 Les listes de contrôle d’accès réflexives offrent un filtrage de session
plus efficace qu’une liste de contrôle d’accès étendue, qui utilise le
paramètre established présenté précédemment.
 Bien que de concept comparable au paramètre established, les listes de
contrôle d’accès réflexives fonctionnent également pour les protocoles
UDP et ICMP, dépourvus de bits de reçu (ACK) ou de réinitialisation
(RST).
 L’option established ne fonctionne pas avec les applications qui
modifient de manière dynamique le port source pour le trafic de
session.
 L’instruction permit established vérifie uniquement les bits ACK ou

RST (réinitialisation) ; elle ignore les adresses source ou de

destination.
 Les listes de contrôle d’accès réflexives ne s’appliquent pas
directement à une interface.
 En revanche, elles sont « imbriquées » dans une liste de contrôle
d’accès IP étendue nommée appliquée à cette interface. 30
 b- Avantages
 Les listes de contrôle d’accès réflexives offrent les avantages suivants :
 Elles contribuent à la protection de votre réseau contre les pirates ;
elles peuvent être incluses dans une défense pare-feu.
 Elles sont une sécurité contre la mystification et certaines attaques

DoS.
 Les listes de contrôle d’accès réflexives sont nettement plus
difficiles à mystifier car un nombre supérieur de critères de filtrage
doit correspondre avant que le passage d’un paquet soit autorisé.
 Par exemple, une vérification est opérée sur les adresses source et
de destination, les numéros de port, et pas seulement sur les bits
ACK ou RST.
 Faciles à utiliser par rapport aux listes de contrôle d’accès de base,
les listes de contrôle d’accès réflexives renforcent le contrôle sur les
paquets autorisés sur le réseau.
31
2- Réflexive :

32
2- Réflexive :

33
2- Réflexive :

34
2- Réflexive :

35
2- Réflexive :

36
2- Réflexive :

37
2- Réflexive :

38
2- Réflexive :

39
2- Réflexive :

40