Académique Documents
Professionnel Documents
Culture Documents
PROTOCOLES DE ROUTAGE
1
ACL
I- ACL
1- Principe fondamental
Une ACL (Access Control List) est une liste séquentielle de critères
utilisée pour du filtrage des paquets.
Les ACLs sont capables d'autoriser ou d'interdire des paquets, que ce
soit en entrée ou en sortie.
Cette liste est parcourue de la première à la dernière instruction jusqu'à
trouver une correspondance.
Si le paquet répond aux critères d'une instruction, le reste des
instructions est ignoré et le paquet est autorisé ou refusé.
Si aucune correspondance n'est trouvée dans les critères explicités par
l'administrateur, le paquet est implicitement supprimé.
Les ACLs permettent ainsi d'autoriser ou d'interdire des trafics en
fonctions de critères tels que les adresses sources et destinations, les
protocoles utilisés et les numéros de ports.
Une ACL est identifiable par son numéro ou son nom, attribué suivant
le protocole et le type :
ACL standard (numérotée)
ACL étendue (numérotée) 2
ACL nommée (peut être de type standard ou étendue)
L'avantage principal des ACLs est donc de fournir une base de sécurité réseau
en filtrant les trafics traversant un routeur.
Le principal inconvénient est malheureusement un traitement supplémentaire à
effectuer pour chaque paquet entrant et/ou sortant du routeur, rallongeant ainsi
à la latence réseau et à la surcharge CPU.
Chaque liste de contrôle d’accès doit être placée là où elle aura le plus grand
impact sur les performances.
Les règles de base sont les suivantes :
Placez les listes de contrôle d’accès étendues le plus près possible de la
source du trafic refusé. Ainsi, le trafic indésirable est filtré sans traverser
l’infrastructure réseau.
Étant donné que les listes de contrôle d’accès standard ne précisent pas les
adresses de destination, placez-les le plus près possible de la destination.
3
Quelques précautions sont à prendre en compte lors de la configuration
ou de l'utilisation des ACLs :
Les instructions sont toujours parcourues de la première à la
dernière, jusqu'à correspondance des critères.
Si aucune instruction ne correspond au paquet, la dernière instruction
implicite indique alors de supprimer ce paquet (deny any).
Une ACL appliquée sur une interface mais dont les instructions ne
sont pas configurées n'a pour seule instruction que la dernière qui
bloque tout.
Tout trafic serait alors interdit.
8
III- ACL standard
1- Création d’ACL standard numérotée :
La commande de configuration globale access-list définit une liste de
contrôle d’accès standard avec un nombre entre 1 et 99. La version 12.0.1
du logiciel Cisco IOS a étendu cette plage de numérotation de 1300 à 1999
afin de prendre en charge un maximum de 798 listes de contrôle d’accès
standard.
Ces numéros supplémentaires sont appelés des listes de contrôle d’accès
IP élargies.
Une ACL standard permet d'autoriser ou d'interdire des adresses
spécifiques ou bien un ensemble d'adresses ou de protocoles, sachant
que, dans les instructions d'une ACL standard, on ne peut indiquer que
des adresses sources.
Ce sont les ACLs les plus simples et, par conséquent, les moins
gourmandes en ressources CPU.
Elles sont par exemple utilisées pour autoriser ou interdire toute une
plage d'adresses réseaux ou encore pour le filtrage des informations
contenues dans des mises à jour de routage. 9
Pour configurer une instruction pour une ACL standard pour IP, il faut
utiliser la commande suivante :
Routeur(config)#access-list numéro-liste-accès deny permit remark
source [masque-générique-source] [log]
Mode de configuration globale
Si le masque générique n'est pas précisé, le masque générique par défaut
0.0.0.0 est utilisé.
log permet de garder en mémoire le nombre de paquets correspondant à
l'instruction en cours.
Le mot clé remark suivi d'un commentaire permet d'indiquer l'utilité de
l‘instruction.
L'ordre de parcours des instructions dépend de l'ordre dans lequel on a
configuré les instructions. Une nouvelle instruction est donc
obligatoirement ajoutée à la fin de la liste, et il est impossible de
supprimer une instruction particulière.
Pour toute modification, il est donc conseillé d'utiliser un éditeur de
texte, de copier la liste des instructions de l'ACL devant être modifiée, 10
de supprimer cette ACL sur le routeur, d'éditer les instructions pour faire
les modifications voulues puis de les insérer dans le routeur.
Exemples :
Pour octroyer le numéro 10 à une liste de contrôle d’accès afin
d’autoriser l’accès au réseau 192.168.10.0 /24, entrez :
R1(config)# access-list 10 permit 192.168.10.0
Supprimer ACL :
11
2- Application d’ACL standard à un interface:
Après sa configuration, une liste de contrôle d’accès standard est liée à
une interface à l’aide de la commande ip access-group :
Routeur(config-if)#ip access-group {numéro-liste-accès | nom-liste-accès} {in | out}
Pour supprimer une liste de contrôle d’accès d’une interface, commencez
par entrer la commande no ip access-group sur l’interface puis la
commande globale no access-list pour la supprimer dans son intégralité.
3- Utilisation d’une ACLpour contrôler l’accès VTY
Cisco recommande d’utiliser SSH pour toute connexion administrative
aux routeurs et aux commutateurs.
La restriction de l’accès VTY est une technique vous permettant de
14
La configuration d’une liste de contrôle d’accès est terminée, utilisez
les commandes show du logiciel Cisco IOS pour la vérifier :
connexion établie.
Mode de configuration globale
Protocole peut être soit le nom (IP, TCP, UDP, ICMP, IGRP, etc.) Soit
le numéro du Protocole .
Le couple opérateur/opérande est pour les numéros de ports tcp ou udp
uniquement, et peut être spécifié pour la source et/ou pour la
destination :
20
21
Avec les listes de contrôle d’accès étendues, vous pouvez utiliser les
numéros de port, par exemple, ou désigner un port connu par son nom.
Dans l’exemple précédent de liste de contrôle d’accès étendue, les
instructions étaient rédigées comme suit :
access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq ftp
22
access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq ftp-data
23
24
III- liste de contrôle d’accès complexes :
Les listes de contrôle d’accès standard et étendues forment la base des
listes de contrôle d’accès complexes, qui fournissent des fonctions
supplémentaires.
les trois catégories de listes de contrôle d’accès complexes sont :
Dynamique (Verrou).
Réflexive.
26
b- Cas d’utilisation :
Les ACL dynamique sont utilisées :
Lorsqu’on souhaite qu’un utilisateur distant spécifique ou qu’un
groupe d’utilisateurs distants accède à un hôte sur le réseau, depuis
leurs hôtes distants via Internet.
Le verrou authentifie l’utilisateur et autorise un accès limité par le
biais du routeur pare-feu pour un hôte ou un sous-réseau et pour
une durée déterminée.
Lorsqu’on souhaite qu’un sous-ensemble d’hôtes sur un réseau local
puisse accéder à un hôte sur un réseau distant protégé par un pare-
feu. Grâce au verrou, vous pouvez activer l’accès à l’hôte distant
uniquement pour l’ensemble d’hôtes locaux.
Le verrou exige que les utilisateurs soient authentifiés par un
serveur AAA, TACACS+ ou un autre serveur de sécurité, avant de
permettre à leurs hôtes d’accéder aux hôtes distants.
27
c- Avantages des ACLs dynamiques :
Les listes de contrôle d’accès dynamiques présentent les avantages de
sécurité suivants par rapport aux listes de contrôle d’accès étendues
statiques et standard :
Recours à un mécanisme d’authentification des utilisateurs ;
28
2- ACL Réflexive :
a- Définition :
Les listes de contrôle d’accès réflexives imposent au trafic de réponse
issu de la destination d’un paquet sortant connu et récent d’accéder à la
source de ce paquet.
Elles permettent un meilleur contrôle du trafic que vous autorisez sur le
réseau et augmentent les capacités des listes de contrôle d’accès
étendues.
Elles sont utilisées pour autoriser le trafic IP pour des sessions
provenant de leur réseau tout en refusant le trafic IP pour les sessions
dont la source est extérieure au réseau.
Ces listes de contrôle d’accès permettent au routeur de gérer le trafic de
session de manière dynamique.
Le routeur examine le trafic sortant.
Lorsqu’il détecte une nouvelle connexion, il ajoute une entrée à une
liste de contrôle d’accès provisoire pour autoriser les réponses.
Les listes de contrôle d’accès réflexives comprennent uniquement
des entrées provisoires.
Ces entrées sont créées automatiquement au lancement d’une
nouvelle session IP, par exemple, avec un paquet sortant. 29
DoS.
Les listes de contrôle d’accès réflexives sont nettement plus
difficiles à mystifier car un nombre supérieur de critères de filtrage
doit correspondre avant que le passage d’un paquet soit autorisé.
Par exemple, une vérification est opérée sur les adresses source et
de destination, les numéros de port, et pas seulement sur les bits
ACK ou RST.
Faciles à utiliser par rapport aux listes de contrôle d’accès de base,
les listes de contrôle d’accès réflexives renforcent le contrôle sur les
paquets autorisés sur le réseau.
31
2- Réflexive :
32
2- Réflexive :
33
2- Réflexive :
34
2- Réflexive :
35
2- Réflexive :
36
2- Réflexive :
37
2- Réflexive :
38
2- Réflexive :
39
2- Réflexive :
40