Controles Dacces

Listes de contrôle d'accès
ID_présentation © 2008 Cisco Systems, Inc. Tous droits réservés. Informations confidentielles de Cisco 1
Fonctionnement des listes
de contrôle d'accès
Objectif des listes de contrôle d'accès
Qu'est-ce qu'une liste de contrôle d'accès ?
 Par défaut, aucune liste de contrôle d'accès n'est configurée sur les
routeurs. Par conséquent, les routeurs ne filtrent pas le trafic, par défaut.
Le filtrage des paquets
 Le filtrage des paquets, parfois appelé filtrage statique des paquets,
contrôle l'accès à un réseau en analysant les paquets entrants et
sortants et en les transmettant ou en rejetant selon des critères
spécifiques, tels que l'adresse IP source, les adresses IP de destination
et le protocole transporté dans le paquet.
 Un routeur filtre les paquets lors de leur transmission ou de leur refus
conformément aux règles de filtrage.
 Une liste de contrôle d'accès est un ensemble séquentiel d'instructions
d'autorisation ou de refus, appelées entrées de contrôle d'accès (ACE).
Le fonctionnement des listes de contrôle
d'accès
Masques génériques dans les listes de contrôle d'accès
Présentation des masques génériques des
listes de contrôle d'accès
Présentation des masques génériques des
listes de contrôle d'accès (suite)
Exemple
Exemples de masques génériques
Exemples de masques génériques (suite)
Calculer un masque générique
 Le calcul des masques génériques peut être complexe. La méthode

la plus rapide consiste à soustraire le masque de sous-réseau de
255.255.255.255.
Les mots-clés des masques génériques
Des exemples de mots-clés de masques
génériques
Directives sur la création des listes de contrôle d'accès
Directives générales sur la création des
listes de contrôle d'accès
Directives sur la création des listes de contrôle d'accès
Les bonnes pratiques relatives aux listes de
contrôle d'accès
Directives sur l'emplacement des listes de contrôle d'accès
Où placer les listes de contrôle d'accès ?
Où placer les listes de contrôle d'accès ?
(suite)
 Chaque liste de contrôle d'accès doit être placée là où elle aura le plus
grand impact sur les performances. Règles de base :
 Listes de contrôle d'accès étendues : placez les listes de contrôle
d'accès étendues le plus près possible de la source du trafic à
filtrer.
 Listes de contrôle d'accès standard : étant donné que les listes de
contrôle d'accès standard ne précisent pas les adresses de
destination, placez-les le plus près possible de la destination.
 L'emplacement de la liste de contrôle d'accès et donc son type
peuvent aussi dépendre de l'étendue du contrôle de
l'administrateur réseau, de la bande passante des réseaux
concernés et de la facilité de configuration.
L'emplacement d'une liste de contrôle
d'accès standard
 L'administrateur souhaite empêcher le trafic provenant du réseau
192.168.10.0/24 d'atteindre le réseau 192.168.30.0/24.
Listes de contrôle d'accès
IPv4 standard
Configuration des listes de contrôle d'accès IPv4 standard
Syntaxe des listes de contrôle d'accès IPv4
standard numérotées
 Router(config)# access-list access-list-number { deny | permit | remark }
source [ source-wildcard ] [ log ]
Application de listes de contrôle d'accès
IPv4 standard aux interfaces
Application de listes de contrôle d'accès
IPv4 standard aux interfaces (suite)
Exemples de listes de contrôle d'accès IPv4
standard numérotées
Exemples de listes de contrôle d'accès IPv4
standard numérotées (suite)
standard nommées
standard nommées (suite)
Modification des listes de contrôle d'accès IPv4
Méthode 1 : à l'aide d'un éditeur de texte
Méthode 2 : à l'aide de numéros d'ordre
Modification des listes de contrôle d'accès
nommées standard
Vérification des listes de contrôle d'accès
Les statistiques des listes de contrôle
d'accès
Sécurisation des ports VTY à l'aide d'une liste de contrôle d'accès IPv4 standard
La commande access-class
 La commande access-class configurée en mode de configuration de
ligne limite les connexions entrantes et sortantes entre un VTY spécifique
(vers un appareil Cisco) et les adresses renseignées dans une liste de
contrôle d'accès.
Sécurisation des ports VTY à l'aide d'une liste de contrôle d'accès IPv4 standard
Vérification de la sécurité du port VTY
Dépannage des listes de
contrôle d'accès
Traitement des paquets avec les listes de contrôle d'accès
L'énoncé deny any implicite
 Au moins une ACE d'autorisation doit être configurée dans toute liste de contrôle d'accès.
Sinon, tout le trafic est bloqué.
 Pour le réseau sur la figure, l'application de la liste de contrôle d'accès 1 ou 2 à l'interface
S0/0/0 de R1 vers la sortie aura le même effet.
L'ordre des entrées ACE dans une liste de
contrôle d'accès
L'ordre des entrées ACE dans une liste de
contrôle d'accès (suite)
Cisco IOS réorganise les listes de contrôle
d'accès standard
Notez que les instructions figurent dans un ordre différent de celui dans lequel elles ont
été saisies.
Cisco IOS réorganise les listes de contrôle
d'accès standard (suite)
L'ordre dans lequel les ACE standard figurent correspond à la séquence qu'IOS utilise
pour traiter la liste.
Processus de routage et listes de contrôle
d'accès
 À l'entrée d'une trame dans l'interface, le routeur vérifie si l'adresse de couche 2 de
destination correspond à la sienne ou s'il s'agit d'une trame de diffusion.
 Si l'adresse de la trame est acceptée, les informations sur la trame sont éliminées et le
routeur recherche une liste de contrôle d'accès sur l'interface d'entrée.
 Le cas échéant, le paquet est vérifié pour déceler des correspondances avec les
instructions de la liste.
 Si le paquet correspond à une instruction, il est autorisé ou refusé.
 Si le paquet est accepté, il est ensuite comparé aux entrées de la table de routage afin de
déterminer l'interface de destination.
 S'il existe une entrée de table de routage pour la destination, le paquet est alors transmis
à l'interface sortante. Dans le cas contraire, le paquet est abandonné.
 Le routeur vérifie ensuite si l'interface sortante possède une liste de contrôle d'accès. Le
cas échéant, le paquet est vérifié pour déceler des correspondances avec les instructions
de la liste. Si le paquet correspond à une instruction, il est autorisé ou refusé.
 En l'absence d'une liste de contrôle d'accès ou si le paquet est autorisé, ce dernier est
encapsulé dans le nouveau protocole de couche 2 et acheminé par l'interface jusqu'au
périphérique suivant.
Erreurs fréquentes liées aux listes de contrôle d'accès IPv4 standard
Dépannage de listes de contrôle d'accès
IPv4 standard – Exemple 1
IPv4 standard – Exemple 1 (suite)
Politique de sécurité : le réseau 192.168.11.0/24 ne doit pas être
autorisé à accéder au réseau 192.168.10.0/24.
La liste de contrôle d'accès 20 est appliquée à une mauvaise interface et
dans la mauvaise direction. Tout le trafic en provenance de
192.168.11.0/24 est refusé en entrée via l'interface G0/1.
Problème
Politique de
sécurité : seul PC1
est autorisé à
bénéficier de l'accès
à distance SSH à R1.
Solution
Politique de
sécurité : seul PC1
est autorisé à
bénéficier de l'accès
à distance SSH à R1.

Controles Dacces

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Controles Dacces

Transféré par

Droits d'auteur :

Formats disponibles

Listes de contrôle d'accès

 Le calcul des masques génériques peut être complexe. La méthode

Vous aimerez peut-être aussi