Académique Documents
Professionnel Documents
Culture Documents
d’accès (ACL)
1
Les listes de contrôle d'accès
Sont des listes d'instructions applicables à une interface du routeur pour
L'acceptation et le refus peuvent être fondés sur certaines caractéristiques :
Adresse Source et Adresse de Destination
Protocole Applicatif
filtrent le trafic réseau en commandant aux interfaces d'un routeur
Un routeur examine chaque paquet afin de déterminer s'il doit
l'acheminer ou l'abandonner 2
Les listes de contrôle d'accès
3
Les listes de contrôle d'accès
Sont configurées au niveau du
routeur en vue de contrôler
l'accès à un réseau ou à un sous-
réseau pour :
Limiter le trafic réseau et
accroître les performances
Contrôler le flux de trafic
Fournir un niveau de sécurité
d'accès réseau de base
Déterminer le type de trafic qui
sera acheminé ou bloqué au
niveau des interfaces du
routeur 4
Vérification des paquets
L'ordre des instructions ACL
(Access Control List) est
important
Dès que la plateforme IOS-
CISCO découvre une
correspondance, elle cesse de
vérifier les instructions de
condition
Si une instruction de condition
autorisant l'accès à tout le
trafic est créée, aucune
instruction créée par la suite ne
5
sera vérifiée
Fonctionnement des listes de
contrôle d'accès
Une liste de contrôle d'accès est
un groupe d'instructions
précisant divers facteurs relatifs
aux paquets :
Comment les paquets entrent-ils
par les interfaces d'arrivée ?
Comment sont-ils relayés par le
routeur ?
Comment sortent-ils par les
interfaces de départ du routeur ?
Si aucune des instructions ne correspond au paquet, une instruction
implicite " deny any " interdisant l'accès est imposée
6
Fonctionnement des listes de
contrôle d'accès
7
Configuration de listes de contrôle
d’accès
Créer des listes de contrôle d'accès en mode de configuration globale.
Spécifier un numéro de liste de contrôle d'accès entre 1 et 99 : ACL
standards.
Spécifier un numéro de liste de contrôle d'accès entre 100 et 199 :
ACL étendues.
Sélectionner avec soin et classer logiquement les éléments de la liste
de contrôle d'accès. Préciser les protocoles IP autorisés, tous les
autres protocoles seront refusés.
Sélectionner les protocoles IP à vérifier, les autres protocoles ne
seront pas vérifiés. Plus tard dans la procédure, il sera également
possible d'indiquer un port de destination en option pour plus de
précision.
8
Configuration de listes de contrôle
d’accès
La plupart des protocoles nécessitent deux étapes de base pour
effectuer le filtrage :
la première étape est la création d'une définition de liste de contrôle
d'accès
la seconde, l'application de cette liste à une interface.
Il convient d'identifier chaque liste de protocole en lui attribuant un
numéro unique
10
Les bits de masque générique
les masques génériques et les
masques de sous-réseaux IP
fonctionnent différemment :
les 0 et les 1 du masque de sous-
réseau déterminent les portions
réseau, sous-réseau et hôte de
l'adresse IP correspondante
Les 0 et les 1 du masque générique
déterminent si les bits
correspondants de l'adresse IP
doivent être vérifiés ou ignorés à
des fins de contrôle d'accès
11
La commande any
Travailler avec des représentations décimales de bits de masque
générique peut se révéler fastidieux :
Pour les usages les plus courants de masquage générique, vous pouvez
recourir à des abréviations pour indiquer :
n'importe quelle adresse IP, tapez 0.0.0.0,
puis pour indiquer que la vérification doit ignorer (c.-à-d. autoriser sans
vérifier) toute valeur, tapez les bits de masque générique correspondants
pour cette adresse, qui seraient tous des 1 (c.-à-d. 255.255.255.255).
Exemple : vous souhaitiez préciser qu'une adresse hôte IP sera
13
Les listes de contrôle d'accès
standard
Vous pouvez utiliser les listes de contrôle d'accès standard pour
Router(config)# access-list numéro-liste-d'accès {deny | permit}
14
Vérification des listes de contrôle
d'accès
la commande EXEC show access-list permet d’afficher le contenu de
toutes les listes de contrôle d'accès :
Exemple :
16
Exemple 2 de configuration
bloquer le trafic d'une adresse particulière, 172.16.4.13, et permettre
l'acheminement du trafic de toutes les autres adresses
17
Exemple 3 de configuration
liste de contrôle d'accès est conçue pour bloquer le trafic d'un sous-
réseau particulier, 172.16.4.0, et permettre l'acheminement de tout
autre trafic
18
Les listes de contrôle d'accès
étendues
les listes de contrôle d'accès étendues fournissent une plus grande
gamme de contrôles que les listes d'accès standard
Exemple : vous pouvez utiliser une liste de contrôle d'accès étendue
pour autoriser le trafic Web, mais refuser le trafic FTP ou Telnet en
provenance de réseaux externes
Les listes de contrôle d'accès étendues vérifient les adresses
d'origine et de destination d'un paquet.
Elles peuvent également vérifier des protocoles et des numéros de
port particuliers, ainsi que d'autres paramètres
19
Les listes de contrôle d'accès
étendues
20
Les listes de contrôle d'accès
étendues
La forme complète de la commande access-list est :
operand] [established]
La commande ip access-group lie une liste de contrôle d'accès
une seule liste de contrôle d'accès est permise par interface, par
suivant :
22
Exemple 1 de configuration
un exemple de liste de contrôle d'accès étendue bloquant le trafic FTP
23
Exemple 2 de configuration
Empêche que le trafic
Telnet (eq 23) dont
l'adresse d'origine est
172.16.4.0. soit acheminé
par l'interface E0. Tout le
trafic transmis depuis un
autre point vers une autre
destination peut être
acheminé par cette
interface
24
Les listes de contrôle nommées
permettent d'identifier les listes de contrôle d'accès IP standard et
Elles peuvent être utilisées pour éliminer des entrées individuelles
Cela permet de modifier des listes de contrôle d'accès sans avoir à les
Les listes de contrôle d'accès nommées ne sont pas compatibles avec
version 11.2
25
Les listes de contrôle nommées
Pour nommer une liste de contrôle d'accès, utilisez la commande
suivante :
Router(config)# ip access-list {standard | extended} nom
En mode de configuration de liste de contrôle d'accès, précisez une ou
plusieurs conditions d'autorisation ou de refus. Cela détermine si le
paquet est acheminé ou abandonné.
Router (config {std- | ext-}nacl)# deny {source [masque-générique-source] |
any}
ou
27
Emplacement des listes de contrôle
d'accès
La règle est de placer les
listes de contrôle d'accès
étendues le plus près
possible de la source du
trafic refusé
Étant donné que les listes
de contrôle d'accès
standard ne précisent pas refuser le trafic Telnet ou FTP acheminé par
le routeur A vers le LAN Ethernet commuté
les adresses de
connecté au port E1 du routeur D et autoriser
destination, vous devez le reste de trafic en utilisation une liste de contrôle
les placer le plus près d'accès étendue et la placez la liste de contrôle
d'accès étendue dans le routeur A
possible de la destination 28
Emplacement des listes de contrôle
d'accès
Les listes de contrôle d'accès doivent être utilisées dans les routeurs
pare-feu, lesquels sont souvent placés entre le réseau interne et un
réseau externe, tel qu'Internet
Le routeur pare-feu fournit un point d'isolation qui protège l'ensemble
de la structure du réseau interne
Vous pouvez également utiliser les listes de contrôle d'accès sur un
routeur situé entre deux sections du réseau pour contrôler le trafic
entrant ou sortant d'une section particulière du réseau interne
Pour tirer parti des avantages des listes de contrôle d'accès en
matière de sécurité, vous devez au moins configurer des listes de
contrôle d'accès sur les routeurs périphériques situés aux frontières
29
du réseau
Architecture de pare-feu
Un pare-feu est une
structure située entre un
réseau et le monde
extérieur afin de le
protéger des intrus
les intrus proviennent du
réseau global Internet et Dans cette architecture, le routeur connecté au réseau
des milliers de réseaux Internet (c.-à-d. le routeur externe) force tout le trafic
entrant à passer par la passerelle d'application
distants qu'il
Le routeur connecté au réseau interne
interconnecte
(c.-à-d. le routeur interne) accepte uniquement
les paquets de la passerelle d'application
30
Exercice
31
Exercice
Créer une liste d’accès IP standard qui refusera les paquets de l’hôte
règle stipulant qu’en cas du rejet de tarfic avec une seule adresse
32
Solution
Créer une liste d’accès IP standard qui refusera les paquets de l’hôte
210.93.105.0
Lab-D(config)#access-list 1 deny 192.5.5.2 0.0.0.0
Lab-D(config)#show access-list 1
Stanard IP access-list 1
deny 192.5.5.2
permit any
33
Solution
Placer la liste d’accès dans l’interface appropriée du routeur Lab-D
Lab-D(config)#interface ethernet 0
Test d’accès avec la commande ping à partir du hôte 192.5.5.2
192.5.5.2>ping 210.93.105.2
La commande no ip access-group permet de supprimer la liste d’accès
de l’interface
Lab-D(config-if)#no ip access-group
Lab-D(config-if)#exit
La commande no access-list permet de supprimer la liste d’accès
Lab-D(config)#no access-list 1
34