Les Listes de contrôle

d’accès (ACL)

1
 Les listes de contrôle d'accès

Sont des listes d'instructions applicables à une interface du routeur pour

indiquer le type de paquets à accepter et le type à refuser


L'acceptation et le refus peuvent être fondés sur certaines caractéristiques :
 Adresse Source et Adresse de Destination

 Port Source et Port de destination

 Protocole Applicatif


filtrent le trafic réseau en commandant aux interfaces d'un routeur

d'acheminer ou de bloquer des paquets routés


Un routeur examine chaque paquet afin de déterminer s'il doit

l'acheminer ou l'abandonner 2
Les listes de contrôle d'accès

3
 Les listes de contrôle d'accès

Sont configurées au niveau du
routeur en vue de contrôler
l'accès à un réseau ou à un sous-
réseau pour :
 Limiter le trafic réseau et
accroître les performances
 Contrôler le flux de trafic
 Fournir un niveau de sécurité
d'accès réseau de base
 Déterminer le type de trafic qui
sera acheminé ou bloqué au
niveau des interfaces du
routeur 4
 Vérification des paquets

L'ordre des instructions ACL
(Access Control List) est
important

Dès que la plateforme IOS-
CISCO découvre une
correspondance, elle cesse de
vérifier les instructions de
condition

Si une instruction de condition
autorisant l'accès à tout le
trafic est créée, aucune
instruction créée par la suite ne
5
sera vérifiée
 Fonctionnement des listes de
contrôle d'accès

Une liste de contrôle d'accès est
un groupe d'instructions
précisant divers facteurs relatifs
aux paquets :
 Comment les paquets entrent-ils
par les interfaces d'arrivée ?
 Comment sont-ils relayés par le
routeur ?
 Comment sortent-ils par les
interfaces de départ du routeur ?


Si aucune des instructions ne correspond au paquet, une instruction
implicite " deny any " interdisant l'accès est imposée
6
Fonctionnement des listes de
contrôle d'accès

7
 Configuration de listes de contrôle
d’accès

Créer des listes de contrôle d'accès en mode de configuration globale.

Spécifier un numéro de liste de contrôle d'accès entre 1 et 99 : ACL
standards.

Spécifier un numéro de liste de contrôle d'accès entre 100 et 199 :
ACL étendues.

Sélectionner avec soin et classer logiquement les éléments de la liste
de contrôle d'accès. Préciser les protocoles IP autorisés, tous les
autres protocoles seront refusés.

Sélectionner les protocoles IP à vérifier, les autres protocoles ne
seront pas vérifiés. Plus tard dans la procédure, il sera également
possible d'indiquer un port de destination en option pour plus de
précision.
8
 Configuration de listes de contrôle
d’accès

La plupart des protocoles nécessitent deux étapes de base pour
effectuer le filtrage :
 la première étape est la création d'une définition de liste de contrôle
d'accès
 la seconde, l'application de cette liste à une interface.

Il convient d'identifier chaque liste de protocole en lui attribuant un
numéro unique

Router{config}#access-list numéro-liste-accés {permit|deny}

{conditions-de-test)

Router(config-if) # {protocole} access-group numéro-liste-d’accès9

 Les bits de masque générique

Un masque générique est une quantité de 32 bits divisés en quatre
octets contenant chacun 8 bits:
 Un bit 0 de masque générique signifie " vérifier la valeur du bit
correspondant "
 un bit 1 signifie " ne pas vérifier (ignorer) la valeur du bit correspondant "

10
 Les bits de masque générique

les masques génériques et les
masques de sous-réseaux IP
fonctionnent différemment :
 les 0 et les 1 du masque de sous-
réseau déterminent les portions
réseau, sous-réseau et hôte de
l'adresse IP correspondante
 Les 0 et les 1 du masque générique
déterminent si les bits
correspondants de l'adresse IP
doivent être vérifiés ou ignorés à
des fins de contrôle d'accès

11
 La commande any

Travailler avec des représentations décimales de bits de masque
générique peut se révéler fastidieux :

Pour les usages les plus courants de masquage générique, vous pouvez
recourir à des abréviations pour indiquer :
 n'importe quelle adresse IP, tapez 0.0.0.0,
 puis pour indiquer que la vérification doit ignorer (c.-à-d. autoriser sans
vérifier) toute valeur, tapez les bits de masque générique correspondants
pour cette adresse, qui seraient tous des 1 (c.-à-d. 255.255.255.255).

Router(config)# access-list 1 permit 0.0.0.0 255.255.255.255

vous pouvez utiliser ceci :

Router(config)# access-list 1 permit any

12
 La commande host

permet également d'utiliser une abréviation dans le masque générique

de liste de contrôle d'accès lorsque vous souhaitez faire correspondre

tous les bits d'une adresse d'hôte IP complète :


Exemple : vous souhaitiez préciser qu'une adresse hôte IP sera

refusée par une vérification de liste de contrôle d'accès :

 Router(config)# access-list 1 permit 172.30.16.29 0.0.0.0

vous pouvez utiliser ceci :

Router(config)# access-list 1 permit host 172.30.16.29

13
 Les listes de contrôle d'accès
standard

Vous pouvez utiliser les listes de contrôle d'accès standard pour

refuser l'accès à un réseau à tout le trafic, autoriser tout le trafic

issu d'un réseau particulier ou refuser des ensembles de protocoles :


Router(config)# access-list numéro-liste-d'accès {deny | permit}

source [masque-générique-source ] [log]

14
 Vérification des listes de contrôle
d'accès

la commande EXEC show access-list permet d’afficher le contenu de
toutes les listes de contrôle d'accès :

Exemple :

access-list 1 permit 192.5.34.0 0.0.0.255

access-list 1 permit 128.88.0.0 0.0.255.255
access-list 1 permit 36.0.0.0 0.255.255.255
!(Remarque : tous les autres accès sont implicitement refusés.)

La commande ip access-group associe une liste de contrôle d'accès
existante à une interface

Router(config-if)#ip access-group numéro-liste-d'accès {in | out}

15
 Exemple 1 de configuration

la liste de contrôle d'accès permet uniquement l'acheminement du
trafic du réseau d'origine 172.16.0.0

16
 Exemple 2 de configuration

bloquer le trafic d'une adresse particulière, 172.16.4.13, et permettre
l'acheminement du trafic de toutes les autres adresses

17
 Exemple 3 de configuration

liste de contrôle d'accès est conçue pour bloquer le trafic d'un sous-
réseau particulier, 172.16.4.0, et permettre l'acheminement de tout
autre trafic

18
 Les listes de contrôle d'accès
étendues

les listes de contrôle d'accès étendues fournissent une plus grande
gamme de contrôles que les listes d'accès standard

Exemple : vous pouvez utiliser une liste de contrôle d'accès étendue
pour autoriser le trafic Web, mais refuser le trafic FTP ou Telnet en
provenance de réseaux externes

Les listes de contrôle d'accès étendues vérifient les adresses
d'origine et de destination d'un paquet.

Elles peuvent également vérifier des protocoles et des numéros de
port particuliers, ainsi que d'autres paramètres

19
Les listes de contrôle d'accès
étendues

20
 Les listes de contrôle d'accès
étendues

La forme complète de la commande access-list est :  

Router(config)# access-list numéro-liste-d'accès {permit | deny}

protocol source [source-mask] destination [destination-mask] operator

operand] [established]


La commande ip access-group lie une liste de contrôle d'accès

étendue existante à une interface.


une seule liste de contrôle d'accès est permise par interface, par

direction et par protocole. Le format de cette commande est le

suivant :  

Router(config-if)# ip access-group numéro-liste-d'accès {in | out}

21
Les listes de contrôle d'accès
étendues

22
 Exemple 1 de configuration

un exemple de liste de contrôle d'accès étendue bloquant le trafic FTP

23
 Exemple 2 de configuration

Empêche que le trafic
Telnet (eq 23) dont
l'adresse d'origine est
172.16.4.0. soit acheminé
par l'interface E0. Tout le
trafic transmis depuis un
autre point vers une autre
destination peut être
acheminé par cette
interface

24
 Les listes de contrôle nommées

permettent d'identifier les listes de contrôle d'accès IP standard et

étendues par des chaînes alphanumériques plutôt que par la

représentation numérique (1 à 199)


Elles peuvent être utilisées pour éliminer des entrées individuelles

d'une liste de contrôle d'accès particulière


Cela permet de modifier des listes de contrôle d'accès sans avoir à les

éliminer, puis à les reconfigurer


Les listes de contrôle d'accès nommées ne sont pas compatibles avec

les versions de la plate-forme logicielle IOS Cisco antérieures à la

version 11.2
25
 Les listes de contrôle nommées

Pour nommer une liste de contrôle d'accès, utilisez la commande
suivante :
Router(config)# ip access-list {standard | extended} nom


En mode de configuration de liste de contrôle d'accès, précisez une ou
plusieurs conditions d'autorisation ou de refus. Cela détermine si le
paquet est acheminé ou abandonné.
Router (config {std- | ext-}nacl)# deny {source [masque-générique-source] |
any}

ou

Router (config {std- | ext-}nacl)# permit {source [masque-générique-source]

| any}
26
Les listes de contrôle nommées

27
 Emplacement des listes de contrôle
d'accès

La règle est de placer les
listes de contrôle d'accès
étendues le plus près
possible de la source du
trafic refusé

Étant donné que les listes
de contrôle d'accès
standard ne précisent pas refuser le trafic Telnet ou FTP acheminé par
le routeur A vers le LAN Ethernet commuté
les adresses de
connecté au port E1 du routeur D et autoriser
destination, vous devez le reste de trafic en utilisation une liste de contrôle
les placer le plus près d'accès étendue et la placez la liste de contrôle
d'accès étendue dans le routeur A
possible de la destination 28
Emplacement des listes de contrôle
d'accès

Les listes de contrôle d'accès doivent être utilisées dans les routeurs
pare-feu, lesquels sont souvent placés entre le réseau interne et un
réseau externe, tel qu'Internet

Le routeur pare-feu fournit un point d'isolation qui protège l'ensemble
de la structure du réseau interne

Vous pouvez également utiliser les listes de contrôle d'accès sur un
routeur situé entre deux sections du réseau pour contrôler le trafic
entrant ou sortant d'une section particulière du réseau interne

Pour tirer parti des avantages des listes de contrôle d'accès en
matière de sécurité, vous devez au moins configurer des listes de
contrôle d'accès sur les routeurs périphériques situés aux frontières
29
du réseau
 Architecture de pare-feu

Un pare-feu est une
structure située entre un
réseau et le monde
extérieur afin de le
protéger des intrus

les intrus proviennent du
réseau global Internet et Dans cette architecture, le routeur connecté au réseau
des milliers de réseaux Internet (c.-à-d. le routeur externe) force tout le trafic
entrant à passer par la passerelle d'application
distants qu'il
Le routeur connecté au réseau interne
interconnecte
(c.-à-d. le routeur interne) accepte uniquement
les paquets de la passerelle d'application

30
Exercice

31
 Exercice

Créer une liste d’accès IP standard qui refusera les paquets de l’hôte

192.5.5.2 à destination des hôtes du réseau 210.93.105.0 et qui

autorisera le trafic à partir de tous les autres réseaux. Appliquer la

règle stipulant qu’en cas du rejet de tarfic avec une seule adresse

d’origine, la liste d’accès doit être aussi proche que possible de la

destination bloquée afin que les autres destinations ne soient pas

égalent bloquées par inadvertance. Comme la source du trafic est

192.5.5.2. l’emplacement le meilleur pour la liste d’accès doit se

trouver sur le routeur Lab-D (E0 sortie)

32
 Solution

Créer une liste d’accès IP standard qui refusera les paquets de l’hôte

192.5.5.2 à destination des hôtes du réseau 210.93.105.0 et qui

autorisera le trafic à partir de tous les autres hôtes vers le réseau

210.93.105.0
Lab-D(config)#access-list 1 deny 192.5.5.2 0.0.0.0

Lab-D(config)#access-list 1 permit any

Lab-D(config)#show access-list 1

Stanard IP access-list 1

deny 192.5.5.2

permit any
33
 Solution

Placer la liste d’accès dans l’interface appropriée du routeur Lab-D
Lab-D(config)#interface ethernet 0

Lab-D(config-if)#ip access group 1 out


Test d’accès avec la commande ping à partir du hôte 192.5.5.2
192.5.5.2>ping 210.93.105.2


La commande no ip access-group permet de supprimer la liste d’accès
de l’interface
Lab-D(config-if)#no ip access-group

Lab-D(config-if)#exit


La commande no access-list permet de supprimer la liste d’accès
Lab-D(config)#no access-list 1
34