Académique Documents
Professionnel Documents
Culture Documents
Version 4.0
Cisco Public
Objectifs
Cisco Public
Cisco Public
1. Conversation TCP
ACL contrle le trafic TCP en fonction du port utilis Les tapes de conversation de TCP:
Cisco Public
1. Conversation TCP
Cisco Public
Fonctionne sur la couche 3 (rseau) du modle OSI; Autorise ou refuse le trafic en fonction:
1. Des adresses IP source et de destination; 2. Du port source, du port de destination; 3. Du protocole des paquets.
Cisco Public
Cisco Public
Compos dune suite dinstructions de contrle de critres analyses squentiellement jusqu ce quil y ait correspondance.
Un routeur na aucune liste de contrle daccs configure par dfaut.
Cisco Public
Cisco Public
Cisco Public
10
Cisco Public
11
Cisco Public
12
Cisco Public
13
Cisco Public
14
Cisco Public
15
Cisco Public
16
Cisco Public
17
2/ On souhaite refuser laccs du trafic Telnet et FTP depuis le rseau 192.168.11.0/24 au rseau 192.168.30.0/24 . Paralllement, les autres types de trafic doivent tre autoriss quitter le rseau 192.168.10.0/24 .
Cisco Public
18
Cisco Public
19
9. Directives gnrales
Cisco Public
20
Cisco Public
21
Cisco Public
22
Le no access-list de cette commande supprime lACL. show access-list affiche une ACL. Remark spcifie une remarque de 100 caractres au maximum.
Cisco Public
23
Cisco Public
24
3. Masque gnrique
Bit 0 de masque gnrique : permet de vrifier la valeur du bit correspondant dans ladresse. Bit 1 de masque gnrique : permet dignorer la valeur du bit correspondant dans ladresse. Masque gnrique= 255.255.255.255 - masque sous rseau Host remplace le masque 0.0.0.0. Un seul hte est conforme.
host 192.168.10.10 remplace 192.168.10.10 0.0.0.0.
Cisco Public
25
3. Masque gnrique
Cisco Public
26
Cisco Public
27
Cisco Public
28
Limite les connexions entrantes et sortantes entre une ligne VTY donne.
Le filtrage du trafic Telnet est une fonction de la liste de contrle daccs IP tendue car il sagit de filtrer le protocole de niveau suprieur. Seules des ACL numrotes peuvent tre appliques aux lignes VTY.
Cisco Public
29
Cisco Public
30
Pour modifier une instruction de milieu ou la supprimer vous devez la supprimer et la recrer.
tape 1. Affichez la liste de contrle : show running-config | include access-list. tape 2. Copier et coller dans un bloc note et la modifier. tape 3. En mode de configuration globale,
Dsactivez la liste de contrle daccs laide de la commande no access-list .
Collez la nouvelle liste de contrle daccs dans la configuration du routeur.
Cisco Public
31
Cisco Public
32
Cisco Public
33
Cisco Public
34
Cisco Public
35
Cisco Public
36
Cisco Public
37
Cisco Public
38
Cisco Public
39
Cisco Public
40
Cisco Public
41
Cisco Public
42
Cisco Public
43
Cisco Public
44
Pour supprimer une ACL tendue nomme, utilisez la commande de configuration globale:
no ip access-list extended nom.
Cisco Public
45
Cisco Public
46
Cisco Public
47
Cisco Public
48
Cisco Public
49
Avantages
Recours un mcanisme dauthentification des utilisateurs ; Gestion simplifie sur les interrseaux de grande taille ; Traitement rduit du routeur requis pour les ACL dans de nombreux cas ; Limitation des ventuelles infractions du rseau par des pirates informatiques ; Cration dun accs utilisateur dynamique via un pare-feu, sans compromettre les autres restrictions de scurit configures.
Cisco Public
50
2. ACL dynamique
Cisco Public
51
2. ACL dynamique
Exemples de listes de contrle daccs dynamiques
Imaginons que vous deviez dfinir une spcification pour un administrateur rseau sur PC1 en vue dobtenir un accs momentan au rseau (192.168.30.0 /24) via le routeur R3. Pour faciliter cette spcification, une liste de contrle daccs dynamique est configure sur linterface srie S0/0/1 du routeur R3.
Cisco Public
52
3. ACL rflexives
Utiliss pour autoriser le trafic IP pour des sessions provenant de leur rseau tout en refusant le trafic IP pour les sessions dont la source est extrieure au rseau.
Principe:
Le routeur examine le trafic sortant. Lorsquil dtecte une nouvelle connexion, il ajoute une entre une ACL provisoire pour autoriser les rponses.
Cisco Public
53
3. ACL rflexives
Les ACL rflexives offrent un filtrage de session plus efficace quune ACL tendue, qui utilise le paramtre established Les ACL rflexives fonctionnent galement pour les protocoles UDP et ICMP, dpourvus de bits de reu (ACK) ou de rinitialisation (RST). Loption established ne fonctionne pas avec les applications qui modifient de manire dynamique le port source pour le trafic de session. Linstruction permit established vrifie uniquement les bits ACK ou RST (rinitialisation) ; elle ignore les adresses source ou de destination. Les ACL rflexives ne sappliquent pas directement une interface. Elles sont imbriques dans une ACL IP tendue nomme applique cette interface. Vous ne pouvez dfinir des ACL rflexives quavec des listes de contrle daccs IP tendues nommes.
Cisco Public
54
3. ACL rflexives
Avantages
Contribuent la protection de votre rseau contre les pirates ; elles peuvent tre incluses dans une dfense pare-feu. Sont une scurit contre la mystification et certaines attaques DoS. Les ACL rflexives sont nettement plus difficiles mystifier car un nombre suprieur de critres de filtrage doit correspondre avant que le passage dun paquet soit autoris. Par exemple, une vrification est opre sur les adresses source et de destination, les numros de port, et pas seulement sur les bits ACK ou RST.
Faciles utiliser par rapport aux ACL de base, les listes de contrle daccs rflexives renforcent le contrle sur les paquets autoriss sur le rseau.
Cisco Public
55
3. ACL rflexives
Cisco Public
56
3. ACL rflexives
Exemple:
Ladministrateur a besoin dune liste de contrle daccs rflexive autorisant le trafic ICMP entrant et sortant, tout en autorisant uniquement le trafic TCP initi lintrieur du rseau. Supposons que tout autre trafic est refus. La liste de contrle daccs rflexive est applique linterface de sortie du routeur R2.
Cisco Public
57
3. ACL rflexives
Cisco Public
58
Avantages:
renforcent le contrle des administrateurs rseau en autorisant ou en refusant laccs aux ressources. permettent aux administrateurs rseau de contrler les messages de journalisation. Les entres des ACL peuvent enregistrer le trafic certains moments de la journe, mais pas tout le temps. Par consquent, les administrateurs peuvent tout simplement refuser laccs sans analyser les nombreux journaux gnrs pendant les heures de pointe.
2006 Cisco Systems, Inc. All rights reserved. Cisco Public
59
Cisco Public
60
tape 1. Dfinissez la plage horaire pour implmenter lACL et nommez la. tape 2. Appliquez la plage horaire la liste de contrle daccs. tape 3. Appliquez la liste de contrle daccs linterface. La plage horaire repose sur lhorloge systme du routeur. La fonction est optimise avec la synchronisation du protocole NTP. Vous pouvez utiliser lhorloge du routeur.
Cisco Public
61
Cisco Public
62
Cisco Public
63
Cisco Public
64
Cisco Public
65
Cisco Public
66
Cisco Public
67
Cisco Public
68
Cisco Public
69