Vous êtes sur la page 1sur 69

Listes de Contrle daccs

Accs au rseau tendu-Chapitre5

Version 4.0

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

Objectifs

Expliquer le rle des ACLs dans la scurit des entreprises.


Configurer des ACLs standards. Configurer des ACLs tendues.

Dcrire les listes de contrle daccs complexes sur un rseau.


Implmenter, Vrifier et Dpanner les problmes des ACLs dun rseau dentreprise.

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

I. Utilisation des ACL pour scuriser un rseau

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

1. Conversation TCP
ACL contrle le trafic TCP en fonction du port utilis Les tapes de conversation de TCP:

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

1. Conversation TCP

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

2. Filtrage des paquets

Fonctionne sur la couche 3 (rseau) du modle OSI; Autorise ou refuse le trafic en fonction:

1. Des adresses IP source et de destination; 2. Du port source, du port de destination; 3. Du protocole des paquets.

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

2. Filtrage des paquets


Exemple: interdire un hte B daccder au service web seulement et permettre lhte A daccder au service web seulement.

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

3. Quest-ce quune liste de contrle daccs?


Script de configuration de routeur contrlant lautorisation ou le refus de passage des paquets.

Compos dune suite dinstructions de contrle de critres analyses squentiellement jusqu ce quil y ait correspondance.
Un routeur na aucune liste de contrle daccs configure par dfaut.

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

3. Quest-ce quune liste de contrle daccs?


Utilisez des ACL sur les routeurs pare-feu entre votre rseau interne et un rseau externe, par exemple Internet. Utilisez des ACL sur un routeur situ entre deux sections dun rseau contrler le trafic entrant ou sortant . Configurez des ACL sur les routeurs priphriques fournir une protection de base contre le rseau externe ou entre une zone plus sensible et une zone moins contrle de votre rseau. Configurez des ACL pour tout protocole rseau configur sur les interfaces de routeur priphrique. LACL filtre le trafic entrant, sortant ou les deux. Configurer une ACL par protocole, par direction et par interface . LACL permet daccrotre les performances rseau et Scuriser les accs aux rseaux internes. Limite le type de trafic autoris (vido, routage,..) et les services utiliss.

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

3. Quest-ce quune liste de contrle daccs?

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

10

3. Quest-ce quune liste de contrle daccs?

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

11

4. Fonctionnement des ACLs


Les ACL ne grent pas les paquets provenant du routeur lui-mme. Listes de contrle daccs entrantes sapplique au paquet reu avant le routage. Listes de contrle daccs sortantes sapplique au paquet reu aprs le routage. Les instructions dune ACL sont appliques au paquet reu dans un ordre squentiel. si vous dfinissez une ACL entrante pour filtrer le trafic, il est recommand dinclure des instructions explicites pour autoriser les mises jour de routage.

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

12

4. Fonctionnement des ACLs

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

13

5. Types des ACLs


Listes de contrle daccs standard
Permettent dautoriser et de refuser le trafic en provenance dadresses IP source.

Listes de contrle daccs tendues


Filtrent les paquets IP en fonction du protocole, ladresse IP source, ladresse IP de destination, les ports TCP/UDP source, les ports TCP/UDP de destination.

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

14

6. Cration dune ACL standard


tape 1 Cration de lACL en spcifiant un n 0 99 ou un nom de liste et des conditions daccs. tape 2. Application de lACL aux interfaces ou aux lignes du terminal la plus proche de lmetteur.

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

15

7. Numrotation et attribution des noms aux ACLs standards


Les ACL numrotes sont pratiques sur des rseaux de petite taille. Leur nombre est limit et elles ne sont pas significatives. On ne peut les modifier.
Les ACL nommes sont utilises depuis la version 11.2 de Cisco IOS. Pas de limite quant leur nombre. On peut les modifier. Les numros 200 1299 sont ignors pour les ACL numrotes car ils sont utiliss par dautres protocoles. Les numros 600 699 sont utiliss par AppleTalk, et les numros 800 899 par IPX.

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

16

7. Numrotation et attribution des noms aux ACLs standards

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

17

8. Positionnement des ACLs


LACL doit tre place l o elle aura le plus grand impact sur les performances. LACL standard est place le plus proche de la destination. LACL tendue est place le plus proche de la source du trafic refus. Exemple:
1/ On souhaite empcher laccs du trafic provenant du rseau 192.168.10.0/24 au rseau 192.168.30.0/24.

2/ On souhaite refuser laccs du trafic Telnet et FTP depuis le rseau 192.168.11.0/24 au rseau 192.168.30.0/24 . Paralllement, les autres types de trafic doivent tre autoriss quitter le rseau 192.168.10.0/24 .

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

18

8. Positionnement des ACLs

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

19

9. Directives gnrales

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

20

II. Configuration des ACL standards

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

21

1. Saisie des instructions de critres


Une ACL doit comporter au moins une instruction dautorisation, sans quoi tout le trafic est bloqu. Une ACL doit contenir des critres du moins gnral au plus gnral.

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

22

Syntaxe de cration dune ACL:

2. Configuration dune ACL standard


Routeur(config)#access-list numro-liste-accs deny /permit
remark source [masque-gnrique-source] [log]

Exemple: access-list 2 deny 192.168.10.1

access-list 2 permit 192.168.10.0 0.0.0.255


access-list 2 deny 192.168.0.0 0.0.255.255 access-list 2 permit 192.0.0.0 0.255.255.255

Le no access-list de cette commande supprime lACL. show access-list affiche une ACL. Remark spcifie une remarque de 100 caractres au maximum.

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

23

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

24

3. Masque gnrique
Bit 0 de masque gnrique : permet de vrifier la valeur du bit correspondant dans ladresse. Bit 1 de masque gnrique : permet dignorer la valeur du bit correspondant dans ladresse. Masque gnrique= 255.255.255.255 - masque sous rseau Host remplace le masque 0.0.0.0. Un seul hte est conforme.
host 192.168.10.10 remplace 192.168.10.10 0.0.0.0.

Any remplace ladresse IP et le masque 255.255.255.255.

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

25

3. Masque gnrique

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

26

4. Application des ACLs standars aux interfaces


Syntaxe:
Routeur(config-if)#ip access-group {numro-liste-accs | nom-listeaccs} {in | out} Pour supprimer une ACL dune interface: 1. Entrer la commande no ip access-group sur linterface 2. Entrer la commande globale no access-list pour la supprimer.

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

27

4. Application des ACLs standars aux interfaces

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

28

4. Application des ACLs standars aux interfaces VTY


Syntaxe:
access-class numro-liste-accs {in [vrf-also] | out}

Limite les connexions entrantes et sortantes entre une ligne VTY donne.
Le filtrage du trafic Telnet est une fonction de la liste de contrle daccs IP tendue car il sagit de filtrer le protocole de niveau suprieur. Seules des ACL numrotes peuvent tre appliques aux lignes VTY.

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

29

4. Application des ACLs standars aux interfaces VTY

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

30

5. dition des listes de controle daccs numrotes


LACL standard permet lajout la fin de la liste.

Pour modifier une instruction de milieu ou la supprimer vous devez la supprimer et la recrer.
tape 1. Affichez la liste de contrle : show running-config | include access-list. tape 2. Copier et coller dans un bloc note et la modifier. tape 3. En mode de configuration globale,
Dsactivez la liste de contrle daccs laide de la commande no access-list .
Collez la nouvelle liste de contrle daccs dans la configuration du routeur.

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

31

5. dition des listes de controle daccs numrotes

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

32

6. Cration des listes de controle daccs standard nommes


Elles sont significatives. On peut les modifier sans les supprimer depuis la version 12.3 de Cisco IOS. Utilisez des numros de squence pour insrer des instructions nimporte o dans la liste de contrle daccs nomme. Si vous utilisez une version antrieure du logiciel Cisco IOS, vous pouvez ajouter des instructions uniquement en bas de la liste de contrle daccs nomme.

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

33

6. Cration des listes de controle daccs standard nommes

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

34

7. Contrle et vrification des listes de controle daccs


Vrifier lACL avant de lutiliser

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

35

8. dition des listes de controle daccs nommes


Prsence de Nde lignes dans la liste Webserver Insertion dune ligne numrote dans la liste.

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

36

III. Configuration des ACL tendues

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

37

1. Listes de controle daccs tendues


Utilisez des ACL tendues et numrotes entre 100 et 199, 2000 et 2699. Maximum de 799 listes de contrle daccs tendues. Vous pouvez attribuer un nom aux ACL tendues. Spcifier un numro de port TCP ou UDP en le plaant la fin de linstruction de lACL tendue. Utiliser des oprateurs logiques, tels que gal (eq), non gal (neq), suprieur (gt) et infrieur (lt).

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

38

1. Listes de controle daccs tendues

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

39

2. Configuration dune liste de contrle daccs tendue

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

40

2. Configuration dune liste de contrle daccs tendue

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

41

3. Application des ACLs tendues aux interfaces


Elle est applique dans linterface in ou out.

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

42

3. Application des ACLs tendues aux interfaces


access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq ftp access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq ftp-data

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

43

3. Application des ACLs tendues aux interfaces

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

44

4. Cration des listes de contrle daccs tendues nommes

tape 1: En mode de configuration globale, Entrer la commande:


ip access-list extended nom_acl

tape 2: En mode de configuration des ACL nomme, spcifiez les


conditions dautorisation ou de refus.

tape 3: Vrifiez la liste de contrle daccs laide de la


commande:
show access-lists [numro | nom].

Pour supprimer une ACL tendue nomme, utilisez la commande de configuration globale:
no ip access-list extended nom.

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

45

4. Cration des listes de contrle daccs tendues nommes

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

46

IV. Configuration des ACL complexes

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

47

1. Quest-ce quune liste de contrle daccs complexe

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

48

1. Quest-ce quune ACL complexe ?


La fonction de verrou (ACL dynamique) est disponible pour le trafic IP uniquement. Les ACLs dynamiques dpendent de la connectivit Telnet, de lauthentification (locale ou distante) et des ACL tendues. Configuration ACL dynamiques:
Appliquer ACL tendue pour bloquer le trafic traversant le routeur. La connexion Telnet est alors abandonne. Une ACL dynamique entre unique est ajoute la liste lACL tendue existante. Le trafic est alors autoris pour une dure dtermine. Vous pouvez dfinir des dlais dinactivit et des dlais de dconnexion absolus.

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

49

1. Quest-ce quune ACL complexe


Quand utiliser lACL dynamique ?
Pour laccs distant un hte sur le rseau local, via Internet. Le verrou authentifie lutilisateur et autorise un accs limit par le biais du routeur pare-feu pour un hte ou un sous-rseau et pour une dure dtermine. Pour laccs de htes du rseau local un hte sur un rseau distant protg par un pare-feu. Grce au verrou, vous pouvez activer laccs lhte distant uniquement pour lensemble dhtes locaux. Le verrou exige que les utilisateurs soient authentifis par un serveur AAA, TACACS+ ou un autre serveur de scurit, avant de permettre leurs htes daccder aux htes distants.

Avantages
Recours un mcanisme dauthentification des utilisateurs ; Gestion simplifie sur les interrseaux de grande taille ; Traitement rduit du routeur requis pour les ACL dans de nombreux cas ; Limitation des ventuelles infractions du rseau par des pirates informatiques ; Cration dun accs utilisateur dynamique via un pare-feu, sans compromettre les autres restrictions de scurit configures.

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

50

2. ACL dynamique

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

51

2. ACL dynamique
Exemples de listes de contrle daccs dynamiques
Imaginons que vous deviez dfinir une spcification pour un administrateur rseau sur PC1 en vue dobtenir un accs momentan au rseau (192.168.30.0 /24) via le routeur R3. Pour faciliter cette spcification, une liste de contrle daccs dynamique est configure sur linterface srie S0/0/1 du routeur R3.

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

52

3. ACL rflexives
Utiliss pour autoriser le trafic IP pour des sessions provenant de leur rseau tout en refusant le trafic IP pour les sessions dont la source est extrieure au rseau.

Principe:
Le routeur examine le trafic sortant. Lorsquil dtecte une nouvelle connexion, il ajoute une entre une ACL provisoire pour autoriser les rponses.

Les ACL rflexives comprennent uniquement des entres provisoires.


Ces entres sont cres automatiquement au lancement dune nouvelle session IP, par exemple, avec un paquet sortant. Les entres sont supprimes automatiquement la clture dune session.

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

53

3. ACL rflexives
Les ACL rflexives offrent un filtrage de session plus efficace quune ACL tendue, qui utilise le paramtre established Les ACL rflexives fonctionnent galement pour les protocoles UDP et ICMP, dpourvus de bits de reu (ACK) ou de rinitialisation (RST). Loption established ne fonctionne pas avec les applications qui modifient de manire dynamique le port source pour le trafic de session. Linstruction permit established vrifie uniquement les bits ACK ou RST (rinitialisation) ; elle ignore les adresses source ou de destination. Les ACL rflexives ne sappliquent pas directement une interface. Elles sont imbriques dans une ACL IP tendue nomme applique cette interface. Vous ne pouvez dfinir des ACL rflexives quavec des listes de contrle daccs IP tendues nommes.

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

54

3. ACL rflexives
Avantages
Contribuent la protection de votre rseau contre les pirates ; elles peuvent tre incluses dans une dfense pare-feu. Sont une scurit contre la mystification et certaines attaques DoS. Les ACL rflexives sont nettement plus difficiles mystifier car un nombre suprieur de critres de filtrage doit correspondre avant que le passage dun paquet soit autoris. Par exemple, une vrification est opre sur les adresses source et de destination, les numros de port, et pas seulement sur les bits ACK ou RST.

Faciles utiliser par rapport aux ACL de base, les listes de contrle daccs rflexives renforcent le contrle sur les paquets autoriss sur le rseau.

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

55

3. ACL rflexives

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

56

3. ACL rflexives
Exemple:
Ladministrateur a besoin dune liste de contrle daccs rflexive autorisant le trafic ICMP entrant et sortant, tout en autorisant uniquement le trafic TCP initi lintrieur du rseau. Supposons que tout autre trafic est refus. La liste de contrle daccs rflexive est applique linterface de sortie du routeur R2.

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

57

3. ACL rflexives

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

58

4. ACL bass sur le temps


Ressemble aux ACL Rflexives Limplmentation des ACL bases sur le temps ncessite:
la cration dune plage horaire, qui dfinit certains moments de la journe et de la semaine. Identifiez la plage horaire par un nom, dsignez-la par une fonction. La fonction se voit imposer des restrictions temporelles.

Avantages:
renforcent le contrle des administrateurs rseau en autorisant ou en refusant laccs aux ressources. permettent aux administrateurs rseau de contrler les messages de journalisation. Les entres des ACL peuvent enregistrer le trafic certains moments de la journe, mais pas tout le temps. Par consquent, les administrateurs peuvent tout simplement refuser laccs sans analyser les nombreux journaux gnrs pendant les heures de pointe.
2006 Cisco Systems, Inc. All rights reserved. Cisco Public

59

4. ACL bass sur le temps

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

60

4. ACL bass sur le temps


Exemple:
Dans cet exemple, une connexion Telnet est autorise depuis le rseau intrieur au rseau extrieur les lundis, mercredis et vendredis pendant les heures ouvrables.

tape 1. Dfinissez la plage horaire pour implmenter lACL et nommez la. tape 2. Appliquez la plage horaire la liste de contrle daccs. tape 3. Appliquez la liste de contrle daccs linterface. La plage horaire repose sur lhorloge systme du routeur. La fonction est optimise avec la synchronisation du protocole NTP. Vous pouvez utiliser lhorloge du routeur.

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

61

4. ACL bass sur le temps

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

62

5. Dpannage des erreurs des ACL


show rvlent la plupart des erreurs les plus courantes relatives aux ACL. Les erreurs les plus courantes portent sur :
la saisie des instructions dans un mauvais ordre la non-application des critres adquats aux rgles.

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

63

5. Dpannage des erreurs des ACL


Lordre des instructions 10 et 20 est mauvais

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

64

5. Dpannage des erreurs des ACL


TFTP utilise UDP qui nest pas autoris Linstruction 30 doit tre permit ip any any

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

65

5. Dpannage des erreurs des ACL


Le rseau 192.168.10.0 /24 peut utiliser Telnet pour se connecter au rseau 192.168.30.0 /24 car le numro du port Telnet dans linstruction 10 de la liste de contrle daccs 130 est mal plac

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

66

5. Dpannage des erreurs des ACL


aucune rgle ne refuse lhte 192.168.10.10 ou son rseau en tant que source.

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

67

5. Dpannage des erreurs des ACL


La direction dans laquelle est applique la liste de contrle daccs 150 linterface S0/0. Linstruction 10 refuse ladresse source 192.168.30.12

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

68

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

69