Chapitre 5

Listes de Contrle daccs
Accs au rseau tendu-Chapitre5
Version 4.0
2006 Cisco Systems, Inc. All rights reserved.
Cisco Public
Objectifs
Expliquer le rle des ACLs dans la scurit des entreprises.

Configurer des ACLs standards. Configurer des ACLs tendues.
Dcrire les listes de contrle daccs complexes sur un rseau.

Implmenter, Vrifier et Dpanner les problmes des ACLs dun rseau dentreprise.
Cisco Public
I. Utilisation des ACL pour scuriser un rseau
Cisco Public
1. Conversation TCP
ACL contrle le trafic TCP en fonction du port utilis Les tapes de conversation de TCP:
Cisco Public
1. Conversation TCP
Cisco Public
2. Filtrage des paquets
Fonctionne sur la couche 3 (rseau) du modle OSI; Autorise ou refuse le trafic en fonction:
1. Des adresses IP source et de destination; 2. Du port source, du port de destination; 3. Du protocole des paquets.
Cisco Public
2. Filtrage des paquets

Exemple: interdire un hte B daccder au service web seulement et permettre lhte A daccder au service web seulement.
Cisco Public
3. Quest-ce quune liste de contrle daccs?

Script de configuration de routeur contrlant lautorisation ou le refus de passage des paquets.
Compos dune suite dinstructions de contrle de critres analyses squentiellement jusqu ce quil y ait correspondance.
Un routeur na aucune liste de contrle daccs configure par dfaut.
Cisco Public

Utilisez des ACL sur les routeurs pare-feu entre votre rseau interne et un rseau externe, par exemple Internet. Utilisez des ACL sur un routeur situ entre deux sections dun rseau contrler le trafic entrant ou sortant . Configurez des ACL sur les routeurs priphriques fournir une protection de base contre le rseau externe ou entre une zone plus sensible et une zone moins contrle de votre rseau. Configurez des ACL pour tout protocole rseau configur sur les interfaces de routeur priphrique. LACL filtre le trafic entrant, sortant ou les deux. Configurer une ACL par protocole, par direction et par interface . LACL permet daccrotre les performances rseau et Scuriser les accs aux rseaux internes. Limite le type de trafic autoris (vido, routage,..) et les services utiliss.
Cisco Public
Cisco Public
10
Cisco Public
11
4. Fonctionnement des ACLs

Les ACL ne grent pas les paquets provenant du routeur lui-mme. Listes de contrle daccs entrantes sapplique au paquet reu avant le routage. Listes de contrle daccs sortantes sapplique au paquet reu aprs le routage. Les instructions dune ACL sont appliques au paquet reu dans un ordre squentiel. si vous dfinissez une ACL entrante pour filtrer le trafic, il est recommand dinclure des instructions explicites pour autoriser les mises jour de routage.
Cisco Public
12
4. Fonctionnement des ACLs
Cisco Public
13
5. Types des ACLs

Listes de contrle daccs standard
Permettent dautoriser et de refuser le trafic en provenance dadresses IP source.
Listes de contrle daccs tendues

Filtrent les paquets IP en fonction du protocole, ladresse IP source, ladresse IP de destination, les ports TCP/UDP source, les ports TCP/UDP de destination.
Cisco Public
14
6. Cration dune ACL standard

tape 1 Cration de lACL en spcifiant un n 0 99 ou un nom de liste et des conditions daccs. tape 2. Application de lACL aux interfaces ou aux lignes du terminal la plus proche de lmetteur.
Cisco Public
15
7. Numrotation et attribution des noms aux ACLs standards

Les ACL numrotes sont pratiques sur des rseaux de petite taille. Leur nombre est limit et elles ne sont pas significatives. On ne peut les modifier.
Les ACL nommes sont utilises depuis la version 11.2 de Cisco IOS. Pas de limite quant leur nombre. On peut les modifier. Les numros 200 1299 sont ignors pour les ACL numrotes car ils sont utiliss par dautres protocoles. Les numros 600 699 sont utiliss par AppleTalk, et les numros 800 899 par IPX.
Cisco Public
16
7. Numrotation et attribution des noms aux ACLs standards
Cisco Public
17
8. Positionnement des ACLs

LACL doit tre place l o elle aura le plus grand impact sur les performances. LACL standard est place le plus proche de la destination. LACL tendue est place le plus proche de la source du trafic refus. Exemple:
1/ On souhaite empcher laccs du trafic provenant du rseau 192.168.10.0/24 au rseau 192.168.30.0/24.
2/ On souhaite refuser laccs du trafic Telnet et FTP depuis le rseau 192.168.11.0/24 au rseau 192.168.30.0/24 . Paralllement, les autres types de trafic doivent tre autoriss quitter le rseau 192.168.10.0/24 .
Cisco Public
18
8. Positionnement des ACLs
Cisco Public
19
9. Directives gnrales
Cisco Public
20
II. Configuration des ACL standards
Cisco Public
21
1. Saisie des instructions de critres

Une ACL doit comporter au moins une instruction dautorisation, sans quoi tout le trafic est bloqu. Une ACL doit contenir des critres du moins gnral au plus gnral.
Cisco Public
22
Syntaxe de cration dune ACL:
2. Configuration dune ACL standard

Routeur(config)#access-list numro-liste-accs deny /permit
remark source [masque-gnrique-source] [log]
Exemple: access-list 2 deny 192.168.10.1
access-list 2 permit 192.168.10.0 0.0.0.255

access-list 2 deny 192.168.0.0 0.0.255.255 access-list 2 permit 192.0.0.0 0.255.255.255
Le no access-list de cette commande supprime lACL. show access-list affiche une ACL. Remark spcifie une remarque de 100 caractres au maximum.
Cisco Public
23
Cisco Public
24
3. Masque gnrique
Bit 0 de masque gnrique : permet de vrifier la valeur du bit correspondant dans ladresse. Bit 1 de masque gnrique : permet dignorer la valeur du bit correspondant dans ladresse. Masque gnrique= 255.255.255.255 - masque sous rseau Host remplace le masque 0.0.0.0. Un seul hte est conforme.
host 192.168.10.10 remplace 192.168.10.10 0.0.0.0.
Any remplace ladresse IP et le masque 255.255.255.255.
Cisco Public
25
3. Masque gnrique
Cisco Public
26
4. Application des ACLs standars aux interfaces

Syntaxe:
Routeur(config-if)#ip access-group {numro-liste-accs | nom-listeaccs} {in | out} Pour supprimer une ACL dune interface: 1. Entrer la commande no ip access-group sur linterface 2. Entrer la commande globale no access-list pour la supprimer.
Cisco Public
27
4. Application des ACLs standars aux interfaces
Cisco Public
28
4. Application des ACLs standars aux interfaces VTY

Syntaxe:
access-class numro-liste-accs {in [vrf-also] | out}
Limite les connexions entrantes et sortantes entre une ligne VTY donne.
Le filtrage du trafic Telnet est une fonction de la liste de contrle daccs IP tendue car il sagit de filtrer le protocole de niveau suprieur. Seules des ACL numrotes peuvent tre appliques aux lignes VTY.
Cisco Public
29
4. Application des ACLs standars aux interfaces VTY
Cisco Public
30
5. dition des listes de controle daccs numrotes

LACL standard permet lajout la fin de la liste.
Pour modifier une instruction de milieu ou la supprimer vous devez la supprimer et la recrer.
tape 1. Affichez la liste de contrle : show running-config | include access-list. tape 2. Copier et coller dans un bloc note et la modifier. tape 3. En mode de configuration globale,
Dsactivez la liste de contrle daccs laide de la commande no access-list .
Collez la nouvelle liste de contrle daccs dans la configuration du routeur.
Cisco Public
31
5. dition des listes de controle daccs numrotes
Cisco Public
32
6. Cration des listes de controle daccs standard nommes

Elles sont significatives. On peut les modifier sans les supprimer depuis la version 12.3 de Cisco IOS. Utilisez des numros de squence pour insrer des instructions nimporte o dans la liste de contrle daccs nomme. Si vous utilisez une version antrieure du logiciel Cisco IOS, vous pouvez ajouter des instructions uniquement en bas de la liste de contrle daccs nomme.
Cisco Public
33
6. Cration des listes de controle daccs standard nommes
Cisco Public
34
7. Contrle et vrification des listes de controle daccs

Vrifier lACL avant de lutiliser
Cisco Public
35
8. dition des listes de controle daccs nommes

Prsence de Nde lignes dans la liste Webserver Insertion dune ligne numrote dans la liste.
Cisco Public
36
III. Configuration des ACL tendues
Cisco Public
37
1. Listes de controle daccs tendues

Utilisez des ACL tendues et numrotes entre 100 et 199, 2000 et 2699. Maximum de 799 listes de contrle daccs tendues. Vous pouvez attribuer un nom aux ACL tendues. Spcifier un numro de port TCP ou UDP en le plaant la fin de linstruction de lACL tendue. Utiliser des oprateurs logiques, tels que gal (eq), non gal (neq), suprieur (gt) et infrieur (lt).
Cisco Public
38
1. Listes de controle daccs tendues
Cisco Public
39
2. Configuration dune liste de contrle daccs tendue
Cisco Public
40
2. Configuration dune liste de contrle daccs tendue
Cisco Public
41
3. Application des ACLs tendues aux interfaces

Elle est applique dans linterface in ou out.
Cisco Public
42

access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq ftp access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq ftp-data
Cisco Public
43
Cisco Public
44
4. Cration des listes de contrle daccs tendues nommes
tape 1: En mode de configuration globale, Entrer la commande:

ip access-list extended nom_acl
tape 2: En mode de configuration des ACL nomme, spcifiez les

conditions dautorisation ou de refus.
tape 3: Vrifiez la liste de contrle daccs laide de la

commande:
show access-lists [numro | nom].
Pour supprimer une ACL tendue nomme, utilisez la commande de configuration globale:
no ip access-list extended nom.
Cisco Public
45
4. Cration des listes de contrle daccs tendues nommes
Cisco Public
46
IV. Configuration des ACL complexes
Cisco Public
47
1. Quest-ce quune liste de contrle daccs complexe
Cisco Public
48
1. Quest-ce quune ACL complexe ?

La fonction de verrou (ACL dynamique) est disponible pour le trafic IP uniquement. Les ACLs dynamiques dpendent de la connectivit Telnet, de lauthentification (locale ou distante) et des ACL tendues. Configuration ACL dynamiques:
Appliquer ACL tendue pour bloquer le trafic traversant le routeur. La connexion Telnet est alors abandonne. Une ACL dynamique entre unique est ajoute la liste lACL tendue existante. Le trafic est alors autoris pour une dure dtermine. Vous pouvez dfinir des dlais dinactivit et des dlais de dconnexion absolus.
Cisco Public
49
1. Quest-ce quune ACL complexe

Quand utiliser lACL dynamique ?
Pour laccs distant un hte sur le rseau local, via Internet. Le verrou authentifie lutilisateur et autorise un accs limit par le biais du routeur pare-feu pour un hte ou un sous-rseau et pour une dure dtermine. Pour laccs de htes du rseau local un hte sur un rseau distant protg par un pare-feu. Grce au verrou, vous pouvez activer laccs lhte distant uniquement pour lensemble dhtes locaux. Le verrou exige que les utilisateurs soient authentifis par un serveur AAA, TACACS+ ou un autre serveur de scurit, avant de permettre leurs htes daccder aux htes distants.
Avantages
Recours un mcanisme dauthentification des utilisateurs ; Gestion simplifie sur les interrseaux de grande taille ; Traitement rduit du routeur requis pour les ACL dans de nombreux cas ; Limitation des ventuelles infractions du rseau par des pirates informatiques ; Cration dun accs utilisateur dynamique via un pare-feu, sans compromettre les autres restrictions de scurit configures.
Cisco Public
50
2. ACL dynamique
Cisco Public
51
2. ACL dynamique
Exemples de listes de contrle daccs dynamiques
Imaginons que vous deviez dfinir une spcification pour un administrateur rseau sur PC1 en vue dobtenir un accs momentan au rseau (192.168.30.0 /24) via le routeur R3. Pour faciliter cette spcification, une liste de contrle daccs dynamique est configure sur linterface srie S0/0/1 du routeur R3.
Cisco Public
52
3. ACL rflexives
Utiliss pour autoriser le trafic IP pour des sessions provenant de leur rseau tout en refusant le trafic IP pour les sessions dont la source est extrieure au rseau.
Principe:
Le routeur examine le trafic sortant. Lorsquil dtecte une nouvelle connexion, il ajoute une entre une ACL provisoire pour autoriser les rponses.
Les ACL rflexives comprennent uniquement des entres provisoires.

Ces entres sont cres automatiquement au lancement dune nouvelle session IP, par exemple, avec un paquet sortant. Les entres sont supprimes automatiquement la clture dune session.
Cisco Public
53
3. ACL rflexives
Les ACL rflexives offrent un filtrage de session plus efficace quune ACL tendue, qui utilise le paramtre established Les ACL rflexives fonctionnent galement pour les protocoles UDP et ICMP, dpourvus de bits de reu (ACK) ou de rinitialisation (RST). Loption established ne fonctionne pas avec les applications qui modifient de manire dynamique le port source pour le trafic de session. Linstruction permit established vrifie uniquement les bits ACK ou RST (rinitialisation) ; elle ignore les adresses source ou de destination. Les ACL rflexives ne sappliquent pas directement une interface. Elles sont imbriques dans une ACL IP tendue nomme applique cette interface. Vous ne pouvez dfinir des ACL rflexives quavec des listes de contrle daccs IP tendues nommes.
Cisco Public
54
3. ACL rflexives
Avantages
Contribuent la protection de votre rseau contre les pirates ; elles peuvent tre incluses dans une dfense pare-feu. Sont une scurit contre la mystification et certaines attaques DoS. Les ACL rflexives sont nettement plus difficiles mystifier car un nombre suprieur de critres de filtrage doit correspondre avant que le passage dun paquet soit autoris. Par exemple, une vrification est opre sur les adresses source et de destination, les numros de port, et pas seulement sur les bits ACK ou RST.
Faciles utiliser par rapport aux ACL de base, les listes de contrle daccs rflexives renforcent le contrle sur les paquets autoriss sur le rseau.
Cisco Public
55
3. ACL rflexives
Cisco Public
56
3. ACL rflexives
Exemple:
Ladministrateur a besoin dune liste de contrle daccs rflexive autorisant le trafic ICMP entrant et sortant, tout en autorisant uniquement le trafic TCP initi lintrieur du rseau. Supposons que tout autre trafic est refus. La liste de contrle daccs rflexive est applique linterface de sortie du routeur R2.
Cisco Public
57
3. ACL rflexives
Cisco Public
58
4. ACL bass sur le temps

Ressemble aux ACL Rflexives Limplmentation des ACL bases sur le temps ncessite:
la cration dune plage horaire, qui dfinit certains moments de la journe et de la semaine. Identifiez la plage horaire par un nom, dsignez-la par une fonction. La fonction se voit imposer des restrictions temporelles.
Avantages:
renforcent le contrle des administrateurs rseau en autorisant ou en refusant laccs aux ressources. permettent aux administrateurs rseau de contrler les messages de journalisation. Les entres des ACL peuvent enregistrer le trafic certains moments de la journe, mais pas tout le temps. Par consquent, les administrateurs peuvent tout simplement refuser laccs sans analyser les nombreux journaux gnrs pendant les heures de pointe.
2006 Cisco Systems, Inc. All rights reserved. Cisco Public
59
Cisco Public
60

Exemple:
Dans cet exemple, une connexion Telnet est autorise depuis le rseau intrieur au rseau extrieur les lundis, mercredis et vendredis pendant les heures ouvrables.
tape 1. Dfinissez la plage horaire pour implmenter lACL et nommez la. tape 2. Appliquez la plage horaire la liste de contrle daccs. tape 3. Appliquez la liste de contrle daccs linterface. La plage horaire repose sur lhorloge systme du routeur. La fonction est optimise avec la synchronisation du protocole NTP. Vous pouvez utiliser lhorloge du routeur.
Cisco Public
61
Cisco Public
62
5. Dpannage des erreurs des ACL

show rvlent la plupart des erreurs les plus courantes relatives aux ACL. Les erreurs les plus courantes portent sur :
la saisie des instructions dans un mauvais ordre la non-application des critres adquats aux rgles.
Cisco Public
63

Lordre des instructions 10 et 20 est mauvais
Cisco Public
64

TFTP utilise UDP qui nest pas autoris Linstruction 30 doit tre permit ip any any
Cisco Public
65

Le rseau 192.168.10.0 /24 peut utiliser Telnet pour se connecter au rseau 192.168.30.0 /24 car le numro du port Telnet dans linstruction 10 de la liste de contrle daccs 130 est mal plac
Cisco Public
66

aucune rgle ne refuse lhte 192.168.10.10 ou son rseau en tant que source.
Cisco Public
67

La direction dans laquelle est applique la liste de contrle daccs 150 linterface S0/0. Linstruction 10 refuse ladresse source 192.168.30.12
Cisco Public
68
Cisco Public
69

Chapitre 5

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Chapitre 5

Transféré par

Droits d'auteur :

Formats disponibles

Listes de Contrle daccs

Accs au rseau tendu-Chapitre5

2006 Cisco Systems, Inc. All rights reserved.

Expliquer le rle des ACLs dans la scurit des entreprises.

Dcrire les listes de contrle daccs complexes sur un rseau.

2006 Cisco Systems, Inc. All rights reserved.

I. Utilisation des ACL pour scuriser un rseau

2006 Cisco Systems, Inc. All rights reserved.

2006 Cisco Systems, Inc. All rights reserved.

2006 Cisco Systems, Inc. All rights reserved.

2. Filtrage des paquets

2006 Cisco Systems, Inc. All rights reserved.

2. Filtrage des paquets

2006 Cisco Systems, Inc. All rights reserved.

3. Quest-ce quune liste de contrle daccs?

2006 Cisco Systems, Inc. All rights reserved.

3. Quest-ce quune liste de contrle daccs?

2006 Cisco Systems, Inc. All rights reserved.

3. Quest-ce quune liste de contrle daccs?

2006 Cisco Systems, Inc. All rights reserved.

3. Quest-ce quune liste de contrle daccs?

2006 Cisco Systems, Inc. All rights reserved.

4. Fonctionnement des ACLs

2006 Cisco Systems, Inc. All rights reserved.

4. Fonctionnement des ACLs

2006 Cisco Systems, Inc. All rights reserved.

5. Types des ACLs

Listes de contrle daccs tendues

2006 Cisco Systems, Inc. All rights reserved.

6. Cration dune ACL standard

2006 Cisco Systems, Inc. All rights reserved.

7. Numrotation et attribution des noms aux ACLs standards

2006 Cisco Systems, Inc. All rights reserved.

7. Numrotation et attribution des noms aux ACLs standards

2006 Cisco Systems, Inc. All rights reserved.

8. Positionnement des ACLs

2006 Cisco Systems, Inc. All rights reserved.

8. Positionnement des ACLs

2006 Cisco Systems, Inc. All rights reserved.

2006 Cisco Systems, Inc. All rights reserved.

II. Configuration des ACL standards

2006 Cisco Systems, Inc. All rights reserved.

1. Saisie des instructions de critres

2006 Cisco Systems, Inc. All rights reserved.

Syntaxe de cration dune ACL:

2. Configuration dune ACL standard

Exemple: access-list 2 deny 192.168.10.1

access-list 2 permit 192.168.10.0 0.0.0.255

2006 Cisco Systems, Inc. All rights reserved.

2006 Cisco Systems, Inc. All rights reserved.

Any remplace ladresse IP et le masque 255.255.255.255.

2006 Cisco Systems, Inc. All rights reserved.

2006 Cisco Systems, Inc. All rights reserved.

4. Application des ACLs standars aux interfaces

2006 Cisco Systems, Inc. All rights reserved.

4. Application des ACLs standars aux interfaces

2006 Cisco Systems, Inc. All rights reserved.

4. Application des ACLs standars aux interfaces VTY

2006 Cisco Systems, Inc. All rights reserved.

4. Application des ACLs standars aux interfaces VTY

2006 Cisco Systems, Inc. All rights reserved.

5. dition des listes de controle daccs numrotes

2006 Cisco Systems, Inc. All rights reserved.

5. dition des listes de controle daccs numrotes