Scribd
Importer
612 vues34 pages

Guide des ACLs pour Réseaux

Transféré par

Hassna Ellouxe
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd
612 vues34 pages

Guide des ACLs pour Réseaux

Transféré par

Hassna Ellouxe
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd

Sommaire

1) Théorie

1) ACL standard

1) ACL étendue

1) ACL nommée

1) Mise en place et vérification des ACLs


Théorie

 Principe fondamental

 Masque générique
Principe fondamental

 ACL*
 Liste séquentielle d’instructions
 Filtrage des paquets

 Filtrage
 Autoriser ou interdire
 En entrée ou en sortie

* Access Control List


Principe fondamental (suite)

 Une ACL au maximum par

 Protocole
 Interface
 Direction
Parcours des instructions

OUI Autoriser
Correspond Autoriser ou Transmission à
Paquet
à la règle ? refuser ? la file d’attente

NON Refuser

D’autres NON
règles explicites Poubelle
existes ?

OUI

Passer à la règle
suivante
Critères spécifiables dans une ACL

 Adresses sources

 Adresses de destination

 Protocoles utilisés (toute couche)

 Numéros de ports (couche 4)


Types d’ACLs

 ACL Numérotée
 Standard
 Étendue

 ACL nommée
 Standard
 Étendue

 Identifiable grâce au numéro ou au nom associé


Avantage et inconvénients des ACLs

 Avantage

 Fournir une base de sécurité réseau

 Inconvénients

 Traitement CPU supplémentaire


 Latence réseau augmentée
Configuration des ACLs

 2 étapes

 Création de l’ACL
 Application de l’ACL sur une interface réseau
Précautions à prendre

 Instructions toujours parcourues de la 1ère à la


dernière, jusqu’à correspondance

 Si aucune correspondance
 Dernière instruction implicite utilisée (deny all)

 Si une ACL est appliquée mais non configurée alors


 1 Seule instruction = Instruction implicite (deny all)
 Tout trafic interdit
Précautions à prendre (suite)

 Lors de la creation d’1 ACL


 Procéder du plus restrictif au plus générique

 Si 1 ACL IP est configurée pour interdir un paquet alors


 Elle envoie un message ICMP “Host Unreachable”

 Si 1 ACL est appliquée pour le trafic sortant alors


 Elle n’affecte pas le trafic provenant du routeur local
Masque générique

 Utilisation de
 Préfixes réseaux
 Masques génériques (Wildcard Mask)

 Intérêt
 Identifier les plages d’addresses à autoriser ou à interdire

 32 bits
 Notation décimale pointée

 Signification binaire
 "0" = Doit correspondre
 "1" = Peut varier
Masque générique (suite)

 Par rapport à un masque de sous-réseau

 Inversion binaire
 En notation décimale pointée = Complément à 255 du
masque de sous-réseau correspondant

Masque de
1111 1111.1111 1111.1110 000.0000 0000
sous-réseau
Masque
0000 0000.0000 0000.0001 111.1111 1111
générique

255 . 255 . 255 . 255


- 255 . 255 . 224 . 0 (Masque de sous-réseau)
= 0 . 0 . 31 . 255 (Masque générique)
Écritures spécifiques

 Pour 2 masques génériques précis

 0.0.0.0 = 1 seule adresse


 {IP} {0.0.0.0} = host {IP}

 255.255.255.255 = Toutes les adresses


 {IP} {255.255.255.255} = any
1) ACL standard

 Permet
 D’interdire ou d’autoriser les adresses réseaux
 De filtrer les informations dans les MAJ de routage

 Peut être spécifié


 Les adresses sources
Création d’une ACL standard

 access-list {numéro} {permit | deny}


{préfixe} [masque générique] [log]

 access-list {numéro} {remark}


{commentaire}

 Mode de configuration globale

Exemple

Lab_A(config)#access-list 1 remark test d’ACL


Lab_A(config)#access-list 1 permit host 10.0.0.1
Lab_A(config)#access-list 1 deny 10.0.0.0 0.0.255.255
Lab_A(config)#access-list 1 permit any
Création d’une ACL standard (suite)

 Ordre des instructions = Ordre des commandes

 Les nouvelles instructions ajoutées


 Toujours à la fin

 Impossible de
 Supprimer/modifier une instruction en particulier

 Pour faire une modification

 Copier/coller dans un éditeur de texte


 Effectuer les modifications voulues
 Supprimer l’ACL du routeur (no access-list « number »)
 Insérer les nouvelles instructions dans le routeur
2) ACL étendue

 Permet
 D’interdire ou d’autoriser un type de trafic particulier
 De filtrer plus précisément qu’avec une ACL standard

 Peut être spécifiée


 Adresses sources
 Adresses de destination
 Protocoles
 Numéro de port
Création d’une ACL étendue

 access-list {numéro} {permit | deny}


{protocole} {préfixe source} {masque
source} [{opérateur} {opérande}] {préfixe
destination} {masque destination}
[{opérateur} {opérande}] [icmp-type] [log]
[established]

 access-list {numéro} {remark}


{commentaire}
Création d’une ACL étendue (suite)
 Protocole

 Nom (IP, TCP, UDP, etc.) ou numéro (de 0 à 255) de


protocole

 icmp-type

 Nom ou numéro de message ICMP à filtrer

 Established

 Uniquement avec TCP


 Correspond aux sessions TCP déjà établies
Création d’une ACL étendue – Exemple

Lab_A(config)#access-list 101 remark test d’ACL étendue


Lab_A(config)#access-list 101 permit ip host 10.0.0.1 any
Lab_A(config)#access-list 101 deny ip 10.0.0.0 0.0.255.255 any
Lab_A(config)#access-list 101 permit tcp any any eq www
Lab_A(config)#access-list 101 deny udp any host 10.0.0.15 eq 53
Lab_A(config)#access-list 101 deny tcp any any range 6800 6999
Lab_A(config)#access-list 101 permit ip any any

Lab_A(config)#access-list 102 deny tcp any any eq 443


Lab_A(config)#access-list 102 deny udp any host 10.0.0.1 lt 1024
Création d’une ACL étendue (suite)
 Ordre des instructions = Ordre des commandes

 Les nouvelles instructions ajoutées sont


 Toujours à la fin

 Impossible de
 Supprimer/modifier une instruction en particulier

 Pour faire une modification

 Copier/coller dans un éditeur de texte


 Effectuer les modifications voulues
 Supprimer l’ACL du routeur
 Insérer les nouvelles instructions dans le routeur
3) ACL nommée
 Depuis IOS 11.2

 Identification de l’ACL
 Chaîne alphanumérique au lieu d’un numéro

 Peut être de type


 Standard
 Étendue

 Intérêt

 Identifier facilement une ACL grâce à son nom

 Supprimer une instruction particulière


 Pas besoin de tout supprimer
Création d’une ACL nommée

 ip access-list {standard | extended} {nom}

 remark {commentaire}

Standard
 {permit | deny} {préfixe} [masque] [log]

Etendue
 {permit | deny} {protocole} {préfixe source}
{masque source} [{opérateur} {opérande}]
{préfixe destination} {masque
destination}[{opérateur} {opérande}] [icmp-
type] [log] [established]
Création d’une ACL nommée – Exemple

Lab_A(config)#ip access-list standard Test_ACL_Standard


Lab_A(config-std-nacl)#remark test d’ACL nommée standard
Lab_A(config-std-nacl)#deny host 10.0.0.1
Lab_A(config-std-nacl)#permit any

Lab_A(config)#ip access-list extended Test_ACL_Etendue


Lab_A(config-ext-nacl)#remark test d’ACL nommée étendue
Lab_A(config-ext-nacl)#deny tcp host 10.0.0.1 any eq 80
Lab_A(config-ext-nacl)#permit ip any any
1) Mise en place et vérification des ACLs

 Mise en place d’une ACL


 Étape n°1 = Création (conception)
 Étape n°2 = Application

 Application possible sur


 Une interface
 Une ligne
Application d’une ACL

 ip access-group {numéro | nom} {in | out}


 Mode de configuration d’interface

 access-class {numéro | nom} {in | out}


 Mode de configuration de ligne

Exemple

Lab_A(config)#interface FastEthernet 0/0


Lab_A(config-if)#ip access-group 101 out
Lab_A(config-if)#ip access-group 1 in

Lab_A(config)#line vty 0 4
Lab_A(config-line)#access-class 1 in
Suppression d’une ACL

 no access-list {numéro | nom}


 Mode de configuration globale
Commande show access-lists

 show access-lists [numéro | nom]

Lab_A#show access-lists
Standard IP access list 1
permit 10.0.0.1
deny 10.0.0.0, wildcard bits 0.0.255.255
permit any
Standard IP access list Test_ACL_Standard
deny 10.0.0.1
permit any
Extended IP access list 101
permit ip host 10.0.0.1 any
deny ip 10.0.0.0 0.0.255.255 any
permit tcp any any eq www
deny udp any host 10.0.0.15 eq domain
deny tcp any any range 6800 6999
permit ip any any
Extended IP access list 102
deny tcp any any eq 443
deny udp any host 10.0.0.1 lt 1024
Extended IP access list Test_ACL_Etendue
deny tcp host 10.0.0.1 any eq www
permit ip any any
Commande show ip interface

 show ip interface [{type} {numéro}]

Lab_A#show ip interface FastEthernet 0/0


FastEthernet0/0 is up, line protocol is up
Internet address is 20.0.0.1/8
Broadcast address is 255.255.255.255
Address determined by setup command
MTU is 1500 bytes
Helper address is not set
Directed broadcast forwarding is disabled
Outgoing access list is 101
Inbound access list is 1
--More--
Placement des ACLs
Questions types CCNA
Questions types CCNA
Questions types CCNA

Vous aimerez peut-être aussi