- ACL * Access Control List. Sommaire 1)Théorie 1)ACL standard 1)ACL étendue 1)ACL nommée 1)Mise...

- ACL

* Access Control List

Sommaire

1) Théorie

1) ACL standard

1) ACL étendue

1) ACL nommée

1) Mise en place et vérification des ACLs

Théorie

Principe fondamental

Masque générique

Principe fondamental

ACL* Liste séquentielle d’instructions Filtrage des paquets

Filtrage Autoriser ou interdire En entrée ou en sorties

* Access Control List

Principe fondamental (suite)

Une ACL au maximum par

Protocole Interface Direction

Parcours des instructions

Correspondà la règle ?

Autoriser ou refuser ?

D’autresrègles explicites

existes ?

OUI

NON

OUI

NON

Passer à la règle suivante

Poubelle

PaquetTransmission à la file d’attente

Autoriser

Refuser

Critères spécifiables dans une ACL

Adresses sources

Adresses de destination

Protocoles utilisés (toute couche)

Numéros de ports (couche 4)

Types d’ACLs

ACL Numéroté Standard Étendue

ACL nommée Standard Étendue

Identifiable grâce au numéro ou au nom associé

Numéros d’ACL

IPX/SAP1000 à 1099

Étendue pour IPX900 à 999

Standard pour IPX800 à 899

AppleTalk600 à 699

Étendue pour IP100 à 199

2000 à 2699

Standard pour IP1 à 99

1300 à 1999

Type d’ACL associéPlage de numéros

Avantage et inconvénients des ACLs

Avantage

Fournir une base de sécurité réseau

Inconvénients

Traitement CPU supplémentaire Latence réseau augmentée

Configuration des ACLs

2 étapes

Création de l’ACL Application de l’ACL sur une interface réseau

Précautions à prendre

Instructions toujours parcourues de la 1ère à la dernière, jusqu’à correspondance

Si aucune correspondance Dernière instruction implicite utilisée (deny all)

ACL appliquée mais non configurée Seule instruction = Instruction implicite Tout trafic interdit

Précautions à prendre (suite)

Lors de la création Procéder du plus restrictif au plus générique

ACL IP qui interdit un paquet Envoie d’un message ICMP Host Unreachable

ACL pour trafic sortant N’affecte pas le trafic provenant du routeur local

Masque générique

Utilisation de Préfixes réseaux Masques génériques (Wildcard Mask)

Intérêt Identifier des plages d’adresses

Masque générique (suite)

32 bits Notation décimale pointée

Signification binaire "0"  = Doit correspondre "1"  = Peut varier

Masque générique (suite)

Par rapport à un masque de sous-réseau

Inversion binaire En notation décimale pointée = Complément à 255 du

masque de sous-réseau correspondant

Masque générique

Masque de sous-réseau

1111 1111.1111 1111.1110 000.0000 0000

0000 0000.0000 0000.0001 111.1111 1111

255 255 255 255224255255

. . .

. . .

. . .00

255310-=

(Masque de sous-réseau)(Masque générique)

Masque générique (suite)

Conséquence

Valeurs précises pour un masque générique

2551276331157310

Écritures spécifiques

Pour 2 masques génériques précis

0.0.0.0 = 1 seule adresse {IP} {0.0.0.0} = host {IP}

255.255.255.255 = Toutes les adresses {IP} {255.255.255.255} = any

1) ACL standard

Permet D’interdire ou d’autoriser les adresses réseaux De filtrer les informations dans les MAJ de routage

Peut être spécifié Les adresses sources

Création d’une ACL standard

access-list {numéro} {permit | deny} {préfixe} [masque générique] [log]

access-list {numéro} {remark} {commentaire}

Mode de configuration globale

Création d’une ACL standard – Exemple

Lab_A( confi g) #access- l i st 1 r emar k t est d’ ACLLab_A( confi g) #access- l i st 1 per mi t host 10. 0. 0. 1Lab_A( confi g) #access- l i st 1 deny 10. 0. 0. 0 0. 0. 255. 255Lab_A( confi g) #access- l i st 1 per mi t any

Création d’une ACL standard (suite)

Ordre des instructions = Ordre des commandes

Les nouvelles instructions ajoutées Toujours à la fin

Impossible de Supprimer/modifier une instruction en particulier

Création d’une ACL standard (suite)

Pour faire une modification

Copier/coller dans un éditeur de texte Effectuer les modifications voulues Supprimer l’ACL du routeur Insérer les nouvelles instructions dans le routeur

1) ACL étendue

Permet D’interdire ou d’autoriser un type de trafic particulier De filtrer plus précisément qu’avec une ACL standard

Peut être spécifié Adresses sources Adresses de destination Protocole Numéro de port

Création d’une ACL étendue

access-list {numéro} {permit | deny} {protocole} {préfixe source} {masque source} [{opérateur} {opérande}] {préfixe destination} {masque destination} [{opérateur} {opérande}] [icmp-type] [log] [established]

access-list {numéro} {remark} {commentaire}

Création d’une ACL étendue (suite)

Protocole

Nom (IP, TCP, UDP, etc.) ou numéro (de 0 à 255) de protocole

Création d’une ACL étendue (suite)

opérateur/opérande

Pour TCP et UDP uniquement Précise les numéros de ports Pour la source et/ou la destination

Entre (nécessite 2 numéros de port)range

Supérieur àgt

Inférieur àlt

Différent deneq

Égal àeq

SignificationOpérateur

Création d’une ACL étendue (suite)

icmp-type

Nom ou numéro de message ICMP à filtrer

Established

Uniquement avec TCP Correspond aux sessions TCP déjà établies

Création d’une ACL étendue – Exemple

Lab_A( confi g) #access- l i st 101 r emar k t est d’ ACL ét endueLab_A( confi g) #access- l i st 101 per mi t i p host 10. 0. 0. 1 anyLab_A( confi g) #access- l i st 101 deny i p 10. 0. 0. 0 0. 0. 255. 255 anyLab_A( confi g) #access- l i st 101 per mi t t cp any any eq wwwLab_A( confi g) #access- l i st 101 deny udp any host 10. 0. 0. 15 eq 53Lab_A( confi g) #access- l i st 101 deny t cp any any r ange 6800 6999Lab_A( confi g) #access- l i st 101 per mi t i p any any

Lab_A( confi g) #access- l i st 102 deny t cp any any eq 443Lab_A( confi g) #access- l i st 102 deny udp any host 10. 0. 0. 1 l t 1024

Création d’une ACL étendue (suite)

Ordre des instructions = Ordre des commandes

Les nouvelles instructions ajoutées sont Toujours à la fin

Impossible de Supprimer/modifier une instruction en particulier

Création d’une ACL étendue (suite)

Pour faire une modification

Copier/coller dans un éditeur de texte Effectuer les modifications voulues Supprimer l’ACL du routeur Insérer les nouvelles instructions dans le routeur

1) ACL nommée

Depuis IOS 11.2

Identification de l’ACL Chaîne alphanumérique au lieu d’un numéro

Peut être de type Standard Étendue

ACL nommée (suite)

2 nouveaux modes de configuration Mode de configuration d’ACL nommée standard Mode de configuration d’ACL nommée étendue

(config-ext-nacl)#ACL nommée étendue

(config-std-nacl)#ACL nommée standard

Invite de commande associéeMode de configuration

ACL nommée (suite)

Intérêt

Identifier facilement une ACL grâce à son nom

Supprimer une instruction particulière Pas besoin de tout supprimer

Création d’une ACL nommée

ip access-list {standard | extended} {nom}

remark {commentaire}

Création d’une ACL nommée (suite)

{permit | deny} {préfixe} [masque] [log]

{permit | deny} {protocole} {préfixe source} {masque source} [{opérateur} {opérande}] {préfixe destination} {masque destination}[{opérateur} {opérande}] [icmp-type] [log] [established]

Création d’une ACL nommée – Exemple

Lab_A( confi g) #i p access- l i st ext ended Test _ACL_Et endueLab_A( confi g- ext - nacl ) #r emar k t est d’ ACL nommée ét endueLab_A( confi g- ext - nacl ) #deny t cp host 10. 0. 0. 1 any eq 80Lab_A( confi g- ext - nacl ) #per mi t i p any any

Lab_A( confi g) #i p access- l i st st andar d Test _ACL_St andar dLab_A( confi g- st d- nacl ) #r emar k t est d’ ACL nommée st andar dLab_A( confi g- st d- nacl ) #deny host 10. 0. 0. 1Lab_A( confi g- st d- nacl ) #per mi t any

1) Mise en place et vérification des ACLs

Mise en place d’une ACL Étape n°1 = Création Étape n°2 = Application

Application possible sur Une interface Une ligne

Application d’une ACL

ip access-group {numéro | nom} {in | out} Mode de configuration d’interface

access-class {numéro | nom} {in | out} Mode de configuration de ligne

Application d’une ACL – Exemple

Lab_A( confi g) #i nt er f ace Fast Et her net 0/ 0Lab_A( confi g- i f ) #i p access- gr oup 101 outLab_A( confi g- i f ) #i p access- gr oup 1 i n

Lab_A( confi g) #l i ne vt y 0 4Lab_A( confi g- l i ne) #access- cl ass 1 i n

Suppression d’une ACL

no access-list {numéro | nom} Mode de configuration globale

Commande show access-lists

show access-lists [numéro | nom]

Lab_A#show access- l i st s St andar d I P access l i st 1 per mi t 10. 0. 0. 1 deny 10. 0. 0. 0, wi l dcar d bi t s 0. 0. 255. 255 per mi t anySt andar d I P access l i st Test _ACL_St andar d deny 10. 0. 0. 1 per mi t anyExt ended I P access l i st 101 per mi t i p host 10. 0. 0. 1 any deny i p 10. 0. 0. 0 0. 0. 255. 255 any per mi t t cp any any eq www deny udp any host 10. 0. 0. 15 eq domai n deny t cp any any r ange 6800 6999 per mi t i p any anyExt ended I P access l i st 102 deny t cp any any eq 443 deny udp any host 10. 0. 0. 1 l t 1024Ext ended I P access l i st Test _ACL_Et endue deny t cp host 10. 0. 0. 1 any eq www per mi t i p any any

Commande show ip interface

show ip interface [{type} {numéro}]

Lab_A#show i p i nt er f ace Fast Et her net 0/ 0Fast Et her net 0/ 0 i s up, l i ne pr ot ocol i s up I nt er net addr ess i s 20. 0. 0. 1/ 8 Br oadcast addr ess i s 255. 255. 255. 255 Addr ess det er mi ned by set up command MTU i s 1500 byt es Hel per addr ess i s not set Di r ect ed br oadcast f or war di ng i s di sabl ed Out goi ng access l i st i s 101 I nbound access l i st i s 1 - - Mor e- -

Placement des ACLs

Questions types CCNA

Questions types CCNA

Questions types CCNA