47
- ACL * Access Control List

- ACL * Access Control List. Sommaire 1)Théorie 1)ACL standard 1)ACL étendue 1)ACL nommée 1)Mise en place et vérification des ACLs

Embed Size (px)

Citation preview

Page 1: - ACL * Access Control List. Sommaire 1)Théorie 1)ACL standard 1)ACL étendue 1)ACL nommée 1)Mise en place et vérification des ACLs

- ACL

* Access Control List

Page 2: - ACL * Access Control List. Sommaire 1)Théorie 1)ACL standard 1)ACL étendue 1)ACL nommée 1)Mise en place et vérification des ACLs

Sommaire

1) Théorie

1) ACL standard

1) ACL étendue

1) ACL nommée

1) Mise en place et vérification des ACLs

Page 3: - ACL * Access Control List. Sommaire 1)Théorie 1)ACL standard 1)ACL étendue 1)ACL nommée 1)Mise en place et vérification des ACLs

Théorie

Principe fondamental

Masque générique

Page 4: - ACL * Access Control List. Sommaire 1)Théorie 1)ACL standard 1)ACL étendue 1)ACL nommée 1)Mise en place et vérification des ACLs

Principe fondamental

ACL* Liste séquentielle d’instructions Filtrage des paquets

Filtrage Autoriser ou interdire En entrée ou en sorties

* Access Control List

Page 5: - ACL * Access Control List. Sommaire 1)Théorie 1)ACL standard 1)ACL étendue 1)ACL nommée 1)Mise en place et vérification des ACLs

Principe fondamental (suite)

Une ACL au maximum par

Protocole Interface Direction

Page 6: - ACL * Access Control List. Sommaire 1)Théorie 1)ACL standard 1)ACL étendue 1)ACL nommée 1)Mise en place et vérification des ACLs

Parcours des instructions

Correspondà la règle ?

Autoriser ou refuser ?

D’autresrègles explicites

existes ?

OUI

NON

OUI

NON

Passer à la règle suivante

Poubelle

PaquetTransmission à la file d’attente

Autoriser

Refuser

Page 7: - ACL * Access Control List. Sommaire 1)Théorie 1)ACL standard 1)ACL étendue 1)ACL nommée 1)Mise en place et vérification des ACLs

Critères spécifiables dans une ACL

Adresses sources

Adresses de destination

Protocoles utilisés (toute couche)

Numéros de ports (couche 4)

Page 8: - ACL * Access Control List. Sommaire 1)Théorie 1)ACL standard 1)ACL étendue 1)ACL nommée 1)Mise en place et vérification des ACLs

Types d’ACLs

ACL Numéroté Standard Étendue

ACL nommée Standard Étendue

Identifiable grâce au numéro ou au nom associé

Page 9: - ACL * Access Control List. Sommaire 1)Théorie 1)ACL standard 1)ACL étendue 1)ACL nommée 1)Mise en place et vérification des ACLs

Numéros d’ACL

IPX/SAP1000 à 1099

Étendue pour IPX900 à 999

Standard pour IPX800 à 899

AppleTalk600 à 699

Étendue pour IP100 à 199

2000 à 2699

Standard pour IP1 à 99

1300 à 1999

Type d’ACL associéPlage de numéros

Page 10: - ACL * Access Control List. Sommaire 1)Théorie 1)ACL standard 1)ACL étendue 1)ACL nommée 1)Mise en place et vérification des ACLs

Avantage et inconvénients des ACLs

Avantage

Fournir une base de sécurité réseau

Inconvénients

Traitement CPU supplémentaire Latence réseau augmentée

Page 11: - ACL * Access Control List. Sommaire 1)Théorie 1)ACL standard 1)ACL étendue 1)ACL nommée 1)Mise en place et vérification des ACLs

Configuration des ACLs

2 étapes

Création de l’ACL Application de l’ACL sur une interface réseau

Page 12: - ACL * Access Control List. Sommaire 1)Théorie 1)ACL standard 1)ACL étendue 1)ACL nommée 1)Mise en place et vérification des ACLs

Précautions à prendre

Instructions toujours parcourues de la 1ère à la dernière, jusqu’à correspondance

Si aucune correspondance Dernière instruction implicite utilisée (deny all)

ACL appliquée mais non configurée Seule instruction = Instruction implicite Tout trafic interdit

Page 13: - ACL * Access Control List. Sommaire 1)Théorie 1)ACL standard 1)ACL étendue 1)ACL nommée 1)Mise en place et vérification des ACLs

Précautions à prendre (suite)

Lors de la création Procéder du plus restrictif au plus générique

ACL IP qui interdit un paquet Envoie d’un message ICMP Host Unreachable

ACL pour trafic sortant N’affecte pas le trafic provenant du routeur local

Page 14: - ACL * Access Control List. Sommaire 1)Théorie 1)ACL standard 1)ACL étendue 1)ACL nommée 1)Mise en place et vérification des ACLs

Masque générique

Utilisation de Préfixes réseaux Masques génériques (Wildcard Mask)

Intérêt Identifier des plages d’adresses

Page 15: - ACL * Access Control List. Sommaire 1)Théorie 1)ACL standard 1)ACL étendue 1)ACL nommée 1)Mise en place et vérification des ACLs

Masque générique (suite)

32 bits Notation décimale pointée

Signification binaire "0"  = Doit correspondre "1"  = Peut varier

Page 16: - ACL * Access Control List. Sommaire 1)Théorie 1)ACL standard 1)ACL étendue 1)ACL nommée 1)Mise en place et vérification des ACLs

Masque générique (suite)

Par rapport à un masque de sous-réseau

Inversion binaire En notation décimale pointée = Complément à 255 du

masque de sous-réseau correspondant

Masque générique

Masque de sous-réseau

1111 1111.1111 1111.1110 000.0000 0000

0000 0000.0000 0000.0001 111.1111 1111

255 255 255 255224255255

. . .

. . .

. . .00

255310-=

(Masque de sous-réseau)(Masque générique)

Page 17: - ACL * Access Control List. Sommaire 1)Théorie 1)ACL standard 1)ACL étendue 1)ACL nommée 1)Mise en place et vérification des ACLs

Masque générique (suite)

Conséquence

Valeurs précises pour un masque générique

2551276331157310

Page 18: - ACL * Access Control List. Sommaire 1)Théorie 1)ACL standard 1)ACL étendue 1)ACL nommée 1)Mise en place et vérification des ACLs

Écritures spécifiques

Pour 2 masques génériques précis

0.0.0.0 = 1 seule adresse {IP} {0.0.0.0} = host {IP}

255.255.255.255 = Toutes les adresses {IP} {255.255.255.255} = any

Page 19: - ACL * Access Control List. Sommaire 1)Théorie 1)ACL standard 1)ACL étendue 1)ACL nommée 1)Mise en place et vérification des ACLs

1) ACL standard

Permet D’interdire ou d’autoriser les adresses réseaux De filtrer les informations dans les MAJ de routage

Peut être spécifié Les adresses sources

Page 20: - ACL * Access Control List. Sommaire 1)Théorie 1)ACL standard 1)ACL étendue 1)ACL nommée 1)Mise en place et vérification des ACLs

Création d’une ACL standard

access-list {numéro} {permit | deny} {préfixe} [masque générique] [log]

access-list {numéro} {remark} {commentaire}

Mode de configuration globale

Page 21: - ACL * Access Control List. Sommaire 1)Théorie 1)ACL standard 1)ACL étendue 1)ACL nommée 1)Mise en place et vérification des ACLs

Création d’une ACL standard – Exemple

Lab_A( confi g) #access- l i st 1 r emar k t est d’ ACLLab_A( confi g) #access- l i st 1 per mi t host 10. 0. 0. 1Lab_A( confi g) #access- l i st 1 deny 10. 0. 0. 0 0. 0. 255. 255Lab_A( confi g) #access- l i st 1 per mi t any

Page 22: - ACL * Access Control List. Sommaire 1)Théorie 1)ACL standard 1)ACL étendue 1)ACL nommée 1)Mise en place et vérification des ACLs

Création d’une ACL standard (suite)

Ordre des instructions = Ordre des commandes

Les nouvelles instructions ajoutées Toujours à la fin

Impossible de Supprimer/modifier une instruction en particulier

Page 23: - ACL * Access Control List. Sommaire 1)Théorie 1)ACL standard 1)ACL étendue 1)ACL nommée 1)Mise en place et vérification des ACLs

Création d’une ACL standard (suite)

Pour faire une modification

Copier/coller dans un éditeur de texte Effectuer les modifications voulues Supprimer l’ACL du routeur Insérer les nouvelles instructions dans le routeur

Page 24: - ACL * Access Control List. Sommaire 1)Théorie 1)ACL standard 1)ACL étendue 1)ACL nommée 1)Mise en place et vérification des ACLs

1) ACL étendue

Permet D’interdire ou d’autoriser un type de trafic particulier De filtrer plus précisément qu’avec une ACL standard

Peut être spécifié Adresses sources Adresses de destination Protocole Numéro de port

Page 25: - ACL * Access Control List. Sommaire 1)Théorie 1)ACL standard 1)ACL étendue 1)ACL nommée 1)Mise en place et vérification des ACLs

Création d’une ACL étendue

access-list {numéro} {permit | deny} {protocole} {préfixe source} {masque source} [{opérateur} {opérande}] {préfixe destination} {masque destination} [{opérateur} {opérande}] [icmp-type] [log] [established]

access-list {numéro} {remark} {commentaire}

Page 26: - ACL * Access Control List. Sommaire 1)Théorie 1)ACL standard 1)ACL étendue 1)ACL nommée 1)Mise en place et vérification des ACLs

Création d’une ACL étendue (suite)

Protocole

Nom (IP, TCP, UDP, etc.) ou numéro (de 0 à 255) de protocole

Page 27: - ACL * Access Control List. Sommaire 1)Théorie 1)ACL standard 1)ACL étendue 1)ACL nommée 1)Mise en place et vérification des ACLs

Création d’une ACL étendue (suite)

opérateur/opérande

Pour TCP et UDP uniquement Précise les numéros de ports Pour la source et/ou la destination

Entre (nécessite 2 numéros de port)range

Supérieur àgt

Inférieur àlt

Différent deneq

Égal àeq

SignificationOpérateur

Page 28: - ACL * Access Control List. Sommaire 1)Théorie 1)ACL standard 1)ACL étendue 1)ACL nommée 1)Mise en place et vérification des ACLs

Création d’une ACL étendue (suite)

icmp-type

Nom ou numéro de message ICMP à filtrer

Established

Uniquement avec TCP Correspond aux sessions TCP déjà établies

Page 29: - ACL * Access Control List. Sommaire 1)Théorie 1)ACL standard 1)ACL étendue 1)ACL nommée 1)Mise en place et vérification des ACLs

Création d’une ACL étendue – Exemple

Lab_A( confi g) #access- l i st 101 r emar k t est d’ ACL ét endueLab_A( confi g) #access- l i st 101 per mi t i p host 10. 0. 0. 1 anyLab_A( confi g) #access- l i st 101 deny i p 10. 0. 0. 0 0. 0. 255. 255 anyLab_A( confi g) #access- l i st 101 per mi t t cp any any eq wwwLab_A( confi g) #access- l i st 101 deny udp any host 10. 0. 0. 15 eq 53Lab_A( confi g) #access- l i st 101 deny t cp any any r ange 6800 6999Lab_A( confi g) #access- l i st 101 per mi t i p any any

Lab_A( confi g) #access- l i st 102 deny t cp any any eq 443Lab_A( confi g) #access- l i st 102 deny udp any host 10. 0. 0. 1 l t 1024

Page 30: - ACL * Access Control List. Sommaire 1)Théorie 1)ACL standard 1)ACL étendue 1)ACL nommée 1)Mise en place et vérification des ACLs

Création d’une ACL étendue (suite)

Ordre des instructions = Ordre des commandes

Les nouvelles instructions ajoutées sont Toujours à la fin

Impossible de Supprimer/modifier une instruction en particulier

Page 31: - ACL * Access Control List. Sommaire 1)Théorie 1)ACL standard 1)ACL étendue 1)ACL nommée 1)Mise en place et vérification des ACLs

Création d’une ACL étendue (suite)

Pour faire une modification

Copier/coller dans un éditeur de texte Effectuer les modifications voulues Supprimer l’ACL du routeur Insérer les nouvelles instructions dans le routeur

Page 32: - ACL * Access Control List. Sommaire 1)Théorie 1)ACL standard 1)ACL étendue 1)ACL nommée 1)Mise en place et vérification des ACLs

1) ACL nommée

Depuis IOS 11.2

Identification de l’ACL Chaîne alphanumérique au lieu d’un numéro

Peut être de type Standard Étendue

Page 33: - ACL * Access Control List. Sommaire 1)Théorie 1)ACL standard 1)ACL étendue 1)ACL nommée 1)Mise en place et vérification des ACLs

ACL nommée (suite)

2 nouveaux modes de configuration Mode de configuration d’ACL nommée standard Mode de configuration d’ACL nommée étendue

(config-ext-nacl)#ACL nommée étendue

(config-std-nacl)#ACL nommée standard

Invite de commande associéeMode de configuration

Page 34: - ACL * Access Control List. Sommaire 1)Théorie 1)ACL standard 1)ACL étendue 1)ACL nommée 1)Mise en place et vérification des ACLs

ACL nommée (suite)

Intérêt

Identifier facilement une ACL grâce à son nom

Supprimer une instruction particulière Pas besoin de tout supprimer

Page 35: - ACL * Access Control List. Sommaire 1)Théorie 1)ACL standard 1)ACL étendue 1)ACL nommée 1)Mise en place et vérification des ACLs

Création d’une ACL nommée

ip access-list {standard | extended} {nom}

remark {commentaire}

Page 36: - ACL * Access Control List. Sommaire 1)Théorie 1)ACL standard 1)ACL étendue 1)ACL nommée 1)Mise en place et vérification des ACLs

Création d’une ACL nommée (suite)

{permit | deny} {préfixe} [masque] [log]

{permit | deny} {protocole} {préfixe source} {masque source} [{opérateur} {opérande}] {préfixe destination} {masque destination}[{opérateur} {opérande}] [icmp-type] [log] [established]

Page 37: - ACL * Access Control List. Sommaire 1)Théorie 1)ACL standard 1)ACL étendue 1)ACL nommée 1)Mise en place et vérification des ACLs

Création d’une ACL nommée – Exemple

Lab_A( confi g) #i p access- l i st ext ended Test _ACL_Et endueLab_A( confi g- ext - nacl ) #r emar k t est d’ ACL nommée ét endueLab_A( confi g- ext - nacl ) #deny t cp host 10. 0. 0. 1 any eq 80Lab_A( confi g- ext - nacl ) #per mi t i p any any

Lab_A( confi g) #i p access- l i st st andar d Test _ACL_St andar dLab_A( confi g- st d- nacl ) #r emar k t est d’ ACL nommée st andar dLab_A( confi g- st d- nacl ) #deny host 10. 0. 0. 1Lab_A( confi g- st d- nacl ) #per mi t any

Page 38: - ACL * Access Control List. Sommaire 1)Théorie 1)ACL standard 1)ACL étendue 1)ACL nommée 1)Mise en place et vérification des ACLs

1) Mise en place et vérification des ACLs

Mise en place d’une ACL Étape n°1 = Création Étape n°2 = Application

Application possible sur Une interface Une ligne

Page 39: - ACL * Access Control List. Sommaire 1)Théorie 1)ACL standard 1)ACL étendue 1)ACL nommée 1)Mise en place et vérification des ACLs

Application d’une ACL

ip access-group {numéro | nom} {in | out} Mode de configuration d’interface

access-class {numéro | nom} {in | out} Mode de configuration de ligne

Page 40: - ACL * Access Control List. Sommaire 1)Théorie 1)ACL standard 1)ACL étendue 1)ACL nommée 1)Mise en place et vérification des ACLs

Application d’une ACL – Exemple

Lab_A( confi g) #i nt er f ace Fast Et her net 0/ 0Lab_A( confi g- i f ) #i p access- gr oup 101 outLab_A( confi g- i f ) #i p access- gr oup 1 i n

Lab_A( confi g) #l i ne vt y 0 4Lab_A( confi g- l i ne) #access- cl ass 1 i n

Page 41: - ACL * Access Control List. Sommaire 1)Théorie 1)ACL standard 1)ACL étendue 1)ACL nommée 1)Mise en place et vérification des ACLs

Suppression d’une ACL

no access-list {numéro | nom} Mode de configuration globale

Page 42: - ACL * Access Control List. Sommaire 1)Théorie 1)ACL standard 1)ACL étendue 1)ACL nommée 1)Mise en place et vérification des ACLs

Commande show access-lists

show access-lists [numéro | nom]

Lab_A#show access- l i st s St andar d I P access l i st 1 per mi t 10. 0. 0. 1 deny 10. 0. 0. 0, wi l dcar d bi t s 0. 0. 255. 255 per mi t anySt andar d I P access l i st Test _ACL_St andar d deny 10. 0. 0. 1 per mi t anyExt ended I P access l i st 101 per mi t i p host 10. 0. 0. 1 any deny i p 10. 0. 0. 0 0. 0. 255. 255 any per mi t t cp any any eq www deny udp any host 10. 0. 0. 15 eq domai n deny t cp any any r ange 6800 6999 per mi t i p any anyExt ended I P access l i st 102 deny t cp any any eq 443 deny udp any host 10. 0. 0. 1 l t 1024Ext ended I P access l i st Test _ACL_Et endue deny t cp host 10. 0. 0. 1 any eq www per mi t i p any any

Page 43: - ACL * Access Control List. Sommaire 1)Théorie 1)ACL standard 1)ACL étendue 1)ACL nommée 1)Mise en place et vérification des ACLs

Commande show ip interface

show ip interface [{type} {numéro}]

Lab_A#show i p i nt er f ace Fast Et her net 0/ 0Fast Et her net 0/ 0 i s up, l i ne pr ot ocol i s up I nt er net addr ess i s 20. 0. 0. 1/ 8 Br oadcast addr ess i s 255. 255. 255. 255 Addr ess det er mi ned by set up command MTU i s 1500 byt es Hel per addr ess i s not set Di r ect ed br oadcast f or war di ng i s di sabl ed Out goi ng access l i st i s 101 I nbound access l i st i s 1 - - Mor e- -

Page 44: - ACL * Access Control List. Sommaire 1)Théorie 1)ACL standard 1)ACL étendue 1)ACL nommée 1)Mise en place et vérification des ACLs

Placement des ACLs

Page 45: - ACL * Access Control List. Sommaire 1)Théorie 1)ACL standard 1)ACL étendue 1)ACL nommée 1)Mise en place et vérification des ACLs

Questions types CCNA

Page 46: - ACL * Access Control List. Sommaire 1)Théorie 1)ACL standard 1)ACL étendue 1)ACL nommée 1)Mise en place et vérification des ACLs

Questions types CCNA

Page 47: - ACL * Access Control List. Sommaire 1)Théorie 1)ACL standard 1)ACL étendue 1)ACL nommée 1)Mise en place et vérification des ACLs

Questions types CCNA