La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

RE161 ACL : à quoi cela sert-il ? Cest loutil de base pour le filtrage des paquets IP (niveau 3) Interdire certaines actions à certains utilisateurs Une.

Présentations similaires


Présentation au sujet: "RE161 ACL : à quoi cela sert-il ? Cest loutil de base pour le filtrage des paquets IP (niveau 3) Interdire certaines actions à certains utilisateurs Une."— Transcription de la présentation:

1 RE161 ACL : à quoi cela sert-il ? Cest loutil de base pour le filtrage des paquets IP (niveau 3) Interdire certaines actions à certains utilisateurs Une ACL indique au routeur quels sont les paquets quil doit accepter ou refuser contrôle du trafic (seuls les paquets autorisés circulent) amélioration de la performance du réseau (limitation du trafic)

2 RE162 ACL : comment ça marche ? Une ACL est une collection séquentielle d'instructions d'acceptation ou d'interdiction qui s'applique –aux adresses IP –aux protocoles de couche supérieure Une ACL sapplique à une interface orientée dun routeur ACL

3 RE163 ACL : comment ça marche ? Sur une interface, on peut mettre deux ACL : –une en entrée –une en sortie Si plusieurs protocoles de niveau 3 sont utilisés, il faut une ACL par protocole routé E0S0 IP ! IPX ! ApTk ! IP ! IPX ! ApTk ! IP ! IPX ! ApTk ! IP ! IPX ! ApTk !

4 RE164 ACL : comment ça marche ? L'acceptation ou le refus peuvent être fondés sur : –l'adresse IP d'origine –l'adresse IP de destination –le numéro de port Tous les paquets qui arrivent sur linterface dun routeur où une ACL a été activée sont confrontés à cette ACL Un paquet refusé est tout simplement abandonné

5 RE165 ACL : comment ça marche ? Frame arrives at inbound interface L2 address match? No Yes ACL on interface? Yes Any matches? No Route packet to outbound interface No Default Deny Permit? Yes No Yes ACL on interface? Yes Any matches? Permit? Yes No Default Deny No Yes Forward packet No

6 RE166 ACL : comment ça marche ? Lordre des instructions qui composent les ACL est très important Pour chaque paquet, les instructions de lACL sont scrutées dans lordre où elles ont été écrites Dès que le paquet correspond à lune des instructions de lACL, la décision est prise en fonction de cette instruction, et les suivantes ne sont pas consultées Puisque le routeur doit savoir quoi faire pour tous les paquets possibles, toutes les ACL doivent se terminer par une instruction du genre : –Dans tous les autres cas faire … –Une ACL incomplète se termine par défaut par « deny any »

7 RE167 Numérotation des ACL RouteurUTT(config) # access-list ? IP standard access list IP extended access list Protocol type-code access list DECnet access list Appletalk access list 48-bit MAC address access list IPX standard access list IPX extended access list IPX SAP access list Extended 48-bit MAC address access list IPX summary address access list IP standard access list (expanded range) IP extended access list (expanded range) On identifie une liste daccès en lui donnant un numéro Ce numéro identifie aussi le type de liste, et doit respecter les contraintes suivantes :

8 RE168 ACL : notion de masque générique Les instructions qui composent les ACL utilisent une syntaxe de désignation générique de groupes dadresses Cest lutilisation du masque générique qui permet de le faire Un masque générique est une suite de 32 bits : –Un bit 0 de masque générique signifie « vérifier la valeur du bit correspondant » – Un bit 1 signifie « ne pas vérifier (ignorer) la valeur du bit correspondant »

9 RE169 ACL : notion de masque générique Par exemple, si on veut refuser tous les paquets qui viennent des réseaux compris de /24 à /24, linstruction correspondante dans lACL contiendra, entre autres, les termes suivants : –

10 RE1610 ACL : notion de masque générique décimal Adresse IP Masque générique Ainsi, les adresses concernées par cette instruction sont :de à Autrement dit : de à soit de /24 à /24 vérifiés non vérifiés décimalbinaire

11 RE1611 ACL : notion de masque générique Attention ! Un masque générique nest pas un masque de sous- réseau, ni son complémentaire ! Il peut y avoir des « trous » dans un masque générique, pas dans un masque de sous-réseau Par exemple, si je veux désigner seulement les machines paires de lensemble /24 à /24 jécrirai : Le masque est donc dans ce cas : Il y a un « 0 » tout seul !

12 RE1612 ACL : notion de masque générique Cas particuliers : – est équivalent à any – désigne seulement cette adresse et est équivalent à host on ne vérifie rien, pour tous les réseaux, donc toutes les adresses sont concernées par cette instruction

13 RE1613 ACL : syntaxe (Cisco) Deux temps : –Identification du ou des flux (définition de lACL) access-list –Application des règles à une interface (application de lACL) access-group Ces instructions ont des paramètres : –access-list numéro ; action ; qui est concerné –access-group quelle access-list ; dans quel sens

14 RE1614 ACL : syntaxe (Cisco) Application dune liste Rio(config)# interface fastethernet 0/0 Rio(config-if)#ip access-group ? IP access list (standard or extended) IP expanded access list (standard or extended) WORD Access-list name Rio(config-if)# in inbound packets out outbound packets ip access-group 10 ? Vu de lintérieur du routeur

15 RE1615 Deux familles dACL Il existe deux familles dACL : les ACL standards qui ne vérifient que ladresse IP source du paquet filtré les ACL étendues qui vérifient : ladresse IP source ladresse IP destination le protocole de niveau 3 ou 4 le numéro de port

16 RE1616 ACL standard Rio(config)# access-list Rio(config)#access-list 50 permit Refuser ou autoriser Masque générique Pas de masque générique : par défaut deny Nombre compris entre 1 et 99, ou entre 1300 et1999 (IOS recent) cest une ACL standard

17 RE1617 Placement dune ACL standard les ACLs standard ne portent pas mention de la destination Il faut donc les placer le plus près possible de la destination Dans lexemple ci-dessous, que se passe-t-il pour tout le trafic IP si on place un deny sur linterface E0 en entrée de Lab-A ? Que se passe-t-il si on place ce deny sur linterface E0 en sortie de Lab-D ?

18 RE1618 ACL étendue access-list 101 permit ip host any access-list 101 deny ip any access-list 101 deny tcp host eq 23 access-list 101 permit tcp any eq telnet 1.autorise tout le trafic IP venant de lhôte , quelle que soit la destination refuse le trafic venant du réseau /24, quelle que soit la destination 3.interdit à lhôte (only) laccès telnet au réseau /24 4.autorise tous les hôtes du réseau /24 à utiliser telnet vers tous les réseaux ProtocoleSourceDestinationPort eq : equal gt : greater than lt : less than neg : different

19 RE1619 Placement dune ACL étendue les ACLs étendues portent la mention de la destination Il faut donc les placer le plus près possible de la source Dans lexemple ci-dessous, on veut interdire laccès au serveur depuis le réseau : il faut écrire lACL sur le routeur C, lappliquer à E0 en entrée

20 RE1620 Donner un nom à une ACL Les ACL nommées sont apparues à partir de la version 11.2 des IOS cisco. Les avantages sont : –identification intuitive des ACL, un nom est plus parlant quun simple numéro –possibilité de modifier lACL, sans avoir dabord à la détruire puis à la reconstruire (on peut enlever nimporte quelle ligne, mais on ne peut cependant en ajouter une quà la fin de la liste) –au moment de la définition dune lACL nommée, le prompt change, et il nest plus nécessaire de taper access-list et de rappeler le numéro dACL à chaque entrée Rio(config)# ip access-list extended Server-Access Rio(config-ext-nacl)# Standard ou ExtendedNom explicite choisi par ladministrateur permit tcp any host eq smtp Rio(config-ext-nacl)#permit udp any host eq 53 Rio(config-ext-nacl)#[Control + Z] Rio(config-if)# interface f 0/0Rio(config)# ip access-group Server-Access out

21 RE1621 Vérifier les ACL dun routeur show access-lists –montre toutes les ACL du routeur show access-lists {name | number} –montre une ACL en particulier show ip interface {interface-name} –montre les ACL qui sont appliquées a cette interface, et dans quel sens show running-config –montre toutes les ACL et à quelles interfaces elles sont appliquées

22 RE1622 Show access-lists Miami# show access-lists Extended IP access list 102 permit ip any host Extended IP access list mailblock permit tcp any established Miami#

23 RE1623 Méthode de travail Quand on ajoute une nouvelle règle dans une ACL, elle est automatiquement ajoutée à la fin Comment faire pour ajouter une règle au milieu des autres ? –il faut dabord détruire lACL entière –puis la recréer en ajoutant la nouvelle règle au bon endroit Il est donc fortement conseillé de travailler avec un éditeur de texte, et dutiliser « copier coller » Il est souvent bien utile de tester ses ACLs sur un routeur de test hors ligne Nhésitez pas à créer une bibliothèque dACLs

24 RE1624 Restriction daccès aux terminaux virtuels Les ports daccès telnet au routeur sont appelés vty lines Il y en a 4 (0 à 4) ou 16 (0 à 15) sur les IOS récents On doit en restreindre laccès par des ACL On applique la même ACL sur tous les terminaux, il est impossible den distinguer un parmi les autres La création de lACL est la même que pour nimporte quelle interface Lapplication de lACL aux lignes vty se fait par linstruction access-class (et pas access-group) Rio(config)# line vty 0 4 Rio(config-line)#login Rio(config-line)#password Cisco Rio(config-line)#access-class 2 in Rio(config-line)#end Rio#

25 RE1625 ACL : surveillance du trafic Les routeurs peuvent être programmés pour générer un message à chaque paquet refusé Ce message, envoyé dans un fichier « log » sur un serveur, contiendra tous les paramètres didentification du paquet refusé Cest un bon moyen de savoir qui cherche à faire des choses interdites sur le réseau

26 RE1626 Exemple de surveillance On interdit à toutes les machines du réseau /16 de faire telnet sur la machine Le serveur syslog a enregistré deux tentatives de connexion, une de et une de

27 RE1627 Firewall Les ACL sont utilisées sur les routeurs et sur les firewalls de la même manière Les ACL sont appliquées en permanence à tous les paquets IP et sont donc grandes consommatrices de ressource CPU Le firewall procède en plus à des vérifications sur le contenu des paquets et bien souvent réalise la translation des adresses Web Server FTP Server DMZ ExternalInternal ACL et firewall

28 RE1628 Proposition darchitecture Pour soulager le firewall, on peut confier les ACL à un routeur placé en tête de réseau Web Server FTP Server External Internal ACL Firewall DMZ

29 RE1629 ACL : exemple

30 RE1630 Conclusion Les ACL permettent de nautoriser que le trafic utile Deux stratégies : –tout autoriser, puis ninterdire que ce qui est inutile –tout interdire, puis nautoriser que ce qui est utile il faut spécifier les règles de filtrage de la plus spécifique à la plus générale toutes les ACL se terminent par un deny ip any any implicite quand une règle applicable est trouvée, les autres ne sont pas testées Les ACLs étendues sont à préférer car elles évitent la propagation au delà du premier routeur des paquets qui sont à filtrer

31 RE1631 Conclusion Il existe dautres type dACL –les ACL dynamiques –les ACL « réflexives » –les ACL à caractère temporel –les turbo ACL –et le ACL dépendantes du contexte


Télécharger ppt "RE161 ACL : à quoi cela sert-il ? Cest loutil de base pour le filtrage des paquets IP (niveau 3) Interdire certaines actions à certains utilisateurs Une."

Présentations similaires


Annonces Google