La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

- ACL * Access Control List. Sommaire 1)Théorie 1)ACL standard 1)ACL étendue 1)ACL nommée 1)Mise en place et vérification des ACLs.

Présentations similaires


Présentation au sujet: "- ACL * Access Control List. Sommaire 1)Théorie 1)ACL standard 1)ACL étendue 1)ACL nommée 1)Mise en place et vérification des ACLs."— Transcription de la présentation:

1 - ACL * Access Control List

2 Sommaire 1)Théorie 1)ACL standard 1)ACL étendue 1)ACL nommée 1)Mise en place et vérification des ACLs

3 Théorie Principe fondamental Masque générique

4 Principe fondamental ACL* Liste séquentielle dinstructions Filtrage des paquets Filtrage Autoriser ou interdire En entrée ou en sorties * Access Control List

5 Principe fondamental (suite) Une ACL au maximum par Protocole Interface Direction

6 Parcours des instructions

7 Critères spécifiables dans une ACL Adresses sources Adresses de destination Protocoles utilisés (toute couche) Numéros de ports (couche 4)

8 Types dACLs ACL Numéroté Standard Étendue ACL nommée Standard Étendue Identifiable grâce au numéro ou au nom associé

9 Numéros dACL IPX/SAP1000 à 1099 Étendue pour IPX900 à 999 Standard pour IPX800 à 899 AppleTalk600 à 699 Étendue pour IP 100 à à 2699 Standard pour IP 1 à à 1999 Type dACL associéPlage de numéros

10 Avantage et inconvénients des ACLs Avantage Fournir une base de sécurité réseau Inconvénients Traitement CPU supplémentaire Latence réseau augmentée

11 Configuration des ACLs 2 étapes Création de lACL Application de lACL sur une interface réseau

12 Précautions à prendre Instructions toujours parcourues de la 1 ère à la dernière, jusquà correspondance Si aucune correspondance Dernière instruction implicite utilisée (deny all) ACL appliquée mais non configurée Seule instruction = Instruction implicite Tout trafic interdit

13 Précautions à prendre (suite) Lors de la création Procéder du plus restrictif au plus générique ACL IP qui interdit un paquet Envoie dun message ICMP Host Unreachable ACL pour trafic sortant Naffecte pas le trafic provenant du routeur local

14 Masque générique Utilisation de Préfixes réseaux Masques génériques (Wildcard Mask) Intérêt Identifier des plages dadresses

15 Masque générique (suite) 32 bits Notation décimale pointée Signification binaire "0" = Doit correspondre "1" = Peut varier

16 Masque générique (suite) Par rapport à un masque de sous-réseau Inversion binaire En notation décimale pointée = Complément à 255 du masque de sous-réseau correspondant

17 Masque générique (suite) Conséquence Valeurs précises pour un masque générique

18 Écritures spécifiques Pour 2 masques génériques précis = 1 seule adresse {IP} { } = host {IP} = Toutes les adresses {IP} { } = any

19 1)ACL standard Permet Dinterdire ou dautoriser les adresses réseaux De filtrer les informations dans les MAJ de routage Peut être spécifié Les adresses sources

20 Création dune ACL standard access-list {numéro} {permit | deny} {préfixe} [masque générique] [log] access-list {numéro} {remark} {commentaire} Mode de configuration globale

21 Création dune ACL standard – Exemple

22 Création dune ACL standard (suite) Ordre des instructions = Ordre des commandes Les nouvelles instructions ajoutées Toujours à la fin Impossible de Supprimer/modifier une instruction en particulier

23 Création dune ACL standard (suite) Pour faire une modification Copier/coller dans un éditeur de texte Effectuer les modifications voulues Supprimer lACL du routeur Insérer les nouvelles instructions dans le routeur

24 1)ACL étendue Permet Dinterdire ou dautoriser un type de trafic particulier De filtrer plus précisément quavec une ACL standard Peut être spécifié Adresses sources Adresses de destination Protocole Numéro de port

25 Création dune ACL étendue access-list {numéro} {permit | deny} {protocole} {préfixe source} {masque source} [{opérateur} {opérande}] {préfixe destination} {masque destination} [{opérateur} {opérande}] [icmp-type] [log] [established] access-list {numéro} {remark} {commentaire}

26 Création dune ACL étendue (suite) Protocole Nom (IP, TCP, UDP, etc.) ou numéro (de 0 à 255) de protocole

27 Création dune ACL étendue (suite) opérateur/opérande Pour TCP et UDP uniquement Précise les numéros de ports Pour la source et/ou la destination Entre (nécessite 2 numéros de port) range Supérieur àgt Inférieur àlt Différent deneq Égal àeq SignificationOpérateur

28 Création dune ACL étendue (suite) icmp-type Nom ou numéro de message ICMP à filtrer Established Uniquement avec TCP Correspond aux sessions TCP déjà établies

29 Création dune ACL étendue – Exemple

30 Création dune ACL étendue (suite) Ordre des instructions = Ordre des commandes Les nouvelles instructions ajoutées sont Toujours à la fin Impossible de Supprimer/modifier une instruction en particulier

31 Création dune ACL étendue (suite) Pour faire une modification Copier/coller dans un éditeur de texte Effectuer les modifications voulues Supprimer lACL du routeur Insérer les nouvelles instructions dans le routeur

32 1)ACL nommée Depuis IOS 11.2 Identification de lACL Chaîne alphanumérique au lieu dun numéro Peut être de type Standard Étendue

33 ACL nommée (suite) 2 nouveaux modes de configuration Mode de configuration dACL nommée standard Mode de configuration dACL nommée étendue (config-ext-nacl)#ACL nommée étendue (config-std-nacl)#ACL nommée standard Invite de commande associéeMode de configuration

34 ACL nommée (suite) Intérêt Identifier facilement une ACL grâce à son nom Supprimer une instruction particulière Pas besoin de tout supprimer

35 Création dune ACL nommée ip access-list {standard | extended} {nom} remark {commentaire}

36 Création dune ACL nommée (suite) {permit | deny} {préfixe} [masque] [log] {permit | deny} {protocole} {préfixe source} {masque source} [{opérateur} {opérande}] {préfixe destination} {masque destination}[{opérateur} {opérande}] [icmp- type] [log] [established]

37 Création dune ACL nommée – Exemple

38 1)Mise en place et vérification des ACLs Mise en place dune ACL Étape n°1 = Création Étape n°2 = Application Application possible sur Une interface Une ligne

39 Application dune ACL ip access-group {numéro | nom} {in | out} Mode de configuration dinterface access-class {numéro | nom} {in | out} Mode de configuration de ligne

40 Application dune ACL – Exemple

41 Suppression dune ACL no access-list {numéro | nom} Mode de configuration globale

42 Commande show access-lists show access-lists [numéro | nom]

43 Commande show ip interface show ip interface [{type} {numéro}]

44 Placement des ACLs

45 Questions types CCNA

46

47


Télécharger ppt "- ACL * Access Control List. Sommaire 1)Théorie 1)ACL standard 1)ACL étendue 1)ACL nommée 1)Mise en place et vérification des ACLs."

Présentations similaires


Annonces Google