LES ACL ◦ Messaoudi Othmane Travail réalisé par : ◦ Ben Salah Amine ◦ Chahid Amine ◦ Messaoudi Othmane
Sommaire: Définition Types de protocoles Logique Les caractéristiques des ACL Traitement La différence entre la liste d’accès standard et liste d’accés étendue Désignation d’une liste d’accès Le masque générique ( WILDCARD MASK ) Règles d’application Syntaxe des commandes Optimisation du masque générique
Logique
Désignation d’une liste d’accès Plage IP 1 - 99 et 1300 - 1999 IP étendu 100 - 199 et 2000 - 2 Apple Talk 600 - 699 IPX 800 - 899 IPX étendu 900 - 999 Protocole IPX Service Advertising 1000 - 1099
Le masque générique ( WILDCARD MASK ) Adresse de référence : 10.1.1.0 Masque générique : 0.0.0.255 Adresse de référence (binaire) : 00001010. 00000001. 00000001.00000000 Masque générique (binaire) : 00000000. 00000000. 00000000.11111111
Tous les bits seront examinés Masque générique Version binaire Description 0.0.0.0 00000000.00000000.00000000.00000000 Tous les bits seront examinés 0.0.0.255 00000000.00000000.11111111.11111111 Les 16 premiers bits seront examinés 0.255.255.255 00000000.11111111.11111111.11111111 Les 8 premiers bits seront examinés
0.255.255.255 00000000.11111111.11111111.11111111 Les 8 premiers bits seront examinés 255.255.255.255 11111111.11111111.11111111.11111111 L'adresse ne sera pas examinée. Tous les bits correspondent d'emblée 0.0.15.255 00000000.00000000.00001111.11111111 Les 20 premiers bits seront examinés 0.0.3.255 00000000.00000000.00000011.11111111 Les 22 premiers bits seront examinés 32.48.0.255 00100000.00110000.00000000.11111111 Tous les bits seront examinés sauf le 3ème, le 11ème, le 12ème et les 8 derniers
Syntaxe des commandes • Liste d’accès standard • Liste d’accès étendue • Liste d’accès nommée • Activation d'une liste d'accès sur une interface • Filtrage fin • Activation d’une liste d’accès sur une interface • Diagnostic
Liste d’accès standard Router(config)#access-list numéro-liste-accès {deny|permit} adresse-source [masque-source] [log] Liste d'accès étendue Router(config)#access-list numéro-liste- accès {deny|permit} protocole adresse-source masque-source [opérateur port] adresse-destination masque-destination [opérateur port] [log]
Activation d'une liste d'accès sur une interface. Liste d'accès nommée Router(config)#ip access-list standard nom Router(config-ext-nacl)#permit|deny … Router(config)#ip access-list extended nom Router(config-ext-nacl)#permit|deny … Activation d'une liste d'accès sur une interface. Router(config-if)#ip access-group {numéro-liste- accès|nom [in | out]}
Diagnostic Router#show ip interface [type numéro] Router#show access-lists [numéro-liste-accès|nom-liste-accès] Router#show ip access-list [numéro-liste-accès|nom-liste-accès]
Inconvénients De nombreuses applications utilisant des numéro de port dynamiques Les gestionnaires de réseau ont deux possibilités : Bloquent les applications utilisant des numéros de ports imprédictibles Protégent les ports connus et laissaient certaines plages de numéros de ports accessibles depuis l’extérieur entraînant par la même des failles dans la mise en œuvre de la sécurité .
Conclusion sur les ACL Méthode de filtrage la plus sure : sur l’autorisation de ce qui est demande et l’interdiction du reste Un certain nombre de protocole utilisent des ports défini de manière dynamique Obligé a laisser un grand nombre de ports (TCP et UDP ) accessibles depuis l’extérieur