- ACL * Access Control List

Sommaire 1)Théorie 1)ACL standard 1)ACL étendue 1)ACL nommée 1)Mise en place et vérification des ACLs

Théorie Principe fondamental Masque générique

Principe fondamental ACL* Liste séquentielle dinstructions Filtrage des paquets Filtrage Autoriser ou interdire En entrée ou en sorties * Access Control List

Principe fondamental (suite) Une ACL au maximum par Protocole Interface Direction

Parcours des instructions

Critères spécifiables dans une ACL Adresses sources Adresses de destination Protocoles utilisés (toute couche) Numéros de ports (couche 4)

Types dACLs ACL Numéroté Standard Étendue ACL nommée Standard Étendue Identifiable grâce au numéro ou au nom associé

Numéros dACL IPX/SAP1000 à 1099 Étendue pour IPX900 à 999 Standard pour IPX800 à 899 AppleTalk600 à 699 Étendue pour IP 100 à à 2699 Standard pour IP 1 à à 1999 Type dACL associéPlage de numéros

Avantage et inconvénients des ACLs Avantage Fournir une base de sécurité réseau Inconvénients Traitement CPU supplémentaire Latence réseau augmentée

Configuration des ACLs 2 étapes Création de lACL Application de lACL sur une interface réseau

Précautions à prendre Instructions toujours parcourues de la 1 ère à la dernière, jusquà correspondance Si aucune correspondance Dernière instruction implicite utilisée (deny all) ACL appliquée mais non configurée Seule instruction = Instruction implicite Tout trafic interdit

Précautions à prendre (suite) Lors de la création Procéder du plus restrictif au plus générique ACL IP qui interdit un paquet Envoie dun message ICMP Host Unreachable ACL pour trafic sortant Naffecte pas le trafic provenant du routeur local

Masque générique Utilisation de Préfixes réseaux Masques génériques (Wildcard Mask) Intérêt Identifier des plages dadresses

Masque générique (suite) 32 bits Notation décimale pointée Signification binaire "0" = Doit correspondre "1" = Peut varier

Masque générique (suite) Par rapport à un masque de sous-réseau Inversion binaire En notation décimale pointée = Complément à 255 du masque de sous-réseau correspondant

Masque générique (suite) Conséquence Valeurs précises pour un masque générique

Écritures spécifiques Pour 2 masques génériques précis = 1 seule adresse {IP} { } = host {IP} = Toutes les adresses {IP} { } = any

1)ACL standard Permet Dinterdire ou dautoriser les adresses réseaux De filtrer les informations dans les MAJ de routage Peut être spécifié Les adresses sources

Création dune ACL standard access-list {numéro} {permit | deny} {préfixe} [masque générique] [log] access-list {numéro} {remark} {commentaire} Mode de configuration globale

Création dune ACL standard – Exemple

Création dune ACL standard (suite) Ordre des instructions = Ordre des commandes Les nouvelles instructions ajoutées Toujours à la fin Impossible de Supprimer/modifier une instruction en particulier

Création dune ACL standard (suite) Pour faire une modification Copier/coller dans un éditeur de texte Effectuer les modifications voulues Supprimer lACL du routeur Insérer les nouvelles instructions dans le routeur

1)ACL étendue Permet Dinterdire ou dautoriser un type de trafic particulier De filtrer plus précisément quavec une ACL standard Peut être spécifié Adresses sources Adresses de destination Protocole Numéro de port

Création dune ACL étendue access-list {numéro} {permit | deny} {protocole} {préfixe source} {masque source} [{opérateur} {opérande}] {préfixe destination} {masque destination} [{opérateur} {opérande}] [icmp-type] [log] [established] access-list {numéro} {remark} {commentaire}

Création dune ACL étendue (suite) Protocole Nom (IP, TCP, UDP, etc.) ou numéro (de 0 à 255) de protocole

Création dune ACL étendue (suite) opérateur/opérande Pour TCP et UDP uniquement Précise les numéros de ports Pour la source et/ou la destination Entre (nécessite 2 numéros de port) range Supérieur àgt Inférieur àlt Différent deneq Égal àeq SignificationOpérateur

Création dune ACL étendue (suite) icmp-type Nom ou numéro de message ICMP à filtrer Established Uniquement avec TCP Correspond aux sessions TCP déjà établies

Création dune ACL étendue – Exemple

Création dune ACL étendue (suite) Ordre des instructions = Ordre des commandes Les nouvelles instructions ajoutées sont Toujours à la fin Impossible de Supprimer/modifier une instruction en particulier

Création dune ACL étendue (suite) Pour faire une modification Copier/coller dans un éditeur de texte Effectuer les modifications voulues Supprimer lACL du routeur Insérer les nouvelles instructions dans le routeur

1)ACL nommée Depuis IOS 11.2 Identification de lACL Chaîne alphanumérique au lieu dun numéro Peut être de type Standard Étendue

ACL nommée (suite) 2 nouveaux modes de configuration Mode de configuration dACL nommée standard Mode de configuration dACL nommée étendue (config-ext-nacl)#ACL nommée étendue (config-std-nacl)#ACL nommée standard Invite de commande associéeMode de configuration

ACL nommée (suite) Intérêt Identifier facilement une ACL grâce à son nom Supprimer une instruction particulière Pas besoin de tout supprimer

Création dune ACL nommée ip access-list {standard | extended} {nom} remark {commentaire}

Création dune ACL nommée (suite) {permit | deny} {préfixe} [masque] [log] {permit | deny} {protocole} {préfixe source} {masque source} [{opérateur} {opérande}] {préfixe destination} {masque destination}[{opérateur} {opérande}] [icmp- type] [log] [established]

Création dune ACL nommée – Exemple

1)Mise en place et vérification des ACLs Mise en place dune ACL Étape n°1 = Création Étape n°2 = Application Application possible sur Une interface Une ligne

Application dune ACL ip access-group {numéro | nom} {in | out} Mode de configuration dinterface access-class {numéro | nom} {in | out} Mode de configuration de ligne

Application dune ACL – Exemple

Suppression dune ACL no access-list {numéro | nom} Mode de configuration globale

Commande show access-lists show access-lists [numéro | nom]

Commande show ip interface show ip interface [{type} {numéro}]

Placement des ACLs

Questions types CCNA