La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Sécurité - Listes d'Accès - Numérotation des entrées

Publié parMadeleine Drapeau Modifié depuis plus de 6 années

Présentations similaires

Présentation au sujet: "Sécurité - Listes d'Accès - Numérotation des entrées"— Transcription de la présentation:

1 Sécurité - Listes d'Accès - Numérotation des entrées
ccnp_cch

2 Sommaire • Introduction - Contenu
• Restrictions pour la numérotation des entrées des listes d'accès IP • Informations sur la numérotation des entrées des listes d'accès But des listes d'accès - Comment fonctionne une liste d'accès? Numérotation des entrées des listes d'accès IP • Comment utiliser les numéros de séquence dans une liste d'accès IP - Numéroter les entrées d'une liste d'accès et modifier la liste d'accès • Exemples de configuration pour la numérotation des entrées des listes d'accès IP - Exemple: Reséquencement des entrées dans une liste d'accès - Exemple: Ajout d'entrées avec des numéros de séquence - Exemple: Entrée sans numéro de séquence ccnp_cch

3 Restrictions pour la numérotation des entrées des listes d'accès IP
Introduction Les utilisateurs peuvent appliquer des numéros de séquence aux instructions permit ou deny et également reséquencer, ajouter ou supprimer ces instructions d'une liste d'accès IP nommée. Cette fonctionnalité rend la modification de listes d'accès plus facile. Avant cette fonctionnalité, les utilisateurs pouvaient ajouter des entrées à une liste d'accès uniquement à la fin de la liste d'accès; par conséquent le besoin d'ajout d'une instruction sauf à la fin nécessitait une reconfiguration complète de la liste d'accès. Release Modification 12.2(14)S Cette fonctionnalité a été introduite 12.2(15)T Cette fonctionnalité a été intégrée dans l'IOS Cisco 12.2(15)T 12.3(2)T Cette fonctionnalité a été intégrée dans l'IOS Cisco 12.3(2)T Contenu ● Restrictions pour la numérotation des entrées des listes d'accès IP ● Informations sur la numérotation des entrées des listes d'accès IP ● Comment utiliser les numéros de séquence dans une liste d'accès IP ● Exemple de configuration pour la numérotation des entrées des listes d'accès IP Restrictions pour la numérotation des entrées des listes d'accès IP ● Cette fonctionnalité ne supporte pas les listes d'accès dynamiques, réflexives ou de pare-feu. ● Cette fonctionnalité ne supporte pas les anciennes listes d'accès numérotées qui existaient avant les listes d'accès nommées. Gardez en mémoire que vous pouvez nommer une liste d'accès avec un numéro, les numéros sont également autorisés quand ils sont entrés dans les listes d'accès standards et étendues en mode de configuration. Informations sur la numérotation des entrées des listes d'accès Avant de reséquencer ou d'ajouter des entrées à une liste d'accès IP, vous devez comprendre les concepts suivants: ● But des listes d'accès ● Comment fonctionne une liste d'accès? ● Numérotation des entrées des listes d'accès IP ccnp_cch

4 ccnp_cch But des listes d'accès
Les listes d'accès réalisent le filtrage de paquets pour contrôler quels paquets traver- sent le réseau et où. Un tel contrôle peut aider à limiter le trafic réseau et restreint l'accès des utilisateurs et des équipements au réseau. Les listes d'accès ont plusieurs usages et par conséquent plusieurs commandes acceptent une référence à une liste d'accès dans la syntaxe de la commande. Les listes d'accès peuvent être utilisées pour réaliser: ● Filtrage de paquets entrants sur une interface ● Filtrage de paquets sortants sur une interface ● Restreindre le contenu de mises à jour de routage ● Limiter la sortie de debug sur la base d'une adresse ou d'un protocole ● Contrôler l'accès aux lignes d'accès terminal ● Identifier ou classer le trafic pour des fonctionnalités avancées telles que l'évitement de congestion, la gestion de congestion et les files d'attente par priorité et personnalisées ● Identifier le trafic intéressant pour le déclenchement des appels pour le DDR ( Dial on Demand Routing). Comment fonctionnent les listes d'accès? Une liste d'accès est une liste séquentielle contenant au moins une instruction permit et probablement une ou plusieurs instructions deny qui s'appliquent à des adresses IP et probablement à des protocoles IP de couches hautes. La liste d'accès a un nom avec lequel elle est référencée. Plusieurs commandes du logiciel acceptent une liste d'accès dans leur syntaxe. Une liste d'accès peut être configurée et nommée mais elle n'est pas opérationnelle tant que que celle-ci n'est pas référencée par une commande qui accepte les listes d'accès. Plusieurs commandes peuvent faire référence à la même liste d'accès. Une liste d'accès peut contrôler le trafic quittant ou arrivant sur le routeur mais pas le trafic issu du routeur. Processus et règles des listes d'accès ● Le logiciel teste l'adresse source ou destination ou le protocole de chaque paquet devant être filtré d'après les conditions de la liste d'accès, une seule condition à la fois (instruction permit ou deny) ● Si un paquet ne correspond pas avec une instruction de la liste d'accès, le paquet est testé avec l'instruction suivante de la liste ● Si un paquet et une instruction de la liste d'accès correspondent, le reste des ins tructions de la liste n'est exécuté et le paquet est permis ou rejeté selon l'instruc tion de la liste. La première entrée qui correspond avec le paquet détermine si le logiciel permet ou rejette le paquet. Ce qui veut dire que après la première corres pondance les entrées suivantes ne pas prises en compte. ccnp_cch

5 ● Si la liste d'accès rejette l'adresse ou le protocole, le logiciel élimine le paquet et retourne un message ICMP "destination unreachable" ● Si aucune condition ne correspond, le logiciel élimine le paquet. Ceci est du au fait que chaque liste d'accès se termine avec une instruction deny implicite non écrite Ce qui signifie que si le paquet n'a pas été permis par les instructions, il est rejeté ● La liste d'accès doit contenir au moins une instruction permit sinon tous les pa quets sont rejetés ● Parce que le logiciel arrête de vérifier les conditions après la première correspon dance, l'ordre des conditions est dritique. Les mêmes instructions deny ou permit spécifiées dans un ordre différent peuvent résulter à l'autorisation d'un paquet dans un cas et au rejet du même paquet dans l'autre cas ● Si une liste d'accès est référencée par un nom dans une commande, mais si cette liste d'accès n'existe pas alors tous les paquets sont permis ● Une seule liste d'accès par interface, par protocole et par direction est autorisée ● Les listes d'accès en entrée traitent les paquets arrivant sur le routeur. Les paquets entrants sont traités avant d'être routés sur l'interface de sortie. Une liste d'accès en entrée est efficace car elle diminue la recherche de route si le pquet doit être éliminé par le filtrage. Si le paquet est permis par les tests alors il est traité par le routage. Pour les listes d'accès en entrée permi signifie continuer à triter le paquet après l'avoir reçu sur une interface d'entrée, deny signifie éliminer le paquet ● Les listes d'accès en sortie traitent les paquets avant qu'ils ne quittent le routeur Les paquets entrants sont routés vers l'interface de sortie et sont ensuite traités par la liste d'accès en sortie. Pour les listes d'accès en sortie, permit signifie trans mettre le paquet dans le buffer de sortie; deny signifie élimner le paquet. Conseils utiles pour la création de listes d'accès ● Créer la liste d'accès avant de l'appliquer à l'interface. Une interface avec une liste d'accès inexistante appliquée permet tout le tradfic ● Une autre raison de configurer une liste d'accès avant de l'appliquer est que si vous appliquez une liste d'accès inexistante à une interface et que vous configurez la liste d'accès, la première instruction prend effet immédiatement et l'instruction deny implicite qui suit peut causer des problèmes immédiats. ● Parce que le logiciel arrête de tester les conditions après la première correspon dance rencontrée (soit permit soit deny), vous réduirez le temps de traitement et les ressources si vous placez les conditions auxquelles les paquets correspondent le plus souvent au début de la liste d'accès. Placez les conditions les plus fréquen tes avant les conditions les moins fréquentes ● Organisez votre liste d'accès de façon à ce que les références les plus spécifiques dans un réseau ou sous-réseau apparaissent avant les plus générales. ccnp_cch

6 ● Pour que les instructions soient bien comprises par une lecture rapide, vous pou vez placer des remarques d'aide avant ou après chaque instruction Adresses source et destination L'adresse source et l'adresse destination sont deux des champs les plus typiques dans un paquet IP sur lesquels sont basées les listes d'accès. Spécifier des adresses source pour contrôler les paquets issus de certains équipements de réseau ou de hosts. Spécifier les adresses destination pour contrôler les paquets à envoyer vers certains équipements de réseau ou de hosts. Masque générique et masque générique implicite Le filtrage d'adresse utilise le masque générique pour indiquer au logiciel s'il doit vé- rifier ou ignorer les bits d'adresse correspondant quand il compare les bits d'adresse d'une liste d'accès. En choisissant soigneusement les masques génériques, un admi- nistrateur peut sélectionner une seule ou plusieurs adresses IP pour des tests d'auto- risation ou de rejet. Le masquage générique pour les bits d'adresse IP utilise un "1" ou un "0" pour indi- quer comment le logiciel traite les bits d'adresse correspondants. Un masque généri- que est également appelé masque inversé car le "1" et le "0" ont une signification in- verse de celle qu'ils ont dans un masque de sous-réseau ● Un bit "0" du masque générique signifie vérifier la valeur correspondante ● Un bit "1" du masque générique signifie ignorer la valeur correspondante. Si vous ne donnez pas de masque générique avec l'adresse source ou destination dans l'instruction de la liste d'accès, le logiciel affecte un masque générique par défaut qui est Au contraire des masques de sous-réseaux qui requièrent des bits contigus indiquant que le réseau et le sous-réseau forment un tout, le masque générique autorise des bits non contigus dans le masque. Information de couche transport Vous pouvez filtrer les paquets sur la base des informations de couche transport tel- les que le paquet est soit un paquet TCP, UDP, ICMP ou IGMP. ccnp_cch

7 ccnp_cch Numérotation des entrées de liste d'accès
Avantages La possibilité d'appliquer des numéros de séquence aux entrées de listes d'accès sim- plifie les modifications des listes d'accès. Avant cette fonctionnalité, il n'y avait pas de moyen pour spécifier la position d'une entrée à l'intérieur d'une liste d'accès. Si un utilisateur voulait insérer une entrée (instruction) dans le milieu de la liste existante, toutes les entrées après la position désirée devaient être retirées et ensuite la nouvel- le entrée était ajoutée puis les entrées retirées étaient à leur tour ajoutées. Cett mé- thode était contraignante et propice aux erreurs. Cette fonctionnalité autorise les utilisateurs à ajouter des numéros de séquence aux entrées des listes d'accès et de les reséquencer. Quand un utilisateur ajoute une nou- velle entrée, celui-ci choisit le numéro de séquence pour qu'il soit à la position dési- rée dans la liste d'accès. Si nécessaire, les entrées déjà présentes dans la liste d'accès peuvent être reséquencées pour créer de la place afin d'insérer de nouvelles entrées. Comportement du séquencement ● Pour une compatibilité arrière avec les releases précédentes, si des entrées sans numéro de séquence sont appliquées, la première entrée a le numéro 10 et les en trées suivantes sont numérotées par pas de 10. Le numéro de séquence maximum est Si le numéro de séquence généré excède cette valeur maximum, le message suivant est affiché: Exceeded maximum sequence number ● Si l'utilisateur entre une entrée sans numéro de séquence, un numéro de séquen- ce augmenté de 10 par rapport à la dernière séquence entrée est affecté et l'entrée est placée en fin de liste d'accès ● Si l'utilisateur entre une entrée qui correspond à une entrée existante (excepté le numéro de séquence) alors aucune modification n'est effectuée ● Si l'utilisateur entre un numéro de séquence déjà présent, le message d'erreur sui vant est généré: Duplicate sequence number ● Si une nouvelle liste d'accès est créée à partir du mode de configuration global alors les numéros de séquence sont automatiquement générés pour cette liste d'accès ● Le support distribué est fourni pour que les numéros de séquence des entrées dans le RP (Route Processor) et les cartes de lignes (LC) soient toujours synchro nisés ● Les numéros de séquence ne sont pas sauvegardés. Dans l'éventualité d'un rechargement système, les numéros de séquence configurés reviennent à la nu mérotation par défaut pour le premier numéro et l'incrémentation. Cette fonction est fournie pour garder une compatibilité arrière avec les releases de logiciel ne supportant pas les numéros de séquence ● Cette fonctionnalité n'est disponible que pour les listes d'accès IP nommées et étendues. Comme le nomd'une liste d'accès peut être un numéro, les numéros sont acceptés. ccnp_cch

8 Comment utiliser les numéros dans une liste d'accès IP
Cette section décrit comment utiliser les numéros de séquence dans les listes d'accès IP. ● Séquencement des entrées de listes d'accès et modification de la liste d'accès. Séquencement des entrées de listes d'accès et modification de la liste d'accès. Cette tâche montre comment affecter des numéros de séquence aux entrées dans une liste d'accès nommée et comment ajouter et effacer une entrée de ou vers une liste d'accès. Il est présumé qu'un utilisateur veut modifier une liste d'accès. Le con- texte de la tâche est le suivant: ● Un utilisateur n'a pas besoin de reséquencer sans raison; le reséquencement est en général otionnel. L'étape de reséquencement dans cette tâche est marquée comme requise car c'est un des buts de cette fonctionnalité et cette tâche est la démonstration de cette fonctionnalité ● L'étape 5 apparaît comme une instruction permit et l'étape 6 comme une instruc tion deny mais elles n'ont pas besoin d'être dans cet ordre. Sommaire des étapes enable configure terminal ip access-list resequence access-list-name starting-sequence-number increment 4. ip access-list {standard|extended} access-list-name 5. sequence-number permit source source-wildcard ou sequence-number permit protocol source source-wildcard destination destination wildcard [precedence precedence] [tos tos] [log] [time-range time-range-name] [fragments] 6. sequence-number deny source source-wildcard ou sequence-number deny protocol source source-wildcard destination destination wildcard [precedence precedence] [tos tos] [log] [time-range time-range-name] [fragments] 7. Répétez les étapes 5 et/ou 7 si nécessaire, en ajoutant des instructions avec des numéros de séquence que vous avez prévus. Utilisez la commande no séquence-number pour effacer une entrée. 8. end show ip access-lists access-list-name ccnp_cch

9 Etapes détaillées ccnp_cch Commande ou Action But enable
Exemple: Router> enable Valide le mode EXEC privilégié. Entrez un mot de passe si nécessaire. configure terminal Exemple: Router# configure terminal Entre en mode de configuration global ip access-list resequence access-list-name starting-sequence-number increment Exemple: Router(config)# ip access-list resequence kmd Reséquence la liste d'accès spécifiée en uti- lisant le numéro de séquence de départ et le pas des numéros de séquence. ● Cet exemple reséquence une liste d'accès nommée kmd1. Le numéro de séquence de départ est 100 et le pas est ip access-list [standard|extended] access-list-name Exemple: Router(config)# ip access-list standard kmd1 Spécifie la liste d'accès par un nom et entre en mode de configuration liste d'accès nommée. ● Si vous spécifiez standard, assurez vous de spécifier par les suites les instructions permit ou deny en utili- sant la syntaxe des listes d'accès stan- dards. ● Si vous spécifiez extended, assurez vous de spécifier par les suites les instructions permit ou deny en utili- sant la syntaxe des listes d'accès éten- dues. ccnp_cch

10 ccnp_cch Commande ou Action But
sequence-number permit source source-wilcard ou sequence-number permit protocol source source-wildcard destination destination- wildcard [precedence precedence] [tos tos] [log] [time-range time-range-name] [fragments] Exemple: Router(config-std-nacl)# 105 permit Spécifie une instruction permit en mode liste d'accès IP nommée. ● Cette liste d'accès utilise une instruc- tion permit en premier mais une ins- truction deny peut apparaître en pre- mier selon l'ordre des instructions dont vous avez besoin. ● Voir la commande permit (IP) pour une syntaxe additionnelle pour permettre les protocoles de couches hautes (TCP, UDP, ICMP, IGMP). ● Utilisez la commande no sequence number pour effacer une entrée. ● Comme le prompt l'indique, cette liste d'accès est une liste d'accès standard. Si vous aviez spécifié extended à l'éta- pe 4, le prompt pour cette étape aurait été Router(config-ext-nacl) et vous auriez utilisé la syntaxe de la comman- de permit pour les listes d'accès éten- dues. sequence-number deny source source-wilcard ou sequence-number deny protocol source source-wildcard destination destination- wildcard [precedence precedence] [tos tos] [log] [time-range time-range-name] [fragments] Exemple: Router(config-std-nacl)# 105 deny Spécifie une instruction permit en mode liste d'accès IP nommée. ● Cette liste d'accès utilise une instruc- tion deny en premier mais une ins- truction permit peut apparaître en pre- mier selon l'ordre des instructions dont vous avez besoin. ● Voir la commande permit (IP) pour une syntaxe additionnelle pour permettre les protocoles de couches hautes (TCP, UDP, ICMP, IGMP). ● Utilisez la commande no sequence number pour effacer une entrée. ● Comme le prompt l'indique, cette liste d'accès est une liste d'accès standard. Si vous aviez spécifié extended à l'éta- pe 4, le prompt pour cette étape aurait été Router(config-ext-nacl) et vous auriez utilisé la syntaxe de la comman- de deny pour les listes d'accès éten- dues. Répétez les deux étapes précédentes si nécessaire en ajoutant des numéros de séquence que vous avez prévus. Utilisez la commande no sequence-number pour effacer une entrée. Vous permet de modifier la liste d'accès. ccnp_cch

11 Commande ou Action But end Exemple: Router(config-std-nacl)# end (Optionnel) Sort du mode de configuration et retourne au mode EXEC privilégié. show ip access-list access-list-name Exemple: Router# show ip access-list kmd1 (Optionnel) affiche le contenu de la liste d'accès. ● Vérifiez la liste d'accès pour voir si elle contient la nouvelle entrée. Router# show ip access-list kmd1 Standard IP access list kmd1 100 permit , wildcard bits 105 permit , wildcard bits 115 permit , wildcard bits 130 permit , wildcard bits 145 permit , wildcard bits Que faire par la suite? Si votre liste d'accès n'est pas appliquée à une interface, une ligne ou référencée alors appliquez la liste d'accès. ccnp_cch

12 Exemples de configuration pour la numérotation des entrées
des listes d'accès IP Cette section fournit les exemples suivants relatifs à la numérotation séquentielle des entrées d'une liste d'accès IP. ● Reséquencement des entrées de la liste d'accès IP. ● Ajout d'entrées avec numéros de séquence. ● Entrée sans numéro de séquence. Reséquencement des entrées de la liste d'accès IP L'exemple suivant montre le reséquencement d'une liste d'accès. La valeur de départ est 1 et le pas d'incrémentation est 2. Les entrées suivantes sont ordonnées avec les valeurs d'incrément fournies par l'utilisateur (l'intervalle va de 1 à ). Quand une entrée sans numéro de séquence est entrée, par défaut elle a le numéro de la dernière entrée augmenté de Router# show access-list 150 Extended IP access list 150 10 permit ip host host 20 permit icmp any any 30 permit tcp any host 40 permit ip host any 50 Dynamic test permit ip any any 60 permit ip host host 70 permit ip host any log 80 permit tcp host host 90 permit ip host any 100 permit ip any any Router(config)# ip access-list extended 150 Router(config)# ip access-list resequence Router(config)# end Router# show access-list 150 1 permit ip host host 3 permit icmp any any 5 permit tcp any host 7 permit ip host any 9 Dynamic test permit ip any any 11 permit ip host host 13 permit ip host any log 15 permit tcp host host 17 permit ip host any 19 permit ip any any ccnp_cch

13 Ajout d'entrées avec numéro de séquence Dans l'exemple suivant une nouvelle entrée est ajoutée à la liste d'accès spécifiée. Router# show ip access-list Standard IP access list tryon 2 permit , wildcard bits 5 permit , wildcard bits 10 permit , wildcard bits 20 permit , wildcard bits Router(config)# ip access-list standard tryon Router(config-std-nacl)# 15 permit 2 permit , wildcard bits 5 permit , wildcard bits 10 permit , wildcard bits 15 permit , wildcard bits 20 permit , wildcard bits Entrée sans numéro de séquence L'exemple suivant montre comment une entrée sans numéro de séquence spécifiée est ajoutée à la fin d'une liste d'accès. Quand une entrée est ajoutée sans numéro de sé- quence, il lui est automatiquement attribué un numéro de séquence qui la place en fin de liste d'accès. Comme l'incrément par défaut est 10, l'entrée aura un numéro de séquence égal au numéro de la dernière entrée augmenté de Router(config)# ip access-list standard 1 Router(config-std-nacl)# permit Router(config-std-nacl)# permit Router(config-std-nacl)# permit Router# show access-list Standard IP access list 1 10 permit , wildcard bits 20 permit , wildcard bits 30 permit , wildcard bits Router(config)# ip access-list standard 1 Router(config-std-nacl)# permit Router(config-std-nacl)# end 40 permit , wildcard bits ccnp_cch

Télécharger ppt "Sécurité - Listes d'Accès - Numérotation des entrées"

Présentations similaires

- ACL * Access Control List. Sommaire 1)Théorie 1)ACL standard 1)ACL étendue 1)ACL nommée 1)Mise en place et vérification des ACLs.

- ACL * Access Control List. Sommaire 1)Théorie 1)ACL standard 1)ACL étendue 1)ACL nommée 1)Mise en place et vérification des ACLs.
Les listes de contrôle d’accès

Les listes de contrôle d’accès
Listes de contrôle d’accès IPv6 John Rullan Formateur d’instructeurs certifiés Cisco Thomas A.Edison CTE HS Stephen Lynch Architecte réseau, CCIE n° 36243.

Listes de contrôle d’accès IPv6 John Rullan Formateur d’instructeurs certifiés Cisco Thomas A.Edison CTE HS Stephen Lynch Architecte réseau, CCIE n°
PRESENTATION ACLs. Les listes de contrôle d’accès sont des listes de conditions qui sont appliquées au trafic circulant via une interface de routeur.

PRESENTATION ACLs. Les listes de contrôle d’accès sont des listes de conditions qui sont appliquées au trafic circulant via une interface de routeur.
Effacer la Configuration LWAPP sur un LAP

Effacer la Configuration LWAPP sur un LAP
TP Sécurité - Sécuriser l’accès d’administration en utilisant

TP Sécurité - Sécuriser l’accès d’administration en utilisant
Terminaux virtuels (VTY)

Terminaux virtuels (VTY)
bgp always-compare-med

bgp always-compare-med
Liste de contrôle d’accès

Liste de contrôle d’accès
show ip dhcp server statistics

show ip dhcp server statistics
Hot Standby Router Protocol (HSRP) - Partage de charge

Hot Standby Router Protocol (HSRP) - Partage de charge
Remote Desktop Protocol l'Appliance de Sécurité

Remote Desktop Protocol l'Appliance de Sécurité
QoS - Propagation de la Politique de QoS via BGP

QoS - Propagation de la Politique de QoS via BGP
Sécurité - ASA8.x - Import du Plug-in RDP pour utilisation dans WebVPN

Sécurité - ASA8.x - Import du Plug-in RDP pour utilisation dans WebVPN
Configurer NAT et PAT statique pour support d'un serveur Web interne

Configurer NAT et PAT statique pour support d'un serveur Web interne
Sécurité - Cisco ASA Outil de capture WebVPN

Sécurité - Cisco ASA Outil de capture WebVPN
Registre de Configuration (Configuration Register)

Registre de Configuration (Configuration Register)
Commande ip nat service

Commande ip nat service
Sécurité - Configuration du PIX

Sécurité - Configuration du PIX
Sécurité - VPN - Configurer la mise à jour du client

Sécurité - VPN - Configurer la mise à jour du client

Présentations similaires

Annonces Google