View
128
Download
4
Category
Preview:
Citation preview
- ACL
* Access Control List
Sommaire
1) Théorie
1) ACL standard
1) ACL étendue
1) ACL nommée
1) Mise en place et vérification des ACLs
Théorie
Principe fondamental
Masque générique
Principe fondamental
ACL* Liste séquentielle d’instructions Filtrage des paquets
Filtrage Autoriser ou interdire En entrée ou en sorties
* Access Control List
Principe fondamental (suite)
Une ACL au maximum par
Protocole Interface Direction
Parcours des instructions
Correspondà la règle ?
Autoriser ou refuser ?
D’autresrègles explicites
existes ?
OUI
NON
OUI
NON
Passer à la règle suivante
Poubelle
PaquetTransmission à la file d’attente
Autoriser
Refuser
Critères spécifiables dans une ACL
Adresses sources
Adresses de destination
Protocoles utilisés (toute couche)
Numéros de ports (couche 4)
Types d’ACLs
ACL Numéroté Standard Étendue
ACL nommée Standard Étendue
Identifiable grâce au numéro ou au nom associé
Numéros d’ACL
IPX/SAP1000 à 1099
Étendue pour IPX900 à 999
Standard pour IPX800 à 899
AppleTalk600 à 699
Étendue pour IP100 à 199
2000 à 2699
Standard pour IP1 à 99
1300 à 1999
Type d’ACL associéPlage de numéros
Avantage et inconvénients des ACLs
Avantage
Fournir une base de sécurité réseau
Inconvénients
Traitement CPU supplémentaire Latence réseau augmentée
Configuration des ACLs
2 étapes
Création de l’ACL Application de l’ACL sur une interface réseau
Précautions à prendre
Instructions toujours parcourues de la 1ère à la dernière, jusqu’à correspondance
Si aucune correspondance Dernière instruction implicite utilisée (deny all)
ACL appliquée mais non configurée Seule instruction = Instruction implicite Tout trafic interdit
Précautions à prendre (suite)
Lors de la création Procéder du plus restrictif au plus générique
ACL IP qui interdit un paquet Envoie d’un message ICMP Host Unreachable
ACL pour trafic sortant N’affecte pas le trafic provenant du routeur local
Masque générique
Utilisation de Préfixes réseaux Masques génériques (Wildcard Mask)
Intérêt Identifier des plages d’adresses
Masque générique (suite)
32 bits Notation décimale pointée
Signification binaire "0" = Doit correspondre "1" = Peut varier
Masque générique (suite)
Par rapport à un masque de sous-réseau
Inversion binaire En notation décimale pointée = Complément à 255 du
masque de sous-réseau correspondant
Masque générique
Masque de sous-réseau
1111 1111.1111 1111.1110 000.0000 0000
0000 0000.0000 0000.0001 111.1111 1111
255 255 255 255224255255
. . .
. . .
. . .00
255310-=
(Masque de sous-réseau)(Masque générique)
Masque générique (suite)
Conséquence
Valeurs précises pour un masque générique
2551276331157310
Écritures spécifiques
Pour 2 masques génériques précis
0.0.0.0 = 1 seule adresse {IP} {0.0.0.0} = host {IP}
255.255.255.255 = Toutes les adresses {IP} {255.255.255.255} = any
1) ACL standard
Permet D’interdire ou d’autoriser les adresses réseaux De filtrer les informations dans les MAJ de routage
Peut être spécifié Les adresses sources
Création d’une ACL standard
access-list {numéro} {permit | deny} {préfixe} [masque générique] [log]
access-list {numéro} {remark} {commentaire}
Mode de configuration globale
Création d’une ACL standard – Exemple
Lab_A( confi g) #access- l i st 1 r emar k t est d’ ACLLab_A( confi g) #access- l i st 1 per mi t host 10. 0. 0. 1Lab_A( confi g) #access- l i st 1 deny 10. 0. 0. 0 0. 0. 255. 255Lab_A( confi g) #access- l i st 1 per mi t any
Création d’une ACL standard (suite)
Ordre des instructions = Ordre des commandes
Les nouvelles instructions ajoutées Toujours à la fin
Impossible de Supprimer/modifier une instruction en particulier
Création d’une ACL standard (suite)
Pour faire une modification
Copier/coller dans un éditeur de texte Effectuer les modifications voulues Supprimer l’ACL du routeur Insérer les nouvelles instructions dans le routeur
1) ACL étendue
Permet D’interdire ou d’autoriser un type de trafic particulier De filtrer plus précisément qu’avec une ACL standard
Peut être spécifié Adresses sources Adresses de destination Protocole Numéro de port
Création d’une ACL étendue
access-list {numéro} {permit | deny} {protocole} {préfixe source} {masque source} [{opérateur} {opérande}] {préfixe destination} {masque destination} [{opérateur} {opérande}] [icmp-type] [log] [established]
access-list {numéro} {remark} {commentaire}
Création d’une ACL étendue (suite)
Protocole
Nom (IP, TCP, UDP, etc.) ou numéro (de 0 à 255) de protocole
Création d’une ACL étendue (suite)
opérateur/opérande
Pour TCP et UDP uniquement Précise les numéros de ports Pour la source et/ou la destination
Entre (nécessite 2 numéros de port)range
Supérieur àgt
Inférieur àlt
Différent deneq
Égal àeq
SignificationOpérateur
Création d’une ACL étendue (suite)
icmp-type
Nom ou numéro de message ICMP à filtrer
Established
Uniquement avec TCP Correspond aux sessions TCP déjà établies
Création d’une ACL étendue – Exemple
Lab_A( confi g) #access- l i st 101 r emar k t est d’ ACL ét endueLab_A( confi g) #access- l i st 101 per mi t i p host 10. 0. 0. 1 anyLab_A( confi g) #access- l i st 101 deny i p 10. 0. 0. 0 0. 0. 255. 255 anyLab_A( confi g) #access- l i st 101 per mi t t cp any any eq wwwLab_A( confi g) #access- l i st 101 deny udp any host 10. 0. 0. 15 eq 53Lab_A( confi g) #access- l i st 101 deny t cp any any r ange 6800 6999Lab_A( confi g) #access- l i st 101 per mi t i p any any
Lab_A( confi g) #access- l i st 102 deny t cp any any eq 443Lab_A( confi g) #access- l i st 102 deny udp any host 10. 0. 0. 1 l t 1024
Création d’une ACL étendue (suite)
Ordre des instructions = Ordre des commandes
Les nouvelles instructions ajoutées sont Toujours à la fin
Impossible de Supprimer/modifier une instruction en particulier
Création d’une ACL étendue (suite)
Pour faire une modification
Copier/coller dans un éditeur de texte Effectuer les modifications voulues Supprimer l’ACL du routeur Insérer les nouvelles instructions dans le routeur
1) ACL nommée
Depuis IOS 11.2
Identification de l’ACL Chaîne alphanumérique au lieu d’un numéro
Peut être de type Standard Étendue
ACL nommée (suite)
2 nouveaux modes de configuration Mode de configuration d’ACL nommée standard Mode de configuration d’ACL nommée étendue
(config-ext-nacl)#ACL nommée étendue
(config-std-nacl)#ACL nommée standard
Invite de commande associéeMode de configuration
ACL nommée (suite)
Intérêt
Identifier facilement une ACL grâce à son nom
Supprimer une instruction particulière Pas besoin de tout supprimer
Création d’une ACL nommée
ip access-list {standard | extended} {nom}
remark {commentaire}
Création d’une ACL nommée (suite)
{permit | deny} {préfixe} [masque] [log]
{permit | deny} {protocole} {préfixe source} {masque source} [{opérateur} {opérande}] {préfixe destination} {masque destination}[{opérateur} {opérande}] [icmp-type] [log] [established]
Création d’une ACL nommée – Exemple
Lab_A( confi g) #i p access- l i st ext ended Test _ACL_Et endueLab_A( confi g- ext - nacl ) #r emar k t est d’ ACL nommée ét endueLab_A( confi g- ext - nacl ) #deny t cp host 10. 0. 0. 1 any eq 80Lab_A( confi g- ext - nacl ) #per mi t i p any any
Lab_A( confi g) #i p access- l i st st andar d Test _ACL_St andar dLab_A( confi g- st d- nacl ) #r emar k t est d’ ACL nommée st andar dLab_A( confi g- st d- nacl ) #deny host 10. 0. 0. 1Lab_A( confi g- st d- nacl ) #per mi t any
1) Mise en place et vérification des ACLs
Mise en place d’une ACL Étape n°1 = Création Étape n°2 = Application
Application possible sur Une interface Une ligne
Application d’une ACL
ip access-group {numéro | nom} {in | out} Mode de configuration d’interface
access-class {numéro | nom} {in | out} Mode de configuration de ligne
Application d’une ACL – Exemple
Lab_A( confi g) #i nt er f ace Fast Et her net 0/ 0Lab_A( confi g- i f ) #i p access- gr oup 101 outLab_A( confi g- i f ) #i p access- gr oup 1 i n
Lab_A( confi g) #l i ne vt y 0 4Lab_A( confi g- l i ne) #access- cl ass 1 i n
Suppression d’une ACL
no access-list {numéro | nom} Mode de configuration globale
Commande show access-lists
show access-lists [numéro | nom]
Lab_A#show access- l i st s St andar d I P access l i st 1 per mi t 10. 0. 0. 1 deny 10. 0. 0. 0, wi l dcar d bi t s 0. 0. 255. 255 per mi t anySt andar d I P access l i st Test _ACL_St andar d deny 10. 0. 0. 1 per mi t anyExt ended I P access l i st 101 per mi t i p host 10. 0. 0. 1 any deny i p 10. 0. 0. 0 0. 0. 255. 255 any per mi t t cp any any eq www deny udp any host 10. 0. 0. 15 eq domai n deny t cp any any r ange 6800 6999 per mi t i p any anyExt ended I P access l i st 102 deny t cp any any eq 443 deny udp any host 10. 0. 0. 1 l t 1024Ext ended I P access l i st Test _ACL_Et endue deny t cp host 10. 0. 0. 1 any eq www per mi t i p any any
Commande show ip interface
show ip interface [{type} {numéro}]
Lab_A#show i p i nt er f ace Fast Et her net 0/ 0Fast Et her net 0/ 0 i s up, l i ne pr ot ocol i s up I nt er net addr ess i s 20. 0. 0. 1/ 8 Br oadcast addr ess i s 255. 255. 255. 255 Addr ess det er mi ned by set up command MTU i s 1500 byt es Hel per addr ess i s not set Di r ect ed br oadcast f or war di ng i s di sabl ed Out goi ng access l i st i s 101 I nbound access l i st i s 1 - - Mor e- -
Placement des ACLs
Questions types CCNA
Questions types CCNA
Questions types CCNA
Recommended