Universit de Reims Cham a!

ne - "rdenne

Les ACL Cisco

F. Nolot

Master 2 Professionnel STIC-Informatique

Universit de Reims Cham a!ne - "rdenne

Les ACL Cisco

Prsentation

F. Nolot

Master 2 Professionnel STIC-Informatique

Universit de Reims Cham a!ne - "rdenne

Les ACL Cisco ?

Les ACL (Access Control Lists) permettent de filtrer des packets suivant des critres dfinis par l'utilisateur Sur des packets IP, il est ainsi possi le de filtrer les pa!uets entrants ou sortant d'un routeur en fonction "e l'IP source "e l'IP destination ### Il e$iste % t&pes d'ACL Standard ' uni!uement sur les IP sources (tendue ' sur !uasiment tous les c)amps des en*t+tes IP, ,CP et -"P

F. Nolot

Master 2 Professionnel STIC-Informatique

Universit de Reims Cham a!ne - "rdenne

Sc)ma du principe

Permit

Routage

Outbound ACL Deny

Permit

Inbound ACL

Deny

Trash

F. Nolot

Master 2 Professionnel STIC-Informatique

Universit de Reims Cham a!ne - "rdenne

Les ACL Cisco

Fon tionnement!et! on"iguration

F. Nolot

Master 2 Professionnel STIC-Informatique

Universit de Reims Cham a!ne - "rdenne

La lo.i!ue des ACL

Il est possi le de rsumer le fonctionnement des ACL de la fa/on suivante ' Le p0!uet est vrifi par rapport au 1er critre dfini S'il vrifie le critre, l'action dfinie est appli!ue Sinon le pa!uet est compar successivement par rapport au$ ACL suivants S'il ne satisfait aucun critre, l'action den# est appli!ue Les critres sont dfinit sur les informations contenues dans les en*t+tes IP, ,CP ou -"P "es mas!ues ont t dfini pour pouvoir identifier une ou plusieurs adresses IP en une seule dfinition Ce mas!ue dfini la portion de l'adresse IP !ui doit +tre e$amine 2#2#%33#%33 [Link] !ue seuls les % premiers octets doivent +tre e$amins den& 12#1#4#2 avec 2#2#2#%33 ' refus de toutes les IP commencant par 12#1#4
F. Nolot

Master 2 Professionnel STIC-Informatique

Universit de Reims Cham a!ne - "rdenne

Standard IP Access List [Link]

5onctionnement des ACL ,est des [Link] les unes aprs les autres Si aucune [Link] n'est applica le, re6et du pa!uet "finition d'une [Link] access-list number [deny|permit] source [source-wildcard]
Number compris entre 1 et 77 ou entre 1422 et 1777

access-list number remark test Activation d'une ACL sur une interface ip access-group 8 num$er 9 name 8 in 9 out : : ;isualiser les ACL show access-lists 8 num$er 9 name : ' toutes les ACL !uel!ue soit l'interface
F. Nolot

show ip access-lists 8 num$er 9 name : ' les ACL uni!uement lis au protocole IP
Master 2 Professionnel STIC-Informatique

Universit de Reims Cham a!ne - "rdenne

($emple (1<4)
inter"a e!&thernet' i(!address!1$2)1#)1)1!255)255)255)' i(!a ess*grou(!1!out a a a ess*+ist!1!remar,!sto(!tous!+es!(a-uets![Link]!sour e!1$2)1#)3)1' ess*+ist!1!deny!1$2)1#)3)1'!')')')' ess*+ist!1!(ermit!')')')'!255)255)255)255

access*list 1 den& 1=%#1>#4#12 2#2#2#2 ?efuse les pa!uets d'IP source 1=%#1>#4#12 Le mas!ue (.alement appel @ildcard mask) [Link] ici !ue tous les its de l'adresse IP sont [Link] access*list 1 permit 2#2#2#2 %33#%33#%33#%33 ,ous les pa!uets IP sont autoriss
F. Nolot

Le mas!ue %33#%33#%33#%33 [Link] !u'aucun it n'est [Link]

Master 2 Professionnel STIC-Informatique %

Universit de Reims Cham a!ne - "rdenne

($emple (%<4)

inter"a e!&thernet' i(!address!1$2)1#)1)1!255)255)255)' i(!a ess*grou(!1!out a a a ess*+ist!1!remar,!sto(!tous!+es!(a-uets![Link]!sour e!1$2)1#)3)1' ess*+ist!1!deny!host!1$2)1#)3)1' ess*+ist!1!(ermit!any

-ne notation amliore est possi le pour remplacer le mas!ue %33#%33#%33#%33 !ui [Link] une mac)ine
-tilisation du terme host

2#2#2#2 avec le @ildcard mas!ue A %33#%33#%33#%33 !ui [Link] tout le monde

-tilisation du terme any
F. Nolot

Master 2 Professionnel STIC-Informatique

Universit de Reims Cham a!ne - "rdenne

($emple (4<4)

inter"a e!&thernet' i(!address!1$2)1#)1)1!255)255)255)' i(!a ess*grou(!1!out inter"a e!&thernet1 i(!address!1$2)1#)2)1!255)255)255)' i(!a ess*grou(!2!in a a a a a ess*+ist!1!remar,!0to((e!tous!+es!(a-uets![Link]!sour e!1$2)1#)3)1' ess*+ist!1!deny!host!1$2)1#)3)1' ess*+ist!1!(ermit!any ess*+ist!2!remar,!Autorise!-ue!+es!trames![Link]!sour e!1$2)1#)3)'124 ess*+ist!2!(ermit!1$2)1#)3)'!')')')255

F. Nolot

Master 2 Professionnel STIC-Informatique

1'

Universit de Reims Cham a!ne - "rdenne

Les e$tended ACL

Les e$tended ACL permettent filtrer des pa!uets en fonction de l'adresse de destination IP "u t&pe de protocole (,CP, -"P, ICBP, IC?P, ICBP, ###) Port source Port destination ###

F. Nolot

Master 2 Professionnel STIC-Informatique

11

Universit de Reims Cham a!ne - "rdenne

La s&nta$e et e$emple

access-list number { deny | permit } protocol source sourcewildcard destination dest.-wildcard num er ' compris entre 122 et 177 ou %222 et %>77

access-list 101 deny ip any host [Link] ?efus des pa!uets IP A destination de la mac)ine 12#1#1#1 et provenant de n'importe !uelle source access-list 101 deny tcp any gt 1023 host [Link] eq 23 ?efus de pa!uet ,CP provenant d'un port D 12%4 et A destiantion du port %4 de la mac)ine d'IP 12#1#1#1 access-list 101 deny tcp any host [Link] eq http ?efus des pa!uets ,CP A destination du port E2 de la mac)ine d'IP 12#1#1#1
F. Nolot

Master 2 Professionnel STIC-Informatique

12

Universit de Reims Cham a!ne - "rdenne

Les ACL nomms

-ne ACL numrot peut +tre compos de nom reuses [Link]# La seule fa/on de la modifier et de faire no access-list number Puis de la redfinir Avec les ACL nommes, il est possi le de supprimer !u'une seule [Link] au lieu de toute l'ACL Sa dfinition se fait de la manire suivante ?outer(confi.)F ip access-list extended bart ?outer(confi.*e$t*nacl)F deny tcp host [Link] eq www any ?outer(confi.*e$t*nacl)F deny ip [Link] [Link] any ?outer(confi.*e$t*nacl)F permit ip any any Pour supprimer une des [Link], il suffit de refaire un ip access-list extended bart
F. Nolot

Puis un no deny ip [Link] [Link] any

Master 2 Professionnel STIC-Informatique 13

Universit de Reims Cham a!ne - "rdenne

L'accs au ,elnet avec une ACL

Pour utiliser une ACL dans le ut de controler l'accs au telnet (donc au vt&) access-class number { in | out }

+ine!2ty!'!4 +ogin (ass3ord!Cis o a ess* +ass!3!in 4 4 a ess*+ist!3!(ermit!1')1)1)'!')')')255

F. Nolot

Master 2 Professionnel STIC-Informatique

14

Universit de Reims Cham a!ne - "rdenne

Les ACL Cisco

&n!(rodu tion

F. Nolot

Master 2 Professionnel STIC-Informatique

15

Universit de Reims Cham a!ne - "rdenne

Guel!ues conseils

La cration, la mise A 6our, le de u..a.e ncessitent eaucoup de temps et de [Link] dans la s&nta$e Il est donc conseill "e crer les ACL A l'aide d'un diteur de te$te et de faire un copier<coller dans la [Link] du routeur Placer les e$tended ACL au plus prs de la source du pa!uet !ue possi le pour le dtruire le plus vite possi le Placer les ACL standard au plus prs de la destination sinon, vous ris!ueH de dtruire un pa!uet trop top
?appel ' les ACL standard ne [Link] !ue l'IP source

Placer la [Link] la plus spcifi!ue en premier Avant de faire le moindre c)[Link] sur une ACL, dsactiver sur l'interface concern celle*ci (no ip access*.roup)
F. Nolot

Master 2 Professionnel STIC-Informatique

1#