Liste de contrle daccs

Jean Robert HOUNTOMEY

hrobert@[Link]
 Prsentation

Les listes de contrle daccs sont des instructions qui

expriment une liste de rgles supplmentaires sur les
paquets reus et transmis par le routeur.

Elles peuvent tre utilises pour implmenter la scurit

dans les routeurs

Les listes de contrle daccs sont capables:

dautoriser ou dinterdire des paquets, que ce
soit en entre ou en sortie des interfaces
Filtrer le traffic en entre ou en sortie du
routeur
Restreinte lutilisation des personnes ou des
utilisateurs.

Elles oprent selon un ordre squentiel et logique, en
valuant les paquets partir du dbut de la liste
dinstructions.
 Prsentation

Si le paquet rpond au critre de la premire

instruction, il ignore le reste des rgles et il est
autoris ou refus.

LACL sexcute dans la direction indique par le mot IN

ou OUT

A un deny implicite la fin. Aussi si le paquet ne

satisfait aucune rgle il est rejet.
 Numrotation des Acl

Une liste de contrle daccs est identifiable par son

numro, attribu suivant le protocole et le type:

Type de liste Plage de numros

Listes daccs IP standard 1 99 et 1300 1999

Listes daccs IP tendues 100 199 et 2000
2699
Listes daccs Appletalk 600 699
Listes daccs IPX standard 800 899
Listes daccs IPX tendues 900 999
Listes daccs IPX SAP 1000 1099

NB: On sintressera seulement aux acl IP

 Algorithme de vrification

Lorsque le routeur dtermine s'il doit acheminer ou

bloquer un paquet, la plate-forme logicielle Cisco
IOS examine le paquet en fonction de chaque
instruction de condition dans l'ordre dans lequel les
instructions ont t cres.

Si le paquet arrivant linterface du routeur satisfait

une condition, il est autoris ou refus (suivant
linstruction) et les autres instructions ne sont pas
vrifies.

Si un paquet ne correspond aucune instruction dans

lACL, le paquet est jet. Ceci est le rsultat de
linstruction implicite deny any la fin de chaque
ACL.
 Principe de masque de bits gnrique -
WILCARD
Un masque gnrique est une quantit de 32 bits diviss
en quatre octets contenant chacun 8 bits.

- 0 signifie " vrifier la valeur du bit

correspondant "
- 1 signifie " ne pas vrifier (ignorer) la
valeur du bit correspondant ".

Les listes de contrle d'accs utilisent le masquage

gnrique pour identifier une adresse unique ou
plusieurs adresses dans le but d'effectuer des
vrifications visant accorder ou interdire l'accs.

Le terme masque gnrique est un surnom du procd de

correspondance masque-bit des listes de contrle
d'accs.
 Principe de masque de bits gnrique -
WILCARD
Un masque gnrique est une quantit de 32 bits diviss
en quatre octets contenant chacun 8 bits.

- 0 signifie " vrifier la valeur du bit

correspondant "
- 1 signifie " ne pas vrifier (ignorer) la
valeur du bit correspondant ".

Les listes de contrle d'accs utilisent le masquage

gnrique pour identifier une adresse unique ou
plusieurs adresses dans le but d'effectuer des
vrifications visant accorder ou interdire l'accs.

Le terme masque gnrique est un surnom du procd de

correspondance masque-bit des listes de contrle
d'accs.
 Principe de masque de bits gnrique -
WILCARD

Entre dautres termes le WILCARD est linverse du

NETMASK.

Examples:
Pour spcifier une machine:
[Link] [Link]

Pour spcifier un sous rseau

[Link] [Link] (would be
a /29)
Le bloc deviens [Link] [Link]

Pour spcifier tous les hotes dun rsau /24

[Link] [Link]
 Les commandes host et any

Ces deux commandes sont des abrviations permettant de

simplifier la lecture ainsi que lcriture des listes
de contrle daccs:

- any: nimporte quelle adresse (quivaut

[Link] [Link])

- host: abrviation du masque gnrique

Ex: host [Link] quivaut [Link]
[Link]
 Nommage des Acl

Depuis la version 11.2 dIOS, il est possible dutiliser

les listes de contrles daccs nommes.

Les listes de contrle d'accs nommes permettent

d'identifier les listes de contrle d'accs IP
standards et tendues par des chanes alphanumriques
plutt que par la reprsentation numrique actuelle.

Vous pouvez utiliser les listes de contrle d'accs

nommes dans les situations suivantes :
- Identifier intuitivement les listes de contrle
d'accs l'aide d'un code alphanumrique.
- Configurer plusieurs ACL standard et plusieurs
ACLtendues dans un routeur pour un protocole donn
 Syntaxe des Acl
IP Access List standard Configuration Syntax

access-list access-list-number {permit | deny}

source {source-mask}
ip access-group access-list-number {in | out}

IP Access List Etendu Configuration Syntax

access-list access-list-number {permit | deny}

protocol source {source-mask} destination
{destination-mask}
ip access-group access-list-number {in | out}

IP Access List Nomm Configuration Syntax

ip access-list {standard | extended} {name |
number}
 Placer les ACL
Placer les ACL standard proche de la destination
Standard IP access list close to destination

Place les ACL tendus proche de la source du

trafic grer
 Appliquer les ACL
Une fois la liste de contrle daccs cre, il faut
lassigner une interface de la manire suivante:

Router(config-if)#ip access-group numro_liste_daccs {in |

out }

- In | out indique si la liste doit tre applique pour le

trafic entrant ou sortant

Pour vrifier les listes de contrle daccs; La commande

show ip interface affiche les informations relatives
l'interface IP et indique si des listes de contrle d'accs
sont
configures.

La commande show access-lists affiche le contenu de toutes les

listes de contrle d'accs. La saisie du nom ou du numro d'une
liste de contrle d'accs en tant qu'option de cette commande
vous permet de consulter une liste spcifique
Permettre seulement mon rseau interne de
faire du telnet

access-list 1 permit [Link] [Link]

access-list 1 deny any
line vty 0 4
access-class 1 in
 Prefix Lists

Cisco introduit les prefix lists dans lIOS 12.0

Utiliss pour filter les routes et peuvent tre combins avec des route maps

Donne des fonctionnalits leves par rapport aux ACL

Plus simples configurer et utiliser

Utilise la notation CIDR address/mask

Numros de Sequence
 Prefix Lists

Prefix lists ont un implicit deny la fin comme les

ACL
Sont plus rapides excuter que les ACL

Prfrables si IOS 12.0 pour les manipulations de routes

 Syntaxe de Configuration dune Prefix List

Prefix list configuration syntax

config t
ip prefix-list list-name {seq seq-value} {permit|
deny} network/len {ge ge-value} {le le-value}

list-name nom de la liste

seq-value numro de squence (optionnelle)
network/len CIDR
ge-value from valeur de la plage; matches gale
ou prfixes plus longs (plus de bits dans le
prfixe, bloc plus petit)
le-value to; matches egale ou prfixes plus
petits(moins de bits dans le prfixe, blocs plus
larges)
 Prefix List Configuration

Pour interdire un /28:

ip prefix-list f2afnog seq 5 deny
[Link]/28

Pour accepter les prfixes de /8 /24:

ip prefix-list test1 seq 5 permit [Link]/8 le
24

Refuser les prfixes aec un masque plus grand que /25

dans un bloc
ip prefix-list test2 seq 10 deny [Link]/24
ge 25

Permettre toutes les routes:

ip prefix-list test3 seq 15 permit [Link]/0 le 32