Sécurité et supervision réseaux

M. Jean DIOKH
Certifié Linux LPIC-3 Mixed Environment, LPIC-3 Security, LPIC-3 Core
[Link]
Liste de contrôle d’accès (ACLs)

Liste de contrôle d’accès (ACLs)

Sécurité et supervision des réseaux - M. DIOKH

Liste de contrôle d’accès (ACLs)

Qu’est ce qu’une liste de contrôle d’accès

Sécurité et supervision des réseaux - M. DIOKH

Liste de contrôle d’accès (ACLs)

Objectifs liste de contrôle d’accès

▪ Le filtrage des paquets, parfois appelé filtrage statique des paquets, contrôle l'accès
à un réseau en analysant les paquets entrants et sortants et en les transmettant ou
en rejetant selon des critères spécifiques, tels que l'adresse IP source, les adresses
IP de destination et le protocole transporté dans le paquet.
▪ Un routeur filtre les paquets lors de leur transmission ou de leur refus
conformément aux règles de filtrage.
▪ Une liste de contrôle d'accès est un ensemble séquentiel d'instructions
d'autorisation ou de refus, appelées entrées de contrôle d'accès (ACE).

Sécurité et supervision des réseaux - M. DIOKH

Liste de contrôle d’accès (ACLs)

Objectifs liste de contrôle d’accès

Sécurité et supervision des réseaux - M. DIOKH

Liste de contrôle d’accès (ACLs)

Fonctionnement des listes de contrôle d’accès

Sécurité et supervision des réseaux - M. DIOKH

Liste de contrôle d’accès (ACLs)

Fonctionnement des listes de contrôle d’accès

La dernière instruction d'une liste de contrôle d'accès est toujours implicit deny.

Cette instruction est automatiquement ajoutée à la fin de chaque liste de contrôle

d'accès, même si elle n'est pas physiquement présente.

L'instruction implicit deny bloque l'ensemble du trafic.

En raison de ce refus implicite, une liste de contrôle d'accès qui n'a pas au moins une
instruction d'autorisation bloquera tout le trafic.

Sécurité des réseaux - M. DIOKH

Liste de contrôle d’accès (ACLs)

Numérotation et nom des listes de contrôle d'accès

Sécurité et supervision des réseaux - M. DIOKH

Liste de contrôle d’accès (ACLs)

Les types de listes de contrôle d’accès

Listes de contrôle d'accès standard

Listes de contrôle d'accès étendues

Sécurité et supervision des réseaux - M. DIOKH

Liste de contrôle d’accès (ACLs)

Masques génériques

Les masques génériques et les masques de sous-réseau diffèrent dans leur méthode
de mise en correspondance des 1 et des 0 binaires.
Les masques génériques respectent les règles suivantes pour faire correspondre les
chiffres binaires 1 et 0 :
▪ Bit 0 de masque générique : permet de vérifier la valeur du bit correspondant dans
l'adresse.
▪ Bit 1 de masque générique : permet d'ignorer la valeur du bit correspondant dans
l'adresse.

Les masques génériques sont souvent appelés masques inverses. En effet,

contrairement à un masque de sous-réseau, où le chiffre binaire 1 équivaut à une
correspondance et le chiffre binaire 0 à une non-correspondance, les masques
génériques procèdent de façon inverse.

Sécurité et supervision des réseaux - M. DIOKH

Liste de contrôle d’accès (ACLs)

Exemple de masques génériques

Sécurité et supervision des réseaux - M. DIOKH

Liste de contrôle d’accès (ACLs)

Application de listes de contrôle d’accès standard

Sécurité et supervision des réseaux - M. DIOKH

Liste de contrôle d’accès (ACLs)

Vérification de listes de contrôle d’accès standard

Sécurité et supervision des réseaux - M. DIOKH

Liste de contrôle d’accès (ACLs)

Création de listes de contrôle d’accès nommées

Sécurité et supervision des réseaux - M. DIOKH

Liste de contrôle d’accès (ACLs)

Exemple de listes de contrôle d’accès nommées

Sécurité et supervision des réseaux - M. DIOKH

Liste de contrôle d’accès (ACLs)

Exemple de listes de contrôle d’accès nommées

Sécurité et supervision des réseaux - M. DIOKH

Liste de contrôle d’accès (ACLs)

listes de contrôle d’accès étendues

Sécurité et supervision des réseaux - M. DIOKH

Liste de contrôle d’accès (ACLs)

listes de contrôle d’accès étendues

Sécurité et supervision des réseaux - M. DIOKH

Liste de contrôle d’accès (ACLs)

Applications des listes de contrôle d’accès étendues

Sécurité et supervision des réseaux - M. DIOKH

Liste de contrôle d’accès (ACLs)

Applications des listes de contrôle d’accès étendues nommées

Sécurité et supervision des réseaux - M. DIOKH

Liste de contrôle d’accès (ACLs)

Vérification des listes de contrôle d’accès étendues nommées

Sécurité et supervision des réseaux - M. DIOKH

Translation d’adresses (NAT, PAT)

Translation d’adresses (NAT, PAT)

Sécurité et supervision des réseaux - M. DIOKH 22

Translation d’adresses (NAT, PAT)

Adressage IPv4

L'espace d'adressage IPv4 est trop restreint pour accommoder tous les périphériques
à connecter à Internet
Les adresses privées des réseaux sont décrites dans la RFC 1918 et sont conçues pour
être utilisées dans une organisation ou un site uniquement.
Elles ne sont pas routées par les routeurs Internet, contrairement aux adresses
publiques.
Elles peuvent pallier la pénurie d'adresses IPv4, mais comme elles ne sont pas routées
par les périphériques Internet, elles doivent d'abord être traduites.
C'est le rôle de la fonction NAT.

Sécurité et supervision des réseaux - M. DIOKH 23

Translation d’adresses (NAT, PAT)

Adressage IPv4

Sécurité et supervision des réseaux - M. DIOKH 24

Translation d’adresses (NAT, PAT)
Qu’est ce que le NAT

La NAT est le procédé utilisé pour traduire les adresses réseau.

Sa fonction première est d'économiser les adresses IPv4 publiques.
Elle est généralement mise en œuvre sur les périphériques réseau situés à la
périphérie, tels que les pare-feu ou les routeurs.
Ainsi, les réseaux peuvent utiliser des adresses privées en interne, et les traduire en
adresses publiques uniquement lorsque c'est nécessaire.
Les équipements de l'entreprise peuvent recevoir des adresses privées et fonctionner
avec des adresses uniques en local.
Lorsque les données doivent être échangées avec d'autres organisations ou Internet,
le routeur de périphérie traduit les adresses en adresses publiques et globalement
uniques.

Sécurité et supervision des réseaux - M. DIOKH 25

Translation d’adresses (NAT, PAT)
Qu’est ce que le NAT

Sécurité et supervision des réseaux - M. DIOKH 26

Translation d’adresses (NAT, PAT)
Terminologie du NAT

Dans la terminologie NAT, le réseau interne est l'ensemble des périphériques qui
utilisent des adresses privées. Les réseaux externes sont tous les autres réseaux.
La NAT inclut 4 types d'adresse :
Adresse locale interne
Adresse globale interne
Adresse locale externe
Adresse globale externe

Sécurité et supervision des réseaux - M. DIOKH 27

Translation d’adresses (NAT, PAT)
Terminologie du NAT

Dans la terminologie NAT, le réseau interne est l'ensemble des périphériques qui
utilisent des adresses privées. Les réseaux externes sont tous les autres réseaux.
La NAT inclut 4 types d'adresse :
Adresse locale interne
Adresse globale interne
Adresse locale externe
Adresse globale externe

Sécurité et supervision des réseaux - M. DIOKH 28

Translation d’adresses (NAT, PAT)
Fonctionnement du NAT

Sécurité et supervision des réseaux - M. DIOKH 29

Translation d’adresses (NAT, PAT)
NAT Statique

La fonction NAT statique utilise un mappage « un à un » entre les adresses locales et

globales.
Ces mappages sont configurés par l'administrateur réseau et ne changent pas.
La fonction NAT statique est particulièrement utile lorsque les serveurs hébergés dans
le réseau interne doivent être accessibles depuis le réseau externe.
L'administrateur réseau peut établir une connexion SSH vers un serveur du réseau
interne en faisant pointer son client SSH sur l'adresse globale interne appropriée.

Sécurité et supervision des réseaux - M. DIOKH 30

Translation d’adresses (NAT, PAT)
NAT Statique

Sécurité et supervision des réseaux - M. DIOKH 31

Translation d’adresses (NAT, PAT)
Configuration NAT Statique

Sécurité et supervision des réseaux - M. DIOKH 32

Translation d’adresses (NAT, PAT)
Configuration NAT Statique

Sécurité et supervision des réseaux - M. DIOKH 33

Translation d’adresses (NAT, PAT)
NAT Dynamique

▪ La NAT dynamique utilise un pool d'adresses publiques et les attribue selon la

méthode du premier arrivé, premier servi.
▪ Lorsqu'un périphérique interne demande l'accès à un réseau externe, la NAT
dynamique attribue une adresse IPv4 publique disponible du pool.
▪ Il doit y avoir suffisamment d'adresses publiques disponibles pour le nombre total
de sessions utilisateur simultanées.

Sécurité et supervision des réseaux - M. DIOKH 34

Translation d’adresses (NAT, PAT)
NAT Dynamique

Sécurité et supervision des réseaux - M. DIOKH 35

Translation d’adresses (NAT, PAT)
Configuration NAT Dynamique

Sécurité et supervision des réseaux - M. DIOKH 36

Translation d’adresses (NAT, PAT)
PAT

▪ La fonction PAT mappe les adresses IPv4 privées à des adresses IP publiques uniques
ou à quelques adresses.
▪ Elle utilise la paire port source/adresse IP source pour garder une trace du trafic de
chaque client interne.
▪ La PAT est également appelée surcharge NAT.
▪ Comme elle utilise également le numéro de port, elle peut transférer les paquets de
réponse au périphérique interne approprié.
▪ Elle vérifie aussi que les paquets entrants étaient demandés, ce qui ajoute un
niveau de sécurité à la session.

Sécurité et supervision des réseaux - M. DIOKH 37

Translation d’adresses (NAT, PAT)
Configuration PAT avec pool d’adresses

Sécurité et supervision des réseaux - M. DIOKH 38

Translation d’adresses (NAT, PAT)
Configuration PAT avec une adresse unique

Sécurité et supervision des réseaux - M. DIOKH 39