Scribd
Importer
91 vues30 pages

ACL Standard et Étendue sous Cisco

Ce document décrit le fonctionnement des listes de contrôle d'accès (ACL) sur les routeurs Cisco. Il explique comment les ACL utilisent les informations dans les en-têtes de paquets IP et TCP/UDP pour filtrer le trafic réseau entrant et sortant.

Transféré par

Chams Coin
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd
91 vues30 pages

ACL Standard et Étendue sous Cisco

Ce document décrit le fonctionnement des listes de contrôle d'accès (ACL) sur les routeurs Cisco. Il explique comment les ACL utilisent les informations dans les en-têtes de paquets IP et TCP/UDP pour filtrer le trafic réseau entrant et sortant.

Transféré par

Chams Coin
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd

Introduction Fonctionnement ACL ACL standard ACL étendue

CHAPITRE 4 :
Les listes de contrôle d’accès
(ACLs sous Cisco)

Mohammed SABER

SupMTI OUJDA

Année Universitaire : 2022-2023

Mohammed SABER k SupMTIO Sécurité des réseaux - Chapitre 4 Année Universitaire 2022-2023 k 1 / 60

Introduction Fonctionnement ACL ACL standard ACL étendue

Sommaire

1 Introduction

2 Fonctionnement des listes de contrôle d’accès IP

3 Listes de contrôle d’accès IPv4 standard

4 Listes de contrôle d’accès IPv4 étendues

Mohammed SABER k SupMTIO Sécurité des réseaux - Chapitre 4 Année Universitaire 2022-2023 k 2 / 60
Introduction Fonctionnement ACL ACL standard ACL étendue

Introduction

Les routeurs peuvent être utilisés dans le cadre d’une stratégie de sécu-
rité des réseaux.
Ils utilisent pour cela des listes de contrôle d’accès.
Ces listes définissent des règles qui permettent d’empêcher certains pa-
quets de circuler sur le réseau.
Une liste de contrôle d’accès est un ensemble séquentiel d’instructions
d’autorisation ou de refus qui s’appliquent aux adresses ou aux proto-
coles de couche supérieure.
Les listes de contrôle d’accès représentent un outil puissant pour contrô-
ler le trafic entrant ou sortant d’un réseau.
Des listes de contrôle d’accès peuvent être configurées pour tous les
protocoles réseau routés.
Le filtrage des paquets, en analysant les paquets entrants et sortants et
en les transmettant ou en les arrêtant en fonction de critères prédéfinis.

Mohammed SABER k SupMTIO Sécurité des réseaux - Chapitre 4 Année Universitaire 2022-2023 k 3 / 60

Introduction Fonctionnement ACL ACL standard ACL étendue

Fonctionnement des listes de contrôle d’accès IP

Qu’est-ce qu’une liste de contrôle d’accès ?

Définitions des listes de contrôle d’accès (ACL)

Une liste de contrôle d’accès (ou ACL) est une série de commandes IOS
qui déterminent si un routeur achemine ou abandonne les paquets en
fonction des informations contenues dans l’en-tête de paquet.
Les listes de contrôle d’accès font partie des fonctionnalités les plus utili-
sées du logiciel Cisco IOS.
Les listes de contrôle d’accès sont des listes de conditions qui sont appli-
quées au trafic circulant via une interface de routeur. Ces listes indiquent
au routeur les types de paquets à accepter ou à rejeter.
Les ACL permettent de gérer le trafic et de sécuriser l’accès d’un réseau
en entrée comme en sortie.

Mohammed SABER k SupMTIO Sécurité des réseaux - Chapitre 4 Année Universitaire 2022-2023 k 4 / 60
Introduction Fonctionnement ACL ACL standard ACL étendue

Fonctionnement des listes de contrôle d’accès IP

Objectifs des listes de contrôle d’accès


Une fois configurées, les listes de contrôle d’accès assurent les tâches sui-
vantes :
Elles limitent le trafic réseau pour accroître les performances ré-
seau. Si la stratégie de l’entreprise interdit, par exemple, le trafic vidéo
sur le réseau, vous pouvez configurer et appliquer des ACLs pour blo-
quer ce trafic. Ainsi, la charge réseau est nettement réduite et les perfor-
mances réseau sont sensiblement améliorées.
Elles contrôlent le flux de trafic. Les ACLs peuvent limiter l’arrivée des
mises à jour de routage. La bande passante est préservée.
Elles fournissent un niveau de sécurité de base pour l’accès réseau.
Les ACLs permettent à un hôte d’accéder à une section du réseau tout en
empêchant un autre hôte d’y avoir accès. Exemple, l’accès à un réseau
de service peut être limité aux utilisateurs autorisés.
Elles filtrent le trafic en fonction de son type. Une ACL peut autoriser
le trafic des e-mails, mais bloquer tout le trafic Telnet.
Elles filtrent les hôtes pour autoriser ou refuser l’accès aux services
sur le réseau. Les ACLs peuvent autoriser ou refuser à un utilisateur
l’accès à certains types de fichier, tels que FTP ou HTTP.
Mohammed SABER k SupMTIO Sécurité des réseaux - Chapitre 4 Année Universitaire 2022-2023 k 5 / 60

Introduction Fonctionnement ACL ACL standard ACL étendue

Fonctionnement des listes de contrôle d’accès IP

Objectifs des listes de contrôle d’accès


Par défaut, aucune liste de contrôle d’accès n’est configurée sur les rou-
teurs.
Par conséquent, les routeurs ne filtrent pas le trafic, par défaut.
Le trafic qui entre dans le routeur est routé uniquement en fonction des infor-
mations de la table de routage.
En dehors de l’autorisation ou du blocage du trafic, les listes de contrôle
d’accès peuvent être utilisées pour sélectionner les types de trafic à ana-
lyser, à acheminer et à traiter selon d’autres méthodes.
Par exemple, les listes de contrôle d’accès permettent de classer le trafic par
ordre de priorité.

Mohammed SABER k SupMTIO Sécurité des réseaux - Chapitre 4 Année Universitaire 2022-2023 k 6 / 60
Introduction Fonctionnement ACL ACL standard ACL étendue

Fonctionnement des listes de contrôle d’accès IP

Comment les ACLs utilisent-elles les informations transmises lors


d’une conversation TCP/IP pour filtrer le trafic ?
Le filtrage des paquets, parfois appelé filtrage statique des paquets, contrôle
l’accès à un réseau en analysant les paquets entrants et sortants et en
les transmettant ou en rejetant selon des critères spécifiques, tels que
l’adresse IP source, les adresses IP de destination et le protocole
transporté dans le paquet.
Un routeur filtre les paquets lors, de leur transmission ou de leur refus
conformément aux règles de filtrage. Lorsqu’un paquet arrive sur un rou-
teur de filtrage des paquets, le routeur extrait certaines informations de
l’en-tête de paquet. Celles-ci lui permettent de décider si le paquet peut
être acheminé ou non en fonction des règles de filtre configurées.

Mohammed SABER k SupMTIO Sécurité des réseaux - Chapitre 4 Année Universitaire 2022-2023 k 7 / 60

Introduction Fonctionnement ACL ACL standard ACL étendue

Fonctionnement des listes de contrôle d’accès IP

Comment les ACLs utilisent-elles les informations transmises lors


d’une conversation TCP/IP pour filtrer le trafic ?

Pour évaluer le trafic réseau, la liste de contrôle d’accès extrait les infor-
mations suivantes de l’en-tête de paquet de couche 3 :
Adresse IP source
Adresse IP de destination
Type de message ICMP
La liste de contrôle d’accès peut également extraire des informations de
couche supérieure à partir de l’en-tête de couche 4, notamment :

Port source TCP/UDP


Port de destination TCP/UDP

Mohammed SABER k SupMTIO Sécurité des réseaux - Chapitre 4 Année Universitaire 2022-2023 k 8 / 60
Introduction Fonctionnement ACL ACL standard ACL étendue

Fonctionnement des listes de contrôle d’accès IP

Comment les ACLs utilisent-elles les informations transmises lors


d’une conversation TCP/IP pour filtrer le trafic ?

Mohammed SABER k SupMTIO Sécurité des réseaux - Chapitre 4 Année Universitaire 2022-2023 k 9 / 60

Introduction Fonctionnement ACL ACL standard ACL étendue

Fonctionnement des listes de contrôle d’accès IP

Comment les listes de contrôle d’accès utilisent-elles les


informations transmises lors d’une conversation TCP/IP pour
filtrer le trafic ?

Mohammed SABER k SupMTIO Sécurité des réseaux - Chapitre 4 Année Universitaire 2022-2023 k 10 / 60
Introduction Fonctionnement ACL ACL standard ACL étendue

Fonctionnement des listes de contrôle d’accès IP

Exemple de filtrage des paquets


Pour comprendre comment un routeur utilise le filtrage des paquets, ima-
ginez qu’un gardien a été placé devant une porte verrouillée.
Le gardien a reçu pour instruction de ne laisser passer que les personnes
dont les noms figurent sur une liste. Il filtre le passage des personnes
conformément à la liste des noms autorisés.
Les listes de contrôle d’accès fonctionnent de la même façon et prennent
des décisions en fonction de critères définis.
Par exemple, une liste de contrôle d’accès peut être configurée pour :
Autoriser l’accès Web aux utilisateurs du réseau A, mais leur refuser l’accès
à tous les autres services.
Refuser l’accès HTTP aux utilisateurs du réseau B, mais leur autoriser tous
les autres accès.

Mohammed SABER k SupMTIO Sécurité des réseaux - Chapitre 4 Année Universitaire 2022-2023 k 11 / 60

Introduction Fonctionnement ACL ACL standard ACL étendue

Fonctionnement des listes de contrôle d’accès IP

Listes de contrôle d’accès entrantes et sortantes

Les listes de contrôle d’accès sont configurées pour s’appliquer au trafic


entrant ou sortant.

Listes de contrôle d’accès entrantes : filtrent les paquets entrant dans une
interface spécifique avant qu’ils ne soient acheminés vers l’interface de sortie.
Listes de contrôle d’accès sortantes : filtrent les paquets après qu’ils ont
été routés, et ce, quelle que soit l’interface de sortie.

Mohammed SABER k SupMTIO Sécurité des réseaux - Chapitre 4 Année Universitaire 2022-2023 k 12 / 60
Introduction Fonctionnement ACL ACL standard ACL étendue

Fonctionnement des listes de contrôle d’accès IP

Comparaison des ACLs IPv4 standard et étendues

Il existe deux types de listes de contrôle d’accès IPv4 Cisco : les listes
standard et les listes étendues.
Les listes de contrôle d’accès standard (ACL Standard) : peuvent être
utilisées pour autoriser ou refuser le trafic uniquement depuis des adresses
IPv4 source.
Listes de contrôle d’accès étendues (ACL étendues) : filtrent les paquets
IPv4 en fonction de différents critères (attributs) :
Type de protocole.
Adresse IPv4 source.
Adresse IPv4 de destination.
Ports TCP ou UDP source.
Ports TCP ou UDP de destination.
Informations facultatives sur le type de protocole pour un contrôle plus précis.

Remarque
Les listes de contrôle d’accès IPv6 Cisco sont similaires aux listes de
contrôle d’accès étendues IPv4 et sont traitées dans la suite du cours.

Mohammed SABER k SupMTIO Sécurité des réseaux - Chapitre 4 Année Universitaire 2022-2023 k 13 / 60

Introduction Fonctionnement ACL ACL standard ACL étendue

Fonctionnement des listes de contrôle d’accès IP

Comparaison des ACLs IPv4 standard et étendues


Les listes de contrôle d’accès standard et étendues et leur liste d’instructions
peuvent être identifiées par un numéro ou par un nom.

Mohammed SABER k SupMTIO Sécurité des réseaux - Chapitre 4 Année Universitaire 2022-2023 k 14 / 60
Introduction Fonctionnement ACL ACL standard ACL étendue

Fonctionnement des listes de contrôle d’accès IP

Masques génériques dans les listes de contrôle d’accès

Masque générique (wilcard mask)


Un masque générique est une chaîne de 32 chiffres binaires utilisés par le
routeur pour déterminer quels bits de l’adresse examiner afin d’établir une
correspondance.

Les masques génériques et les masques de sous-réseau diffèrent dans


leur méthode de mise en correspondance des 1 et des 0 binaires.
Les masques génériques respectent les règles suivantes pour faire cor-
respondre les chiffres binaires 1 et 0 :
Bit 0 de masque générique : permet de vérifier la valeur du bit correspon-
dant dans l’adresse.
Bit 1 de masque générique : permet d’ignorer la valeur du bit correspondant
dans l’adresse.

Mohammed SABER k SupMTIO Sécurité des réseaux - Chapitre 4 Année Universitaire 2022-2023 k 15 / 60

Introduction Fonctionnement ACL ACL standard ACL étendue

Fonctionnement des listes de contrôle d’accès IP

Masques génériques dans les listes de contrôle d’accès

Il ne faut pas confondre un masque générique avec un masque de ré-


seau.
Un masque générique est un masque de filtrage. Quand un bit aura une
valeur de 0 dans le masque, il y aura vérification de ce bit sur l’adresse IP de
référence. Lorsque le bit aura une valeur de 1, il n’en y aura pas.
Un masque de réseau est un masque de division ou de regroupement. Une
addition booléenne d’une adresse IP et d’un masque de réseau est utilisée
pour distinguer la partie réseau de la partie hôte.
En binaire, alors qu’un masque de réseau est nécessairement une suite ho-
mogène de 1 et puis de 0, un masque générique peut être une suite quel-
conque de 1 et de 0 en fonction du filtrage que l’on veut opérer sur des
adresses IP.

Mohammed SABER k SupMTIO Sécurité des réseaux - Chapitre 4 Année Universitaire 2022-2023 k 16 / 60
Introduction Fonctionnement ACL ACL standard ACL étendue

Fonctionnement des listes de contrôle d’accès IP

Masques génériques dans les listes de contrôle d’accès

Mohammed SABER k SupMTIO Sécurité des réseaux - Chapitre 4 Année Universitaire 2022-2023 k 17 / 60

Introduction Fonctionnement ACL ACL standard ACL étendue

Fonctionnement des listes de contrôle d’accès IP

Masques génériques dans les listes de contrôle d’accès

Mohammed SABER k SupMTIO Sécurité des réseaux - Chapitre 4 Année Universitaire 2022-2023 k 18 / 60
Introduction Fonctionnement ACL ACL standard ACL étendue

Fonctionnement des listes de contrôle d’accès IP

Fonctionnement des listes de contrôle d’accès IP

Le calcul des masques génériques peut être complexe. La méthode la plus


rapide consiste à soustraire le masque de sous-réseau de 255.255.255.255.

Mohammed SABER k SupMTIO Sécurité des réseaux - Chapitre 4 Année Universitaire 2022-2023 k 19 / 60

Introduction Fonctionnement ACL ACL standard ACL étendue

Fonctionnement des listes de contrôle d’accès IP

Masques génériques dans les listes de contrôle d’accès

Mots-clés des bits de masque générique host et any :

Mohammed SABER k SupMTIO Sécurité des réseaux - Chapitre 4 Année Universitaire 2022-2023 k 20 / 60
Introduction Fonctionnement ACL ACL standard ACL étendue

Fonctionnement des listes de contrôle d’accès IP

Masques génériques dans les listes de contrôle d’accès


Exercice : détermination du masque générique approprié

Mohammed SABER k SupMTIO Sécurité des réseaux - Chapitre 4 Année Universitaire 2022-2023 k 21 / 60

Introduction Fonctionnement ACL ACL standard ACL étendue

Fonctionnement des listes de contrôle d’accès IP

Directives concernant la création des listes de contrôle d’accès

L’écriture des listes de contrôle d’accès peut être une tâche complexe.
Pour chaque interface, plusieurs stratégies peuvent être nécessaires pour
gérer le type de trafic autorisé à entrer dans cette interface ou en sortir.
Le routeur représenté sur la figure dispose de deux interfaces configurées
pour IPv4 et IPv6.

Remarque
Il n’est pas nécessaire de configurer les listes de contrôle d’accès dans les
deux directions. Le nombre de listes de contrôle d’accès et leur direction
appliquée à l’interface dépendront des exigences.

Mohammed SABER k SupMTIO Sécurité des réseaux - Chapitre 4 Année Universitaire 2022-2023 k 22 / 60
Introduction Fonctionnement ACL ACL standard ACL étendue

Fonctionnement des listes de contrôle d’accès IP

Directives concernant la création des listes de contrôle d’accès

Pour retenir la règle générale d’application des listes de contrôle d’accès, il


suffit de se souvenir des trois P. Vous pouvez configurer une liste de contrôle
d’accès par protocole, par direction et par interface :
Une liste de contrôle d’accès par protocole : pour contrôler le flux
du trafic sur une interface, définissez une liste de contrôle d’accès pour
chaque protocole activé sur l’interface.
Une liste de contrôle d’accès par direction : les listes de contrôle d’ac-
cès contrôlent le trafic dans une seule direction à la fois sur une inter-
face. Vous devez créer deux listes de contrôle d’accès ; la première pour
contrôler le trafic entrant et la seconde pour contrôler le trafic sortant.
Une liste de contrôle d’accès par interface : les listes de contrôle d’ac-
cès contrôlent le trafic dans une seule interface, par exemple, Gigabit
Ethernet 0/0.

Mohammed SABER k SupMTIO Sécurité des réseaux - Chapitre 4 Année Universitaire 2022-2023 k 23 / 60

Introduction Fonctionnement ACL ACL standard ACL étendue

Fonctionnement des listes de contrôle d’accès IP

Méthodes recommandées pour les listes de contrôle d’accès

L’utilisation des listes de contrôle d’accès nécessite beaucoup de préci-


sion et de soin.
Les erreurs peuvent vous coûter cher et se solder par des pannes de
réseau, d’importants efforts de dépannage et des services réseau mé-
diocres.
Avant de configurer une liste de contrôle d’accès, une planification de
base s’impose.

Mohammed SABER k SupMTIO Sécurité des réseaux - Chapitre 4 Année Universitaire 2022-2023 k 24 / 60
Introduction Fonctionnement ACL ACL standard ACL étendue

Fonctionnement des listes de contrôle d’accès IP

Directives concernant l’emplacement des ACLs


Le positionnement approprié d’une liste de contrôle d’accès peut optimi-
ser l’efficacité du réseau.
Une liste de contrôle d’accès peut être placée de sorte à réduire le trafic
superflu.
Chaque liste de contrôle d’accès doit être placée là où elle aura le plus
grand impact sur les performances.
Les règles de base sont les suivantes :
Listes de contrôle d’accès standard : étant donné que les listes de contrôle
d’accès standard ne précisent pas les adresses de destination, placez-les le
plus près possible de la destination.
Listes de contrôle d’accès étendues : placez les listes de contrôle d’accès
étendues le plus près possible de la source du trafic à filtrer. De cette ma-
nière, le trafic indésirable est refusé près du réseau source et ne traverse pas
l’infrastructure réseau.

Mohammed SABER k SupMTIO Sécurité des réseaux - Chapitre 4 Année Universitaire 2022-2023 k 25 / 60

Introduction Fonctionnement ACL ACL standard ACL étendue

Fonctionnement des listes de contrôle d’accès IP

Directives concernant le placement des listes de contrôle d’accès

Position de l’ACL standard


Les listes de contrôle d’accès standard permettent uniquement de filtrer
le trafic en fonction d’une adresse source.
Le principe de base consiste donc à placer la liste de contrôle d’accès
standard aussi près que possible du réseau de destination.
Cela permet au trafic d’accéder à tous les autres réseaux à l’exception
de celui où les paquets sont filtrés.

Mohammed SABER k SupMTIO Sécurité des réseaux - Chapitre 4 Année Universitaire 2022-2023 k 26 / 60
Introduction Fonctionnement ACL ACL standard ACL étendue

Fonctionnement des listes de contrôle d’accès IP

Directives concernant le placement des listes de contrôle d’accès

Position de l’ACL étendue


Comme les listes de contrôle d’accès standard, les listes de contrôle d’ac-
cès étendues peuvent filtrer le trafic en fonction de l’adresse source.
Cependant, une liste de contrôle d’accès étendue peut également filtrer
le trafic en fonction de l’adresse de destination, du protocole et du numéro
de port.
Cela offre aux administrateurs réseau davantage de flexibilité au niveau
du type de trafic pouvant être filtré et de la position de la liste.
La règle de base pour le placement des listes de contrôle d’accès éten-
dues consiste à les placer aussi près que possible de la source.
Cela empêche le trafic indésirable d’être envoyé sur plusieurs réseaux
pour être finalement refusé lorsqu’il atteint sa destination

Mohammed SABER k SupMTIO Sécurité des réseaux - Chapitre 4 Année Universitaire 2022-2023 k 27 / 60

Introduction Fonctionnement ACL ACL standard ACL étendue

Listes de contrôle d’accès IPv4 standard

Configuration des listes de contrôle d’accès IPv4 standard

Saisie des instructions de critères


Lorsque le trafic entre dans le routeur, il est comparé à toutes les entrées
de contrôle d’accès dans l’ordre dans lequel ces entrées apparaissent
dans la liste de contrôle d’accès.
Le routeur continue à traiter les règles jusqu’à ce qu’il trouve une corres-
pondance. Le routeur traite le paquet en fonction de la première corres-
pondance trouvée et aucune autre règle ne sera inspectée.
Si aucune correspondance n’est trouvée, lorsque le routeur atteint la fin
de la liste, le trafic est refusé (par défaut, il existe un refus implicite à la
fin de toutes les listes de contrôle d’accès).
Lorsque les paquets sont autorisés, ils sont acheminés vers une interface
de sortie par le routeur. Si les paquets sont refusés, ils sont abandonnés
sur l’interface d’entrée.

Mohammed SABER k SupMTIO Sécurité des réseaux - Chapitre 4 Année Universitaire 2022-2023 k 28 / 60
Introduction Fonctionnement ACL ACL standard ACL étendue

Listes de contrôle d’accès IPv4 standard

Configuration des listes de contrôle d’accès IPv4 standard

Mohammed SABER k SupMTIO Sécurité des réseaux - Chapitre 4 Année Universitaire 2022-2023 k 29 / 60

Introduction Fonctionnement ACL ACL standard ACL étendue

Listes de contrôle d’accès IPv4 standard

Configuration des listes de contrôle d’accès IPv4 standard

Pour utiliser des listes de contrôle d’accès standard numérotées sur un


routeur Cisco, vous devez d’abord créer la liste de contrôle d’accès stan-
dard, puis l’activer sur une interface.
La commande de configuration globale access-list définit une liste de
contrôle d’accès standard associée à un numéro compris entre 1 et 99.
La syntaxe complète de la commande des listes de contrôle d’accès stan-
dard est la suivante :

Router(config)# access-list access-list-number-1-99


{deny|permit|remark} source [ source-wildcard ][log]

Pour supprimer la liste de contrôle d’accès, la commande de configuration


globale no access-list est utilisée.
Pour lister les listes de contrôle d’accès, la commande de mode privilégié
show access-lists est utilisée.

Mohammed SABER k SupMTIO Sécurité des réseaux - Chapitre 4 Année Universitaire 2022-2023 k 30 / 60
Introduction Fonctionnement ACL ACL standard ACL étendue

Listes de contrôle d’accès IPv4 standard

Configuration des listes de contrôle d’accès IPv4 standard

Mohammed SABER k SupMTIO Sécurité des réseaux - Chapitre 4 Année Universitaire 2022-2023 k 31 / 60

Introduction Fonctionnement ACL ACL standard ACL étendue

Listes de contrôle d’accès IPv4 standard

Configuration des listes de contrôle d’accès IPv4 standard

Mohammed SABER k SupMTIO Sécurité des réseaux - Chapitre 4 Année Universitaire 2022-2023 k 32 / 60
Introduction Fonctionnement ACL ACL standard ACL étendue

Listes de contrôle d’accès IPv4 standard

Configuration des listes de contrôle d’accès IPv4 standard

Cisco IOS applique une logique interne lorsqu’il accepte et traite les en-
trées de contrôle d’accès.
Comme évoqué précédemment, les règles sont traitées de manière sé-
quentielle.
Par conséquent, l’ordre dans lequel elles sont saisies est important.

Mohammed SABER k SupMTIO Sécurité des réseaux - Chapitre 4 Année Universitaire 2022-2023 k 33 / 60

Introduction Fonctionnement ACL ACL standard ACL étendue

Listes de contrôle d’accès IPv4 standard

Configuration des listes de contrôle d’accès IPv4 standard

Une fois qu’une liste de contrôle d’accès standard est configurée, elle est
associée à une interface à l’aide de la commande ip access-group en
mode de configuration d’interface :

Router(config-if)# ip access-group access-list-number-1-99 {in|out}

Pour supprimer une liste de contrôle d’accès IP d’une interface, entrez


d’abord la commande no ip access-group sur l’interface, puis la com-
mande globale no access-list pour supprimer l’ensemble de la liste.

Mohammed SABER k SupMTIO Sécurité des réseaux - Chapitre 4 Année Universitaire 2022-2023 k 34 / 60
Introduction Fonctionnement ACL ACL standard ACL étendue

Listes de contrôle d’accès IPv4 standard

Création de listes de contrôle d’accès standard nommées


Lorsque vous identifiez une liste de contrôle d’accès par un nom plutôt
qu’un numéro, le mode de configuration et la syntaxe de commande sont
légèrement différents.
Étape 1. À partir du mode de configuration globale, utilisez la commande
ip access-list pour créer une liste de contrôle d’accès nommée. Les
noms des listes de contrôle d’accès doivent contenir uniquement des
caractères alphanumériques, sont sensibles à la casse et doivent être
uniques.

Router(config)# ip access-list [standard] name

Étape 2. En mode de configuration des listes de contrôle d’accès nom-


mées, utilisez les instructions permit (autoriser) ou deny (refuser) pour
spécifier une ou plusieurs conditions déterminant si un paquet est trans-
féré ou abandonné.

Router(config-std-nacl)# [permit|deny|remark] source [ source-wildcard


][log]
Mohammed SABER k SupMTIO Sécurité des réseaux - Chapitre 4 Année Universitaire 2022-2023 k 35 / 60

Introduction Fonctionnement ACL ACL standard ACL étendue

Listes de contrôle d’accès IPv4 standard

Création de listes de contrôle d’accès standard nommées

Étape 3. Appliquez la liste de contrôle d’accès à une interface à l’aide de


la commande ip access-group. Indiquez si la liste de contrôle d’accès
doit être appliquée aux paquets lorsqu’ils entrent dans l’interface (in) ou
lorsqu’ils quittent l’interface (out).

Router(config-if)# ip access-group access-list-name {in|out}

Mohammed SABER k SupMTIO Sécurité des réseaux - Chapitre 4 Année Universitaire 2022-2023 k 36 / 60
Introduction Fonctionnement ACL ACL standard ACL étendue

Listes de contrôle d’accès IPv4 standard

Commentaires sur les listes de contrôle d’accès


Vous pouvez utiliser le mot-clé remark pour intégrer des commentaires
(remarques) sur les entrées dans n’importe quelle liste de contrôle d’ac-
cès IP standard ou étendue.
Ces remarques facilitent la compréhension et la recherche des listes de
contrôle d’accès.
Chaque ligne de remarque est limitée à 100 caractères.

Router(config)# access-list access-list-number-1-99 remark


commentaire
La remarque peut être placée avant ou après une instruction permit ou
deny.
La position des remarques doit être cohérente, afin de permettre d’iden-
tifier clairement quelle instruction permit ou deny chacune décrit.
Pour saisir une remarque dans une liste de contrôle d’accès standard ou
étendue nommée, utilisez la commande de configuration de liste d’accès
remark.
Pour supprimer le mot-clé remark, utilisez la forme no de cette com-
mande.
Mohammed SABER k SupMTIO Sécurité des réseaux - Chapitre 4 Année Universitaire 2022-2023 k 37 / 60

Introduction Fonctionnement ACL ACL standard ACL étendue

Listes de contrôle d’accès IPv4 standard

Vérification des listes de contrôle d’accès

La commande show ip interface permet de vérifier la liste de contrôle


d’accès sur l’interface.
Le résultat de cette commande inclut le numéro ou le nom de la liste de
contrôle d’accès et la direction dans laquelle celle-ci a été appliquée.

Le résultat indique que la liste d’accès 1 est appliquée à l’interface sor-


tante S0/0/0 du routeur R1 et la liste d’accès NO_ACCESS à son interface
sortante G0/0.
Mohammed SABER k SupMTIO Sécurité des réseaux - Chapitre 4 Année Universitaire 2022-2023 k 38 / 60
Introduction Fonctionnement ACL ACL standard ACL étendue

Listes de contrôle d’accès IPv4 standard

Vérification des listes de contrôle d’accès

Pour afficher une liste d’accès spécifique, exécutez la commande show


access-lists suivie du numéro ou du nom de la liste d’accès de votre
choix.

Mohammed SABER k SupMTIO Sécurité des réseaux - Chapitre 4 Année Universitaire 2022-2023 k 39 / 60

Introduction Fonctionnement ACL ACL standard ACL étendue

Listes de contrôle d’accès IPv4 standard

Statistiques de la liste de contrôle d’accès

Une fois que la liste de contrôle d’accès a été appliquée à une interface
et qu’elle a été testée, la commande show access-lists affiche les
statistiques de chaque instruction ayant obtenu une ou plusieurs corres-
pondances.

Mohammed SABER k SupMTIO Sécurité des réseaux - Chapitre 4 Année Universitaire 2022-2023 k 40 / 60
Introduction Fonctionnement ACL ACL standard ACL étendue

Listes de contrôle d’accès IPv4 standard

Statistiques de la liste de contrôle d’accès

Vous pouvez remettre les compteurs à zéro à l’aide de la commande


clear access-list counters. Cette commande peut être utilisée
seule ou avec le numéro ou le nom d’une liste de contrôle d’accès spéci-
fique.

Mohammed SABER k SupMTIO Sécurité des réseaux - Chapitre 4 Année Universitaire 2022-2023 k 41 / 60

Introduction Fonctionnement ACL ACL standard ACL étendue

Listes de contrôle d’accès IPv4 standard

Sécurisation des ports VTY à l’aide d’une liste de contrôle d’accès


IPv4 standard
La restriction de l’accès VTY est une technique vous permettant de défi-
nir les adresses IP avec un accès Telnet au processus d’exécution du
routeur.
Pour contrôler le poste de travail ou le réseau administratif gérant votre
routeur, vous pouvez utiliser une liste de contrôle d’accès et une instruc-
tion access-class configurée sur vos lignes VTY.
La commande access-class configurée en mode de configuration de
ligne limite les connexions entrantes et sortantes entre un VTY spécifique
(vers un périphérique Cisco) et les adresses renseignées dans une liste
de contrôle d’accès.

Router(config-ligne)# access-class access-list-number-1-99 in[ vrf-also]


| out
Le paramètre in limite les connexions entrantes entre les adresses de la liste
d’accès et le périphérique Cisco ;
Le paramètre out limite les connexions sortantes entre un périphérique Cisco
spécifique et les adresses de la liste d’accès.
Mohammed SABER k SupMTIO Sécurité des réseaux - Chapitre 4 Année Universitaire 2022-2023 k 42 / 60
Introduction Fonctionnement ACL ACL standard ACL étendue

Listes de contrôle d’accès IPv4 standard

Sécurisation des ports VTY à l’aide d’une liste de contrôle d’accès


IPv4 standard
Vous devez prendre en compte les éléments suivants lors de la configuration
de listes de contrôle d’accès sur des lignes VTY :
Seules des listes de contrôle d’accès numérotées peuvent être appli-
quées aux lignes VTY.
Vous devez définir les mêmes restrictions sur toutes les lignes VTY car
un utilisateur peut tenter de se connecter à n’importe laquelle.

Mohammed SABER k SupMTIO Sécurité des réseaux - Chapitre 4 Année Universitaire 2022-2023 k 43 / 60

Introduction Fonctionnement ACL ACL standard ACL étendue

Listes de contrôle d’accès IPv4 standard

Sécurisation des ports VTY à l’aide d’une liste de contrôle d’accès


IPv4 standard

Mohammed SABER k SupMTIO Sécurité des réseaux - Chapitre 4 Année Universitaire 2022-2023 k 44 / 60
Introduction Fonctionnement ACL ACL standard ACL étendue

Listes de contrôle d’accès IPv4 standard

Sécurisation des ports VTY à l’aide d’une liste de contrôle d’accès


IPv4 standard
Une fois que la liste de contrôle d’accès aux lignes VTY est configurée, il
est important de vérifier qu’elle fonctionne correctement.

Mohammed SABER k SupMTIO Sécurité des réseaux - Chapitre 4 Année Universitaire 2022-2023 k 45 / 60

Introduction Fonctionnement ACL ACL standard ACL étendue

Listes de contrôle d’accès IPv4 étendues

Structure d’une liste de contrôle d’accès IPv4 étendue


Des listes de contrôle d’accès IPv4 étendues peuvent être créées pour
permettre un contrôle plus précis du filtrage du trafic.
Les listes de contrôle d’accès étendues sont numérotées de 100 à 199
et de 2 000 à 2 699 ce qui offre un total de 799 numéros de listes de
contrôle d’accès étendues disponibles.
Vous pouvez également attribuer un nom aux listes de contrôle d’accès
étendues.
Les listes de contrôle d’accès étendues sont plus répandues que les listes
de contrôle d’accès standard, car elles fournissent un degré supérieur de
contrôle.
A l’instar des listes de contrôle d’accès standard, les listes de contrôle
d’accès étendues contrôlent les adresses sources des paquets, mais
elles vérifient également l’adresse de destination, les protocoles et les
numéros de port (ou les services).
La plage de critères est ainsi bien plus grande.
Par exemple, une liste de contrôle d’accès étendue peut autoriser le trafic
d’e-mails d’un réseau vers une destination spécifique tout en refusant les
transferts de fichiers et la navigation sur le Web.
Mohammed SABER k SupMTIO Sécurité des réseaux - Chapitre 4 Année Universitaire 2022-2023 k 46 / 60
Introduction Fonctionnement ACL ACL standard ACL étendue

Structure d’une liste de contrôle d’accès IPv4 étendue

Structure d’une liste de contrôle d’accès IPv4 étendue


La possibilité de filtrer en fonction des protocoles et des numéros de port
permet aux administrateurs réseau de créer des listes de contrôle d’ac-
cès étendues très précises.
Une application peut être spécifiée soit par le numéro de port soit par le
nom d’un port réservé.
La Figure montre quelques exemples où un administrateur spécifie un
numéro de port TCP ou UDP en le plaçant à la fin de l’instruction de la
liste de contrôle d’accès étendue. Vous pouvez utiliser des opérateurs
logiques, tels que égal (eq), non égal (neq), supérieur à (gt) et inférieur
à (lt).

Mohammed SABER k SupMTIO Sécurité des réseaux - Chapitre 4 Année Universitaire 2022-2023 k 47 / 60

Introduction Fonctionnement ACL ACL standard ACL étendue

Configuration de listes de contrôle d’accès IPv4 étendues

Configuration de listes de contrôle d’accès IPv4 étendues

Les procédures de configuration des listes de contrôle d’accès étendues


sont les mêmes que pour les listes de contrôle d’accès standard.
La liste de contrôle d’accès étendue est d’abord configurée, puis elle est
activée sur une interface.
La syntaxe et les paramètres de commande sont plus complexes car ils
prennent en charge des fonctions supplémentaires fournies par les listes
de contrôle d’accès étendues.

Router(config)# access-list access-list-number-100-199


deny|permit|remark protocole source [source-wildcard] [operator
operand] [port port-number or name] destination [destination-wildcard]
[operator operand] [port port-number or name] [established]

Mohammed SABER k SupMTIO Sécurité des réseaux - Chapitre 4 Année Universitaire 2022-2023 k 48 / 60
Introduction Fonctionnement ACL ACL standard ACL étendue

Configuration de listes de contrôle d’accès IPv4 étendues

Configuration de listes de contrôle d’accès IPv4 étendues

Mohammed SABER k SupMTIO Sécurité des réseaux - Chapitre 4 Année Universitaire 2022-2023 k 49 / 60

Introduction Fonctionnement ACL ACL standard ACL étendue

Configuration de listes de contrôle d’accès IPv4 étendues

Configuration de listes de contrôle d’accès IPv4 étendues

Mohammed SABER k SupMTIO Sécurité des réseaux - Chapitre 4 Année Universitaire 2022-2023 k 50 / 60
Introduction Fonctionnement ACL ACL standard ACL étendue

Configuration de listes de contrôle d’accès IPv4 étendues

Application de listes de contrôle d’accès étendues aux interfaces

Mohammed SABER k SupMTIO Sécurité des réseaux - Chapitre 4 Année Universitaire 2022-2023 k 51 / 60

Introduction Fonctionnement ACL ACL standard ACL étendue

Configuration de listes de contrôle d’accès IPv4 étendues

Filtrage du trafic à l’aide de listes de contrôle d’accès étendues

Mohammed SABER k SupMTIO Sécurité des réseaux - Chapitre 4 Année Universitaire 2022-2023 k 52 / 60
Introduction Fonctionnement ACL ACL standard ACL étendue

Configuration de listes de contrôle d’accès IPv4 étendues

Filtrage du trafic à l’aide de listes de contrôle d’accès étendues

Mohammed SABER k SupMTIO Sécurité des réseaux - Chapitre 4 Année Universitaire 2022-2023 k 53 / 60

Introduction Fonctionnement ACL ACL standard ACL étendue

Configuration de listes de contrôle d’accès IPv4 étendues

Création de listes de contrôle d’accès étendues nommées


Lorsque vous identifiez une liste de contrôle d’accès par un nom plutôt
qu’un numéro, le mode de configuration et la syntaxe de commande sont
légèrement différents.
Étape 1. À partir du mode de configuration globale, utilisez la commande
ip access-list pour créer une liste de contrôle d’accès nommée. Les
noms des listes de contrôle d’accès doivent contenir uniquement des
caractères alphanumériques, sont sensibles à la casse et doivent être
uniques.

Router(config)# ip access-list extended name

Étape 2. En mode de configuration des listes de contrôle d’accès nom-


mées, utilisez les instructions permit (autoriser) ou deny (refuser) pour
spécifier une ou plusieurs conditions déterminant si un paquet est trans-
féré ou abandonné.

Router(config-std-nacl)# deny|permit|remark protocole source


[source-wildcard] [operator operand] [port port-number or name]
destination [destination-wildcard] [operator operand] [port port-number or
name]SABER
Mohammed [established]
k SupMTIO Sécurité des réseaux - Chapitre 4 Année Universitaire 2022-2023 k 54 / 60
Introduction Fonctionnement ACL ACL standard ACL étendue

Configuration de listes de contrôle d’accès IPv4 étendues

Création de listes de contrôle d’accès étendues nommées

Étape 3. Appliquez la liste de contrôle d’accès à une interface à l’aide de


la commande ip access-group. Indiquez si la liste de contrôle d’accès
doit être appliquée aux paquets lorsqu’ils entrent dans l’interface (in) ou
lorsqu’ils quittent l’interface (out).

Router(config-if)# ip access-group access-list-name {in|out}

Étape 4. Repassez en mode d’exécution privilégié et vérifiez la liste à


l’aide de la commande show access-lists name.
Étape 5. Enregistrez les entrées dans le fichier de configuration en utili-
sant la commande copy running-config startup-config.
Pour supprimer une liste de contrôle d’accès étendue nommée, utilisez la
commande de configuration globale :

Router(config)# no ip access-list extended name

Mohammed SABER k SupMTIO Sécurité des réseaux - Chapitre 4 Année Universitaire 2022-2023 k 55 / 60

Introduction Fonctionnement ACL ACL standard ACL étendue

Configuration de listes de contrôle d’accès IPv4 étendues

Création de listes de contrôle d’accès étendues nommées

Mohammed SABER k SupMTIO Sécurité des réseaux - Chapitre 4 Année Universitaire 2022-2023 k 56 / 60
Introduction Fonctionnement ACL ACL standard ACL étendue

Configuration de listes de contrôle d’accès IPv4 étendues

Vérification des listes de contrôle d’accès étendues


Une fois qu’une liste de contrôle d’accès a été configurée et appliquée à
une interface, utilisez la commande show de Cisco IOS pour vérifier la
configuration.
Le résultat et les numéros d’ordre affichés par la commande show access-lists
correspondant à l’ordre dans lequel les instructions ont été saisies.
La commande show ip interface permet de vérifier la liste de contrôle
d’accès sur l’interface et la direction dans laquelle elle a été appliquée.

Mohammed SABER k SupMTIO Sécurité des réseaux - Chapitre 4 Année Universitaire 2022-2023 k 57 / 60

Introduction Fonctionnement ACL ACL standard ACL étendue

Configuration de listes de contrôle d’accès IPv4 étendues

Modification des listes de contrôle d’accès étendues

La modification des listes de contrôle d’accès étendues est similaire à


celle des listes de contrôle d’accès standard.
Une liste de contrôle d’accès étendue peut être modifiée comme suit :
1re méthode, l’éditeur de texte : cette méthode consiste à copier la liste
de contrôle d’accès et à la coller dans l’éditeur de texte pour la modifier. Il
faut ensuite supprimer la liste d’accès actuelle à l’aide de la commande no
access-list. Une fois modifiée, elle est à nouveau collée dans la configu-
ration.
2me méthode, les numéros d’ordre : les numéros d’ordre permettent de sup-
primer ou d’insérer une instruction de liste de contrôle d’accès. Exécutez
la commande ip access-list extended name pour passer en mode de
configuration de liste de contrôle d’accès nommée. Si la liste d’accès est nu-
mérotée plutôt que nommée, indiquez le numéro de liste de contrôle d’accès
dans le paramètre name. Vous avez la possibilité d’insérer ou de supprimer
des règles.

Mohammed SABER k SupMTIO Sécurité des réseaux - Chapitre 4 Année Universitaire 2022-2023 k 58 / 60
Introduction Fonctionnement ACL ACL standard ACL étendue

Configuration de listes de contrôle d’accès IPv4 étendues

Modification des listes de contrôle d’accès étendues

Mohammed SABER k SupMTIO Sécurité des réseaux - Chapitre 4 Année Universitaire 2022-2023 k 59 / 60

Introduction Fonctionnement ACL ACL standard ACL étendue

Configuration de listes de contrôle d’accès IPv4 étendues

Mohammed SABER k SupMTIO Sécurité des réseaux - Chapitre 4 Année Universitaire 2022-2023 k 60 / 60

Vous aimerez peut-être aussi