Liste de contrôle d’accés

IPv4
Les listes de contrôle d’accès

• A quoi ça sert
• Comment ça marche
• ACL standard , étendue et nommée
• Les masques génériques (Wildcard
Masks)
• La configuration des ACLs.
 Filtrage des paquets
Le filtrage des paquets, contrôle
l’accès à un réseau en analysant
les paquets entrants et
sortants, et en les transmettant
ou en les arrêtant en fonction de
critères prédéfinis.
Le filtrage des paquets
fonctionne sur la couche réseau
du modèle OSI (Open Systems
Interconnection) ou sur la couche
Internet de TCP/IP.
 Exemple de filtrage des paquets
Un routeur de filtrage des paquets, en tant que
périphérique de couche 3, se réfère aux règles pour
déterminer s’il doit autoriser ou refuser le trafic en
fonction
• des adresses IP source et de destination,
• du port source, du port de destination et
• du protocole des paquets.
Ces règles sont définies en fonction des listes de contrôle
d’accès.
 Qu’est ce qu’une liste de contrôle
d’accès
Une liste de contrôle
d’accès est un script de
configuration de routeur
contrôlant l’autorisation ou
le refus de passage des
paquets, conformément aux
critères stipulés dans leur
en-tête..
Fonctionnement des listes de contrôle d'accès

• Les listes de contrôle d'accès sont

configurées pour s'appliquer au trafic
entrant ou sortant,
 ACL - Comment ça marche
• Filtre les paquets en utilisant des éléments des couches 3
(adresses IP) et couche 4 (numéros de port des
applications) de TCP-IP ;

• Par défaut, une liste de contrôle non paramétrée refuse

tous les accès.

Router

Quelle adresse ? [Link] OK, circulez !

•Le paramétrage de l’ACL décide quel hôte ou groupe

d’hôte peut (permit) ou ne peut pas (deny) transiter par le
routeur.
 ACL - Comment ça marche (2)
• Les ACLs sont créées en mode de configuration globale.
• Elles doivent ensuite être affectée à un (ou plusieurs)
ports.

Router

• Grâce aux masques génériques (wildcard mask), le

contrôle peut s’appliquer à un réseau, un sous-réseau,
un hôte.
• ACL ne contrôle pas les paquets émis par le routeur lui-
même.
 Les paramètres In et Out
(Inbound-Outbound)

• Par défaut, ce paramètre est configuré sur out (vers le

réseau)
• Le paramètre In (vers le routeur) ou Out se place sur
l’interface à laquelle on veut appliquer la liste d’accès

In/Out
Internet
E0 Router
S0
Comparaison des listes de contrôle d'accès
IPv4 standard et étendues

• Les listes de contrôles standards filtrent l’accès :

– à partir de l’adresse source uniquement .

• Les listes de contrôle étendues peuvent filtrer l’accès :

– selon l’adresse de source et de destination ;
– selon les types de protocole de transport (TCP, UDP)
– et le numéro de port (couche application ).
Numérotation et nom des listes de contrôle
d'accès
 Présentation des masques génériques des
listes de contrôle d'accès
Les masques génériques et les masques de sous-réseau diffèrent dans leur
méthode de mise en correspondance des 1 et des 0 binaires.

Les masques génériques respectent les règles suivantes pour faire

correspondre les chiffres binaires 1 et 0 :
▪ Bit 0 de masque générique : permet de vérifier la valeur du bit
correspondant dans l'adresse.
▪ Bit 1 de masque générique : permet d'ignorer la valeur du bit
correspondant dans l'adresse.

Les masques génériques sont souvent appelés masques inverses. En

effet, contrairement à un masque de sous-réseau, où le chiffre binaire 1
équivaut à une correspondance et le chiffre binaire 0 à une non-
correspondance, les masques génériques procèdent de façon inverse.
Exemples de masques génériques :
hôtes/sous-réseaux
Exemples de masques génériques :
correspondance avec des plages
Exemples de masque générique
 Calcul du masque générique
Le calcul des masques génériques peut être complexe.
La méthode la plus rapide consiste à soustraire le
masque de sous-réseau de [Link].
 Mots-clés des masques génériques
Les mots-clés host(hôte) et any (tous) permettent
d'identifier les utilisations les plus courantes des
masques génériques, et simplifient ainsi cette tâche.
Exercice masque générique
 Exercice
détermination de l'autorisation ou du refus
 Exercice
détermination de l'autorisation ou du refus
 Correction
détermination de l'autorisation ou du refus
 Directives générales concernant la création
des listes de contrôle d'accès

▪ Utilisez des listes de contrôle d'accès sur les routeurs pare-

feu situés entre votre réseau interne et un réseau externe,
par exemple Internet.
▪ Utilisez des listes de contrôle d'accès sur un routeur situé
entre deux parties de votre réseau pour contrôler le trafic
entrant ou sortant sur une portion donnée du réseau
interne.
▪ Configurez des listes de contrôle d'accès sur les routeurs
périphériques situés à la périphérie de vos réseaux.
▪ Configurez des listes de contrôle d'accès pour tout protocole
réseau configuré sur les interfaces de routeur périphérique.
 Directives générales concernant la création
des listes de contrôle d'accès
Règle des trois P
▪ Une liste de contrôle d'accès par protocole : pour contrôler le flux
du trafic sur une interface, définissez une liste de contrôle d'accès
pour chaque protocole activé sur l'interface.

▪ Une liste de contrôle d'accès par direction : les listes de contrôle

d'accès contrôlent le trafic dans une seule direction à la fois sur une
interface. Vous devez créer deux listes de contrôle d'accès, la
première pour contrôler le trafic entrant et la seconde pour contrôler
le trafic sortant.

▪ Une liste de contrôle d'accès par interface : les listes de contrôle

d'accès contrôlent le trafic dans une seule interface, par exemple,
Gigabit Ethernet 0/0.
 Où placer les listes de contrôle d'accès
Chaque liste de contrôle
d'accès doit être placée là où
elle aura le plus grand impact
sur les performances. Règles
de base :

▪ Listes de contrôle d'accès

standard : étant donné
qu'elles ne spécifient pas les
adresses de destination,
placez-les le plus près
possible de la destination..
 Où placer les listes de contrôle d'accès

▪ Listes de contrôle
d'accès étendues :
placez les listes de
contrôle d'accès
étendues le plus près
possible de la source
du trafic à filtrer.
 Configuration des listes de contrôle
d'accès IPv4 standard
Les listes d’accès standard vérifient l’adresse d’origine des paquets IP qui sont
routés.

Router(config)#access-list access-list-number {deny | permit | remark} source

• Source = Numéro du réseau ou de l’hôte d’où provient le paquet

• Les commentaires remark permettent de comprendre plus facilement les
listes d'accès. Chaque commentaire est limité à 100 caractères
Exemple :
 Application de listes de contrôle d'accès
standard aux interfaces

Une fois qu'une liste de contrôle d'accès standard est

configurée, elle est associée à une interface à l'aide de la
commande ip access-group en mode de configuration
d'interface :
▪ Router(config-if)# ip access-group { access-
list-number | access-list-name } { in | out }

Pour supprimer une liste de contrôle d'accès d'une interface,

entrez d'abord la commande no ip access-group sur
l'interface, puis la commande globale no access-list pour
supprimer l'ensemble de la liste.
Exemple Application de listes de contrôle
d'accès standard aux interfaces
 Permission ou refus
• Par défaut, dès qu’une liste d’accès est créée, elle
refuse le passage à tout ce qui n’est pas
spécifiquement autorisé

• De façon implicite (cela n’apparaît pas à la ligne de

commande) la liste de contrôle d’accès se termine
par l’instruction «refuse tout» (‘deny any’).

• En général, l’administrateur devrait donner des

permissions (permit) plutôt que des interdictions
(deny).
Modification des listes de contrôle d'accès
numérotées
Modification des listes de contrôle d'accès
numérotées (suite)
Exercice ACL standard
Scénario1

Scénario2

Scénario3
Correction
ACL nommée Standard
 Suppression ou Insertion d’une ligne
d’ACL nommée Standard
• Une ACL numéroté peut être
composé de nombreuses régles.
– La seule façon de la modifier et
de faire no access-list number
– Puis de la redéfinir .

• La commande ip access-list
standard permet de configurer
les listes de contrôle d'accès
nommées. Vous pouvez insérer
ou supprimer des instructions à
partir du mode de configuration
des listes d'accès nommées. La
commande no sequence
number permet de supprimer
une instruction.
 Logique interne
d’une ACL Standard
Cisco IOS applique une logique interne aux listes de
contrôle d'accès standard.
une partie de cette logique empêche la configuration
d'instructions d'hôte après une instruction de plage
si l'hôte appartient à cette plage
 Logique interne
d’une ACL Standard
Une autre partie de la logique interne d'IOS des ACL standard.

C’est que instruction d'hôte peut être configurée après une instruction
qui désigne une plage d'hôtes. L'hôte ne doit pas se trouver dans une
plage couverte par une instruction précédente
 Sécurisation des ports VTY à l'aide
d'une ACL IPv4 standard
Le filtrage du trafic Telnet ou SSH est
généralement considéré comme une
fonction de liste de contrôle d'accès IP
étendue parce qu'il s'agit de filtrer un
protocole de niveau plus élevé.
Cependant, étant donné que la
commande access-class permet de
filtrer les sessions Telnet/SSH entrantes
ou sortantes par adresse source, une
liste de contrôle d'accès standard peut
être utilisée.

▪ Router(config-line)# access-
class access-list-number {
in [ vrf-also ] | out }
Vérification d'une ACL standard utilisée
pour sécuriser un port VTY
Listes de contrôle d'accès étendues
 Listes de contrôle d'accès étendues (suite)

Une application peut être spécifiée soit par le numéro de port

soit par le nom d'un port réservé.
 Génération des numéros de port

comment afficher la liste

des numéros de port et
des mots-clés qui peuvent
être utilisés lors de la
création d'une liste de
contrôle d'accès, à l'aide de
la commande suivante :
R1(config)# access-list 101
permit tcp any any eq ?
Sans le paramètre established dans l'instruction de l’ACL, les
clients pourraient envoyer le trafic vers un serveur Web, mais
ne pourraient pas recevoir le trafic revenant de celui-ci.
Application des listes de contrôle d'accès
étendues aux interfaces
Filtrage du trafic avec des listes de contrôle
d'accès étendues
Création des listes de contrôle d'accès
étendues nommées
Vérification des listes de contrôle d'accès
étendues
 Modification des listes de contrôle d'accès
étendues

La modification d'une liste de contrôle d'accès

étendue peut être effectuée de la même manière
qu'avec une liste standard. Une liste de contrôle
d'accès étendue peut être modifiée comme suit :

▪ Méthode 1 : éditeur de texte

▪ Méthode 2 : numéros d'ordre

Exercice ACL Etendue
Correction ACL Etendue
 Exercice
Evaluation d'entrées de contrôle d'accès étendues
 Exercice
Evaluation d'entrées de contrôle d'accès étendues
 Exercice
Evaluation d'entrées de contrôle d'accès étendues
 Correction
Evaluation d'entrées de contrôle d'accès étendues