ATELIER CCNA SECURITY

ACCESS-LIST
Partie Recherche :
1- Principe fondamental
Une ACL (Access Control List) est une liste séquentielle de critères utilisée pour du filtrage des
paquets. Les ACLs sont capables d’autoriser ou d’interdire des paquets, que ce soit en entrée ou en
sortie.
Cette liste est parcourue de la première à la dernière instruction jusqu’à trouver une correspondance.
Si le paquet répond aux critères d’une instruction, le reste des instructions est ignoré et le paquet est
autorisé ou refusé. Si aucune correspondance n’est trouvée dans les critères explicités par
l’administrateur, le paquet est implicitement supprimé.
Il ne peut y avoir qu’une seule ACL par protocole, par interface et par direction (entrée/sortie).

Les ACLs permettent ainsi d’autoriser ou d’interdire des trafics en fonctions de critères tels que les
adresses sources et destinations, les protocoles utilisés et les numéros de ports.
Une ACL est identifiable par son numéro ou son nom, attribué suivant le protocole et le type :
 ACL standard (numérotée)
 ACL étendue (numérotée)
 ACL nommée (peut-être de type standard ou étendue)

L’avantage principal des ACLs est donc de fournir une base de sécurité réseau en filtrant les trafics
traversant un routeur.
Le principal inconvénient est malheureusement un traitement supplémentaire à effectuer pour chaque
paquet entrant et/ou sortant du routeur, rallongeant ainsi à la latence réseau et à la surcharge CPU.
La configuration des ACLs se fait en deux parties distinctes, à savoir :
 Création de l’ACL
 Application de l’ACL sur une interface réseau
Quelques précautions sont à prendre en compte lors de la configuration ou de l’utilisation des ACLs :
 Les instructions sont toujours parcourues de la première à la dernière, jusqu’à correspondance
des critères.
 Si aucune instruction ne correspond au paquet, la dernière instruction implicite indique alors
de supprimer ce paquet.
 Une ACL appliquée sur une interface mais dont les instructions ne sont pas configurées n’a
pour seule instruction que la dernière qui bloque tout. Tout trafic serait alors interdit.
 Lors de la création des instructions, il faut toujours procéder du plus précis (exceptions)
jusqu’au plus générique.
 Une ACL IP qui interdit un paquet enverra automatiquement un message ICMP Host
Unreachable.
 Une ACL pour un trafic sortant n’affecte pas le trafic originaire du routeur local.

2- ACL Standard
Une ACL standard permet d’autoriser ou d’interdire des adresses spécifiques ou bien un ensemble
d’adresses ou de protocoles, sachant que, dans les instructions d’une ACL standard, on ne peut
indiquer que des adresses sources.
Ce sont les ACLs les plus simples et, par conséquent, les moins gourmandes en ressources CPU.
Elles sont par exemple utilisées pour autoriser ou interdire toute une plage d’adresses réseaux ou
encore pour le filtrage des informations contenues dans des mises à jour de routage.
Pour configurer une instruction pour une ACL standard pour IP, il faut utiliser la commande suivante :
• access-list {numéro} {permit | deny} {préfixe} [masque générique] [log]
• access-list {numéro} {remark} {commentaire}
 Mode de configuration globale
 Si le masque générique n’est pas précisé, le masque générique par défaut [Link] est
utilisé.
 log permet de garder en mémoire le nombre de paquets correspondant à l’instruction
en cours.
 Le mot clé remark suivi d’un commentaire permet d’indiquer l’utilité de
l’instruction.
L’ordre de parcours des instructions dépend de l’ordre dans lequel on a configuré les instructions. Une
nouvelle instruction est donc obligatoirement ajoutée à la fin de la liste, et il est impossible de
supprimer une instruction particulière.
Pour toute modification, il est donc conseillé d’utiliser un éditeur de texte, de copier la liste des
instructions de l’ACL devant être modifiée, de supprimer cette ACL sur le routeur, d’éditer les
instructions pour faire les modifications voulues puis de les insérer dans le routeur.
3- ACL Etendue
Une ACL étendue permet de faire un filtrage plus précis qu’une ACL standard. En effet, une ACL
étendue permet de filtrer en fonction de :
  Protocole utilisé (couche 3 et 4)
 Adresse source
 Adresse de destination
 Numéro de port
La commande permettant de configurer une ACL étendue pour IP est :
• access-list {numéro} {permit | deny} {protocole} {préfixe source} {masque source} [{opérateur}
{opérande}] {préfixe destination} {masque destination} [{opérateur} {opérande}] [icmp-type]
[log] [established]
• access-list {numéro} {remark} {commentaire}
 Mode de configuration globale
 protocole peut être soit le nom (IP, TCP, UDP, ICMP, IGRP, etc.) soit le numéro du
protocole (de 0 à 255).
 Le couple opérateur/opérande est pour les numéros de ports TCP ou UDP
uniquement, et peut être spécifié pour la source et/ou pour la destination :

 Le paramètre icmp-type ne peut être utilisé que pour le protocole ICMP, et

correspond au nom ou au numéro du type de message ICMP devant être vérifié.
 Le paramètre established ne peut être utilisé que pour le protocole TCP et permet de
faire correspondre uniquement les sessions TCP déjà établies (drapeaux ACK, FIN,
PSH, RST, SYN ou URG).
Pour l’ordre de parcours ou la modification, les règles sont les mêmes qu’avec une ACL standard.
4- ACL Nommée
Il est possible d’utiliser les ACLs nommées. Les ACLs nommées permettent l’identification par des
chaînes alphanumériques plutôt que par la représentation numérique actuelle. Une ACL nommée peut
être de type standard ou étendue.
Deux nouveaux modes de configuration sont donc étudiés :

Les ACLs nommées permettent :

 D’identifier intuitivement les listes de contrôle d'accès à l'aide d'un code alphanumérique.
 De supprimer une instruction particulière sans avoir à tout supprimer et réécrire.
Les commandes suivantes permettent de configurer une ACL nommée :
• ip access-list {standard | extended} {nom}
 Mode de configuration globale
 Permet de créer une ACL nommée standard ou étendue
 Permet de passer dans le mode de configuration de l’ACL nommée
Partie Pratique :
La partie pratique a deux sous parties une pour l’ACL Standard et l’autre pour L’ACL Etendue.
1- ACL Standard

Explication de la topologie :
On a 2 réseaux étendus (WAN)
 WAN 1 : [Link] de masque réseau [Link]
 WAN 2 : [Link] de masque réseau [Link]
NB :
1. On a choisi le masque réseau 30 car on a 2 interfaces entre les interfaces des routeurs.
2. Le câble entre les routeurs est de type sérial.
On a 4 réseaux locaux (LAN)
 LAN 1 : [Link] de masque réseau [Link] Gateway [Link]
 LAN 2 : [Link] de masque réseau [Link] Gateway [Link]
 LAN 3 : [Link] de masque réseau [Link] Gateway [Link]
 LAN 3 : [Link] de masque réseau [Link] Gateway [Link]
NB : Le câble utilisé dans le réseau local est de type Ethernet.
Dans chaque réseau local il y a un commutateur qui relier les hôtes par l’interface de routeur
(Gateway).
Dans le réseau WAN 1
Au niveau de routeur0
 L’interface serial 0/0/0 : adresse [Link] de masque réseau [Link]
Au niveau de routeur 1
 L’interface serial 0/0/0 : adresse [Link] de masque réseau [Link]
Dans le réseau WAN 2
Au niveau de routeur1
 L’interface serial 0/2/0 : adresse [Link] de masque réseau [Link]
Au niveau de routeur2
  L’interface serial 0/0/0 : adresse [Link] de masque réseau [Link]
Dans le réseau local LAN 1
Au niveau de routeur0 :
 L’interface FastEthernet 0/0 : [Link] de masque réseau [Link]

Dans le réseau local LAN 2

Au niveau de routeur1 :
 L’interface FastEthernet 0/0 : [Link] de masque réseau [Link]

Dans le réseau local LAN 3

Au niveau de routeur2 :
 L’interface FastEthernet 0/1 : [Link] de masque réseau [Link]

Dans le réseau local LAN 4

Au niveau de routeur2 :
 L’interface FastEthernet 0/0 : [Link] de masque réseau [Link]

Informations supplémentaires :
 Configuration de protocole de routage RIPv2 pour que les deux LAN distants communiquent.
 Les Pools DHCP seront configurés dans chaque routeur aussi le DNS.
 Les hôtes de chaque LAN recevoir une configuration complète
 La configuration des ACL sera dans le routeur2

Configuration au niveau de LAN1

Affectation d’adresse dans l’interface côté LAN au niveau de Routeur0 et configuration de DHCP,
DNS
Les hôtes de LAN1 prennent une configuration réseau (Adresse/Masque/Passerelle/DNS)

Configuration au niveau de LAN2

Affectation d’adresse dans l’interface côté LAN au niveau de Routeur1 et configuration de DHCP,
DNS

Les hôtes de LAN2 prennent une configuration réseau (Adresse/Masque/Passerelle/DNS)

Configuration au niveau de LAN3
Affectation d’adresse dans l’interface côté LAN au niveau de Routeur2 et configuration de DHCP,
DNS

Les hôtes de LAN3 prennent une configuration réseau (Adresse/Masque/Passerelle/DNS)

Configuration au niveau de LAN4

Affectation d’adresse dans l’interface côté LAN au niveau de Routeur2 et configuration de DHCP,
DNS
L’hôte de LAN4 (WEBSERVER) prend une configuration réseau (Adresse/Masque/Passerelle/DNS)

Configuration au niveau de WAN1

Affectation d’adresse dans l’interface côté WAN au niveau de Routeur0

Affectation d’adresse dans l’interface côté WAN au niveau de Routeur1

Configuration au niveau de WAN2

Affectation d’adresse dans l’interface côté WAN au niveau de Routeur1

Affectation d’adresse dans l’interface côté WAN au niveau de Routeur2

Configuration de protocole de routage RIP au niveau de routeur0

Configuration de protocole de routage RIP au niveau de routeur1

Configuration de protocole de routage RIP au niveau de routeur2

On vérifie la table de routage au niveau de routeur0

On vérifie la table de routage au niveau de routeur1

On vérifie la table de routage au niveau de routeur2

L’hôte de LAN1 peut communique avec le WEBSERVER

L’hôte de LAN1 peut communique avec le WEBSERVER

L’hôte de LAN1 peut communique avec le WEBSERVER

L’hôte de LAN3 peut communique avec le WEBSERVER

L’hôte de LAN3 peut communique avec le WEBSERVER

Les hôtes de différents LAN peut communiquent avec le WEBSERVER

Dans la configuration d’ACL en va limiter l’accès des hôtes à ce serveur
1- Dans le LAN1 uniquement 1 hôte communique avec le WEBSERVER
2- Le LAN3 ne jamais communique avec le WEBSERVER
3- Le LAN2 communique avec le WEBSERVER
Configuration d’ACL au niveau de Routeur2

Affectation d’ACL dans l’interface correspondante

Vérification d’ACL créées

Le premier hôte de LAN1 peut communique avec le WEBSERVER

Le deuxième hôte de LAN1 ne peut pas communique avec le WEBSERVER

Le deuxième hôte de LAN1 ne peut pas communique avec le WEBSERVER

La 1ier machine de LAN3 ne peut pas communique avec le WEBSERVER

La 2ième machine de LAN3 ne peut pas communique avec le WEBSERVER

 2- ACL Etendue

Dans cette partie de TP on va configurer l’ACL Etendue.

On a pris la même topologie précédente pour applique l’ACL Etendue.
La configuration de DHCP, DNS, Routage RIPv2, Adressage au niveau de WAN sont les mêmes
étapes comme on fais avec la topologie précédente.
Les hôtes de différents LAN peut communiquent et faire la navigation sur le WEBSERVER
Dans la configuration d’ACL en va limiter l’accès des hôtes à ce serveur
1- Dans le LAN1 une machine communique avec le WEBSERVER mais ne peut pas naviguer
2- Dans le LAN3 les machines naviguent sur le WEBSERVER mais ils ne peuvent pas faire un
PING
La configuration de ACL sera faite dans deux routeur qui sont à côté de leur LAN
(Routeur0 => LAN1)
(Routeur2 => LAN2)
Configuration d’ACL au niveau de Routeur0

Vérification d’ACL créées

La machine de LAN1 ne peut pas faire la navigation

Mais elle peut communique avec le test d’accessibilité

L’autre machine de LAN1 peut faire la navigation

Et aussi peut communique avec test d’accessibilité

Configuration d’ACL au niveau de Routeur2

Vérification d’ACL créées

La machine de LAN3 ne peut pas communique

Mais elle peut faire la navigation

L’autre machine de LAN3 aussi ne peut pas communique

Mais elle peut faire la navigation