République du Cameroun Republic of Cameroon

Paix-Travail-Patrie Peace-Work-Fatherland

INSTITUT AFRICAIN AFRICAN INSTITUTE OF

D’INFORMATIQUE COMPUTER SCIENCES
Représentation du Cameroun Representation of Cameroon
Centre d’excellence technologique Centre d’excellence technologique
Paul BIYA Paul BIYA

Rapport d’exposé

THEME: Access Control List (ACL)

Classe : SR3B

Rédigé par :
Sous la supervision professionnelle :
OUAHA FOTSO Boris Armel
M. TANKOU
TEGANTCHOUANG BRICE
Enseignant à l’IAI-Cameroun

Année académique 2017/2018

 ETUDE DES ACL CCNA 3

SOMMAIRE
INTRODUCTION ............................................................................................................................................ 4
I. GENERALITES .................................................................................................................................... 5
1. Définition et principe......................................................................................................................... 5
2. Fonctionnement ................................................................................................................................. 5
3. DIFFÉRENTS TYPES D’ACL ......................................................................................................... 6
1. ACL standard .................................................................................................................................... 7
2. ACL étendue...................................................................................................................................... 7
3. ACL réflexive .................................................................................................................................... 8
4. ACL dynamique ................................................................................................................................ 8
5. ACL nommée .................................................................................................................................... 8
II. CONCEPTS ET FONDAMENTAUX D’UNE ACL ............................................................................ 9
1. Point d’application d’une acl ........................................................................................................... 10
2. Spécifications du filtrage : caractéristiques et règles associée ........................................................ 10
3. Quelques operateurs ........................................................................................................................ 10
4. Notion de maque générique (wildcard mask) .................................................................................. 10
5. Différence entre liste d'accès standard et liste d'accès étendue. ...................................................... 10
III. ARCHITECTURE RESEAU .......................................................................................................... 12
IV. CONFIGURATION ........................................................................................................................ 13
1. Cas du routeur 1 .............................................................................................................................. 13
2. Cas du router 2 ................................................................................................................................ 14
3. Cas du routeur 3 .............................................................................................................................. 15
V. TESTS ET COMMENTAIRES .......................................................................................................... 15
1. Cas d’une Acl étendue ..................................................................................................................... 15
2. Cas d’une acl standard ..................................................................................................................... 18
Conclusion .............................................................................................................................................. 19

Etude des ACL 2

 ETUDE DES ACL CCNA 3

Liste des figures

Figure 1: organigramme d'une ACL ............................................................................................................... 6
Figure 2: architecture réseau ...................................................................................................................... 12
Figure 3:configuration de base du routeur R1 ............................................................................................ 13
Figure 4: configuration de base du routeur R2 .......................................................................................... 14
Figure 5: configuration de base du routeur R3 ......................................................................................... 15
Figure 6: test des ACL étendue 1 ................................................................................................................. 16
Figure 7: test des ACL étendue 2 ................................................................................................................. 17

Etude des ACL 3

 ETUDE DES ACL CCNA 3

INTRODUCTION
L’objectif premier d’un ingénieur réseau est de rendre possible des communications TCP/IP sur
différents systèmes. Seulement il ne faut pas oublier que ces échanges doivent se faire en prenant
en compte les problématiques de sécurité. Il s’agit d’un objectif supplémentaire (parfois implicite)
assigné à l’ingénieur réseau : garantir la sécurisation des échanges. Cette sécurisation consiste dans
un premier temps) autoriser certaines communications et en interdire d’autres. C’est à partir de là
qu’on devra utiliser un outil intégré dans l’IOS : les listes de contrôles d’accès ou ACL (Access
Control List).

Etude des ACL 4

 ETUDE DES ACL CCNA 3

I. GENERALITES

1. Définition et principe
Une liste d'accès est un ensemble d'instructions basées sur des protocoles de couche 3 et de
couches supérieures pour filtrer le trafic, ces règles s'appliquent sur les interfaces afin de bloquer
le ou une partie du trafic qui les traverse.
Une ACL (Access Control List) permet de filtrer les paquets qui passent sur notre réseau. Elle
fait partie des moyens pour sécuriser notre réseau en limitant l’accès à certaines parties. Elles
sont des instructions qui expriment une liste de règles supplémentaires sur les paquets reçus et
transmis par le routeur, Elles peuvent également être utilisés pour implémenter la sécurité dans
les routeurs, Les listes de contrôle d’accès sont capables :
D’autoriser ou d’interdire des paquets, que ce soit en entrée ou en sortie des interfaces, Filtrer le
trafic en entrée ou en sortie du routeur, Restreinte l’utilisation à des personnes ou à des
utilisateurs. Elles opèrent selon un ordre séquentiel et logique, en évaluant les paquets à partir du
début de la liste d’instructions, l’ACL s’exécute dans la direction indiquée par le mot IN ou OUT.

2. Fonctionnement

Les listes de contrôle d’accès comprennent une ou plusieurs instructions. Chaque instruction
autorise ou refuse le trafic en fonction des paramètres spécifiés. Le trafic est comparé de façon
séquentielle à chaque instruction de la liste de contrôle d’accès jusqu’à ce qu’une correspondance
soit détectée ou jusqu’à la dernière instruction ; La dernière instruction d’une ACL est toujours
une instruction implicit deny. Cette instruction est automatiquement ajoutée à la fin de chaque
liste de contrôle d’accès, même si elle n’est pas physiquement présente. L’instruction implicit
deny bloque l’ensemble du trafic. Cette fonction empêche l’arrivée accidentelle d’un trafic
indésirable.

Une fois que vous avez créé la liste de contrôle d’accès, vous devez l’appliquer à une interface
pour qu’elle devienne active. La liste de contrôle d’accès traite le trafic en entrée ou en sortie de
l’interface. Si un paquet correspond à une instruction permit, il est autorisé à entrer dans le
routeur ou à en sortir. S’il correspond à une instruction deny, il s’arrête là. Une liste de contrôle
d’accès qui ne compte pas au moins une instruction permit bloque l’ensemble du trafic.

En effet, toutes les ACL se terminent par une instruction implicit deny, une liste de contrôle
d’accès refuse ainsi tout trafic qui n’a pas été spécifiquement autorisé.
Un administrateur au sein d’un réseau applique à une interface de routeur une liste de contrôle
d’accès entrante ou sortante. La direction (entrée ou sortie) est toujours exprimée par rapport au
routeur. Le trafic arrivant sur une interface est considéré comme entrant et le trafic sortant d’une
interface comme sortant ; Lorsqu’un paquet arrive sur une interface, le routeur vérifie les
paramètres suivants :

Etude des ACL 5

 ETUDE DES ACL CCNA 3

Une liste de contrôle d’accès est-elle associée à l’interface ?

La liste de contrôle d’accès est-elle entrante ou sortante ?
Le trafic correspond-il aux critères d’autorisation ou de refus ?

Une liste de contrôle d’accès appliquée à une interface en sortie n’a pas d’effet sur le trafic
entrant sur cette interface.

Interface de sortie

Interface d’entrée

Figure 1: organigramme d'une ACL

3. DIFFÉRENTS TYPES D’ACL

l’IOS propose différents types d’ACLs :

 Standards
 Etendues
 Réflexive
 Dynamique
 Nommées
Une ACL peut être identifiée par un identifiant numéraire (ce sont les ACLs numbered) ou bien
par un nom (on parle alors d’ACLs named).

Etude des ACL 6

 ETUDE DES ACL CCNA 3

Initialement, les caractéristiques des paquets se limitaient aux seules adresses sources IP. C’est ce
que Cisco appelle les ACLs standards. Et puis, Cisco a introduit la possibilité d’identifier les
paquets en fonction et de la source ou de la destination IP, et/ou de destination, etc… : ce sont des
ACLs étendues

1. ACL standard
La liste de contrôle d’accès standard constitue le type le plus simple. Lors de la création d’une
liste de contrôle d’accès IP standard, le filtre est basé sur l’adresse IP source d’un paquet.
L’autorisation ou le refus engendré par les listes de contrôle d’accès standard est basé sur
l’intégralité du protocole, par exemple l’IP. Ainsi, si un refus est signalé à un périphérique hôte
par une liste de contrôle d’accès standard, tous les services de cet hôte sont refusés. Ce type de
liste de contrôle d’accès est utile lorsque vous souhaitez autoriser tous les services d’un
utilisateur ou d’un réseau local spécifique à traverser un routeur tout en refusant l’accès aux
autres adresses IP. Les listes de contrôle d’accès standard sont identifiées par le numéro qu’elles
se voient attribuer. Pour les listes d’accès autorisant ou refusant le trafic IP, le numéro
d’identification est compris entre 1 et 99 et entre 1300 et 1999. L’écriture d’une ACL standard
doit suivre la structure suivante :
 Le mot clés (access-list) : qui permet de définir une ACL numéroté.
 Le numéro de l’ACL : un numéro permettant d’identifier une ACL, compris
entre 1-99 pour une ACL standard.
 L’action à effectuer :
 Deny (supprimer le paquet),
 Permit (autoriser le paquet).
 L’adresse IP du réseau source : identifier le réseau source.
 Le wildcard mask

Router(config)#access-list numéro-liste-accès {deny|permit} adresse-source

[masque-source] [log]

2. ACL étendue
Les listes de contrôle d’accès étendues filtrent non seulement sur l’adresse IP source, mais
également sur l’adresse IP de destination, le protocole et les numéros de port. Les listes de
contrôle d’accès étendues sont plus utilisées que les listes standard car elles sont plus spécifiques

Etude des ACL 7

 ETUDE DES ACL CCNA 3

et offrent un meilleur contrôle. Les numéros des listes de contrôle d’accès étendues vont de 100 à
199 et de 2000 à 2699. L’écriture d’une ACL étendue doit respecter la structure suivante :
 Le mot clés (access-list) : qui permet de définir une ACL numéroté.
 Le numéro de l’ACL : un numéro permettant d’identifier une ACL, compris
entre 100-199 pour une ACL étendue.
 L’action à effectuer :
 Deny (supprimer le paquet),
 Permit (autoriser le paquet).
 Le protocole : protocole a filtré (IP, TCP, UDP, EIGRP…)
 L’adresse IP du réseau source : identifier le réseau source
 Le wildcard mask source.
 L’adresse IP du réseau destination : identifier le réseau destination.
 Le wildcard mask destination.

Router(config)#access-list numéro-liste-accès {deny|permit} protocole

adresse-source masque-source [opérateur port] adresse-destination masque-
destination [opérateur port] [log]

3. ACL réflexive
Les listes de contrôle d’accès étendues filtrent non seulement sur l’adresse IP source, mais
également sur l’adresse IP de destination, le protocole et les numéros de port. Les listes de
contrôle d’accès étendues sont plus utilisées que les listes standard car elles sont plus spécifiques
et offrent un meilleur contrôle. Les numéros des listes de contrôle d’accès étendues vont de 100 à
199 et de 2000 à 2699.

4. ACL dynamique
Les listes de contrôle d’accès nommées sont des listes standard ou étendues désignées par un nom
descriptif et non par un numéro. Lorsque vous configurez des listes de contrôle d’accès
nommées, l’IOS du routeur utilise un mode de sous-commande de liste de contrôle d’accès
nommée. Les ACL dynamiques obligent l’utilisateur à établir une connexion Telnet sur le routeur
en fournissant à ce dernier une combinaison nom d’utilisateur/ mot de passe, pour autoriser le
trafic de cet utilisateur. Si l’authentification Telnet a réussi, le routeur modifie dynamiquement
l’ACL associée, autorisant le trafic provenant de l’IP de l’utilisateur.

5. ACL nommée

Les ACL nommées sont utilisées pour pouvoir donner un nom à notre ACL et de plus les
identifier par un numéro. En effet on pourra lui donner un nom explicite ce qui nous aidera à

Etude des ACL 8

 ETUDE DES ACL CCNA 3

déterminer plus facilement le but de notre ACL. Ce type d’ACL respect également la
nomenclature suivante

 Le mot clé IP
 Le mot clé access-list
 Le type d’ACL :
 Standard
 Étendue
 Le nom de l’ACL.
 Puis on spécifie toutes les ACE qui compose notre ACL

II. CONCEPTS ET FONDAMENTAUX D’UNE ACL

Lorsque l’on s’initie aux ACLs Cisco, il faut prendre en compte deux éléments complémentaires :
 La localisation précise où s’appliquent les règles de filtrage :
 Sur quelle interface ?
 Pour les paquets qui entrent ou qui sortent ?
 Les spécifications techniques du trafic à autoriser ou interdire : il s’agit de définir les
caractéristiques recherchées dans les paquets IP pour indiquer au routeur : ce paquet est
autorisé ou non.
Ces deux aspects correspondent aux deux étapes de configurations des ACLs dans
l’interface de commande en ligne Cisco.
 Activation d'une ACL sur une interface

ip access-group [ number | name [ in | out ] ]

 Visualiser les ACL

show access-lists [ number | name ] : toutes les ACL quelques soit l'interface

show ip access-lists [ number | name ] : les ACL uniquement liés au protocole IP

Etude des ACL 9

 ETUDE DES ACL CCNA 3

1. Point d’application d’une acl

Une liste de contrôle d’accès peut être appliquée sur une interface donnée et pour un sens de
communication donnée (soit entrant, soit sortant, voire les deux). Ainsi, la configuration se fait en
mode de configuration de l’interface et faisant référence à l’identifiant de l’ACL (un nom ou un
numéro). C’est cet identifiant qui a été utilisé lors de la création ou de la définition de l’ACL.

2. Spécifications du filtrage : caractéristiques et règles associée

Lorsque l’on doit autoriser certains flux et en interdire d’autres, il faut techniquement commencer
par identifier les caractéristiques des paquets qui vont permettre de distinguer un paquet entre
ceux autorisés (on utilisera le mot clé permit) et ceux interdits (on utilisera le mot clé deny).

3. Quelques operateurs

 eq c’est – à-dire égal a

 neq c’est –à– dire diffèrent
 gt c’est – à-dire supérieur à
 lt c’est – à-dire inférieur à

4. Notion de maque générique (wildcard mask)

Les acls utilisent un masque permettant de sélectionner des plages d'adresses.

Fonctionnement:
En binaire, seuls les bits de l'adresse qui correspondent au bit à 0 du masque sont vérifiés.

Par exemple, avec [Link] [Link], la partie vérifiée par le routeur sera 172.16
Sur le couple suivant: [Link] [Link], toutes les adresses sont concernées (any). Sur ce couple :
[Link] [Link], on vérifie uniquement l'hôte ayant l'IP [Link] (host)

5. Différence entre liste d'accès standard et liste d'accès étendue.

Etude des ACL 10

 ETUDE DES ACL CCNA 3

Une liste d'accès standard examinera seulement l'adresse IP source.

• Une liste d'accès étendue pourra examiner les adresses IP et les ports aussi bien source que
Destination, ainsi que type de protocole (IP, ICMP, TCP, UDP).
• Par ailleurs, il sera possible de vérifier une partie des adresses avec un masque générique
(wildcard mask).

Etude des ACL 11

 ETUDE DES ACL CCNA 3

III. ARCHITECTURE RESEAU

Figure 2: architecture réseau

Etude des ACL 12

 ETUDE DES ACL CCNA 3

IV. CONFIGURATION

1. Cas du routeur 1

Router_1>enable
Router_1#configure ter
Router_1#configure terminal
Router_1(config)#hostname SR3A
SR3A(config)#int
SR3A(config)#interface fa
SR3A(config)#interface fastEthernet 0/0
SR3A(config-if)#ip add
SR3A(config-if)#ip address [Link] [Link]
SR3A(config-if)#no sh
SR3A(config-if)#exit
SR3A(config)#int
SR3A(config)#interface serial 2/0
SR3A(config-if)#ip address [Link] [Link]
SR3A(config-if)#clock rate 64000
SR3A(config-if)#no sh
SR3A(config-if)#exit
SR3A(config)#router rip
SR3A(config-router)#net
SR3A(config-router)#network [Link]
SR3A(config-router)#network [Link]
SR3A(config-router)#end
SR3A#
%SYS-5-CONFIG_I: Configured from console by console

SR3A#wr
Building configuration...
[OK]
SR3A#

Figure 3:configuration de base du routeur R1

Etude des ACL 13

 ETUDE DES ACL CCNA 3

2. Cas du router 2

Router_2>enable
Router_2#conf terminal
Router_2(config)#hos
Router_2(config)#hostname SR3B
SR3B(config)#int
SR3B(config)#interface fa
SR3B(config)#interface fastEthernet 0/0
SR3B(config-if)#ip a
SR3B(config-if)#ip add
SR3B(config-if)#ip address [Link] [Link]
SR3B(config-if)#no sh
SR3B(config-if)#exit
SR3B(config)#in
SR3B(config)#interface de
SR3B(config)#int
SR3B(config)#interface se
SR3B(config)#interface serial 2/0
SR3B(config-if)#ip address [Link] [Link]
SR3B(config-if)#no sh
SR3B(config-if)#exit
SR3B(config)#interface serial 3/0
SR3B(config-if)#ip address [Link] [Link]
SR3B(config-if)#clock rate 64000
SR3B(config-if)#no sh
SR3B(config-if)#ex
SR3B(config-if)#exit
SR3B(config)#router r
SR3B(config)#router rip
SR3B(config-router)#net
SR3B(config-router)#network [Link]
SR3B(config-router)#network [Link]
SR3B(config-router)#network [Link]
SR3B(config-router)#exit
SR3B(config)#end
SR3B#wr
Building configuration...
[OK]
SR3B#

Figure 4: configuration de base du routeur R2

Etude des ACL 14

 ETUDE DES ACL CCNA 3

3. Cas du routeur 3

Router_3>enable
Router_3#conf terminal
Router_3(config)#hostname SR3C
SR3C(config)#int
SR3C(config)#interface fastEthernet 0/0
SR3C(config-if)#ip address [Link] [Link]
SR3C(config-if)#no sh
SR3C(config-if)#exit
SR3C(config)#interface se
SR3C(config)#interface serial 2/0
SR3C(config-if)#ip address [Link] [Link]
SR3C(config-if)#no sh
SR3C(config-if)#exit
SR3C(config)#router rip
SR3C(config-router)#net
SR3C(config-router)#network [Link]
SR3C(config-router)#network [Link]
SR3C(config-router)#ex
SR3C(config-router)#exit
SR3C(config)#en
SR3C(config)#end
SR3C#
%SYS-5-CONFIG_I: Configured from console by console

SR3C#wr
Building configuration...
[OK]
SR3C#

Figure 5: configuration de base du routeur R3

V. TESTS ET COMMENTAIRES

1. Cas d’une Acl étendue

 Nous allons autoriser l’accès à tous le trafic du PC0 appartenant au réseau 3.0 vers
le serveur http du réseau 1.0
 Nous allons donc restreindre aux paquets provenant PC1 du même réseau 3.0 vers
le serveur ftp du réseau 1.0

Etude des ACL 15

 ETUDE DES ACL CCNA 3

 Nous allons également autoriser PC3 du même réseau 3.0 de faire des pings vers
le serveur ftp du réseau 1.0
 Nous allons effectuer des restrictions des paquets provenant PC3 du même réseau
3.0 vers le serveur http du réseau 1.0

Figure 6: test des ACL étendue 1

On constate que le PC3 ne peut véritablement pas accéder aux serveur http

Etude des ACL 16

 ETUDE DES ACL CCNA 3

Figure 7: test des ACL étendue 2

A ce niveau nous constatons que PC0 accède au serveur FTP

Etude des ACL 17

 ETUDE DES ACL CCNA 3

2. Cas d’une acl standard

 Nous allons configurer une acl de telle sorte que PC 1du réseau 5.0 et
ayant pour adresse [Link] ne puisse pas accède au serveur http se
trouvant dans le réseau 1.0 avec pour adresse [Link]

SR3A>enable
SR3A#conf terminal .
SR3A(config)#acc
SR3A(config)#access-list 1 d
SR3A(config)#access-list 1 deny [Link]
SR3A(config)#access
SR3A(config)#access-list 1 pe
SR3A(config)#access-list 1 permit a
SR3A(config)#access-list 1 permit any
. SR3A(config)#int f0/0
SR3A(config-if)#ip ac
SR3A(config-if)#ip access-group 1 out
SR3A(config-if)#end
SR3A#
%SYS-5-CONFIG_I: Configured from console by console

SR3A#wr
Building configuration...
[OK]
SR3A#

Etude des ACL 18

 ETUDE DES ACL CCNA 3

Conclusion
L’application de la méthode de filtrage basée sur l’autorisation de ce qui est demandé et l’interdiction du
reste parait plus sure. Néanmoins nous constatons qu’un certain nombre de protocoles utilisent des
ports définis de manière dynamique. Ce problème est particulièrement sensible et nous oblige a laisser
un grand nombre de ports (tcp, udp) accessibles depuis l’extérieur cela ne va donc pas dans le sens la
sécurité

Etude des ACL 19

ETUDE DES ACL CCNA 3

Etude des ACL 20