Scribd
Importer
25 vues40 pages

Crypto Logie

Le document traite des listes de contrôle d'accès (ACL) en réseau, expliquant leur fonctionnement, leur objectif et les différences entre les ACL standard et étendues. Il aborde également les directives pour leur création, leur emplacement, ainsi que des exemples de configuration et de filtrage du trafic. Enfin, il fournit des instructions sur la sécurisation des ports VTY et la vérification des ACL configurées.

Transféré par

willilokiss
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd
25 vues40 pages

Crypto Logie

Le document traite des listes de contrôle d'accès (ACL) en réseau, expliquant leur fonctionnement, leur objectif et les différences entre les ACL standard et étendues. Il aborde également les directives pour leur création, leur emplacement, ainsi que des exemples de configuration et de filtrage du trafic. Enfin, il fournit des instructions sur la sécurisation des ports VTY et la vérification des ACL configurées.

Transféré par

willilokiss
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd

Chapitre 5 : listes de

contrôle d'accès

Cryptologie

© 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco 1


Chapitre 9
1. Fonctionnement des listes de contrôle d'accès IP
2. Listes de contrôle d'accès IPv4 standard
3. Listes de contrôle d'accès IPv4 étendues
4. Dépannage des listes de contrôle d'accès
5. Résumé

© 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco 2


Objectif des listes de contrôle d'accès
Qu'est-ce qu'une liste de contrôle d'accès ?

Une liste de contrôle d'accès est un ensemble séquentiel


d'instructions d'autorisation ou de refus qui s'appliquent aux
adresses ou aux protocoles de couche supérieure.

© 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco 3


Objectif des listes de contrôle d'accès
Qu'est-ce qu'une liste de contrôle d'accès ?
 Les listes de contrôle d’accès permettent de:
Limiter le trafic réseau pour accroître les
performances du réseau
 contrôler le flux de trafic.
fournir un niveau de sécurité de base pour l'accès
réseau.
 filtrer le trafic en fonction de son type.
filtrer les hôtes pour autoriser ou refuser l'accès aux
services sur le réseau
 les listes de contrôle d'accès peuvent être utilisées pour
sélectionner les types de trafic à analyser, à acheminer
et à traiter selon d'autres méthodes
© 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco 4
Objectif des listes de contrôle d'accès
Filtrage des paquets
 Le filtrage des paquets contrôle l'accès à un réseau en
analysant les paquets entrants et sortants et en les
transmettant ou en rejetant selon des critères
spécifiques, tels que l'adresse IP source, l’adresse IP
de destination et le protocole transporté dans le paquet.
 Le filtrage des paquets intervient sur les couches 3 et
4 (adresses IP, numéros de ports, type protocole)

© 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco 5


Objectif des listes de contrôle d'accès
Filtrage des paquets (suite)

© 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco 6


Comparaison des listes de contrôle d'accès IPv4 standard et étendues
Types de listes de contrôle d'accès IPv4
Cisco

Listes de contrôle d'accès standard: filtrent


les paquets en fonction de l’adresse source
seulement
Listes de contrôle d'accès étendues: filtrent
les paquets en fonction de plusieurs attributs
(adresses IP source et destination, ports source
et destination, type ou numéro de protocole)

© 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco 7


Comparaison des listes de contrôle d'accès IPv4 standard et étendues
Numérotation et nom des listes de
contrôle d'accès

© 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco 8


Exemples

© 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco 9


Masques génériques dans les listes de contrôle d'accès
Calcul du masque générique
Le calcul des masques génériques peut être complexe.
La méthode la plus rapide consiste à soustraire le
masque de sous-réseau de 255.255.255.255.

© 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco 10


Masques génériques dans les listes de contrôle d'accès
Mots-clés des masques génériques

© 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco 11


Masques génériques dans les listes de contrôle d'accès
Exemples de mots-clés de masque
générique

© 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco 12


Directives concernant la création des listes de contrôle d'accès
Directives générales concernant la
création des listes de contrôle d'accès
 Utilisez des listes de contrôle d'accès sur les routeurs pare- feu
situés entre votre réseau interne et un réseau externe, par
exemple Internet.
 Utilisez des listes de contrôle d'accès sur un routeur situé entre
deux parties de votre réseau pour contrôler le trafic entrant ou
sortant sur une portion donnée du réseau interne.
 Configurez des listes de contrôle d'accès sur les routeurs
périphériques situés à la périphérie de vos réseaux.
 Configurez des listes de contrôle d'accès pour tout protocole réseau
configuré sur les interfaces de routeur périphérique.

© 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco 13


Directives concernant la création des listes de contrôle d'accès
Directives générales concernant la
création des listes de contrôle d'accès
Règle des trois P
 Une liste de contrôle d'accès par protocole : pour contrôler
le flux du trafic sur une interface, définissez une liste de
contrôle d'accès pour chaque protocole activé sur l'interface.
 Une liste de contrôle d'accès par direction : les listes de
contrôle d'accès contrôlent le trafic dans une seule direction à
la fois sur une interface. Vous devez créer deux listes de
contrôle d'accès, la première pour contrôler le trafic entrant et
la seconde pour contrôler le trafic sortant.
 Une liste de contrôle d'accès par interface : les listes de
contrôle d'accès contrôlent le trafic dans une seule interface,
par exemple, Gigabit Ethernet 0/0.

© 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco 14


Directives concernant l'emplacement des listes de contrôle d'accès
Où placer les listes de contrôle d'accès
Chaque liste de contrôle d'accès doit être placée là où elle
aura le plus grand impact sur les performances. Règles de
base :
 Listes de contrôle d'accès étendues : placez les listes de
contrôle d'accès étendues le plus près possible de la
source du trafic à filtrer.
 Listes de contrôle d'accès standard : étant donné qu'elles
ne spécifient pas les adresses de destination, placez-les le
plus près possible de la destination.
L'emplacement de la liste de contrôle d'accès et donc son
type peuvent aussi dépendre de l'étendue du contrôle de
l'administrateur réseau, de la bande passante des réseaux
concernés et de la facilité de configuration.

© 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco 15


Directives concernant l'emplacement des listes de contrôle d'accès
Emplacement d'une liste de contrôle
d'accès standard

© 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco 16


Directives concernant l'emplacement des listes de contrôle d'accès
Emplacement d'une liste de contrôle
d'accès étendue

© 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco 17


Configuration des listes de contrôle d'accès IPv4 standard
Saisie des instructions pour les critères

Si aucune correspondance
n'est trouvée, lorsque le
routeur atteint la fin de la
liste, le trafic est refusé
(même effet ACL1, ACL2)

© 2014 Cisco Systems, Inc. Tous droits réservés. 18


Configuration des listes de contrôle d'accès IPv4 standard
Configuration d'une liste de contrôle d'accès
standard

Exemple de liste de contrôle


d'accès :
 access-list 2 deny host 192.168.10.10
 access-list 2 permit 192.168.10.0 0.0.0.255
 access-list 2 deny 192.168.0.0 0.0.255.255
 access-list 2 permit 192.0.0.0 0.255.255.255
Confidentiel Cisco 19
Configuration des listes de contrôle d'accès IPv4 standard
Configuration d'une liste de contrôle
d'accès standard (suite)
La syntaxe complète de la commande des listes de
contrôle d'accès standard est la suivante :
Router(config)# access-list access-list-number deny | permit
remark source [ source-wildcard ] [ log ]

Pour supprimer la liste de contrôle d'accès, la commande


de configuration globale no access-list est utilisée.

Le mot-clé remark est utilisé à des fins de


documentation et rend les listes de contrôle d'accès bien
plus simples à comprendre.

© 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco 20


Configuration des listes de contrôle d'accès IPv4 standard
Logique interne
 L'ordre dans lequel elles sont fournies les instructions
est important.

© 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco 21


Configuration des listes de contrôle d'accès IPv4 standard
Application de listes de contrôle d'accès
standard aux interfaces
Une fois qu'une liste de contrôle d'accès standard est
configurée, elle est associée à une interface à l'aide de la
commande ip access-group en mode de configuration
d'interface :
 Router(config-if)# ip access-group { access-list-
number | access-list-name } { in | out }

Pour supprimer une liste de contrôle d'accès d'une


interface, entrez d'abord la commande no ip access-
group sur l'interface, puis la commande globale no
access-list pour supprimer l'ensemble de la liste.

Confidentiel Cisco 22
Configuration des listes de contrôle d'accès IPv4 standard
Application de listes de contrôle d'accès
standard aux interfaces (suite)

© 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco 23


Configuration des listes de contrôle d'accès IPv4 standard
Création des listes de contrôle d'accès
standard nommées

© 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco 24


Configuration des listes de contrôle d'accès IPv4 standard
Commentaires dans les listes de contrôle
d'accès

Confidentiel Cisco 25
Modification des listes de contrôle d'accès IPv4
Modification des listes de contrôle d'accès
numérotées

© 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco 26


Modification des listes de contrôle d'accès IPv4
Modification des listes de contrôle d'accès
numérotées (suite)

© 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco 27


Modification des listes de contrôle d'accès IPv4
Modification des listes de contrôle d'accès
nommées standard

© 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco 28


Modification des listes de contrôle d'accès IPv4
Statistiques des listes de contrôle d'accès

© 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco 29


Modification des listes de contrôle d'accès IPv4
Numéros d'ordre des listes de contrôle
d'accès standard
La logique interne d’IOS
 empêche la configuration d'instructions d'hôte après une instruction
de plage si l'hôte appartient à cette plage

 Fait appel au séquençage interne des ACE standard

© 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco 30


Sécurisation des ports VTY à l'aide d'une liste de contrôle d'accès IPv4
standard
Configuration d'une liste de contrôle d'accès
standard pour sécuriser un port VTY
Le filtrage du trafic Telnet ou SSH est généralement
considéré comme une fonction de liste de contrôle
d'accès IP étendue parce qu'il s'agit de filtrer un
protocole de niveau plus élevé.

Cependant, étant donné que la commande access-


class permet de filtrer les sessions Telnet/SSH entrantes
ou sortantes par adresse source, une liste de contrôle
d'accès standard peut être utilisée.
 Router(config-line)# access-class access-list-number {
in [ vrf-also ] | out }
© 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco 31
Sécurisation des ports VTY à l'aide d'une liste de contrôle d'accès IPv4
standard
Vérification d'une liste de contrôle d'accès standard
utilisée pour sécuriser un port VTY

© 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco 32


Structure d'une liste de contrôle d'accès IPv4 étendue
Listes de contrôle d'accès étendues

© 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco 33


Structure d'une liste de contrôle d'accès IPv4 étendue
Listes de contrôle d'accès étendues

© 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco 34


Configuration des listes de contrôle d'accès IPv4 étendues
Configuration des listes de contrôle
d'accès étendues
Les procédures de configuration des listes de contrôle
d'accès étendues sont les mêmes que pour les listes de
contrôle d'accès standard.
 La liste de contrôle d'accès étendue est d'abord configurée,
puis elle est activée sur une interface.
La syntaxe et les paramètres de commande sont plus
complexes, car ils prennent en charge des fonctions
supplémentaires

© 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco 35


Configuration des listes de contrôle d'accès IPv4 étendues
Application des listes de contrôle d'accès
étendues aux interfaces

© 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco 36


Configuration des listes de contrôle d'accès IPv4 étendues
Filtrage du trafic avec des listes de
contrôle d'accès étendues

© 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco 37


Configuration des listes de contrôle d'accès IPv4 étendues
Création des listes de contrôle d'accès
étendues nommées

© 2014 Cisco Systems, Inc. Tous droits réservés. 38


Configuration des listes de contrôle d'accès IPv4 étendues
Vérification des listes de contrôle d'accès
étendues

© 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco 39


Question ?

Vous aimerez peut-être aussi