Module 8 : Listes de contrôle

d'accès

MOMO AUDREY
Formatrice en Sécurité et
Cybersécurité
Objectifs du module
Titre du module : Listes de contrôle d'accès

Objectif du module: Implémentez des listes de contrôle d'accès (ACL) pour filtrer le trafic et atténuer les
attaques réseau sur un réseau.
Titre du sujet Objectif du sujet
Introduction aux listes de contrôle Décrire les listes de contrôle d'accès standard et étendues.
d'accès
Expliquez comment les listes de contrôle d'accès utilisent les masques
Masques génériques génériques.
Configurer les listes de contrôle d'accès Expliquez comment configurer les listes de contrôle d'accès.
Utilisez des numéros de séquence pour modifier les listes de contrôle d'accès
Modifier les listes de contrôle d'accès IPv4 standard existantes.
Implémenter les listes de contrôle Mettre en œuvre les ACL.
d'accès
Atténuer les attaques avec les listes de Utilisez les listes de contrôle d'accès pour atténuer les attaques réseau
contrôle d'accès courantes.
ACL IPv6 Configurez les ACL IPv6 à l'aide de la CLI.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 2
8.1 Introduction aux listes de
contrôle d'accès

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 3
8.1.1 Qu'est-ce qu'une ACL ? Révision CCNA
Une liste de contrôle d'accès est une série de commandes IOS utilisées pour filtrer les paquets en fonction des
informations trouvées dans l’en-tête de paquet.
Tâche Exemple
 Limitez le trafic réseau pour • Une politique d'entreprise interdit le trafic vidéo sur le réseau afin de réduire la charge du réseau.
augmenter les performances du • Une stratégie peut être appliquée à l'aide des listes de contrôle d'accès pour bloquer le trafic vidéo.
réseau
 Assurer le contrôle du flux de • Une politique d'entreprise exige que le trafic du protocole de routage soit limité à certains liens uniquement.
trafic • Une stratégie peut être implémentée à l'aide des listes de contrôle d'accès pour restreindre la livraison des mises
à jour de routage uniquement à celles provenant d'une source connue.
 Fournir un niveau de sécurité • La politique de l'entreprise exige que l'accès au réseau des ressources humaines soit limité aux seuls utilisateurs
de base pour l'accès au réseau autorisés.
• Une stratégie peut être appliquée à l'aide des listes de contrôle d'accès pour limiter l'accès aux réseaux spécifiés.
 Filtrer le trafic en fonction du • La politique de l'entreprise exige que le trafic de courrier électronique soit autorisé dans un réseau, mais que
type de trafic l'accès Telnet soit refusé.
• Une stratégie peut être mise en œuvre à l'aide d'ACL pour filtrer le trafic par type.
 Filtrer les hôtes pour autoriser • La politique de l'entreprise exige que l'accès à certains types de fichiers (par exemple, FTP ou HTTP) soit limité
ou refuser l'accès aux services aux groupes d'utilisateurs.
réseau • Une stratégie peut être implémentée à l'aide des listes de contrôle d'accès pour filtrer l'accès des utilisateurs aux
services.
 Donner la priorité à certaines • Le trafic d'entreprise spécifie que le trafic vocal doit être transféré aussi rapidement que possible pour éviter
classes de trafic réseau toute interruption.
• Une stratégie peut être mise en œuvre à l'aide des ACL et des services QoS pour identifier le trafic vocal et le
traiter immédiatement.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 4
Introduction aux listes de contrôle d'accès
Révision CCNA
8.1.2 Filtrage de paquets

Le filtrage des paquets peut se

produire au niveau de la
couche 3 ou de la couche 4.

Les routeurs Cisco prennent en

charge les listes de contrôle
d'accès standard et étendues.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 5
Introduction aux listes de contrôle d'accès
Révision CCNA
8.1.3 ACL numérotées et nommées
ACL
standard Etendues
Numérotée: Numérotée:
1 à 99, ou 1300 à 1999 100 à 199, ou 2000 à 2699
R1()# access-list Nommée:
Nommée: Exemple: FTP-FILTER
Exemple: PERMIT-ADMIN
Syntaxe: ip access-list
Syntaxe:R1()# ip access-list

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 6
Introduction aux listes de contrôle d'accès
Révision CCNA
8.1.4 Opération ACL
Nous avons deux opérations ACL:
 ACL entrante (inbound)
 ACL sortante (oubound)

Une liste de contrôle d'accès Une liste de contrôle d'accès sortante

entrante :
• filtre les paquets après leur acheminement,
• filtre les paquets avant qu'ils ne soient
quelle que soit l'interface entrante.
acheminés vers l'interface sortante.
• Si le paquet est autorisé par l'ACL, il est
• Les paquets entrants sont acheminés vers
ensuite traité pour le routage. l'interface sortante, puis traités via l'ACL sortante.
• Elle est appliqué aux paquets provenant de
plusieurs interfaces entrantes avant de quitter la
même interface sortante.
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 7
Introduction aux listes de contrôle d'accès
Packet Tracer - Démonstration ACL

Dans cette activité, vous observerez comment une liste de contrôle d'accès (ACL)
peut être utilisée pour empêcher un ping d'atteindre les hôtes sur les réseaux
distants. Après avoir supprimé l'ACL de la configuration, les requêtes ping aboutiront.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 8
8.2 Masquage des caractères
génériques

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 9
Masquage des caractères génériques
Révision CCNA
8.2.1 Présentation du masque générique
Un masque générique est comme un masque de sous-réseau dans la mesure où il utilise le processus AND
pour identifier les bits d'une adresse IPv4 à faire correspondre. Cependant, ils diffèrent dans la manière dont ils
correspondent aux 1 et aux 0 binaires. Contrairement à un masque de sous-réseau, dans lequel le binaire 1 est
égal à une correspondance et le binaire 0 n'est pas une correspondance, dans un masque générique, l'inverse
est vrai.
Masque Dernier octet
Signification (0 - correspondre, 1 - ignorer)
générique (en binaire)
[Link] 00000000 Correspond à tous les octets.
[Link] 00111111 • Faites correspondre les trois premiers octets
• Faites correspondre les deux bits les plus à gauche du dernier octet
• Ignorer les 6 derniers bits
[Link] 00001111 • Faites correspondre les trois premiers octets
• Faites correspondre les quatre bits les plus à gauche du dernier octet
• Ignorer les 4 derniers bits du dernier octet
[Link] 11111100 • Faites correspondre les trois premiers octets
• Ignorer les six bits les plus à gauche du dernier octet
• Faites correspondre les deux derniers bits
[Link] 11111111 • Faire correspondre les trois premiers octets
• Ignorer le dernier octet

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 10
Masquage des caractères génériques
Révision CCNA
8.2.2 Types de masques génériques

Masque générique pour

correspondre à un hôte

3 Types Masque générique pour

correspondre à un sous-
réseau IPv4

Masque générique pour

correspondre à une
plage d'adresses IPv4
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 11
Masquage des caractères génériques
Révision CCNA
8.2.3 Calcul du masque générique
Le calcul des masques génériques peut être difficile. Une méthode de raccourci consiste à soustraire
le masque de sous-réseau de [Link].

Supposons que vous vouliez un

ACE dans ACL 10 pour permettre
l'accès à tous les utilisateurs du
réseau [Link]/24. Pour
calculer le masque générique,
soustrayez le masque de sous-
réseau (c'est-à-dire [Link])
de [Link], comme indiqué
dans le tableau.
La solution produit le masque
générique [Link]. Par
conséquent, l'ACE serait access-
list 10 permit [Link] [Link]

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 12
Masquage des caractères génériques
Révision CCNA
8.2.4 Mots-clés de masque générique
Les mots-clés réduisent les frappes ACL et facilitent la lecture de l'ACE :
• host (hôte)- Ce mot-clé remplace le masque [Link]. Ce masque indique que tous les bits d'adresse IPv4
doivent correspondre pour filtrer une seule adresse d'hôte.
• Any (Tout)- Ce mot clé se substitue au masque [Link]. Ce masque dit d'ignorer l'intégralité de
l'adresse IPv4 ou d'accepter toutes les adresses.

Par exemple, ces commandes ACL…

… peut être réécrit comme suit :

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 13
8.3 Configurer les ACL

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 14
Configurer les listes de contrôle d'accès
Révision CCNA
8.3.1 Créer une liste de contrôle d'accès

Lors de la configuration d'une liste de contrôle d'accès complexe, il est suggéré de :

• Utilisez un éditeur de texte et écrivez les détails de la politique à mettre en œuvre.

• Ajoutez les commandes de configuration IOS pour accomplir ces tâches.
• Inclure des remarques pour documenter l'ACL.
• Copiez et collez les commandes sur l'appareil.
• Testez toujours minutieusement une liste de contrôle d'accès pour vous assurer qu'elle
applique correctement la stratégie souhaitée.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 15
Configurer les listes de contrôle d'accès
Révision CCNA
8.3.2 Syntaxe ACL IPv4 standard numérotée
Pour créer une liste de contrôle d'accès standard numérotée, utilisez la commande de
configuration globale suivante :

Utilisez la commande de configuration globale : no access-list access-list-number pour

supprimer une liste de contrôle d'accès standard numérotée.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 16
 8.3.2 Syntaxe ACL IPv4 standard numérotée (suite) Révision CCNA
au fournit une explication détaillée de la syntaxe d'une liste de contrôle d'accès standard.
Paramètre La description
access-list- • Il s'agit du nombre décimal de l'ACL.
number • La plage de numéros ACL standard est de 1 à 99 ou de 1300 à 1999.

deny Cela refuse l'accès si la condition est satisfaite.

permit Cela permet l'accès si la condition est remplie.

remark text • (Facultatif) Cela ajoute une entrée de texte à des fins de documentation.
• Chaque remarque est limitée à 100 caractères.
source • Cela identifie le réseau source ou l'adresse hôte à filtrer.
• Utilisez le any mot-clé pour spécifier tous les réseaux.
• Utilisez le host adresse IP mot-clé ou entrez simplement une adresse IP (sans le mot-clé host) pour identifier
une adresse IP spécifique.
source-wildcard (Facultatif) Il s'agit d'un masque générique 32 bits qui est appliqué au fichier . S'il est omis, un masque [Link]
par défaut est utilisé.
log • (Facultatif) Ce mot clé génère et envoie un message d'information chaque fois que l'ACE est mis en
correspondance.
• Le message comprend le numéro ACL, la condition de correspondance (c'est-à-dire, autorisée ou refusée),
l'adresse source et le nombre de paquets.{`{" "}`}
• Ce message est généré pour le premier paquet correspondant.
• Ce mot-clé ne doit être implémenté que pour des raisons de dépannage ou de sécurité.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 17
Configurer les listes de contrôle d'accès
Révision CCNA
8.3.3 Syntaxe ACL IPv4 standard nommée
Pour créer une liste de contrôle d'accès standard nommée, utilisez la commande de configuration globale
suivante :

Dans l'exemple, une liste de contrôle d'accès IPv4 standard nommée appelée NO-ACCESS est créé.
Notez que l'invite passe au mode de configuration ACL standard nommé. Utilisez la fonction d'aide pour
afficher toutes les options ACL ACE standard nommées.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 18
Configurer les listes de contrôle d'accès
Révision CCNA
8.3.4 Syntaxe ACL IPv4 étendue numérotée

Pour créer une liste de contrôle d'accès étendue numérotée, utilisez la commande de configuration globale
suivante :

Les paramètres sont passés en revue sur les deux diapositives suivantes.

La commande pour appliquer une liste de contrôle d'accès IPv4 étendue à une
interface est la même que la commande utilisée pour les listes de contrôle d'accès IPv4
standard.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 19
Configurer les listes de contrôle d'accès
Révision CCNA
8.3.4 Syntaxe ACL IPv4 étendue numérotée (suite)
Le tableau fournit une explication détaillée de la syntaxe d'une liste de contrôle d'accès étendue.

Paramètre La description
access-list- Il s'agit du nombre décimal de l'ACL.
La plage de numéros ACL étendue est de 100 à 199 et de 2000 à 2699.
number
deny Cela refuse l'accès si la condition est satisfaite.

permit Cela permet l'accès si la condition est remplie.

remark text • (Facultatif) Ajoute une entrée de texte à des fins de documentation.
• Chaque remarque est limitée à 100 caractères.
protocol • Nom ou numéro d'un protocole Internet.
• Les mots-clés courants incluent ip, tcp, UDP, et icmp.
• Les ip le mot-clé correspond à tous les protocoles IP.
source • Cela identifie le réseau source ou l'adresse hôte à filtrer.
• Utilisez le any mot-clé pour spécifier tous les réseaux.
• Utilisez le host adresse IP mot-clé ou entrez simplement un adresse IP (sans le host mot clé) pour identifier
une adresse IP spécifique.
source-wildcard (Facultatif) Un masque générique 32 bits appliqué à la source.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 20

(suite du tableau sur la diapositive suivante)

Configurer les listes de contrôle d'accès
Révision CCNA
Syntaxe ACL IPv4 étendue numérotée (suite)
Paramètre La description
destination • Cela identifie le réseau de destination ou l'adresse hôte à filtrer.
• Utilisez le any mot-clé pour spécifier tous les réseaux.
• Utilisez le host adresse IP mot-clé ou adresse IP.
destination- (Facultatif) Il s'agit d'un masque générique 32 bits qui est appliqué à la destination.
wildcard
operator • (Facultatif) Ceci compare les ports source ou de destination.
• Certains opérateurs incluent ll (moins que), gt (plus grand que), éq (égal), et neq (inégal).
port (Facultatif) Le nombre décimal ou le nom d'un port TCP ou UDP.

established • (Facultatif) Pour le protocole TCP uniquement.

• C'est un 1st fonction de pare-feu de génération.
Log (journal) • (Facultatif) Ce mot clé génère et envoie un message d'information chaque fois que l'ACE est mis en
correspondance.
• Ce message comprend le numéro ACL, la condition de correspondance (c'est-à-dire, autorisée ou refusée),
l'adresse source et le nombre de paquets.
• Ce message est généré pour le premier paquet correspondant.
• Ce mot-clé ne doit être implémenté que pour des raisons de dépannage ou de sécurité.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 21
Configurer les listes de contrôle d'accès
Révision CCNA
8.3.5 Protocoles et numéros de port

Options de protocole - Les

quatre protocoles mis en
évidence sont les options les
plus populaires.
• Utilisez le ? pour obtenir de l'aide
lors de la saisie d'un ACE complexe.
• Si un protocole Internet n'est pas
répertorié, le numéro de protocole
IP peut être spécifié.
• Par exemple, le protocole ICMP
numéro 1, TCP est 6 et UDP est 17.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 22
Configurer les listes de contrôle d'accès Révision CCNA
8.3.5 Protocoles et numéros de port (suite)
Options de mot-clé de port- La sélection d'un protocole
influence les options de port. Par exemple, en sélectionnant :

• tcp le protocole fournirait des options de ports liées à TCP

• UDP le protocole fournirait des options de ports spécifiques
à UDP
• icmp le protocole fournirait des options de ports (c'est-à-dire
de message) liés à ICMP

Notez le nombre d'options de port TCP disponibles. Les ports

mis en évidence sont des options populaires.
Les noms ou numéros de port peuvent être spécifiés.
Cependant, les noms de port facilitent la compréhension de
l'objectif d'un ACE. Notez que certains noms de ports courants
(par exemple, SSH et HTTPS) ne sont pas répertoriés. Pour ces
protocoles, les numéros de port devront être spécifiés. © 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 23
Configurer les listes de contrôle d'accès Révision CCNA
8.3.6 Exemples de configuration de protocoles et de numéros de port
Les listes de contrôle d'accès étendues peuvent filtrer sur différentes options de numéro de port
et de nom de port. Cet exemple configure une ACL 100 étendue pour filtrer le trafic HTTP. Le
premier ACE utilise le nom de port www. Le deuxième ACE utilise le numéro de port 80. Les
deux ACE obtiennent exactement le même résultat.

La configuration du numéro de port est requise lorsqu'aucun nom de protocole spécifique

n'est répertorié, tel que SSH (numéro de port 22) ou HTTPS (numéro de port 443)

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 24
Configurer les listes de contrôle d'accès
Révision CCNA
8.3.7 ACL étendue établie par TCP
TCP peut également effectuer des
services de pare-feu avec état de base
à l'aide du mot-clé established.
Le mot-clé established permet au trafic
interne de quitter le réseau privé
interne et permet au trafic de réponse
de retour d'entrer dans le réseau privé
interne.
Cependant, le trafic TCP généré par un
hôte externe et tentant de
communiquer avec un hôte interne
est refusé. Le mot-clé established peut
être utilisé pour autoriser uniquement le
trafic HTTP de retour à partir des sites
Web demandés, tout en refusant tout © 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 25

autre trafic.
Configurer les listes de contrôle d'accès
Révision CCNA
8.3.7 ACL étendue établie par TCP (suite)

Dans cet exemple, l'ACL 120 est configurée pour autoriser uniquement le retour du trafic
Web vers les hôtes internes. La nouvelle liste de contrôle d'accès est ensuite appliquée en
sortie sur l'interface R1 G0/0/0. La commande show access-lists affiche les deux listes de
contrôle d'accès. Notez dans les statistiques de match que des hôtes internes ont accédé aux
ressources Web sécurisées à partir d'Internet.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 26
Configurer les listes de contrôle d'accès Révision CCNA
8.3.8 Syntaxe de liste de contrôle d'accès IPv4 étendue nommée
Pour créer une liste de contrôle d'accès étendue nommée, utilisez la commande de
configuration globale suivante :

Dans l'exemple, une liste de contrôle d'accès étendue nommée NO-FTP-ACCESS est créée
et l'invite est modifiée en mode de configuration de liste de contrôle d'accès étendue
nommée. Les instructions ACE sont entrées dans le mode de sous-configuration ACL étendu
nommé.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 27
Configurer les listes de contrôle d'accès
8.3.9 Exemple de liste de contrôle d'accès IPv4 étendue nommée

La topologie de la figure est utilisée pour

illustrer la configuration et l'application de
deux listes de contrôle d'accès IPv4
étendues nommées à une interface :
• SURFING - Cela permettra au trafic
HTTP et HTTPS de sortir vers Internet.
• BROWSING - Cela permettra uniquement
de renvoyer le trafic Web vers les hôtes
internes tandis que tout autre trafic
sortant de l'interface R1 G0/0/0 est
implicitement refusé.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 28
Configurer les listes de contrôle d'accès Révision CCNA
8.3.9Exemple de liste de contrôle d'accès IPv4 étendue nommée (suite)

 L'ACL SURFING permet au trafic HTTP

et HTTPS des utilisateurs internes de
quitter l'interface G0/0/1 connectée à
Internet. Le trafic Web revenant d'Internet
est autorisé à retourner dans le réseau
privé interne par la liste de contrôle
d'accès de navigation.
 L'ACL SURFING est appliquée entrante
et l'ACL BROWSING appliquée sortante
sur l'interface R1 G0/0/0

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 29
8.4 Modifier les listes de
contrôle d'accès

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 30
Modifier les listes de contrôle d'accès
8.4.1 Deux méthodes pour modifier une ACL

Une fois qu'une liste de contrôle d'accès est configurée, elle peut devoir être modifiée. Les listes
de contrôle d'accès avec plusieurs ACE peuvent être complexes à configurer. Parfois, l'ACE
configuré ne produit pas les comportements attendus.
 Pour ces raisons, les listes de contrôle d'accès peuvent initialement nécessiter quelques
essais et erreurs pour obtenir le résultat de filtrage souhaité.
Il existe deux méthodes à utiliser lors de la modification d'une liste de contrôle d'accès :

• Utiliser un éditeur de texte

• Utiliser des numéros de séquence

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 31
Modifier les listes de contrôle d'accès
8.4.2 Méthode de l'éditeur de texte

Les listes de contrôle d'accès avec plusieurs ACE doivent être créées dans un éditeur de
texte. Cela vous permet de planifier les ACE requis, de créer la liste de contrôle d'accès, puis
de la coller dans l'interface du routeur. Il simplifie également les tâches de modification et de
correction d'une ACL.

Pour modifier une ACL à l'aide d'un éditeur de texte :

• Copiez l'ACL de la configuration en cours et collez-la dans l'éditeur de texte.
• Apportez les modifications nécessaires.
• Supprimez la liste de contrôle d'accès précédemment configurée sur le routeur, sinon le
fait de coller les commandes d'ACL modifiées ne fera qu'ajouter (c'est-à-dire ajouter) aux
ACL d'ACL existantes sur le routeur.
• Copiez et collez la liste de contrôle d'accès modifiée sur le routeur.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 32
Modifier les listes de contrôle d'accès
8.4.3 Méthode du numéro de séquence
Une ACL ACE peut également être supprimée ou ajoutée à l'aide des numéros de séquence ACL. Les
numéros de séquence sont automatiquement attribués lorsqu'un ACE est entré. Ces numéros sont indiqués
par la commande : show access-lists. La commande show running-config n'affiche pas les numéros de
séquence.
Utilisez la commande ip access-list standard pour éditer une ACL. Les instructions ne peuvent pas être
écrasées en utilisant le même numéro de séquence qu'une instruction existante. Par conséquent, l'instruction
actuelle doit d'abord être supprimée avec la commande no 10. Ensuite, l'ACE correct peut être ajouté à l'aide
du numéro de séquence 10 tel que configuré. Vérifiez les modifications à l'aide de la commande show
access-lists.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 33
8.5 Implémenter les listes de
contrôle d'accès

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 34
Implémenter les listes de contrôle d'accès
8.5.1 Directives de configuration des listes de contrôle d'accès
Lors de la configuration et de l'application d'une liste de contrôle d'accès, tenez compte des
instructions résumées dans cette liste :

• Créez une liste de contrôle d'accès globalement, puis appliquez-la.

• Assurez-vous que la dernière déclaration est implicite deny any or deny ip any any.
• N'oubliez pas que l'ordre des instructions est important car les listes de contrôle d'accès sont
traitées de haut en bas.
• Dès qu'une instruction est mise en correspondance, la liste de contrôle d'accès est fermée.
• Assurez-vous que les déclarations les plus spécifiques figurent en haut de la liste.
• N'oubliez pas qu'une seule ACL est autorisée par interface, par protocole et par direction.
• N'oubliez pas que les nouvelles instructions pour une liste de contrôle d'accès existante sont
ajoutées par défaut au bas de la liste de contrôle d'accès.
• N'oubliez pas que les paquets générés par le routeur ne sont pas filtrés par les listes de
contrôle d'accès sortantes.
• Placez les listes de contrôle d'accès standard aussi près que possible de la destination.
• Placez les listes de contrôle d'accès étendues aussi près que possible©de laand/or
2021 Cisco source.
its affiliates. All rights reserved. Cisco Confidential 35
Implémenter les listes de contrôle d'accès
8.5.2 Appliquer une liste de contrôle d'accès
Après avoir créé une liste de contrôle d'accès, l'administrateur peut l'appliquer de différentes manières. Ce
qui suit montre la syntaxe de commande pour appliquer une ACL à une interface ou aux lignes vty.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 36
Implémenter les listes de contrôle d'accès
8.5.2 Appliquer une liste de contrôle d'accès (suite)
La figure ci-dessous montre une liste de contrôle d'accès standard nommée appliquée au trafic
sortant.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 37
Implémenter les listes de contrôle d'accès
8.5.2 Appliquer une liste de contrôle d'accès (suite)
Cette figure montre deux listes de contrôle d'accès étendues nommées. L'ACL SURFING est appliquée au
trafic entrant et l'ACL BROWSING est appliquée au trafic sortant.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 38
Implémenter les listes de contrôle d'accès
8.5.2Appliquer une liste de contrôle d'accès (suite)

Cet exemple montre une liste de contrôle d'accès appliquée aux lignes vty.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 39
Implémenter les listes de contrôle d'accès
8.5.3 Où placer les listes de contrôle d'accès
Chaque ACL doit être placée là où elle
est la plus efficace.

La figure illustre l'emplacement des

listes de contrôle d'accès standard et
étendues dans un réseau d'entreprise.
Supposons que l'objectif est
d'empêcher le trafic provenant du
réseau [Link]/24 d'atteindre le
réseau [Link]/24.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 40
Implémenter les listes de contrôle d'accès
8.5.3 Où placer les listes de contrôle d'accès (suite)
Le placement de l'ACL et, par conséquent, le type d'ACL utilisé, peuvent également dépendre de divers
facteurs, comme indiqué dans le tableau.

Facteurs influençant le placement Explication

du ACL
L'étendue du contrôle Le placement de la liste de contrôle d'accès peut dépendre du fait que l'organisation contrôle
ou non à la fois les réseaux source et de destination.
organisationnel
Bande passante des réseaux Il peut être souhaitable de filtrer le trafic indésirable à la source pour empêcher la
transmission du trafic consommateur de bande passante.
impliqués
Facilité de configuration • Il peut être plus facile d'implémenter une liste de contrôle d'accès à la destination, mais le
trafic utilisera inutilement la bande passante.
• Une liste de contrôle d'accès étendue peut être utilisée sur chaque routeur d'où provient
le trafic. Cela permettrait d'économiser de la bande passante en filtrant le trafic à la
source, mais cela nécessiterait de créer des listes de contrôle d'accès étendues sur
plusieurs routeurs.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 41
Implémenter les listes de contrôle d'accès
8.5.4 Exemple de placement de liste de contrôle d'accès standard

Conformément aux directives de placement

des ACL, les ACL standard doivent être
situées aussi près que possible de la
destination. Dans la figure, l'administrateur
souhaite empêcher le trafic provenant du
réseau [Link]/24 d'atteindre le réseau
[Link]/24.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 42
Implémenter les listes de contrôle d'accès
Packet Tracer - Configurer les listes de contrôle d'accès IPv4 standard
nommées
L'administrateur réseau principal vous a demandé de créer une liste de contrôle
d'accès standard nommée pour empêcher l'accès à un serveur de fichiers. Tous les
clients d'un réseau et un poste de travail spécifique d'un réseau différent doivent se voir
refuser l'accès.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 43
Implémenter les listes de contrôle d'accès
Packet Tracer - Configurer les listes de contrôle d'accès IPv4 standard
numérotées
Les listes de contrôle d'accès standard sont des scripts de configuration de routeur qui
contrôlent si un routeur autorise ou refuse les paquets en fonction de l'adresse source. Cette
activité se concentre sur la définition des critères de filtrage, la configuration des listes de
contrôle d'accès standard, l'application des listes de contrôle d'accès aux interfaces de routeur
et la vérification et le test de l'implémentation des listes de contrôle d'accès. Les routeurs sont
déjà configurés.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 44
Implémenter les listes de contrôle d'accès
8.5.7 Exemple de placement d'ACL étendu
Les listes de contrôle d'accès étendues doivent
être situées aussi près que possible de la
source. Cela empêche le trafic indésirable d'être
envoyé sur plusieurs réseaux pour être refusé
lorsqu'il atteint sa destination. Cependant,
l'organisation ne peut placer des listes de contrôle
d'accès que sur les appareils qu'elle contrôle. Par
conséquent, le placement étendu de la liste de
contrôle d'accès doit être déterminé dans le
contexte de l'étendue du contrôle organisationnel.

L'entreprise A veut refuser le trafic Telnet et FTP

vers le réseau [Link]/24 de l'entreprise B à
partir de son réseau [Link]/24 tout en
autorisant tout autre trafic.
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 45
Implémenter les listes de contrôle d'accès
Packet Tracer - Configuration des listes de contrôle d'accès étendues
Scénario 1
Dans cette activité Packet Tracer, vous atteindrez les objectifs suivants :

• Partie 1 : Configurer, appliquer et vérifier une liste de contrôle d'accès IPv4 numérotée étendue
• Partie 2 : Configurer, appliquer et vérifier une liste de contrôle d'accès IPv4 nommée étendue

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 46
Implémenter les listes de contrôle d'accès
Packet Tracer - Configuration des listes de contrôle d'accès étendues
Scénario 2
Dans cette activité Packet Tracer, vous atteindrez les objectifs suivants :

• Partie 1 : Configurer une liste de contrôle d'accès IPv4 étendue nommée

• Partie 2 : Appliquer et vérifier la liste de contrôle d'accès IPv4 étendue

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 47
8.6 Atténuer les attaques avec
les listes de contrôle d'accès

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 48
Atténuer les attaques avec les listes de contrôle d'accès
8.6.1 Atténuer les attaques d'usurpation d'identité
L'usurpation d'adresse IP remplace le processus
normal de création de paquets en insérant un en-tête
IP personnalisé avec une adresse IP source différente.
Il existe de nombreuses classes d'adresses IP bien
connues qui ne devraient jamais être des adresses
IP source pour le trafic entrant dans le réseau d'une
organisation. L'interface S0/0/0 est connectée à
Internet et ne doit jamais accepter de paquets
entrants provenant des adresses suivantes :
• Toutes les adresses de zéros
• Adresses de diffusion
• Adresses hôtes locales ([Link]/8)
• Adresses d'adressage IP privé automatique
(APIPA) ([Link]/16)
• Adresses privées réservées (RFC 1918)
• Plage d'adresses de multidiffusion IP ([Link]/4) © 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 49
Atténuer les attaques avec les listes de contrôle d'accès
8.6.2 Autoriser le trafic nécessaire via un pare-feu
Une stratégie efficace pour atténuer les
attaques consiste à autoriser explicitement
uniquement certains types de trafic à
travers un pare-feu. Par exemple, DNS
(Domain Name System), SMTP (Simple
Mail Transfer Protocol) et FTP (File
Transfer Protocol) sont des services qui
doivent souvent être autorisés via un pare-
feu. Secure Shell (SSH), syslog et Simple
Network Management Protocol (SNMP)
sont des exemples de services qu'un
routeur peut devoir inclure. La figure
montre un exemple de topologie avec des
configurations ACL pour autoriser des
services spécifiques sur l'interface série
0/0/0. © 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 50
Atténuer les attaques avec les listes de contrôle d'accès
8.6.3 Atténuer les attaques ICMP
Les messages d'écho et de redirection ICMP doivent être bloqués entrants par le routeur.
Plusieurs messages ICMP sont recommandés pour le bon fonctionnement du réseau et doivent être autorisés
dans le réseau interne :
• Echo reply - Permet aux utilisateurs d’atteindre des hôtes externes.
• Source quench - Demande à l'expéditeur de diminuer le taux de trafic des messages.
• Unreachable - Généré pour les paquets qui sont administrativement refusés par une liste de contrôle
d'accès.

Plusieurs messages ICMP sont requis pour le bon fonctionnement du réseau et doivent être autorisés à quitter le
réseau :
• Écho - Permet aux utilisateurs de cingler des hôtes externes.
• Parameter problem (problem de parametre) - Informe l'hôte des problèmes d'en-tête de paquet.
• Packet too big (Paquet trop gros) - Active la découverte de l'unité de transmission maximale des paquets
(MTU).
• Source quench - Réduit le trafic si nécessaire.
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 51

En règle générale, bloquez tous les autres types de messages ICMP sortants.
Atténuer les attaques avec les listes de contrôle d'accès
8.6.3 Atténuer les attaques ICMP (suite)

L'exemple montre un exemple

de topologie et des
configurations ACL possibles
pour autoriser des services
ICMP spécifiques sur les
interfaces G0/0 et S0/0/0.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 52
Atténuer les attaques avec les listes de contrôle d'accès
Atténuer les attaques SNMP

L'exploitation des vulnérabilités SNMP

peut être atténuée en appliquant des
listes de contrôle d'accès d'interface
pour filtrer les paquets SNMP
provenant de systèmes non autorisés.
Ces mesures de sécurité sont utiles,
mais le moyen le plus efficace de
prévention de l'exploitation consiste à
désactiver le serveur SNMP sur les
périphériques IOS pour lesquels il n'est
pas requis. Utilisez la commandepas
de serveur snmp pour désactiver les
services SNMP sur les périphériques
Cisco IOS.
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 53
Atténuer les attaques avec les listes de contrôle d'accès
Packet Tracer - Configurez les listes de contrôle d'accès IP pour
atténuer les attaques
Dans ce Packet Tracer, vous atteindrez les objectifs suivants :

• Vérifiez la connectivité entre les appareils avant la configuration du pare-feu.

• Utilisez des listes de contrôle d'accès pour garantir que l'accès à distance aux routeurs est disponible
uniquement à partir de la station de gestion PC-C.
• Configurez les listes de contrôle d'accès sur R1 et R3 pour atténuer les attaques.
• Vérifiez la fonctionnalité ACL.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 54
8.7 ACL IPv6

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 55
ACL IPv6
8.7.1 Présentation de la liste de contrôle d'accès IPv6
Alors que la migration vers IPv6 se poursuit, les attaques
IPv6 deviennent de plus en plus répandues. IPv4 ne
disparaîtra pas du jour au lendemain. IPv4 coexistera avec
IPv6 puis sera progressivement remplacé par IPv6. Cela
crée des failles de sécurité potentielles. Un exemple de
problème de sécurité est celui des attaquants utilisant IPv4
pour exploiter IPv6 dans des environnements à double
pile.
Comme le montre la figure, les acteurs malveillants
peuvent accomplir des attaques furtives qui entraînent
une exploitation de la confiance en utilisant des hôtes à
double pile, des messages NDP (Neighbor Discovery
Protocol) malveillants et des techniques de tunneling.
Pour vous protéger contre ces menaces, filtrez à la
périphérie à l'aide de diverses techniques, telles que les
ACL IPv6. © 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 56
ACL IPv6
8.7.2 Syntaxe ACL IPv6
La fonctionnalité ACL dans IPv6 est comme les ACL dans IPv4. Cependant, il n'y a pas d'équivalent aux ACL
standard IPv4. Toutes les ACL IPv6 doivent être configurées avec un nom. Les listes de contrôle d'accès
IPv6 permettent le filtrage en fonction des adresses source et de destination entrantes et sortantes vers une
interface spécifique. Ils prennent également en charge le filtrage du trafic basé sur les en-têtes d'options
IPv6 et les informations de type de protocole de couche supérieure facultatives pour une granularité de
contrôle plus fine, comme les listes de contrôle d'accès étendues dans IPv4.

Pour configurer une ACL IPv6, utilisez le ACL ipv6 pour entrer en mode de configuration IPv6 ACL. Ensuite,
utilisez la syntaxe illustrée dans la figure pour configurer chaque entrée de liste d'accès pour autoriser ou
refuser spécifiquement le trafic. Appliquez une liste de contrôle d'accès IPv6 à une interface avec la
commande: ipv6 traffic-filter

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 57
ACL IPv6
8.7.2 Syntaxe IPv6 ACL (suite)
Paramètre La description
deny | permit Spécifie s'il faut refuser ou autoriser le paquet.

protocol Saisissez le nom ou le numéro d'un protocole Internet, ou un nombre entier représentant un
numéro de protocole IPv6.
source-ipv6-prefix/prefix- Le réseau ou la classe de réseaux IPv6 source ou de destination pour lequel définir deny ou
permit conditions.
length destination-ipv6-
address/prefix-length
any Entrer any comme abréviation du préfixe IPv6 ::/0. Cela correspond à toutes les adresses.

host Pour host adresse-ipv6-source ou adresse-ipv6 de destination , saisissez l'adresse d'hôte IPv6
source ou de destination pour laquelle définir deny ou permit conditions.
operator (Facultatif) Un opérande qui compare les ports source ou de destination du protocole
spécifié. Les opérandes sontll (moins que), gt (plus grand que), éq (égal), neq (pas égal), et
gamme.
port-number (Facultatif) Un nombre décimal ou le nom d'un port TCP ou UDP pour le filtrage TCP ou UDP,
respectivement.

(suite du tableau sur la diapositive © 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 58
suivante)
ACL IPv6
8.7.2 Syntaxe IPv6 ACL (suite)
Paramètre La description
dscp (Facultatif) Fait correspondre une valeur de point de code de services différenciés à la valeur de classe de
trafic dans le champ Classe de trafic de chaque en-tête de paquet IPv6. La plage acceptable est de 0 à 63.
fragments (Facultatif) Correspond aux paquets fragmentés non initiaux où l'en-tête d'extension de fragment contient un
décalage de fragment différent de zéro. Les mot-clés fragments sont une option uniquement si les arguments
de l'opérateur [numéro-port] ne sont pas spécifiés. Lorsque ce mot-clé est utilisé, il correspond également
lorsque le premier fragment n'a pas d'informations de couche 4.
log (Facultatif) Envoie un message de journalisation d'informations sur le paquet qui correspond à l'entrée à la
console. (Le niveau des messages enregistrés sur la console est contrôlé par la commande : logging console )
log input (Facultatif) Fournit la même fonction que le mot clé log , sauf que le message de journalisation inclut
également l'interface d'entrée.
sequence value (Facultatif) Spécifie le numéro de séquence valeurpour la déclaration de liste d'accès. La plage acceptable est
de 1 à 4294967295.
time-range name (Facultatif) Spécifie la plage de temps qui s'applique à la déclaration d'autorisation. Le nom de la plage horaire
et ses restrictions sont spécifiés par les commandes : time-range and absolute or periodic , respectivement.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 59
ACL IPv6
8.7.3 Configurer les ACL IPv6
Une ACL IPv6 contient une commande deny ipv6 any Chaque
ACL IPv6 contient également des règles d'autorisation implicites
pour permettre la découverte de voisins IPv6. Le NDP IPv6
nécessite que la couche réseau IPv6 envoie des annonces de
voisins (NA) et des sollicitations de voisins (NS). Si un
administrateur configure la commande : deny ipv6 any sans
autoriser explicitement la découverte de voisins, le NDP sera
désactivé.
R1 autorise le trafic entrant sur G0/0 à partir du réseau
[Link]/64. Les paquets NA et NS sont explicitement
autorisés. Le trafic provenant de toute autre adresse IPv6 est
explicitement refusé. Si l'administrateur ne configurait que la
première déclaration d'autorisation, la liste de contrôle d'accès
aurait le même effet. Cependant, il est recommandé de
documenter les instructions implicites en les configurant
explicitement. © 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 60
ACL IPv6
Packet Tracer - Configurer les ACL IPv6

Dans ce Packet Tracer, vous atteindrez les objectifs suivants :

• Configurer, appliquer et vérifier une ACL IPv6

• Configurer, appliquer et vérifier une deuxième liste de contrôle d'accès IPv6

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 61