CHAPITRE 5LES LISTES DE CONTRÔLE D’ACCÈS LES LISTES DE CONTRÔLE D’ACCÈSACL ACL

CHAPITRE 5LES LISTES DE CONTRÔLE D’ACCÈS LES LISTES DE CONTRÔLE D’ACCÈSACL ACL Objectifs du chapitre Fait par : Fadéla HAMDAD Source : Curriculum Cisco CCNA4 4.0, CCNA2 5.2 et CCNA Security avec ajouts, modifications et corrections Tous les textes sont mentionnés CCNA4 4.0. Cependant, certains peuvent être issus du CCNA2 5.2 (en plus des illustrations) ou du CCNA Security. Introduction Source : Curriculum Cisco CCNA4 4.0 Il est possible de configurer un pare-feu simple, qui assure les fonctions de base de filtrage du trafic entrant et sortant à l’aide de listes de contrôle d’accès (ACL). Il est possible de configurer de ACL pour contrôler le trafic en fonction du port TCP utilisé. Utiliser les ACL pour sécurise un réseau Source : Curriculum Cisco CCNA4 4.0 UtiliserLES LISTES DE CONTRÔLE D’ACCÈS IP LES LISTES DE CONTRÔLE D’ACCÈS IPpour sécuriser les réseaux pour sécuriser les réseaux Filtrage du trafic IP par les ACL Il est aussi possible de filtrer le trafic non IP (IPX, AppleTalk par ex.) mais cela sort du cadre de ce cours. Rappel : TCP Source : Curriculum Cisco CCNA4 4.0 Les ports TCP Source : Curriculum Cisco CCNA4 4.0 Le filtrage des paquets Source : Curriculum Cisco CCNA4 4.0 LE FILTRAGE DES PAQUETS Le filtrage des paquets, parfois appelé statique, contrôle l’accès à un réseau en analysant les paquets entrants et sortants, et en les transmettant ou en les arrêtant en fonction de critères prédéfinis. Le filtrage des paquets fonctionne sur la couche RÉSEAU ou TRANSPORT. ACL et filtrage de paquets Source : Curriculum Cisco CCNA4 4.0 Un routeur filtre des paquets en fonction : - des adresses IP source et de destination, - du port source et du port de destination, - du protocole des paquets. Ces règles sont définies en fonction des ACL. ACL et filtrage de paquet Exemple de filtrage Source : Curriculum Cisco CCNA4 4.0 S’il s’agit du paquet TCP SYN sur A avec port 80, son passage est autorisé. Tout autre accès est refusé à ces utilisateurs. S’il s’agit du paquet TCP SYN sur B avec port 80, son passage est bloqué. Tout autre accès est autorisé. Il est possible de configurer plusieurs règles pour définir l’autorisation ou le refus d’accès Exemple de filtrage de paquet Qu’est ce qu’une ACL? Source : Curriculum Cisco CCNA4 4.0 Qu’est ce qu’uneACL ACL?? Les ACL sont les objets les plus couramment utilisés dans Cisco IOS. Source : Curriculum Cisco CCNA4 4.0 À chaque fois qu’un paquet traverse une interface avec une ACL, cette ACL est vérifiée de haut en bas, ligne par ligne, à la recherche d’une correspondance de paquet entrant. Un routeur n’a aucune ACL configurée par défaut. C’est pourquoi un routeur route mais ne filtre pas le trafic par défaut. Suite Source : Curriculum Cisco CCNA4 4.0 Une ACL est un ensemble séquentiel d’instructions d’autorisation ou de refus qui s’appliquent aux adresses IP, aux n° de ports ou aux protocoles de couche supérieure.  Utiliser des ACL sur les routeurs pare-feu entre le réseau interne et un réseau externe.  Utiliser des ACL sur un routeur situé entre deux sections du réseau pour contrôler le trafic entrant ou sortant.  Utiliser des ACL sur les routeurs périphériques situés à la frontière du réseaux. Configurer des ACL sur une interface pour filtrer les trafics entrant, sortant ou les deux. Rège des 3 P Source : Curriculum Cisco CCNA4 4.0 Règle des trois "P" Les trois P sont une règle générale pour appliquer des ACL sur un routeur. Configurer une ACL par protocole, par direction et par interface : Une ACL PPar protocole : Définir une ACL pour chaque protocole activé sur l’interface. Une ACL PPar direction : Les ACL contrôlent le trafic dans une direction à la fois sur une interface. Créer 2 ACL : la première pour contrôler le trafic entrant et la seconde pour contrôler le trafic sortant. Une ACL PPar interface : Les ACL contrôlent le trafic pour une interface, telle que FastEthernet 0/0. F0/0 F0/1 IN OUT IN OUT Les tâches effectuées par une ACL (6 par direction). Source : Curriculum Cisco CCNA4 4.0 Les tâches effectuées par les ACL Elles limitent le trafic réseau pour accroître ses performances. Si la stratégie de l’entreprise interdit le trafic vidéo, configurer des ACL pour bloquer ce trafic. Elles contrôlent le flux de trafic. Les ACL peuvent limiter l’arrivée des mises à jour de routage. Si aucune mise à jour n’est requise vu les conditions du réseau, la bande passante est préservée. Elles fournissent un niveau de sécurité de base pour l’accès réseau. Les ACL permettent à un hôte d’accéder à une section du réseau tout en empêchant un autre hôte d’y avoir accès. Elles déterminent le type de trafic à acheminer ou bloquer sur les interfaces de routeur. Une ACL peut autoriser le trafic de messagerie mais bloquer tout trafic Telnet. Elles filtrent les hôtes pour autoriser ou refuser l’accès aux services sur le réseau. Les ACL peuvent autoriser ou refuser à un utilisateur l’accès à certains types de fichier, tels que FTP ou HTTP. Elles fonctionnent comme des pare-feu pour filtrer les paquets et éliminer tout trafic indésirable. Fonctionnement des ACL Source : Curriculum Cisco CCNA4 4.0 Fonctionnement des ACLACL ACL entrante Source : Curriculum Cisco CCNA4 4.0 ACL Entrante ACL, règles de contrôle pour les paquets : - arrivant par les interfaces d’entrée, - passant par le routeur et - sortant par les interfaces de sortie. Elles ne gèrent pas les paquets provenant du routeur lui-même. Une ACL entrante réduit la charge des recherches de routage en cas d’abandon du paquet. Routage Explication diapo suivante Une ACL est utilisée de haut en bas, une instruction après l’autre. Remarque importante Source : Curriculum Cisco CCNA4 4.0 Le système ne vérifie plus les conditions après la première correspondance l’ordre des conditions dans une ACL est primordial. ! ACL sortante Source : Curriculum Cisco CCNA4 4.0 ACL Sortante  Une ACL peut s’appliquer à plusieurs interfaces. Il ne peut y avoir qu’seule ACL par protocole, par direction et par interface. Refus implicite Explication diapo suivante Le refus implicite Source : Curriculum Cisco CCNA4 4.0 LE REFUS IMPLICITE : deny all ou deny all traffic Une instruction implicite finale s’applique à tous les paquets qui n’ont pas répondu aux conditions. Cette condition finale se solde par une INSTRUCTION DE REFUS. Le routeur abandonne tous les paquets restants. Le refus Le refus implicite implicite est le est le comportement par défaut des comportement par défaut des ACL. ACL. on ne on ne peut peut pas la modifier. pas la modifier. Une ACL doit donc comporter au moins une instruction d’autorisation. Sinon, l’ACL bloque tout le trafic y compris les mises à jour de routage! Récap. du fonctionnement de l’ACL Source : Curriculum Cisco CCNA4 4.0 Fonctionnement récapitulatif des ACL Routage Couche 3 Couche 2+1 Couche 1+2 Syntaxe sommaire d'une ACL Cisco Source : Curriculum Cisco CCNA4 4.0 Syntaxe d’une ACL Cisco (Syntaxe sommaire) Source : Curriculum Cisco CCNA4 4.0 access-list 10 permit 192.168.30.0 0.0.0.255 access-list 101 deny 10.0.0.0 0.0.0.255 Commande N° de l’ACL permit/deny Action de l’ACL Adresse IP source ACL 1 : Permettre tout le trafic provenant du réseau 192.168.30.0/24 Tout trafic provenant d’ailleurs est refusé compte tenu du deny any implicite. ACL 2 : Refuser tout le trafic provenant du réseau 10.0.0.0/24 Tout trafic provenant d’ailleurs est refusé compte tenu du deny any implicite. ACL 1 : ACL 2 : On y reviendra! access-list 10 permit 192.168.30.0 0.0.0.255 access-list 10 deny any access-list 10 permit 192.168.30.0 0.0.0.255  Types d’ACL : standard et étendue Source : Curriculum Cisco CCNA4 4.0 Types d’ACL standard et étendue Source : Curriculum Cisco CCNA4 4.0 ACL standard Permettent d’autoriser et de refuser le trafic en provenance d’adresses IP source. La destination du paquet et les ports concernés n’ont aucune incidence. Ici, tout trafic en provenance du réseau 192.168.30.0/24 est autorisé. Compte tenu de l’instruction implicite deny any à la fin de la liste, tout autre trafic est bloqué. ACL étendues Filtrent les paquets IP en fonction de plusieurs attributs : - le type de protocole, - l’adresse IP source, l’adresse IP de destination, - les ports TCP ou UDP source, les ports TCP ou UDP de destination, - informations facultatives sur le type de protocole pour une meilleure précision du contrôle. Les ACL standards et étendues sont créées en mode de configuration globale. Ici, L’ACL 103 autorise tout le trafic provenant d’une adresse sur le réseau 192.168.30.0/24 vers tout port hôte de destination 80 (HTTP) (détails de la syntaxe plus loin). any eq 80 : N’importe quelle destination sur le port 80C’est le n°de l’ACLQui dit si c’est une ACL standard ou étendue :Voir diapo suivante. Les ACL numérotées et nommées Source : Curriculum Cisco CCNA4 4.0 Les ACL numérotées sont utilisées sur des réseaux de petite taille. Un numéro n’informe pas clairement sur la fonction d’une ACL. Utiliser un nom pour identifier une ACL est possible (depuis la version 11.2 de Cisco IOS). Les ACL nommées seront uploads/Management/ ccna4-chapitre-5.pdf

Documents similaires

Catalogue des produits Mai 2022 Instructeur principal : Godefroy CHEUMANI TCHEU 0 0

CERTYOU, 37 rue des Mathurins, 75008 PARIS - SAS au capital de 10 000 Euros Tél 0 0

Curriculum vitae et lettre de motivation Guide pratique Apprendre à se mettre e 0 0

Module 4: Concepts ACL Supports de l'instructeur Réseau, sécurité et automatisa 0 0

Henri Valeins, ANF QeR Ocotobre 2014, Source : Gilbert Farges Les outils de bas 0 0

CHOUICHI Ghada 2ING2  2015 - aa Cisco et/ou ses filiales. Tous droits réservés 0 0

© 2008 Cisco Systems, Inc. Tous droits réservés. Informations confidentielles d 0 0

Guide pour la recherche d’emploi « Curriculum Vitae et Lettre de présentation » 0 0

 III.1 Le Curriculum Vitae Qu’est-ce Qu’un CV ? Le CV est un document qui co 0 0

FICHE SIGNALYTIQUE 3 N°7 TR4 2014 DJEN DJEN INFOS 5 7 17 Sommaire Périodique d’ 0 0

• Détails
• Publié le Apv 30, 2022
• Catégorie Management
• Langue French
• Taille du fichier 4.8145MB