Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Réalisé Par : Hamza Bahhou Encadré Par : M. El Hachlaf Plan : I. Introduction I

Réalisé Par : Hamza Bahhou Encadré Par : M. El Hachlaf Plan : I. Introduction II. Défnitions des Listes de Contrôle d’accès (ACL) III.Fonctionnement des ACL IV. Avantages et Inconvénients des ACL. V. Masque Générique dans un liste de contrôle d’accès VI.Les Types Des Liste De Contrôle d’accès 1. Liste de Contrôle d’accès Standard 2. Liste de Contrôle d’accès Étendue VII Les ACLs Nommées Introductio n: L’objectif principal d’un Administrateur réseau est de rendre possible les communications TCP/IP entre différents systèmes. Seulement voilà, il ne faut pas oublier que ces échanges doivent pouvoir se faire en prenant en compte les problématiques de sécurité. Il s’agit alors d’un objectif supplémentaire assigné à l’Administrateur réseau: garantir la sécurisation des échanges. Cette sécurisation consiste dans un premier temps à autoriser certaines communications et en interdire d’autres. C’est à partir de là où notre Administrateur devra utiliser un outil intégré dans l’IOS: les listes de contrôle d’accès ou ACL (Access Control List). Les listes de contrôle d'accès (ou ACL) sont des séries de commandes et des instructions sont qui expriment une liste de règles, séquentielles et logiques, imposé par l'Administrateur Réseau sur un Routeur donnant un contrôle Additionnel (C'est le Filtrage) sur les paquets reçus ou transmis. Avec les ACL, l'administrateur réseau pourra interdire [Deny] ou autoriser [Permit] des paquets que ce soit en Entrée [In] ou en Sortie [Out] d'un routeur. Qu'est-ce qu'une liste de contrôle d Une liste d'accès est un mécanisme d'identification de trafic particulier. Une des applications d'une liste d'accès est de filtrer le trafic entrant ou sortant d'une interface de routeur. Pourquoi utiliser une Liste de Contrôle d’Accès Fonctionnement d’une liste de contrôle d'accès ? Le technologie noyau de réalisation ACL est « filtrage de paquets »: Le filtrage des paquets: parfois appelé filtrage statique des paquets, contrôle l'accès à un réseau en analysant les paquets entrants et sortants et en les transmettant ou en rejetant selon des critères spécifiques, tels que l'adresse IP source, les adresses IP de destination et le protocole transporté dans le paquet. Comment fonctionne une liste d'a 1- Recherche de correspondance (examen de chaque paquet) 2- Action (deny ou permit) 3- Si pas de correspondance, instruction suivante. 4- Si aucune correspondance, l'instruction implicite est appliquée Le filtrage des paquets peut fonctionner sur différentes couches du modèle OSI ou sur la couche Internet du modèle TCP/IP. Mais Comment ça Marche ? La liste de contrôle d'accès extrait les informations suivantes de l'en- tête de paquet de couche 3. (Couche réseau) Adresse IP source , Adresse IP de destination , Type de message ICMP. Un routeur peut également effectuer le filtrage des paquets au niveau de la couche 4. (Couche transport) La liste de contrôle d'accès peut extrait des informations de couche supérieure à partir de l'en-tête de couche 4, notamment: • Port source TCP/UDP , Port de destination TCP/UDP Avantage d’une liste de contrôle d  Amélioration de la performance du réseau ( Limitation du trafic ).  Contrôler le flux de trafic ( Seuls les paquets autorisés circulent ).  Fournir un niveau de sécurité de base pour l'accès réseau.  Filtrer certains hôtes afin de leur accorder ou de leur refuser l'accès à une section de réseau.  Déterminer le type de trafic qui sera acheminé ou bloqué au niveau des interfaces de routeur.  Autoriser un administrateur à contrôler les zones auxquelles un client peut accéder su un réseau. Inconvénient d’une liste de contrôle L’utilisation des listes de contrôle d’accès peut engendrer des problèmes :  La charge supplémentaire sur le routeur découlant de la vérification de tous les paquets réduit le temps disponible pour le transfert de ces paquets.  Des listes de contrôle d’accès mal conçues augmentent encore plus la charge sur le routeur, pouvant provoquer une interruption du réseau.  Des listes de contrôle d’accès mal positionnées peuvent bloquer le trafic qui devrait être autorisé et autoriser le trafic qui devrait être bloqué. Masques Générique dans les listes de contrôle d’accès Les masques génériques utilisent les chiffres binaires 1 et 0 pour filtrer des adresses IP ou des groupes d'adresses IP, afin d'autoriser ou de refuser l'accès aux ressources. Bit 0 de masque générique: permet de vérifier la valeur du bit correspondant dans l'adresse. Bit 1 de masque générique : permet d'ignorer la valeur du bit correspondant dans l'adresse. On peut remarquer que les trois premiers octets de l'adresse de référence doivent correspondre. La valeur du dernier octet n'a pas d'importance. Adresse de référence : 10.1.1.0 Masque générique : 0.0.0.255 Adresse de référence (binaire) : 00001010. 00000001. 00000001.00000000 Masque générique (binaire) : 00000000. 00000000. 00000000.11111111 Calculer le masque générique: La méthode la plus rapide consiste à soustraire le masque de sous- réseau de 255.255.255.255 Exemple : Supposons que vous souhaitiez autoriser un sous-réseau 192.168.3.32/28 à accéder au réseau. Le masque du sous-réseau IP est 255.255.255.240. Nous utilisons donc 255.255.255.255 et y soustrayons le masque de sous- réseau.  Cette solution génère le masque générique 0.0.0.15 Je m'intéresse seulement aux machines 1 à7 du réseau 172.16.1.0/24 dont les adresses IP sont respectivement 172.16.1.1 jusqu'à172.16.1.7 Exemple 2: Adresse 1: 172.16.1.1 = 1010 1100.0001 0000.0000 0001.0000 0001 Adresse 2: 172.16.1.7 = 1010 1100.0001 0000.0000 0001.0000 0111 Masque Générique: = 0000 0000.0000 0000.0000 0000 0000 0111  Le masque générique est donc: 0.0.0.7 Le masque générique dans ce cas doit vérifier deux aspects: – l'appartenance à la classe réseau. – les 5 premiers bits du dernier octet sont nuls. Les Mots-clés de masque générique "host" et "any": Le mot-clé host remplace le masque 0.0.0.0. Ce masque indique que tous les bits de l'adresse IPv4 doivent correspondre ou qu'un seul hôte est conforme. Le mot-clé any remplace l'adresse IP et le masque 255.255.255.255. Ce masque indique qu'il convient d'ignorer l'intégralité de l'adresse IPv4 ou d'accepter n'importe quelle adresse. Exemple : 192.168.10.10 0.0.0.0 = host 192.168.10.10 Exemple : 0.0.0.0 255.255.255.255 = Any Les Types Des listes de contrôle d’accès Il existe deux types basiques de listes de contrôle d'accès: ACL Standard (Numérotée). ACL étendue (Numérotée). On trouve Aussi un autre Type qui s'applique sur les deux: ACL nommée (Peut être de type standard ou étendue) Note : Les listes de contrôle d'accès numérotées sont pratiques pour déterminer le type de liste sur des réseaux de petite taille dont la définition du trafic est plus homogène. Toutefois, le numéro n'indique pas la fonction d'une liste de contrôle d'accès. C'est pourquoi, depuis la version 11.2 de Cisco IOS, vous pouvez utiliser un nom pour identifier une liste de contrôle d'accès Cisco. Listes de Contrôle d'accès Standard: Les listes de contrôle d'accès standard peuvent être utilisées pour autoriser ou refuser le trafic uniquement depuis des adresses IPv4 source.  Le filtrage est basé seulement sur l’adresse IPv4 source des paquets IP (aucun contrôle des adresses IP destination, ni des numéros de port UDP ou TCP).  Chaque liste est identifiée par un nombre compris entre 1 et 99 ou entre 1300 en 1999. En Résumé :  Filtrage total ( autorise tout / bloquer tout ).  La Destination doit être un réseaux. Le numéro de la liste de 1 jusqu’à 99  Le réseaux de destination n'est pas spécifier dans la configuration. Emplacement d’une listes de contrôle d’accès Standard Les listes de contrôle d'accès standard ne précisent pas les adresses de destination, placez-les le plus près possible de la destination. Le fait de placer une liste de contrôle d'accès standard à la source du trafic empêche efficacement ce trafic d'accéder à tous les autres réseaux via l'interface à laquelle la liste est appliquée. Destinati on La Confguration d’une liste de contrôle d’accès Standard La configuration d’une liste de contrôle d’accès standard se fait en 2 étapes:  Créer la liste de contrôle d'accès en mode de configuration globale.  Affecter cette ACL à une interface Étape 1: Création de La Liste de Contrôle d'accès standard : Router(confg)# Access-list <acl-number> { permit | deny | remark} <Source-address> <wildcard-mask> [Log]  Acl-number: Numéro de la liste de contrôle d'accès.  Permit: Autorise l'accès si les conditions Sont respectées.  Deny: Refuse l'accès si les conditions Sont respectées.  Remark: Ajoute un remarque à propos des instructions ACL pour plus de lisibilité.  Source-address: Adresse du réseau ou d'hôte d'où provient le paquet. Wildcard-mask: Masque générique de 32 bit à appliquer à la Étape 2: Affecter La liste de contrôle d’accès à une interface  Sélectionner une interface à laquelle on va appliqué l'ACL: Router(config)# Interface Fast0/0 | Se0/0 | Eth0/0  Activer l'ACL existante sur l'interface : Router(config-if)# ip access-group <acl-number> [ IN | OUT ] R1(config-if)#no ip access-group <acl-number> in | out  Pour Supprimer une ACL Standard numérotée: R1(config)# no access-list <acl-number>  Pour Désactiver une ACL sur une interface: Remarque: Si vous avez l'intention de supprimer une ligne spécifique d'une liste de contrôle d'accès numérotée qui existe, toute la liste est supprimée. Il Faut d’abord connaître que :  Les paquets entrantes: sont traités avant d'être routés vers l'interface de sortie.  Les paquets sortantes: sont uploads/s1/ expose-acl.pdf