Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

RE16 1 ACL : notions avancées • Le principe des ACL a été expliqué au chapitre

RE16 1 ACL : notions avancées • Le principe des ACL a été expliqué au chapitre précédent • Ces ACL de base présentent des limitations qui peuvent être résolues par l’utilisation des : – ACL dynamiques – ACL « réflexives » – ACL à caractère temporel – turbo ACL – ACL dépendantes du contexte : le CBAC RE16 2 Commenter une ACL • Alors que nous allons sérieusement compliquer l’écriture et le rôle des ACL, il est utile de de les commenter dans la configuration du routeur ou du firewall • Un commentaire d’ACL sera visible dans la configuration, mais il sera aussi affiché par la commande show access-lists • Une remarque d’ACL est donc différente d’un commentaire introduit par ! Miami(config)# access-list 102 remark Allow traffic to file server Miami(config)# access-list 102 permit ip any host 128.88.1.6 RE16 3 Méthode de travail • Il est important de respecter les conseils suivants : – il faut d’abord bien réfléchir à ce que l’on veut autoriser et interdire – ce travail doit se faire avant de faire quoi que ce soit sur les routeurs – il faut s’arranger pour pouvoir « copier/coller » les ACLs – ne pas hésiter à stocker des ACLs dans des fichiers texte pour faire une sorte de « librairie » d’ACLs – si possible, tester les ACLs hors ligne avant de les installer sur le réseau exploité RE16 4 ACL dynamique • Une ACL dynamique permet de résoudre le problème de l’authentification • Les ACL classiques utilisent l’adresse IP pour déterminer quelle machine communique, mais il n’y a pas de vérification de l’identité de l’utilisateur lui-même • Il est souvent utile de demander à l’utilisateur de s’identifier : – nom d’utilisatreur – mot de passe • Il faut alors utiliser une ACL dynamique RE16 5 ACL dynamique • Il faut les utiliser quand : – on veut qu’un utilisateur particulier distant (ou un petit groupe) puisse accéder à certaines ressources du réseau, à travers Internet – on veut qu’un groupe d’hôtes du réseau local puisse accéder à un hôte d’un autre réseau protégé par un firewall • Il est possible de limiter la durée de l’autorisation de connexion RE16 6 ACL dynamique 1. Un utilisateur sollicite une session telnet sur le firewall configuré avec une ACL dynamique (ligne vty) 2. L’IOS Cisco ouvre une session telnet et demande son nom et son mot de passe à l’utilisateur 3. L’authentification peut être assurée par le firewall lui-même ou par un serveur TACACS+ ou RADIUS 4. Quand l’utilisateur est indentifié, le firewall met fin à la session telnet 5. Il crée ensuite une entrée temporaire dans l’ACL dynamique (cette instruction temporaire permet de limiter l’accès à certaines machines) 6. Les données sont échangées à travers le firewall 7. L’IOS détruit l’entrée temporaire au bout d’un certain temps paramétrable (soit en mesurant une durée d’inactivité, soit en mesurant le temps de connexion) RE16 7 ACL dynamique • ACL dynamique car elle n’apparaît que sur sollicitation de l’utilisateur, et après authentification de celui-ci Je laisse passer seulement si il s’identifie ! Je m’identifie en faisant un telnet RE16 8 ACL dynamique Exemple avec authentification locale au routeur username toto password tutu interface ethernet0 ip address 172.18.23.2 255.255.255.0 ip access-group 101 in access-list 101 permit tcp any host 172.18.23.2 eq telnet access-list 101 dynamic mytestlist timeout 120 permit ip any any line vty 0 login local autocommand access-enable timeout 5 autorisation du telnet sur l’@IP de l’interface du routeur entrée dynamique qui autorise tout le trafic IP l’authentification se fera en local définition d’une ligne vty définition de l’utilisateur et de son mot de passe commande d’activation de la partie dynamique de l’ACL : • elle sera ajoutée après un telnet authentifié • elle restera dans l’ACL pendant 5 minutes RE16 9 ACL dynamique • L’entrée dynamique ne peut pas être la seule entrée de l’ACL • L’instruction ajoutée dans une liste dynamique l’est toujours au début de la liste • Il ne faut qu’une instruction dynamique par ACL (seule la première sera prise en compte) • Utiliser un nom différent pour chaque instruction dynamique • Il faut autoriser le telnet sur le routeur pour que tout cela puisse marcher • Il faut toujours définir un temps de connexion maximum RE16 10 ACL dynamique • Utilise un mécanisme d’authentification des utilisateurs (et pas seulement des hôtes) • Permet de réduire la taille des ACL classiques en réduisant le nombre des instructions nécessaires • Avec cette technique, on peut spécifier quel utilisateur peut accéder à des ressources (définies en @IP et n° de port), en spécifiant depuis quels hôtes il a le droit de le faire • On peut ainsi donner un accès dynamique à un utilisateur à travers un firewall, sans compromettre les autres restrictions de sécurité RE16 11 Proxy d’authentification • Les ACLs dynamiques obligent l’utilisateur à initier une session telnet • Le proxy d’authentification permet d’obtenir à peu près le même fonctionnement, mais en passant par un navigateur Internet • Il peut être utilisé depuis l’intérieur du réseau comme depuis l’extérieur RE16 12 Proxy d’authentification • Les utilisateurs qui sont bloqués par une ACL peuvent (si le routeur est configuré en ce sens) utiliser un simple navigateur web pour s’identifier auprès du serveur TACACS+ ou RADIUS • Ils doivent se connecter au serveur HTTP résidant dans le routeur prévu à cet effet • Ce serveur HTTP remplace le serveur telnet comme intermédiaire entre l’utilisateur et le serveur TACACS+ ou RADIUS • Après authentification, le serveur donnera au routeur l’instruction qu’il doit ajouter en tête d’ACL pour permettre à l’utilisateur de rentrer sur le réseau RE16 13 Proxy d’authentification • Les différences entre les ACL dynamiques et le proxy d’authentification sont : – l’ACL dynamique est activée par une connexion telnet sur le routeur, alors que le proxy d’authentification est activé par HTTP sur le routeur – le proxy d’authentification ne supporte pas l’authentification locale (nécessité d’un serveur TACACS+ ou RADIUS) – contrairement aux ACLs dynamiques, le serveur d’authentification peut ajouter plusieurs instruction à l’ACL – le serveur d’authentification n’a qu’une temporisation absolue, et pas de temporisation d’inactivité RE16 14 ACL réflexive • Permet de filtrer les paquets IP en fonction des informations de session (qui a commencé ?) des couches supérieures • On peut ainsi autoriser un certain trafic, seulement si il a été initié depuis l’intérieur du réseau • On pouvait déjà obtenir ce fonctionnement avec des ACL étendues, en utilisant l’option established, mais cette option ne vaut que pour TCP (UDP est en effet un protocole non connecté) • Les ACL réflexives permettent de faire ce type de filtrage avec TCP, mais aussi UDP et ICMP RE16 15 ACL étendue : rappel • Quand on utilise un numéro de port pour filtrer, il faut savoir que seul le port destination est filtré Si je mets une ACL pour interdire à host d’envoyer des requêtes HTTP, le serveur ne verra jamais rien Si je mets une ACL qui filtre le trafic HTTP en entrée, alors host peut faire une requête, le serveur peut répondre, et cette réponse ne sera pas bloquée en entrée du routeur ! Le filtrage ne se fait que sur le port destination On peut n’autoriser le trafic HTTP que en réponse à une demande de host en utilisant : access-list 101 permit tcp any any eq http established • Cette technique utilise les bits ACK et RST de l’en-tête TCP, et n’est donc pas valable pour UDP et ICMP RE16 16 ACL réflexive • Les sessions TCP sont suivies grâce aux bits ACK, RST et FIN des en-têtes TCP • La fin de la session TCP est repérée de la façon suivante : – quand le bit FIN de l’en-tête TCP est placé à 1, le routeur devine que la session va se terminer, il attend 5 secondes pour laisser le temps à l’hôte et au serveur de terminer leur session, puis il bloque le trafic – quand le bit RST est mis à 1, le routeur détecte une interruption abrupte de session et bloque immédiatement le trafic – par défaut au bout d’un certain temps (paramétrable) d’inactivité pour cette session RE16 17 ACL réflexive • Les sessions UDP sont suivies par les couples @IP source/destination n° port source/destination • La fin de la session ne peut être détectée que par défaut au bout d’un certain temps d’inactivité RE16 18 ACL réflexive • Il y a deux restrictions à l’utilisation des ACL réflexives : – elles doivent être utilisées uniquement avec les ACLs étendues (cela ne marche pas avec les standards qui ne portent pas mention des n° de port) – cette technique ne fonctionne pas avec les applications qui changent de numéro de port en cours de session (par exemple FTP en mode actif) RE16 19 FTP : rappel • Le mode par défaut de FTP est le mode actif • En mode actif : – le client ouvre une connexion de contrôle sur le port 21 du serveur – quand le client uploads/Ingenierie_Lourd/ acl-notions-avancees.pdf