1 Chapitre 3: Sécurité d’accès interne à réseau 2 Les listes de contrôle d'accè

1 Chapitre 3: Sécurité d’accès interne à réseau 2 Les listes de contrôle d'accès  Sont des listes d'instructions applicables à une interface du routeur pour indiquer le type de paquets à accepter et le type à refuser  L'acceptation et le refus peuvent être fondés sur certaines caractéristiques : Adresse Source et Adresse de Destination Port Source et Port de destination Protocole Applicatif  filtrent le trafic réseau en commandant aux interfaces d'un routeur d'acheminer ou de bloquer des paquets routés  Un routeur examine chaque paquet afin de déterminer s'il doit l'acheminer ou l'abandonner 3 Les listes de contrôle d'accès 4 Les listes de contrôle d'accès  Sont configurées au niveau du routeur en vue de contrôler l'accès à un réseau ou à un sous- réseau pour : Limiter le trafic réseau et accroître les performances Contrôler le flux de trafic Fournir un niveau de sécurité d'accès réseau de base Déterminer le type de trafic qui sera acheminé ou bloqué au niveau des interfaces du routeur 5 Vérification des paquets  L'ordre des instructions ACL (Access Control List) est important  Dès que la plateforme IOS- CISCO découvre une correspondance, elle cesse de vérifier les instructions de condition  Si une instruction de condition autorisant l'accès à tout le trafic est créée, aucune instruction créée par la suite ne sera vérifiée 6 Fonctionnement des listes de contrôle d'accès  Une liste de contrôle d'accès est un groupe d'instructions précisant divers facteurs relatifs aux paquets : Comment les paquets entrent-ils par les interfaces d'arrivée ? Comment sont-ils relayés par le routeur ? Comment sortent-ils par les interfaces de départ du routeur ?  Si aucune des instructions ne correspond au paquet, une instruction implicite " deny any " interdisant l'accès est imposée 7 Fonctionnement des listes de contrôle d'accès 8 Configuration de listes de contrôle d’accès  Créer des listes de contrôle d'accès en mode de configuration globale.  Spécifier un numéro de liste de contrôle d'accès entre 1 et 99 : ACL standards.  Spécifier un numéro de liste de contrôle d'accès entre 100 et 199 : ACL étendues.  Sélectionner avec soin et classer logiquement les éléments de la liste de contrôle d'accès. Préciser les protocoles IP autorisés, tous les autres protocoles seront refusés.  Sélectionner les protocoles IP à vérifier, les autres protocoles ne seront pas vérifiés. Plus tard dans la procédure, il sera également possible d'indiquer un port de destination en option pour plus de précision. 9 Configuration de listes de contrôle d’accès  La plupart des protocoles nécessitent deux étapes de base pour effectuer le filtrage : la première étape est la création d'une définition de liste de contrôle d'accès la seconde, l'application de cette liste à une interface.  Il convient d'identifier chaque liste de protocole en lui attribuant un numéro unique Router{config}#access-list numéro-liste-accés {permit|deny} {conditions-de-test) Router(config-if) # {protocole} access-group numéro-liste-d’accès 10 Les bits de masque générique  Un masque générique est une quantité de 32 bits divisés en quatre octets contenant chacun 8 bits:  Un bit 0 de masque générique signifie " vérifier la valeur du bit correspondant " un bit 1 signifie " ne pas vérifier (ignorer) la valeur du bit correspondant " 11 Les bits de masque générique  les masques génériques et les masques de sous-réseaux IP fonctionnent différemment :  les 0 et les 1 du masque de sous- réseau déterminent les portions réseau, sous-réseau et hôte de l'adresse IP correspondante Les 0 et les 1 du masque générique déterminent si les bits correspondants de l'adresse IP doivent être vérifiés ou ignorés à des fins de contrôle d'accès 12 La commande any  Travailler avec des représentations décimales de bits de masque générique peut se révéler fastidieux :  Pour les usages les plus courants de masquage générique, vous pouvez recourir à des abréviations pour indiquer : n'importe quelle adresse IP, tapez 0.0.0.0, puis pour indiquer que la vérification doit ignorer (c.-à-d. autoriser sans vérifier) toute valeur, tapez les bits de masque générique correspondants pour cette adresse, qui seraient tous des 1 (c.-à-d. 255.255.255.255). Router(config)# access-list 1 permit 0.0.0.0 255.255.255.255 vous pouvez utiliser ceci : Router(config)# access-list 1 permit any 13 La commande host  permet également d'utiliser une abréviation dans le masque générique de liste de contrôle d'accès lorsque vous souhaitez faire correspondre tous les bits d'une adresse d'hôte IP complète :  Exemple : vous souhaitiez préciser qu'une adresse hôte IP sera refusée par une vérification de liste de contrôle d'accès : Router(config)# access-list 1 permit 172.30.16.29 0.0.0.0 vous pouvez utiliser ceci : Router(config)# access-list 1 permit host 172.30.16.29 14 Les listes de contrôle d'accès standard  Vous pouvez utiliser les listes de contrôle d'accès standard pour refuser l'accès à un réseau à tout le trafic, autoriser tout le trafic issu d'un réseau particulier ou refuser des ensembles de protocoles :  Router(config)# access-list numéro-liste-d'accès {deny | permit} source [masque-générique-source ] [log] 15 Vérification des listes de contrôle d'accès  la commande EXEC show access-list permet d’afficher le contenu de toutes les listes de contrôle d'accès :  Exemple : access-list 1 permit 192.5.34.0 0.0.0.255 access-list 1 permit 128.88.0.0 0.0.255.255 access-list 1 permit 36.0.0.0 0.255.255.255 !(Remarque : tous les autres accès sont implicitement refusés.)  La commande ip access-group associe une liste de contrôle d'accès existante à une interface Router(config-if)#ip access-group numéro-liste-d'accès {in | out} 16 Exemple 1 de configuration  la liste de contrôle d'accès permet uniquement l'acheminement du trafic du réseau d'origine 172.16.0.0 17 Exemple 2 de configuration  bloquer le trafic d'une adresse particulière, 172.16.4.13, et permettre l'acheminement du trafic de toutes les autres adresses 18 Exemple 3 de configuration  liste de contrôle d'accès est conçue pour bloquer le trafic d'un sous- réseau particulier, 172.16.4.0, et permettre l'acheminement de tout autre trafic 19 Les listes de contrôle d'accès étendues  les listes de contrôle d'accès étendues fournissent une plus grande gamme de contrôles que les listes d'accès standard  Exemple : vous pouvez utiliser une liste de contrôle d'accès étendue pour autoriser le trafic Web, mais refuser le trafic FTP ou Telnet en provenance de réseaux externes  Les listes de contrôle d'accès étendues vérifient les adresses d'origine et de destination d'un paquet.  Elles peuvent également vérifier des protocoles et des numéros de port particuliers, ainsi que d'autres paramètres 20 Les listes de contrôle d'accès étendues 21 Les listes de contrôle d'accès étendues  La forme complète de la commande access-list est : Router(config)# access-list numéro-liste-d'accès {permit | deny} protocol source [source-mask] destination [destination-mask] operator operand] [established]  La commande ip access-group lie une liste de contrôle d'accès étendue existante à une interface.  une seule liste de contrôle d'accès est permise par interface, par direction et par protocole. Le format de cette commande est le suivant : Router(config-if)# ip access-group numéro-liste-d'accès {in | out} 22 Les listes de contrôle d'accès étendues 23 Exemple 1 de configuration  un exemple de liste de contrôle d'accès étendue bloquant le trafic FTP 24 Exemple 2 de configuration  Empêche que le trafic Telnet (eq 23) dont l'adresse d'origine est 172.16.4.0. soit acheminé par l'interface E0. Tout le trafic transmis depuis un autre point vers une autre destination peut être acheminé par cette interface 25 Emplacement des listes de contrôle d'accès  La règle est de placer les listes de contrôle d'accès étendues le plus près possible de la source du trafic refusé  Étant donné que les listes de contrôle d'accès standard ne précisent pas les adresses de destination, vous devez les placer le plus près possible de la destination 26 Emplacement des listes de contrôle d'accès  Les listes de contrôle d'accès doivent être utilisées dans les routeurs pare-feu, lesquels sont souvent placés entre le réseau interne et un réseau externe, tel qu'Internet  Le routeur pare-feu fournit un point d'isolation qui protège l'ensemble de la structure du réseau interne  Vous pouvez également utiliser les listes de contrôle d'accès sur un routeur situé entre deux sections du réseau pour contrôler le trafic entrant ou sortant d'une section particulière du réseau interne  Pour tirer parti des avantages des listes de contrôle d'accès en matière de sécurité, vous devez au moins configurer des listes de contrôle d'accès sur les routeurs périphériques situés aux frontières du réseau uploads/Ingenierie_Lourd/ chapitre3-securiteaccesinternereseaux.pdf

Documents similaires

Chapitre 1 Conception hiérarchique du réseau Dr DOUGA Yassine USDB Informatique 0 0

IDR Dept SRC L’Isle d’Abeau 2008-2009 Exercice sur les adresses IP Echauffement 0 0

P R O C E S S N E T - I N F O . F R Blog de tutoriels, conseils et news en info 0 0

Nom: Mohammed Anouar AFANE Date de naissance : 02/01/1988 GSM : 0668.88.66.06 E 0 0

2.2 Les réseaux locaux virtuels Introduction aux VLAN Un VLAN (Virtual Local Ar 0 0

Mohamed K. Bencharif Décembre 2010 QC & NDT TRAINING CENTER CONTRÔLE QUALITÉ DE 0 0

Master IRS Ingénierie des Réseaux et des Systèmes UNIVERSITE VERSAILLES - SAINT 0 0

Hicham LACHKAR INGENIEUR D’ETAT EN INFORMATIQUE & TELECOMMUNICATIONS > Poste ac 0 0

Partiel RTEL 2007/2008 2 heures Seuls les documents manuscrits sont autorisés a 0 0

Configuration des listes d'accès IP Contenu Introduction Conditions préalables 0 0

• Détails
• Publié le Dec 21, 2021
• Catégorie Heavy Engineering/...
• Langue French
• Taille du fichier 0.4662MB