Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

L3 Systèmes, Réseaux et Télécoms Année 2021 Année 2021 Dr Diery NGOM Enseignant

L3 Systèmes, Réseaux et Télécoms Année 2021 Année 2021 Dr Diery NGOM Enseignant-chercheur en Informatique Enseignant-chercheur en Informatique Département TIC-UFR SATIC-UADB Contact : diery.ngom@uadb.edu.sn 1 Cours de Routage & Commutation-L3 SRT/UADB- Année 2021-Dr Diery NGOM 08/06/2021 Chapitre 4 : Les ACL (Access List Chapitre 4 : Les ACL (Access List Control) Control) 2 Cours de Routage & Commutation-L3 SRT/UADB-Année 2021-Dr Diery NGOM 08/06/2021 Plan Plan Définition Définition Vérification des paquets Création des ACL Les différents types d’ACL Assignations des ACL aux interfaces Numéros d’ACL et masque générique Numéros d’ACL et masque générique ACL standard ACL étendue ACL étendue ACL nommée Vérification des ACL Vérification des ACL Cours de Routage & Commutation-L3 SRT/UADB- Année 2021-Dr Diery NGOM 3 08/06/2021 Les ACL permettent à un administrateur de gérer le trafic et d'analyser des paquets particuliers. Les ACL sont associées à une interface du routeur, et tout trafic acheminé par cette interface est vérifié afin tout trafic acheminé par cette interface est vérifié afin d'y déceler certaines conditions faisant partie de la liste de contrôle d'accès. Les ACL peuvent être créés pour tous les protocoles routés. Il faut donc définir une liste de contrôle d'accès routés. Il faut donc définir une liste de contrôle d'accès dans le cas de chaque protocole activé dans une interface pour contrôler le flux de trafic acheminé par cette interface. cette interface. Cours de Routage & Commutation-L3 SRT/UADB- Année 2021-Dr Diery NGOM 4 08/06/2021 Vérification des paquets Lorsque le routeur détermine s'il doit acheminer ou bloquer un paquet, la plate-forme logicielle Cisco IOS examine le paquet en fonction de chaque instruction examine le paquet en fonction de chaque instruction de condition dans l'ordre dans lequel les instructions ont été créées. ont été créées. Si le paquet arrivant à l’interface du routeur satisfait à Si le paquet arrivant à l’interface du routeur satisfait à une condition, il est autorisé ou refusé (suivant l’instruction) et les autres instructions ne sont pas vérifiés. vérifiés. Cours de Routage & Commutation-L3 SRT/UADB- Année 2021-Dr Diery NGOM 5 08/06/2021 Remarque Si un paquet ne correspond à aucune instruction dans l’ACL, le paquet est rejeté. Ceci est le résultat de l’ACL, le paquet est rejeté. Ceci est le résultat de l’instruction implicite deny any à la fin de chaque ACL. Cours de Routage & Commutation-L3 SRT/UADB- Année 2021-Dr Diery NGOM 6 08/06/2021 Création des ACL Création des ACL Pour créer une ACL, il faut : Pour créer une ACL, il faut : Créer l’ACL en mode de configuration globale; Créer l’ACL en mode de configuration globale; Assigner cette ACL à une interface du routeur. Structure d’une ACL : Router(config)#access-list <numéro-ACL> {permit |deny} <instructions> |deny} <instructions> Cours de Routage & Commutation-L3 SRT/UADB- Année 2021-Dr Diery NGOM 7 08/06/2021 Les différents types d’ACL Les différents types d’ACL Il existe 3 types de liste de contrôle d’accès : les ACL Il existe 3 types de liste de contrôle d’accès : les ACL standards, les ACL étendues et les ACL nommées. Les ACL standards utilisent des spécifications Les ACL standards utilisent des spécifications d’adresses simplifiées et autorisent ou refusent un ensemble de protocole. Les ACL étendues utilisent des spécifications d’adresses Les ACL étendues utilisent des spécifications d’adresses plus complexes et autorisent ou refusent des protocoles précis. précis. Les ACL nommées peuvent être soit standards, soit étendues ; elles ont pour but de faciliter la étendues ; elles ont pour but de faciliter la compréhension et de connaître la finalité de l’ACL. Cours de Routage & Commutation-L3 SRT/UADB- Année 2021-Dr Diery NGOM 8 08/06/2021 Assignations des ACL aux interfaces Les ACL sont affectées à une ou plusieurs interfaces et peuvent filtrer le trafic entrant ou sortant, selon la configuration. configuration. Une seule ACL est permise par port, par protocole et par Une seule ACL est permise par port, par protocole et par direction, c’est-à-dire qu’on ne peut pas par exemple définir 2 ACL sur l’interface E0 pour le trafic IP sortant. définir 2 ACL sur l’interface E0 pour le trafic IP sortant. Par contre, on peut définir une ACL pour le trafic entrant et une autre pour le trafic sortant. Cours de Routage & Commutation-L3 SRT/UADB- Année 2021-Dr Diery NGOM 9 08/06/2021 Numéro d’ACL Au moment de configurer les ACL, il faut identifier chaque liste de protocole en lui attribuant un numéro unique. unique. Le numéro choisi pour identifier une ACL doit se Le numéro choisi pour identifier une ACL doit se trouver à l'intérieur d'une plage précise, valable pour le protocole. Cours de Routage & Commutation-L3 SRT/UADB- Année 2021-Dr Diery NGOM 10 08/06/2021 Protocoles et numéros d’ACL Plage Protocole 1-99 IP standard 100-199 IP étendus Cours de Routage & Commutation-L3 SRT/UADB- Année 2021-Dr Diery NGOM 11 08/06/2021 Par exemple, si l’on affecte le numéro 30 à une ACL, Par exemple, si l’on affecte le numéro 30 à une ACL, cela veut dire que cette ACL sera de type standard et concernera le trafic IP. Cours de Routage & Commutation-L3 SRT/UADB- Année 2021-Dr Diery NGOM 12 08/06/2021 Masque générique Un masque générique est associé à une adresse IP. Les chiffres 1 et 0 sont utilisés pour indiquer la façon de traiter les bits de l'adresse IP correspondante. Le 0 pour vérifier et le 1 pour ne pas vérifier. Cours de Routage & Commutation-L3 SRT/UADB- Année 2021-Dr Diery NGOM 13 08/06/2021 Exemple de détermination de masque Exemple de détermination de masque générique On veut vérifier (autoriser ou refuser) les sous réseaux 172.20.16.0 à 172.20.31.0. Les deux premiers octets de l’adresse IP sont identiques 16 s’écrit binaire : 0001 0000 et 31 en binaire: 0001 1111. 16 s’écrit binaire : 0001 0000 et 31 en binaire: 0001 1111. Les bits commencent à être différents à partir du 4ème Les bits commencent à être différents à partir du 4ème bit de ce 3ème octet. A partir de là on met tous les bits à 1 à Le masque générique est alors 0.0.15.255 1 à Le masque générique est alors 0.0.15.255 Cours de Routage & Commutation-L3 SRT/UADB- Année 2021-Dr Diery NGOM 14 08/06/2021 Création d’une ACL standard Voici la structure d’une ACL standard : Router(config)#access-list <numéro-ACL> {deny | permit} <adresse -d’origine> <masque générique> permit} <adresse -d’origine> <masque générique> Cours de Routage & Commutation-L3 SRT/UADB- Année 2021-Dr Diery NGOM 15 08/06/2021 Exemple de création d’une ACL standard Cours de Routage & Commutation-L3 SRT/UADB- Année 2021-Dr Diery NGOM 16 08/06/2021 On veut interdire au réseau «LAN invité » d’accéder au réseau «LAN 1». réseau «LAN 1». 1ère étape : création de l’ACL: 1ère étape : création de l’ACL: RouteurA(config)#access-list 1 deny 192.168.1.0 0.0.0.255 RouteurA(config)#access-list 1 deny 192.168.1.0 0.0.0.255 Routeur A(config)#access-list 1 permit any Cours de Routage & Commutation-L3 SRT/UADB- Année 2021-Dr Diery NGOM 17 08/06/2021 Commentaire Commentaire Le numéro de l’ACL est 1 : il s’agit donc d’une ACL ip standard. standard. L’adresse d’origine est 192.168.1.0 et le masque générique est 0.0.0.255. est 0.0.0.255. On a donc bien interdit (deny) tous les postes du réseau 192.168.1.0/24. 192.168.1.0/24. La deuxième ligne permet d’autoriser (permit) tout le reste (any), car n’oublions pas qu’il y a toujours une commande implicite «deny any» à la fin des ACL. commande implicite «deny any» à la fin des ACL. Cours de Routage & Commutation-L3 SRT/UADB- Année 2021-Dr Diery NGOM 18 08/06/2021 2nd étape : affectation de cette ACL à une interface du routeur : du routeur : Routeur A(config)#interface E0 Routeur A(config)#interface E0 Routeur A(config-if)#ip access-group 1 out Cours de Routage & Commutation-L3 SRT/UADB- Année 2021-Dr Diery NGOM 19 08/06/2021 Commentaire Commentaire Le routeur qui a été choisi est Routeur A. En effet, avec les ACL standards, comme on ne peut définir que l’adresse ACL standards, comme on ne peut définir que l’adresse d’origine, alors on place ces ACL au plus près de la destination. Si on avait mis cette ACL sur le routeur B, on destination. Si on avait mis cette ACL sur le routeur B, on aurait interdit l’accès à partir de ce routeur, alors qu’on ne veut interdire que l’accès au réseau «LAN 1». veut interdire que l’accès au réseau «LAN 1». L’ACL est définie en «out» : on interdit donc le trafic provenant du réseau « LAN invité » à sortir sur l’interface E0 du réseau «LAN 1». E0 du réseau «LAN 1». Si on veut interdire du trafic à rentrer sur une interface, on remplace «out» par «in». on remplace «out» par «in». Cours de Routage & Commutation-L3 SRT/UADB- Année 2021-Dr Diery NGOM 20 08/06/2021 Remarque Si on ne définit ni «in» ni «out», la valeur «out» est prise par défaut. Cours de Routage & Commutation-L3 SRT/UADB- Année 2021-Dr Diery NGOM 21 08/06/2021 Création d’une ACL étendue Voici la structure d’une ACL étendue : Router(config)# access-list <numéro-ACL> {permit | Router(config)# access-list <numéro-ACL> {permit | deny} <protocol> <adresse-d’origine> <masque générique> <adresse-destination > <masque générique> <adresse-destination > <masque générique> <operateur-operande> [established] [established] Cours de Routage & Commutation-L3 SRT/UADB- Année 2021-Dr Diery NGOM 22 08/06/2021 Commentaire Commentaire Operateur-operande : lt, gt, eq, neq suivi d’un Operateur-operande : lt, gt, eq, neq suivi d’un numéro de port. Lt : pour lower uploads/Ingenierie_Lourd/ les-acl.pdf