Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

El Hassan EL AMRI || Campus des Réseaux Informatiques et Télécommunications ACL

El Hassan EL AMRI || Campus des Réseaux Informatiques et Télécommunications ACL (Access Control List) Introduction Une liste de contrôle d'accès est un ensemble séquentiel d'instructions d'autorisation ou de refus qui s'appliquent aux adresses ou aux protocoles de couche supérieure. Les listes de contrôle d'accès représentent un outil puissant pour contrôler le trafic entrant ou sortant d'un réseau. Des listes de contrôle d'accès peuvent être configurées pour tous les protocoles réseau routés. I) Objectif des listes de contrôle d'accès Qu'est-ce qu'une liste de contrôle d'accès ? Une liste de contrôle d'accès (ou ACL) est une série de commandes IOS qui déterminent si un routeur achemine ou abandonne les paquets en fonction des informations contenues dans l'en-tête de paquet. Les listes de contrôle d'accès font partie des fonctionnalités les plus utilisées du logiciel Cisco IOS. Une fois configurées, les listes de contrôle d'accès assurent les tâches suivantes • Elles limitent le trafic réseau pour accroître les performances réseau. Ainsi, la charge réseau est nettement réduite et les performances réseau sont sensiblement améliorées. • Elles contrôlent le flux de trafic. Les listes de contrôle d'accès peuvent limiter l'arrivée des mises à jour de routage. • Elles fournissent un niveau de sécurité de base pour l'accès réseau. • Elles filtrent le trafic en fonction de son type. • Elles filtrent les hôtes pour autoriser ou refuser l'accès aux services sur le réseau. Filtrage des paquets Le filtrage des paquets, parfois appelé filtrage statique des paquets, contrôle l'accès à un réseau en analysant les paquets entrants et sortants et en les transmettant ou en rejetant selon des critères spécifiques, tels que l'adresse IP source, les adresses IP de destination et le protocole transporté dans le paquet. ACL (Access Control List) Page 1 El Hassan EL AMRI || Campus des Réseaux Informatiques et Télécommunications • Un routeur filtre les paquets lors de leur transmission ou de leur refus conformément aux règles de filtrage. • Un routeur de filtrage de paquets utilise des règles pour déterminer s'il doit autoriser ou refuser le trafic. Un routeur peut également effectuer le filtrage des paquets au niveau de la couche 4, la couche transport. Une liste de contrôle d'accès est un ensemble séquentiel d'instructions d'autorisation ou de refus, appelées entrées de contrôle d'accès (ACE). Les ACE sont couramment appelées des instructions de liste de contrôle d'accès. Des ACE peuvent être créés pour filtrer le trafic en fonction de critères tels que l'adresse source, l'adresse de destination, le protocole et les numéros de port. Exemple de filtrage des paquets Pour comprendre comment un routeur utilise le filtrage des paquets, imaginez qu'un gardien a été placé devant une porte verrouillée. Le gardien a reçu pour instruction de ne laisser passer que les personnes dont les noms figurent sur une liste. Il filtre le passage des personnes conformément à la liste des noms autorisés. Les listes de contrôle d'accès fonctionnent de la même façon et prennent des décisions en fonction de critères définis. Par exemple, une liste de contrôle d'accès peut être configurée pour « autoriser l'accès Web aux utilisateurs du réseau A, mais leur refuser l'accès à tous les autres services. Refuser l'accès HTTP aux utilisateurs du réseau B, mais leur autoriser tous les autres accès. » ACL (Access Control List) Page 2 El Hassan EL AMRI || Campus des Réseaux Informatiques et Télécommunications Fonctionnement des listes de contrôle d'accès Les listes de contrôle d'accès définissent des règles de contrôle pour les paquets arrivant par les interfaces d'entrée, passant par le routeur et atteignant leur destination par les interfaces de sortie. Les listes de contrôle d'accès sont configurées pour s'appliquer au trafic entrant ou sortant comme le montre la figure ci-dessous. II) Les Types des ACLs Il existe deux types de listes de contrôle d'accès IPv4 Cisco : les listes standard et les listes étendues. Remarque : les listes de contrôle d'accès IPv6 Cisco sont similaires aux listes de contrôle d'accès étendues Ipv4. Listes de contrôle d'accès standard Les listes de contrôle d'accès standard peuvent être utilisées pour autoriser ou refuser le trafic uniquement depuis des adresses IPv4 source. La destination du paquet et les ports concernés ne sont pas évalués Listes de contrôle d'accès étendues Les listes de contrôle d'accès étendues filtrent les paquets IPv4 en fonction de différents critères : •Type de protocole •Adresse IPv4 source •Adresse IPv4 de destination •Ports TCP ou UDP source •Ports TCP ou UDP de destination •Informations facultatives sur le type de protocole pour un contrôle plus précis ACL (Access Control List) Page 3 El Hassan EL AMRI || Campus des Réseaux Informatiques et Télécommunications Numérotation et attribution d'un nom aux listes de contrôle d'accès Les listes de contrôle d'accès standard et étendues et leur liste d'instructions peuvent être identifiées par un numéro ou par un nom. Directives concernant la création des listes de contrôle d'accès L'écriture des listes de contrôle d'accès peut être une tâche complexe. Pour chaque interface, plusieurs stratégies peuvent être nécessaires pour gérer le type de trafic autorisé à entrer dans cette interface ou en sortir. Pour retenir la règle générale d'application des listes de contrôle d'accès, il suffit de se souvenir des trois P. Vous pouvez configurer une liste de contrôle d'accès par protocole, par direction et par interface : •Une liste de contrôle d'accès par protocole : pour contrôler le flux du trafic sur une interface, définissez une liste de contrôle d'accès pour chaque protocole activé sur l'interface. •Une liste de contrôle d'accès par direction : les listes de contrôle d'accès contrôlent le trafic dans une seule direction à la fois sur une interface. Vous devez créer deux listes de contrôle d'accès ; la première pour contrôler le trafic entrant et la seconde pour contrôler le trafic sortant. •Une liste de contrôle d'accès par interface : les listes de contrôle d'accès contrôlent le trafic dans une seule interface, par exemple, Gigabit Ethernet 0/0. ACL (Access Control List) Page 4 El Hassan EL AMRI || Campus des Réseaux Informatiques et Télécommunications Positionnement des listes de contrôle d'accès Le positionnement approprié d'une liste de contrôle d'accès peut optimiser l'efficacité du réseau. Une liste de contrôle d'accès peut être placée de sorte à réduire le trafic superflu. Chaque liste de contrôle d'accès doit être placée là où elle aura le plus grand impact sur les performances. Listes de contrôle d'accès étendues : placez les listes de contrôle d'accès étendues le plus près possible de la source du trafic à filtrer. Listes de contrôle d'accès standard : étant donné que les listes de contrôle d'accès standard ne précisent pas les adresses de destination, placez-les le plus près possible de la destination. III) ACL Standard Configuration d'une liste de contrôle d'accès standard Pour utiliser des listes de contrôle d'accès standard numérotées sur un routeur Cisco, vous devez d'abord créer la liste de contrôle d'accès standard, puis l'activer sur une interface. • La commande de configuration globale access-list définit une liste de contrôle d'accès standard associée à un numéro compris entre 1 et 99. • La version 12.0.1 du logiciel Cisco IOS a élargi cette plage de numéros et permet d'attribuer les numéros 1 300 à 1 999 aux listes de contrôle d'accès standard. • La syntaxe complète de la commande des listes de contrôle d'accès standard est la suivante : Router(config)# access-listaccess-list-number { deny |permit | remark } source [source-wildcard ] [ log ] Pour mieux comprendre l’intérêt de chaque commande de l'ACL standard, le tableau ci-dessous donne une explication suffisante pour comprendre chaque partie de la syntaxe d'ACL standard. ACL (Access Control List) Page 5 El Hassan EL AMRI || Campus des Réseaux Informatiques et Télécommunications Exemple 1 ACL STANDARD : Exemple 2 ACL STANDARD : Application de listes de contrôle d'accès standard aux interfaces Une fois qu'une liste de contrôle d'accès standard est configurée, elle est associée à une interface à l'aide de la commande ip access-group en mode de configuration d'interface: Router(config-if)# ip access-group { access-list-number |access-list-name } { in | out } ACL (Access Control List) Page 6 El Hassan EL AMRI || Campus des Réseaux Informatiques et Télécommunications Pour supprimer une liste de contrôle d'accès IP d'une interface, entrez d'abord la commande no ip access-group sur l'interface, puis la commande globale no access-list pour supprimer l'ensemble de la liste. Création de listes de contrôle d'accès standard nommées Si vous attribuez un nom à une liste de contrôle d'accès, il vous sera plus facile d'en comprendre la fonction. Par exemple, vous pouvez nommer NO_FTP une liste de contrôle d'accès refusant le trafic FTP. Étape 1. À partir du mode de configuration globale, utilisez la commande ip access-list pour créer une liste de contrôle d'accès nommée. Étape 2. En mode de configuration des listes de contrôle d'accès nommées, utilisez les instructions permit (autoriser) ou deny (refuser) pour spécifier une ou plusieurs conditions déterminant si un paquet est transféré ou abandonné. Étape 3. Appliquez la liste de contrôle d'accès à une interface à l'aide de la commande ip access- group. Indiquez si la liste de contrôle d'accès doit être appliquée aux uploads/Management/ acl-ipv4-amp-amp-ipv6.pdf