Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Module 4: Concepts ACL Supports de l'instructeur Réseau, sécurité et automatisa

Module 4: Concepts ACL Supports de l'instructeur Réseau, sécurité et automatisation d'entreprise V7.0 (ENSA) 2 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Objectifs de ce module Titre du module: Concepts ACL Objectif du module: Expliquer comment les listes de contrôle d'accès sont utilisées dans le cadre d'une politique de sécurité réseau. Titre du rubrique Objectif du rubrique Objectif des listes de contrôle d'accès Expliquer comment les listes de contrôle d'accès filtrent le trafic Masques génériques dans les listes de contrôle d'accès Expliquer comment les listes de contrôle d'accès utilisent des masques génériques. Création de listes de contrôle d'accès Expliquer comment créer des listes de contrôle d'accès. Types de listes de contrôle d'accès IPv4 Comparer les listes de contrôle d'accès IPv4 standard et étendues. 3 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 4.1 Objectif des listes de contrôle d'accès (ACL) 4 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Objectif des listes de contrôle d'accès Qu'est-ce qu'une liste de contrôle d'accès? Une liste de contrôle d'accès (ou ACL) est une série de commandes IOS qui déterminent si un routeur achemine ou abandonne les paquets en fonction des informations contenues dans l'en-tête de paquet. Par défaut, aucun ACL n'est configuré pour un routeur. Toutefois, lorsqu'une liste de contrôle d'accès est appliquée à une interface, le routeur évalue en outre tous les paquets réseau lorsqu'ils traversent l'interface pour déterminer s'ils peuvent être acheminés. • Une ACL utilise une liste séquentielle de déclarations d'autorisation ou de refus, connues sous le nom d'entrées de contrôle d'accès (ACE). Remarque: Les ACE sont couramment appelées des instructions de liste de contrôle d'accès. • Lorsque le trafic réseau traverse une interface configurée avec une liste de contrôle d'accès, le routeur compare les informations du paquet à chaque ACE, dans l'ordre séquentiel, afin de déterminer si le paquet correspond à l'une des entrées ACE. C’est ce que l’on appelle le filtrage de paquet. 5 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Objectif des listes de contrôle d'accès Qu'est-ce qu'une liste de contrôle d'accès? (Suite) Plusieurs tâches effectuées par les routeurs nécessitent l'utilisation d'ACL pour identifier le trafic: • Limiter le trafic du réseau pour en augmenter les performances • Elles contrôlent le flux de trafic. • Elles fournissent un niveau de sécurité de base pour l'accès réseau. • Elles filtrent le trafic en fonction de son type. • Contrôler les hôtes pour autoriser ou refuser l'accès aux services de réseau • Donner la priorité à certaines classes de trafic réseau 6 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Objectif des listes de contrôle d'accès Filtrage des paquets • Le filtrage de paquets contrôle l'accès à un réseau en analysant les paquets entrants et/ou sortants et en les transmettant ou en les abandonnant en fonction de critères donnés. • Le filtrage des paquets peut être effectué au niveau de la couche 3 ou de la couche 4. • Les routeurs Cisco prennent en charge deux types de ACLs: • ACL standard - Les ACL filtrent uniquement au niveau de la couche 3 à l'aide de l'adresse IPv4 source uniquement. • ACL étendues - Filtre ACL à la couche 3 à l'aide de l'adresse IPv4 source et/ou destination. Ils peuvent également filtrer au niveau de la couche 4 en utilisant les ports TCP et UDP, ainsi que des informations facultatives sur le type de protocole pour un contrôle plus 7 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Objectif des listes de contrôle d'accès Le fonctionnement des listes de contrôle d'accès • Les listes de contrôle d'accès définissent des règles de contrôle pour les paquets arrivant par les interfaces d'entrée, passant par le routeur et atteignant leur destination par les interfaces de sortie. • Les listes de contrôle d'accès peuvent être configurées pour s'appliquer au trafic entrant et au trafic sortant: Remarque: Les ACL ne gèrent pas les paquets provenant du routeur lui-même. • Un ACL entrant filtre les paquets avant qu'ils ne soient acheminés vers l'interface sortante. Une liste de contrôle d’accès entrante est efficace car elle réduit la charge des recherches de routage en cas d’abandon du paquet. • Les listes de contrôle d'accès sortantes filtrent les paquets après qu'ils ont été routés, et ce, quelle que soit l'interface de sortie. 8 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Objectif des listes de contrôle d'accès Le fonctionnement des listes de contrôle d'accès (Suite) Lorsqu'une ACL est appliquée à une interface, elle suit une procédure d'exploitation spécifique. Voici les étapes opérationnelles utilisées lorsque le trafic est entré dans une interface de routeur avec une ACL IPv4 standard entrante configurée: 1. Le routeur extrait l'adresse IPv4 source de l'en-tête du paquet. 2. Le routeur commence en haut de l'ACL et compare l'adresse IPv4 source à chaque ACE dans un ordre séquentiel. 3. Lorsqu'une correspondance est établie, le routeur exécute l'instruction, soit en autorisant soit en refusant le paquet, et les ACE restants dans l'ACL, le cas échéant, ne sont pas analysés. 4. Si l'adresse IPv4 source ne correspond à aucun ACE de l'ACL, le paquet est ignoré car un ACE de refus implicite est automatiquement appliqué à toutes les ACLs. La dernière instruction d'une liste de contrôle d'accès est toujours une instruction deny implicite bloquant tout le trafic. Il est caché et non affiché dans la configuration. Remarque: Une liste ACL doit avoir au moins une déclaration d'autorisation sinon tout le trafic sera refusé en raison de l'instruction ACE de refus implicite. 9 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 4.2 - Masques génériques dans les listes de contrôle d'accès 10 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Masques génériques dans les listes de contrôle d'accès Présentation de masques génériques Un masque générique est similaire à un masque de sous-réseau en ce sens qu'il utilise le processus AnDing pour identifier les bits d'une adresse IPv4 à correspondre. En effet, contrairement à un masque de sous-réseau, où le chiffre binaire 1 équivaut à une correspondance et le chiffre binaire 0 à une non-correspondance, les masques génériques procèdent de façon inverse. • Un ACE IPv4 utilise un masque générique 32 bits pour déterminer quels bits de l'adresse à examiner pour rechercher une correspondance. • Les masques génériques respectent les règles suivantes pour faire correspondre les chiffres binaires 1 et 0: • Bit 0 de masque générique - permet de vérifier la valeur du bit correspondant dans l'adresse. • Masque générique bit 1 - Ignorer la valeur du bit correspondant dans l'adresse 11 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Masques génériques dans les listes de contrôle d'accès Présentation de masques génériques (Suite) Masque générique Dernier octet (en binaire) Signification (0 - match, 1 - ignorer) 0.0.0.0 00000000 Correspond à tous les octets. 0.0.0.63 00111111 •Faites correspondre les trois premiers octets •Correspond aux deux bits les plus à gauche du dernier octet •Les 6 derniers bits d'adresse sont ignorés 0.0.0.15 00001111 •Faites correspondre les trois premiers octets •Correspond aux quatre bits les plus à gauche du dernier octet •Ignorer les 4 derniers bits du dernier octet 0.0.0.248 11111100 •Faites correspondre les trois premiers octets •Ignorer les six bits les plus à gauche du dernier octet •Faites correspondre les deux derniers bits 0.0.0.255 11111111 •Faites correspondre les trois premiers octet •Ignorer le dernier octet 12 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Masques génériques dans les listes de contrôle d'accès Types de masques génériques Caractère générique pour correspondre à un hôte: • Supposons que l'ACL 10 ait besoin d'un ACE qui autorise uniquement l'hôte avec l'adresse IPv4 192.168.1.1. Rappelez-vous que "0" équivaut à une correspondance et "1" à une ignorance. Pour correspondre à une adresse IPv4 d'hôte spécifique, un masque générique composé de tous les zéros (c.-à-d. 0.0.0.0) est requis. • Lorsque l'ACE est traité, le masque générique n'autorisera que l'adresse 192.168.1.1. L'ACE résultant dans l'ACL 10 serait access-list 10 permit 192.168.1.1 0.0.0.0. Décimal Binaire Adresse IPv4 192.168.1.1 11000000.10101000.00000001.00000001 Masque générique 0.0.0.0 00000000.00000000.00000000.00000000 Adresse IPv4 autorisée 192.168.1.1 11000000.10101000.00000001.00000001 13 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Masques génériques dans les listes de contrôle d'accès Types de masques génériques (Suite) Masques génériques correspondant à des sous-réseaux IPv4 • ACL 10 a besoin d'un ACE qui autorise tous les hôtes du réseau 192.168.1.0/24. Le masque générique 0.0.0.255 stipule que les trois premiers octets doivent correspondre exactement, mais pas le quatrième octet. • Lorsqu'il est traité, le masque générique 0.0.0.255 autorise tous les hôtes du réseau 192.168.1.0/24. L'ACE résultant dans l'ACL 10 serait access-list 10 permit 192.168.1.0 0.0.0.255. Décimal Binaire Adresse IPv4 192.168.1.1 11000000.10101000.00000001.00000001 Masque générique 0.0.0.255 00000000.00000000.00000000.11111111 Adresse IPv4 autorisée 192.168.1.0/24 11000000.10101000.00000001.00000000 14 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Masques uploads/Management/ ensa-module-4-concepts-acl.pdf