Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Techniques des Réseaux Informatiques www.tri.on.ma 1 LISTES DE CONTRÔLE D’ACCÈS

Techniques des Réseaux Informatiques www.tri.on.ma 1 LISTES DE CONTRÔLE D’ACCÈS (ACL) 1 Notions de base sur la liste de contrôle d’accès (ACL) 1-1 Définition des listes de contrôle d’accès Les listes de contrôle d’accès sont des listes de conditions qui sont appliquées au trafic circulant via une interface de routeur. Ces listes indiquent au routeur les types de paquets à accepter ou à rejeter. L’acceptation et le refus peuvent être basés sur des conditions précises. Les ACL permettent de gérer le trafic et de sécuriser l’accès d’un réseau en entrée comme en sortie. Des listes de contrôle d’accès peuvent être créées pour tous les protocoles routés, tels que les protocoles IP (Internet Protocol) et IPX (Internetwork Packet Exchange). Des listes de contrôle d’accès peuvent également être configurées au niveau du routeur en vue de contrôler l’accès à un réseau ou à un sous-réseau. Les listes d’accès filtrent le trafic réseau en commandant aux interfaces d’un routeur d’acheminer ou de bloquer des paquets routés Techniques des Réseaux Informatiques www.tri.on.ma 2 Le routeur examine chaque paquet afin de déterminer s’il doit l’acheminer ou le rejeter en fonction des conditions précisées dans la liste de contrôle d’accès. Certaines conditions dans une ACL sont des adresses source et de destination, des protocoles et des numéros de port de couche supérieure. Les listes de contrôle d’accès doivent être définies en fonction d’un protocole, d’une direction ou d’une interface Pour contrôler le flux du trafic sur une interface, une ACL doit être définie pour chaque protocole activé sur l’interface. Les ACL contrôlent le trafic dans une seule direction à la fois sur une interface. Une ACL séparée doit être créée pour chaque direction : une pour le trafic entrant et une pour le trafic sortant. Enfin, chaque interface peut avoir plusieurs protocoles et directions définis. Si le routeur a deux interfaces configurées pour IP, AppleTalk et IPX, 12 listes d’accès distinctes sont nécessaires : une liste pour chaque protocole, fois deux pour la direction (entrée et sortie), fois deux pour le nombre d'interfaces. Voici les principales raisons pour lesquelles il est nécessaire de créer des listes de contrôle d’accès : • Limiter le trafic réseau et accroître les performances. En limitant le trafic vidéo, par exemple, les listes de contrôle d’accès permettent de réduire considérablement la charge réseau et donc d’augmenter les performances. Techniques des Réseaux Informatiques www.tri.on.ma 3 • Contrôler le flux de trafic. Les ACL peuvent limiter l’arrivée des mises à jour de routage. Si aucune mise à jour n’est requise en raison des conditions du réseau, la bande passante est préservée. • Fournir un niveau de sécurité d’accès réseau de base. Les listes de contrôle d’accès permettent à un hôte d’accéder à une section du réseau tout en empêchant un autre hôte d’avoir accès à la même section. Par exemple, l’hôte A peut accéder au réseau réservé aux ressources humaines, tandis que l’hôte B ne peut pas y accéder. • Déterminer le type de trafic qui sera acheminé ou bloqué au niveau des interfaces de routeur. Il est possible d’autoriser l’acheminement des messages électroniques et de bloquer tout le trafic via Telnet. • Autoriser un administrateur à contrôler les zones auxquelles un client peut accéder sur un réseau. • Filtrer certains hôtes afin de leur accorder ou de leur refuser l’accès à une section de réseau. Accorder ou refuser aux utilisateurs la permission d’accéder à certains types de fichiers, tels que FTP ou HTTP. Lorsqu’aucune liste de contrôle d’accès n’est configurée sur le routeur, tous les paquets acheminés par le routeur peuvent accéder à toutes les sections du réseau. 1-2 Fonctionnement des listes de contrôle d’accès Une liste de contrôle d’accès est un groupe d’instructions qui définissent si les paquets sont acceptés ou rejetés au niveau des interfaces d’entrée et de sortie Pour prendre ces décisions, les paquets sont comparés avec une instruction de condition d’une liste d’accès, puis acceptés ou rejetés selon l’action définie dans l’instruction. L’ordre des instructions ACL est important. La plate-forme logicielle Cisco IOS teste le paquet par rapport à chaque instruction de condition en partant du début de la liste jusqu’à la fin. Lorsqu’une condition est satisfaite dans la liste, le paquet est accepté ou rejeté et les autres instructions ne sont pas vérifiées. Si une instruction de condition autorisant l’accès à tout le trafic est située en haut de la liste, aucune instruction ajoutée en dessous ne sera vérifiée. Pour ajouter des instructions de condition supplémentaires dans une liste d’accès, vous devez supprimer toute la liste et en recréer une avec les nouvelles instructions. Techniques des Réseaux Informatiques www.tri.on.ma 4 Pour faciliter le processus de révision d’une liste de contrôle d’accès, il est préférable d’utiliser un éditeur de texte comme le Bloc-notes et de coller la liste dans la configuration du routeur. Le processus du routeur débute de la même façon, et ce, que des listes de contrôle d’accès soient utilisées ou non Au moment où une trame entre dans l’interface, le routeur vérifie si l’adresse de couche 2 correspond ou s’il s’agit d’une trame de broadcast. Si l’adresse de la trame est acceptée, les informations de trame sont éliminées et le routeur recherche une liste de contrôle d’accès sur l’interface d’entrée. Le cas échéant, le paquet est vérifié pour déceler des correspondances avec les instructions de la liste. Si le paquet correspond à une instruction, il est soit accepté soit refusé. Si le paquet est accepté dans l’interface, il est ensuite comparé aux enregistrements de la table de routage afin de déterminer l’interface de destination, et transmis à cette interface. Ensuite, le routeur vérifie si l’interface de destination possède une liste de contrôle d’accès. Le cas échéant, le paquet est à présent comparé aux instructions de cette liste et si une correspondance est trouvée, il est soit accepté soit rejeté. En l’absence de liste de contrôle d’accès ou si le paquet est accepté, il est encapsulé dans le nouveau protocole de couche 2 et acheminé par l’interface jusqu’à l’unité suivante. En résumé, les instructions d’une liste de contrôle d’accès fonctionnent dans l’ordre séquentiel logique. Si une condition est satisfaite, le paquet est autorisé ou refusé et les autres instructions ne sont pas vérifiées. Si aucune des instructions ne correspond au paquet, une instruction implicite deny any est placée à la fin de la liste par défaut. L’instruction invisible deny any sur la dernière ligne d’une ACL interdit l’accès de tout paquet qui ne correspond pas aux instructions de la liste de contrôle d’accès. Lorsque vous Techniques des Réseaux Informatiques www.tri.on.ma 5 créez une ACL pour la première fois, il est recommandé d’ajouter l’instruction deny à la fin de la liste pour renforcer la présence dynamique de l’interdiction implicite 1-3 Création de listes de contrôle d’accès Les ACL sont créées en mode de configuration globale. Il existe différents types de listes de contrôle d’accès : standard, étendues, IPX et AppleTalk. Au moment de configurer les listes de contrôle d’accès d’un routeur, vous devez identifier chaque liste en lui attribuant un numéro unique. Ce numéro identifie le type de liste d’accès créé et doit être compris dans la plage de numéros valide pour ce type Après avoir accédé au mode de commande approprié et décidé d’un numéro de type de liste, l’utilisateur saisit les instructions de la liste d’accès à l’aide de la commande access-list, suivi des paramètres appropriés La seconde partie du processus consiste à les assigner à l’interface qui convient. Cette première étape est la première d’un processus qui en compte deux. La seconde partie du processus consiste à assigner l’ACL à l’interface qui convient. Techniques des Réseaux Informatiques www.tri.on.ma 6 Sous TCP/IP, les listes de contrôle d’accès sont affectées à une ou à plusieurs interfaces et peuvent filtrer le trafic entrant ou sortant à l’aide de la commande ip access-group disponible à partir du mode de configuration d’interface Lorsque vous affectez une ACL à une interface, vous devez spécifier la direction du filtre (entrée ou sortie). La direction du filtre peut être définie de manière à vérifier les paquets qui sont reçus ou envoyés par une interface. Pour déterminer si une liste de contrôle d’accès concerne le trafic entrant ou sortant, l’administrateur réseau doit regarder les interfaces comme s’il était positionné à l’intérieur du routeur. Il s’agit d’un point très important. Les paquets reçus par une interface sont filtrés par une liste de contrôle d’accès pour trafic entrant tandis que les paquets envoyés par une interface sont filtrés par une liste de contrôle d’accès pour trafic sortant. Après avoir créé une liste d’accès numérotée, vous devez l’affecter à une interface. Une liste de contrôle d’accès contenant des instructions numérotées ne peut pas être modifiée. Elle doit être supprimée à l’aide des instructions de l’ACL en utilisant la commande no access-listnuméro-de-liste pour être ensuite recréée Les règles de base suivantes doivent être respectées lors de la création et de l’application des listes d’accès : • Une liste d’accès par direction et par protocole. • Les listes d’accès standard doivent être appliquées le plus près possible de uploads/Management/ listes-controle-x27-acces-de-d-acl.pdf