Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Sommaire 1) Théorie 1) ACL standard 1) ACL étendue 1) ACL nommée 1) Mise en pla

Sommaire 1) Théorie 1) ACL standard 1) ACL étendue 1) ACL nommée 1) Mise en place et vérification des ACLs Théorie  Principe fondamental  Masque générique Principe fondamental  ACL*  Liste séquentielle d’instructions  Filtrage des paquets  Filtrage  Autoriser ou interdire  En entrée ou en sortie * Access Control List Principe fondamental (suite)  Une ACL au maximum par  Protocole  Interface  Direction Parcours des instructions Correspond à la règle ? Autoriser ou refuser ? D’autres règles explicites existes ? OUI NON OUI NON Passer à la règle suivante Poubelle Paquet Transmission à la file d’attente Autoriser Refuser Critères spécifiables dans une ACL  Adresses sources  Adresses de destination  Protocoles utilisés (toute couche)  Numéros de ports (couche 4) Types d’ACLs  ACL Numérotée  Standard  Étendue  ACL nommée  Standard  Étendue  Identifiable grâce au numéro ou au nom associé Avantage et inconvénients des ACLs  Avantage  Fournir une base de sécurité réseau  Inconvénients  Traitement CPU supplémentaire  Latence réseau augmentée Configuration des ACLs  2 étapes  Création de l’ACL  Application de l’ACL sur une interface réseau Précautions à prendre  Instructions toujours parcourues de la 1ère à la dernière, jusqu’à correspondance  Si aucune correspondance  Dernière instruction implicite utilisée (deny all)  Si une ACL est appliquée mais non configurée alors  1 Seule instruction = Instruction implicite (deny all)  Tout trafic interdit Précautions à prendre (suite)  Lors de la creation d’1 ACL  Procéder du plus restrictif au plus générique  Si 1 ACL IP est configurée pour interdir un paquet alors  Elle envoie un message ICMP “Host Unreachable”  Si 1 ACL est appliquée pour le trafic sortant alors  Elle n’affecte pas le trafic provenant du routeur local Masque générique  Utilisation de  Préfixes réseaux  Masques génériques (Wildcard Mask)  Intérêt  Identifier les plages d’addresses à autoriser ou à interdire  32 bits  Notation décimale pointée  Signification binaire  "0" = Doit correspondre  "1" = Peut varier Masque générique (suite)  Par rapport à un masque de sous-réseau  Inversion binaire  En notation décimale pointée = Complément à 255 du masque de sous-réseau correspondant Masque générique Masque de sous-réseau 1111 1111.1111 1111.1110 000.0000 0000 0000 0000.0000 0000.0001 111.1111 1111 255 255 255 255 224 255 255 . . . . . . . . . 0 0 255 31 0 - = (Masque de sous-réseau) (Masque générique) Écritures spécifiques  Pour 2 masques génériques précis  0.0.0.0 = 1 seule adresse  {IP} {0.0.0.0} = host {IP}  255.255.255.255 = Toutes les adresses  {IP} {255.255.255.255} = any 1) ACL standard  Permet  D’interdire ou d’autoriser les adresses réseaux  De filtrer les informations dans les MAJ de routage  Peut être spécifié  Les adresses sources Création d’une ACL standard  access-list {numéro} {permit | deny} {préfixe} [masque générique] [log]  access-list {numéro} {remark} {commentaire}  Mode de configuration globale Lab_A(config)#access-list 1 remark test d’ACL Lab_A(config)#access-list 1 permit host 10.0.0.1 Lab_A(config)#access-list 1 deny 10.0.0.0 0.0.255.255 Lab_A(config)#access-list 1 permit any Exemple Création d’une ACL standard (suite)  Ordre des instructions = Ordre des commandes  Les nouvelles instructions ajoutées  Toujours à la fin  Impossible de  Supprimer/modifier une instruction en particulier  Pour faire une modification  Copier/coller dans un éditeur de texte  Effectuer les modifications voulues  Supprimer l’ACL du routeur (no access-list « number »)  Insérer les nouvelles instructions dans le routeur 2) ACL étendue  Permet  D’interdire ou d’autoriser un type de trafic particulier  De filtrer plus précisément qu’avec une ACL standard  Peut être spécifiée  Adresses sources  Adresses de destination  Protocoles  Numéro de port Création d’une ACL étendue  access-list {numéro} {permit | deny} {protocole} {préfixe source} {masque source} [{opérateur} {opérande}] {préfixe destination} {masque destination} [{opérateur} {opérande}] [icmp-type] [log] [established]  access-list {numéro} {remark} {commentaire} Création d’une ACL étendue (suite)  Protocole  Nom (IP, TCP, UDP, etc.) ou numéro (de 0 à 255) de protocole  icmp-type  Nom ou numéro de message ICMP à filtrer  Established  Uniquement avec TCP  Correspond aux sessions TCP déjà établies Création d’une ACL étendue – Exemple Lab_A(config)#access-list 101 remark test d’ACL étendue Lab_A(config)#access-list 101 permit ip host 10.0.0.1 any Lab_A(config)#access-list 101 deny ip 10.0.0.0 0.0.255.255 any Lab_A(config)#access-list 101 permit tcp any any eq www Lab_A(config)#access-list 101 deny udp any host 10.0.0.15 eq 53 Lab_A(config)#access-list 101 deny tcp any any range 6800 6999 Lab_A(config)#access-list 101 permit ip any any Lab_A(config)#access-list 102 deny tcp any any eq 443 Lab_A(config)#access-list 102 deny udp any host 10.0.0.1 lt 1024 Création d’une ACL étendue (suite)  Ordre des instructions = Ordre des commandes  Les nouvelles instructions ajoutées sont  Toujours à la fin  Impossible de  Supprimer/modifier une instruction en particulier  Pour faire une modification  Copier/coller dans un éditeur de texte  Effectuer les modifications voulues  Supprimer l’ACL du routeur  Insérer les nouvelles instructions dans le routeur 3) ACL nommée  Depuis IOS 11.2  Identification de l’ACL  Chaîne alphanumérique au lieu d’un numéro  Peut être de type  Standard  Étendue  Intérêt  Identifier facilement une ACL grâce à son nom  Supprimer une instruction particulière  Pas besoin de tout supprimer Création d’une ACL nommée  ip access-list {standard | extended} {nom}  remark {commentaire} Standard  {permit | deny} {préfixe} [masque] [log] Etendue  {permit | deny} {protocole} {préfixe source} {masque source} [{opérateur} {opérande}] {préfixe destination} {masque destination}[{opérateur} {opérande}] [icmp- type] [log] [established] Création d’une ACL nommée – Exemple Lab_A(config)#ip access-list extended Test_ACL_Etendue Lab_A(config-ext-nacl)#remark test d’ACL nommée étendue Lab_A(config-ext-nacl)#deny tcp host 10.0.0.1 any eq 80 Lab_A(config-ext-nacl)#permit ip any any Lab_A(config)#ip access-list standard Test_ACL_Standard Lab_A(config-std-nacl)#remark test d’ACL nommée standard Lab_A(config-std-nacl)#deny host 10.0.0.1 Lab_A(config-std-nacl)#permit any 1) Mise en place et vérification des ACLs  Mise en place d’une ACL  Étape n°1 = Création (conception)  Étape n°2 = Application  Application possible sur  Une interface  Une ligne Application d’une ACL  ip access-group {numéro | nom} {in | out}  Mode de configuration d’interface  access-class {numéro | nom} {in | out}  Mode de configuration de ligne Lab_A(config)#interface FastEthernet 0/0 Lab_A(config-if)#ip access-group 101 out Lab_A(config-if)#ip access-group 1 in Lab_A(config)#line vty 0 4 Lab_A(config-line)#access-class 1 in Exemple Suppression d’une ACL  no access-list {numéro | nom}  Mode de configuration globale Commande show access-lists  show access-lists [numéro | nom] Lab_A#show access-lists Standard IP access list 1 permit 10.0.0.1 deny 10.0.0.0, wildcard bits 0.0.255.255 permit any Standard IP access list Test_ACL_Standard deny 10.0.0.1 permit any Extended IP access list 101 permit ip host 10.0.0.1 any deny ip 10.0.0.0 0.0.255.255 any permit tcp any any eq www deny udp any host 10.0.0.15 eq domain deny tcp any any range 6800 6999 permit ip any any Extended IP access list 102 deny tcp any any eq 443 deny udp any host 10.0.0.1 lt 1024 Extended IP access list Test_ACL_Etendue deny tcp host 10.0.0.1 any eq www permit ip any any Commande show ip interface  show ip interface [{type} {numéro}] Lab_A#show ip interface FastEthernet 0/0 FastEthernet0/0 is up, line protocol is up Internet address is 20.0.0.1/8 Broadcast address is 255.255.255.255 Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is 101 Inbound access list is 1 --More-- Placement des ACLs Questions types CCNA Questions types CCNA Questions types CCNA uploads/Philosophie/ securite-reseaux-acl.pdf