I - Introduction aux Listes de Contrôle d`Accès « ACL

Download Report

Transcript I - Introduction aux Listes de Contrôle d`Accès « ACL

Introduction et implémentation
Des listes de contrôle d'accès
Sommaire :
• I - Introduction aux Listes de Contrôle d’Accès « ACL »
1- Pourquoi utiliser une Liste de Contrôle d’Accès
2- Les différents types de Liste de Contrôle d’Accès
2.1 - Listes de contrôle d’accès standard
2.2 - Listes de contrôle d’accès étendues
2.3 - Listes de contrôle d’accès nommées
• II - Implémentation des listes de contrôle d'accès « ACL »
1- Création d’une Liste de Contrôle d’Accès
1.1 - Création d’une contrôle d’accès standard
1.2 - Création d’une contrôle d’accès étendues
1.3 - Création d’une contrôle d’accès nommées
• III - Affectation d’une liste de contrôle d'accès à une interface
• VI – Vérification et Journalisation des liste de contrôle d'accès
I.1 - Pourquoi utiliser une Liste de Contrôle d’Accès
Une liste d'accès est un mécanisme d'identification de trafic particulier. Une des
applications d'une liste d'accès est de filtrer le trafic entrant ou sortant d'une
interface de routeur.
I.1 - Pourquoi utiliser une Liste de Contrôle d’Accès
L’utilisation des listes de contrôle d’accès peut engendrer des problèmes :
• La charge supplémentaire sur le routeur découlant de la vérification de tous
les paquets réduit le temps disponible pour le transfert de ces paquets.
• Des listes de contrôle d’accès mal conçues augmentent encore plus la charge
sur le routeur, pouvant provoquer une interruption du réseau.
• Des listes de contrôle d’accès mal positionnées peuvent bloquer le trafic qui
devrait être autorisé et autoriser le trafic qui devrait être bloqué.
ATTENTION
I.2- Les différents types de Liste de Contrôle d’Accès
Il existe trois Types de Liste de contrôle. Selon les objectifs de l’administrateur
réseau, peux utiliser :
- Listes de contrôle d’accès standard
- Listes de contrôle d’accès étendues
- Listes de contrôle d’accès nommées
I.2- Les différents types de Liste de Contrôle d’Accès
I.2.1 - Listes de contrôle d’accès standard
La liste de contrôle d’accès standard constitue le type le plus simple. Lors de la
création d’une liste de contrôle d’accès IP standard, le filtre est basé sur l’adresse
IP source d’un paquet.
Les listes de contrôle d’accès standard sont identifiées par le numéro qu’elles se
voient attribuer. Pour les listes d’accès autorisant ou refusant le trafic IP, le
numéro d’identification est compris entre 1 et 99 et entre 1 300 et 1 999.
I.2- Les différents types de Liste de Contrôle d’Accès
I.2.2 - Listes de contrôle d’accès étendues
Les listes de contrôle d’accès étendues filtrent non seulement sur l’adresse IP
source, mais également sur l’adresse IP de destination, le protocole et les
numéros de port
Les numéros des listes de contrôle d’accès étendues vont de 100 à 199 et
de 2 000 à 2 699.
I.2- Les différents types de Liste de Contrôle d’Accès
I.2.3 - Listes de contrôle d’accès nommées
Les listes de contrôle d’accès nommées (NACL) sont des listes standard ou
étendues désignées par un nom descriptif et non par un numéro.
II - Implémentation des listes de contrôle d'accès « ACL »
Les listes de contrôle d’accès comprennent une ou plusieurs instructions. Chaque
instruction autorise le trafic ou provoque le refus de celui-ci en fonction des
paramètres spécifiés (Permit/Deny).
Lorsque on crée une instruction de liste de contrôle d’accès, l’adresse IP et le
masque générique deviennent des champs de comparaison. Tous les paquets qui
entrent sur une interface ou qui en sortent sont comparés à chaque instruction
de la liste de contrôle d’accès afin de rechercher une correspondance. Le masque
générique détermine le nombre de bits de l’adresse IP entrante qui
correspondent à l’adresse de comparaison.
Dans une liste de contrôle d’accès, le masque générique spécifie un hôte ou une
plage d’adresses à autoriser ou refuser.
On peux remplacer un masque générique par deux paramètres spéciaux host et
any. ( host signifie un ordinateur d’un réseau, any signifie toutes les destination
possible)
II - Implémentation des listes de contrôle d'accès « ACL »
II.1.2 - Création d’une contrôle d’accès standard
Dans cet exemple nous allons interdire le réseau 172.16.4.0 d’accéder au réseau
à d’autre réseaux, et nous allons accepter le reste du trafic.
RouterX(config)# access-list 1 deny 172.16.4.0
RouterX(config)# access-list 1 permit any
(implicit deny all)
(access-list 1 deny 0.0.0.0
255.255.255.255)
0.0.0.255
II - Implémentation des listes de contrôle d'accès « ACL »
II.1.2 - Création d’une contrôle d’accès étendues
Dans cet exemple nous allons interdire le réseau 172.16.4.0 d’accéder à tout
autre réseaux « Any » en utilisant le protocole TCP pour le port 23 (Telnet), et
nous allons accepter le reste du trafic.
RouterX(config)# access-list 101 deny tcp 172.16.4.0
RouterX(config)# access-list 101 permit ip any any
(implicit deny all)
0.0.0.255
any eq 23
II - Implémentation des listes de contrôle d'accès « ACL »
II.1.2 - Création d’une contrôle d’accès nommées
1 – ACL nommé Standard:
Dans cet exemple nous allons interdire l’hôte 172.16.4.13 d’accéder à d’autre
réseaux, et nous allons accepter le reste du réseau 172.16.4.0 .
RouterX(config)#ip access-list standard troublemaker
RouterX(config-std-nacl)#deny host 172.16.4.13
RouterX(config-std-nacl)#permit 172.16.4.0 0.0.0.255
II - Implémentation des listes de contrôle d'accès « ACL »
II.1.2 - Création d’une contrôle d’accès nommées
1 – ACL nommé Etendu:
Dans cet exemple nous allons interdire le réseau 172.16.4.0 d’accéder à d’autre
réseaux en utilisant le protocole TCP pour le port 23 (Telnet), et nous allons
accepter le reste du trafic.
RouterX(config)#ip access-list extended badgroup
RouterX(config-ext-nacl)#deny tcp 172.16.4.0 0.0.0.255 any eq 23
RouterX(config-ext-nacl)#permit ip any any
III - Affectation d’une liste de contrôle d'accès à une interface
-Une fois que vous avez créé la liste de contrôle d’accès, vous devez l’appliquer à
une interface pour qu’elle devienne active. La liste de contrôle d’accès traite le
trafic en entrée ou en sortie de l’interface
Trafique Entrant ou Sortant «in/out» :
III - Affectation d’une liste de contrôle d'accès à une interface
Les commandes suivantes placent la liste d’accès 5 sur l’interface R2 Fa0/0 en
filtrant le trafic entrant :
R2(config)#interface fastethernet 0/0
R2(config-if)#ip access-group 5 in
Des intrus
peuvent essayer d’accéder à un routeur via le terminal virtuel
(VTY). Pour améliorez la sécurité du réseau on peux limiter l’accès au terminal
virtuel en lui affectant une liste de contrôle d’accès.
R2(config)#line vty 0 4
R2(config-if)#access-class 5 in
Pour supprimer une liste de contrôle d’accès d’une interface sans modifier la liste,
utilisez la commande no ip access-group <numéro de liste d’accès> interface.
VI - Vérification et Journalisation des liste de contrôle d'accès
- Plusieurs commandes permettes d’afficher les liste de contrôle d’accès
afin évaluent l’exactitude de la syntaxe, l’ordre des instructions et le
positionnement sur les interfaces :
show ip interface
Affiche les informations relatives à l’interface IP et signale toute liste de contrôle
d’accès attribuée.
show access-lists [numéro de liste d’accès]
Affiche le contenu de toutes les listes de contrôle d’accès sur le routeur. Pour voir
une liste spécifique, ajoutez le nom ou le numéro de la liste de contrôle d’accès
comme option de cette commande.
show running-config
Affiche toutes les listes de contrôle d’accès configurées sur un routeur, même
celles qui ne sont pas actuellement appliquées à une interface.
VI - Vérification et Journalisation des liste de contrôle d'accès
- Une fois qu’il a rédigé la liste de contrôle d’accès et qu’il l’a appliquée à
une interface, un administrateur réseau doit évaluer le nombre de
correspondances. Pour voir les correspondances, utilisez la commande suivante :
show access-list
Le nombre retourné par la commande show access-list correspond au nombre
d’instructions de liste de contrôle d’accès pour lesquelles une correspondance
existe ainsi que le nombre de paquets traités. Le résultat n’indique pas la source
ou la destination du paquet ni les protocoles utilisés.
RouterX# show access-list
Standard IP access list SALES
10 deny
10.1.1.0, wildcard bits
20 permit 10.3.3.1
30 permit 10.4.4.1
40 permit 10.5.5.1
Extended IP access list ENG
10 permit tcp host 10.22.22.1 any
20 permit tcp host 10.33.33.1 any
30 permit tcp host 10.44.44.1 any
0.0.0.255
eq telnet (25 matches)
eq ftp
eq ftp-data
VI - Vérification et Journalisation des liste de contrôle d'accès
- Pour obtenir plus de détails sur les paquets autorisés ou refusés, il faut
activer un processus appelé journalisation. La journalisation est activée pour les
instructions de liste de contrôle d’accès individuelles. Pour activer cette
fonctionnalité, ajoutez l’option log à la fin de chaque instruction de liste de
contrôle d’accès à analyser.
N’utilisez la journalisation que sur une courte durée pour finaliser le test de la
liste de contrôle d’accès. La journalisation d’événements occasionne une charge
supplémentaire sur le routeur.