Les Access Lists

Download Report

Transcript Les Access Lists

BTS_IG

Les Listes de Controle d'Accès (Access-Control-Lists)

CFI Site Paris 1

Les Access Lists • Généralités

• Une Liste d'Accès est une séquence d'actions d'autorisation (permit) ou d'interdiction (deny) sur des adresses ou des protocoles de couches supérieures.

• Il existe différents types de Liste d'Accès: - Standards (Standard) - Etendues (Extended) - Nommées (Named) - Dynamiques Transmission de paquets sur l'interface Telnet Accès Ligne Terminal virtuel (IP) Liste d'Accès

BTS_IG

CFI Site Paris 2

Les Access Lists • Généralités

• Comment fonctionne une liste d'accès Paquets entrants sur l'interface Liste d'Accès présente?

Non Oui Oui Test N°1 Non Oui Test N°2 Non Test N°n Non Oui Permit ou Deny Permit Deny Traitement du Paquet Paquet éliminé

BTS_IG

CFI Site Paris 3

Les Access Lists • Les numéros de Listes d'Accès

Numéro de Liste d'Accès 1 à 99 100 à 199 200 à 299 300 à 399 400 à 499 500 à 599 600 à 699 700 à 799 800 à 899 900 à 999 1000 à 1099 1100 à 1199 1200 à 1299 1300 à 1399 2000 à 2699 Description Access List Standard IP Access List Etendue IP Protocole Type-Code Access List DECnet Access List XNS Access List Standard XNS Access List Etendue Apple Talk Access List Adresses MAC Acces List IPX Access List Standard IPX Access List Etendue IPX SAP Access List Adresses MAC Acces List Etendue IPX Adresses agrégées Access list Access List Standard IP (extension) Access List Etendue IP (extension)

BTS_IG

CFI Site Paris 4

Les Access Lists • La syntaxe des Listes d'Accès

● Liste d'accès IP Standard Router(config)#access-list access-list-number {deny|permit} source [source-wildcard] [log]

Router(config)#

- Configuration en mode EXEC privilégié ●

access-list

- Nom de la commande ●

access-list-number

- Numéro de la liste d'accès (1 à 99) ●

{deny|permit}

- Instruction (l'une ou l'autre) - deny = interdiction - permit = autorisation ●

source

- Adresse IP de la source ●

source-wildcard

- Masque générique ●

log

- demande de génération d'un message de log BTS_IG

CFI Site Paris 5

Les Access Lists • La syntaxe des Listes d'Accès

● Liste d'accès IP Etendue Router(config)#access-list access-list-number { permit|deny} protocol source source-wildcard [operator [port]] destination destination-wildcard [operator [port]] [established] [log]

Router(config)#

- Configuration en mode EXEC privilégié ●

destination

- Adresse IP de destination ●

access-list

- Nom de la commande ●

destination-wildcard

- Masque générique ●

access-list-number

- Numéro de la liste d'accès (100 à 199) ●

operator port

- Numéro de Port TCP ou UDP - operator : LT, GT, LE, GE,EQ ●

{deny|permit}

- Instruction (l'une ou l'autre) ● - deny = interdiction - permit = autorisation ●

established log

- Pour TCP - demande de génération d'un message de log ●

protocol

- Protocole à filtrer (IP, ICMP, TCP,UDP) ●

source

- Adresse IP de la source ●

source-wildcard

- Masque générique ●

operator port

- Numéro de Port TCP ou UDP - operator : LT, GT, LE, GE,EQ BTS_IG

CFI Site Paris 6

Les Access Lists • Règles d'écriture

- Il faut passer une commande pour chaque instruction permit ou deny - Une nouvelle instruction est automatiquement insérée en fin de liste - Il n'est pas possible de supprimer une ligne de la liste - Pour modifier une liste d'accès standard ou étendue, il faut d'abord la supprimer puis la recréer - Une liste de contrôle d'accès se termine toujours par une instruction deny any implicite - Il faut placer les instructions les plus globales en tête de liste

BTS_IG

CFI Site Paris 7

Les Access Lists • Règles d'écriture

- Le masque générique - Le masque générique permet de réaliser un masque sur l'adresse source ou destination - Ce masque permet de sélectionner: - Un Host - Un sous-réseau - Un intervalle d'adresses de Hosts - Un intervalle d'adresses de réseaux ou sous-réseaux - Dans ce masque un "0" indique le bit à tester - Ex: 0.0.0.0 indique "Tester tous les bits de l'adresse IP" ou L'adresse IP source (destination) du paquet IP émis (reçu) doit correspondre bit pour bit à l'adresse source (destination) de la liste d'accès.

- Le mot-clé host remplace le masque générique 0.0.0.0

- Le mot-clé any remplace le masque générique 255.255.255.255

BTS_IG

CFI Site Paris 8

Les Access Lists • Règles d'utilisation

- Les listes d'accès peuvent être utilisées en entrée ou en sortie - Elles se placent sur les interfaces - On peut placer une seule liste d'accès par protocole et par sens sur une interface - Les listes d'accès en entrée sont appliquées dès la réception du paquet par l'interface - Les listes d'accès en sortie sont appliquées lors de l'émission du paquet par l'interface - Les listes d'accès standards sont placées près de la destination - Les listes d'accès étendues sont placées près de la source

BTS_IG

CFI Site Paris 9

Les Access Lists • Exemples

- Liste d'accès Standard

1. On veut interdire le host dont l'adresse IP est : 192.168.10.120

Syntaxe de la commande: Router(config)#

access-list 1 deny 192.168.10.120 0.0.0.0

ou Router(config)#

access-list 1 deny host 192.168.10.120

2. On veut interdire le réseau dont l'adresse IP est : 192.168.10.0 255.255.255.0

Syntaxe de la commande: Router(config)#

access-list 1 deny 192.168.10.0 0.0.0.255

3. On veut interdire le sous-réseau dont l'adresse IP est : 192.168.10.8 255.255.255.248

Syntaxe de la commande: Router(config)#

access-list 1 deny 192.168.10.8 0.0.0.7

BTS_IG

CFI Site Paris 10

Les Access Lists • Exemples

- Liste d'accès Standard

4. On veut interdire les sous-réseaux dont les adresses IP vont de : 172.16.16.0 à 172.16.48.0

avec un masque égal à 255.255.240.0.

Syntaxe de la commande: Router(config)#

access-list 1 deny 172.16.16.0 0.0.63.255

5. On veut interdire les sous-réseaux dont les adresses IP vont de : 192.168.10.8 à 192.168.10.56

avec un masque égal à 255.255.255.240.

Syntaxe de la commande: Router(config)#

access-list 1 deny 192.168.10.0 0.0.0.63

BTS_IG

CFI Site Paris 11

Les Access Lists • Exemples

- Liste d'accès Etendue

1. On veut interdire les messages ICMP echo de n'importe quelle source vers toute destination.

Syntaxe de la commande: Router(config)#

access-list 101 deny icmp any any echo

2. On veut autoriser l'accès Telnet vers le host dont l'adresse IP est : 192.168.10.140 255.255.255.0

venant du host 200.202.2.2 255.255.255.0

Syntaxe de la commande: Router(config)#

access-list 102 permit tcp host 200.202.2.2 any host 192.168.10.140 eq 23

3. On veut autoriser le trafic IP venant du réseau 191.10.1.0 255.255.255.0 à destination du réseau 80.8.8.0 255.255.255.0

Syntaxe de la commande: Router(config)#

access-list 111 permit ip 191.10.1.0 0.0.0.255

80.8.8.0 0.0.0.255

BTS_IG

CFI Site Paris 12

Les Access Lists • Exemples

- Liste d'accès Etendue

4. On veut autoriser les accès DNS sur le host dont l'adresse est 150.150.150.200 255.255.255.0

Syntaxe de la commande: Router(config)#

access-list 101 permit udp any any host 150.150.150.200 eq 53

5. On veut autoriser le trafic IP venant du réseau 191.10.1.0 255.255.255.0 à destination du réseau 80.8.8.0 255.255.255.0

Syntaxe de la commande: Router(config)#

access-list 111 permit ip 191.10.1.0 0.0.0.255

80.8.8.0 0.0.0.255

BTS_IG

CFI Site Paris 13

Les Access Lists • Appliquer des Access-Lists • Sécuriser l'accès au routeur - Les ports "Terminal virtuel"

• Les listes d'accès étendues peuvent être utilisées pout bloquer Telnet (TCP 23) - Doivent être configurées pour chaque interface IP sur le routeur • Appliquer une liste d'accès standard aux lignes vty est un meilleur choix.

0 1 2 3 4 Port Physique (E0) Ports Virtuels (vty 0-4)

• RTA(config)#

access-list 5 permit 200.100.50.0 0.0.0.255

• RTA(config)#

access-list 5 permit host 192.168.1.1

• RTA(config)#

line vty 0 4

• RTA(config-line)#

access-class 5 in

BTS_IG

CFI Site Paris 14