ACL d'Un Routeur CISCO

Embed Size (px)

Citation preview

24/03/2011

ACL d'un routeur CISCO

Liste de contrle daccs dun routeur Cisco1. PrsentationUne technique de base pour limiter ou interdire les accs un systme sont les ACL : Liste de contrle d'Accs (Access Control List). Dfinition : Une liste de contrle daccs est une collection dinstructions permettant dautoriser ou de refuser des paquets en fonction dun certain nombre de critres, tels que : L'adresse d'origine ; L'adresse de destination ; Le numro de port ; Les protocoles de couches suprieures ; Dautres paramtres (horaires par exemple). Elles dfinissent des conditions en entre et en sortie de chaque interface du routeur.

Voici les principales raisons pour lesquelles il est ncessaire de crer des listes de contrle daccs : Limiter le trafic rseau et accrotre les performances. En limitant le trafic vido, par exemple, les listes de contrle daccs permettent de rduire considrablement la charge rseau et donc daugmenter les performances. Contrler le flux de trafic. Les ACL peuvent limiter larrive des mises jour de routage. Si aucune mise jour nest requise en raison des conditions du rseau, la bande passante est prserve. Fournir un niveau de scurit daccs rseau de base. Les listes de contrle daccs permettent un hte daccder une section du rseau tout en empchant un autre hte davoir accs la mme section. Par exemple, lhte A peut accder au rseau rserv aux ressources humaines, tandis que lhte B ne peut pas y accder. Dterminer le type de trafic qui sera achemin ou bloqu au niveau des interfaces de routeur. Il est possible dautoriser lacheminement des messages lectroniques et de bloquer tout le trafic via Telnet. Autoriser un administrateur contrler les zones auxquelles un client peut accder sur un rseau. Filtrer certains htes afin de leur accorder ou de leur refuser laccs une section de rseau. Accorder ou refuser aux utilisateurs la permission daccder certains types de fichiers, tels que FTP ou HTTP.

2. PrincipePour un paquet donn, lACL prend deux valeurs : deny : le paquet sera rejet permit : le paquet pourra transiter par le routeur On associe chaque interface du routeur une ACL, On peut aussi prciser le sens du trafic, cest--dire in ou out, pour que lACL sapplique aux paquets entrant ou sortant de linterface du routeur.

irisbachelard.free.fr/index.php?idPage

1/9

24/03/2011

ACL d'un routeur CISCO

Lordre des instructions ACL est important. Les rgles sont parcourues squentiellement et le test sarrte lorsque le paquet test vrifie une rgle. En gnral, on essaie de mettre les rgles les plus utilises en dbut de liste. Si aucune rgle nest vrifie, le rsultat sera ngatif (deny) : tout ce qui nest pas autoris est interdit. Il est possible de rsumer le fonctionnement des ACL de la faon suivante : Le paquet est vrifi par rapport au premier critre dfini ; Sil vrifie le critre, laction dfinie est applique ; Sinon, le paquet est compar successivement par rapport aux ACL suivants ; Sil ne satisfait aucun critre, laction deny sera applique. Une liste ACL est donne pour chaque entre ou sortie d'une interface et pour chaque protocole de couche 3. Quand un accs au routeur est effectu, la liste d'entre correspondante l'interface et la couche est analyse si elle existe. Si la liste n'erxiste pas ou si le paquet est accepte par la premire liste, la liste de sortie correspondante l'interface et la couche est galement analyse. Si cette liste existe et si elle accepte le paquet ou si la liste n'existe pas, le paquet est transmis. Bien sr, seuls les paquets concernant le routeur en question sont traits.

Chaque contrle d'accs peut tre de deux types : Acceptation : permit ; Rejet : deny. Quand la ligne est trouve, si le contrle est permit l'accs est autoris. Si le contrle est deny le paquet est rejet.

irisbachelard.free.fr/index.php?idPage

2/9

24/03/2011

ACL d'un routeur CISCO

Il existe deux types de contrle pour le protocole IP : ACL IP standard : Travail sur la source Filtrage sur le masque Un numro unique de liste compris entre 1-99, 1300-1999. Rgle : liste appliquer au plus prs de la destination. ACL IP tendu : Travail sur les adresses IP et le port de la source et de la destination. Filtrage sur la couche 4 (port et adresse IP) Un numro unique de liste compris entre 100-199, 2000-2699. Rgle : liste appliquer au plus prs de la source. Les ACL pour les protocoles IPX et AppleTalk ne sont pas tudies. Il existe un troisime type d'ACL appels ACL nomms. Ces ACL sont de type sandard ou tendus. Leur seule particularit est l'ajhout d'un nom pour une plus grande lisibilit. Le numro unique de liste identifie le type de liste daccs cr et doit tre compris dans la plage de numros valide pour ce type. 2.1. Rgle gnrale La rgle gnrale est de placer les listes de contrle daccs tendu le plus prs possible de la source du trafic refus afin de le dtruire le plus vite possible. Etant donn que les listes de contrle daccs standard ne prcise pas les adresses de destination, on doit les placer le plus prs possible de la destination afin de ne pas de dtruire le paquet trop tt. Il faut placer la rgle le plus spcifique en premier. Il est conseill de crer les ACL laide dun diteur de texte et de faire un copier/coller dans la configuration du routeur. Dsactiver lACL sur interface concerne (no ip access-group) avant de faire le moindre changement sur une ACL.

3. L'dition des ACLPour saisir les instructions des ACL, il faut entrer la commande access-list dans le mode de configuration globale. Exemple : Bachelard#configure terminal Bachelard(config)#access-list 101 deny ip any host 172.16.0.1 Le premier paramtre de la commande access-list dfinit le numro de la liste. Il suffit d'entrer dans l'ordre les diffrentes lignes de votre ACL en respectant le format de la commande. Aprs avoir cr votre liste, vous devez indiquer au routeur que cette liste doit tre applique quelle interface et si elle est

irisbachelard.free.fr/index.php?idPage

3/9

24/03/2011

ACL d'un routeur CISCO

en entre (in) ou en sortie (out)par la commande ip access-group . Bachelard#configure terminal Bachelard(config)#interface serial 0/0/0 Bachelard(config-if)#ip access-group 2 in Bachelard(config-if)#exit Bachelard(config)#exit Si vous voulez visualiser l'ensemble des lignes de votre ACL, il faut utiliser la commande show access-list . Bachelard#sh access-lists Extended IP access list 101 10 permit ip 192.168.1.32 0.0.0.15 any (55 matches) 20 deny ip any any (505 matches) Extended IP access list 102 10 permit tcp any any established 20 permit icmp any any echo-reply 30 permit icmp any any unreachable 40 deny ip any any Bachelard# Si suite cette visualisation, vous remarquez une ligne manquante ou incorrecte, vous ne pouvez pas modifier votre liste. Vous devez supprimer la liste par la commande no access-list puis entrer nouveau votre liste. Bachelard#configure terminal Bachelard(config)#no access-list 101 Une solution pour viter de retaper toute la liste est ce crer un fichier contenant cette liste puis d'utiliser le copier-coller pour entrer la liste. Exemple de fichier liste : no access-list 101 access-list 101 permit tcp any host 172.16.0.1 eq www access-list 101 deny ip any host 172.16.0.1 access-list 101 permit ip 172.171.3.192 0.0.0.63 209.0.0.128 0.0.0.127 access-list 101 deny ip any 209.0.0.128 0.0.0.127 access-list 101 permit ip 172.171.3.128 0.0.0.127 209.0.0.0 0.0.0.127 access-list 101 deny ip any 209.0.0.0 0.0.0.127 access-list 101 deny ip any host 198.0.0.1 access-list 101 permit ip any any Vous pouvez galement visualiser les ACL prises en compte sur une interface en utilisant la commande show ip interface . Outgoing access list is not set Inbound access list is 102 Exemple d'affichage de la partie ACL

4. La commande access-listLes commandes access-list sont diffrentes selon le type de liste (standard ou tendu). Mais il faut d'abord tudier les masques gnriques. 4.1. Les masques gnriques Un masque gnrique est une quantit de 32 bits diviss en quatre octets. Il est associ une adresse IP. Il permet de dterminer quelles sont les adresses IP concernes par le contrle. Les 0 indiquent qu'il faut tester ces bits et les 1 qu'aucun test n'est effectuer.

irisbachelard.free.fr/index.php?idPage

4/9

24/03/2011

ACL d'un routeur CISCO

Attention : le masque est diffrent du masque de sous-rseau. Pour vrifier si une adresse IP appartient une famille dadresse IP analyser : Prendre ladresse IP ; Appliquer le masque, cest--dire mettre 0 dans ladresse IP tous les bits qui sont 1 dans le masque ; Comparer le rsultat obtenu ladresse gnrique de la famille. Voici quelques exemples :

irisbachelard.free.fr/index.php?idPage

5/9

24/03/2011

ACL d'un routeur CISCO

Exemple : contrle concernant les sous-rseaux 172.30.16.0 172.30.31.0 172.30.16.0 en binaire : 1010 1100.0001 1110.0001 0000.0000 0000 172.30.31.0 en binaire : 1010 1100.0001 1110.0001 1111.0000 0000 Les bits diffrents sont mis 1 : 0000 0000.0000 0000.0000 1111.0000 0000 Pour prendre en compte les adresses htes du sous-rseau : il faut remplacer le dernier octet par 1111 1111. On obtient donc : 0000 0000.0000 0000.0000 1111.1111 1111 soit 0.0.15.255. Il existe deux masques particuliers : 255.255.255.255 qui correspond toutes les adresses peut tre remplac par any. 0.0.0.0 qui correspond l'adresse exacte peut tre remplac par host. 4.2. Les ACL standard Les listes daccs standard vrifient ladresse dorigine des paquets IP qui sont routs, pour accepter ou rejeter les paquets. Les commandes pour les ACL standard sont de la forme : access-list