92

!!!!

!!!!

(*

93

Dterminer le type de trafic qui sera achemin ou bloqu au niveau des interfaces de

routeur. (autoriser lacheminement des messages lectroniques et de bloquer tout le

trafic via Telnet).

Autoriser un administrateur contrler les zones auxquelles un client peut accder sur

un rseau.

U845938440%049&:0#&?3#90#&:0&58492G?0&:;655M#&&

Lordre des instructions ACL est important. Cisco IOS teste le paquet par rapport

chaque instruction de condition en partant du dbut de la liste jusqu la fin.

Lorsquune condition est satisfaite dans la liste, le paquet est accept ou rejet et les

autres instructions ne sont pas vrifies.

Remarque : Si un paquet ne correspond aucune instruction dans lACL, le paquet est rejet. Ceci est le rsultat de

linstruction implicite ,!"?"? la fin de chaque ACL.

Processus de routage dans un routeur

! Vrifier la correspondance (@ MAC)

! Rechercher une ACL sur linterface dentre ! Vrifier ! accepter ou rejeter le paquet

! Dterminer linterface de destination (table de routage)

! Si le paquet est accept ! router le paquet vers linterface de partance.

! Vrifier lACL sur linterface de destination ! accepter ou rejeter le paquet

! Vrifier lautorisation du paquet.

! Encapsuler le paquet (en trame) et lEnvoi lunit suivante.

94

,2"69384&:0&?3#90#&:0&58492G?0&:;655M#&

Il existe diffrents types de listes de contrle daccs : standard, tendues, IPX et AppleTalk.

Sur un routeur, vous devez identifier chaque liste en lui attribuant un numro unique.

@@@@--!((--!((--!((--!((0000%5(.%5(.%5(.%5(. ! Pour crer et paramtrer les conditions dune ACL.

@@@@--!((--!((--!((--!((0000;+*

95

Pour faire rfrence une interface dentre ou de sortie, placez-vous lintrieur du

routeur en regardant l'interface en question.

Les instructions sont traites dans lordre depuis le dbut de la liste jusqu la fin

jusqu ce quune correspondance soit trouve. Si aucune correspondance nest

dtecte, le paquet est refus.

Il existe un refus implicite ,!"?"?,!"?"?,!"?"?,!"?"? la fin de toutes les listes de contrle daccs. Les htes spcifiques doivent tre rejets en premier, tandis que les groupes ou les

filtres gnraux viennent en dernier.

La condition de correspondance est examine en premier. Lacceptation ou le refus est

examin UNIQUEMENT si la condition est vraie.

Ne travaillez jamais avec une liste daccs qui est applique de manire active.

Utilisez un diteur de texte pour crer des commentaires indiquant la logique, puis

ajoutez les instructions correspondantes.

Il nest pas possible dajouter et de supprimer des lignes spcifiques dans des listes

daccs numrotes.

Une liste daccs IP envoie un message ICMP dhte inaccessible lmetteur du

paquet rejet et limine le paquet dans la corbeille prvue cet effet.

Soyez particulirement attentif lorsque vous supprimez une liste daccs (une

instruction deny any peut tre applique par dfaut linterface et tout le trafic peut

tre arrt).

Les filtres de sortie ne concernent pas le trafic gnr par le routeur local.

!G?0&:$&%6#J$0&="4"23J$0&

Un masque gnrique est une quantit de 32 bits diviss en quatre octets.

Les masques gnriques utilisent les uns et les zros binaires pour filtrer des adresses

IP individuelles ou de groupes pour autoriser ou refuser un accs des ressources l'aide

d'une adresse IP prcise. Le (0) implique que la valeur soit compare (correspondance parfaite

exige), tandis que le (1) implique de bloquer la comparaison (correspondance exacte non

exige).

Deux mots-cls spciaux sont utiliss dans les listes de contrle daccs : #"?#"?#"?#"? et 3*(.3*(.3*(.3*(..

@"?@"?@"?@"? remplace 0.0.0.0 dans ladresse IP et 255.255.255.255 dans le masque gnrique. Cette option tablit une correspondance avec toute adresse avec laquelle elle est compare.

U*(.U*(.U*(.U*(. remplace le masque 0.0.0.0. Ce masque ncessite une correspondance parfaite entre tous les bits de ladresse ACL et ceux de ladresse du paquet. Avec cette option, une seule

adresse concorde.

96

Remarque : Le masque de sous-rseaux et le masque gnrique reprsentent deux choses

diffrentes mme s'ils sont tous les deux appliqus des adresses IP

Exemple de calcul des masques gnriques et prise des dcisions :

LACL configure ! Access-list 1 permit 172.16.0.0 0.0.255.255

! Supposons quun paquet entrant de la source 172.17.1.1

@ IP (172.16.0.0) : 10101100.00010000.00000000.00000000

Masque gnrique (0.0.255.255) : 00000000.00000000.xxxxxxxx.xxxxxxxx

Valeur de correspondance 1 : 10101100.00010000.xxxxxxxx.xxxxxxxx

@ IP (172.17.1.1) : 10101100.00010001.00000001.00000001

Masque gnrique (0.0.255.255) : 00000000.00000000.xxxxxxxx.xxxxxxxx

Valeur de correspondance 2 : 10101100.00010001.xxxxxxxx.xxxxxxxx

" Pas de correspondance ! paquet refus.

P"23>3569384&:0#&?3#90#&:0&58492G?0&:;655M#&

23*)&5'&5".!+6#-!23*)&5'&5".!+6#-!23*)&5'&5".!+6#-!23*)&5'&5".!+6#-! ! affiche les informations relatives linterface IP et indique si des listes de contrle daccs sont configures.

23*)--!((23*)--!((23*)--!((23*)--!((0000%5(.(%5(.(%5(.(%5(.( ! affiche le contenu de toutes les listes de contrle daccs sur le routeur.

&&&&

&&&&

&&&&

97

23*)& +]B!`%NEaE?B*;>]B!`%NEaE?B*;>]B!`%NEa!!!!

/3#90#&:0&58492G?0&:;655M#:62:&

Les listes daccs standard vrifient ladresse dorigine des paquets IP qui sont routs.

! La plage additionnelle (1300 1999) ACL IP expanses utilise afin de procurer un

maximum de 798 nouvelles ACL standards (version 12.0)

Syntaxe complte de la commande ACL standard :

Router(config)##--!((#--!((#--!((#--!((0000%5(.%5(.%5(.%5(. {n ACL} {deny | permit | remark} {source} {masque gnrique} [log]

{n ACL} ! indique le numro dACL (entre les plages 1 et 99 et 1300 et 1999 )

{permit | deny} ! accepter ou refuser

remark ! ajouter un commentaire pour la comprhension (facultatif)

{conditions} ! liste des conditions de test

{source} ! adresse rseau ou lhte do provient le paquet.

{masque gnrique} ! pour indiquer les bits comparer (facultatif)

[log]! Provoque un message de journalisation informatif au sujet du paquet correspondant

lACL envoyer au port console.

98

Exemples :

Remarque : Notez que la premire instruction ACL ne contient aucun masque gnrique.

Dans le cas o aucune liste napparat, le masque par dfaut (0.0.0.0) est utilis.

/3#90#&:0&58492G?0&:;655M#&"904:$0#&

! Elles fournissent une plus grande gamme de contrle.

! Elles vrifient les adresses dorigine et de destination du paquet, mais peuvent aussi

vrifier les protocoles et les numros de port.

Exemple : Une liste de contrle daccs tendue peut autoriser le trafic de messagerie issu de

linterface Fa0/0 vers des destinations S0/0 donnes tout en refusant des transferts de fichiers

et des navigations sur le Web.

! Pour une mme liste de contrle daccs, plusieurs instructions peuvent tre configures.

(Vous pouvez dfinir autant dinstructions que vous le souhaitez, la seule limite tant la

mmoire disponible sur le routeur).

Syntaxe complte de la commande ACL tendue :

Oprateurs : eq = gale gt = suprieur lt = infrieur neq = non gale

Exemples :

&

99

/3#90#&:0&58492G?0&:;655M#&48%%"0#&

Les listes de contrle daccs nommes IP ont t introduites (version 11.2), afin

dattribuer des noms aux listes daccs standard et tendues la place des numros.

Avantages :

Identifier de manire intuitive une liste daccs laide dun nom alphanumrique.

LIOS ne limite pas le nombre dACL nommes qui peuvent tre configures.

Les ACL nommes permettent de modifier des listes de contrle daccs sans avoir

les supprimer, puis les reconfigurer.

Remarque : Un mme nom ne peut pas tre utilis pour plusieurs listes de contrle daccs.

Syntaxe de la cration :

Q'--!((Q'--!((Q'--!((Q'--!((0000%5(.%5(.%5(.%5(. {extended | standard} {nom de lACL}

Exemple :

O%1?650%049&:0#&?3#90#&:0&58492G?0&:;655M#&

Si le trafic est filtr, la liste de contrle daccs doit tre place lendroit o elle aura

le plus grand impact sur les performances.

La rgle gnrale est de placer les listes de contrle daccs tendues le plus prs

possible de la source du trafic refus.

&

100

Q620W>0$&

Un pare-feu est une structure situe entre lutilisateur et le monde extrieur afin de

protger le rseau interne des intrus.

Exemple :

Dans larchitecture prsente, le routeur connect au rseau Internet, appel routeur

externe, oblige tout le trafic entrant passer par la passerelle dapplication. Le routeur

connect au rseau interne, appel routeur hte, accepte uniquement les paquets de la

passerelle dapplication. En fait, la passerelle gre la livraison des services rseau vers le

rseau interne et partir de celui-ci.

! Les listes de contrle daccs doivent tre utilises dans les routeurs pare-feu, lesquels sont

souvent placs entre le rseau interne et un rseau externe

! Les listes de contrle daccs sont utilises sur un routeur situ entre deux sections du

rseau pour contrler le trafic entrant ou sortant dune section particulire du rseau interne.

!0#92359384&:0&?;655M#&6$&902%346?&I329$0?&

Par dfaut, une liste daccs tendue pour le trafic Telnet sortant nempche pas le

routeur de lancer des sessions Telnet.

Lobjectif de laccs limit au terminal virtuel est daugmenter la scurit du rseau.

101

Exemple : Processus de cration de la liste de contrle daccs au terminal virtuel :

Vous devez prendre en compte les lments suivants lors de la configuration :

Lors du contrle de laccs une interface, un nom ou un numro peut tre utilis.

Seules les listes daccs numrotes peuvent tre appliques des lignes virtuelles.

Dfinissez des restrictions identiques sur toutes les lignes de terminal virtuel.