29/09/08

Les listes de contrle daccs

ACLs

Introduction
!! La securit informatique compte actuellement parmi les sujets les plus importants. !! Laccroissement dInternet a introduit des vulnrabilits au sein des rseaux. !! Anciennement les entreprises ntaient pas connectes lInternet ce qui les isolait des attaques externes !! Tous les services se partageaient les informations.

29/09/08

Introduction
!! Les routeurs peuvent tre utiliss dans le cadre dune stratgie de scurit des rseaux. Ils utilisent pour cela des listes de contrle daccs !! Ces listes dfinissent des rgles qui permettent dempcher certains paquets de circuler sur le rseau. !! Cela peut aller de linterdiction dun membre de la socit daccder une machine particulire ou encore dviter que des pirates immobilisent votre serveur web, ftp ou e-commerce.
3

Dfinition
!! Les ACLs pour IP permettent un routeur de supprimer certains paquets en fonction de critres dfinis par lingnieur de rseau. !! Le but des ACLs, aussi appels filtres est de protger le rseau de tout trafic indsirable, quil provienne de lextrieur (pirates) ou de lintrieur.
4

29/09/08

Prsentation
"!Les ACLs (Access Control List) permettent de filtrer des paquets suivant des critres dfinis par l'utilisateur "!Sur des paquets IP, il est ainsi possible de filtrer les paquets entrants ou sortants d'un routeur en fonction
"! "! "!

De l'IP source De l'IP destination ... Standard : uniquement sur les IP sources Etendue : sur quasiment tous les champs des en-ttes IP, TCP et UDP

Il existe 2 types d'ACL

"! "!

Exemple
!! Bob ne doit pas tre autoris accder au Serveur 1

29/09/08

Exemple
!! La logique de filtrage pourrait tre configure sur nimporte laquelle des interfaces des routeurs. !! Quel est le routeur le plus appropri?

Exemple
!! Le logiciel IOS de Cisco applique la logique de filtrage soit larrive dun paquet, soit lorsquil sort !! Il associe donc une ACL une interface spcifiquement pour le trafic entrant ou sortant. !! Aprs avoir choisi le routeur pour lACL, il faut donc choisir linterface.
8

29/09/08

Fonctionnement

Suite de lexemple
!! Nous avons donc encore deux choix:
#! Filtrer les paquets de Bob destins au serveur 1 lorsquils entrent sur linterface S1de R1 #! Filtrer les paquets de Bob destins au serveur 1 lorsquils quittent linterface E0 sur R1.

10 Vous pouvez filtrer la fois pour le trafic entrant et sortant sur chaque interface

29/09/08

Caractristiques essentielles des ACLs

!! Les paquets peuvent tre filtrs lorsquils entrent sur une interface, avant la dcision de routage !! Les paquets peuvent tre filtrs en sortant aprs la dcision de routage !! LIOS de Cisco emploie le mot cl deny pour signifier que les paquets doivent tre rejets !! LIOS de Cisco emploie le mot cl permit pour signifier que les paquets doivent tre autoriss !! La logique de filtrage est configure dans les ACLs !! Une instruction implicite indiquant quil faut rejeter tout le trafic (deny all) est incluse la fin de chaque ACL
11

Fonctionnement
"! Il est possible de rsumer le fonctionnement des ACL de la faon suivante :
"! Le paquet est vrifi par rapport au 1er critre dfini "! S'il vrifie le critre, l'action dfinie est applique "! Sinon le paquet est compar successivement par rapport aux rgles suivantes

"! S'il ne satisfait aucun critre, l'action deny est applique

12

29/09/08

Suite de lexemple
!! On pourrait crer une ACL sur R1 et lappliquer son interface S1 afin de contrler les paquets qui proviennent de Bob. Elle devra tre active pour les paquets entrants

13

Fonctionnement
!! Une ACL implique un traitement en deux tapes:
#! Matching : recherche de correspondance #! Action: application de la rgle

!! Lors dune correspondance, deux actions possibles:

#! Permit #! Deny
14

29/09/08

Suite de lexemple
!! Notre ACL pour Bob
#! Rechercher les paquets dont ladresse IP source est celle de BOB et ladresse IP destination est celle de Serveur 1 et les supprimer. Transmettre tous les autres paquets.

15

La recherche de correspondance
!! Le matching: Le masque gnrique
#! Pour spcifier quelle partie de ladresse est examiner, CISCO utilise le masque gnrique (wildcard mask) #! Un masque gnrique ressemble un masque de rseau mais na pas la mme fonction et le mme comportement
!! Les bits 0 signifient que le routeur doit comparer ces bits !! Les bits 1 signifient que le routeur ne doit pas tenir compte de ces bits (dont care bits)
16

29/09/08

La recherche de correspondance
!! Exemples:
#! 0.0.0.0 : tous les bits de ladresse doivent tre examins #! 0.0.0.255: Seuls les 3 premiers octets sont examins #! 255.255.255.255 : ladresse na pas besoin dtre examine. Tous les bits sont censs correspondre demble et sont donc ignors. #! 0.0.15.255: Les 20 premiers bits sont examins #! 0.0.3.255: Les 22 premiers bits sont examins

17

Configuration des ACLs standard pour IP

Dfinition d'une rgle "! access-list number [deny|permit] source [sourcewildcard]
Number compris entre 1 et 99 ou entre 1300 et 1999 pour les ACLs standard
"!

access-list number remark text : Activation d'une ACL sur une interface "! ip access-group [ number | name [ in | out ] ] Visualiser les ACL "! show access-lists [ number | name ] : toutes les ACL quelque soit l'interface "! show ip access-lists [ number | name ] : les ACL uniquement lis au protocole IP
18

29/09/08

Exemple 1/3

access-list 1 deny 172.16.3.10 0.0.0.0 Refuse les paquets d'IP source 172.16.3.10 Le masque (galement appel wildcard mask) signifie ici que tous les bits de l'adresse IP sont significatifs access-list 1 permit 0.0.0.0 255.255.255.255 Tous les paquets IP sont autoriss Le masque 255.255.255.255 signifie qu'aucun bit n'est significatif
19

Exemple 2/3

Une notation amliore est possible pour remplacer le masque 255.255.255.255 qui dsigne une machine: Utilisation du terme host "! 0.0.0.0 avec le wildcard masque 255.255.255.255 qui dsigne tout le monde Utilisation du terme any
"!

20

10

29/09/08

Exemple 3/3

21

Bob, vous de jouer

!! ACL standard sur R1 empchant Bob datteindre Serveur1 (Interface E0)

Stoppe aussi l'accs aux autres serveurs

22

11

29/09/08

Configuration des ACLs tendues pour IP

!! Les ACLS tendues (extended IP ACLS) prsentent la fois des points communs et des diffrences avec les ACLS standard
#! Entrant / sortant et mme squencement de fonctionnement #! Les Ex ACL peuvent demander au routeur dexaminer plusieurs champs den tte IP la fois.

23

Configuration des ACLs tendues pour IP

Les extended ACL permettent de filtrer des paquets en fonction de l'adresse de destination IP "! Du type de protocole (TCP, UDP, ICMP, IGRP, IGMP, ...) "! Port source "! Port destination
"!

...
24

12

29/09/08

Configuration des ACLs tendues pour IP

25

Configuration des ACLs tendues pour IP

26

13

29/09/08

Configuration des ACLs tendues pour IP

access-list number { deny | permit } protocol source sourcewildcard destination dest.-wildcard number : compris entre 100 et 199 ou 2000 et 2699 access-list 101 deny ip any host 10.1.1.1

Refus des paquets IP destination de la machine 10.1.1.1 et provenant de n'importe quelle source
access-list 101 deny tcp any gt 1023 host 10.1.1.1 eq 23

Refus de paquet TCP provenant d'un port source > 1023 et destination du port 23 de la machine d'IP 10.1.1.1
access-list 101 deny tcp any host 10.1.1.1 eq http

Refus des paquets TCP destination du port 80 de la machine d'IP 10.1.1.1

27

Bob tendu
!! Refuser Bob laccs tous les serveurs ftp joignable via linterface Ethernet de R1 et Larry na pas le droit de se connecter au serveur web du serveur 1. Reste autoris

28

14

29/09/08

Les ACLs nommes

!! Identifie par un nom et non par un numro !! Supporte la suppression dinstructions individuelles
#! Une ACL numrot peut tre compos de nombreuses rgles. La seule faon de la modifier et de faire no accesslist number puis de la redfinir #! Avec les ACL nommes, il est possible de supprimer qu'une seule ligne au lieu de toute l'ACL

29

Les ACLs nommes

Sa dfinition se fait de la manire suivante
Router(config)# ip access-list extended bart Router(config-ext-nacl)# deny tcp host 10.1.1.2 eq www any Router(config-ext-nacl)# deny ip 10.1.1.0 0.0.0.255 any Router(config-ext-nacl)# permit ip any any

Pour supprimer une des lignes, il suffit de refaire un

ip access-list extended bart

Puis un
no deny ip 10.1.1.0 0.0.0.255 any

30

15

29/09/08

Cas dutilisation pour ladministrateur

!! Le contrle du telnet
#! Pour utiliser une ACL dans le but de controler l'accs au telnet (donc au vty):
access-class number { in | out }

31

Les ACLs en production

La cration, la mise jour, le debuggage ncessitent beaucoup de temps et de rigeur dans la syntaxe Il est donc conseill : "! De crer les ACL l'aide d'un diteur de texte et de faire un copier/ coller dans la configuration du routeur "! Placer les extended ACL au plus prs de la source du paquet que possible pour le dtruire le plus vite possible "! Placer les ACL standard au plus prs de la destination sinon, vous risquez de dtruire un paquet trop top Rappel : les ACL standard ne regardent que l'IP source "! Placer la rgle la plus spcifique en premier "! Avant de faire le moindre changement sur une ACL, dsactiver sur l'interface concern celle-ci (no ip access-group)

32

16

29/09/08

"!

access-list number [deny|permit] source [sourcewildcard]

access-list number remark text : Activation d'une ACL sur une interface "!ip access-group [ number | name [ in | out ] ]
"!

Number compris entre 1 et 99 ou entre 1300 et 1999 pour les ACLs standard

access-list number { deny | permit } protocol source sourcewildcard destination dest.-wildcard number : compris entre 100 et 199 ou 2000 et 2699 "!access-list 101 deny ip any host 10.1.1.1
"!

Refus des paquets IP destination de la machine 10.1.1.1 et provenant de n'importe quelle source Refus de paquet TCP provenant d'un port source > 1023 et destination du port 23 de la machine d'IP 10.1.1.1

"!

access-list 101 deny tcp any gt 1023 host 10.1.1.1 eq 23

33

17