Professional Documents
Culture Documents
Introduction
!! La securit informatique compte actuellement parmi les sujets les plus importants. !! Laccroissement dInternet a introduit des vulnrabilits au sein des rseaux. !! Anciennement les entreprises ntaient pas connectes lInternet ce qui les isolait des attaques externes !! Tous les services se partageaient les informations.
29/09/08
Introduction
!! Les routeurs peuvent tre utiliss dans le cadre dune stratgie de scurit des rseaux. Ils utilisent pour cela des listes de contrle daccs !! Ces listes dfinissent des rgles qui permettent dempcher certains paquets de circuler sur le rseau. !! Cela peut aller de linterdiction dun membre de la socit daccder une machine particulire ou encore dviter que des pirates immobilisent votre serveur web, ftp ou e-commerce.
3
Dfinition
!! Les ACLs pour IP permettent un routeur de supprimer certains paquets en fonction de critres dfinis par lingnieur de rseau. !! Le but des ACLs, aussi appels filtres est de protger le rseau de tout trafic indsirable, quil provienne de lextrieur (pirates) ou de lintrieur.
4
29/09/08
Prsentation
"!Les ACLs (Access Control List) permettent de filtrer des paquets suivant des critres dfinis par l'utilisateur "!Sur des paquets IP, il est ainsi possible de filtrer les paquets entrants ou sortants d'un routeur en fonction
"! "! "!
De l'IP source De l'IP destination ... Standard : uniquement sur les IP sources Etendue : sur quasiment tous les champs des en-ttes IP, TCP et UDP
Exemple
!! Bob ne doit pas tre autoris accder au Serveur 1
29/09/08
Exemple
!! La logique de filtrage pourrait tre configure sur nimporte laquelle des interfaces des routeurs. !! Quel est le routeur le plus appropri?
Exemple
!! Le logiciel IOS de Cisco applique la logique de filtrage soit larrive dun paquet, soit lorsquil sort !! Il associe donc une ACL une interface spcifiquement pour le trafic entrant ou sortant. !! Aprs avoir choisi le routeur pour lACL, il faut donc choisir linterface.
8
29/09/08
Fonctionnement
Suite de lexemple
!! Nous avons donc encore deux choix:
#! Filtrer les paquets de Bob destins au serveur 1 lorsquils entrent sur linterface S1de R1 #! Filtrer les paquets de Bob destins au serveur 1 lorsquils quittent linterface E0 sur R1.
10 Vous pouvez filtrer la fois pour le trafic entrant et sortant sur chaque interface
29/09/08
Fonctionnement
"! Il est possible de rsumer le fonctionnement des ACL de la faon suivante :
"! Le paquet est vrifi par rapport au 1er critre dfini "! S'il vrifie le critre, l'action dfinie est applique "! Sinon le paquet est compar successivement par rapport aux rgles suivantes
12
29/09/08
Suite de lexemple
!! On pourrait crer une ACL sur R1 et lappliquer son interface S1 afin de contrler les paquets qui proviennent de Bob. Elle devra tre active pour les paquets entrants
13
Fonctionnement
!! Une ACL implique un traitement en deux tapes:
#! Matching : recherche de correspondance #! Action: application de la rgle
29/09/08
Suite de lexemple
!! Notre ACL pour Bob
#! Rechercher les paquets dont ladresse IP source est celle de BOB et ladresse IP destination est celle de Serveur 1 et les supprimer. Transmettre tous les autres paquets.
15
La recherche de correspondance
!! Le matching: Le masque gnrique
#! Pour spcifier quelle partie de ladresse est examiner, CISCO utilise le masque gnrique (wildcard mask) #! Un masque gnrique ressemble un masque de rseau mais na pas la mme fonction et le mme comportement
!! Les bits 0 signifient que le routeur doit comparer ces bits !! Les bits 1 signifient que le routeur ne doit pas tenir compte de ces bits (dont care bits)
16
29/09/08
La recherche de correspondance
!! Exemples:
#! 0.0.0.0 : tous les bits de ladresse doivent tre examins #! 0.0.0.255: Seuls les 3 premiers octets sont examins #! 255.255.255.255 : ladresse na pas besoin dtre examine. Tous les bits sont censs correspondre demble et sont donc ignors. #! 0.0.15.255: Les 20 premiers bits sont examins #! 0.0.3.255: Les 22 premiers bits sont examins
17
access-list number remark text : Activation d'une ACL sur une interface "! ip access-group [ number | name [ in | out ] ] Visualiser les ACL "! show access-lists [ number | name ] : toutes les ACL quelque soit l'interface "! show ip access-lists [ number | name ] : les ACL uniquement lis au protocole IP
18
29/09/08
Exemple 1/3
access-list 1 deny 172.16.3.10 0.0.0.0 Refuse les paquets d'IP source 172.16.3.10 Le masque (galement appel wildcard mask) signifie ici que tous les bits de l'adresse IP sont significatifs access-list 1 permit 0.0.0.0 255.255.255.255 Tous les paquets IP sont autoriss Le masque 255.255.255.255 signifie qu'aucun bit n'est significatif
19
Exemple 2/3
Une notation amliore est possible pour remplacer le masque 255.255.255.255 qui dsigne une machine: Utilisation du terme host "! 0.0.0.0 avec le wildcard masque 255.255.255.255 qui dsigne tout le monde Utilisation du terme any
"!
20
10
29/09/08
Exemple 3/3
21
22
11
29/09/08
23
Les extended ACL permettent de filtrer des paquets en fonction de l'adresse de destination IP "! Du type de protocole (TCP, UDP, ICMP, IGRP, IGMP, ...) "! Port source "! Port destination
"!
...
24
12
29/09/08
25
26
13
29/09/08
Refus des paquets IP destination de la machine 10.1.1.1 et provenant de n'importe quelle source
access-list 101 deny tcp any gt 1023 host 10.1.1.1 eq 23
Refus de paquet TCP provenant d'un port source > 1023 et destination du port 23 de la machine d'IP 10.1.1.1
access-list 101 deny tcp any host 10.1.1.1 eq http
Bob tendu
!! Refuser Bob laccs tous les serveurs ftp joignable via linterface Ethernet de R1 et Larry na pas le droit de se connecter au serveur web du serveur 1. Reste autoris
28
14
29/09/08
29
Puis un
no deny ip 10.1.1.0 0.0.0.255 any
30
15
29/09/08
31
32
16
29/09/08
"!
access-list number remark text : Activation d'une ACL sur une interface "!ip access-group [ number | name [ in | out ] ]
"!
Number compris entre 1 et 99 ou entre 1300 et 1999 pour les ACLs standard
access-list number { deny | permit } protocol source sourcewildcard destination dest.-wildcard number : compris entre 100 et 199 ou 2000 et 2699 "!access-list 101 deny ip any host 10.1.1.1
"!
Refus des paquets IP destination de la machine 10.1.1.1 et provenant de n'importe quelle source Refus de paquet TCP provenant d'un port source > 1023 et destination du port 23 de la machine d'IP 10.1.1.1
"!
33
17