Liste de contrle daccs

Filtrage de paquets

Prsentation dun Firewall

Quest-ce quun Firewall ?

` `

En traduction littrale : Pare-feu Dispositif de protection entre un rseau local et un autre rseau Se protger contre :
Les non autoriss

La solution Firewall
`

Accs scuris et transparent aux serveurs de l Internet Filtrage sur protocoles de communication Filtrage sur les applications Filtrage sur les utilisateurs Fichiers logs et statistiques d utilisation Gestion possible de rseaux complexe (VPN, DMZ, NAT)

` ` ` ` `

Firewall

Partenaire

Fournisseur

Entreprise

Oprateur B Oprateur A
Agence

DMZ

Serveurs Web Serveur DNS Relais Mail SMTP

Utilisateur Mobile ou Tltravailleur

Agence Rgionale

Service Distant

Les Access Lists

Gnralits

Une Liste d'Accs est une squence d'actions d'autorisation (permit) ou d'interdiction (deny) sur des adresses ou des protocoles de couches suprieures. Il existe plusieurs types de Liste d'Accs: Standards (Standard) Etendues (Extended) Nommes (Named) Dynamiques

Transmission de paquets sur l'interface

Telnet

Liste d'Accs

Accs Ligne Terminal virtuel (IP)

Les Access Lists

Gnralits
Comment fonctionne une liste d'accs

Non

Paquets entrants sur l'interface

Liste d'Accs prsente?

Oui Oui Test N1

Non Oui Test N2

Non Oui Test Nn Non Deny Paquet limin Permit ou Deny Permit Traitement du Paquet

Prsentation
Les listes de contrle daccs sont des instructions qui expriment une liste de rgles, imposes par loprateur, donnant un contrle supplmentaire sur les paquets reus et transmis par le routeur. Les listes de contrle daccs sont capables dautoriser ou dinterdire des paquets, que ce soit en entre ou en sortie vers une destination. Elles oprent selon un ordre squentiel et logique, en valuant les paquets partir du dbut de la liste dinstructions. Si le paquet rpond au critre de la premire instruction, il ignore le reste des rgles et il est autoris ou refus.

Les Access Lists

Les numros de Listes d'Accs

Numro de Liste d'Accs 1 99 100 199 200 299 300 399 400 499 500 599 600 699 700 799 800 899 900 999 1000 1099 1100 1199 1200 1299 1300 1399 2000 2699

Description Access List Standard IP Access List Etendue IP Protocole Type-Code Access List DECnet Access List XNS Access List Standard XNS Access List Etendue Apple Talk Access List Adresses MAC Acces List IPX Access List Standard IPX Access List Etendue IPX SAP Access List Adresses MAC Acces List Etendue IPX Adresses agrges Access list Access List Standard IP (extension) Access List Etendue IP (extension)
9

Numrotation des Acl

Une liste de contrle daccs est identifiable par son numro, attribu suivant le protocole et le type : Type de liste Listes daccs IP standard Listes daccs IP tendues Listes daccs Appletalk Listes daccs IPX standard Listes daccs IPX tendues Listes daccs IPX SAP Plage de numros 1 99 100 199 600 699 800 899 900 999 1000 1099

Algorithme de vrification
Lorsque le routeur dtermine s'il doit acheminer ou bloquer un paquet, la plate-forme logicielle Cisco IOS examine le paquet en fonction de chaque instruction de condition dans l'ordre dans lequel les instructions ont t cres. Si le paquet arrivant linterface du routeur satisfait une condition, il est autoris ou refus (suivant linstruction) et les autres instructions ne sont pas vrifies. Si un paquet ne correspond aucune instruction dans lACL, le paquet est jet. Ceci est le rsultat de linstruction implicite deny any la fin de chaque ACL.

Principe de masque de bits gnrique

Un masque gnrique est une quantit de 32 bits diviss en quatre octets contenant chacun 8 bits. - 0 signifie " vrifier la valeur du bit correspondant " - 1 signifie " ne pas vrifier (ignorer) la valeur du bit correspondant ". Les listes de contrle d'accs utilisent le masquage gnrique pour identifier une adresse unique ou plusieurs adresses dans le but d'effectuer des vrifications visant accorder ou interdire l'accs. Le terme masque gnrique est un surnom du procd de correspondance masque-bit des listes de contrle d'accs.

Les commandes host et any

Ces deux commandes sont des abrviations permettant de simplifier la lecture ainsi que lcriture des listes de contrle daccs : - any : nimporte quelle adresse (quivaut 0.0.0.0 255.255.255.255) - host : abrviation du masque gnrique Ex: host 172.16.33.5 quivaut 172.16.33.5 0.0.0.0

LES DIFFRENTS TYPES DE LISTES DE CONTRLE DACCS

Les listes de contrle daccs standard : Les listes de contrle daccs standard permettent dautoriser ou dinterdire des adresses spcifiques ou bien un ensemble dadresses ou de protocoles Une liste daccs standard se cre par la commande suivante : access-list num_acl {permit | deny} source {masque_source} Numro_de_liste_daccs : identifie la liste Permit | deny : autoriser ou interdire Source : identifie ladresse IP source Masque_source : bits de masque gnrique

Exemple : access-list 1 deny 172.69.0.0 0.0.255.255

Les listes de contrle daccs tendues Une liste de contrle daccs tendue permet de faire un filtrage plus prcis quune liste standard, elle permet galement deffectuer un filtrage en fonction du protocole, du timing, sur le routage : Une liste de contrle daccs tendue se cre par la commande suivante : access-list numro_de_liste_daccs {permit | deny} protocole source {masque_source} destination {masque_destination} {oprateur oprande} [established] [log] o Numro_de_liste_daccs : identifie la liste Permit | deny : autoriser ou interdire Protocol : indique le type de protocole IP, TCP, UDP, ICMP, GRP, IGRP Source et destination : identifient ladresse IP source et destination Masque_source et masque_destination : bits de masque gnrique

Oprateur : o Lt : plus petit o Gt : plus grand o Eq : gal o neq : non gal oprande : n de port established : autorise le trafic TCP si les paquets utilisent une connexion tablie (bit de ACK) Les numros de ports peuvent tre exprim de manire numrique ou bien par une quivalence alphanumrique

Nommage des Acl

Depuis la version 11.2 dIOS, il est possible dutiliser les listes de contrles daccs nommes. Les listes de contrle d'accs nommes permettent d'identifier les listes de contrle d'accs IP standards et tendues par des chanes alphanumriques plutt que par la reprsentation numrique actuelle. Vous pouvez utiliser les listes de contrle d'accs nommes dans les situations suivantes : - Identifier intuitivement les listes de contrle d'accs l'aide d'un code alphanumrique. - Configurer plusieurs ACL standard et plusieurs ACLtendues dans un routeur pour un protocole donn

Pour configurer les listes de contrle daccs nommes, la syntaxe est la suivante : Router(config)# ip access-list {standard | extended} nom En mode de configuration de liste de contrle d'accs, prcisez une ou plusieurs conditions d'autorisation ou de refus. Cela dtermine si le paquet est achemin ou abandonn. Router (config {std- | ext-}nacl)# deny {source [masque-gnrique-source] | any} ou Router (config {std- | ext-}nacl)# permit {source [masque-gnriquesource] | any} La configuration illustre dans la figure cre une liste de contrle d'accs standard nomme Internetfilter et une liste de contrle d'accs tendue nomme afnog_group.

Ip interface ethernet0/1 Ip address 2.0.5.1.255.255.255.0 Ip address-group Internetfilter out Ip access-group afnog_group in ip access-list standard Internetfilter permit 1.2.3.4 deny any ip access-list extended afnog_group permit tcp any 171.69.0.0.0.255.255.255 eq telnet deny tcp any any deny udp any 171.69.0.0.0.255.255.255 lt 1024 deny ip any log

Lassignation dune liste de contrle daccs une interface

Une fois la liste de contrle daccs cre, il faut lassigner une interface de la manire suivante : Router(config-if)#ip access-group numro_liste_daccs {in | out } - In | out indique si la liste doit tre applique pour le trafic entrant ou sortant Pour vrifier les listes de contrle daccs ; La commande show ip interface affiche les informations relatives l'interface IP et indique si des listes de contrle d'accs sont configures. La commande show access-lists affiche le contenu de toutes les listes de contrle d'accs. La saisie du nom ou du numro d'une liste de contrle d'accs en tant qu'option de cette commande vous permet de consulter une liste spcifique

Emplacement des ACL

La rgle est de placer les listes de contrle d'accs tendues le plus prs possible de la source du trafic refus. tant donn que les listes de contrle d'accs standard ne prcisent pas les adresses de destination, vous devez les placer le plus prs possible de la destination. Pour tirer parti des avantages des listes de contrle d'accs en matire de scurit, vous devez au moins configurer des listes de contrle d'accs sur les routeurs priphriques situs aux frontires du rseau. Cela permet de fournir une protection de base contre le rseau externe ou de mettre l'abri une zone plus prive du rseau d'une zone moins contrle. Sur ces routeurs priphriques, des listes de contrle d'accs peuvent tre cres pour chaque protocole rseau configur sur les interfaces des routeurs. Vous pouvez configurer des listes de contrle d'accs afin que le trafic entrant, le trafic sortant ou les deux soient filtrs au niveau d'une interface.

Les Access Lists

La syntaxe des Listes d'Accs
Liste d'accs IP Standard
Router(config)#access-list access-list-number {deny|permit} source [source-wildcard] [log]

Router(config)# - Configuration en mode EXEC privilgi access-list - Nom de la commande access-list-number - Numro de la liste d'accs (1 99) {deny|permit} - Instruction (l'une ou l'autre) - deny = interdiction - permit = autorisation source - Adresse IP de la source source-wildcard - Masque gnrique log - demande de gnration d'un message de log
35

Les Access Lists

La syntaxe des Listes d'Accs
Liste d'accs IP Etendue
Router(config)#access-list access-list-number { permit|deny} protocol source source-wildcard [operator [port]] destination destination-wildcard [operator [port]] [established] [log]
Router(config)# - Configuration en mode EXEC privilgi access-list - Nom de la commande gnrique access-list-number - Numro de la liste d'accs (100 199) UDP LE, GE,EQ {deny|permit} - Instruction (l'une ou l'autre) - deny = interdiction - permit = autorisation message de log protocol - Protocole filtrer (IP, ICMP, TCP,UDP) source - Adresse IP de la source source-wildcard - Masque gnrique operator port - Numro de Port TCP ou UDP - operator : LT, GT, LE, GE,EQ
36

destination - Adresse IP de destination destination-wildcard - Masque

operator port - Numro de Port TCP ou - operator : LT, GT,

established - Pour TCP log - demande de gnration d'un

Les Access Lists

Rgles d'criture

- Il faut passer une commande pour chaque instruction permit ou deny - Une nouvelle instruction est automatiquement insre en fin de liste - Il n'est pas possible de supprimer une ligne de la liste - Pour modifier une liste d'accs standard ou tendue, il faut d'abord la supprimer puis la recrer - Une liste de contrle d'accs se termine toujours par une instruction deny any implicite - Il faut placer les instructions les plus globales en tte de liste

37

Les Access Lists

Rgles d'criture
- Le masque gnrique
-Le masque gnrique permet de raliser un masque sur l'adresse source ou destination
- Ce masque permet de slectionner: Un Un Un Un Host sous-rseau intervalle d'adresses de Hosts intervalle d'adresses de rseaux ou sous-rseaux

- Dans ce masque un "0" indique le bit tester - Ex: 0.0.0.0 indique "Tester tous les bits de l'adresse IP" ou L'adresse IP source (destination) du paquet IP mis (reu) doit correspondre bit pour bit l'adresse source (destination) de la liste d'accs. - Le mot-cl host remplace le masque gnrique 0.0.0.0 - Le mot-cl any remplace le masque gnrique 255.255.255.255
38

Les Access Lists

Rgles d'utilisation

- Les listes d'accs peuvent tre utilises en entre ou en sortie - Elles se placent sur les interfaces - On peut placer une seule liste d'accs par protocole et par sens sur une interface - Les listes d'accs en entre sont appliques ds la rception du paquet par l'interface - Les listes d'accs en sortie sont appliques lors de l'mission du paquet par l'interface - Les listes d'accs standards sont places prs de la destination - Les listes d'accs tendues sont places prs de la source

39

Les Access Lists

Exemples
- Liste d'accs Standard

1. On veut interdire le host dont l'adresse IP est : 192.168.10.120 Syntaxe de la commande: Router(config)# access-list 1 deny 192.168.10.120 0.0.0.0 ou Router(config)# access-list 1 deny host 192.168.10.120

2. On veut interdire le rseau dont l'adresse IP est : 192.168.10.0 255.255.255.0 Syntaxe de la commande: Router(config)# access-list 1 deny 192.168.10.0 0.0.0.255

3. On veut interdire le sous-rseau dont l'adresse IP est : 192.168.10.8 255.255.255.248 Syntaxe de la commande: Router(config)# access-list 1 deny 192.168.10.8 0.0.0.7
40

Les Access Lists

Exemples
- Liste d'accs Standard

4. On veut interdire les sous-rseaux dont les adresses IP vont de : 172.16.16.0 172.16.48.0 avec un masque gal 255.255.240.0. Syntaxe de la commande: Router(config)# access-list 1 deny 172.16.16.0 0.0.63.255 5. On veut interdire les sous-rseaux dont les adresses IP vont de : 192.168.10.8 192.168.10.56 avec un masque gal 255.255.255.240. Syntaxe de la commande: Router(config)# access-list 1 deny 192.168.10.0 0.0.0.63

41

Les Access Lists

Exemples
- Liste d'accs Etendue
1. On veut interdire les messages ICMP echo de n'importe quelle source vers toute destination.
Syntaxe de la commande:

Router(config)# access-list 101 deny icmp any any echo

2. On veut autoriser l'accs Telnet vers le host dont l'adresse IP est : 192.168.10.140 255.255.255.0
venant du host 200.202.2.2 255.255.255.0 Syntaxe de la commande:

Router(config)# access-list 102 permit tcp host 200.202.2.2 any host 192.168.10.140 eq 23

3. On veut autoriser le trafic IP venant du rseau 191.10.1.0 255.255.255.0 destination du rseau

80.8.8.0 255.255.255.0

Syntaxe de la commande: Router(config)# access-list 111 permit ip 191.10.1.0 0.0.0.255 80.8.8.0 0.0.0.255

42

Les Access Lists

Exemples
- Liste d'accs Etendue

4. On veut autoriser les accs DNS sur le host dont l'adresse est 150.150.150.200 255.255.255.0 Syntaxe de la commande:

Router(config)# access-list 101 permit udp any any host 150.150.150.200 eq 53

5. On veut autoriser le trafic IP venant du rseau 191.10.1.0 255.255.255.0 destination du rseau

80.8.8.0 255.255.255.0 Syntaxe de la commande:

Router(config)# access-list 111 permit ip 191.10.1.0 0.0.0.255 80.8.8.0 0.0.0.255

43

Les Access Lists

Appliquer des Access-Lists Scuriser l'accs au routeur - Les ports "Terminal virtuel"
Les listes d'accs tendues peuvent tre utilises pour bloquer Telnet (TCP 23) - Doivent tre configures pour chaque interface IP sur le routeur Appliquer une liste d'accs standard aux lignes vty est un meilleur choix.
Port Physique (E0)

0 1 2 3 4
Ports Virtuels (vty 0-4)

RTA(config)#access-list 5 permit 200.100.50.0 0.0.0.255 RTA(config)#access-list 5 permit host 192.168.1.1 RTA(config)#line vty 0 4 RTA(config-line)#access-class 5 in

44