Professional Documents
Culture Documents
Filtrage de paquets
` `
En traduction littrale : Pare-feu Dispositif de protection entre un rseau local et un autre rseau Se protger contre :
Les non autoriss
La solution Firewall
`
Accs scuris et transparent aux serveurs de l Internet Filtrage sur protocoles de communication Filtrage sur les applications Filtrage sur les utilisateurs Fichiers logs et statistiques d utilisation Gestion possible de rseaux complexe (VPN, DMZ, NAT)
` ` ` ` `
Firewall
Partenaire
Fournisseur
Entreprise
Oprateur B Oprateur A
Agence
DMZ
Agence Rgionale
Service Distant
Une Liste d'Accs est une squence d'actions d'autorisation (permit) ou d'interdiction (deny) sur des adresses ou des protocoles de couches suprieures. Il existe plusieurs types de Liste d'Accs: Standards (Standard) Etendues (Extended) Nommes (Named) Dynamiques
Telnet
Liste d'Accs
Non
Non Oui Test Nn Non Deny Paquet limin Permit ou Deny Permit Traitement du Paquet
Prsentation
Les listes de contrle daccs sont des instructions qui expriment une liste de rgles, imposes par loprateur, donnant un contrle supplmentaire sur les paquets reus et transmis par le routeur. Les listes de contrle daccs sont capables dautoriser ou dinterdire des paquets, que ce soit en entre ou en sortie vers une destination. Elles oprent selon un ordre squentiel et logique, en valuant les paquets partir du dbut de la liste dinstructions. Si le paquet rpond au critre de la premire instruction, il ignore le reste des rgles et il est autoris ou refus.
Numro de Liste d'Accs 1 99 100 199 200 299 300 399 400 499 500 599 600 699 700 799 800 899 900 999 1000 1099 1100 1199 1200 1299 1300 1399 2000 2699
Description Access List Standard IP Access List Etendue IP Protocole Type-Code Access List DECnet Access List XNS Access List Standard XNS Access List Etendue Apple Talk Access List Adresses MAC Acces List IPX Access List Standard IPX Access List Etendue IPX SAP Access List Adresses MAC Acces List Etendue IPX Adresses agrges Access list Access List Standard IP (extension) Access List Etendue IP (extension)
9
Algorithme de vrification
Lorsque le routeur dtermine s'il doit acheminer ou bloquer un paquet, la plate-forme logicielle Cisco IOS examine le paquet en fonction de chaque instruction de condition dans l'ordre dans lequel les instructions ont t cres. Si le paquet arrivant linterface du routeur satisfait une condition, il est autoris ou refus (suivant linstruction) et les autres instructions ne sont pas vrifies. Si un paquet ne correspond aucune instruction dans lACL, le paquet est jet. Ceci est le rsultat de linstruction implicite deny any la fin de chaque ACL.
Les listes de contrle daccs tendues Une liste de contrle daccs tendue permet de faire un filtrage plus prcis quune liste standard, elle permet galement deffectuer un filtrage en fonction du protocole, du timing, sur le routage : Une liste de contrle daccs tendue se cre par la commande suivante : access-list numro_de_liste_daccs {permit | deny} protocole source {masque_source} destination {masque_destination} {oprateur oprande} [established] [log] o Numro_de_liste_daccs : identifie la liste Permit | deny : autoriser ou interdire Protocol : indique le type de protocole IP, TCP, UDP, ICMP, GRP, IGRP Source et destination : identifient ladresse IP source et destination Masque_source et masque_destination : bits de masque gnrique
Oprateur : o Lt : plus petit o Gt : plus grand o Eq : gal o neq : non gal oprande : n de port established : autorise le trafic TCP si les paquets utilisent une connexion tablie (bit de ACK) Les numros de ports peuvent tre exprim de manire numrique ou bien par une quivalence alphanumrique
Pour configurer les listes de contrle daccs nommes, la syntaxe est la suivante : Router(config)# ip access-list {standard | extended} nom En mode de configuration de liste de contrle d'accs, prcisez une ou plusieurs conditions d'autorisation ou de refus. Cela dtermine si le paquet est achemin ou abandonn. Router (config {std- | ext-}nacl)# deny {source [masque-gnrique-source] | any} ou Router (config {std- | ext-}nacl)# permit {source [masque-gnriquesource] | any} La configuration illustre dans la figure cre une liste de contrle d'accs standard nomme Internetfilter et une liste de contrle d'accs tendue nomme afnog_group.
Ip interface ethernet0/1 Ip address 2.0.5.1.255.255.255.0 Ip address-group Internetfilter out Ip access-group afnog_group in ip access-list standard Internetfilter permit 1.2.3.4 deny any ip access-list extended afnog_group permit tcp any 171.69.0.0.0.255.255.255 eq telnet deny tcp any any deny udp any 171.69.0.0.0.255.255.255 lt 1024 deny ip any log
Router(config)# - Configuration en mode EXEC privilgi access-list - Nom de la commande access-list-number - Numro de la liste d'accs (1 99) {deny|permit} - Instruction (l'une ou l'autre) - deny = interdiction - permit = autorisation source - Adresse IP de la source source-wildcard - Masque gnrique log - demande de gnration d'un message de log
35
- Il faut passer une commande pour chaque instruction permit ou deny - Une nouvelle instruction est automatiquement insre en fin de liste - Il n'est pas possible de supprimer une ligne de la liste - Pour modifier une liste d'accs standard ou tendue, il faut d'abord la supprimer puis la recrer - Une liste de contrle d'accs se termine toujours par une instruction deny any implicite - Il faut placer les instructions les plus globales en tte de liste
37
- Dans ce masque un "0" indique le bit tester - Ex: 0.0.0.0 indique "Tester tous les bits de l'adresse IP" ou L'adresse IP source (destination) du paquet IP mis (reu) doit correspondre bit pour bit l'adresse source (destination) de la liste d'accs. - Le mot-cl host remplace le masque gnrique 0.0.0.0 - Le mot-cl any remplace le masque gnrique 255.255.255.255
38
- Les listes d'accs peuvent tre utilises en entre ou en sortie - Elles se placent sur les interfaces - On peut placer une seule liste d'accs par protocole et par sens sur une interface - Les listes d'accs en entre sont appliques ds la rception du paquet par l'interface - Les listes d'accs en sortie sont appliques lors de l'mission du paquet par l'interface - Les listes d'accs standards sont places prs de la destination - Les listes d'accs tendues sont places prs de la source
39
1. On veut interdire le host dont l'adresse IP est : 192.168.10.120 Syntaxe de la commande: Router(config)# access-list 1 deny 192.168.10.120 0.0.0.0 ou Router(config)# access-list 1 deny host 192.168.10.120
2. On veut interdire le rseau dont l'adresse IP est : 192.168.10.0 255.255.255.0 Syntaxe de la commande: Router(config)# access-list 1 deny 192.168.10.0 0.0.0.255
3. On veut interdire le sous-rseau dont l'adresse IP est : 192.168.10.8 255.255.255.248 Syntaxe de la commande: Router(config)# access-list 1 deny 192.168.10.8 0.0.0.7
40
4. On veut interdire les sous-rseaux dont les adresses IP vont de : 172.16.16.0 172.16.48.0 avec un masque gal 255.255.240.0. Syntaxe de la commande: Router(config)# access-list 1 deny 172.16.16.0 0.0.63.255 5. On veut interdire les sous-rseaux dont les adresses IP vont de : 192.168.10.8 192.168.10.56 avec un masque gal 255.255.255.240. Syntaxe de la commande: Router(config)# access-list 1 deny 192.168.10.0 0.0.0.63
41
2. On veut autoriser l'accs Telnet vers le host dont l'adresse IP est : 192.168.10.140 255.255.255.0
venant du host 200.202.2.2 255.255.255.0 Syntaxe de la commande:
Router(config)# access-list 102 permit tcp host 200.202.2.2 any host 192.168.10.140 eq 23
Syntaxe de la commande: Router(config)# access-list 111 permit ip 191.10.1.0 0.0.0.255 80.8.8.0 0.0.0.255
42
4. On veut autoriser les accs DNS sur le host dont l'adresse est 150.150.150.200 255.255.255.0 Syntaxe de la commande:
43
0 1 2 3 4
Ports Virtuels (vty 0-4)
RTA(config)#access-list 5 permit 200.100.50.0 0.0.0.255 RTA(config)#access-list 5 permit host 192.168.1.1 RTA(config)#line vty 0 4 RTA(config-line)#access-class 5 in
44