1 / 14

Les Listes de Controle d'Accès (Access-Control-Lists)

Les Listes de Controle d'Accès (Access-Control-Lists). Les Access Lists. • Généralités.

psyche
Download Presentation

Les Listes de Controle d'Accès (Access-Control-Lists)

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Les Listes de Controle d'Accès(Access-Control-Lists) CFI Site Paris

  2. Les Access Lists • Généralités • Une Liste d'Accès est une séquence d'actions d'autorisation (permit) ou d'interdiction (deny) sur des adresses ou des protocoles de couches supérieures.• Il existe différents types de Liste d'Accès:- Standards (Standard) - Etendues (Extended) - Nommées (Named) - Dynamiques Transmission de paquetssur l'interface Telnet Liste d'Accès AccèsLigne Terminal virtuel(IP) CFI Site Paris

  3. Les Access Lists • Généralités • Comment fonctionne une liste d'accès Liste d'Accès présente? Non Paquets entrants sur l'interface Oui Test N°1 Oui Non Oui Test N°2 Non Traitement du Paquet Test N°n PermitouDeny Permit Oui Non Deny Paquet éliminé CFI Site Paris

  4. Les Access Lists • Les numéros de Listes d'Accès CFI Site Paris

  5. Les Access Lists • La syntaxe des Listes d'Accès ● Liste d'accès IP Standard Router(config)#access-list access-list-number {deny|permit}source [source-wildcard] [log] ● Router(config)#- Configuration en mode EXEC privilégié ● access-list - Nom de la commande ●access-list-number- Numéro de la liste d'accès (1 à 99) ● {deny|permit} - Instruction (l'une ou l'autre) - deny = interdiction - permit = autorisation ● source - Adresse IP de la source● source-wildcard - Masque générique ● log - demande de génération d'un message de log CFI Site Paris

  6. Les Access Lists • La syntaxe des Listes d'Accès ● Liste d'accès IP Etendue Router(config)#access-list access-list-number { permit|deny} protocol source source-wildcard [operator [port]] destination destination-wildcard [operator [port]] [established] [log] ● Router(config)#- Configuration en mode EXEC privilégié ● destination - Adresse IP de destination ● access-list - Nom de la commande ● destination-wildcard - Masque générique ●access-list-number- Numéro de la liste d'accès (100 à 199) ● operator port - Numéro de Port TCP ou UDP - operator : LT, GT, LE, GE,EQ ● {deny|permit} - Instruction (l'une ou l'autre) ● established - Pour TCP - deny = interdiction - permit = autorisation ● log - demande de génération d'un message de log ● protocol - Protocole à filtrer (IP, ICMP, TCP,UDP) ● source - Adresse IP de la source● source-wildcard - Masque générique ● operator port - Numéro de Port TCP ou UDP - operator : LT, GT, LE, GE,EQ CFI Site Paris

  7. Les Access Lists • Règles d'écriture - Il faut passer une commande pour chaque instruction permit ou deny- Une nouvelle instruction est automatiquement insérée en fin de liste- Il n'est pas possible de supprimer une ligne de la liste- Pour modifier une liste d'accès standard ou étendue, il faut d'abord la supprimer puis la recréer- Une liste de contrôle d'accès se termine toujours par une instruction deny any implicite - Il faut placer les instructions les plus globales en tête de liste CFI Site Paris

  8. Les Access Lists • Règles d'écriture - Le masque générique - Le masque générique permet de réaliser un masque sur l'adresse source ou destination - Ce masque permet de sélectionner: - Un Host - Un sous-réseau - Un intervalle d'adresses de Hosts - Un intervalle d'adresses de réseaux ou sous-réseaux - Dans ce masque un "0" indique le bit à tester - Ex: 0.0.0.0 indique "Tester tous les bits de l'adresse IP" ou L'adresse IP source (destination) du paquet IP émis (reçu) doit correspondre bit pour bit à l'adresse source (destination) de la liste d'accès. - Le mot-clé host remplace le masque générique 0.0.0.0 - Le mot-clé any remplace le masque générique 255.255.255.255 CFI Site Paris

  9. Les Access Lists • Règles d'utilisation - Les listes d'accès peuvent être utilisées en entrée ou en sortie- Elles se placent sur les interfaces - On peut placer une seule liste d'accès par protocole et par sens sur une interface - Les listes d'accès en entrée sont appliquées dès la réception du paquet par l'interface- Les listes d'accès en sortie sont appliquées lors de l'émission du paquet par l'interface - Les listes d'accès standards sont placées près de la destination- Les listes d'accès étendues sont placées près de la source CFI Site Paris

  10. Les Access Lists • Exemples - Liste d'accès Standard 1. On veut interdire le host dont l'adresse IP est : 192.168.10.120 Syntaxe de la commande:Router(config)# access-list 1 deny 192.168.10.120 0.0.0.0 ou Router(config)# access-list 1 deny host 192.168.10.120 2. On veut interdire le réseau dont l'adresse IP est : 192.168.10.0 255.255.255.0 Syntaxe de la commande:Router(config)# access-list 1 deny 192.168.10.0 0.0.0.255 3. On veut interdire le sous-réseau dont l'adresse IP est : 192.168.10.8 255.255.255.248 Syntaxe de la commande:Router(config)# access-list 1 deny 192.168.10.8 0.0.0.7 CFI Site Paris

  11. Les Access Lists • Exemples - Liste d'accès Standard 4. On veut interdire les sous-réseaux dont les adresses IP vont de : 172.16.16.0 à 172.16.48.0 avec un masque égal à 255.255.240.0. Syntaxe de la commande:Router(config)# access-list 1 deny 172.16.16.0 0.0.63.255 5. On veut interdire les sous-réseaux dont les adresses IP vont de : 192.168.10.8 à 192.168.10.56 avec un masque égal à 255.255.255.240. Syntaxe de la commande: Router(config)# access-list 1 deny 192.168.10.0 0.0.0.63 CFI Site Paris

  12. Les Access Lists • Exemples - Liste d'accès Etendue 1. On veut interdire les messages ICMP echo de n'importe quelle source vers toute destination. Syntaxe de la commande:Router(config)# access-list 101 deny icmp any any echo 2. On veut autoriser l'accès Telnet vers le host dont l'adresse IP est : 192.168.10.140 255.255.255.0 venant du host 200.202.2.2 255.255.255.0 Syntaxe de la commande:Router(config)# access-list 102 permit tcp host 200.202.2.2 any host 192.168.10.140 eq 23 3. On veut autoriser le trafic IP venant du réseau 191.10.1.0 255.255.255.0 à destination du réseau 80.8.8.0 255.255.255.0 Syntaxe de la commande:Router(config)# access-list 111 permit ip 191.10.1.0 0.0.0.255 80.8.8.0 0.0.0.255 CFI Site Paris

  13. Les Access Lists • Exemples - Liste d'accès Etendue 4. On veut autoriser les accès DNS sur le host dont l'adresse est 150.150.150.200 255.255.255.0 Syntaxe de la commande:Router(config)# access-list 101 permit udp any any host 150.150.150.200 eq 53 5. On veut autoriser le trafic IP venant du réseau 191.10.1.0 255.255.255.0 à destination du réseau 80.8.8.0 255.255.255.0 Syntaxe de la commande:Router(config)# access-list 111 permit ip 191.10.1.0 0.0.0.255 80.8.8.0 0.0.0.255 CFI Site Paris

  14. Les Access Lists • Appliquer des Access-Lists • Sécuriser l'accès au routeur - Les ports "Terminal virtuel" • Les listes d'accès étendues peuvent être utilisées pout bloquer Telnet (TCP 23) - Doivent être configurées pour chaque interface IP sur le routeur• Appliquer une liste d'accès standard aux lignes vty est un meilleur choix. PortPhysique (E0) 4 0 1 3 2 PortsVirtuels(vty 0-4) • RTA(config)#access-list 5 permit 200.100.50.0 0.0.0.255• RTA(config)#access-list 5 permit host 192.168.1.1• RTA(config)#line vty 0 4• RTA(config-line)#access-class 5 in CFI Site Paris

More Related