Les Listes de Controle d
This presentation is the property of its rightful owner.
Sponsored Links
1 / 14

Les Listes de Controle d'Accès (Access-Control-Lists) PowerPoint PPT Presentation


  • 88 Views
  • Uploaded on
  • Presentation posted in: General

Les Listes de Controle d'Accès (Access-Control-Lists). Les Access Lists. • Généralités.

Download Presentation

Les Listes de Controle d'Accès (Access-Control-Lists)

An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -

Presentation Transcript


Les listes de controle d acc s access control lists

Les Listes de Controle d'Accès(Access-Control-Lists)

CFI Site Paris


Les listes de controle d acc s access control lists

Les Access Lists

• Généralités

• Une Liste d'Accès est une séquence d'actions d'autorisation (permit) ou d'interdiction (deny) sur des adresses ou des protocoles de couches supérieures.• Il existe différents types de Liste d'Accès:- Standards (Standard) - Etendues (Extended) - Nommées (Named) - Dynamiques

Transmission de paquetssur l'interface

Telnet

Liste d'Accès

AccèsLigne Terminal virtuel(IP)

CFI Site Paris


Les listes de controle d acc s access control lists

Les Access Lists

• Généralités

• Comment fonctionne une liste d'accès

Liste d'Accès

présente?

Non

Paquets entrants

sur l'interface

Oui

Test N°1

Oui

Non

Oui

Test N°2

Non

Traitement du Paquet

Test N°n

PermitouDeny

Permit

Oui

Non

Deny

Paquet éliminé

CFI Site Paris


Les listes de controle d acc s access control lists

Les Access Lists

• Les numéros de Listes d'Accès

CFI Site Paris


Les listes de controle d acc s access control lists

Les Access Lists

• La syntaxe des Listes d'Accès

● Liste d'accès IP Standard

Router(config)#access-list access-list-number {deny|permit}source [source-wildcard] [log]

● Router(config)#- Configuration en mode EXEC privilégié

● access-list - Nom de la commande

●access-list-number- Numéro de la liste d'accès (1 à 99)

● {deny|permit} - Instruction (l'une ou l'autre)

- deny = interdiction

- permit = autorisation

● source - Adresse IP de la source● source-wildcard - Masque générique

● log - demande de génération d'un message de log

CFI Site Paris


Les listes de controle d acc s access control lists

Les Access Lists

• La syntaxe des Listes d'Accès

● Liste d'accès IP Etendue

Router(config)#access-list access-list-number { permit|deny} protocol

source source-wildcard [operator [port]] destination destination-wildcard

[operator [port]] [established] [log]

● Router(config)#- Configuration en mode EXEC privilégié ● destination - Adresse IP de destination

● access-list - Nom de la commande ● destination-wildcard - Masque générique

●access-list-number- Numéro de la liste d'accès (100 à 199) ● operator port - Numéro de Port TCP ou UDP

- operator : LT, GT, LE, GE,EQ

● {deny|permit} - Instruction (l'une ou l'autre) ● established - Pour TCP

- deny = interdiction

- permit = autorisation ● log - demande de génération d'un message de log

● protocol - Protocole à filtrer (IP, ICMP, TCP,UDP)

● source - Adresse IP de la source● source-wildcard - Masque générique

● operator port - Numéro de Port TCP ou UDP - operator : LT, GT, LE, GE,EQ

CFI Site Paris


Les listes de controle d acc s access control lists

Les Access Lists

• Règles d'écriture

- Il faut passer une commande pour chaque instruction permit ou deny- Une nouvelle instruction est automatiquement insérée en fin de liste- Il n'est pas possible de supprimer une ligne de la liste- Pour modifier une liste d'accès standard ou étendue, il faut d'abord la

supprimer puis la recréer- Une liste de contrôle d'accès se termine toujours par une instruction

deny any implicite

- Il faut placer les instructions les plus globales en tête de liste

CFI Site Paris


Les listes de controle d acc s access control lists

Les Access Lists

• Règles d'écriture

- Le masque générique

- Le masque générique permet de réaliser un masque sur l'adresse source ou destination

- Ce masque permet de sélectionner: - Un Host - Un sous-réseau - Un intervalle d'adresses de Hosts - Un intervalle d'adresses de réseaux ou sous-réseaux

- Dans ce masque un "0" indique le bit à tester - Ex: 0.0.0.0 indique "Tester tous les bits de l'adresse IP" ou

L'adresse IP source (destination) du paquet IP émis (reçu) doit correspondre bit pour bit à l'adresse source (destination) de la liste d'accès.

- Le mot-clé host remplace le masque générique 0.0.0.0 - Le mot-clé any remplace le masque générique 255.255.255.255

CFI Site Paris


Les listes de controle d acc s access control lists

Les Access Lists

• Règles d'utilisation

- Les listes d'accès peuvent être utilisées en entrée ou en sortie- Elles se placent sur les interfaces

- On peut placer une seule liste d'accès par protocole et par sens sur une interface

- Les listes d'accès en entrée sont appliquées dès la réception du paquet par l'interface- Les listes d'accès en sortie sont appliquées lors de l'émission du paquet par

l'interface

- Les listes d'accès standards sont placées près de la destination- Les listes d'accès étendues sont placées près de la source

CFI Site Paris


Les listes de controle d acc s access control lists

Les Access Lists

• Exemples

- Liste d'accès Standard

1. On veut interdire le host dont l'adresse IP est : 192.168.10.120

Syntaxe de la commande:Router(config)# access-list 1 deny 192.168.10.120 0.0.0.0

ou

Router(config)# access-list 1 deny host 192.168.10.120

2. On veut interdire le réseau dont l'adresse IP est : 192.168.10.0 255.255.255.0

Syntaxe de la commande:Router(config)# access-list 1 deny 192.168.10.0 0.0.0.255

3. On veut interdire le sous-réseau dont l'adresse IP est : 192.168.10.8 255.255.255.248

Syntaxe de la commande:Router(config)# access-list 1 deny 192.168.10.8 0.0.0.7

CFI Site Paris


Les listes de controle d acc s access control lists

Les Access Lists

• Exemples

- Liste d'accès Standard

4. On veut interdire les sous-réseaux dont les adresses IP vont de : 172.16.16.0 à 172.16.48.0

avec un masque égal à 255.255.240.0.

Syntaxe de la commande:Router(config)# access-list 1 deny 172.16.16.0 0.0.63.255

5. On veut interdire les sous-réseaux dont les adresses IP vont de : 192.168.10.8 à 192.168.10.56

avec un masque égal à 255.255.255.240.

Syntaxe de la commande: Router(config)# access-list 1 deny 192.168.10.0 0.0.0.63

CFI Site Paris


Les listes de controle d acc s access control lists

Les Access Lists

• Exemples

- Liste d'accès Etendue

1. On veut interdire les messages ICMP echo de n'importe quelle source vers toute destination. Syntaxe de la commande:Router(config)# access-list 101 deny icmp any any echo

2. On veut autoriser l'accès Telnet vers le host dont l'adresse IP est : 192.168.10.140 255.255.255.0

venant du host 200.202.2.2 255.255.255.0

Syntaxe de la commande:Router(config)# access-list 102 permit tcp host 200.202.2.2 any host 192.168.10.140 eq 23

3. On veut autoriser le trafic IP venant du réseau 191.10.1.0 255.255.255.0 à destination du réseau 80.8.8.0 255.255.255.0

Syntaxe de la commande:Router(config)# access-list 111 permit ip 191.10.1.0 0.0.0.255 80.8.8.0 0.0.0.255

CFI Site Paris


Les listes de controle d acc s access control lists

Les Access Lists

• Exemples

- Liste d'accès Etendue

4. On veut autoriser les accès DNS sur le host dont l'adresse est 150.150.150.200 255.255.255.0 Syntaxe de la commande:Router(config)# access-list 101 permit udp any any host 150.150.150.200 eq 53

5. On veut autoriser le trafic IP venant du réseau 191.10.1.0 255.255.255.0 à destination du réseau 80.8.8.0 255.255.255.0

Syntaxe de la commande:Router(config)# access-list 111 permit ip 191.10.1.0 0.0.0.255 80.8.8.0 0.0.0.255

CFI Site Paris


Les listes de controle d acc s access control lists

Les Access Lists

• Appliquer des Access-Lists

• Sécuriser l'accès au routeur - Les ports "Terminal virtuel"

• Les listes d'accès étendues peuvent être utilisées pout bloquer Telnet (TCP 23) - Doivent être configurées pour chaque interface IP sur le routeur• Appliquer une liste d'accès standard aux lignes vty est un meilleur choix.

PortPhysique (E0)

4

0

1

3

2

PortsVirtuels(vty 0-4)

• RTA(config)#access-list 5 permit 200.100.50.0 0.0.0.255• RTA(config)#access-list 5 permit host 192.168.1.1• RTA(config)#line vty 0 4• RTA(config-line)#access-class 5 in

CFI Site Paris


  • Login