slide1
Download
Skip this Video
Download Presentation
Les Listes de Controle d\'Accès (Access-Control-Lists)

Loading in 2 Seconds...

play fullscreen
1 / 14

Les Listes de Controle d'Accès (Access-Control-Lists) - PowerPoint PPT Presentation


  • 127 Views
  • Uploaded on

Les Listes de Controle d\'Accès (Access-Control-Lists). Les Access Lists. • Généralités.

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about ' Les Listes de Controle d'Accès (Access-Control-Lists)' - psyche


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
slide2

Les Access Lists

• Généralités

• Une Liste d\'Accès est une séquence d\'actions d\'autorisation (permit) ou d\'interdiction (deny) sur des adresses ou des protocoles de couches supérieures.• Il existe différents types de Liste d\'Accès:- Standards (Standard) - Etendues (Extended) - Nommées (Named) - Dynamiques

Transmission de paquetssur l\'interface

Telnet

Liste d\'Accès

AccèsLigne Terminal virtuel(IP)

CFI Site Paris

slide3

Les Access Lists

• Généralités

• Comment fonctionne une liste d\'accès

Liste d\'Accès

présente?

Non

Paquets entrants

sur l\'interface

Oui

Test N°1

Oui

Non

Oui

Test N°2

Non

Traitement du Paquet

Test N°n

PermitouDeny

Permit

Oui

Non

Deny

Paquet éliminé

CFI Site Paris

slide4

Les Access Lists

• Les numéros de Listes d\'Accès

CFI Site Paris

slide5

Les Access Lists

• La syntaxe des Listes d\'Accès

● Liste d\'accès IP Standard

Router(config)#access-list access-list-number {deny|permit}source [source-wildcard] [log]

● Router(config)#- Configuration en mode EXEC privilégié

● access-list - Nom de la commande

●access-list-number- Numéro de la liste d\'accès (1 à 99)

● {deny|permit} - Instruction (l\'une ou l\'autre)

- deny = interdiction

- permit = autorisation

● source - Adresse IP de la source● source-wildcard - Masque générique

● log - demande de génération d\'un message de log

CFI Site Paris

slide6

Les Access Lists

• La syntaxe des Listes d\'Accès

● Liste d\'accès IP Etendue

Router(config)#access-list access-list-number { permit|deny} protocol

source source-wildcard [operator [port]] destination destination-wildcard

[operator [port]] [established] [log]

● Router(config)#- Configuration en mode EXEC privilégié ● destination - Adresse IP de destination

● access-list - Nom de la commande ● destination-wildcard - Masque générique

●access-list-number- Numéro de la liste d\'accès (100 à 199) ● operator port - Numéro de Port TCP ou UDP

- operator : LT, GT, LE, GE,EQ

● {deny|permit} - Instruction (l\'une ou l\'autre) ● established - Pour TCP

- deny = interdiction

- permit = autorisation ● log - demande de génération d\'un message de log

● protocol - Protocole à filtrer (IP, ICMP, TCP,UDP)

● source - Adresse IP de la source● source-wildcard - Masque générique

● operator port - Numéro de Port TCP ou UDP - operator : LT, GT, LE, GE,EQ

CFI Site Paris

slide7

Les Access Lists

• Règles d\'écriture

- Il faut passer une commande pour chaque instruction permit ou deny- Une nouvelle instruction est automatiquement insérée en fin de liste- Il n\'est pas possible de supprimer une ligne de la liste- Pour modifier une liste d\'accès standard ou étendue, il faut d\'abord la

supprimer puis la recréer- Une liste de contrôle d\'accès se termine toujours par une instruction

deny any implicite

- Il faut placer les instructions les plus globales en tête de liste

CFI Site Paris

slide8

Les Access Lists

• Règles d\'écriture

- Le masque générique

- Le masque générique permet de réaliser un masque sur l\'adresse source ou destination

- Ce masque permet de sélectionner: - Un Host - Un sous-réseau - Un intervalle d\'adresses de Hosts - Un intervalle d\'adresses de réseaux ou sous-réseaux

- Dans ce masque un "0" indique le bit à tester - Ex: 0.0.0.0 indique "Tester tous les bits de l\'adresse IP" ou

L\'adresse IP source (destination) du paquet IP émis (reçu) doit correspondre bit pour bit à l\'adresse source (destination) de la liste d\'accès.

- Le mot-clé host remplace le masque générique 0.0.0.0 - Le mot-clé any remplace le masque générique 255.255.255.255

CFI Site Paris

slide9

Les Access Lists

• Règles d\'utilisation

- Les listes d\'accès peuvent être utilisées en entrée ou en sortie- Elles se placent sur les interfaces

- On peut placer une seule liste d\'accès par protocole et par sens sur une interface

- Les listes d\'accès en entrée sont appliquées dès la réception du paquet par l\'interface- Les listes d\'accès en sortie sont appliquées lors de l\'émission du paquet par

l\'interface

- Les listes d\'accès standards sont placées près de la destination- Les listes d\'accès étendues sont placées près de la source

CFI Site Paris

slide10

Les Access Lists

• Exemples

- Liste d\'accès Standard

1. On veut interdire le host dont l\'adresse IP est : 192.168.10.120

Syntaxe de la commande:Router(config)# access-list 1 deny 192.168.10.120 0.0.0.0

ou

Router(config)# access-list 1 deny host 192.168.10.120

2. On veut interdire le réseau dont l\'adresse IP est : 192.168.10.0 255.255.255.0

Syntaxe de la commande:Router(config)# access-list 1 deny 192.168.10.0 0.0.0.255

3. On veut interdire le sous-réseau dont l\'adresse IP est : 192.168.10.8 255.255.255.248

Syntaxe de la commande:Router(config)# access-list 1 deny 192.168.10.8 0.0.0.7

CFI Site Paris

slide11

Les Access Lists

• Exemples

- Liste d\'accès Standard

4. On veut interdire les sous-réseaux dont les adresses IP vont de : 172.16.16.0 à 172.16.48.0

avec un masque égal à 255.255.240.0.

Syntaxe de la commande:Router(config)# access-list 1 deny 172.16.16.0 0.0.63.255

5. On veut interdire les sous-réseaux dont les adresses IP vont de : 192.168.10.8 à 192.168.10.56

avec un masque égal à 255.255.255.240.

Syntaxe de la commande: Router(config)# access-list 1 deny 192.168.10.0 0.0.0.63

CFI Site Paris

slide12

Les Access Lists

• Exemples

- Liste d\'accès Etendue

1. On veut interdire les messages ICMP echo de n\'importe quelle source vers toute destination. Syntaxe de la commande:Router(config)# access-list 101 deny icmp any any echo

2. On veut autoriser l\'accès Telnet vers le host dont l\'adresse IP est : 192.168.10.140 255.255.255.0

venant du host 200.202.2.2 255.255.255.0

Syntaxe de la commande:Router(config)# access-list 102 permit tcp host 200.202.2.2 any host 192.168.10.140 eq 23

3. On veut autoriser le trafic IP venant du réseau 191.10.1.0 255.255.255.0 à destination du réseau 80.8.8.0 255.255.255.0

Syntaxe de la commande:Router(config)# access-list 111 permit ip 191.10.1.0 0.0.0.255 80.8.8.0 0.0.0.255

CFI Site Paris

slide13

Les Access Lists

• Exemples

- Liste d\'accès Etendue

4. On veut autoriser les accès DNS sur le host dont l\'adresse est 150.150.150.200 255.255.255.0 Syntaxe de la commande:Router(config)# access-list 101 permit udp any any host 150.150.150.200 eq 53

5. On veut autoriser le trafic IP venant du réseau 191.10.1.0 255.255.255.0 à destination du réseau 80.8.8.0 255.255.255.0

Syntaxe de la commande:Router(config)# access-list 111 permit ip 191.10.1.0 0.0.0.255 80.8.8.0 0.0.0.255

CFI Site Paris

slide14

Les Access Lists

• Appliquer des Access-Lists

• Sécuriser l\'accès au routeur - Les ports "Terminal virtuel"

• Les listes d\'accès étendues peuvent être utilisées pout bloquer Telnet (TCP 23) - Doivent être configurées pour chaque interface IP sur le routeur• Appliquer une liste d\'accès standard aux lignes vty est un meilleur choix.

PortPhysique (E0)

4

0

1

3

2

PortsVirtuels(vty 0-4)

• RTA(config)#access-list 5 permit 200.100.50.0 0.0.0.255• RTA(config)#access-list 5 permit host 192.168.1.1• RTA(config)#line vty 0 4• RTA(config-line)#access-class 5 in

CFI Site Paris

ad