Download
slide1 n.
Skip this Video
Loading SlideShow in 5 Seconds..
Les Listes de Controle d'Accès (Access-Control-Lists) PowerPoint Presentation
Download Presentation
Les Listes de Controle d'Accès (Access-Control-Lists)

Les Listes de Controle d'Accès (Access-Control-Lists)

181 Views Download Presentation
Download Presentation

Les Listes de Controle d'Accès (Access-Control-Lists)

- - - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript

  1. Les Listes de Controle d'Accès(Access-Control-Lists) CFI Site Paris

  2. Les Access Lists • Généralités • Une Liste d'Accès est une séquence d'actions d'autorisation (permit) ou d'interdiction (deny) sur des adresses ou des protocoles de couches supérieures.• Il existe différents types de Liste d'Accès:- Standards (Standard) - Etendues (Extended) - Nommées (Named) - Dynamiques Transmission de paquetssur l'interface Telnet Liste d'Accès AccèsLigne Terminal virtuel(IP) CFI Site Paris

  3. Les Access Lists • Généralités • Comment fonctionne une liste d'accès Liste d'Accès présente? Non Paquets entrants sur l'interface Oui Test N°1 Oui Non Oui Test N°2 Non Traitement du Paquet Test N°n PermitouDeny Permit Oui Non Deny Paquet éliminé CFI Site Paris

  4. Les Access Lists • Les numéros de Listes d'Accès CFI Site Paris

  5. Les Access Lists • La syntaxe des Listes d'Accès ● Liste d'accès IP Standard Router(config)#access-list access-list-number {deny|permit}source [source-wildcard] [log] ● Router(config)#- Configuration en mode EXEC privilégié ● access-list - Nom de la commande ●access-list-number- Numéro de la liste d'accès (1 à 99) ● {deny|permit} - Instruction (l'une ou l'autre) - deny = interdiction - permit = autorisation ● source - Adresse IP de la source● source-wildcard - Masque générique ● log - demande de génération d'un message de log CFI Site Paris

  6. Les Access Lists • La syntaxe des Listes d'Accès ● Liste d'accès IP Etendue Router(config)#access-list access-list-number { permit|deny} protocol source source-wildcard [operator [port]] destination destination-wildcard [operator [port]] [established] [log] ● Router(config)#- Configuration en mode EXEC privilégié ● destination - Adresse IP de destination ● access-list - Nom de la commande ● destination-wildcard - Masque générique ●access-list-number- Numéro de la liste d'accès (100 à 199) ● operator port - Numéro de Port TCP ou UDP - operator : LT, GT, LE, GE,EQ ● {deny|permit} - Instruction (l'une ou l'autre) ● established - Pour TCP - deny = interdiction - permit = autorisation ● log - demande de génération d'un message de log ● protocol - Protocole à filtrer (IP, ICMP, TCP,UDP) ● source - Adresse IP de la source● source-wildcard - Masque générique ● operator port - Numéro de Port TCP ou UDP - operator : LT, GT, LE, GE,EQ CFI Site Paris

  7. Les Access Lists • Règles d'écriture - Il faut passer une commande pour chaque instruction permit ou deny- Une nouvelle instruction est automatiquement insérée en fin de liste- Il n'est pas possible de supprimer une ligne de la liste- Pour modifier une liste d'accès standard ou étendue, il faut d'abord la supprimer puis la recréer- Une liste de contrôle d'accès se termine toujours par une instruction deny any implicite - Il faut placer les instructions les plus globales en tête de liste CFI Site Paris

  8. Les Access Lists • Règles d'écriture - Le masque générique - Le masque générique permet de réaliser un masque sur l'adresse source ou destination - Ce masque permet de sélectionner: - Un Host - Un sous-réseau - Un intervalle d'adresses de Hosts - Un intervalle d'adresses de réseaux ou sous-réseaux - Dans ce masque un "0" indique le bit à tester - Ex: 0.0.0.0 indique "Tester tous les bits de l'adresse IP" ou L'adresse IP source (destination) du paquet IP émis (reçu) doit correspondre bit pour bit à l'adresse source (destination) de la liste d'accès. - Le mot-clé host remplace le masque générique 0.0.0.0 - Le mot-clé any remplace le masque générique 255.255.255.255 CFI Site Paris

  9. Les Access Lists • Règles d'utilisation - Les listes d'accès peuvent être utilisées en entrée ou en sortie- Elles se placent sur les interfaces - On peut placer une seule liste d'accès par protocole et par sens sur une interface - Les listes d'accès en entrée sont appliquées dès la réception du paquet par l'interface- Les listes d'accès en sortie sont appliquées lors de l'émission du paquet par l'interface - Les listes d'accès standards sont placées près de la destination- Les listes d'accès étendues sont placées près de la source CFI Site Paris

  10. Les Access Lists • Exemples - Liste d'accès Standard 1. On veut interdire le host dont l'adresse IP est : 192.168.10.120 Syntaxe de la commande:Router(config)# access-list 1 deny 192.168.10.120 0.0.0.0 ou Router(config)# access-list 1 deny host 192.168.10.120 2. On veut interdire le réseau dont l'adresse IP est : 192.168.10.0 255.255.255.0 Syntaxe de la commande:Router(config)# access-list 1 deny 192.168.10.0 0.0.0.255 3. On veut interdire le sous-réseau dont l'adresse IP est : 192.168.10.8 255.255.255.248 Syntaxe de la commande:Router(config)# access-list 1 deny 192.168.10.8 0.0.0.7 CFI Site Paris

  11. Les Access Lists • Exemples - Liste d'accès Standard 4. On veut interdire les sous-réseaux dont les adresses IP vont de : 172.16.16.0 à 172.16.48.0 avec un masque égal à 255.255.240.0. Syntaxe de la commande:Router(config)# access-list 1 deny 172.16.16.0 0.0.63.255 5. On veut interdire les sous-réseaux dont les adresses IP vont de : 192.168.10.8 à 192.168.10.56 avec un masque égal à 255.255.255.240. Syntaxe de la commande: Router(config)# access-list 1 deny 192.168.10.0 0.0.0.63 CFI Site Paris

  12. Les Access Lists • Exemples - Liste d'accès Etendue 1. On veut interdire les messages ICMP echo de n'importe quelle source vers toute destination. Syntaxe de la commande:Router(config)# access-list 101 deny icmp any any echo 2. On veut autoriser l'accès Telnet vers le host dont l'adresse IP est : 192.168.10.140 255.255.255.0 venant du host 200.202.2.2 255.255.255.0 Syntaxe de la commande:Router(config)# access-list 102 permit tcp host 200.202.2.2 any host 192.168.10.140 eq 23 3. On veut autoriser le trafic IP venant du réseau 191.10.1.0 255.255.255.0 à destination du réseau 80.8.8.0 255.255.255.0 Syntaxe de la commande:Router(config)# access-list 111 permit ip 191.10.1.0 0.0.0.255 80.8.8.0 0.0.0.255 CFI Site Paris

  13. Les Access Lists • Exemples - Liste d'accès Etendue 4. On veut autoriser les accès DNS sur le host dont l'adresse est 150.150.150.200 255.255.255.0 Syntaxe de la commande:Router(config)# access-list 101 permit udp any any host 150.150.150.200 eq 53 5. On veut autoriser le trafic IP venant du réseau 191.10.1.0 255.255.255.0 à destination du réseau 80.8.8.0 255.255.255.0 Syntaxe de la commande:Router(config)# access-list 111 permit ip 191.10.1.0 0.0.0.255 80.8.8.0 0.0.0.255 CFI Site Paris

  14. Les Access Lists • Appliquer des Access-Lists • Sécuriser l'accès au routeur - Les ports "Terminal virtuel" • Les listes d'accès étendues peuvent être utilisées pout bloquer Telnet (TCP 23) - Doivent être configurées pour chaque interface IP sur le routeur• Appliquer une liste d'accès standard aux lignes vty est un meilleur choix. PortPhysique (E0) 4 0 1 3 2 PortsVirtuels(vty 0-4) • RTA(config)#access-list 5 permit 200.100.50.0 0.0.0.255• RTA(config)#access-list 5 permit host 192.168.1.1• RTA(config)#line vty 0 4• RTA(config-line)#access-class 5 in CFI Site Paris