TD8 : ACL étendue

Rappel : Une ACL étendue, à un format un peu plus complexe qu’une ACL standard.

Dans le champ | « Action » il ne peut y avoir que « permit » ou « deny », |Le champ
protocole, permet de spécifier un protocole qu’on voudrait autoriser ou interdire. Le champ
"protocol" peut avoir plusieurs valeurs :

Et les champs de |l’IP source ou destinations comportent soit l’adresse + le masque, ou bien l’host,
suivi de son IP, Ou bien avec le mot « Any » qui signifie : n’importe quelle source ou destination

Dans une ACL étendue, on doit spécifier les deux adresses celle de la source des paquets et celle de
leur destination. Le protocole qu'on veut permettre ou bloquer ainsi qu'une opération (options) d'ordre
logique sur le protocole spécifié par la permission ou l'interdiction de la liste d'accès. La liste des
opérateurs est : Lt plus petit que, Gt plus grand que, Eq égal à, Neq différent de.

Exemple neq 23 : appliquer la règle (permit ou deny) si le port est différent du port 23, si le
port est égale 23 la règle ne s’applique pas.

Exemples

Securité Informatique Page 1

Application :

Dans cet exemple, la première ACL, autorise le trafic TCP sur le port 80, de toutes les sources
vers l’hôte 192.168.1.2, qui est probablement un serveur Web 63

Et la seconde ACL autorise le réseau qui va de 192.168.0.0 à .255, à envoyer des requêtes
ICMP vers l’hôte 192.168.1.2 !

Par exemple pour faire du ping

|Tout le reste sera refusé avec la règle deny any any par défaut

Règle :

Les ACLs standard sont à appliquer le plus proche possible de la destination,

en raison de leur faible précision.

|Et Les ACLs étendues sont à appliquer le plus proche possible de la source.
Pour éviter que le routeur route des données inutiles, qui seront de toute façon
supprimées.

Exercice 1 :
Une entreprise dispose d’un pare-feu pour limiter l’accès depuis et vers les machines de son réseau
interne. L’architecture du réseau de l’entreprise comprend également une zone démilitarisée (DMZ)
pour le déploiement des serveurs Web et DNS propres à l’entreprise. La politique de sécurité
appliquée par le pare-feu est décrite par le tableau 1.

Securité Informatique Page 2

1) Donner la politique correspondante à chaque paire de règles (1-2), (3-4), (5-6) et (7-8)
2) Préciser la règle qui vérifiera chacun des paquets suivants et dites si le paquet sera accepté ou
refusé

3) Traduire les règles 6 et 7 en utilisant les ACL Cisco

Exercice 2 :
Soit le réseau suivant :

Sur le réseau interne 192.168.34.0/24, la machine 192.168.34.2 ne doit pas être accessible de
l'extérieur.
a. Quelle ACL doit-on choisir :
A. access‐list 101 deny tcp any host 192.168.34.2
B. access‐list 101 deny ip any 192.168.34.0 0.0.0.255
C. access‐list 101 deny ip any 192.168.34.2 255.255.255.255
D. access‐list 101 deny ip any host 192.168.34.2

b. A quelle interface doit-on la définir ? Expliquer ?

A. Sur l'interface S0/0 in
B. Sur l’interface Fa0/0 in
C. Sur l'interface S0/0 out
D. Sur l’interface Fa0/0 out

Exercice 3 :
Soit le réseau décrit ci-dessous. La machine d’adresse 192.168.1.5 doit accéder seulement
aux services http et ftp, les autres machines peuvent accéder à tous les services.

Securité Informatique Page 3

1) Quel est l’effet de cette ACL ?
2) Proposez une ACL correcte
Rq : Les applications les plus courantes qui utilisent TCP sont HTTP/HTTPS (World Wide Web port
80, port443), SMTP/POP3/IMAP (messagerie port 25, port 110, port 143) et FTP (transfert de fichiers
port 21 et 20)

Exercice 4 :

On suppose l'adresse IP du serveur HTTP est 192.168.20.11 et celle du hôte qu'on veut lui interdire
l'accès web est 192.168.10.10. Ecrire l’ACL correspondante

Securité Informatique Page 4