Scribd
Importer
22 vues35 pages

Halaoui 2

Transféré par

oussama tazi
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd
22 vues35 pages

Halaoui 2

Transféré par

oussama tazi
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd
Vous êtes sur la page 1/ 35

1

La Sécurité des Réseaux


Informatiques (2)

Les listes de contrôle d’accès

ELHALOUI Loubna
[email protected]
2

Définition des listes de contrôle d’accès

➢Les listes de contrôle d’accès sont des listes de conditions qui sont
appliquées au trafic circulant via une interface de routeur.

➢Ces listes indiquent au routeur les types de paquets à accepter ou à


rejeter.

➢ L’acceptation et le refus peuvent être basés sur des conditions précises.

➢Les ACL permettent de gérer le trafic et de sécuriser l’accès d’un réseau


en entrée comme en sortie.
3

ACL
4

Voici les principales raisons pour lesquelles il est nécessaire de créer des listes de
contrôle d’accès :

➢Limiter le trafic réseau et accroître les performances. En limitant le trafic vidéo, par exemple, les
listes de contrôle d’accès permettent de réduire considérablement la charge réseau et donc
d’augmenter les performances.

➢Contrôler le flux de trafic. Les ACL peuvent limiter l’arrivée des mises à jour de routage.

➢Fournir un niveau de sécurité d’accès réseau de base. Les listes de contrôle d’accès permettent à un
hôte d’accéder à une section du réseau tout en empêchant un autre hôte d’avoir accès à la même
section.

➢Déterminer le type de trafic qui sera acheminé ou bloqué au niveau des interfaces de routeur. Il est
possible d’autoriser l’acheminement des messages électroniques et de bloquer tout le trafic via
Telnet.

➢Autoriser un administrateur à contrôler les zones auxquelles un client peut accéder sur un réseau.

➢Filtrer certains hôtes afin de leur accorder ou de leur refuser l’accès à une section de réseau.
Accorder ou refuser aux utilisateurs la permission d’accéder à certains types de fichiers, tels que FTP
ou HTTP.
5

Liste de contrôle d’accès


6

Fonctionnement des listes de contrôle d’accès

Une liste de contrôle d’accès est un


groupe d’instructions qui définissent si
les paquets sont acceptés ou rejetés au
niveau des interfaces d’entrée et de
sortie.
7

Mode de configuration des ACL

Les ACL sont créées en mode de configuration globale.


8

Protocoles avec ACL indiquées par numéros


9

Configuration de listes de contrôle d’accés


10

Commande access-group
11

Commande access-list
12

Principe de masque de bits génériques

Un masque générique est une quantité de 32 bits divisés en quatre octets.

-O signifie “vérifier la valeur du bit correspondant”


-1 signifie “ne pas vérifier (ignorer) la valeur du bit correspondant”

Les ACLs utilisent le masque générique pour identifier une adresse unique
ou plusieurs adresse dans le but d’effectues des vérifications visant à
accorder ou interdire l’accès.

Le terme masque générique est un surnom de procédé de correspondance


masque-bit des ACLs
13

Exemple:

192.9.200.1 0.0.0.0
@IP masque générique

192.9.200.0 0.0.0.255 ➔ toutes les @IP du réseau 192.9.200.0

0.0.0.0 255.255.255.255 ➔ toutes les @IP

192.9.200.192 0.0.0.63 ➔ toutes les @IP comprises entre


192.9.200.192 et 192.9.200.255
147.210.0.254 0.0.255.0 ➔ toutes les @IP de la forme 147.210.X.254
14

Commandes Host et Any

Ces 2 commandes sont des abréviations permettant de simplifier la


lecture ainsi que l’écriture des ACLs:

a/ Host : abréviation du masque générique.

host adresse-ip: Cette commande est utilisée pour désigner une @ IP

Par exemple:
“host 192.168.200.1” et “192.168.200.1 0.0.0.0”: désignent la même
@IP 192.168.200.1

b/ Any : cette commande désigne n’importe quelle @IP


Cette notation est équivalente à “0.0.0.0 255.255.255.255”
15

Commande de création des ACLs

• ACL Standard
Routeur(config)#access-list num_acl {permit/deny} @ip_source masque_générique

• Num_acl : identifie la liste


• Permit/deny : autoriser on interdire
• @ip_source: l’@ip source
• Masque_générique: bits de masque générique

Exemple:

Router1(config)#access-list 1 deny 172.69.0.0 0.0.255.255


➔ Les paquets venant de 172.69.x.x sont refusé.
16

• ACL étendue
Routeur(config)#access-list num_acl {permit/deny} protocole
@ip_source masque_gén_src @ip_dest masque_dest {opérateur
opérande} [etablished]
• Num_acl : identifie la liste
• Permit/deny: autoriser ou interdire
• Protocole : interdire le type de protocole (IP, TCP, UDP, ICMP…)
• @ip-source et @ip_dest: identifiant l’@ip source et destination
• masque_gén_src et dest : bits de masque générique

• Opérateur: -Lt = plus petit


- Gt = plus grand
- Eq = égal
- Neq = non égal

• Opérande : n° de port, les n° ports peuvent être exprimé de façon numérique ou bien
par équivalence alphanumérique (ex: 25 ou bien logique SMTP)

• Etablished : autorise le trafic TCP, si les paquets utilisent une connexion établie.
17

Ports de couche application-transport


18

Positionnement des liste de contrôle


d’accès
• Placez les listes de contrôle d’accès étendues le
plus prés possible de la source du trafic refusé. Ainsi, le
trafic indésirable est filtré sans traverser l’infrastructure
réseau.

• Étant donné que les listes de contrôle d’accès


standard ne précisent pas les adresses de destination,
placez-les le plus prés possible de la destination.
19

Positionnement des liste de contrôle


d’accès
20

Listes de contrôle d’accès standard


21

Listes de contrôle d’accès standard


22

Listes de contrôle d’accès standard


23

Listes de contrôle d’accès standard


24

Liste de contrôle d’accès nommée


25

Liste de contrôle d’accès nommée


26

Listes de contrôle d’accès étendues


• Pour un filtrage du trafic plus précis:

▫ Les listes de contrôle d’accès étendues


▫ Numérotées entre 100 et 199, 2000 et 2699
(maximum de 799 listes)
▫ On peut attribuer un nom aux listes de contrôle
d’accès étendues.
27

Listes de contrôle d’accès étendues


28

Listes de contrôle d’accès étendues


29

Listes de contrôle d’accès étendues


30

Listes de contrôle d’accès étendues nommées


31

Listes de contrôle d’accès complexes


32

Listes de contrôle d’accès dynamiques


33

Listes de contrôle d’accès dynamiques


Définition de l’user et de
son password

Autorisation du telnet sur


l’@ip de l’interface du
routeur

Entrée dynamique qui


autorise tout le trafic
entre ses 2 réseaux

Commande d’activation de la partie dynamique de l’ACL


- Elle sera ajoutée après un telnet authentifié
- Elle restera dans l’ACL pendant 5 min
34

Listes de contrôle d’accès basées sur


le temps
35

Listes de contrôle d’accès basées sur


le temps

Vous aimerez peut-être aussi