cours acls

7/23/2019 Cours ACLs

1/11

Prsent ar Abdoul A i Ciss

Listes de contrle daccs : ACL

Docteur en Cryptologie, Consultant ITSecLACGAA/FST/CAD

!"ail# ale$ciss%g"ail&co"

'eb # (((&ale$ciss&co"

Tel# )) *+ -. -+


2/11

GnralitsGnralitsGnralitsGnralits Les ACL (en anglais Acces Control Lists ) ou en Franais Listes de

Contrle dAccs , permettent dtablir des rgles de filtrage sur lesrouteurs, pour rgler le trafic des datagrammes en transit

Les ACL permettent de mettre en place un filtrage dit stati!ue des" # #

appli!uer sur les c%amps concerns des en#t&tes des di'ersprotocoles


3/11

Gnralits


4/11

Fonctionnement tape * n mode config , on cre une ACL, c"est#$#dire une liste

de rgles C%a!ue rgle est du t+pe (condition, action) Les rglessont interprtes s!uentiellement i la condition anal+se necorrespond pas, on passe $ la rgle sui'ante i la conditioncorres ond, laction corres ondante est effectue

tape - * n mode config#int , on appli!ue une ACL en entre (in)(respecti'ement en sortie(out)), c"est#$#dire !ue lon dcide dacti'erla liste de rgles correspondante $ tous les datagrammes entrant

dans le routeur (respecti'ement sortant du routeur) parlinterface considre n cons!uence, sur un routeur, il peut + a'oirau ma.imum - ACLs (/0) par interface


5/11

Les ACL Standard lles permettent simplement de crer des rgles dont les conditions ne

prennent en compte !ue les adresses IP sourcesdes datagrammes /0

anal+ss 2ne ACL standard se cre a'ec la commande sui'ante *

access- s < > perm eny < source>

Le numro de liste (3ACL) doit &tre compris entre et 44 pour une ACLstandard (tape5 un 6 aprs la commande access#list pour 'isualiser toutes

les fourc%ettes possibles en fonctions des t+pes dACL) 0ermit ou den+ indi!ue laction $ prendre (deu. seules actions sont

possibles * autoris ou refus)

L/0 source 7 mas!ue indi!ue la condition


6/11

Les ACL tendues Les ACL tendues permettent de crer des rgles de filtrage plus

prcises, en utilisant des conditions applicables sur dautres c%ampsdes en#t&tes des di'ers protocoles

Commande

[port]


7/11

Les ACL tendues Le numro de liste (#ACL)doit &tre compris entre 88 et 44

pour une ACL tendue

protocole :indi!ue le protocole concern par le filtre (tape5 un 6pour a'oir la liste des protocoles disponibles) Les protocoles indi!us

:C0 ou 2;0, mais galement /0 ou /Cote5 !uun portdoit &tre indi!u prcd dun oprateur (e. * e! %ttp ou e!?8 ou lt 8-@ ) a'ec e! (pour e!ual ), lt (pour loer

t%an ) ou gt (pour greater t%an), =


8/11

Remarques Le mas!ue est compltement invers(on parle de mas!ue

gnri!ue)

. *

access-list 1 permit 192.168.1.0 0.0.0.255

. . . . . . .

peut &tre remplac par le mot cl "any".

2. W.X.Y.Z 0.0.0.0 !ui signifie l!uipement W.X.Y.Z peut&tre remplac par Bhost W.X.Y.Z"

n mode "enabled" la commande "show access-list " 'ous permet de 'isualiser le contenu de lACL dont'ous donne5 le numro


9/11

Exercice


10/11

Exercice


11/11

Activation dune ACLActivation dune ACLActivation dune ACLActivation dune ACL0our acti'er une ACL sur une interface, il faut *

e positionner dans le mode de configuration de linterface, grDce $ lacommande

interface

- aisir la commande *

ip access-group < in | out> .

cours acls

Documents