Download - Cours ACLs
-
7/23/2019 Cours ACLs
1/11
Prsent ar Abdoul A i Ciss
Listes de contrle daccs : ACL
Docteur en Cryptologie, Consultant ITSecLACGAA/FST/CAD
!"ail# ale$ciss%g"ail&co"
'eb # (((&ale$ciss&co"
Tel# )) *+ -. -+
-
7/23/2019 Cours ACLs
2/11
GnralitsGnralitsGnralitsGnralits Les ACL (en anglais Acces Control Lists ) ou en Franais Listes de
Contrle dAccs , permettent dtablir des rgles de filtrage sur lesrouteurs, pour rgler le trafic des datagrammes en transit
Les ACL permettent de mettre en place un filtrage dit stati!ue des" # #
appli!uer sur les c%amps concerns des en#t&tes des di'ersprotocoles
-
7/23/2019 Cours ACLs
3/11
Gnralits
-
7/23/2019 Cours ACLs
4/11
Fonctionnement tape * n mode config , on cre une ACL, c"est#$#dire une liste
de rgles C%a!ue rgle est du t+pe (condition, action) Les rglessont interprtes s!uentiellement i la condition anal+se necorrespond pas, on passe $ la rgle sui'ante i la conditioncorres ond, laction corres ondante est effectue
tape - * n mode config#int , on appli!ue une ACL en entre (in)(respecti'ement en sortie(out)), c"est#$#dire !ue lon dcide dacti'erla liste de rgles correspondante $ tous les datagrammes entrant
dans le routeur (respecti'ement sortant du routeur) parlinterface considre n cons!uence, sur un routeur, il peut + a'oirau ma.imum - ACLs (/0) par interface
-
7/23/2019 Cours ACLs
5/11
Les ACL Standard lles permettent simplement de crer des rgles dont les conditions ne
prennent en compte !ue les adresses IP sourcesdes datagrammes /0
anal+ss 2ne ACL standard se cre a'ec la commande sui'ante *
access- s < > perm eny < source>
Le numro de liste (3ACL) doit &tre compris entre et 44 pour une ACLstandard (tape5 un 6 aprs la commande access#list pour 'isualiser toutes
les fourc%ettes possibles en fonctions des t+pes dACL) 0ermit ou den+ indi!ue laction $ prendre (deu. seules actions sont
possibles * autoris ou refus)
L/0 source 7 mas!ue indi!ue la condition
-
7/23/2019 Cours ACLs
6/11
Les ACL tendues Les ACL tendues permettent de crer des rgles de filtrage plus
prcises, en utilisant des conditions applicables sur dautres c%ampsdes en#t&tes des di'ers protocoles
Commande
[port]
-
7/23/2019 Cours ACLs
7/11
Les ACL tendues Le numro de liste (#ACL)doit &tre compris entre 88 et 44
pour une ACL tendue
protocole :indi!ue le protocole concern par le filtre (tape5 un 6pour a'oir la liste des protocoles disponibles) Les protocoles indi!us
:C0 ou 2;0, mais galement /0 ou /Cote5 !uun portdoit &tre indi!u prcd dun oprateur (e. * e! %ttp ou e!?8 ou lt 8-@ ) a'ec e! (pour e!ual ), lt (pour loer
t%an ) ou gt (pour greater t%an), =
-
7/23/2019 Cours ACLs
8/11
Remarques Le mas!ue est compltement invers(on parle de mas!ue
gnri!ue)
. *
access-list 1 permit 192.168.1.0 0.0.0.255
. . . . . . .
peut &tre remplac par le mot cl "any".
2. W.X.Y.Z 0.0.0.0 !ui signifie l!uipement W.X.Y.Z peut&tre remplac par Bhost W.X.Y.Z"
n mode "enabled" la commande "show access-list " 'ous permet de 'isualiser le contenu de lACL dont'ous donne5 le numro
-
7/23/2019 Cours ACLs
9/11
Exercice
-
7/23/2019 Cours ACLs
10/11
Exercice
-
7/23/2019 Cours ACLs
11/11
Activation dune ACLActivation dune ACLActivation dune ACLActivation dune ACL0our acti'er une ACL sur une interface, il faut *
e positionner dans le mode de configuration de linterface, grDce $ lacommande
interface
- aisir la commande *
ip access-group < in | out> .