14 octobre 2018

Créer des ACL sous Cisco – Access Control Lists IOS 15.1

On va voir quelques exemple basiques sur la création de permissions ACL. Rien de bien méchant, juste de quoi garder un peu en tête le fonctionnement.

*Ceci n’est pas un cours mais plutôt un gros mémo pour quelqu’un qui sait déjà ce qu’est une ACL. Si vous n’êtes pas familier avec le principe, ce n’est sûrement pas le meilleur endroit où commencer..

Les ACL sont des listes de règles de filtrage de paquets (couche 3 et 4) qui permettent de contrôler le trafic sur un réseau. Ces listes analysent les IP, les ports et les protocoles des paquets. Elle se placent au niveau des interfaces des périphériques réseau, et peuvent filtrer ce qui entre ou sort par cette interface.

————————————————————————-

Bon, OK, y’a un sommaire quand même ! Attention il y a plusieurs pages.

-Quelque règles importantes

-Les types et numéros d’ACL

-Les masques génériques

-L’implicite deny any, et les opérandes

-Vérifier et modifier les ACL existantes

-Exemple 1 : L’ACL étendue

-Exemple 2 : L’ACL nommée et étendue

-Exemple 3 : L’ACL standard

-Exemple 3 bis : étendue – par IP de réseau

————————————————————————-

Quelques règles importantes

Les ACL sont des listes, les règles sont lues du haut vers le bas. Il faut faire attention car si deux règles agissent sur un même contexte, c’est de toute façon la première qui sera prise en compte et la deuxième sera ignorée. Voyons un exemple d’ACL qui pose problème :

10 permit 192.168.0.0 0.0.255.255 (6 match(es))
20 permit 172.16.0.0 0.0.255.255
30 deny host 192.168.100.1

-Il faut savoir que les ACL analysent chaque paquet. Un paquet arrive, la source et destination sont analysées puis les règles sont lues de haut en bas jusqu’à ce qu’une règle donne la consigne pour ce paquet. Le paquet étant déclaré traité, les autres règles ne sont même pas lues ! Puis on passe au paquet suivant, et la procédure recommence. Il ne peut y avoir qu’une règle appliquée par paquet.

Dans l’exemple, la première règle autorise le réseau 192.168.0.0, et la troisième règle veut interdire l’accès à une IP faisant partie de ce réseau. Quand un paquet viendra de ce réseau, le routeur va l’analyser, voir la source, et lire les règles de haut en bas et bim, paquet accepté ! La règle numero 30 ne sera jamais efficace en fin de compte. Cette ACL est mal configurée.

-On constate aussi que chaque ligne possède un identifiant (10, 20, 30), cela nous permet de spécifier la position souhaitée dans la liste pour la règle.

–>On peut modifier les ACL déjà existantes, on peut aussi créer l’ACL, puis entrer dans sa configuration puis enfin taper les règles que l’on souhaite. Vous pouvez voir ça dans le chapitre
Modifier ACL existantes.

-Les listes d’ACL s’associent aux interfaces réseau des périphériques. Chaque interface ne peut se voir attribuée qu’une seule ACL.

Pages: 1 2 3 4 5 6 7 8 9
Share

You may also like...

2 Responses

  1. benzo dit :

    merci pour ce tuto très complet et très clair

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.