Scribd Logo
Încărcați

Bine ați venit la Scribd!

  • Acl

    Încărcat de

    Smail Tahara
    87 vizualizări22 pagini

    Drepturi de autor

    © Attribution Non-Commercial (BY-NC)

    Formate disponibile

    PPT, PDF, TXT sau citiți online pe Scribd

    Vi se pare util acest document?

    Este necorespunzător acest conținut?

    Raportați acest document

    Drepturi de autor:

    Attribution Non-Commercial (BY-NC)
    Descărcați ca PPT, PDF, TXT sau citiți online pe Scribd
    Indicator pentru conținut neadecvat
    87 vizualizări22 pagini

    Acl

    Încărcat de

    Smail Tahara

    Drepturi de autor:

    Attribution Non-Commercial (BY-NC)
    Descărcați ca PPT, PDF, TXT sau citiți online pe Scribd
    Indicator pentru conținut neadecvat
    din 22

    Les ACLs

    Les listes de contrle daccs


    A quoi a sert Comment a marche ACL standard ou tendue Les masques gnriques (Wildcard Masks) La configuration des ACLs.

    ACL - A quoi a sert


    Ajoute les fonctions de firewall au routeur
    School backbone
    Email Server DNS server Application Server Library Server Admin. Server

    Wan (Internet) 10.1.112.0

    E0

    Router

    E1

    10.1.128.0

    10.1.112.0

    Contrler le trafic lintrieur dun rseau local Contrler le trafic depuis lextrieur (WAN) vers lintrieur d un rseau local

    ACL - Comment a marche


    Filtre les paquets en utilisant des lments des couches 3 (adresses IP) et 4 (numros de port des applications) de TCP-IP ; Par dfaut, une liste de contrle non paramtre refuse tous les accs.

    Router

    Quelle adresse ?

    192.168.10.3

    OK, circulez !

    Le paramtrage de lACL dcide quel hte ou groupe dhte peut (permit) ou ne peut pas (deny) transiter par le routeur.

    ACL - Comment a marche (2)


    Les ACLs sont cres en mode de configuration globale. Elles doivent ensuite tre affecte un (ou plusieurs) ports.

    Router

    Grce aux masques gnriques (wildcard mask), le contrle peut sappliquer un rseau, un sous-rseau, un hte ou une catgorie dhtes. Ne contrle pas les paquets mis par le routeur lui-mme.

    Les paramtres In et Out


    (Inbound-Outbound)

    Par dfaut, ce paramtre est configur sur out (vers le rseau) Le paramtre In (vers le routeur) ou Out se place sur linterface laquelle on veut appliquer la liste daccs

    In/Out
    Internet

    E0

    Router

    S0

    Quel port choisir


    Deux solutions pour bloquer A vers B
    ACL 1 Deny A Attribut ACL 1 linterface E0 in B
    E1

    A
    E0
    Router

    C
    Internet

    S0

    ACL 1 Deny A Attribut ACL 1 linterface E1 out

    ACL standard ou tendue ?


    Les listes de contrles standards filtrent laccs :
    partir de ladresse source uniquement .

    Les listes de contrle tendues peuvent filtrer laccs :


    selon ladresse de source et de destination ; selon les types de protocole de transport (TCP, UDP) et le numro de port (couche application).

    Les types de liste daccs


    LACL sapplique au protocole rout choisi

    Permission ou refus
    Par dfaut, ds quune liste daccs est cre, elle refuse le passage tout ce qui nest pas spcifiquement autoris De faon implicite (cela napparat pas la ligne de commande) la liste de contrle daccs se termine par linstruction refuse tout (deny any). En gnral, ladministrateur devrait donner des permissions (permit) plutt que des interdictions (deny).

    Les masques gnriques


    (Wildcard Masks)
    Utiliss pour identifier les cibles des ACLs. Dans la ligne suivante :
    Router (config)# access-list 11 deny 192.168.18.0 0.0.0.255

    Le masque gnrique indique que laccs est refus tous les postes du rseau 192.168.18.0.

    Les masques gnriques (2)


    Addresse

    1100 0000 . 1010 1000 . 0001 0010 . 0000 0000 0000 0000 . 0000 0000 . 0000 0000 . 1111 1111
    Masque gnrique Inverse du MSR

    Router (config)# access-list 11 permit 192.168.18.0 0.0.0.255

    Les 0 signifient que le nombre doit tre pris en compte (match). Les 1 indiquent que le nombre doit tre ignor. Dans ce cas, lnonc ignore tout ce qui concerne la partie hte de ladresse.

    Les masques gnriques (3)


    Addresse

    1100 0000 . 1010 1000 . 0001 0010 . 0000 0000 0000 0000 . 0000 0000 . 0000 0000 . 1111 1110
    Masque gnrique Router (config)# access-list 11 permit 192.168.18.0 0.0.0.254

    Ici, lnonc ignore tout ce qui concerne la partie hte de ladresse, sauf le dernier bit. Tous les htes pairs du rseau se voient autoriser laccs.

    Les masques gnriques (4)


    Addresse

    1100 0000 . 1010 1000 . 0001 0010 . 0000 0101 0000 0000 . 0000 0000 . 0000 0000 . 0000 0000
    Masque gnrique Router (config)# access-list 11 permit 192.168.18.5 0.0.0.0

    Avec ce masque, les 32 bits de ladresse doivent tre prises en compte (rseau et hte) Dans ce cas, lhte 192.168.18.5 est le seul se voir autoriser laccs.

    Les masques gnriques (5)


    Router (config)# access-list 11 permit any

    Autorise laccs tous


    (0.0.0.0 255.255.255.255)

    Router (config)# access-list 11 host 192.168.16.1

    Autorise laccs pour le poste 192.168.16.1 uniquement (192.168.16.1 0.0.0.0)

    Les lignes de commandes


    Refuse tout accs aux membres du rseau 192.168.128.0 vers toutes les destinations
    Router (config)# access-list 101 deny ip 192.168.128.0 0.0.0.255 any Router (config)# access-list 101 permit ip any any

    Applique les restrictions daccs linterface E1 vers lintrieur


    Router (config)# int e1 Router (config-if)# ip access-group 101 in

    Les lignes de commandes


    Autorise laccs au Web aux postes dsigns
    (10.1.128.1 10.1.128.254)
    Router (config)# access-list 102 permit tcp 10.1.128.0 0.0.0.255 host 10.1.96.0 eq 80

    Applique les restrictions daccs linterface E0 vers lintrieur


    Router (config)# int e0 Router (config-if)# ip access-group 102 in

    Les lignes de commandes


    Refuse tout accs depuis toutes les sources vers toutes les destinations
    Router (config)# access-list 103 deny ip any any

    Applique les restrictions daccs linterface S0 vers lintrieur


    Router (config)# int s0 Router (config-if)# ip access-group 103 in

    Autres lignes de commandes


    La mention established autorise les retours pour les applications qui fonctionnent double sens (Bit de Ack sur 1)
    permit tcp any eq 80 192.168.10.0 255.255.255.0 gt 1000 established

    Les mentions, lt, gt, eq, neq sont des oprateurs logiques utiliss pour autoriser les accs par type d application.
    permit tcp host 10.14.72.10 host 192.168.10.3 lt 1024

    La mention range
    permit tcp host 10.14.72.10 range 1024 1072 host 192.168.10.3 range 1024 1072

    Les lignes de commandes


    La commande show interface permet de voir si une liste de contrile daccs est active. La commande show access-list permettent de vrifier le contenu des listes de contrle daccs.

    Les 6 rgles des ACLs


    Une seule ACL par direction, par interface et par protocole. Toute ACL se termine par une exclusion globale. ACL IP standard (1-99) et tendue (100-199) Par dfaut, lACL sapplique sur la sortie (out). Les ACLs standards sont prs de la destination. Les ACLs tendues sont prs de la source. Les ACLs ne sappliquent pas aux paquets gnrs par les routeurs.

    Les autres fonctions des ACLs


    Identification des paquets pour priorisation et contrle des listes dattentes ; Meilleur contrle des mises jour des tables de routage ; Contrle dynamique des accs sur le trafic IP avec processus dauthentification des utilisateurs (lock and key features) ; Identification des paquets pour encryption ; Contrle des accs Telnet au routeur ; Contrle daccs au DDR (Dial-on-Demand Routing).

    S-ar putea să vă placă și