Filtrage des paquets : configuration des ACL sur un routeur Cisco 1 Généralités
Ce cours ainsi que les Tp qui suivront vont vous permettre de manipuler les ACL des routeurs Cisco. Les ACL (en anglais « Acces Control Lists ») ou en Français « Listes de Contrôle d’Accès », vous permettent d’établir des règles de filtrage sur les routeurs, pour régler le trafic des datagrammes en transit.
Les ACL permettent de mettre en place un filtrage dit « statique » des datagrammes, c'est-à- dire d’instaurer un certain nombre de règles à appliquer sur les champs concernés des en-têtes des divers protocoles.
2 Fonctionnement des ACL 2.1 Généralités
Quelque soit le type d’ACL dont il s’agit ; leur utilisation se fait toujours selon les mêmes principes généraux :
Première étape : En mode « config », on crée une ACL, c'est-à-dire une liste de règles.
Chaque règle est du type (condition, action). Les règles sont interprétées séquentiellement. Si la condition analysée ne correspond pas, on passe à la règle suivante.
Si la condition correspond, l’action correspondante est effectuée, et le parcours de l’ACL est interrompu. Par défaut, toutes les ACL considèrent la règle (VRAI, REJET) si aucune des règles précédentes n’a été prise en compte, c'est-à-dire que tout datagramme non explicitement accepté par une règle préalable sera rejeté.
Deuxième étape : En mode « config-int », on applique une ACL en entrée (in) (respectivement en sortie(out)), c'est-à-dire que l’on décide d’activer la liste de règles correspondante à tous les datagrammes « entrant » dans le routeur (respectivement
« sortant » du routeur) par l’interface considérée. En conséquence, sur un routeur, il peut y avoir au maximum 2 ACLs (IP) par interface.
1/10
Lorsque l’on construit une ACL, les règles sont ajoutées à la fin de la liste dans l’ordre dans lequel on les saisit. On ne peut pas insérer de règle dans une ACL, ni même en supprimer … le seul moyen reste d’effacer complètement l’ACL et de recommencer ! En situation réelle, pour saisir une ACL assez longue, il peut être judicieux de créer un fichier texte et de le faire prendre en compte par la suite comme un fichier de capture de configuration de routeur …
2.2 Les ACL standards
Les ACL standards n’offrent pas énormément de possibilités, elles permettent simplement de créer des règles dont les conditions ne prennent en compte que les adresses IP sources des datagrammes IP analysés. C’est assez contraignant, mais cela permet déjà un certain nombre de manipulations intéressantes.
La commande pour créer une ACL standard (ou ajouter une règle à une ACL existante) est la suivante :
access-list <#ACL> {permit/deny} <@IP source> <masque>
Le numéro de liste (#ACL) doit être compris entre 1 et 99 pour une ACL standard (tapez un ? après la commande « access-list » pour visualiser toutes les fourchettes possibles en fonctions des types d’ACL).
« Permit ou deny » indique l’action à prendre (deux seules actions sont possibles : autorisé ou refusé)
L’IP source + masque indique la condition.
2/10
2.3 Les ACL étendues
La syntaxe un peu plus complète des ACL étendues, permet, selon le même principe que précédemment, de créer des règles de filtrage plus précises, en utilisant des conditions applicables sur d’autres champs des en-têtes des divers protocoles.
La commande pour créer une ACL (ou ajouter une règle à une ACL existante) est la suivante : access-list <#ACL> {permit/deny} <protocole> <@IPsource> <masque> [port] <@IPdest>
<masque> [port] [established]
Le numéro de liste (#ACL) doit être compris entre 100 et 199 pour une ACL étendue.
« Permit ou deny » indique l’action à prendre (deux seules actions sont possibles : autorisé ou refusé)
« protocole » indique le protocole concerné par le filtre (tapez un ? pour avoir la liste des protocoles disponibles) Les protocoles indiqués peuvent être de différents niveaux jusqu’au niveau transport (ex : TCP ou UDP, mais également IP ou ICMP). La distinction sur les protocoles applicatifs (http, FTP …) se fera sur le champ « port ».
IP et masques suivent les mêmes règles que pour les ACL standards,
« port » permet d’indiquer un numéro de port (ou son nom symbolique si il est connu http, FTP, Telnet, …). Notez qu’un port doit être indiqué précédé d’un opérateur (ex : « eq http » ou « eq 80 » ou « lt 1024 ») avec « eq » (pour « equal »), « lt » (pour « lower than ») ou « gt » (pour greater than), …
« established » indique qu’il s’agit d’une communication TCP déjà établie (et donc pas d’une demande de connexion avec le bit « syn » positionné).
2.4 Remarques essentielles sur la syntaxe des ACL
le masque est complètement inversé par rapport à la notion de masque que vous connaissez jusqu’ici !!! (On parle de masque générique) ex : 193.55.221.0 avec le masque 0.0.0.255 désigne toute adresse source du type 193.55.221.X … merci Cisco !
3/10
Abréviations dans une règle :
0.0.0.0 255.255.255.255 qui signifie « tout équipement » peut être remplacé par le mot clé « any ».
W.X.Y.Z 0.0.0.0 qui signifie « l’équipement W.X.Y.Z » peut être remplacé par « host W.X.Y.Z »
Par défaut, la règle « deny any » est prise en compte par toutes les ACL. En d’autre termes, le simple fait de créer une ACL vide et de l’appliquer à une interface interdit le passage a tout datagramme. Pour changer de politique par défaut d’une ACL, il suffit de mettre la règle « permit any » (ou « permit ip any any » pour les ACL étendues) en fin de liste. Cette règle sera prise en compte si aucune des précédentes ne l’est.
En mode « enabled » la commande « show access-list <#ACL> » vous permet de visualiser (et donc de capturer le cas échéant …) le contenu de l’ACL dont vous donnez le numéro.
Exercice compléter le masque générique
Compléter le tableau ci-dessous :
4/10
2.5 Activation d’une ACL
Pour activer une ACL sur une interface, il faut :
Se positionner dans le mode de configuration de l’interface, grâce à la commande
« interface <nom de l’interface> »
Saisir la commande : « ip access-group <#ACL> < in | out> ».
N’oubliez pas de vous considérer « à l’intérieur du routeur », pour choisir entre le mot clé
« in » et le mot clé « out » … 2.6 Désactivation d’une ACL
Pour désactiver une ACL, (comme toujours selon la logique Cisco), les manipulations sont les mêmes que pour l’activer, en utilisant le mot clé « no » devant la commande …
2.7 Utilisation des ACL standards et étendues dans la « vraie vie »
Dans la pratique, étant donné que les ACL standards ne peuvent prendre en compte que les adresse IP sources, il est logique qu’elles soient souvent utilisées pour filtrer les datagrammes proches de la destination finale, sur un passage « obligé » pour joindre le destinataire final.
5/10
En revanche, les ACL étendues prenant aussi en compte les adresses destination, peuvent être utilisées au contraire sur les routeurs les plus proches des équipements sources concernés, ceci afin d’éviter du trafic superflu sur le réseau.
Exercices :
activité packet tracer sur les ACL standarts
activité packet tracer planification, configuration et verification des ACL standart, étendues et nommées.
6/10
3 MANIPULATIONS
3.1 Mise en place préliminaire
Câblez correctement les éléments de votre réseau en respectant l’architecture proposée (cf tp 6 routeurs) Activer le protocole de routage RIP version 2.
Configurez les PC en conséquence (@IP, masque, passerelle, et DNS : 192.168.1.3 sur chaque machine), sous Windows pour le PC relié au port console (PC de gauche), sous Linux pour l’autre (PC de droite).
Vérifier les accès à toutes les machines du réseau.
3.2 ACL Standards
Pour tout le TP il est demandé de conserver la politique « all open » par défaut, c'est-à-dire de conserver la politique du « tout autoriser » et de n’interdire que le strict nécessaire. C’est loin d’être la plus sûre, mais c’est celle qui permettra aux autres binômes de travailler,
Depuis un terminal sur chacune des machines interne (PC sous Windows et sous Linux) effectuez un PING sur « sv1mrim », Que constatez vous ?
Cette machine est en mesure de répondre au moins aux services , http (port 80), ftp (port 21, entre autres), dns (port 53) et icmp bien sûr. Tester
Créez une ACL standard permettant d’interdire tout accès du réseau « mrim » à vos PC mais pas internet. Activez cette ACL sur les datagrammes « sortant » sur l’interface du LAN. Vérifiez que le filtre fonctionne et que vous avez toujours accès à Internet.
Remarque : attention aux échanges DNS.
Quelle règle auriez vous écrit maintenant pour interdire l’accès au réseau mrim à tous les PCs de votre LAN SAUF le PC Linux (il n’y a pas de différence pour vous étant donné que vous n’avez que 2 pc sur votre LAN, mais il en aurait eu une si vous en aviez eu 3 !). Créez une autre ACL pour tester cette règle.
Faites valider les 2 ACL précédentes par votre enseignant.
3.3 ACL Etendues
Créez une ACL étendue pour interdire au PC Windows de faire des « pings » sur le réseau de mrim.
Faites en sorte d’interdire tout trafic UDP à destination de sv1mrim depuis votre PC Linux. Trouvez une manipulation pour valider ce filtre. Trouvez une manipulation pour vérifier que le trafic est toujours autorisé sur une autre machine que sv1mrim (PC16 par exemple).
Interdisez le trafic web à tout votre réseau local.
Allégez les restrictions en permettant uniquement à votre PC Windows d’accéder uniquement au site web de sv1mrim.
Mettez en place un filtre autorisant votre PC Linux à faire un telnet sur sv1mrim, mais pas à sv1mrim de faire un telnet sur votre PC Linux. Faites valider par votre enseignant.
Enregistrez les configurations.
7/10
Consignes activité Packet tracer planification, configuration et verification des ACL standart, étendues et nommées.
Objectifs
Configurer une liste d’accès VTY pour assurer la sécurité de l’accès à distance
Créer des listes de contrôle d’accès standard, étendues et nommées pour améliorer la sécurité du réseau
Contexte / Préparation
L’atelier d’entretien du réseau nécessite un accès à un routeur installé récemment à Londres.
Vous devez configurer une liste de contrôle d’accès pour lui autoriser un accès Telnet au routeur et refuser l’accès à tous les autres. Une liste d’accès supplémentaire doit être créée sur les routeurs London et DC afin de remplir les conditions requises ci-après.
Autoriser l’accès de tous les clients London au serveur London et bloquer tous les autres utilisateurs.
Autoriser l’accès de tous les clients au serveur DC et bloquer tous les autres utilisateurs.
Mot de passe actif : admin.
Étape 1 : création de liste d’accès pour limiter l’accès au VTY a- Sélection du routeur London.
b- Configurez les lignes vty 0 à 4 pour la connexion. Le mot de passe doit être cisco123.
c- Créez une liste d’accès standard permettant un accès Telnet à tous les clients du sous-réseau de maintenance.
1- Numéro de la liste d’accès : 10.
2- Sous-réseau de maintenance : 172.16.50.0 255.255.255.0.
d- Appliquez la liste d’accès aux lignes vty 0 à 4.
1- Entrez dans le mode de configuration.
2- Entrez line vty 0 4 3- Entrez access-class 10 in e- Enregistrez les configurations.
8/10
Étape 2 : création de liste d’accès étendue sur le routeur DC
Planification et création de listes d’accès numérotées sur le routeur DC suivant les conditions requises ci-après.
a- Créer une liste d’accès sortante numérotée 150 et l’appliquer à l’interface Fast Ethernet 0/1.1 b- Créer une liste d’accès sortant numérotée 160 et l’appliquer à l’interface Fast Ethernet 0/1.2 Étape 3 : création d’une liste d’accès nommée sur le routeur London
a- Planification et création d’une liste d’accès nommée sur le routeur London suivant les conditions requises ci-après. Nommez la liste d’accès ICMP.
b-Appliquez la liste d’accès à l’interface série comme une liste d’accès entrant.
c- Enregistrez les configurations.
Étape 4 : vérification des listes d’accès configurées
a- Vérification des restrictions applicables aux vty placés sur le routeur London.
1- Sélectionnez le PC Maint et le Telnet du routeur London.
2- Sélectionnez le PC2 et le Telnet du routeur London.
Le Telnet du PC Maint devrait aboutir contrairement à celui du PC2.
b- Vérifiez la liste d’accès étendue du routeur DC .
1- Sélectionnez le PC2 et recherchez le serveur DC (172.16.30.100).
2- Envoyez une requête ping au serveur DC (172.16.30.100).
3- Sélectionnez le PC1 et recherchez le serveur London (172.16.20.100).
4-Envoyez une requête ping au serveur London (172.16.30.100).
La navigation aboutit contrairement à la commande ping.
9/10
c- Vérifiez la liste d’accès nommée du routeur London .
1- Sélectionnez le PC2 et envoyez une requête ping au PC1.
2- Naviguez du PC2 au Server0 (172.16.100.250).
La commande ping aboutit contrairement à la navigation qui dépasse son délai d’attente.
d- Cliquez sur le bouton Check Results Remarques générales :
que signifie le terme « out » en fin de ligne d’un énoncé d’une commande ip access-group ?
Quelle est la différence entre les commandes d’ajout d’une liste de contrôle d’accès sur une interface spécifique et le VTY ?
Quelle est la différence entre les commandes d’ajout d’une liste de contrôle d’accès sur une interface spécifique et le VTY ?
