L.A. Steffenel. DU-ASRE UE5 - IPI Listes de Contrôle d'accès (ACLs)

Transcription

1 L.A. Steffenel DU-ASRE UE5 - IPI Listes de Contrôle d'accès (ACLs) 1

2 2 Introduction Les administrateurs doivent pouvoir contrôler l'accès aux ressources des réseaux (et des dispositifs) Les mécanismes de contrôle physique (accès à la salle de machines, etc.) et logique (mots de passe) sont utiles mais souvent n'ont pas la flexibilité et la précision nécessaire à certaines tâche administratives Par exemple, un administrateur veut que ses utilisateurs accèdent à l'internet mais veut empêcher les utilisateurs extérieurs de se connecter au réseau grâce à telnet Les routeurs disposent des access control lists (ACL), un outil de filtrage qui permet des contrôles simples Une ACL est une liste séquentielle de règles qui permettent ou refusent l'accès aux ressources. Ces règles sont basées sur les adresses ou sur les informations des protocoles des couches supérieures Dans ce cours nous allons présenter les ACLs standard et étendues

3 3 Introduction Les ACLs sont généralement utilisées dans trois domaines d'application 1. Filtres de Sécurité protection de l'intégrité de l'équipement et du réseau local grâce au contrôle des adresses et services admis 2. Filtrage du Trafic limitation du trafic sur des interfaces qui n'ont pas la capacité suffisante 3. Filtrage Ciblée en combinaison avec des dialer lists, filtres de routage, route maps et autres, il est possible d'identifier et d'intervenir sur les informations échangées entre les machines (CCNP)

4 4 Les ACLs Les ACLs ne sont qu'une liste séquentielle de règles (ou filtres) Ces listes indiquent les types de paquets que le routeur doit : Accepter (accept) Refuser (deny) Les ACLs sont appliquées sur les interfaces des routeurs

5 5 ACLs? Si des ACLs sont définies, les routeurs examinent chaque paquet afin de déterminer s'il doit être accepté (et donc traité/transmis) ou refusé. Les ACLs indiquent les conditions nécessaires à l'admission ou refus des paquets Parmi les conditions que les ACLs peuvent imposer, nous trouvons : L'adresse IP source (ou sous-réseau source) L'adresse IP destination (ou sous-réseau destination) Si le paquet transporte des PDUs UDP ou TCP Le numéro de port des couches supérieures (TCP/UDP)

6 6 ACLs Les ACLs doivent être définies : Par protocole (IP, IPX, AppleTalk) Par direction entrée (in) ou sortie (out) Par port (interface) En résumé, une ACL contrôle le trafic dans une direction, sur une interface Plusieurs ACL sont nécessaires pour contrôler le trafic sur chaque direction, et sur chaque interface

7 7 Comment les ACLs marchent? Une ACL est une liste de règles qui indiquent si un paquet doit être accepté ou refusé, lorsqu'il entre ou sors d'une interface Les ACLs sont analysées de manière séquentielle Lorsque l'une des conditions correspond, le paquet suit la commande (permit ou deny) et le reste des règles de l'acl n'est pas vérifié Si aucune règle correspond, le système applique la règle implicite "deny any" placée par défaut à la fin de la liste (règle invisible) Il est intéressant d'ajouter une règle deny any à la fin de l'acl afin de rappeler sa présence et éviter des malentendus ATTENTION : les ACLs n'affectent pas le trafic crée par le dispositif

8 8 Logique d'une ACL standard Les adresses sont vérifiées access-list 2 deny ! access-list 2 permit ! access-list 2 deny ! access-list 2 permit !! Si les paquet sont autorisés, ils seront acheminés vers une interface de sortie, sinon ils seront jetés

9 9 Deux types d'acls ACLs IP Standard Le filtrage est effectué uniquement par rapport à l'adresse IP source ACLs IP Étendues Peuvent filtrer selon : L'adresse IP source L'adresse IP destination Le type de protocole (TCP, UDP) Le numéro de port (Telnet 23, http 80, etc.) etc.

10 10 Création de listes standard Étape 1 : configuration des règles Chaque règle est entrée avec la commande suivante Routeur(config)#access-list numéro-liste-accès deny permit [remark] source [masque-générique-source] [log]!!! Plusieurs règles peuvent être renseignées. L'ordre d'analyse est celui de la définition des règles Numéro-liste-accès : identifiant de l'acl (entre 1-99 et sur les IOS plus récents) deny / permit : refus ou permission pour le paquet remark : commentaire sur la règle, ce qui aider le débugage Source / masque : définition de l'adresse source (ou plage d'adresses) Masque dans le format wildcard. Les mots clés any et host peuvent être utilisés à la place des masques Log : permet le traçage des filtres avec la commande logging console

11 11 Création de listes standard Étape 1b : vérification des règles La commande show acces-list permet la visualisation des ACLs définies sur le routeur Les ACLs sont visibles dans show running-config Étape 1c : modification/suppression des règles Il n'est pas possible de modifier une règle déjà entrée sur une ACL standard La seule manière de corriger est de supprimer l'acl et la rentrer à nouveau

12 12 Création de listes standard Étape 2 : attribuer une ACL à une interface Sur le mode de configuration de l'interface, on associe une ACL grâce à la commande ip access-group Routeur(config-if)#ip access-group {numéro-liste-accès} {in out} Exemple : autoriser uniquement le réseau /24 a sortir

13 13 Exemples / /24 s0 s0 s1 s0 RouterA.1.2 RouterB.1.2 RouterC Administration Sales Engineering / / / / / /24 Objectif : Permettre seulement la machine à sortir du réseau Sales Toutes les autres machines dans le réseau Sales doivent être empêchées de sortir

14 14 Exemples / /24 s0 s0 s1 s0 RouterA.1.2 RouterB.1.2 RouterC Administration Sales Engineering / / / / / /24 Condition RouterB(config)#access-list 10 permit deny any implicite on rajoute quand même une règle RouterB(config)#access-list 10 deny

15 15 Exemples / /24 s0 s0 s1 s0 RouterA.1.2 RouterB.1.2 RouterC Administration Sales Engineering / / / / / /24 Le problème : où mettre les règles?

16 16 Exemples / /24 s0 s0 s1 s0 RouterA.1.2 RouterB.1.2 RouterC Administration Sales Engineering / / / / / /24 Option 1 : ACLs à l'entrée du routeur RouterB(config)# interface e 0 RouterB(config-if)# ip access-group 10 in

17 17 Exemples / /24 s0 s0 s1 s0 RouterA.1.2 RouterB.1.2 RouterC Administration Sales Engineering / / / / / /24 Option 2 : Appliquer aux interfaces de sortie RouterB(config)# interface s 0 RouterB(config-if)# ip access-group 10 out RouterB(config)# interface s 1 RouterB(config-if)# ip access-group 10 out

18 18 Exemples / /24 s0 s0 s1 s0 RouterA.1.2 RouterB.1.2 RouterC Administration Sales Engineering / / / / / /24 La règle implicite "deny any" empêche le passage des paquets entre RouterA et RouterC RouterB(config)# interface s 0 RouterB(config-if)# ip access-group 10 out RouterB(config)# interface s 1 RouterB(config-if)# ip access-group 10 out

19 19 Exemples / /24 s0 s0 s1 s0 RouterA.1.2 RouterB.1.2 RouterC Administration Sales Engineering / / / / / /24 Finalement, il est préférable d'appliquer cette ACL à l'entrée sur l'interface de RouterB RouterB(config)# interface e 0 RouterB(config-if)# ip access-group 10 in

20 20 Exemple / /24 s0 s0 s1 s0 RouterA.1.2 RouterB.1.2 RouterC Administration Sales Engineering / / / / / /24 Objectif : Permettre seulement les hôtes , , et de sortir du réseau Sales Toutes les autres machines du réseau Sales ne doivent pas pouvoir sortir

21 21 Exemple / /24 s0 s0 s1 s0 RouterA.1.2 RouterB.1.2 RouterC Administration Sales Engineering / / / / / /24 Dès qu'une condition est satisfaite, les autres règles sont ignorées Le deny any ne concerne donc que les paquets qui ne correspondent pas RouterB(config)#access-list 10 permit RouterB(config)#access-list 10 permit RouterB(config)#access-list 10 permit RouterB(config)#access-list 10 permit deny any implicite la règle suivante n'est pas nécessaire RouterB(config)#access-list 10 deny

22 22 Exemple / /24 s0 s0 s1 s0 RouterA.1.2 RouterB.1.2 RouterC Administration Sales Engineering / / / / / /24 RouterB(config)# interface e 0 RouterB(config-if)# ip access-group 10 in

23 23 Exemple / /24 s0 s0 s1 s0 RouterA.1.2 RouterB.1.2 RouterC Administration Sales Engineering / / / / / /24 Objectifs : Refuser l'accès aux autres réseaux uniquement à la machine Toutes les autres machines du réseau Sales peuvent sortir du réseau /24 Astuce : utiliser le mot clé "any"

24 24 Exemple / /24 s0 s0 s1 s0 RouterA.1.2 RouterB.1.2 RouterC Administration Sales Engineering / / / / / /24 Attention à l'ordre des conditions! RouterB(config)#access-list 10 deny RouterB(config)#access-list 10 permit any RouterB(config)# interface e 0 RouterB(config-if)# ip access-group 10 in

25 25 Exemple / /24 s0 s0 s1 s0 RouterA.1.2 RouterB.1.2 RouterC Administration Sales Engineering / / / / / /24 Attention à l'ordre! Si on inversait les conditions, tous les paquets seraient acceptés (la deuxième condition ne serait jamais vérifiée, ni le "deny any" implicit) RouterB(config)#access-list 10 permit any RouterB(config)#access-list 10 deny RouterB(config)# interface e 0 RouterB(config-if)# ip access-group 10 in

26 Note sur les access-lists entrantes Lorsqu'une ACL est appliquée à l'entrée d'une interface, les paquets sont filtrés avant même d'être analysés par les règles de routage Au contraire, les règles appliquées en sortie ne sont faites qu'après l'analyse des règles de routage Lorsqu'un paquet est refusé par une ACL, le routeur envoie un message ICMP Destination Unreachable à la source du paquet, avec le code d'erreur Administratively Prohibited RouterB(config)#access-list 10 deny RouterB(config)#access-list 10 permit any RouterB(config)# interface e 0 RouterB(config-if)# ip access-group 10 in L.A. Steffenel 26

27 27 Exemple 4 Utilisation des masques Wildcard / /24 s0 s0 s1 s0 RouterA.1.2 RouterB.1.2 RouterC Administration Sales Engineering / / / / / /24 Objectifs : Le RouterA doit permettre l'accès à partir de l'ensemble du réseau Sales, plus la seule machine Tout autre trafic doit être empêché d'accéder au réseau Administrative

28 28 Exemple 4 Utilisation des masques Wildcard / /24 s0 s0 s1 s0 RouterA.1.2 RouterB.1.2 RouterC Administration Sales Engineering / / / / / /24 RouterA(config)#access-list 11 permit RouterA(config)#access-list 11 permit RouterA(config)# interface e 0 RouterA(config-if)#ip access-group 11 out Quelle est la conséquence d'activer les ACLs sur la sortie de e0?

29 29 Conséquences E0 est atteignable / /24 s0 s0 s1 s0 RouterA.1.2 RouterB.1.2 RouterC Refusé Administration Sales Engineering Refusé / / / / / /24 RouterA(config)#access-list 11 permit RouterA(config)#access-list 11 permit RouterA(config)#access-list 11 deny RouterA(config)# interface e 0 RouterA(config-if)#ip access-group 11 out Ces règles empêchent les paquets de /24 (et aussi la machine ) d'attendre les machines sur /24 Administration LAN. Toutefois, elles peuvent encore accéder à l'interface Ethernet 0 ( ) Pour empêcher complètement l'accès au réseau /24 (e0 inclus) il faudrait assigner l'acl à l'entrée de s0

30 30 Option host option Tout comme any remplace le wildcard , le mot any remplace le wildcard Ainsi : RouterA(config)#access-list 11 permit RouterA(config)#access-list 11 permit RouterA(config)#access-list 11 deny RouterA(config)# interface e 0 RouterA(config-if)#ip access-group 11 out Devient RouterA(config)#access-list 11 permit RouterA(config)#access-list 11 permit host RouterA(config)#access-list 11 deny RouterA(config)# interface e 0 RouterA(config-if)#ip access-group 11 out

31 31 Vérification des Access Lists

32 32 Vérification des Access Lists

33 33 Vérification des Access Lists Note: une ACL peut être utilisée par plusieurs interfaces

34 L.A. Steffenel Partie 2 : ACLs Étendues 34

35 35 ACL Standard La seule variable de correspondance permise par ACLs standard est l'adresse source des paquets Ce type de filtrage n'est pas toujours assez précis même en choisissant l'interface et la direction

36 36 ACLs Étendues Les ACLs Étendues permettent le filtrage de plusieurs paramètres Exemple : Adresse IP source Adresse IP destination Protocole Port En plus, les ACLs Étendues permettent l'utilisation de comparaisons (opérateur) et le filtrage par connexion établie (established) Attention : les ACLs étendues sont numérotées entre et

37 37 ACLs Étendues Les comparaisons utilisent des opérateurs comme lt, gt, eq, neq et range Peuvent être utilisés pour les ports source et/ou destination, mais aussi pour les Types et Codes ICMP

38 38 ACLs Étendues - exemples Comme dans les ACLs standard, la commande ip access-group est utilisée pour assigner une ACL à une interface

39 39 ACLs Étendues - exemples Il est possible d'utiliser le nom des ports bien connus à la place de leurs numéros

40 40 Exemple / /24 s0 s0 s1 s0 RouterA.1.2 RouterB.1.2 RouterC Administration Sales Engineering / /24 Port / / / /24 Objectifs Le RouterA doit permettre l'accès au port 80 du serveur web (réseau Administrative) uniquement à la machine extérieure (réseaux Engineering) Tout autre trafic doit être refusé

41 Exemple / /24 s0 s0 s1 s0 RouterA.1.2 RouterB.1.2 RouterC Administration Sales Engineering / /24 Port / / / /24 RouterA(config)#access-list 110 permit tcp host host eq 80 RouterA(config)#inter e 0 RouterA(config-if)#ip access-group 110 out L.A. Steffenel Pourquoi placer l'acl sur le routeur RouterA et non sur RouterC? Pourquoi utiliser l'interface e0 au lieu de la s0 sur RouterA? (à réfléchir) 41

42 42 Exemple / /24 s0 s0 s1 s0 RouterA.1.2 RouterB.1.2 RouterC Administration Sales Engineering / /24 Port / / / /24 Objectifs ; Le RouterA doit permettre l'accès au serveur web port 80 à toute machine sur le réseau Sales Tout autre trafic doit être refusé

43 43 Exemple / /24 s0 s0 s1 s0 RouterA.1.2 RouterB.1.2 RouterC Administration Sales Engineering / /24 Port / / / /24 RouterA(config)#access-list 110 permit tcp host eq 80 RouterA(config)#inter e 0 RouterA(config-if)#ip access-group 110 out

44 44 Placement des ACLs Source /8 Destination /16 La règle générale est : Les ACLs Standard doivent être mises le plus proche possible de la destination, car elles ne filtrent que par l'adresse source Les ACLs étendues doivent être placées au plus près de la source afin de limiter le trafic sur le réseau

45 45 Placement des ACLs Source /8 Destination /16 Si les ACLs sont placées au bon endroit, le trafic sur le réseau est minimisé et le réseau devient plus efficace dans son ensemble Si le trafic doit être filtré, les ACLs doivent être placées là où le plus grand impact est attendu

46 46 Placement des ACLs Exemple complet deny telnet deny ftp permit any Source /8 Destination /16 L'objectif est de refuser le trafic telnet ou FTP du LAN de RouterA vers le LAN de Router D Tout autre trafic doit être refusé Plusieurs approches peuvent être utilisées

47 Placement des ACLs ACLs étendues deny telnet deny ftp permit any RouterA Source /8 Destination /16 interface fastethernet 0/1 access-group 101 in access-list 101 deny tcp any eq telnet access-list 101 deny tcp any eq ftp access-list 101 permit ip any any Cette ACL étendue est placée sur RouterA Ainsi, les paquets sont bloqués directement sur l'ethernet de RouterA Le trafic vers d'autres destinations reste autorisé (dernière entrée permit ip any any) L.A. Steffenel 47

48 Placement des ACLs ACLs standard RouterD Source /8 interface fastethernet 0/0 access-group 10 in Destination /16 access-list 10 deny access-list 10 permit any deny permit any Les ACLs Standard ne spécifient pas la destination, alors elles doivent être placées au plus près de la destination Si une ACL standard est placée trop près de la source, elle bloquera le trafic visé mais aussi tout autre trafic issu de cette source L.A. Steffenel 48

49 49 ACLs Nommées L'un des problèmes avec la déclaration simple des ACLs (standard et étendues) est qu'elles ne peuvent pas être modifiées facilement De plus, les ACLs sont identifiées par des numéros, ce qui n'est pas très commode Les ACLs nommées permettent d'améliorer la gestion des ACLs Identification intuitive des ACLs par noms Fin de la limitation de 798 règles standard/799 règles étendues Possibilité de supprimer une partie des règles et d'insérer d'autres

50 50 ACLs Nommées Une ACL nommée est créée avec la commande ip access-list Ceci place le prompt dans un environnement de configuration spécifique

51 51 ACLs Nommées Dans l'environnement de configuration, il est possible de rajouter les règles avec les options permit et deny traditionnelles Quelques options supplémentaires sont aussi possibles (plus tard)

52 52 ACLs Nommées

53 53 Édition des ACLs Nommées Comme la déclaration des règles des ACLs nommées est faite dans un "environnement" propre, il est possible de supprimer/éditer des règles. Deux approches sont possibles : Suppression simple Dans cette approche, il suffit d'annuler une règle grâce au mot clé no Ex : Router(config)#ip access-list extended barney! Router(config-ext-nacl)#permit tcp host eq www any! Router(config-ext-nacl)#deny udp host ! Router(config-ext-nacl)#no permit tcp host eq www any! Router(config-ext-nacl)#permit tcp host eq www any Suppression par numéro de règle (prochaine page)

54 54 Édition des ACLs Nommées Suppression par numéro de règle Les règles sont stockées avec des numéros de séquence Il est possible de les retrouver grâce à la commande show access-list Router#show access-list! Extended IP access list barney! 10 deny udp host ! 20 permit tcp host eq www any! Grâce à ces numéros, il est possible de supprimer une entrée avec no <numéro> Il est aussi possible d'insérer des règles à des endroits précis, en précisant le numéro de séquence Router(config-ext-nacl)#no 20 Router(config-ext-nacl)#5 permit tcp host eq www any