TR2 : Technologies de l'internet. Chapitre VIII. Liste de Contrôle d Accès (ACL) ACL Standard et étendues Masque générique ACL nommées

Transcription

1 TR2 : Technologies de l'internet Chapitre VIII Liste de Contrôle d Accès (ACL) ACL Standard et étendues Masque générique ACL nommées 1

2 Listes de contrôle d accès (ACL) Importance croissante de la sécurité informatique L accroissement d Internet a introduit des vulnérabilités au sein des réseaux. Anciennement les entreprises n étaient pas connectées ce qui les isolait des attaques externes Les routeurs Cisco peuvent être utilisés dans le cadre d une stratégie de sécurité des réseaux. Listes de contrôle d accès (ACL) Définissent des règles qui permettent d empêcher certains paquets de circuler sur le réseau. Cela peut aller de l interdiction d un membre de la société d accéder à une machine particulière jusqu à éviter que des pirates immobilisent votre serveur web, ftp ou e-commerce. 2

3 ACL : Principe du filtrage Les ACLs pour IP permettent à un routeur de «filtrer» certains paquets en fonction de critères définis par l administrateur du réseau. protéger le réseau de tout trafic indésirable, qu il provienne de l extérieur (pirates) ou de l intérieur Il est ainsi possible de filtrer les paquets IP en entrée ou/et en sortie d'une interface d un routeur en fonction de l'ip source, du port source de l'ip destination, du port destination du protocole,... Il existe 2 types d'acl Standard : uniquement sur les IP sources Etendue : sur quasiment tous les champs des entêtes IP, TCP et UDP 3

4 ACL : Fonctionnement Une ACL : liste ordonnée de règles d interdictions ou d autorisations sur différents critères Chaque règle précise un rejet (deny) ou une autorisation (permit) de passage du paquet Les règles sont passées en revue séquentiellement dans l ordre jusqu à que l une d elle soit vérifiée L action associée à la régle est alors effectuée Si le paquet ne satisfait aucune règle, l'action deny est automatiquement appliquée On peut préciser sur quelle interface du routeur sont appliqués les règles de filtrage On peut préciser si les règles sont appliqués pour les paquets entrant sur l interface ou sortant de l interface (avant ou après la décision de routage) 4

5 ACL : Fonctionnement Traitement d une ACL en deux étapes : Matching : recherche d une règle de filtrage qui corresponde au paquet traité par l ACL Action : application de la règle (Permit ou Deny) Arrivée d un paquet sur sur interface d entrée : ACL sur interface In? règle corresp.? règle permit? Applique Routage ACL sur interface out? règle corresp.? règle permit? (deny) (deny) deny (defaut) deny (defaut) Envoi 5

6 ACL : Exemple «Bob ne doit pas pouvoir accéder au Serveur 1» Quel est le routeur le plus approprié? R3 ou R1 Sur quelle interface? E0 sur R3 ou E0 sur R1 6

7 ACL : Exemple (suite) Rechercher les paquets dont l IP source est celle de BOB et l IP destination est celle de Serveur 1 et les supprimer Transmettre tous les autres paquets 7

8 Le matching : masque générique Pour spécifier quelle partie de l adresse IP est à examiner lors de la recherche de correspondance, CISCO utilise le masque générique (wildcard mask) Ressemble à un masque de réseau mais n a pas la même fonction ni le même comportement Les bits à 0 : le routeur doit comparer ces bits Les bits à 1 : le routeur ne doit pas tenir compte de ces bits (don t care bits) Exemples: : tous les bits doivent être examinés : seuls les 3 premiers octets sont examinés : l adresse n a pas besoin d être examinée : désigne tout le monde : les 20 premiers bits sont examinés 8

9 Masque générique : exemples 9

10 Masque générique : exemples 10

11 Masque générique : exemples 11

12 Configuration des ACLs standard pour IP Définition d'une règle d ACL standard pour IP access-list number [deny permit] source [source-wildcard] number compris entre 1 et 99 ou 1300 et 1999 Associer une description à une ACL access-list number remark description Activation d'une ACL sur une interface ip access-group [ number name [ in out ] ] Visualiser les règles d une ACL show access-lists [ number name ] toutes les règles de l ACL quelque soit l'interface show ip access-lists [ number name ] les règles de l ACL liées au protocole IP 12

13 ACLs standard pour IP : Exemples access-list 1 deny Refuse les paquets d'ip source Le masque générique signifie ici que tous les bits de l'adresse IP sont significatifs access-list 1 permit Tous les paquets IP sont autorisés Le masque générique signifie qu'aucun bit n'est significatif 13

14 ACLs standard pour IP : Exemples Terme host : correspondance parfaite sur l hôte équivaut masque générique Terme any : aucune correspondance sur rien any équivaut à toutes adresses masque générique 14

15 ACLs standard pour IP : Exemples 15

16 ACLs standard pour IP : Bob ACL std sur R1 empêchant Bob d atteindre Serveur1 (E0) access-list 1 deny host host interface E0 ip adress-group 1 out 16

17 ACLs étendues pour IP Les ACLS étendues peuvent filtrer les paquets en fonction de l'adresse IP de destination du type de protocole (TCP, UDP, ICMP, IGRP, IGMP,...) du port source, du port destination, Les ACLS étendues peuvent demander au routeur d examiner plusieurs champs d en tête IP à la fois 17

18 Configuration des ACLs étendues pour IP Numéro d ACL entre 100 et 199 ou entre 2000 et 2699 Définition d'une règle d ACL étendue pour IP access-list number {deny permit} protocole source source-wildcard dest. dest.-wildcard [log] Variante de règle d ACL étendue pour IP, protocole TCP access-list number {deny permit} tcp source source-wildcard [opérateur [port]] destination dest.-wildcard [opérateur [port]] [etablished] [log] Associer une description à une ACL access-list number remark description Activation d'une ACL sur une interface ip access-group [ number name [ in out ] ] 18

19 ACLs étendues pour IP : Exemples access-list 101 deny ip any host Refus des paquets IP à destination de la machine et provenant de n'importe quelle source On doit préciser le protocole (IP) access-list 101 deny tcp any gt 1023 host eq 23 Refus de paquet TCP d'un port source > 1023 et à destination du port 23 de la machine d'ip Opérateurs de comparaison sur les ports : lg (<), gt (>), eq (=), ne (), le (), ge (), range access-list 101 deny tcp any host eq http Refus des paquets TCP à destination du port 80 de la machine d'ip Utilisation de mots clés pour les ports «well-known» http ou www (80), ftp (21), pop (110), smtp (25) 19

20 ACLs étendues pour IP : Bob et Larry Refuser à Bob l accès à tous les serveurs ftp joignable via l interface Ethernet de R1 et Larry n a pas le droit de se connecter au serveur web du serveur 1. Reste autorisé 20

21 ACLs nommées Une ACL numérotée peut se composer de plusieurs règles La seule façon de la modifier est de la supprimer avec no access-list number puis de la redéfinir Impossible de modifier/supprimer une seule règle Les ACLs nommées identifient les ACLs pour IP standards et étendues par des noms plutôt que des numéros Elles sont utiles dans les situations suivantes : Identifier plus intuitivement une ACL Configurer plusieurs ACL standard et plusieurs ACL étendues dans un routeur pour un protocole donné Supprimer des règles (instructions) individuelles au lieu de toute l'acl Définition d une ACL nommée ip access-list {standard extended} name 21

22 ACLs nommées : Exemple Exemple : Router(config)# ip access-list extended bart Router(config-ext-nacl)# deny tcp host eq www any Router(config-ext-nacl)# deny ip any Router(config-ext-nacl)# permit ip any any Pour supprimer une des règles, il suffit de faire ip access-list {standard extended} name no règle-à-supprimer Exemple : Router(config)# ip access-list extended bart Router(config-ext-nacl)# no permit ip any any 22

23 Accès au Telnet avec une ACL Pour restreindre les connexions entrantes ou sortantes entre un vty particulier et les adresses d une access list, on utilise la commande access-class number { in out } Exemple : utiliser une ACL dans le but de contrôler l'accès au Telnet (donc au vty): 23

24 Quelques conseils sur les ACLs La création, la mise à jour, le débogage nécessitent beaucoup de temps et de rigueur dans la syntaxe Il est conseillé de : créer les ACL à l'aide d'un éditeur de texte et de faire un copier/coller dans la configuration du routeur placer les ACL étendues au plus près de la source du paquet pour le détruire le plus vite possible placer les ACL standard au plus près de la destination sinon, vous risquez de détruire un paquet trop tôt (les ACL standard ne regardent que l'ip source) placer la règle la plus spécifique en premier désactiver une ACL sur l'interface concernée avant de faire le moindre changement : no ip access-group 24