mercredi 4 novembre 2015

ACL standard et ACL étendues- Notion théorique


Objectifs spécifiques :
  • savoir utiliser les listes de contrôle d’accès standard et étendues dans le cadre de votre stratégie de sécurité
  • savoir comment les configurer sur un routeur Cisco
************
Introduction
Les concepteurs de réseaux utilisent des pare-feu pour protéger les réseaux de toute utilisation non autorisée. Les pare-feu sont des solutions logicielles ou matérielles permettant de mettre en œuvre des stratégies de sécurité du réseau. Prenons l’exemple d’un verrou de porte dans une pièce à l’intérieur d’un bâtiment. Le verrou permet l’entrée uniquement aux utilisateurs autorisés et munis d’une clé ou d’une carte d’accès. De la même façon, un pare-feu filtre les paquets non autorisés ou dangereux, les empêchant ainsi d’accéder au réseau. Sur un routeur Cisco, vous pouvez configurer un pare-feu simple, qui assurera les fonctions de base de filtrage du trafic à l’aide de listes de contrôle d’accès.
Une liste de contrôle d’accès est un ensemble séquentiel d’instructions d’autorisation ou de refus qui s’appliquent aux adresses ou aux protocoles de couche supérieure. Les listes de contrôle d’accès représentent un outil puissant pour contrôler le trafic entrant ou sortant d’un réseau. Vous pouvez configurer les listes de contrôle d’accès pour tous les protocoles réseau routés.
1.       Listes de contrôle d’accès
1.1 Filtrage des paquets
Le filtrage des paquets, parfois appelé filtrage des paquets statique, contrôle l’accès à un réseau en analysant les paquets entrants et sortants, et en les transmettant ou en les arrêtant en fonction de critères prédéfinis.
Un routeur filtre les paquets lors de leur transmission ou de leur refus conformément aux règles de filtrage. Lorsqu’un paquet accède à un routeur de filtrage, certaines informations de son en-tête sont extraites. Conformément aux règles de filtrage, le routeur décide alors si le paquet peut être transmis ou si au contraire il doit être rejeté. Le filtrage des paquets fonctionne sur la couche réseau du modèle OSI (Open Systems Interconnection) ou sur la couche Internet de TCP/IP.
Une liste de contrôle d’accès est un script de configuration de routeur contrôlant l’autorisation ou le refus de passage des paquets, conformément aux critères stipulés dans leur en-tête. Les listes de contrôle d’accès sont les objets les plus couramment utilisés dans le logiciel Cisco IOS. Elles servent également à sélectionner le type de trafic à analyser, transmettre ou traiter selon d’autres méthodes.

À chaque fois qu’un paquet traverse une interface avec une liste de contrôle d’accès associée, celle-ci est vérifiée de haut en bas, ligne par ligne, à la recherche d’un modèle correspondant au paquet entrant. La liste de contrôle d’accès exécute au moins une stratégie de sécurité de l’entreprise en appliquant une règle d’autorisation ou de refus au paquet. Vous pouvez configurer des listes de contrôle d’accès en vue de contrôler l’accès à un réseau ou à un sous-réseau.
Vous trouverez ci-dessous quelques instructions pour utiliser les listes de contrôle d’accès :
§  Utilisez des listes de contrôle d’accès sur les routeurs pare-feu entre votre réseau interne et un réseau externe, par exemple Internet.
§  Utilisez des listes de contrôle d’accès sur un routeur situé entre deux sections de votre réseau pour contrôler le trafic entrant ou sortant sur une partie donnée du réseau interne.
§  Configurez des listes de contrôle d’accès sur les routeurs périphériques situés à la frontière de vos réseaux. Cela permet de fournir une protection de base contre le réseau externe ou entre une zone plus sensible et une zone moins contrôlée de votre réseau.
§  Configurez des listes de contrôle d’accès pour tout protocole réseau configuré sur les interfaces de routeur périphérique. Vous pouvez configurer des listes de contrôle d’accès sur une interface pour filtrer les trafics entrant, sortant ou les deux.
Ø  Règle des trois P
Les trois P font figure de règle générale pour appliquer des listes de contrôle d’accès sur un routeur. Vous pouvez configurer une liste de contrôle d’accès par protocole, par direction et par interface :
§  Une liste de contrôle d’accès par protocole : pour contrôler le flux du trafic sur une interface, définissez une liste de contrôle d’accès pour chaque protocole activé sur l’interface.
§  Une liste de contrôle d’accès par direction : les listes de contrôle d’accès contrôlent le trafic dans une seule direction à la fois sur une interface. Vous devez créer deux listes de contrôle d’accès ; la première pour contrôler le trafic entrant et la seconde pour contrôler le trafic sortant.
§  Une liste de contrôle d’accès par interface : les listes de contrôle d’accès contrôlent le trafic pour une interface, telle que Fast Ethernet 0/0.

1.2               Fonctionnement des listes de contrôle d’accès
Vous configurez des listes de contrôle d’accès pour les appliquer au trafic entrant ou sortant.
Listes de contrôle d’accès entrantes : les paquets entrants sont traités avant d’être routés vers l’interface de sortie. Une liste de contrôle d’accès entrante est efficace car elle réduit la charge des recherches de routage en cas d’abandon du paquet. Si le paquet est autorisé à l’issue des tests, il est soumis au routage.
Listes de contrôle d’accès sortantes : les paquets entrants sont routés vers l’interface de sortie puis traités par le biais de la liste de contrôle d’accès sortante.
Les instructions d’une liste de contrôle d’accès fonctionnent dans un ordre séquentiel. Elles évaluent les paquets en les validant par rapport à la la liste de contrôle d’accès, de haut en bas, une instruction après l’autre.
La figure illustre la logique d’une liste de contrôle d’accès entrante. En cas de concordance entre un en-tête de paquet et une instruction de la liste de contrôle d’accès, les autres instructions de la liste sont ignorées et le paquet est autorisé ou refusé, comme le définit l’instruction correspondante. En cas de non-concordance entre un en-tête de paquet et une instruction de la liste de contrôle d’accès, le paquet est validé par rapport à l’instruction suivante de la liste. Ce processus de concordance est valable pour toute la liste.
Une instruction implicite finale s’applique à tous les paquets qui n’ont pas répondu aux conditions. Cette condition finale correspond à tous les autres paquets et se solde par une instruction de refus. Au lieu de les faire entrer ou sortir d’une interface, le routeur abandonne tous les paquets restants. Cette instruction finale est souvent appelée instruction implicite « deny any » ou « deny all traffic ».





                             


Vous trouverez une instruction implicite de critères « deny all traffic » à la fin de chaque liste de contrôle d’accès. On l’appelle parfois instruction implicite « deny any ». Par conséquent, si un paquet ne correspond pas aux entrées de la liste de contrôle d’accès, il est automatiquement bloqué. L’instruction implicite « deny all traffic » correspond au comportement par défaut des listes de contrôle d’accès ; vous ne pouvez pas la modifier.
Voici le principal avertissement associé au comportement de l’instruction « deny all » : pour la plupart des protocoles, si vous définissez une liste de contrôle d’accès entrante pour filtrer le trafic, il est recommandé d’inclure des instructions explicites pour autoriser les mises à jour de routage. Dans le cas contraire, vous risquez de perdre toute communication sur l’interface lorsque les mises à jour de routage sont bloquées par l’instruction implicite « deny all traffic » à la fin de la liste de contrôle d’accès.

1.3               Types de liste de contrôle d’accès
Il existe deux types de liste de contrôle d’accès Cisco : standard et étendue.
1.3.1           Listes de contrôle d’accès standard
Les listes de contrôle d’accès standard permettent d’autoriser et de refuser le trafic en provenance d’adresses IP source. La destination du paquet et les ports concernés n’ont aucune incidence. Dans cet exemple, tout trafic en provenance du réseau 192.168.30.0/24 est autorisé. Compte tenu de l’instruction implicite « deny any » à la fin de la liste, tout autre trafic est bloqué avec cette liste. Les listes de contrôle d’accès standard sont créées en mode de configuration globale.

Le processus de décision est représenté dans cette figure. Le logiciel Cisco IOS vérifie les correspondances d’adresses les unes après les autres. La première correspondance détermine si le logiciel accepte ou refuse l’adresse. Dans la mesure où le logiciel ne vérifie plus les conditions après la première correspondance, l’ordre des conditions est primordial. En cas de non-concordance des conditions, l’adresse est rejetée.
Les deux tâches principales liées aux listes de contrôle d’accès sont les suivantes :
Étape 1. Création d’une liste de contrôle d’accès en spécifiant un numéro ou un nom de liste et des conditions d’accès.
Étape 2. Application d’une liste de contrôle d’accès aux interfaces ou aux lignes du terminal.



a)       Création de listes de contrôle standard numérotée
Logique de la liste de contrôle d’accès standard
Dans cette figure, les adresses source sont vérifiées pour les paquets de Fa0/0 :
access-list 2 deny 192.168.10.1
access-list 2 permit 192.168.10.0 0.0.0.255
access-list 2 deny 192.168.0.0 0.0.255.255
access-list 2 permit 192.0.0.0 0.255.255.255

Si les paquets sont autorisés, ils sont acheminés via le routeur vers une interface de sortie. Dans le cas contraire, ils sont abandonnés sur l’interface d’entrée.
La syntaxe complète de la commande des listes de contrôle d’accès standard est la suivante :
Routeur(config)#access-list numéro-liste-accès deny ou permit ou remark source [masque-générique-source] [log]
La figure explique dans le détail la syntaxe d’une liste de contrôle d’accès standard.


Par exemple, pour octroyer le numéro 10 à une liste de contrôle d’accès afin d’autoriser l’accès au réseau 192.168.10.0 /24, entrez :
R1(config)# access-list 10 permit 192.168.10.0
Ø  Any et host
Cette figure présente deux exemples. L’exemple 1 montre comment utiliser l’option any pour remplacer l’adresse IP 0.0.0.0 par un masque générique 255.255.255.255.
L’exemple 2  montre comment utiliser l’option host pour remplacer le masque générique.




Ø  Procédures de configuration des listes de contrôle d’accès standard numérotée



Exemple 1 :

Cette liste de contrôle d’accès autorise uniquement le transfert du trafic sur le réseau source 192.168.10.0 vers S0/0/0. Le trafic provenant d’autres réseaux que 192.168.10.0 est bloqué.


Exemple 2 :

Cette liste de contrôle d’accès remplace l’exemple précédent mais bloque aussi le trafic provenant d’une adresse donnée (192.168.10.10).
Exemple 3

Cette liste de contrôle d’accès remplace l’exemple précédent mais bloque le trafic provenant de l’hôte PC1. Elle autorise également tout autre trafic du réseau local à quitter le routeur R1.
b)      Création de listes de contrôle standard nommée
Si vous attribuez un nom à une liste de contrôle d’accès, il vous sera plus facile d’en comprendre la fonction. Par exemple, vous pouvez utiliser NO_FTP pour appeler une liste de contrôle d’accès refusant le trafic FTP. Lorsque vous identifiez une liste de contrôle d’accès par un nom plutôt qu’un numéro, le mode de configuration et la syntaxe de commande sont légèrement différents.

Exemple :

Les listes de contrôle d’accès nommées présentent un gros avantage par rapport aux listes de contrôle d’accès numérotées dans la mesure où leur édition est plus facile. Les listes de contrôle d’accès IP nommées vous permettent de supprimer des entrées dans une liste d’accès donnée depuis la version 12.3 du logiciel Cisco IOS. Utilisez des numéros de séquence pour insérer des instructions n’importe où dans la liste de contrôle d’accès nommée. Si vous utilisez une version antérieure du logiciel Cisco IOS, vous pouvez ajouter des instructions uniquement en bas de la liste de contrôle d’accès nommée. Dans la mesure où vous pouvez supprimer des entrées, vous pouvez modifier la liste de contrôle d’accès sans la supprimer ni la reconfigurer dans son intégralité.

c)       Accès VTY (Telnet)
La restriction de l’accès VTY est une technique vous permettant de définir les adresses IP avec un accès Telnet au processus d’exécution du routeur. Vous pouvez décider quelle station de travail administrative ou quel réseau gère le routeur avec une liste de contrôle d’accès et une instruction access-class sur les lignes VTY. Vous pouvez également utiliser cette technique avec SSH pour renforcer la sécurité de tout accès administratif.
En mode de configuration de ligne, la commande access-class limite les connexions entrantes et sortantes entre une ligne VTY donnée (sur un périphérique Cisco) et les adresses dans une liste de contrôle d’accès.
Les listes de contrôle d’accès standard et étendues s’appliquent aux paquets traversant un routeur. Elles ne sont pas destinées à bloquer les paquets créés sur le routeur. Par défaut, une liste de contrôle d’accès étendue pour le trafic Telnet sortant n’empêche pas le routeur de lancer des sessions Telnet.
En règle générale, on considère que le filtrage du trafic Telnet est une fonction de la liste de contrôle d’accès IP étendue car il s’agit de filtrer le protocole de niveau supérieur. Ceci dit, vous pouvez utiliser des instructions de liste de contrôle d’accès standard pour contrôler l’accès VTY car vous utilisez la commande access-class pour filtrer les sessions Telnet entrantes et sortantes en fonction de l’adresse source et pour appliquer le filtrage aux lignes VTY.
La syntaxe de la commande access-class est la suivante :
access-class numéro-liste-accès {in | out}

Le paramètre in limite les connexions entrantes, alors que le paramètre out limite les connexions sortantes entre un périphérique Cisco donné et les adresses dans la liste de contrôle d’accès.
Cette figure illustre un exemple où les lignes VTY 0 et 4 sont autorisées.
Seules des listes de contrôle d’accès numérotées peuvent être appliquées aux lignes VTY.

Vous devez définir les mêmes restrictions sur toutes les lignes VTY car un utilisateur peut tenter de se connecter à n’importe laquelle. 

Aucun commentaire:

Enregistrer un commentaire