Objectifs spécifiques :
- savoir
utiliser les listes de contrôle d’accès standard et étendues
dans le cadre de votre stratégie de sécurité
- savoir
comment les configurer sur un routeur Cisco
************
Introduction
Les concepteurs de réseaux utilisent des
pare-feu pour protéger les réseaux de toute utilisation non autorisée. Les
pare-feu sont des solutions logicielles ou matérielles permettant de mettre en
œuvre des stratégies de sécurité du réseau. Prenons l’exemple d’un verrou de
porte dans une pièce à l’intérieur d’un bâtiment. Le verrou permet l’entrée
uniquement aux utilisateurs autorisés et munis d’une clé ou d’une carte
d’accès. De la même façon, un pare-feu filtre les paquets non autorisés ou
dangereux, les empêchant ainsi d’accéder au réseau. Sur un routeur Cisco, vous
pouvez configurer un pare-feu simple, qui assurera les fonctions de base de
filtrage du trafic à l’aide de listes de
contrôle d’accès.
Une liste de contrôle d’accès est un
ensemble séquentiel d’instructions d’autorisation ou de refus qui s’appliquent
aux adresses ou aux protocoles de couche supérieure. Les listes de contrôle
d’accès représentent un outil puissant pour contrôler le trafic entrant ou
sortant d’un réseau. Vous pouvez configurer les listes de contrôle d’accès pour
tous les protocoles réseau routés.
1. Listes de contrôle d’accès
1.1 Filtrage des paquets
Le filtrage des paquets, parfois appelé
filtrage des paquets statique, contrôle l’accès à un réseau en analysant les
paquets entrants et sortants, et en les transmettant ou en les arrêtant en
fonction de critères prédéfinis.
Un routeur filtre les paquets lors de
leur transmission ou de leur refus conformément aux règles de filtrage.
Lorsqu’un paquet accède à un routeur de filtrage, certaines informations de son
en-tête sont extraites. Conformément aux règles de filtrage, le routeur décide
alors si le paquet peut être transmis ou si au contraire il doit être rejeté.
Le filtrage des paquets fonctionne sur la couche réseau du modèle OSI (Open
Systems Interconnection) ou sur la couche Internet de TCP/IP.
Une liste de contrôle d’accès est un script de configuration de routeur
contrôlant l’autorisation ou le refus de passage des paquets, conformément aux
critères stipulés dans leur en-tête. Les listes de contrôle d’accès sont les
objets les plus couramment utilisés dans le logiciel Cisco IOS. Elles servent
également à sélectionner le type de trafic à analyser, transmettre ou traiter
selon d’autres méthodes.
À chaque fois qu’un paquet traverse une
interface avec une liste de contrôle d’accès associée, celle-ci est vérifiée de
haut en bas, ligne par ligne, à la recherche d’un modèle correspondant au
paquet entrant. La liste de contrôle d’accès exécute au moins une stratégie de
sécurité de l’entreprise en appliquant une règle d’autorisation ou de refus au
paquet. Vous pouvez configurer des listes de contrôle d’accès en vue de
contrôler l’accès à un réseau ou à un sous-réseau.
Vous trouverez ci-dessous quelques
instructions pour utiliser les listes de contrôle d’accès :
§
Utilisez
des listes de contrôle d’accès sur les routeurs pare-feu entre votre réseau
interne et un réseau externe, par exemple Internet.
§
Utilisez
des listes de contrôle d’accès sur un routeur situé entre deux sections de
votre réseau pour contrôler le trafic entrant ou sortant sur une partie donnée
du réseau interne.
§
Configurez
des listes de contrôle d’accès sur les routeurs périphériques situés à la frontière
de vos réseaux. Cela permet de fournir une protection de base contre le réseau
externe ou entre une zone plus sensible et une zone moins contrôlée de votre
réseau.
§
Configurez
des listes de contrôle d’accès pour tout protocole réseau configuré sur les
interfaces de routeur périphérique. Vous pouvez configurer des listes de
contrôle d’accès sur une interface pour filtrer les trafics entrant, sortant ou
les deux.
Ø
Règle
des trois P
Les trois P font figure de règle
générale pour appliquer des listes de contrôle d’accès sur un routeur. Vous
pouvez configurer une liste de contrôle d’accès par protocole, par direction et
par interface :
§
Une
liste de contrôle d’accès par protocole : pour contrôler le flux du trafic sur
une interface, définissez une liste de contrôle d’accès pour chaque protocole
activé sur l’interface.
§
Une
liste de contrôle d’accès par direction : les listes de contrôle d’accès
contrôlent le trafic dans une seule direction à la fois sur une interface. Vous
devez créer deux listes de contrôle d’accès ; la première pour contrôler
le trafic entrant et la seconde pour contrôler le trafic sortant.
§
Une
liste de contrôle d’accès par interface : les listes de contrôle d’accès
contrôlent le trafic pour une interface, telle que Fast Ethernet 0/0.
1.2
Fonctionnement
des listes de contrôle d’accès
Vous
configurez des listes de contrôle d’accès pour les appliquer au trafic entrant
ou sortant.
Listes
de contrôle d’accès entrantes : les paquets entrants sont traités avant
d’être routés vers l’interface de sortie. Une liste de contrôle d’accès
entrante est efficace car elle réduit la charge des recherches de routage en
cas d’abandon du paquet. Si le paquet est autorisé à l’issue des tests, il est
soumis au routage.
Listes
de contrôle d’accès sortantes : les paquets entrants sont routés vers
l’interface de sortie puis traités par le biais de la liste de contrôle d’accès
sortante.
Les instructions d’une liste de contrôle
d’accès fonctionnent dans un ordre séquentiel. Elles évaluent les paquets en
les validant par rapport à la la liste de contrôle d’accès, de haut en bas, une
instruction après l’autre.
La figure illustre la logique d’une
liste de contrôle d’accès entrante. En cas de concordance entre un en-tête de
paquet et une instruction de la liste de contrôle d’accès, les autres
instructions de la liste sont ignorées et le paquet est autorisé ou refusé,
comme le définit l’instruction correspondante. En cas de non-concordance entre
un en-tête de paquet et une instruction de la liste de contrôle d’accès, le paquet
est validé par rapport à l’instruction suivante de la liste. Ce processus de
concordance est valable pour toute la liste.
Une instruction implicite finale
s’applique à tous les paquets qui n’ont pas répondu aux conditions. Cette
condition finale correspond à tous les autres paquets et se solde par une
instruction de refus. Au lieu de les faire entrer ou sortir d’une interface, le
routeur abandonne tous les paquets restants. Cette instruction finale est
souvent appelée instruction implicite « deny any » ou « deny all
traffic ».
|
|
|
|
|
|
|
Vous
trouverez une instruction implicite de critères « deny all
traffic » à la fin de chaque liste de contrôle d’accès. On l’appelle
parfois instruction implicite « deny any ». Par conséquent, si un
paquet ne correspond pas aux entrées de la liste de contrôle d’accès, il est
automatiquement bloqué. L’instruction implicite « deny all
traffic » correspond au comportement par défaut des listes de contrôle
d’accès ; vous ne pouvez pas la modifier.
Voici
le principal avertissement associé au comportement de l’instruction
« deny all » : pour la plupart des protocoles, si vous
définissez une liste de contrôle d’accès entrante pour filtrer le trafic, il
est recommandé d’inclure des instructions explicites pour autoriser les mises
à jour de routage. Dans le cas contraire, vous risquez de perdre toute
communication sur l’interface lorsque les mises à jour de routage sont
bloquées par l’instruction implicite « deny all traffic » à la fin
de la liste de contrôle d’accès.
|
1.3
Types
de liste de contrôle d’accès
Il existe deux types de liste de
contrôle d’accès Cisco : standard et étendue.
1.3.1
Listes de contrôle d’accès standard
Les listes de contrôle d’accès standard
permettent d’autoriser et de refuser le trafic en provenance d’adresses IP
source. La destination du paquet et les ports concernés n’ont aucune incidence.
Dans cet exemple, tout trafic en provenance du réseau 192.168.30.0/24 est
autorisé. Compte tenu de l’instruction implicite « deny any » à la
fin de la liste, tout autre trafic est bloqué avec cette liste. Les listes de
contrôle d’accès standard sont créées en mode de configuration globale.
Le
processus de décision est représenté dans cette figure. Le logiciel Cisco IOS vérifie
les correspondances d’adresses les unes après les autres. La première
correspondance détermine si le logiciel accepte ou refuse l’adresse. Dans la
mesure où le logiciel ne vérifie plus les conditions après la première
correspondance, l’ordre des conditions est primordial. En cas de
non-concordance des conditions, l’adresse est rejetée.
Les
deux tâches principales liées aux listes de contrôle d’accès sont les
suivantes :
Étape 1. Création d’une liste de contrôle
d’accès en spécifiant un numéro ou un nom de liste et des conditions d’accès.
Étape 2. Application d’une liste de contrôle
d’accès aux interfaces ou aux lignes du terminal.
a) Création de listes de contrôle standard
numérotée
Logique de la liste de contrôle d’accès
standard
Dans cette figure, les adresses source
sont vérifiées pour les paquets de Fa0/0 :
access-list
2 deny 192.168.10.1
access-list
2 permit 192.168.10.0 0.0.0.255
access-list
2 deny 192.168.0.0 0.0.255.255
access-list
2 permit 192.0.0.0 0.255.255.255
Si
les paquets sont autorisés, ils sont acheminés via le routeur vers une
interface de sortie. Dans le cas contraire, ils sont abandonnés sur l’interface
d’entrée.
La
syntaxe complète de la commande des listes de contrôle d’accès standard est la
suivante :
Routeur(config)#access-list
numéro-liste-accès deny ou permit ou remark source [masque-générique-source] [log]
La
figure explique dans le détail la syntaxe d’une liste de contrôle d’accès
standard.
Par exemple,
pour octroyer le numéro 10 à une liste de contrôle d’accès afin d’autoriser
l’accès au réseau 192.168.10.0 /24, entrez :
R1(config)# access-list 10 permit 192.168.10.0
Ø
Any et host
Cette figure
présente deux exemples. L’exemple 1 montre comment utiliser l’option any
pour remplacer l’adresse IP 0.0.0.0 par un masque générique 255.255.255.255.
L’exemple 2 montre comment utiliser l’option host pour
remplacer le masque générique.
Ø
Procédures de configuration des listes
de contrôle d’accès standard numérotée
Exemple 1 :
Cette
liste de contrôle d’accès autorise uniquement le transfert du trafic sur le
réseau source 192.168.10.0 vers S0/0/0. Le trafic provenant d’autres réseaux
que 192.168.10.0 est bloqué.
Exemple 2 :
Cette liste de
contrôle d’accès remplace l’exemple précédent mais bloque aussi le trafic
provenant d’une adresse donnée (192.168.10.10).
Exemple 3
Cette liste de
contrôle d’accès remplace l’exemple précédent mais bloque le trafic provenant
de l’hôte PC1. Elle autorise également tout autre trafic du réseau local à
quitter le routeur R1.
b) Création de listes de contrôle standard
nommée
Si vous attribuez un nom à une
liste de contrôle d’accès, il vous sera plus facile d’en comprendre la
fonction. Par exemple, vous pouvez utiliser NO_FTP pour appeler une liste de
contrôle d’accès refusant le trafic FTP. Lorsque vous identifiez une liste de
contrôle d’accès par un nom plutôt qu’un numéro, le mode de configuration et la
syntaxe de commande sont légèrement différents.
Exemple :
Les listes de contrôle d’accès nommées
présentent un gros avantage par rapport aux listes de contrôle d’accès
numérotées dans la mesure où leur édition est plus facile. Les listes de
contrôle d’accès IP nommées vous permettent de supprimer des entrées dans une
liste d’accès donnée depuis la version 12.3 du logiciel Cisco IOS. Utilisez des
numéros de séquence pour insérer des instructions n’importe où dans la liste de
contrôle d’accès nommée. Si vous utilisez une version antérieure du logiciel
Cisco IOS, vous pouvez ajouter des instructions uniquement en bas de la liste
de contrôle d’accès nommée. Dans la mesure où vous pouvez supprimer des
entrées, vous pouvez modifier la liste de contrôle d’accès sans la supprimer ni
la reconfigurer dans son intégralité.
c) Accès VTY (Telnet)
La
restriction de l’accès VTY est une technique vous permettant de définir les
adresses IP avec un accès Telnet au processus d’exécution du routeur. Vous
pouvez décider quelle station de travail administrative ou quel réseau gère le
routeur avec une liste de contrôle d’accès et une instruction access-class sur
les lignes VTY. Vous pouvez également utiliser cette technique avec SSH pour
renforcer la sécurité de tout accès administratif.
En mode de configuration de ligne, la
commande access-class limite
les connexions entrantes et sortantes entre une ligne VTY donnée (sur un
périphérique Cisco) et les adresses dans une liste de contrôle d’accès.
Les
listes de contrôle d’accès standard et étendues s’appliquent aux paquets
traversant un routeur. Elles ne sont pas destinées à bloquer les paquets créés
sur le routeur. Par défaut, une liste de contrôle d’accès étendue pour le
trafic Telnet sortant n’empêche pas le routeur de lancer des sessions Telnet.
En
règle générale, on considère que le filtrage du trafic Telnet est une fonction
de la liste de contrôle d’accès IP étendue car il s’agit de filtrer le
protocole de niveau supérieur. Ceci dit, vous pouvez utiliser des instructions
de liste de contrôle d’accès standard pour contrôler l’accès VTY car vous
utilisez la commande access-class pour filtrer les sessions Telnet entrantes et
sortantes en fonction de l’adresse source et pour appliquer le filtrage aux
lignes VTY.
La
syntaxe de la commande access-class est la suivante :
access-class
numéro-liste-accès {in | out}
Le paramètre in limite les
connexions entrantes, alors que le paramètre out limite les connexions
sortantes entre un périphérique Cisco donné et les adresses dans la liste de
contrôle d’accès.
Cette
figure illustre un exemple où les lignes VTY 0 et 4 sont autorisées.
Seules
des listes de contrôle d’accès numérotées peuvent être appliquées aux lignes
VTY.
Vous
devez définir les mêmes restrictions sur toutes les lignes VTY car un
utilisateur peut tenter de se connecter à n’importe laquelle.
