Université Cadi AyyadAnnée universitaire : 2012/2013Département Réseaux et TélécomsACL TURBO, RÉFLEXIVE ET CONTEXTUELLEPro...
PLAN             Introduction             Turbo ACL              • Configuration              • fonctionnement            ...
INTRODUCTIONACL de base présentent des limitations qui peuvent être résolues parl’utilisation des :    • turbo ACL    • AC...
TURBO ACLACL standard / étendue    • Recherche séquentielle d’un match  temps de recherche augmente      avec la taille d...
TURBO ACL: CONFIGURATIONSur une ACL standard ou étendue :#access-list 101 deny tcp 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0...
TURBO ACL: FONCTIONNEMENTInde Source            Source    Dest IP   Dest IP   IP      protoco Port      Portx    IP (MS)  ...
EXEMPLE POUR IP SOURCE (MS)Index                 Valeur/ mask        ACL Entrée en Bitmap0                     192.168/255...
EXEMPLE POUR IP DEST (MS)Par contre pour la partie Dest IP (MS) le tableau Bitmap aura laforme:     Index                V...
TURBO ACL: FONCTIONNEMENTUne fois un paquet arrive:    • Extraction des champs IP Source (MS)…    • Comparaison avec les t...
Source IP (MS)       Source IP (LS)    Dest IP (MS)         Dest IP (LS)   Protocole             1111               1111  ...
TURBO ACL: LIMITATIONS       Nécessite de la mémoire : entre 2 et 4Mb de plus       Si l’ACL est très grande: plus de te...
ACL RÉFLEXIVE       Permet de filtrer le trafic en fonction des informations de        session des couches sup.       Ai...
ACL RÉFLEXIVE: FONCTIONNEMENT • Création dynamique d’une entrée temporaire caractérisée par:   entrée toujours: permit   ...
ACL RÉFLEXIVE: FONCTIONNEMENT   • Session TCP:        Bit FIN = 1  session va se terminer !        Attente 5s afin que ...
ACL RÉFLEXIVE : CONFIGURATION                                                                                  S1         ...
ACL RÉFLEXIVE: CONFIGURATION                                                Extended IP access list inboundfilters        ...
ACL RÉFLEXIVE: LIMITATIONS  Utilisée seulement avec ACL étendue nommée  Ne peut être utilisée avec une application qui  ...
ACL CONTEXTUELLE   CBAC: Context Based Access Control   fait partie de la fonctionnalité Pare-feu de lIOS Cisco   Plus ...
CBAC : FONCTIONNEMENT   Paquets arrivant sur une interface inspectés par ACL de cette    interface   Seuls paquets qui p...
CBAC: CONFIGURATION   • Étapes:        • Choisir l’interface        • Configurer l’ACL sur cette interface        • fixer ...
CBAC: CONFIGURATION   • Time out et seuils        • Détermine le temps pendant lequel il gère les informations          re...
CBAC: CONFIGURATION   •          Les protocoles de niveau application supportés        •    FTP        •    TFTP        • ...
CBAC : CONFIGURATION                       2408/12/2012
CBAC : CONFIGURATION Router(config)# ip inspect name OUTBOUND tcp Router(config)# ip inspect name OUTBOUND udp   • Configu...
CBAC : CONFIGURATION                  Router(config)#        access-list 102 permit icmp any                    host 10.0....
CBAC: LIMITATIONS     Inspecte que le trafic spécifié: contrôle plus fin, mais beaucoup      d’entrées « ip inspect » pou...
CONCLUSION       ACL réflexives plus performantes que les ACL étendues :        tiennent compte de l’information de sessi...
MERCI DE VOTRE ATTENTION                           2908/12/2012
Prochain SlideShare
Chargement dans…5
×

Acl avancée

1 729 vues

Publié le

0 commentaire
1 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
1 729
Sur SlideShare
0
Issues des intégrations
0
Intégrations
4
Actions
Partages
0
Téléchargements
94
Commentaires
0
J’aime
1
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Acl avancée

  1. 1. Université Cadi AyyadAnnée universitaire : 2012/2013Département Réseaux et TélécomsACL TURBO, RÉFLEXIVE ET CONTEXTUELLEProposé par :Mr N.Idboufker réalisé par : Kawtar ZERHOUNI 08/12/2012 1
  2. 2. PLAN Introduction Turbo ACL • Configuration • fonctionnement ACL réflexive • Fonctionnement • Configuration ACL contextuelle • fonctionnement • Configuration Conclusion08/12/2012 2
  3. 3. INTRODUCTIONACL de base présentent des limitations qui peuvent être résolues parl’utilisation des : • turbo ACL • ACL « réflexives » • ACL contextuelle : le CBAC08/12/2012 3
  4. 4. TURBO ACLACL standard / étendue • Recherche séquentielle d’un match  temps de recherche augmente avec la taille de l’ACL Fonction Turbo • Compile les ACLs dans des tables de recherche « lookup tables »  temps de recherche fixe ! • 5 itérations quelque soit la taille de l’ACL08/12/2012 4
  5. 5. TURBO ACL: CONFIGURATIONSur une ACL standard ou étendue :#access-list 101 deny tcp 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 eq telnet#access-list 101 permit tcp 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 eq http#access-list 101 deny tcp 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255 eq http#access-list 101 deny icmp 192.168.1.0 0.0.0.255 200.200.200.0 0.0.0.255On ajoute la commande: access-list compiled08/12/2012 5
  6. 6. TURBO ACL: FONCTIONNEMENTInde Source Source Dest IP Dest IP IP protoco Port Portx IP (MS) IP (LS) (MS) (LS) Flags le e L-3 source desti + L-4 natio Flags n0 192.168 1.0 192.168 2.0 * TCP * 231 192.168 1.0 192.168 2.0 * TCP * 802 192.168 1.0 192.168 3.0 * TCP * 803 192.168 1.0 200.200 200.0 * ICMP * *08/12/2012 7
  7. 7. EXEMPLE POUR IP SOURCE (MS)Index Valeur/ mask ACL Entrée en Bitmap0 192.168/255.255 1111 • 1 seule valeur pour les champs IP Source (MS) • 1 1 1 1: les 4 entrées de l’ACL 101 ont toutes la même adresse IP source (MS)08/12/2012 8
  8. 8. EXEMPLE POUR IP DEST (MS)Par contre pour la partie Dest IP (MS) le tableau Bitmap aura laforme: Index Valeur/mask ACL entrée en Bitmap 0 192.168/255.255 1110 1 200.200/255.255 0001Maintenant : les tables sont crées dans la mémoire du routeur !08/12/2012 9
  9. 9. TURBO ACL: FONCTIONNEMENTUne fois un paquet arrive: • Extraction des champs IP Source (MS)… • Comparaison avec les tables !La procédure se fait par niveau : • Parallèlement dans un même niveau • De façon séquentielle d’un niveau à un autreExemple paquet reçu : • Source IP (MS ) : 192.168 • Source IP (LS ) : 1.1 • Destination IP ( MS ) : 200.200 • Destination IP (LS ) : 200.1 • L-3 Protocol field + L-4 Flags : 0001 (ICMP) 1008/12/2012
  10. 10. Source IP (MS) Source IP (LS) Dest IP (MS) Dest IP (LS) Protocole 1111 1111 0001 0001 0001L1 And And 1111 0001 0001 L2 And L3 11 08/12/2012 0001
  11. 11. TURBO ACL: LIMITATIONS  Nécessite de la mémoire : entre 2 et 4Mb de plus  Si l’ACL est très grande: plus de temps pour compiler  access-list compiled : n’a pas d’argument  Utilisée seulement avec ACL standard ou étendue ! 1208/12/2012
  12. 12. ACL RÉFLEXIVE  Permet de filtrer le trafic en fonction des informations de session des couches sup.  Ainsi, autoriser un certain trafic, par exemple s’il vient de l’intérieur de notre réseau  ACL étendues + option established, mais uniquement pour TCP  ACL réflexives permettent de faire ce type de filtrage avec TCP, mais aussi UDP et ICMP 1308/12/2012
  13. 13. ACL RÉFLEXIVE: FONCTIONNEMENT • Création dynamique d’une entrée temporaire caractérisée par: entrée toujours: permit Même Protocole que le paquet original @IP source/dest inversées N°port source/dest inversés • Une fois la session terminée  suppression de l’entrée temporaire ! 14 08/12/2012
  14. 14. ACL RÉFLEXIVE: FONCTIONNEMENT • Session TCP: Bit FIN = 1  session va se terminer ! Attente 5s afin que le hôte et le serveur terminent la session, puis blocage du trafic, Bit RST=1  interruption brutale de session Blocage immédiat du trafic Par défaut : blocage de trafic après un temps d’inactivité de session • Session UDP: @IP source/dest N° port source/dest Fin de session: par défaut après un temps d’inactivité 1508/12/2012
  15. 15. ACL RÉFLEXIVE : CONFIGURATION S1 côté réseau local côté réseau d’interconnexionInterface Serial 1 description Acces to the Internet ip access-group inboundfilters in utilisation d’ACL nommées ip access-group outboundfilters out! sessions considérées comme inactives donc interditesip reflexive-list timeout 120 au bout de 120 secondes! définition ACL nommée outboudfilters: contient uneip access-list extended outboundfilters instruction : autoriser tout le trafic TCP, et crée une permit tcp any any reflect tcptraffic ACL nommée tcptraffic!ip access-list extended inboundfilters définition de l’ACL nommée inboundfilters : permit eigrp any any autorise tout le trafic EIGRP deny icmp any any interdit tout trafic ICMP tout le reste est évalué selon l’ACL tcptrafic evaluate tcptraffic 16 08/12/2012
  16. 16. ACL RÉFLEXIVE: CONFIGURATION Extended IP access list inboundfilters permit eigrp any anyshow access-list avant une deny icmp any anysession TCP evaluate tcptraffic Extended IP access list outboundfilters permit tcp any any reflect tcptraffic Extended IP access list inboundfilters permit eigrp any any deny icmp any any après une evaluate tcptraffic connexion Telnet Extended IP access list outboundfilters permit tcp any any reflect tcptraffic Reflexive IP access list tcptraffic permit tcp host 172.19.99.67 eq telnet host 192.168.60.185 eq 11005 17 08/12/2012
  17. 17. ACL RÉFLEXIVE: LIMITATIONS  Utilisée seulement avec ACL étendue nommée  Ne peut être utilisée avec une application qui change de numéro de port ! 1808/12/2012
  18. 18. ACL CONTEXTUELLE  CBAC: Context Based Access Control  fait partie de la fonctionnalité Pare-feu de lIOS Cisco  Plus performant que réflexive : tient compte des informations de la couche application.  Supporte les protocoles utilisant plusieurs numéros de port 1908/12/2012
  19. 19. CBAC : FONCTIONNEMENT  Paquets arrivant sur une interface inspectés par ACL de cette interface  Seuls paquets qui passent ce barrage: inspectés par le CBAC  Des tables d’état mises à jour grâce aux informations de session, pour chaque connexion active,  CBAC interdit ou autorise uniquement le trafic TCP ou UDP spécifié  Le filtrage se fait par l’ajout dynamique d’entées temporaires d’ACL 20 08/12/2012
  20. 20. CBAC: CONFIGURATION • Étapes: • Choisir l’interface • Configurer l’ACL sur cette interface • fixer les temporisations et les seuils • définir les règles d’inspection: spécifie quel trafic sera inspecté (application) • appliquer les règles d’inspection aux interfaces 2108/12/2012
  21. 21. CBAC: CONFIGURATION • Time out et seuils • Détermine le temps pendant lequel il gère les informations relatives aux sessions et pour déterminer quand une session se termine ! • contrôle le nombre total de sessions ouvertes ainsi que celles nouvellement établies sur une certaine durée • Gère des compteurs de demi-sessions. • TCP = session na pas atteint létat établi UDP = routeur na pas détecté de trafic de retour 2208/12/2012
  22. 22. CBAC: CONFIGURATION • Les protocoles de niveau application supportés • FTP • TFTP • UNIX R-commands (rlogin, rexec, rsh, ...) • SMTP • HTTP Java • SQL*Net • RTSP (RealNetworks) • Autres multimedia : • Microsoft NetShow • StreamWorks • VDOLive 2308/12/2012
  23. 23. CBAC : CONFIGURATION 2408/12/2012
  24. 24. CBAC : CONFIGURATION Router(config)# ip inspect name OUTBOUND tcp Router(config)# ip inspect name OUTBOUND udp • Configure CBAC pour l’inspection du trafic TCP et UDP Router(config)# access-list 101 permit ip 10.0.0.0 0.0.0.255 any Router(config)# access-list 101 deny ip any any • Autorise le trafic initié par les hôtes du réseau 10.0.0.0/24 Router(config)# interface e0/0 Router(config-if)# ip inspect OUTBOUND in Router(config-if)# ip access-group 101 in • Applique les règles d’inspection et l’ACL à l’interface e0/0 en entrée 25 08/12/2012
  25. 25. CBAC : CONFIGURATION Router(config)# access-list 102 permit icmp any host 10.0.0.3 Router(config)# access-list 102 permit tcp any host 10.0.0.3 eq www Router(config)# access-list 102 deny ip any any • Autorise seulement le trafic ICMP et HTTP vers 10.0.0.3, initié depuis l’extérieur Router(config)# interface e0/1 Router(config-if)# ip access-group 102 in • Applique l’ACL à l’interface e0/1 en entrée 2608/12/2012
  26. 26. CBAC: LIMITATIONS  Inspecte que le trafic spécifié: contrôle plus fin, mais beaucoup d’entrées « ip inspect » pour couvrir tous les types de connexions,  demande une connaissance des protocoles et des applications utilisés  trafic généré par le routeur lui-même n’est pas inspecté  trafic envoyé au routeur lui-même n’est pas inspecté  Seul le mode passif de FTP est compatible avec le CBAC 2708/12/2012
  27. 27. CONCLUSION  ACL réflexives plus performantes que les ACL étendues : tiennent compte de l’information de session  CBAC plus performant : tient compte en plus d’informations protocolaires de niveau application, • Permet ainsi de renforcer la sécurité d’un site 2808/12/2012
  28. 28. MERCI DE VOTRE ATTENTION 2908/12/2012

×