SlideShare une entreprise Scribd logo
1  sur  16
Télécharger pour lire hors ligne
Université de Reims Champagne - Ardenne




                 Les ACL Cisco
© F. Nolot




                                          Master 2 Professionnel STIC-Informatique   1
Université de Reims Champagne - Ardenne




                 Les ACL Cisco



                                                       Présentation
© F. Nolot




                                          Master 2 Professionnel STIC-Informatique   2
Université de Reims Champagne - Ardenne




               Les ACL Cisco ?


                 Les ACL (Access Control Lists) permettent de filtrer des packets suivant des
               critères définis par l'utilisateur
                 Sur des packets IP, il est ainsi possible de filtrer les paquets entrants ou
               sortant d'un routeur en fonction
                           De l'IP source
                           De l'IP destination
                           ...
                  Il existe 2 types d'ACL
                           Standard : uniquement sur les IP sources
                           Etendue : sur quasiment tous les champs des en-têtes IP, TCP et UDP
© F. Nolot




                                                 Master 2 Professionnel STIC-Informatique        3
Université de Reims Champagne - Ardenne




               Schéma du principe



                                          Permit                                  Outbound           Permit
                                                   Routage
                                                                                    ACL

                                                                                              Deny




                                  Inbound                   Deny
                                    ACL                                               Trash
© F. Nolot




                                                   Master 2 Professionnel STIC-Informatique                   4
Université de Reims Champagne - Ardenne




                 Les ACL Cisco



                                            Fonctionnement et configuration
© F. Nolot




                                          Master 2 Professionnel STIC-Informatique   5
Université de Reims Champagne - Ardenne




               La logique des ACL


                     Il est possible de résumer le fonctionnement des ACL de la façon suivante :
                           Le pâquet est vérifié par rapport au 1er critère défini
                           S'il vérifie le critère, l'action définie est appliquée
                           Sinon le paquet est comparé successivement par rapport aux ACL suivants
                           S'il ne satisfait aucun critère, l'action deny est appliquée
                     Les critères sont définit sur les informations contenues dans les en-têtes IP, TCP ou
                     UDP
                     Des masques ont été défini pour pouvoir identifier une ou plusieurs adresses IP en une
                     seule définition
                           Ce masque défini la portion de l'adresse IP qui doit être examinée
                           0.0.255.255 signifie que seuls les 2 premiers octets doivent être examinés
                           deny 10.1.3.0 avec 0.0.0.255 : refus de toutes les IP commencant par 10.1.3
© F. Nolot




                                                       Master 2 Professionnel STIC-Informatique               6
Université de Reims Champagne - Ardenne




               Standard IP Access List Configuration


                     Fonctionnement des ACL
                           Test des règles les unes après les autres
                           Si aucune règle n'est applicable, rejet du paquet
                     Définition d'une règle
                           access-list number [deny|permit] source [source-wildcard]
                                 Number compris entre 1 et 99 ou entre 1300 et 1999
                           access-list number remark test
                     Activation d'une ACL sur une interface
                           ip access-group [ number | name [ in | out ] ]
                     Visualiser les ACL
                           show access-lists [ number | name ] : toutes les ACL quelque soit
                           l'interface
© F. Nolot




                           show ip access-lists [ number | name ] : les ACL uniquement liés au
                           protocole IP
                                                    Master 2 Professionnel STIC-Informatique     7
Université de Reims Champagne - Ardenne




               Exemple (1/3)


                           interface Ethernet0
                           ip address 172.16.1.1 255.255.255.0
                           ip access-group 1 out

                           access-list 1 remark stop tous les paquets d'IP source 172.16.3.10
                           access-list 1 deny 172.16.3.10 0.0.0.0
                           access-list 1 permit 0.0.0.0 255.255.255.255



                     access-list 1 deny 172.16.3.10 0.0.0.0
                           Refuse les paquets d'IP source 172.16.3.10
                           Le masque (également appelé wildcard mask) signifie ici que tous les
                           bits de l'adresse IP sont significatifs
                     access-list 1 permit 0.0.0.0 255.255.255.255
                           Tous les paquets IP sont autorisés
© F. Nolot




                           Le masque 255.255.255.255 signifie qu'aucun bit n'est significatif
                                                 Master 2 Professionnel STIC-Informatique         8
Université de Reims Champagne - Ardenne




               Exemple (2/3)


                           interface Ethernet0
                           ip address 172.16.1.1 255.255.255.0
                           ip access-group 1 out

                           access-list 1 remark stop tous les paquets d'IP source 172.16.3.10
                           access-list 1 deny host 172.16.3.10
                           access-list 1 permit any


                     Une notation améliorée est possible pour remplacer
                           le masque 255.255.255.255 qui désigne une machine
                                 Utilisation du terme host
                           0.0.0.0 avec le wildcard masque à 255.255.255.255 qui désigne tout le
                           monde
                                 Utilisation du terme any
© F. Nolot




                                                     Master 2 Professionnel STIC-Informatique      9
Université de Reims Champagne - Ardenne




               Exemple (3/3)



                         interface Ethernet0
                         ip address 172.16.1.1 255.255.255.0
                         ip access-group 1 out

                         interface Ethernet1
                         ip address 172.16.2.1 255.255.255.0
                         ip access-group 2 in

                         access-list 1 remark Stoppe tous les paquets d'IP source 172.16.3.10
                         access-list 1 deny host 172.16.3.10
                         access-list 1 permit any

                         access-list 2 remark Autorise que les trames d'IP source 172.16.3.0/24
                         access-list 2 permit 172.16.3.0 0.0.0.255
© F. Nolot




                                                Master 2 Professionnel STIC-Informatique          10
Université de Reims Champagne - Ardenne




               Les extended ACL


                     Les extended ACL permettent filtrer des paquets en fonction
                           de l'adresse de destination IP
                           Du type de protocole (TCP, UDP, ICMP, IGRP, IGMP, ...)
                           Port source
                           Port destination
                           ...
© F. Nolot




                                                 Master 2 Professionnel STIC-Informatique   11
Université de Reims Champagne - Ardenne




               La syntaxe et exemple


                     access-list number { deny | permit } protocol source source-
                     wildcard destination dest.-wildcard
                           number : compris entre 100 et 199 ou 2000 et 2699


                     access-list 101 deny ip any host 10.1.1.1
                           Refus des paquets IP à destination de la machine 10.1.1.1 et provenant
                           de n'importe quelle source
                     access-list 101 deny tcp any gt 1023 host 10.1.1.1 eq 23
                           Refus de paquet TCP provenant d'un port > 1023 et à destiantion du
                           port 23 de la machine d'IP 10.1.1.1
                     access-list 101 deny tcp any host 10.1.1.1 eq http
                           Refus des paquets TCP à destination du port 80 de la machine d'IP
                           10.1.1.1
© F. Nolot




                                                Master 2 Professionnel STIC-Informatique            12
Université de Reims Champagne - Ardenne




               Les ACL nommés


                     Une ACL numéroté peut être composé de nombreuses régles. La seule façon de la
                     modifier et de faire
                           no access-list number

                           Puis de la redéfinir
                     Avec les ACL nommées, il est possible de supprimer qu'une seule ligne au lieu de toute
                     l'ACL
                     Sa définition se fait de la manière suivante
                           Router(config)# ip access-list extended bart
                           Router(config-ext-nacl)# deny tcp host 10.1.1.2 eq www any
                           Router(config-ext-nacl)# deny ip 10.1.1.0 0.0.0.255 any
                           Router(config-ext-nacl)# permit ip any any
                     Pour supprimer une des lignes, il suffit de refaire un
                           ip access-list extended bart
© F. Nolot




                           Puis un no deny ip 10.1.1.0 0.0.0.255 any

                                                    Master 2 Professionnel STIC-Informatique                  13
Université de Reims Champagne - Ardenne




               L'accès au Telnet avec une ACL


                     Pour utiliser une ACL dans le but de controler l'accès au telnet (donc au vty)
                           access-class number { in | out }




                                          line vty 0 4
                                               login
                                               password Cisco
                                               access-class 3 in
                                          !
                                          !
                                          access-list 3 permit 10.1.1.0 0.0.0.255
© F. Nolot




                                                 Master 2 Professionnel STIC-Informatique             14
Université de Reims Champagne - Ardenne




                 Les ACL Cisco



                                                                                     En production
© F. Nolot




                                          Master 2 Professionnel STIC-Informatique               15
Université de Reims Champagne - Ardenne




               Quelques conseils


                     La création, la mise à jour, le debuggage nécessitent beaucoup de temps et
                     de rigeur dans la syntaxe
                     Il est donc conseillé
                           De créer les ACL à l'aide d'un éditeur de texte et de faire un
                           copier/coller dans la configuration du routeur
                           Placer les extended ACL au plus près de la source du paquet que
                           possible pour le détruire le plus vite possible
                           Placer les ACL standard au plus près de la destination sinon, vous
                           risquez de détruire un paquet trop top
                                 Rappel : les ACL standard ne regardent que l'IP source
                           Placer la règle la plus spécifique en premier
                           Avant de faire le moindre changement sur une ACL, désactiver sur
                           l'interface concerné celle-ci (no ip access-group)
© F. Nolot




                                                     Master 2 Professionnel STIC-Informatique     16

Contenu connexe

Tendances

JunOS - Fondamentaux
JunOS - FondamentauxJunOS - Fondamentaux
JunOS - FondamentauxThomas Moegli
 
Corrigé cisco wissamben
Corrigé cisco wissambenCorrigé cisco wissamben
Corrigé cisco wissambenWissam Bencold
 
Cisco et-le-simulateur-packet-tracer
Cisco et-le-simulateur-packet-tracerCisco et-le-simulateur-packet-tracer
Cisco et-le-simulateur-packet-tracerMed Ali Bhs
 
vpn-site-a-site-avec-des-routeurs-cisco
 vpn-site-a-site-avec-des-routeurs-cisco vpn-site-a-site-avec-des-routeurs-cisco
vpn-site-a-site-avec-des-routeurs-ciscoCamara Assane
 
Travaux pratiques configuration du routage entre réseaux locaux virtuels
Travaux pratiques   configuration du routage entre réseaux locaux virtuelsTravaux pratiques   configuration du routage entre réseaux locaux virtuels
Travaux pratiques configuration du routage entre réseaux locaux virtuelsMohamed Keita
 
Authentification des protocoles de routage
Authentification des protocoles de routageAuthentification des protocoles de routage
Authentification des protocoles de routageThomas Moegli
 
3 switchport securité
3 switchport securité3 switchport securité
3 switchport securitémedalaa
 
Maintenance du système Linux
Maintenance du système LinuxMaintenance du système Linux
Maintenance du système LinuxEL AMRI El Hassan
 
Routeurs cisco-parametres-de-base-17126-l0xxp7
Routeurs cisco-parametres-de-base-17126-l0xxp7Routeurs cisco-parametres-de-base-17126-l0xxp7
Routeurs cisco-parametres-de-base-17126-l0xxp7basschuck2411
 
Fr E Routing Slm V40
Fr E Routing Slm V40Fr E Routing Slm V40
Fr E Routing Slm V40boukna abdou
 
VPN - Virtual Private Network
VPN - Virtual Private NetworkVPN - Virtual Private Network
VPN - Virtual Private Networkjulienlfr
 

Tendances (20)

JunOS - Fondamentaux
JunOS - FondamentauxJunOS - Fondamentaux
JunOS - Fondamentaux
 
Rapport projet
Rapport projetRapport projet
Rapport projet
 
Corrigé cisco wissamben
Corrigé cisco wissambenCorrigé cisco wissamben
Corrigé cisco wissamben
 
Cisco et-le-simulateur-packet-tracer
Cisco et-le-simulateur-packet-tracerCisco et-le-simulateur-packet-tracer
Cisco et-le-simulateur-packet-tracer
 
Version Final Presentation
Version Final PresentationVersion Final Presentation
Version Final Presentation
 
Protocole IKE/IPsec
Protocole IKE/IPsecProtocole IKE/IPsec
Protocole IKE/IPsec
 
Services IP
Services IPServices IP
Services IP
 
vpn-site-a-site-avec-des-routeurs-cisco
 vpn-site-a-site-avec-des-routeurs-cisco vpn-site-a-site-avec-des-routeurs-cisco
vpn-site-a-site-avec-des-routeurs-cisco
 
Travaux pratiques configuration du routage entre réseaux locaux virtuels
Travaux pratiques   configuration du routage entre réseaux locaux virtuelsTravaux pratiques   configuration du routage entre réseaux locaux virtuels
Travaux pratiques configuration du routage entre réseaux locaux virtuels
 
Authentification des protocoles de routage
Authentification des protocoles de routageAuthentification des protocoles de routage
Authentification des protocoles de routage
 
3 switchport securité
3 switchport securité3 switchport securité
3 switchport securité
 
Protocoles SSL/TLS
Protocoles SSL/TLSProtocoles SSL/TLS
Protocoles SSL/TLS
 
Maintenance du système Linux
Maintenance du système LinuxMaintenance du système Linux
Maintenance du système Linux
 
Protocole OSPF
Protocole OSPFProtocole OSPF
Protocole OSPF
 
Routeurs cisco-parametres-de-base-17126-l0xxp7
Routeurs cisco-parametres-de-base-17126-l0xxp7Routeurs cisco-parametres-de-base-17126-l0xxp7
Routeurs cisco-parametres-de-base-17126-l0xxp7
 
Fr E Routing Slm V40
Fr E Routing Slm V40Fr E Routing Slm V40
Fr E Routing Slm V40
 
Protocole EIGRP
Protocole EIGRPProtocole EIGRP
Protocole EIGRP
 
Eigrp ccna v5
Eigrp ccna v5 Eigrp ccna v5
Eigrp ccna v5
 
vpn
vpnvpn
vpn
 
VPN - Virtual Private Network
VPN - Virtual Private NetworkVPN - Virtual Private Network
VPN - Virtual Private Network
 

En vedette

LPIC1 05 05 acl
LPIC1 05 05 aclLPIC1 05 05 acl
LPIC1 05 05 aclNoël
 
Vpn d’acces avec cisco asa 5500 et client
Vpn d’acces avec cisco asa 5500 et clientVpn d’acces avec cisco asa 5500 et client
Vpn d’acces avec cisco asa 5500 et clientManassé Achim kpaya
 
Problemas psicosociales
Problemas psicosocialesProblemas psicosociales
Problemas psicosocialesMishell Vargas
 
Rapport nagios miniprojet
Rapport nagios miniprojetRapport nagios miniprojet
Rapport nagios miniprojetAyoub Rouzi
 
Alphorm.com formation-GNS3
Alphorm.com formation-GNS3Alphorm.com formation-GNS3
Alphorm.com formation-GNS3Alphorm
 
Modèle de contrôle d'accés
Modèle de contrôle d'accés Modèle de contrôle d'accés
Modèle de contrôle d'accés Billie Frechette
 

En vedette (8)

LPIC1 05 05 acl
LPIC1 05 05 aclLPIC1 05 05 acl
LPIC1 05 05 acl
 
Ccnp securite vpn
Ccnp securite vpnCcnp securite vpn
Ccnp securite vpn
 
Vpn d’acces avec cisco asa 5500 et client
Vpn d’acces avec cisco asa 5500 et clientVpn d’acces avec cisco asa 5500 et client
Vpn d’acces avec cisco asa 5500 et client
 
Problemas psicosociales
Problemas psicosocialesProblemas psicosociales
Problemas psicosociales
 
Rapport nagios miniprojet
Rapport nagios miniprojetRapport nagios miniprojet
Rapport nagios miniprojet
 
Introduction au BIG DATA
Introduction au BIG DATAIntroduction au BIG DATA
Introduction au BIG DATA
 
Alphorm.com formation-GNS3
Alphorm.com formation-GNS3Alphorm.com formation-GNS3
Alphorm.com formation-GNS3
 
Modèle de contrôle d'accés
Modèle de contrôle d'accés Modèle de contrôle d'accés
Modèle de contrôle d'accés
 

Similaire à Acl cisco

Chapter2_ScalingNetworks.pdf
Chapter2_ScalingNetworks.pdfChapter2_ScalingNetworks.pdf
Chapter2_ScalingNetworks.pdfBARKAAMINEAHAMAT
 
Acl maintenance
Acl maintenanceAcl maintenance
Acl maintenanceNerdDev
 
Sca n instructorppt_chapter1_finalfr
Sca n instructorppt_chapter1_finalfrSca n instructorppt_chapter1_finalfr
Sca n instructorppt_chapter1_finalfrYamadou BATHILY
 
EIGRP - EIGRP sur frame relay
EIGRP - EIGRP sur frame relayEIGRP - EIGRP sur frame relay
EIGRP - EIGRP sur frame relaymdyabi
 
Cours Firewalls.pdf
Cours Firewalls.pdfCours Firewalls.pdf
Cours Firewalls.pdfAnisSalhi3
 
Chapitre 6 - Protocoles TCP/IP, UDP/IP
Chapitre 6  - Protocoles TCP/IP, UDP/IPChapitre 6  - Protocoles TCP/IP, UDP/IP
Chapitre 6 - Protocoles TCP/IP, UDP/IPTarik Zakaria Benmerar
 
Cisco les acl_cours
Cisco les acl_coursCisco les acl_cours
Cisco les acl_coursTutu Mike
 
firewall firewall firewall firewall .pptx
firewall firewall firewall firewall .pptxfirewall firewall firewall firewall .pptx
firewall firewall firewall firewall .pptxAbdellahELMAMOUN
 
Composants routeur cisco et différent mode de Configuration
Composants routeur cisco et différent mode de ConfigurationComposants routeur cisco et différent mode de Configuration
Composants routeur cisco et différent mode de ConfigurationZakariaBouzzitMadrid
 
laboratoire formation ccna cisco materiel .ppt
laboratoire formation ccna cisco materiel .pptlaboratoire formation ccna cisco materiel .ppt
laboratoire formation ccna cisco materiel .pptprofsn
 
Sécurite operationnelle des Systèmes d'Information Volet-2
Sécurite operationnelle des Systèmes d'Information Volet-2Sécurite operationnelle des Systèmes d'Information Volet-2
Sécurite operationnelle des Systèmes d'Information Volet-2PRONETIS
 
C4 Réseaux : Couche reseau
C4 Réseaux : Couche reseauC4 Réseaux : Couche reseau
C4 Réseaux : Couche reseauPRONETIS
 

Similaire à Acl cisco (20)

Tout atm
Tout atmTout atm
Tout atm
 
Chapter2_ScalingNetworks.pdf
Chapter2_ScalingNetworks.pdfChapter2_ScalingNetworks.pdf
Chapter2_ScalingNetworks.pdf
 
Acl maintenance
Acl maintenanceAcl maintenance
Acl maintenance
 
Sca n instructorppt_chapter1_finalfr
Sca n instructorppt_chapter1_finalfrSca n instructorppt_chapter1_finalfr
Sca n instructorppt_chapter1_finalfr
 
3200612.ppt
3200612.ppt3200612.ppt
3200612.ppt
 
EIGRP - EIGRP sur frame relay
EIGRP - EIGRP sur frame relayEIGRP - EIGRP sur frame relay
EIGRP - EIGRP sur frame relay
 
Cours Firewalls.pdf
Cours Firewalls.pdfCours Firewalls.pdf
Cours Firewalls.pdf
 
Astuces cisco
Astuces ciscoAstuces cisco
Astuces cisco
 
Chapitre 6 - Protocoles TCP/IP, UDP/IP
Chapitre 6  - Protocoles TCP/IP, UDP/IPChapitre 6  - Protocoles TCP/IP, UDP/IP
Chapitre 6 - Protocoles TCP/IP, UDP/IP
 
Cisco les acl_cours
Cisco les acl_coursCisco les acl_cours
Cisco les acl_cours
 
firewall firewall firewall firewall .pptx
firewall firewall firewall firewall .pptxfirewall firewall firewall firewall .pptx
firewall firewall firewall firewall .pptx
 
Acl
AclAcl
Acl
 
Cmsbe f04 acl
Cmsbe f04 aclCmsbe f04 acl
Cmsbe f04 acl
 
Adressage ip
Adressage ipAdressage ip
Adressage ip
 
ethernet.ppt
ethernet.pptethernet.ppt
ethernet.ppt
 
Composants routeur cisco et différent mode de Configuration
Composants routeur cisco et différent mode de ConfigurationComposants routeur cisco et différent mode de Configuration
Composants routeur cisco et différent mode de Configuration
 
laboratoire formation ccna cisco materiel .ppt
laboratoire formation ccna cisco materiel .pptlaboratoire formation ccna cisco materiel .ppt
laboratoire formation ccna cisco materiel .ppt
 
Sécurite operationnelle des Systèmes d'Information Volet-2
Sécurite operationnelle des Systèmes d'Information Volet-2Sécurite operationnelle des Systèmes d'Information Volet-2
Sécurite operationnelle des Systèmes d'Information Volet-2
 
Vpn
VpnVpn
Vpn
 
C4 Réseaux : Couche reseau
C4 Réseaux : Couche reseauC4 Réseaux : Couche reseau
C4 Réseaux : Couche reseau
 

Dernier

Pas de vagues. pptx Film français
Pas de vagues.  pptx      Film   françaisPas de vagues.  pptx      Film   français
Pas de vagues. pptx Film françaisTxaruka
 
Faut-il avoir peur de la technique ? (G. Gay-Para)
Faut-il avoir peur de la technique ? (G. Gay-Para)Faut-il avoir peur de la technique ? (G. Gay-Para)
Faut-il avoir peur de la technique ? (G. Gay-Para)Gabriel Gay-Para
 
Bibdoc 2024 - L’Éducation aux Médias et à l’Information face à l’intelligence...
Bibdoc 2024 - L’Éducation aux Médias et à l’Information face à l’intelligence...Bibdoc 2024 - L’Éducation aux Médias et à l’Information face à l’intelligence...
Bibdoc 2024 - L’Éducation aux Médias et à l’Information face à l’intelligence...Atelier Canopé 37 - Tours
 
Apprendre avec des top et nano influenceurs
Apprendre avec des top et nano influenceursApprendre avec des top et nano influenceurs
Apprendre avec des top et nano influenceursStagiaireLearningmat
 
Présentation - Initiatives - CECOSDA - OIF - Fact Checking.pptx
Présentation - Initiatives - CECOSDA - OIF - Fact Checking.pptxPrésentation - Initiatives - CECOSDA - OIF - Fact Checking.pptx
Présentation - Initiatives - CECOSDA - OIF - Fact Checking.pptxJCAC
 
Pas de vagues. pptx Film français
Pas de vagues.  pptx   Film     françaisPas de vagues.  pptx   Film     français
Pas de vagues. pptx Film françaisTxaruka
 
Newsletter SPW Agriculture en province du Luxembourg du 10-04-24
Newsletter SPW Agriculture en province du Luxembourg du 10-04-24Newsletter SPW Agriculture en province du Luxembourg du 10-04-24
Newsletter SPW Agriculture en province du Luxembourg du 10-04-24BenotGeorges3
 
Bibdoc 2024 - Sobriete numerique en bibliotheque et centre de documentation.pdf
Bibdoc 2024 - Sobriete numerique en bibliotheque et centre de documentation.pdfBibdoc 2024 - Sobriete numerique en bibliotheque et centre de documentation.pdf
Bibdoc 2024 - Sobriete numerique en bibliotheque et centre de documentation.pdfAtelier Canopé 37 - Tours
 
Vulnérabilité numérique d’usage : un enjeu pour l’aide à la réussitepdf
Vulnérabilité numérique d’usage : un enjeu pour l’aide à la réussitepdfVulnérabilité numérique d’usage : un enjeu pour l’aide à la réussitepdf
Vulnérabilité numérique d’usage : un enjeu pour l’aide à la réussitepdfSylvianeBachy
 
DIGNITAS INFINITA - DIGNITÉ HUMAINE; déclaration du dicastère .pptx
DIGNITAS INFINITA - DIGNITÉ HUMAINE; déclaration du dicastère .pptxDIGNITAS INFINITA - DIGNITÉ HUMAINE; déclaration du dicastère .pptx
DIGNITAS INFINITA - DIGNITÉ HUMAINE; déclaration du dicastère .pptxMartin M Flynn
 
La Base unique départementale - Quel bilan, au bout de 5 ans .pdf
La Base unique départementale - Quel bilan, au bout de 5 ans .pdfLa Base unique départementale - Quel bilan, au bout de 5 ans .pdf
La Base unique départementale - Quel bilan, au bout de 5 ans .pdfbdp12
 
Aux origines de la sociologie : du XIXème au début XX ème siècle
Aux origines de la sociologie : du XIXème au début XX ème siècleAux origines de la sociologie : du XIXème au début XX ème siècle
Aux origines de la sociologie : du XIXème au début XX ème siècleAmar LAKEL, PhD
 
Chana Orloff.pptx Sculptrice franco-ukranienne
Chana Orloff.pptx Sculptrice franco-ukranienneChana Orloff.pptx Sculptrice franco-ukranienne
Chana Orloff.pptx Sculptrice franco-ukranienneTxaruka
 
Bibdoc 2024 - Les intelligences artificielles en bibliotheque.pdf
Bibdoc 2024 - Les intelligences artificielles en bibliotheque.pdfBibdoc 2024 - Les intelligences artificielles en bibliotheque.pdf
Bibdoc 2024 - Les intelligences artificielles en bibliotheque.pdfAtelier Canopé 37 - Tours
 
Calendrier de la semaine du 8 au 12 avril
Calendrier de la semaine du 8 au 12 avrilCalendrier de la semaine du 8 au 12 avril
Calendrier de la semaine du 8 au 12 avrilfrizzole
 

Dernier (16)

Pas de vagues. pptx Film français
Pas de vagues.  pptx      Film   françaisPas de vagues.  pptx      Film   français
Pas de vagues. pptx Film français
 
Faut-il avoir peur de la technique ? (G. Gay-Para)
Faut-il avoir peur de la technique ? (G. Gay-Para)Faut-il avoir peur de la technique ? (G. Gay-Para)
Faut-il avoir peur de la technique ? (G. Gay-Para)
 
Bibdoc 2024 - L’Éducation aux Médias et à l’Information face à l’intelligence...
Bibdoc 2024 - L’Éducation aux Médias et à l’Information face à l’intelligence...Bibdoc 2024 - L’Éducation aux Médias et à l’Information face à l’intelligence...
Bibdoc 2024 - L’Éducation aux Médias et à l’Information face à l’intelligence...
 
Apprendre avec des top et nano influenceurs
Apprendre avec des top et nano influenceursApprendre avec des top et nano influenceurs
Apprendre avec des top et nano influenceurs
 
Bulletin des bibliotheques Burkina Faso mars 2024
Bulletin des bibliotheques Burkina Faso mars 2024Bulletin des bibliotheques Burkina Faso mars 2024
Bulletin des bibliotheques Burkina Faso mars 2024
 
Présentation - Initiatives - CECOSDA - OIF - Fact Checking.pptx
Présentation - Initiatives - CECOSDA - OIF - Fact Checking.pptxPrésentation - Initiatives - CECOSDA - OIF - Fact Checking.pptx
Présentation - Initiatives - CECOSDA - OIF - Fact Checking.pptx
 
Pas de vagues. pptx Film français
Pas de vagues.  pptx   Film     françaisPas de vagues.  pptx   Film     français
Pas de vagues. pptx Film français
 
Newsletter SPW Agriculture en province du Luxembourg du 10-04-24
Newsletter SPW Agriculture en province du Luxembourg du 10-04-24Newsletter SPW Agriculture en province du Luxembourg du 10-04-24
Newsletter SPW Agriculture en province du Luxembourg du 10-04-24
 
Bibdoc 2024 - Sobriete numerique en bibliotheque et centre de documentation.pdf
Bibdoc 2024 - Sobriete numerique en bibliotheque et centre de documentation.pdfBibdoc 2024 - Sobriete numerique en bibliotheque et centre de documentation.pdf
Bibdoc 2024 - Sobriete numerique en bibliotheque et centre de documentation.pdf
 
Vulnérabilité numérique d’usage : un enjeu pour l’aide à la réussitepdf
Vulnérabilité numérique d’usage : un enjeu pour l’aide à la réussitepdfVulnérabilité numérique d’usage : un enjeu pour l’aide à la réussitepdf
Vulnérabilité numérique d’usage : un enjeu pour l’aide à la réussitepdf
 
DIGNITAS INFINITA - DIGNITÉ HUMAINE; déclaration du dicastère .pptx
DIGNITAS INFINITA - DIGNITÉ HUMAINE; déclaration du dicastère .pptxDIGNITAS INFINITA - DIGNITÉ HUMAINE; déclaration du dicastère .pptx
DIGNITAS INFINITA - DIGNITÉ HUMAINE; déclaration du dicastère .pptx
 
La Base unique départementale - Quel bilan, au bout de 5 ans .pdf
La Base unique départementale - Quel bilan, au bout de 5 ans .pdfLa Base unique départementale - Quel bilan, au bout de 5 ans .pdf
La Base unique départementale - Quel bilan, au bout de 5 ans .pdf
 
Aux origines de la sociologie : du XIXème au début XX ème siècle
Aux origines de la sociologie : du XIXème au début XX ème siècleAux origines de la sociologie : du XIXème au début XX ème siècle
Aux origines de la sociologie : du XIXème au début XX ème siècle
 
Chana Orloff.pptx Sculptrice franco-ukranienne
Chana Orloff.pptx Sculptrice franco-ukranienneChana Orloff.pptx Sculptrice franco-ukranienne
Chana Orloff.pptx Sculptrice franco-ukranienne
 
Bibdoc 2024 - Les intelligences artificielles en bibliotheque.pdf
Bibdoc 2024 - Les intelligences artificielles en bibliotheque.pdfBibdoc 2024 - Les intelligences artificielles en bibliotheque.pdf
Bibdoc 2024 - Les intelligences artificielles en bibliotheque.pdf
 
Calendrier de la semaine du 8 au 12 avril
Calendrier de la semaine du 8 au 12 avrilCalendrier de la semaine du 8 au 12 avril
Calendrier de la semaine du 8 au 12 avril
 

Acl cisco

  • 1. Université de Reims Champagne - Ardenne Les ACL Cisco © F. Nolot Master 2 Professionnel STIC-Informatique 1
  • 2. Université de Reims Champagne - Ardenne Les ACL Cisco Présentation © F. Nolot Master 2 Professionnel STIC-Informatique 2
  • 3. Université de Reims Champagne - Ardenne Les ACL Cisco ? Les ACL (Access Control Lists) permettent de filtrer des packets suivant des critères définis par l'utilisateur Sur des packets IP, il est ainsi possible de filtrer les paquets entrants ou sortant d'un routeur en fonction De l'IP source De l'IP destination ... Il existe 2 types d'ACL Standard : uniquement sur les IP sources Etendue : sur quasiment tous les champs des en-têtes IP, TCP et UDP © F. Nolot Master 2 Professionnel STIC-Informatique 3
  • 4. Université de Reims Champagne - Ardenne Schéma du principe Permit Outbound Permit Routage ACL Deny Inbound Deny ACL Trash © F. Nolot Master 2 Professionnel STIC-Informatique 4
  • 5. Université de Reims Champagne - Ardenne Les ACL Cisco Fonctionnement et configuration © F. Nolot Master 2 Professionnel STIC-Informatique 5
  • 6. Université de Reims Champagne - Ardenne La logique des ACL Il est possible de résumer le fonctionnement des ACL de la façon suivante : Le pâquet est vérifié par rapport au 1er critère défini S'il vérifie le critère, l'action définie est appliquée Sinon le paquet est comparé successivement par rapport aux ACL suivants S'il ne satisfait aucun critère, l'action deny est appliquée Les critères sont définit sur les informations contenues dans les en-têtes IP, TCP ou UDP Des masques ont été défini pour pouvoir identifier une ou plusieurs adresses IP en une seule définition Ce masque défini la portion de l'adresse IP qui doit être examinée 0.0.255.255 signifie que seuls les 2 premiers octets doivent être examinés deny 10.1.3.0 avec 0.0.0.255 : refus de toutes les IP commencant par 10.1.3 © F. Nolot Master 2 Professionnel STIC-Informatique 6
  • 7. Université de Reims Champagne - Ardenne Standard IP Access List Configuration Fonctionnement des ACL Test des règles les unes après les autres Si aucune règle n'est applicable, rejet du paquet Définition d'une règle access-list number [deny|permit] source [source-wildcard] Number compris entre 1 et 99 ou entre 1300 et 1999 access-list number remark test Activation d'une ACL sur une interface ip access-group [ number | name [ in | out ] ] Visualiser les ACL show access-lists [ number | name ] : toutes les ACL quelque soit l'interface © F. Nolot show ip access-lists [ number | name ] : les ACL uniquement liés au protocole IP Master 2 Professionnel STIC-Informatique 7
  • 8. Université de Reims Champagne - Ardenne Exemple (1/3) interface Ethernet0 ip address 172.16.1.1 255.255.255.0 ip access-group 1 out access-list 1 remark stop tous les paquets d'IP source 172.16.3.10 access-list 1 deny 172.16.3.10 0.0.0.0 access-list 1 permit 0.0.0.0 255.255.255.255 access-list 1 deny 172.16.3.10 0.0.0.0 Refuse les paquets d'IP source 172.16.3.10 Le masque (également appelé wildcard mask) signifie ici que tous les bits de l'adresse IP sont significatifs access-list 1 permit 0.0.0.0 255.255.255.255 Tous les paquets IP sont autorisés © F. Nolot Le masque 255.255.255.255 signifie qu'aucun bit n'est significatif Master 2 Professionnel STIC-Informatique 8
  • 9. Université de Reims Champagne - Ardenne Exemple (2/3) interface Ethernet0 ip address 172.16.1.1 255.255.255.0 ip access-group 1 out access-list 1 remark stop tous les paquets d'IP source 172.16.3.10 access-list 1 deny host 172.16.3.10 access-list 1 permit any Une notation améliorée est possible pour remplacer le masque 255.255.255.255 qui désigne une machine Utilisation du terme host 0.0.0.0 avec le wildcard masque à 255.255.255.255 qui désigne tout le monde Utilisation du terme any © F. Nolot Master 2 Professionnel STIC-Informatique 9
  • 10. Université de Reims Champagne - Ardenne Exemple (3/3) interface Ethernet0 ip address 172.16.1.1 255.255.255.0 ip access-group 1 out interface Ethernet1 ip address 172.16.2.1 255.255.255.0 ip access-group 2 in access-list 1 remark Stoppe tous les paquets d'IP source 172.16.3.10 access-list 1 deny host 172.16.3.10 access-list 1 permit any access-list 2 remark Autorise que les trames d'IP source 172.16.3.0/24 access-list 2 permit 172.16.3.0 0.0.0.255 © F. Nolot Master 2 Professionnel STIC-Informatique 10
  • 11. Université de Reims Champagne - Ardenne Les extended ACL Les extended ACL permettent filtrer des paquets en fonction de l'adresse de destination IP Du type de protocole (TCP, UDP, ICMP, IGRP, IGMP, ...) Port source Port destination ... © F. Nolot Master 2 Professionnel STIC-Informatique 11
  • 12. Université de Reims Champagne - Ardenne La syntaxe et exemple access-list number { deny | permit } protocol source source- wildcard destination dest.-wildcard number : compris entre 100 et 199 ou 2000 et 2699 access-list 101 deny ip any host 10.1.1.1 Refus des paquets IP à destination de la machine 10.1.1.1 et provenant de n'importe quelle source access-list 101 deny tcp any gt 1023 host 10.1.1.1 eq 23 Refus de paquet TCP provenant d'un port > 1023 et à destiantion du port 23 de la machine d'IP 10.1.1.1 access-list 101 deny tcp any host 10.1.1.1 eq http Refus des paquets TCP à destination du port 80 de la machine d'IP 10.1.1.1 © F. Nolot Master 2 Professionnel STIC-Informatique 12
  • 13. Université de Reims Champagne - Ardenne Les ACL nommés Une ACL numéroté peut être composé de nombreuses régles. La seule façon de la modifier et de faire no access-list number Puis de la redéfinir Avec les ACL nommées, il est possible de supprimer qu'une seule ligne au lieu de toute l'ACL Sa définition se fait de la manière suivante Router(config)# ip access-list extended bart Router(config-ext-nacl)# deny tcp host 10.1.1.2 eq www any Router(config-ext-nacl)# deny ip 10.1.1.0 0.0.0.255 any Router(config-ext-nacl)# permit ip any any Pour supprimer une des lignes, il suffit de refaire un ip access-list extended bart © F. Nolot Puis un no deny ip 10.1.1.0 0.0.0.255 any Master 2 Professionnel STIC-Informatique 13
  • 14. Université de Reims Champagne - Ardenne L'accès au Telnet avec une ACL Pour utiliser une ACL dans le but de controler l'accès au telnet (donc au vty) access-class number { in | out } line vty 0 4 login password Cisco access-class 3 in ! ! access-list 3 permit 10.1.1.0 0.0.0.255 © F. Nolot Master 2 Professionnel STIC-Informatique 14
  • 15. Université de Reims Champagne - Ardenne Les ACL Cisco En production © F. Nolot Master 2 Professionnel STIC-Informatique 15
  • 16. Université de Reims Champagne - Ardenne Quelques conseils La création, la mise à jour, le debuggage nécessitent beaucoup de temps et de rigeur dans la syntaxe Il est donc conseillé De créer les ACL à l'aide d'un éditeur de texte et de faire un copier/coller dans la configuration du routeur Placer les extended ACL au plus près de la source du paquet que possible pour le détruire le plus vite possible Placer les ACL standard au plus près de la destination sinon, vous risquez de détruire un paquet trop top Rappel : les ACL standard ne regardent que l'IP source Placer la règle la plus spécifique en premier Avant de faire le moindre changement sur une ACL, désactiver sur l'interface concerné celle-ci (no ip access-group) © F. Nolot Master 2 Professionnel STIC-Informatique 16