LES ACL

Travail ralis par :

Ben Salah Amine Chahid Amine Messaoudi Othmane

Sommaire:

Dfinition Types de protocoles Logique Les caractristiques des ACL Traitement La diffrence entre la liste daccs standard et liste daccs tendue Dsignation dune liste daccs Le masque gnrique ( WILDCARD MASK ) Rgles dapplication Syntaxe des commandes Optimisation du masque gnrique

Logique

Dsignation dune liste daccs

Plage IP IP tendu Apple Talk IPX IPX tendu 1 - 99 et 1300 - 1999 100 - 199 et 2000 - 2 600 - 699 800 - 899 900 - 999

Protocole IPX Service Advertising

1000 - 1099

Le masque gnrique ( WILDCARD MASK )

Adresse de rfrence : 10.1.1.0

Masque gnrique :
Adresse de rfrence (binaire) : Masque gnrique (binaire) :

0.0.0.255
00001010. 00000001. 00000001.00000000 00000000. 00000000. 00000000.11111111

Masque gnrique

Version binaire

Description

0.0.0.0

00000000.0000 Tous les bits seront 0000.00000000 examins .00000000 00000000.0000 Les 16 premiers bits 0000.11111111 seront examins .11111111

0.0.0.255

0.255.255.255 00000000.1111 1111.11111111 .11111111

Les 8 premiers bits seront examins

0.255.255.255

255.255.255.255

0.0.15.255

0.0.3.255

32.48.0.255

00000000.1111111 1.11111111.111111 11 11111111.1111111 1.11111111.111111 11 00000000.0000000 0.00001111.111111 11 00000000.0000000 0.00000011.111111 11 00100000.0011000 0.00000000.111111 11

Les 8 premiers bits seront examins

L'adresse ne sera pas examine. Tous les bits correspondent d'emble Les 20 premiers bits seront examins Les 22 premiers bits seront examins Tous les bits seront examins sauf le 3me, le 11me, le 12me et les 8 derniers

Syntaxe des commandes

Liste daccs standard Liste daccs tendue Liste daccs nomme Activation d'une liste d'accs sur une interface Filtrage fin Activation dune liste daccs sur une interface Diagnostic

Liste daccs standard

Router(config)#access-list numro-liste-accs {deny|permit} adresse-source [masque-source] [log]

Liste d'accs tendue

Router(config)#access-list numro-listeaccs {deny|permit} protocole adresse-source masque-source [oprateur port] adresse-destination masque-destination [oprateur port] [log]

Liste d'accs nomme

Router(config)#ip access-list standard nom Router(config-ext-nacl)#permit|deny Router(config)#ip access-list extended nom

Router(config-ext-nacl)#permit|deny

Activation d'une liste d'accs sur une interface.

Router(config-if)#ip access-group {numro-listeaccs|nom [in | out]}

Diagnostic Router#show ip interface [type numro] Router#show access-lists [numro-liste-accs|nomliste-accs] Router#show ip access-list [numro-liste-

accs|nom-liste-accs]

Inconvnients
o

De nombreuses applications utilisant des numro de port dynamiques

Les gestionnaires de rseau ont deux possibilits : Bloquent les applications utilisant des numros de ports imprdictibles Protgent les ports connus et laissaient certaines plages de numros de ports accessibles depuis lextrieur entranant par la mme des failles dans la mise en uvre de la scurit .

Conclusion sur les ACL

o

Mthode de filtrage la plus sure : sur lautorisation de ce qui est demande et linterdiction du reste Un certain nombre de protocole utilisent des ports dfini de manire dynamique Oblig a laisser un grand nombre de ports (TCP et UDP ) accessibles depuis lextrieur