Procédures de configuration des listes de contrôle d’accès
standard:
Après sa configuration, une liste de contrôle d’accès
standard est liée à une interface à l’aide de la commande
ip access-group :
Routeur(config-if)#ip access-group {numéro-liste-accès |
nom-liste-accès} {in | out}
Pour supprimer une liste de contrôle d’accès d’une
interface, commencez par entrer la commande no ip access-group sur l’interface
puis la commande globale no access-list pour la supprimer dans son intégralité.
exemple de liste de contrôle d’accès autorise un réseau
unique.
Cette liste de contrôle d’accès autorise uniquement le
transfert du trafic sur le réseau source 192.168.10.0 vers S0/0/0. Le trafic
provenant d’autres réseaux que 192.168.10.0 est bloqué.
La première ligne identifie la liste de contrôle d’accès
comme liste d’accès 1. Elle autorise le trafic qui correspond aux
paramètres sélectionnés. Dans ce cas, l’adresse IP et le masque générique
identifiant le réseau source sont 192.168.10.0 0.0.0.255. Rappelez-vous qu’il
existe une instruction de refus global implicite et invisible qui revient à
ajouter la ligne access-list 1 deny 0.0.0.0 255.255.255.255.
La commande de configuration d’interface ip access-group 1
out associe et attache la liste de contrôle d’accès 1 à l’interface Serial
0/0/0 tel un filtre de sortie.
C’est pourquoi la liste de contrôle d’accès 1 autorise
uniquement les hôtes provenant du réseau 192.168.10.0 /24 à quitter le routeur
R1. Tout autre réseau est refusé, notamment 192.168.11.0.
exemple de liste de contrôle d’accès refusant un hôte
spécifique.
Cette liste de contrôle d’accès remplace l’exemple précédent
mais bloque aussi le trafic provenant d’une adresse donnée. La première
commande supprime la version précédente de la liste de contrôle d’accès 1.
La prochaine instruction de la liste de contrôle d’accès refuse l’hôte PC1 sur
le réseau 192.168.10.10. Un hôte sur deux du réseau 192.168.10.0 /24 est
autorisé. L’instruction de refus implicite fait correspondre un réseau sur
deux.
La liste de contrôle d’accès est réappliquée à l’interface
S0/0/0 dans une direction sortante.
exemple de liste de contrôle d’accès refusant un sous-réseau
spécifique.
Cette liste de contrôle d’accès remplace l’exemple précédent
mais bloque le trafic provenant de l’hôte PC1. Elle autorise également tout
autre trafic du réseau local à quitter le routeur R1.
Les deux premières commandes sont identiques à l’exemple
précédent. La première commande supprime la version précédente de la liste de
contrôle d’accès 1. La prochaine instruction de la liste de contrôle
d’accès refuse l’hôte PC1 sur le réseau 192.168.10.10.
La troisième ligne est nouvelle ; elle autorise tous
les hôtes des réseaux 192.168.x.x /16. En d’autres termes, tous les hôtes du
réseau 192.168.10.0 /24 correspondent. Qui plus est, les hôtes du réseau
192.168.11.0 correspondent également.
La liste de contrôle d’accès est réappliquée à l’interface
S0/0/0 dans une direction sortante. Par conséquent, les deux réseaux locaux
attachés au routeur R1 peuvent quitter l’interface S0/0/0 à l’exception du PC1
hôte.
Procédures de configuration des listes de contrôle d’accès étendues
les listes de contrôle d’accès étendues vérifient non
seulement les adresses de paquets source, mais aussi l’adresse de destination,
les protocoles et les numéros de port (ou services).
un administrateur spécifie un numéro de port TCP ou UDP en
le plaçant à la fin de l’instruction de la liste de contrôle d’accès étendue.
Vous pouvez utiliser des opérateurs logiques, tels que égal (eq), non égal
(neq), supérieur à (gt) et inférieur à (lt)
. 
l’administrateur réseau doit limiter l’accès Internet pour
n’autoriser que la navigation sur le Web. La liste de contrôle d’accès 103
s’applique au trafic provenant du réseau 192.168.10.0 ; la liste de
contrôle d’accès 104 s’applique au trafic à destination du réseau.
La liste de contrôle d’accès 103 répond en partie aux
besoins. Elle autorise le trafic en provenance de toute adresse sur le réseau
192.168.10.0 à accéder à n’importe quelle destination, à condition que le
trafic soit transféré vers les ports 80 (HTTP) et 443 (HTTPS).
HTTP nécessite le retour du trafic sur le réseau. Mais
l’administrateur réseau souhaite limiter ce trafic aux échanges HTTP en
provenance des sites Web demandés. La solution de sécurité doit refuser tout
autre trafic acheminé vers le réseau. La liste de contrôle d’accès 104
procède ainsi en bloquant tout trafic entrant, à l’exception des connexions
établies. HTTP établit des connexions en commençant par la demande initiale
avant de passer aux échanges de messages ACK, FIN et SYN.
Notez que l’exemple reprend le paramètre
established. :Ce paramètre autorise des réponses au trafic provenant du
réseau 192.168.10.0 /24 pour un retour entrant sur s0/0/0. Une correspondance
survient si les bits ACK ou RST (réinitialisation) du datagramme TCP sont
activés, ce qui indique que le paquet appartient à une connexion existante.
Sans paramètre established dans l’instruction de la liste de contrôle d’accès,
les clients peuvent envoyer le trafic vers un serveur Web mais ils ne peuvent
pas le recevoir.
Dans l’exemple de cette figure, le routeur R1 comprend deux
interfaces. Il comprend un port série S0/0/0 et un port Fast Ethernet Fa0/0. Le
trafic Internet entrant accède à l’interface S0/0/0 mais quitte l’interface
Fa0/0 à destination de PC1. Cet exemple applique la liste de contrôle d’accès à
l’interface série dans les deux sens.
Refue du trafic FTP en provenance du sous-réseau
192.168.11.0 à destination du sous-réseau 192.168.10.0, sachant que tout autre
trafic est autorisé. Notez l’utilisation des masques génériques et de
l’instruction de refus globale explicite. N’oubliez pas que FTP nécessite les
ports 20 et 21. C’est pourquoi vous devez spécifier eq 20 et eq 21 pour refuser
FTP.
Refuser Telnet dans cette figure.
0 com:
Enregistrer un commentaire
Suggérer des améliorations à apporter au blog, des articles, des commentaires ou des liens sur la sécurité informatique.Merci