1. Définition des listes de contrôle d’accès

Les listes de contrôle d’accès sont des listes de conditions qui sont appliquées au trafic circulant via une interface de routeur. Ces listes indiquent au routeur les types de paquets à accepter ou à rejeter.

Certaines conditions dans une ACL sont des adresses source et de destination, des protocoles et des numéros de port de couche supérieure.

• Gérer le trafic + sécuriser l’accès d’un réseau en entrée comme en sortie. 
• Des ACL peuvent être créées pour tous les protocoles routés, tels qu’IP et IPX. 
• Une ACL séparée doit être créée pour chaque direction : une pour le trafic entrant et une pour le trafic sortant. 

Les principales raisons pour créer des listes de contrôle d’accès :

• Limiter le trafic réseau et accroître les performances (limitant le trafic vidéo) Contrôler le flux de trafic. (limiter l’arrivée des mises à jour de routage) 
• Fournir un niveau de sécurité d’accès réseau de base. Les listes de contrôle d’accès permettent à un hôte d’accéder à une section du réseau tout en empêchant un autre hôte d’avoir accès à la même section. 
• Déterminer le type de trafic qui sera acheminé ou bloqué au niveau des interfaces de routeur. (autoriser l’acheminement des messages électroniques et de bloquer tout le trafic via Telnet). 
• Autoriser un administrateur à contrôler les zones auxquelles un client peut accéder sur un réseau. 

2. Fonctionnement des listes de contrôle d’accès

L’ordre des instructions ACL est important. Cisco IOS teste le paquet par rapport à chaque instruction de condition en partant du début de la liste jusqu’à la fin.

Lorsqu’une condition est satisfaite dans la liste, le paquet est accepté ou rejeté et les autres instructions ne sont pas vérifiées.

3. Processus de routage dans un routeur

• Vérifier la correspondance (@ MAC) 
• Rechercher une ACL sur l’interface d’entrée Vérifier accepter ou rejeter le paquet 
• Déterminer l’interface de destination (table de routage) 
• Si le paquet est accepté router le paquet vers l’interface de partance. 
• Vérifier l’ACL sur l’interface de destination accepter ou rejeter le paquet 
• Vérifier l’autorisation du paquet. 
• Encapsuler le paquet (en trame) et l’Envoi à l’unité suivante. 

4. Règles doivent être respectées lors de la création et de l’application des listes d’accès

• Une liste d’accès par direction et par protocole. 
• Les listes d’accès standard doivent être appliquées le plus près possible de la destination. Les listes d’accès étendues doivent être appliquées le plus près possible de la source. 
• Pour faire référence à une interface d’entrée ou de sortie, placez-vous à l’intérieur du routeur en regardant l'interface en question. 
• Les instructions sont traitées dans l’ordre depuis le début de la liste jusqu’à la fin jusqu’à ce qu’une correspondance soit trouvée. Si aucune correspondance n’est détectée, le paquet est refusé. 
• Il existe un refus implicite deny any à la fin de toutes les listes de contrôle d’accès. 
• Les hôtes spécifiques doivent être rejetés en premier, tandis que les groupes ou les filtres généraux viennent en dernier. 
• La condition de correspondance est examinée en premier. L’acceptation ou le refus est examiné UNIQUEMENT si la condition est vraie. 
• Ne travaillez jamais avec une liste d’accès qui est appliquée de manière active. 
• Utilisez un éditeur de texte pour créer des commentaires indiquant la logique, puis ajoutez les instructions correspondantes. 
• Il n’est pas possible d’ajouter et de supprimer des lignes spécifiques dans des listes d’accès numérotées. 
• Une liste d’accès IP envoie un message ICMP d’hôte inaccessible à l’émetteur du paquet rejeté et élimine le paquet dans la corbeille prévue à cet effet. 
• Soyez particulièrement attentif lorsque vous supprimez une liste d’accès (une instruction deny any peut être appliquée par défaut à l’interface et tout le trafic peut être arrêté). 
• Les filtres de sortie ne concernent pas le trafic généré par le routeur local. 

5. Rôle du masque générique

Un masque générique est une quantité de 32 bits divisés en quatre octets.

Les masques génériques utilisent les uns et les zéros binaires pour filtrer des adresses IP individuelles ou de groupes pour autoriser ou refuser un accès à des ressources à l'aide d'une adresse IP précise. Le (0) implique que la valeur soit comparée (correspondance parfaite exigée), tandis que le (1) implique de bloquer la comparaison (correspondance exacte non exigée).

Deux mots-clés spéciaux sont utilisé dans les listes de contrôle d’accès : any et host.

Any remplace 0.0.0.0 dans l’adresse IP et 255.255.255.255 dans le masque générique. Cette option établit une correspondance avec toute adresse avec laquelle elle est comparée.

Host remplace le masque 0.0.0.0. Ce masque nécessite une correspondance parfaite entre tous les bits de l’adresse ACL et ceux de l’adresse du paquet. Avec cette option, une seule adresse concorde.

Remarque : Le masque de sous-réseaux et le masque générique représentent deux choses différentes même s'ils sont tous les deux appliqués à des adresses IP

Exemple de calcul des masques génériques et prise des décisions :

L’ACL configurée ==> Access-list 1 permit 172.16.0.0 0.0.255.255

==> Supposons qu’un paquet entrant de la source 172.17.1.1

@ IP (172.16.0.0) : 10101100.00010000.00000000.00000000

Masque générique (0.0.255.255) : 00000000.00000000.xxxxxxxx.

Valeur de correspondance 1 : 10101100.00010000.xxxxxxxx.

@ IP (172.17.1.1) : 10101100.00010001.00000001.00000001

Masque générique (0.0.255.255) : 00000000.00000000.xxxxxxxx.

Valeur de correspondance 2 : 10101100.00010001.xxxxxxxx.

==> Pas de correspondance ==> paquet refusé.

6. Listes de contrôle d’accès (ACL)

a. Listes de contrôle d’accès standard

Les listes d’accès standard vérifient l’adresse d’origine des paquets IP qui sont routés. Selon le résultat de la comparaison, l’acheminement est autorisé ou refusé pour un ensemble de protocoles complet en fonction des adresses réseau, de sous-réseau et d’hôte.

La version standard de la commande de configuration globale access-list est utilisée pour définir une ACL standard avec un numéro compris entre 1 et 99 À partir de la version Cisco IOS Software Release 12.0.1, les ACL standards ont débuté à utiliser la plage additionnelle (1300 à 1999) afin de procurer un maximum de 798 nouvelles ACL standards. Ces numéros additionnels sont habituellement appelés ACL IP expansées. Notez que la première instruction ACL ne contient aucun masque générique. Dans le cas où aucune liste n’apparaît, le masque par défaut (0.0.0.0) est utilisé. Cela signifie que la totalité de l’adresse doit correspondre, ou que cette ligne de l’ACL ne s’applique pas et que le routeur doit rechercher une correspondance dans la ligne suivante de la liste d’accès.

La syntaxe complète de la commande ACL standard est la suivante:

Router(config)#access-list access-list-number {deny | permit | remark} source [masque générique] [log]

Les commentaires remark permettent de comprendre plus facilement les listes d'accès. Chaque commentaire est limité à 100 caractères. Par exemple, il n'est pas évident de connaître le but de la saisie

Router(config)#access-list 1 permit 172.16.2.3

Il est beaucoup plus facile de lire le commentaire qui suit pour comprendre son effet :

Router(config)#Liste d'accès 1 remark Permet seulement au poste de travail de Jones de passer access-list 1 permit 172.16.2.3

Utilisez la forme no de cette commande pour supprimer une liste de contrôle d’accès standard. En voici la syntaxe:

Router(config)#no access-list numéro-liste-d’accès

La commande ip access-group applique une ACL standard existante à une interface:

Router(config)#ip access-group {access-list-number | access-list-name} {in | out}

Exemples :