Listes de contrôle d'accès IPv4 étendues

Structure d'une liste de contrôle d'accès IPv4 étendue

Test des paquets avec des listes de contrôle d'accès étendues

Des listes de contrôle d'accès IPv4 étendues peuvent être créées pour permettre un contrôle
plus précis du filtrage du trafic. Les listes de contrôle d'accès étendues sont numérotées de
100 à 199 et de 2 000 à 2 699 ce qui offre un total de 799 numéros de listes de contrôle
d'accès étendues disponibles. Vous pouvez également attribuer un nom aux listes de contrôle
d'accès étendues.

Les listes de contrôle d'accès étendues sont plus répandues que les listes de contrôle d'accès
standard, car elles fournissent un degré supérieur de contrôle. Comme le montre la figure, à
l'instar des listes de contrôle d'accès standard, les listes de contrôle d'accès étendues contrôlent
les adresses sources des paquets, mais elles vérifient également l'adresse de destination, les
protocoles et les numéros de port (ou les services). La plage de critères est ainsi bien plus
grande. Par exemple, une liste de contrôle d'accès étendue peut autoriser le trafic d'e-mails
d'un réseau vers une destination spécifique tout en refusant les transferts de fichiers et la
navigation sur le Web.

Test des ports et des services

La possibilité de filtrer en fonction des protocoles et des numéros de port permet aux
administrateurs réseau de créer des listes de contrôle d'accès étendues très précises. Une
application peut être spécifiée soit par le numéro de port soit par le nom d'un port réservé.

La Figure 1 montre quelques exemples où un administrateur spécifie un numéro de port TCP

ou UDP en le plaçant à la fin de l'instruction de la liste de contrôle d'accès étendue. Vous
pouvez utiliser des opérateurs logiques, tels que égal (eq), non égal (neq), supérieur à (gt) et
inférieur à (lt).

La Figure 2 montre comment afficher la liste des numéros de port et des mots-clés qui
peuvent être utilisés lors de la création d'une liste de contrôle d'accès, à l'aide de la commande
suivante :

R1(config)# access-list 101 permit tcp any any eq ?

Configuration des ACL étendues
Les procédures de configuration des listes de contrôle d'accès étendues sont les mêmes que
pour les listes de contrôle d'accès standard. La liste de contrôle d'accès étendue est d'abord
configurée, puis elle est activée sur une interface. La syntaxe et les paramètres de commande
sont plus complexes car ils prennent en charge des fonctions supplémentaires fournies par les
listes de contrôle d'accès étendues.

Remarque : la logique interne appliquée pour ordonner les instructions des listes de contrôle
d'accès standard ne s'applique pas aux listes de contrôle d'accès étendues. L'ordre dans lequel
les instructions sont saisies lors de la configuration est l'ordre dans lequel elles s'affichent et
sont traitées.
La Figure 1 illustre la syntaxe de commande courante pour les listes de contrôle d'accès
étendues IPv4. Notez qu'il existe de nombreux mots-clés et paramètres pour les listes de
contrôle d'accès étendues. Il n'est pas nécessaire de tous les utiliser lors de la configuration
d'une liste de contrôle d'accès étendue. Souvenez-vous que vous pouvez utiliser le signe ?
Pour obtenir de l'aide lors de la saisie de commandes complexes.
La Figure 2 présente un exemple de liste de contrôle d'accès étendue. Dans cet exemple,
l'administrateur réseau a configuré des listes de contrôle d'accès pour limiter l'accès au réseau.
La navigation sur Internet est autorisée uniquement à partir du réseau local relié à l'interface
G0/0. La liste de contrôle d'accès 103 autorise le trafic en provenance de toute adresse sur le
réseau [Link] à accéder à n'importe quelle destination, à condition que le trafic soit
transféré via les ports 80 (HTTP) et 443 (HTTPS) uniquement.

La nature du protocole HTTP exige que le trafic revienne sur le réseau à partir des sites Web
consultés par les clients internes. L'administrateur réseau souhaite limiter ce trafic retour aux
échanges HTTP de sites Web demandés, et refuser tout autre trafic. La liste de contrôle
d'accès 104 atteint cet objectif en bloquant tout trafic entrant, à l'exception des connexions
établies précédemment. L'instruction « permit » de la liste de contrôle d'accès 104 autorise le
trafic entrant à l'aide du paramètre established.

Le paramètre established autorise uniquement les réponses au trafic provenant du réseau

[Link]/24 à revenir sur ce réseau. Il y a concordance si les bits ACK ou RST
(réinitialisation) du segment TCP de retour sont définis, indiquant que le paquet appartient à
une connexion existante. Sans le paramètre established dans l'instruction de la liste de
contrôle d'accès, les clients pourraient envoyer le trafic vers un serveur Web, mais ne
pourraient pas recevoir le trafic revenant de celui-ci.

Application d’ACL étendues aux interfaces

Dans l'exemple précédent, l'administrateur réseau a configuré une liste de contrôle d'accès
pour permettre aux utilisateurs du réseau [Link]/24 de naviguer sur les sites Web
sécurisés et non sécurisés. Même si elle a été configurée, la liste de contrôle d'accès ne filtre
pas le trafic tant qu'elle n'est pas appliquée à une interface. Pour appliquer une liste de
contrôle d'accès à une interface, déterminez d'abord si le filtrage concerne le trafic entrant ou
sortant. Lorsqu'un utilisateur du réseau local interne accède à un site Web sur Internet, le
trafic est dans la direction sortante vers Internet. Lorsqu'un utilisateur interne reçoit un e-mail
à partir d'Internet, le trafic entre dans le routeur local. Cependant, lorsque vous appliquez une
liste de contrôle d'accès à une interface, les termes entrant et sortant prennent un sens
différent. Dans le contexte d'une liste de contrôle d'accès, le référentiel est l'interface du
routeur.

Dans la topologie de la figure, R1 a trois interfaces : une interface série, S0/0/0, et deux
interfaces Gigabit Ethernet, G0/0 et G0/1. Souvenez-vous que les listes de contrôle d'accès
étendues doivent généralement être appliquées près de la source. Dans cette topologie,
l'interface la plus proche de la source du trafic cible est l'interface G0/0.

Le trafic des requêtes Web émises par les utilisateurs du réseau local [Link]/24 entre
dans l'interface G0/0. Le trafic de retour provenant des connexions établies avec les
utilisateurs du réseau local sort de l'interface G0/0. Cet exemple applique la liste de contrôle
d'accès à l'interface G0/0 dans les deux sens. La liste de contrôle d'accès entrante, 103,
examine le type de trafic. La liste de contrôle d'accès sortante, 104, recherche le trafic de
retour des connexions établies. L'accès internet de [Link] sera donc limité à la
navigation sur le Web.

Remarque : les listes d'accès auraient pu être appliquées à l'interface S0/0/0, mais dans ce
cas, le processus ACL du routeur devrait examiner tous les paquets entrant dans le routeur et
non seulement le trafic en provenance et à destination de [Link]. Cela entraînerait des
opérations inutiles pour le routeur.
Filtrage du trafic à l’aide d’ACL étendues
L'exemple de la Figure 1 refuse le trafic FTP provenant du sous-réseau [Link] destiné
au sous-réseau [Link], mais autorise tout autre trafic. Notez l'utilisation des masques
génériques et de l'instruction de refus global explicite. Souvenez-vous que le protocole FTP
utilise les ports TCP 20 et 21. Par conséquent, la liste de contrôle d'accès doit comporter les
mots-clés ftp et ftp-data, ou eq 20 et eq 21 pour refuser le trafic FTP.

Si vous utilisez les numéros de port au lieu des noms de port, les commandes sont les
suivantes :

access-list 114 permit tcp [Link] [Link] any eq 20

access-list 114 permit tcp [Link] [Link] any eq 21

Pour empêcher l'instruction de refus global implicite présente à la fin de la liste de contrôle
d'accès de bloquer tout le trafic, l'instruction permit ip any any est ajoutée. S'il n'existe
aucune instruction permit dans une liste de contrôle d'accès, tout le trafic sur l'interface à
laquelle cette liste est appliquée est abandonné. La liste de contrôle d'accès devrait être
appliquée sur le trafic entrant dans l'interface G0/1 afin que le trafic provenant du réseau local
[Link]/24 soit filtré lorsqu'il entre dans l'interface du routeur.

L'exemple de la Figure 2 refuse le trafic Telnet provenant de n'importe quelle source vers le
réseau local [Link]/24, mais autorise tout autre trafic IP. Étant donné que le trafic
destiné au réseau local [Link]/24 est sortant sur l'interface G0/1, la liste de contrôle
d'accès serait appliquée à l'interface G0/1 à l'aide du mot-clé out. Notez l'utilisation du mot-
clé any dans l'instruction d'autorisation. Cette instruction est ajoutée pour garantir qu'aucun
autre trafic n'est bloqué.

Remarque : les exemples des Figures 1 et 2 utilisent tous deux l'instruction permit ip any
any à la fin de la liste. Pour plus de sécurité, on peut utiliser la commande permit
[Link] [Link] any.

Création d’ACL étendues nommées

La création des listes de contrôle d'accès étendues nommées est similaire à la création des
listes de contrôle d'accès standard nommées. Procédez comme suit pour créer une liste de
contrôle d'accès étendue identifiée par un nom :

Étape 1. En mode de configuration globale, utilisez la commande ip access-list extended

name pour définir le nom de la liste de contrôle d'accès étendue.

Étape 2. En mode de configuration de la liste de contrôle d'accès nommée, spécifiez les

conditions permit ou deny.

Étape 3. Repassez en mode d'exécution privilégié et vérifiez la liste à l'aide de la commande

show access-lists name.

Étape 4. Enregistrez les entrées dans le fichier de configuration en utilisant la commande

copy running-config startup-config.
Pour supprimer une liste de contrôle d'accès étendue nommée, utilisez la commande de
configuration globale no ip access-list extended name.

La figure montre les versions nommées des listes de contrôle d'accès créées dans les exemples
précédents. La liste de contrôle d'accès nommée SURFING permet aux utilisateurs du réseau
local [Link]/24 d'accéder aux sites Web. La liste de contrôle d'accès nommée
BROWSING autorise le trafic de retour provenant des connexions établies. Les règles sont
appliquées au trafic entrant et sortant de l'interface G0/0 à l'aide des noms des listes de
contrôle d'accès.

Vérification des ACL étendues

Une fois qu'une liste de contrôle d'accès a été configurée et appliquée à une interface, utilisez
la commande show de Cisco IOS pour vérifier la configuration. Dans cette figure, le premier
exemple illustre la commande de Cisco IOS permettant d'afficher le contenu de toutes les
listes de contrôle d'accès. L'exemple du bas présente le résultat de la commande show ip
interface g0/0 sur le routeur R1.

Les listes de contrôle d'accès étendues n'utilisent pas la même logique interne que les listes de
contrôle d'accès standard, ni la fonction de hachage. Le résultat et les numéros d'ordre affichés
par la commande show access-lists correspondant à l'ordre dans lequel les instructions ont été
saisies. Les entrées d'hôtes n'apparaissent pas automatiquement avant les entrées de plage.
La commande show ip interface permet de vérifier la liste de contrôle d'accès sur l'interface
et la direction dans laquelle elle a été appliquée. Le résultat de cette commande inclut le
numéro ou le nom de la liste de contrôle d'accès et la direction dans laquelle celle-ci a été
appliquée. Les noms des listes de contrôle d'accès en majuscules, BROWSING et SURFING,
sont particulièrement visibles à l'écran.

Une fois que la configuration de la liste de contrôle d'accès a été vérifiée, l'étape suivante
consiste à confirmer que les listes de contrôle d'accès fonctionnent comme prévu, c'est-à-dire
qu'elles bloquent et autorisent le trafic selon les besoins.

Les recommandations mentionnées précédemment dans ce cours suggèrent de configurer les

listes de contrôle d'accès sur un réseau de test, puis de les mettre en œuvre sur le réseau de
production.

Modification des ACL étendues

La modification des listes de contrôle d'accès étendues est similaire à celle des listes de
contrôle d'accès standard, comme évoqué précédemment. Une liste de contrôle d'accès
étendue peut être modifiée comme suit :

 1re méthode, l'éditeur de texte : cette méthode consiste à copier la liste de contrôle
d'accès et à la coller dans l'éditeur de texte pour la modifier. Il faut ensuite supprimer
la liste d'accès actuelle à l'aide de la commande no access-list. Une fois modifiée, elle
est à nouveau collée dans la configuration.

 2e méthode, les numéros d'ordre : les numéros d'ordre permettent de supprimer ou

d'insérer une instruction de liste de contrôle d'accès. Exécutez la commande ip access-
list extended name pour passer en mode de configuration de liste de contrôle d'accès
nommée. Si la liste d'accès est numérotée plutôt que nommée, indiquez le numéro de
liste de contrôle d'accès dans le paramètre name. Vous avez la possibilité d'insérer ou
de supprimer des ACE.
Dans l'exemple de la figure, l'administrateur doit modifier la liste de contrôle d'accès nommée
SURFING pour corriger une faute de frappe dans l'instruction concernant le réseau source.
Pour afficher les numéros d'ordre actuels, il faut utiliser la commande show access-lists.
L'instruction à modifier est identifiée par le numéro d'instruction 10. La commande no
sequence_# permet de supprimer l'instruction initiale. L'instruction corrigée est ensuite
ajoutée et remplace l'instruction initiale.

Dépannage des listes de contrôle d'accès

Erreurs de listes de contrôle d'accès courantes
Les commandes show décrites précédemment permettent de repérer les erreurs de liste de
contrôle d'accès les plus courantes. En général, ces erreurs concernent l'ordre de saisie des
ACE et l'application de critères inappropriés aux règles des listes de contrôle d'accès.

1er exemple d'erreur

Sur la figure, l'hôte [Link] n'a établi aucune connexion avec [Link]. Dans le
résultat de la commande show access-lists, des correspondances sont affichées pour la
première instruction de refus. Cela indique que cette instruction a obtenu une correspondance
du trafic.
Solution : vérifiez l'ordre des ACE. L'hôte [Link] n'a établi aucune connectivité avec
[Link] à cause de l'ordre de la règle 10 dans la liste de contrôle d'accès. Sachant que le
routeur traite les listes de contrôle d'accès de haut en bas, l'instruction 10 refuse l'hôte
[Link], donc l'instruction 20 ne peut pas obtenir de correspondance. Les instructions
10 et 20 doivent être inversées. La dernière ligne autorise tout autre trafic non TCP
correspondant au protocole IP (ICMP, UDP, etc.).

2e exemple d'erreur

Sur la figure, le réseau [Link]/24 ne peut pas utiliser TFTP pour se connecter au réseau
[Link]/24.
Solution : le réseau [Link]/24 ne peut pas utiliser TFTP pour se connecter au réseau
[Link]/24, car TFTP utilise le protocole de transport UDP. L'instruction 30 dans la liste
de contrôle d'accès 120 autorise tout autre trafic TCP. Cependant, étant donné que TFTP
utilise le protocole UDP et non TCP, il est implicitement refusé. Souvenez-vous que
l'instruction de refus global implicite n'apparaît pas dans le résultat de la commande show
access-lists et donc que les correspondances ne sont pas indiquées.

L'instruction 30 devrait être ip any any.

Cette liste de contrôle d'accès fonctionne, qu'elle soit appliquée à l'interface G0/0 (routeur
R1), S0/0/1 (routeur R3) ou S0/0/0 (routeur R2) dans la direction entrante. Néanmoins,
conformément à la règle voulant que les listes de contrôle d'accès étendues soient placées le
plus près possible de la source, la meilleure solution est de la placer sur l'interface G0/0
(routeur R1) dans la direction entrante. Ainsi, tout trafic indésirable y est filtré sans traverser
l'infrastructure réseau.

3e exemple d'erreur

Sur la figure, l'hôte [Link]/24 peut utiliser Telnet pour se connecter à [Link]/24,
mais d'après la politique de l'entreprise, cette connexion ne devrait pas être autorisée. Le
résultat de la commande show access-lists 130 indique que l'instruction d'autorisation a
renvoyé une correspondance.
Solution : l'hôte [Link]/24 peut utiliser Telnet pour se connecter au réseau
[Link]/24, car le numéro du port Telnet de l'instruction 10 de la liste de contrôle
d'accès 130 est mal placée. L'instruction 10 refuse actuellement tous les paquets source dont
le numéro de port correspond à Telnet. Pour refuser le trafic Telnet entrant dans G0/1, refusez
le numéro de port de destination qui correspond à Telnet, par exemple, deny tcp any any eq
telnet.

4e exemple d'erreur

Sur la figure, l'hôte [Link] peut se connecter à [Link] via Telnet, mais la
politique de l'entreprise n'autorise pas cette connexion. Le résultat de la commande show
access-lists 140 indique que l'instruction d'autorisation a renvoyé une correspondance.
Solution : l'hôte [Link] peut utiliser Telnet pour se connecter à [Link]
puisqu'aucune règle ne refuse l'hôte [Link] ni son réseau comme source.
L'instruction 10 de la liste d'accès 140 refuse l'interface du routeur sur lequel le trafic entre
dans le routeur. L'adresse IPv4 de l'hôte dans l'instruction 10 devrait être [Link].

5e exemple d'erreur

Sur la figure, l'hôte [Link] peut utiliser Telnet pour se connecter à [Link],
mais d'après la politique de sécurité, cette connexion ne devrait pas être autorisée. Le résultat
de la commande show access-lists 150 indique qu'aucune correspondance avec l'instruction
de refus n'a été trouvée comme attendu.
Solution : l'hôte [Link] peut utiliser Telnet pour se connecter au réseau [Link]
du fait de la direction dans laquelle est appliquée la liste de contrôle d'accès 150 à l'interface
G0/1. L'instruction 10 refuse la connexion de toute adresse source à l'hôte [Link] via
Telnet. Cependant, ce filtre doit être appliqué en sortie sur l'interface G0/1 pour assurer un
filtrage approprié.