Upload File

acl avancée

28
ACL TURBO, RÉFLEXIVE ET CONTEXTUELLE 08/12/2012 1 Proposé par : Mr N.Idboufker réalisé par : Kawtar ZERHOUNI Université Cadi Ayyad Année universitaire : 2012/2013 Département Réseaux et Télécoms

Upload: kawtar-zerhouni

Post on 02-Jul-2015

1.154 views

Category:

Documents


7 download

Report

TRANSCRIPT

Page 1: Acl avancée

ACL TURBO, RÉFLEXIVE ET CONTEXTUELLE

08/12/2012

1

Proposé par :

Mr N.Idboufker

réalisé par :

Kawtar ZERHOUNI

Université Cadi Ayyad

Année universitaire : 2012/2013

Département Réseaux et Télécoms

Page 2: Acl avancée

PLAN

Introduction

Turbo ACL

• Configuration

• fonctionnement

ACL réflexive

• Fonctionnement

• Configuration

ACL contextuelle

• fonctionnement

• Configuration

Conclusion

08/12/2012

2

Page 3: Acl avancée

INTRODUCTION

ACL de base présentent des limitations qui peuvent être résolues par

l’utilisation des :

• turbo ACL

• ACL « réflexives »

• ACL contextuelle : le CBAC

08/12/2012

3

Page 4: Acl avancée

TURBO ACL

ACL standard / étendue

• Recherche séquentielle d’un match temps de recherche augmente

avec la taille de l’ACL

08/12/2012

4

Fonction Turbo

• Compile les ACLs dans des tables de recherche

« lookup tables »

temps de recherche fixe !

• 5 itérations quelque soit la taille de l’ACL

Page 5: Acl avancée

TURBO ACL: CONFIGURATION

Sur une ACL standard ou étendue :

On ajoute la commande:

access-list compiled

08/12/2012

5

#access-list 101 deny tcp 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 eq telnet

#access-list 101 permit tcp 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 eq http

#access-list 101 deny tcp 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255 eq http

#access-list 101 deny icmp 192.168.1.0 0.0.0.255 200.200.200.0 0.0.0.255

Page 6: Acl avancée

TURBO ACL: FONCTIONNEMENT

Inde

x

Source

IP (MS)

Source

IP (LS)

Dest IP

(MS)

Dest IP

(LS)

IP

Flags

protoco

le e L-3

+ L-4

Flags

Port

source

Port

desti

natio

n

0 192.168 1.0 192.168 2.0 * TCP * 23

1 192.168 1.0 192.168 2.0 * TCP * 80

2 192.168 1.0 192.168 3.0 * TCP * 80

3 192.168 1.0 200.200 200.0 * ICMP * *

08/12/2012

7

Page 7: Acl avancée

EXEMPLE POUR IP SOURCE (MS)

Index Valeur/ mask ACL Entrée en Bitmap

0 192.168/255.255 1 1 1 1

08/12/2012

8

• 1 seule valeur pour les champs IP Source (MS)

• 1 1 1 1: les 4 entrées de l’ACL 101 ont toutes la même adresse IP source (MS)

Page 8: Acl avancée

EXEMPLE POUR IP DEST (MS)

Par contre pour la partie Dest IP (MS) le tableau Bitmap aura la

forme:

Maintenant : les tables sont crées dans la mémoire du routeur !

08/12/2012

9

Index Valeur/mask ACL entrée en Bitmap

0 192.168/255.255 1 1 1 0

1 200.200/255.255 0 0 0 1

Page 9: Acl avancée

TURBO ACL: FONCTIONNEMENT

Une fois un paquet arrive:

• Extraction des champs IP Source (MS)…

• Comparaison avec les tables !

La procédure se fait par niveau :

• Parallèlement dans un même niveau

• De façon séquentielle d’un niveau à un autre

Exemple paquet reçu :

• Source IP (MS ) : 192.168

• Source IP (LS ) : 1.1

• Destination IP ( MS ) : 200.200

• Destination IP (LS ) : 200.1

• L-3 Protocol field + L-4 Flags : 0001 (ICMP)

08/12/2012

10

Page 10: Acl avancée

1111 1111 0001 0001 0001

1111 0001 0001

0001

And

And

And

Source IP (MS) Source IP (LS) Dest IP (MS) Dest IP (LS) Protocole

L1

L2

L308/12/2012

11

Page 11: Acl avancée

TURBO ACL: LIMITATIONS

Nécessite de la mémoire : entre 2 et 4Mb de plus

Si l’ACL est très grande: plus de temps pour compiler

access-list compiled : n’a pas d’argument

Utilisée seulement avec ACL standard ou étendue !

08/12/2012

12

Page 12: Acl avancée

ACL RÉFLEXIVE

Permet de filtrer le trafic en fonction des informations de session des couches sup.

Ainsi, autoriser un certain trafic, par exemple s’il vient de l’intérieur de notre réseau

ACL étendues + option established, mais uniquement pour TCP

ACL réflexives permettent de faire ce type de filtrage avec TCP, mais aussi UDP et ICMP

08/12/2012

13

Page 13: Acl avancée

ACL RÉFLEXIVE: FONCTIONNEMENT

• Création dynamique d’une entrée temporaire caractérisée par:

entrée toujours: permit

Même Protocole que le paquet original

@IP source/dest inversées

N°port source/dest inversés

• Une fois la session terminée suppression de l’entrée temporaire !

08/12/2012

14

Page 14: Acl avancée

ACL RÉFLEXIVE: FONCTIONNEMENT

• Session TCP:

Bit FIN = 1 session va se terminer !

Attente 5s afin que le hôte et le serveur terminent la session, puis blocage du trafic,

Bit RST=1 interruption brutale de session

Blocage immédiat du trafic

Par défaut : blocage de trafic après un temps d’inactivité de session

• Session UDP:

@IP source/dest

N° port source/dest

Fin de session: par défaut après un temps d’inactivité

08/12/2012 15

Page 15: Acl avancée

ACL RÉFLEXIVE : CONFIGURATION

Interface Serial 1

description Acces to the Internet

ip access-group inboundfilters in

ip access-group outboundfilters out

!

ip reflexive-list timeout 120

!

ip access-list extended outboundfilters

permit tcp any any reflect tcptraffic

!

ip access-list extended inboundfilters

permit eigrp any any

deny icmp any any

evaluate tcptraffic08/12/2012

16

utilisation d’ACL nommées

sessions considérées comme inactives donc interdites

au bout de 120 secondes

définition ACL nommée outboudfilters: contient une

instruction : autoriser tout le trafic TCP, et crée une

ACL nommée tcptraffic

définition de l’ACL nommée inboundfilters :

autorise tout le trafic EIGRP

interdit tout trafic ICMP

tout le reste est évalué selon l’ACL tcptrafic

côté réseau local côté réseau

d’interconnexion

S1

Page 16: Acl avancée

ACL RÉFLEXIVE: CONFIGURATION

show access-list avant une

session TCP

08/12/2012

17

Extended IP access list inboundfilters

permit eigrp any any

deny icmp any any

evaluate tcptraffic

Extended IP access list outboundfilters

permit tcp any any reflect tcptraffic

après une

connexion Telnet

Extended IP access list inboundfilters

permit eigrp any any

deny icmp any any

evaluate tcptraffic

Extended IP access list outboundfilters

permit tcp any any reflect tcptrafficReflexive IP access list tcptraffic

permit tcp host 172.19.99.67 eq telnet host 192.168.60.185 eq 11005

Page 17: Acl avancée

ACL RÉFLEXIVE: LIMITATIONS

Utilisée seulement avec ACL étendue nommée

Ne peut être utilisée avec une application qui

change de numéro de port !

08/12/2012

18

Page 18: Acl avancée

ACL CONTEXTUELLE

CBAC: Context Based Access Control

fait partie de la fonctionnalité Pare-feu de l'IOS Cisco

Plus performant que réflexive : tient compte des informations de la

couche application.

Supporte les protocoles utilisant plusieurs numéros de port

08/12/2012

19

Page 19: Acl avancée

CBAC : FONCTIONNEMENT

Paquets arrivant sur une interface inspectés par ACL de cette

interface

Seuls paquets qui passent ce barrage: inspectés par le CBAC

Des tables d’état mises à jour grâce aux informations de session,

pour chaque connexion active,

CBAC interdit ou autorise uniquement le trafic TCP ou UDP

spécifié

Le filtrage se fait par l’ajout dynamique d’entées temporaires

d’ACL

08/12/2012

20

Page 20: Acl avancée

CBAC: CONFIGURATION

• Étapes:

• Choisir l’interface

• Configurer l’ACL sur cette interface

• fixer les temporisations et les seuils

• définir les règles d’inspection: spécifie quel trafic sera

inspecté (application)

• appliquer les règles d’inspection aux interfaces

08/12/2012

21

Page 21: Acl avancée

CBAC: CONFIGURATION

• Time out et seuils

• Détermine le temps pendant lequel il gère les informations relatives aux sessions et pour déterminer quand une session se termine !

• contrôle le nombre total de sessions ouvertes ainsi que celles nouvellement établies sur une certaine durée

• Gère des compteurs de demi-sessions.

• TCP = session n'a pas atteint l'état établiUDP = routeur n'a pas détecté de trafic de retour

08/12/2012

22

Page 22: Acl avancée

CBAC: CONFIGURATION

• Les protocoles de niveau application supportés

• FTP

• TFTP

• UNIX R-commands (rlogin, rexec, rsh, ...)

• SMTP

• HTTP Java

• SQL*Net

• RTSP (RealNetworks)

• Autres multimedia :

• Microsoft NetShow

• StreamWorks

• VDOLive

08/12/2012

23

Page 23: Acl avancée

CBAC : CONFIGURATION

08/12/2012

24

Page 24: Acl avancée

CBAC : CONFIGURATION

08/12/2012

25• Applique les règles d’inspection et l’ACL à l’interface e0/0 en entrée

• Autorise le trafic initié par les hôtes du réseau 10.0.0.0/24

Router(config)# interface e0/0

Router(config-if)# ip inspect OUTBOUND in

Router(config-if)# ip access-group 101 in

Router(config)# access-list 101 permit ip 10.0.0.0

0.0.0.255 any

Router(config)# access-list 101 deny ip any any

Router(config)# ip inspect name OUTBOUND tcp

Router(config)# ip inspect name OUTBOUND udp

• Configure CBAC pour l’inspection du trafic TCP et UDP

Page 25: Acl avancée

CBAC : CONFIGURATION

08/12/2012

26

Router(config)# interface e0/1

Router(config-if)# ip access-group 102 in

Router(config)# access-list 102 permit icmp any

host 10.0.0.3

Router(config)# access-list 102 permit tcp any

host 10.0.0.3 eq www

Router(config)# access-list 102 deny ip any any

• Applique l’ACL à l’interface e0/1 en entrée

• Autorise seulement le trafic ICMP et HTTP vers 10.0.0.3, initié depuisl’extérieur

Page 26: Acl avancée

CBAC: LIMITATIONS

Inspecte que le trafic spécifié: contrôle plus fin, mais beaucoup

d’entrées « ip inspect » pour couvrir tous les types de connexions,

demande une connaissance des protocoles et des applications

utilisés

trafic généré par le routeur lui-même n’est pas inspecté

trafic envoyé au routeur lui-même n’est pas inspecté

Seul le mode passif de FTP est compatible avec le CBAC

08/12/2012

27

Page 27: Acl avancée

CONCLUSION

ACL réflexives plus performantes que les ACL étendues :

tiennent compte de l’information de session

CBAC plus performant : tient compte en plus d’informations

protocolaires de niveau application,

• Permet ainsi de renforcer la sécurité d’un site

08/12/2012

28

Page 28: Acl avancée

MERCI DE VOTRE ATTENTION

08/12/2012

29


Cours de Programmation Avancée

© 1 Utilisation avancée Applications Struts Utilisation avancée

Rapport avancée Woorank

Ch2 Algorthmique Avancée - Récursivité

Algorithmique Avancée II

Programmation avancée en Java

Programmation Avancée Langage C

la compensationsérie avancée

Impression d’étiquettes portable avancée

Automatique Avancée

Algèbre Linéaire Avancée I

Sécurité Réseaux Avancée

Gestion de projets avancée

IHM avancée

La régionalisation avancée - Exposé

Normal ACL, Injured ACL, Reconstructed ACL, and the · PDF file · 2015-03-30Normal ACL, Injured ACL, Reconstructed ACL, and the Failed ACL Geoffrey S. Van Thiel, MD, MBA, and Bernard

Cours algorithmique avancée - ESEN

Manuel Edurobot NXT Avancée

Indexation avancée

PLANIFICATION FAMILIALE AVANCÉE

Programmation Avancée sous Linux

Finance d’entreprise avancée - HESGE

8. Access Control List (ACL) - D-Link · 8. Access Control List (ACL) ACL Configuration Wizard ACL Interface Access Group ACL VLAN Access Map ACL VLAN Filter ACL Configuration Wizard

Algorithmique avancée

Programmation Web Avancée Architecture MVC et Frameworks · 6 / 25 − Rémi Emonet − Programmation Web Avancée Architecture MVC et Frameworks Programmation Web Avancée 3 : Plan

Administration Système Avancée

Mécanique avancée

Mécanique Des Fluides Avancée

Automatique fréquentielle avancée

Utilisation avancée de linux

La Pratique Infirmière Avancée

Formation C++ avancée

Programmation Avancée sous LabVIEW

Ordonnancement et Planification Avancée

Avancée travaux déchetterie