icnd1 0x0b acls et diagnostic
DESCRIPTION
ACLsfiltragesécurité VTYNAT/PATDiagnostic L1, L2, VLAN, L3TRANSCRIPT
ACLs et diagnostic
[email protected] 14.02
Ce document de [email protected] est mis à disposition selon les termes de la la Licence Creative Commons Attribution 3.0 non transposé.
ACL définition et utilité
ACL = ensemble de règles de filtrage du traficUtiles pour :● les fonctions de pare-feu● marquage du trafic● NATVision Cisco IOS mais bon point de départ en sécurité.
Deux types d’ACLs IPv4
Les deux types d’ACLs se distinguent en fonction des critères utilisés. Une liste simple (standard) et l’autre plus complexe (étendue).Standard : adresse IPv4 sourceEtendue :● protocole IPv4, ICMPv4, TCP, UDP, ESP, AH, ...● origine et destination● port et types de messages
ACLs numérotées
Les ACLs numérotées sont constituées d’un ensemble de règles ● ordonnées selon la frappe● ayant un même numéro
Pratique obsolète (en IPv6) dont le numéro indique la nature :IP standard 1 - 99 et 1300 - 1999IP étendue 100 - 199 et 2000 - 2699
Exemple d’ACLs numérotéesEn configuration globale (config)#access-list 1 deny host 192.168.10.1access-list 1 permit any
ouaccess-list 102 deny tcp any any eq 23access-list 102 permit ip any any
L’ACL standard 1 empêche seulement le trafic venant de l’hôte 192.168.10.1L’ACL extended 102 empêche tout trafic vers le service Telnet et autorise tout autre trafic IPv4.Faut-il encore placer ces ACLs dans une fonction (filtrage, marquage, règles NAT…)
ACL nommées
● Les ACLs nommées prennent un nom.● Il faut spécifier le type standard ou extended en IPv4.
Les ACLs IPv6 sont d’office “extended”.● les règles s’incrèmentent d’un numéro d’ordre (tous les
10).(config)#ip access-list standard ACL_IPv4_STD(config-std-nacl)#permit | deny ?(config)#exit(config)#ip access-list extended ACL_IPv4_EXT(config-ext-nacl)#permit | deny ?(config)#exit(config)#ipv6 access-list ACL_IPv6 (config-ipv6-acl)#permit | deny ?
Exemple ACLs nommées(config)#ip access-list extended IPv4_LAN(config-ext-nacl)#
permit tcp 192.168.0.0 0.0.255.255 any eq 80
#show access-lists Standard IP access list ACL_IPv4_STDExtended IP access list ACL_IPv4_EXTExtended IP access list IPv4_LAN 10 permit tcp 192.168.0.0 0.0.255.255 any eq www 20 permit tcp 192.168.0.0 0.0.255.255 any eq 443IPv6 access list ACL_IPv6
LogiqueLe routeur parcourt la liste d’accès et valide chaque règle jusqu’à trouver une correspondance. Si une correspondance est trouvée, le routeur prend la décision permit ou deny correspondante.Une ACL se termine toujours par un deny any implicite.
Masque génériqueIl ne faut pas confondre un masque générique (wilcard mask) avec un masque de sous-réseau (subnet mask). Un masque générique est un masque de filtrage. Quand un bit aura une valeur de 0 dans le masque, il y aura vérification de ce bit sur l'adresse IP de référence. Lorsque le bit aura une valeur de 1, il n'en y aura pas. Cette notion est utilisée dans les configurations OSPFv2 sous Cisco IOS.
Masque de réseauUn masque de réseau est un masque de division ou de regroupement. Une addition booléenne d'une adresse IP et d'un masque de réseau est utilisée pour distinguer la partie réseau de la partie hôte. En binaire, alors qu'un masque de réseau est nécessairement une suite homogène de 1 et puis de 0, un masque générique peut être une suite quelconque de 1 et de 0 en fonction du filtrage que l'on veut opérer sur des adresses IP.
Exemples de masque générique (1/3)
Soit un masque générique 0.0.0.0 demande une correspondance exacte de l’adresse IP de référence :permit 192.168.1.1 0.0.0.0Le mot-clé host remplace 0.0.0.0permit host 192.168.1.1
255.255.255.255 filtre toutes les adresses IPv4.permit 0.0.0.0 255.255.255.255Le mot-clé any remplace 0.0.0.0 255.255.255.255permit any
Exemples de masque générique (2/3)
Filtrer 192.168.1.0/24192.168.1.0 255.255.255.0
ACL : 192.168.1.0 0.0.0.255
Filtrer 192.168.1.40/30192.168.1.40 255.255.255.252
ACL : 192.168.1.40 0.0.0.3
Exemples de masque générique (3/3)
Masque de sumarization :Filtrer tous les réseaux qui commencent en 192.168 :ACL : 192.168.0.0 0.0.255.255Numéros pairs sur le dernier octet du /24 :ACL : 192.168.1.0 0.0.0.254Numéros impairs sur le troisième octet :ACL : 0.0.1.0 255.255.254.255
Applications
En soi, une ACL n’a pas de portée si elle n’est pas appliquée.● Filtrage sans état de trafic de données sur des interfaces.● Firewall (filtrage à état) sur des interfaces : ACL bloquante● Filtrage de trafic de trafic de gestion (sur une ligne VTY).● Trafic source dans une règle NAT (inside source list) pour
désigner de nombreuse adresses IP privées à traduire.● Transfert de port● Déboggage pour filtrer les sorties.● … et bien d’autres en ingénérie du trafic (VPN, QoS, …)
Filtrage sans état
#show access-listsExtended IP access list IPv4_LAN 10 permit tcp 192.168.0.0 0.0.255.255 any eq www (5 match(es)) 20 permit tcp 192.168.0.0 0.0.255.255 any eq 443
(config)#int f0/0.1(config-subif)#ip access-group IPv4_LAN in
Pare-feu simple (filtrage à état)(config)#ip access-list extended IP_BLOCK(config-ext-nacl)#deny ip any any(config-ext-nacl)#exit(config)#exit(config)#int f0/1(config-if)#description interface Internet(config-if)#ip access-group IP_BLOCK in#show access-list IP_BLOCKExtended IP access list IP_BLOCK deny ip any any (39 match(es))
(config)#ip inspect name FW tcp(config)#int f0/0.1(config-subif)#description interface LAN(config-subif)#ip inspect FW in
Filtrage VTY(config)#ip access-list extended VTY(config-ext-nacl)#permit ip host 172.16.0.1 any(config-ext-nacl)#permit ip 192.168.0.0 0.0.255.255 any(config-ext-nacl)#exit
(config)#line vty 0 4(config-line)#ip access-class VTY in
ACLs IPv6
NAT
Permet de traduire :les adresses internes (inside)
privée (local) en publique (global)
les adresses externes (outside)Le routeur NAT tient une table de traductionIl transforme le trafic : il remplace les en-têtes IP et de couche transport (UDP/TCP).
PAT
Un routeur peut prendre en compte le port TCP ou UDP utilisé.Permet de transférer un service TCP ou UDP sur une adresse privée vers une adresse publique. Permet de multiplexer la connectivité globale d’un LAN avec une seule adresse IP publique.
Transfert de port
(config)#
ip nat inside source static tcp 192.168.10.1 3389 interface f0/1 3389
Mise en oeuvre du PATaccess-list 1 permit 192.168.0.0 0.0.255.255
ip nat inside source list 1 interface f0/1 overload
interface f0/0.1
ip nat inside
interface f0/0.2
ip nat inside
interface f0/1
ip nat outside
Vérification du NAT/PATGateway#show ip nat translations Pro Inside global Inside local Outside local Outside globalicmp 195.238.2.21:11 192.168.1.254:11 195.238.2.22:11 195.238.2.22:11icmp 195.238.2.21:12 192.168.1.254:12 195.238.2.22:12 195.238.2.22:12icmp 195.238.2.21:13 192.168.1.254:13 195.238.2.22:13 195.238.2.22:13icmp 195.238.2.21:14 192.168.1.254:14 195.238.2.22:14 195.238.2.22:14icmp 195.238.2.21:15 192.168.1.254:15 195.238.2.22:15 195.238.2.22:15
Gateway#
● Inside Local = adressage privé● Inside Global = adressage public
Vérification L2 sur le routeur
show ip interface brief
Vérification L2 sur le routeur
show interface f0/0
Vérification L3 sur le routeur1ab1#show ip interface g3GigabitEthernet3 is up, line protocol is up Internet address is 192.168.1.254/24 Broadcast address is 255.255.255.255 Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Multicast reserved groups joined: 224.0.0.251 Outgoing Common access list is not set Outgoing access list is not set Inbound Common access list is not set Inbound access list is not set Proxy ARP is enabled Local Proxy ARP is disabled Security level is default Split horizon is enabled ICMP redirects are always sent ICMP unreachables are always sent ICMP mask replies are never sent
IP fast switching is enabled IP Flow switching is disabled IP CEF switching is enabled IP CEF switching turbo vector IP Null turbo vector Associated unicast routing topologies: Topology "base", operation state is UP IP multicast fast switching is enabled IP multicast distributed fast switching is disabled IP route-cache flags are Fast, CEF Router Discovery is disabled IP output packet accounting is disabled IP access violation accounting is disabled TCP/IP header compression is disabled RTP/IP header compression is disabled Probe proxy name replies are disabled Policy routing is disabled Network address translation is enabled, interface in domain inside BGP Policy Mapping is disabled Input features: Virtual Fragment Reassembly, MCI Check Output features: NAT Inside IPv4 WCCP Redirect outbound is disabled IPv4 WCCP Redirect inbound is disabled IPv4 WCCP Redirect exclude is disabled
Table de routage1ab1#show ip route
Gateway of last resort is 176.31.61.174 to network 0.0.0.0
S* 0.0.0.0/0 [1/0] via 176.31.61.174 176.31.0.0/16 is variably subnetted, 2 subnets, 2 masksC 176.31.61.0/24 is directly connected, GigabitEthernet4L 176.31.61.161/32 is directly connected, GigabitEthernet4 192.168.1.0/24 is variably subnetted, 2 subnets, 2 masksC 192.168.1.0/24 is directly connected, GigabitEthernet3L 192.168.1.254/32 is directly connected, GigabitEthernet3
Protocole de routageR1# show ip protocolsRouting Protocol is "ospf 1" Outgoing update filter list for all interfaces is not set Incoming update filter list for all interfaces is not set Router ID 1.1.1.1 It is an area border and autonomous system boundary router Redistributing External Routes from, Number of areas in this router is 2. 2 normal 0 stub 0 nssa Maximum path: 4 Routing for Networks: 192.168.1.0 0.0.0.255 area 1 192.168.2.0 0.0.0.255 area 1 192.168.12.0 0.0.0.3 area 0 Passive Interface(s): Loopback1 Loopback2 Routing Information Sources: Gateway Distance Last Update 2.2.2.2 110 00:01:45 Distance: (default is 110)
CDPActivé par défaut, updates 60 secondesgw#show cdpGlobal CDP information: Sending CDP packets every 60 seconds Sending a holdtime value of 180 seconds Sending CDPv2 advertisements is enabledgw#show cdp neighborsCapability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge S - Switch, H - Host, I - IGMP, r - Repeater, P - PhoneDevice ID Local Intrfce Holdtme Capability Platform Port IDSW0 Fas 0/0 148 S 2960 Gig 1/2Switch Fas 0/1 178 S 2950 Fas 0/1gw#show cdp neighbors detail
gw(config)#int f0/1gw(config-if)#no cdp enablegw(config-if)#exitgw(config)#no cdp run
Commutateur : port d’accès (1/2)SW0#show vlan
VLAN Name Status Ports---- ----------------------------- --------- -------------------------------1 default active Gig1/1, Gig1/210 production active Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/5, Fa0/6, Fa0/7, Fa0/8 Fa0/9, Fa0/10, Fa0/11, Fa0/1220 direction active Fa0/13, Fa0/14, Fa0/15, Fa0/16 Fa0/17, Fa0/18, Fa0/19, Fa0/20 Fa0/21, Fa0/22, Fa0/23, Fa0/2430 gestion active
Commutateur : port d’accès (2/2)#show interface switchport Name: Fa0/1Switchport: EnabledAdministrative Mode: static accessOperational Mode: static accessAdministrative Trunking Encapsulation: dot1qOperational Trunking Encapsulation: nativeNegotiation of Trunking: OffAccess Mode VLAN: 10 (production)Trunking Native Mode VLAN: 1 (default)...
Commutateur : port Trunk (1/2)#show interface switchport
Name: Gig1/1Switchport: EnabledAdministrative Mode: trunkOperational Mode: trunkAdministrative Trunking Encapsulation: dot1qOperational Trunking Encapsulation: dot1qNegotiation of Trunking: OnAccess Mode VLAN: 1 (default)Trunking Native Mode VLAN: 1 (default)Voice VLAN: none
Name: Gig1/2Switchport: EnabledAdministrative Mode: trunkOperational Mode: trunkAdministrative Trunking Encapsulation: dot1qOperational Trunking Encapsulation: dot1qNegotiation of Trunking: OnAccess Mode VLAN: 1 (default)Trunking Native Mode VLAN: 1 (default)
Commutateur : port Trunk (2/2)SW0#show interface trunk Port Mode Encapsulation Status Native vlanGig1/1 on 802.1q trunking 1Gig1/2 on 802.1q trunking 1
Port Vlans allowed on trunkGig1/1 1-1005Gig1/2 1-1005
Port Vlans allowed and active in management domainGig1/1 1,10,20,30Gig1/2 1,10,20,30
Port Vlans in spanning tree forwarding state and not prunedGig1/1 1,10,20,30Gig1/2 1,10,20,30