Notes sur l'ACL , Notes de Fondements informatiques
Francine88
Francine888 January 2014

Notes sur l'ACL , Notes de Fondements informatiques

PDF (1.8 MB)
29 pages
2Numéro de téléchargement
931Numéro de visites
Description
Notes de fondements informatiques sur l'ACL REFLEXIVE. Les principaux thèmes abordés sont les suivants: ACL réflexive, ACL dynamique, CBAC
20points
Points de téléchargement necessaire pour télécharger
ce document
Télécharger le document
Aperçu3 pages / 29
Ceci c'est un aperçu avant impression
Chercher dans l'extrait du document
Ceci c'est un aperçu avant impression
Chercher dans l'extrait du document
Aperçu avant impression terminé
Chercher dans l'extrait du document
Ceci c'est un aperçu avant impression
Chercher dans l'extrait du document
Ceci c'est un aperçu avant impression
Chercher dans l'extrait du document
Aperçu avant impression terminé
Chercher dans l'extrait du document

ACL REFLEXIVE

docsity.com

2

ACL réflexive • Permet de filtrer les paquets IP en fonction des

informations de session (qui a commencé ?) des couches supérieures

• On peut ainsi autoriser un certain trafic, seulement si il a été initié depuis l’intérieur du réseau

• On pouvait déjà obtenir ce fonctionnement avec des ACL étendues, en utilisant l’option established, mais cette option ne vaut que pour TCP (UDP est en effet un protocole non connecté)

• Les ACL réflexives permettent de faire ce type de filtrage avec TCP, mais aussi UDP et ICMP

docsity.com

3

ACL réflexive

• Les sessions TCP sont suivies grâce aux bits ACK, RST et FIN des en-têtes TCP

• La fin de la session TCP est repérée de la façon suivante : – quand le bit FIN de l’en-tête TCP est placé à 1, le routeur devine que la

session va se terminer, il attend 5 secondes pour laisser le temps à l’hôte et au serveur de terminer leur session, puis il bloque le trafic

– quand le bit RST est mis à 1, le routeur détecte une interruption abrupte de session et bloque immédiatement le trafic

– par défaut au bout d’un certain temps (paramétrable) d’inactivité pour cette session

docsity.com

4

ACL réflexive

• Les sessions UDP sont suivies par les couples

@IP source/destination n° port source/destination

• La fin de la session ne peut être détectée que par défaut au bout d’un certain temps d’inactivité

docsity.com

5

ACL réflexive

• Il y a deux restrictions à l’utilisation des ACL réflexives :

– elles doivent être utilisées uniquement avec les ACLs étendues (cela ne marche pas avec les standards qui ne portent pas mention des n° de port)

– cette technique ne fonctionne pas avec les applications qui changent de numéro de port en cours de session (par exemple FTP en mode actif)

docsity.com

ACL REFLEXIVE Configuration

 Etape 1 : On permet le passage du trafic ICMP et TCP avec une demande de suivi sur les

connexions TCP sortantes. R1(config)# ip access-list extended SORTIE R1(config-ext-nacl)# permit tcp 192.168.0.0 0.0.255.255 any reflect TRAFIC-TCP R1(config-ext-nacl)# permit icmp 192.168.0.0 0.0.255.255 any  Etape 2 : On crée une ACL qui a pour but de vérifier le trafic entrant et de voir s’il a été initié de

l’intérieur. R1(config)# ip access-list extended ENTREE R1(config-ext-nacl)# evaluate TRAFIC-TCP

 Etape 3 : On applique les ACL, ici sur l’interface de sortie du LAN

R1(config)# interface S0 R1(config-if)# ip access-group SORTIE out R1(config-if)# ip access-group ENTREE in

Application : Rendez vous CCNA SECURITY Chapitre « 4.1.5.5 »

docsity.com

7

ACL réflexive : exemple 1

interface Serial 1 description Acces à Internet ip access-group inboundfilters in ip access-group outboundfilters out

! ip reflexive-list timeout 120 ! ip access-list extended outboundfilters

permit tcp any any reflect tcptraffic ! ip access-list extended inboundfilters

permit bgp any any permit eigrp any any deny icmp any any evaluate tcptraffic

utilisation d’ACL nommées

sessions considérées comme inactives et par conséquent interdites au bout de 120 secondes

définition de l’ACL nommée outboudfilters, elle ne contient qu’une instruction : autoriser tout le trafic IP, mais en pistant au passage les sessions sous le nom tcptrafic

définition de l’ACL nommée inboundfilters : on autorise tout le trafic BGP on autorise tout le trafic EIGRP on interdit tout trafic ICMP tout le reste est évalué selon la règle tcptrafic

côté réseau local côté réseau d’interconnexion

S1

docsity.com

8

ACL réflexive : exemple 1

interface Serial 1 description Acces à Internet ip access-group inboundfilters in ip access-group outboundfilters out

! ip reflexive-list timeout 120 ! ip access-list extended outboundfilters

permit tcp any any reflect tcptraffic ! ip access-list extended inboundfilters

permit bgp any any permit eigrp any any deny icmp any any evaluate tcptraffic

remarque : on peut intercaler des instructions classiques (non réflexives), elles sont alors normalement évaluées. Ceci est utile quand on ne souhaite pas tout pister !

côté réseau local côté réseau d’interconnexion

S1

docsity.com

9

ACL réflexive : exemple 2

côté réseau local côté réseau d’interconnexion

E0

DMZ

www smtp dns

l’accès à la DMZ doit être possible à l’initiative l’extérieur : on ne peut pas mettre l’ACL réflexive sur S1 il faut la mettre sur E0

S1interface Ethernet 0 description Acces a notre reseau ip access-group inboundfilters in ip access-group outboundfilters out

! ip reflexive-list timeout 120 ! ip access-list extended outboundfilters

deny icmp any any evaluate tcptraffic

! ip access-list extended inboundfilters

permit tcp any any reflect tcptraffic

docsity.com

ACL REFLEXIVE : exemple 3

docsity.com

ACL REFLEXIVE : exemple 3 Solution R1(config)# ip access-list extended internal_ACL R1(config-ext-nacl)# permit tcp any any eq 80 reflect web-only- reflexive-ACL R1(config-ext-nacl)# permit udp any any eq 53 reflect dns-only- reflexive-ACL timeout 10 R1(config)# ip access-list extended external_ACL R1(config-ext-nacl)# evaluate web-only-reflexive-ACL R1(config-ext-nacl)# evaluate dns-only-reflexive-ACL R1(config-ext-nacl)# deny ip any any R1(config)# interface s0/0/0 R1(config-if)# description connection to the ISP. R1(config-if)# ip access-group internal_ACL out R1(config-if)# ip access-group external_ACL in

docsity.com

ACL DYNAMIQUE

docsity.com

13

Context Based Acces Control : CBAC

• Les ACL étendues permettent de filtrer le trafic en sortie du réseau car seul le port destination est filtré. – Le retour vers le client ne peut être filtré car le numéro de port

utilisé est aléatoire – un « faux retour » ne peut pas filtré

• Les ACL réflexives sont plus performantes que les ACL étendues car elles tiennent compte de l’information de session – un « faux retour » sera bloqué en entrée, sauf si il arrive pendant

une session ouverte • Le CBAC est plus performant car il tient compte en plus

d’informations protocolaires de niveau application

docsity.com

14

CBAC

• Les limitations des ACL classiques sont : – le filtrage ne se fait que sur les @IP et ports source et destination – les ports ouverts le sont tout le temps

• Les limitations des ACL réflexives sont : – elles ne fonctionnent pas avec les applications qui négocient les ports – elles ne permettent pas de limiter le nombre de sessions autorisées

simultanément – elles ne tiennent pas compte des informations du protocole de niveau

application

docsity.com

RE16 15

CBAC

• Les paquets qui arrivent sur l’interface externe du firewall sont inspectés par les ACL classiques

• Seuls les paquets qui passent ce premier barrage sont inspectés par le CBAC

• CBAC interdit ou autorise uniquement le trafic TCP ou UDP spécifié

• Des tables d’état sont mises à jour grâce aux informations de session, pour chaque connexion active (ouverture, synchronisation, acquittements, relachement)

• Le filtrage se fait par l’ajout dynamique d’ACL

ip inspect name inspection-name protocol [timeout seconds]

docsity.com

16

CBAC • Le CBAC est capable de reconnaître les commandes

des protocoles d’applications sur les canaux de contrôle • Le CBAC utilise les numéros de séquence de tous les

segments TCP • Utilisé pour protéger un serveur, le CBAC est aussi

capable de reconnaître certaines attaques de niveau application comme le DoS. Dans ce cas, il peut : – générer des messages d’alerte – bloquer les paquets concernés

docsity.com

17

CBAC : client sortant

• Le trafic autorisé en sortie (tout ou seulement certains protocoles) est inspecté pour : – en extraire les informations de session et d’état du protocole de

transport mais aussi du protocole d’application – ajouter une ACL en entrée pour laisser entrer le trafic réponse

• Le trafic autorisé en entrée est inspecté pour : – voir si il fait partie d’une session en cours – voir si il est conforme à la table d’état des protocoles de transport et

d’application

docsity.com

ACL DYNAMIQUE Suivi de l’état de sessions

• Suivi de l’état des sessions – Suivi des sessions TCP à demi-ouvertes,

ouvertes et fermées pour éviter les attaques SYN Flood

– Numéros de session et débits de transmission doivent être compris dans des seuils définis par l’administrateur

• Journalisation des sessions – Dates et heures – Hôtes source et destination – Ports – Nombre total d’octets transmis

docsity.com

ACL DYNAMIQUE Suivi de l’état de sessions

docsity.com

ACL DYNAMIQUE Suivi de l’état de sessions

docsity.com

RE16 21

CBAC : client sortant

docsity.com

22

CBAC : client entrant

• Le CBAC utilise des temporisations et des valeurs seuil pour gérer les états des sessions

• Les sessions qui ne sont pas établies complètement (de part et d’autre) au bout d’un certain temps sont fermées par envoi d’une fin de session de part et d’autre

• Fixer des valeurs de temporisation de session protège des attaques DoS en libérant les resources du serveur

• Le nombre de sessions demi-ouvertes est ainsi contrôlable, ce qui protège le serveur

docsity.com

23

CBAC : client entrant

• Plusieurs seuils sont possibles pour bloquer les attaques DoS : – le nombre de connexions simultanées possibles – le nombre de connexions par unité de temps – le nombre de demi-connexion par hôte

• Ce type de filtrage est à mettre en oeuvre uniquement sur les protocoles d’application que l’on veut filtrer, tous les autres étants interdits

docsity.com

RE16 24

CBAC

docsity.com

ACL EXEMPLE

docsity.com

ACL EXEMPLE

docsity.com

ACL EXEMPLE

docsity.com

ACL EXEMPLE

docsity.com

ACL EXEMPLE

docsity.com

commentaires (0)
Aucun commentaire n'a été pas fait
Écrire ton premier commentaire
Ceci c'est un aperçu avant impression
Chercher dans l'extrait du document
Docsity n'est pas optimisée pour le navigateur que vous utilisez. Passez à Google Chrome, Firefox, Internet Explorer ou Safari 9+! Téléchargez Google Chrome