Cisco – Implémenter des ACL sur un pare-feu ASA

La mise en œuvre des listes de contrôle d’accès sur les équipements Cisco ASA peut être un filtrage basé sur les informations suivantes :

  • Protocole de niveau 7 (web vpn)
  • Protocole de niveau 4 (TCP/UDP)
  • Protocole de niveau 3 (IP, IPX, SPX, ICMP ……)
  • Protocole de niveau 2 (ETHERNET 2 ..)

Dans le cadre de ce billet, il sera présenté les deux types d’access-list les plus rependues, à savoir les access-list dites standard et étendue.

ACL Standard (à appliquer au plus proche de destination):

Voici comment mettre en œuvre une access-list de type standard, celle-ci a la particularité de réaliser un filtrage basé sur une adresse IP source .

La syntaxe de base:

hostname(config)# access-list access_list_name standard {deny | permit} {any | ip_address mask}

Exemple d’ACL :

La liste de contrôle d’accès suivante autorise les flux du réseau 192.168.1.0.

hostname(config)# access-list acl_test standard permit 192.168.1.0 255.255.255.0

 ACL étendue (à appliquer au plus proche de la source):

Une access-list étendue permet de réaliser un filtrage plus fin de l’information. Le filtrage permet de réaliser une action basé sur les champs source et destination du paquet au niveau 3 (IP et autres), mais également sur les champs source et destination au niveau 4 (TCP/UDP).

La syntaxe de base:

hostname(config)# access-list access_list_name [line line_number] [extended] {deny | permit} protocol source_address mask [operator port] dest_address mask [operator port | icmp_type] [inactive]

Exemple d’ACL :

L’access-list ci-dessous indique que l’ensemble des flux à destination de l’adresse IP 192.168.1.254 est interdit pour les flux de type www = http :

hostname(config)# access-list ACL_IN extended deny tcp any host 192.168.1.254 eq www

hostname(config)# access-list ACL_IN extended permit ip any any

Application des access-list:

La commande suivante permet d’appliquer la mise en œuvre d’une access-list à l’interface concernée (ici outside).

 access-group access_list_name {in | out} interface interface_name [per-user-override]

 

Exemple d’application de l’access-group:

hostname(config)# access-group ACL_IN in interface inside

 

 

Consulter l’état d’utilisation des access-list sur l’équipement :

ciscoasa# sh access-list
access-list cached ACL log flows: total 3, denied 0 (deny-flow-max 4096)
alert-interval 300
access-list split-tunnel; 1 elements
access-list split-tunnel line 1 standard permit 192.168.1.0 255.255.255.0 (hitcnt=0) 0xe9479071
access-list vpn-client; 2 elements
access-list vpn-client line 1 extended permit ip 192.168.1.0 255.255.255.0 interface outside (hitcnt=0) 0xdceef016
access-list vpn-client line 2 extended permit ip 192.168.1.0 255.255.255.0 any log informational interval 300 (hitcnt=73) 0x61623da3

Laisser une réponse

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *