Chapitre 4 - Liste de contrôle d'accès Flashcards
Renseignez les champs vides. Utilisez la notation décimale à point.
Le masque générique associé à 192.168.12.96/27 est _________
0.0.0.31
Explication : Pour obtenir le masque générique, vous pouvez soustraire le masque de sous-réseau de 255.255.255.255.
Un administrateur réseau doit configurer une liste de contrôle d’accès standard de manière à ce que seule la station de travail de l’administrateur avec l’adresse IP 192.168.15.23 puisse accéder au terminal virtuel du routeur principal. Quelles commandes de configuration permettent d’exécuter cette tâche ? (Choisissez deux réponses.)
Router1(config)# access-list 10 permit host 192.168.15.23
Router1(config)# access-list 10 permit 192.168.15.23 0.0.0.0
Explication : Le masque générique 0.0.0.0 (utilisé après l’adresse IP) ou le mot clé du masque générique host (utilisé avant l’adresse IP) peuvent être employés pour autoriser ou refuser une adresse IP spécifique.
Quel énoncé décrit précisément une caractéristique des listes de contrôle d’accès IPv4 standard ?
- Elles filtrent le trafic en fonction des adresses IP source uniquement.
Explication : Une liste de contrôle d’accès IPv4 standard peut filtrer le trafic en fonction des adresses IP source uniquement. Contrairement à une liste de contrôle d’accès étendue, elle ne peut pas filtrer le trafic en fonction des ports de couche 4. Cependant, les listes de contrôle d’accès standard et étendues peuvent toutes deux être identifiées par un numéro ou un nom, et toutes deux sont configurées en mode de configuration globale.
Un administrateur a configuré une liste de contrôle d’accès sur R1 pour permettre l’accès administratif SSH à l’hôte 172.16.1.100. Quelle commande applique correctement la liste de contrôle d’accès ?
- R1(config-line)# access-class 1 in
Explication : L’accès administratif au routeur par SSH s’effectue via les lignes vty. Par conséquent, la liste de contrôle d’accès doit être appliquée à ces lignes dans la direction entrante. Pour ce faire, il suffit de passer en mode de configuration de ligne et d’exécuter la commande access-class .
Quel énoncé décrit précisément la différence entre le fonctionnement d’une liste de contrôle d’accès entrante et le fonctionnement d’une liste de contrôle d’accès sortante ?
- Les listes de contrôle d’accès entrantes sont traitées avant que les paquets soient acheminés, alors que les listes de contrôle d’accès sortantes sont traitées une fois le routage terminé.
Explication : Avec une liste de contrôle d’accès d’entrée, les paquets entrants sont traités avant d’être acheminés. Avec une liste de contrôle d’accès sortante, les paquets sont d’abord acheminés vers l’interface de sortie avant d’être traités. De ce fait, le traitement des éléments entrants est plus efficace du point de vue du routeur. La structure, les méthodes de filtrage et les limites (sur une interface, une seule liste de contrôle d’accès entrante et une seule liste de contrôle d’accès sortante peuvent être configurées) sont identiques pour les deux types de liste.
Un administrateur réseau configure une liste de contrôle d’accès nommée sur le routeur. Pourquoi la commande show ne renvoie-t-elle aucun résultat après son exécution ?
Le nom de la liste de contrôle d’accès est sensible à la casse.
Explication : Le nom d’une liste de contrôle d’accès nommée est alphanumérique, sensible à la casse et unique. Ainsi, le routeur considère « access_network » et « ACCESS_NETWORK » comme deux listes de contrôle d’accès distinctes.
Quel est le seul type de liste de contrôle d’accès disponible pour IPv6 ?
Étendue nommée
Explication : Contrairement à IPv4, IPv6 dispose d’un seul type de liste d’accès et il s’agit de la liste d’accès étendue nommée.
Quelle plage d’adresses IP est représentée par le réseau et le masque générique 192.168.70.0 0.0.0.127 ?
- 192.168.70.0 à 192.168.70.127
Explication : Le nombre de bits dans le masque générique représente le nombre de zéros dans le masque de sous-réseau.
La plage d’adresses IP de ce réseau serait 192.168.70.0 – 192.168.70.127, 192.168.70.127 étant l’adresse de diffusion.
Quels sont les mots clés que vous pouvez utiliser dans une liste de contrôle d’accès pour remplacer un masque générique, ou un couple d’adresse et de masque générique ? (Choisissez deux propositions.)
- host
- any
Explication : Les deux mots-clés qui peuvent être utilisés lors de la configuration des listes de contrôle d’accès sont host et any. Le mot-clé host équivaut à utiliser le masque générique 0.0.0.0 et le mot clé any peut être utilisé à la place du masque générique 255.255.255.255.
Quelle plage d’adresses IPv4 couvre toutes les adresses IP correspondant au filtre de liste de contrôle d’accès spécifié par 172.16.2.0 avec le masque générique 0.0.1.255 ?
- de 172.16.2.0 à 172.16.3.255
Explication : Le masque générique 0.0.1.255 signifie que les 23 premiers bits sont associés et que les 9 derniers bits sont ignorés. Autrement dit, l’adresse IP correspondante doit être comprise entre 172.16.2.0 et 172.16.3.255 (les 9 derniers bits correspondent à n’importe quelle combinaison de 0 et de 1).
Quelles sont les trois affirmations qui décrivent le traitement par liste de contrôle d’accès (ACL) des paquets ? (Choisissez trois réponses.)
- Une instruction deny any implicite refuse tout paquet qui ne correspond à aucune instruction de la liste de contrôle d’accès.
- Un paquet peut être refusé ou acheminé selon l’instruction mise en correspondance.
- Chaque instruction ACL est vérifiée jusqu’à détection d’une correspondance ou jusqu’à la fin de la liste.
Explication : Les listes de contrôle d’accès (ACL) sont traitées de haut en bas. Lorsqu’une ACL est inspectée, en cas de correspondance entre l’une de ses instructions et l’en-tête d’un paquet, les instructions restantes ne sont pas examinées et le paquet est soit refusé, soit autorisé selon ce qui est spécifié dans l’ACL. En cas de non-concordance entre un en-tête de paquet et une instruction ACL, le paquet est validé par rapport à l’instruction suivante de la liste. Ce processus de correspondance se poursuit jusqu’à la fin de la liste. Chaque ACL comporte un refus implicite en fin de liste. Cette instruction implicite s’applique à tous les paquets qui n’ont pas répondu aux conditions.
Un administrateur réseau configure une liste de contrôle d’accès (ACL) avec la commande R1(config)# access-list 1 permit 172.16.0.0 0.0.15.255. Quelles sont les deux adresses IP qui correspondent à cette instruction ACL ? (Choisissez deux propositions.)
- 172.16.0.255
- 172.16.15.36
Explication : Le masque générique indique que toute adresse IP incluse dans la plage comprise entre 172.16.0.0 et 172.16.15.255 correspond.
Quelles sont les entrées de contrôle d’accès implicites automatiquement ajoutées à la fin d’une liste de contrôle d’accès IPv6 ? (Choisissez trois réponses.)
- deny ipv6 any any
- permit icmp any any nd-ns
- permit icmp any any nd-na
Explication ; Toutes les listes de contrôle d’accès IPv6 incluent automatiquement deux instructions permit implicites : permit icmp any any nd-ns et permit icmp any any nd-na. Ces instructions permettent à l’interface du routeur d’effectuer des opérations de découverte de voisins. Une instruction implicite deny ipv6 any any est automatiquement incluse à la fin de chaque liste de contrôle d’accès IPv6 qui bloque tous les paquets IPv6 qui ne sont normalement pas autorisés.
Liste des directives de configuration des ACL (6 directives )
- Les ACL sont créées globalement, puis appliquée aux interfaces
- Les ACL filtrent le trafic passant par le routeur ou le trafic vers et à partir du routeur, selon la façon dont elle est appliquée
- Une seule ACL par interface, par protocole, par direction
- Utilisée pour filtrer les paquets
- Processus top-down : les états les plus spécifiques sont en haut de la liste
- Elles ont tous un deny any implicite à la fin - > doit être composée d’au moins une autorisation pour permettre n trafic de passer
Router(config)# access-list {1-99} {permit|deny} source-addr [source-mask]
- la 1ere valeur indique le numéro de l’ACL
- la 2e valeur précise s’il s’agit d’une permission ou restriction
- La 3e valeur indique le type de protocole
- L’adresse IP src et le masque détermine l’origine du trafic. L’adresse IP de destination et le masque précise la destination du trafic
La commande pour appliquer l’ACL standard ou étendue est :
Router(config-if)# ip access-group number {in | out }
Où placer une ACL standard?
- L’ACL standard doit être placée aussi près que possible de la destination, car si elle est placée trop près de la source, elle peut filtrer du trafic valide
Où placer une ACL étendue?
- L’ACL étendue doit être placée sur les routeurs les plus proches que possible de la source à filtrer, car si elle est placée trop loin, il y a une utilisation inefficace des ressources du réseau.
Indique l’endroit où votre réseau communique avec un réseau qui est la propriété d’une autre organisation.
Point de démarcation
Le point de démarcation…
Marque le point du réseau où s’arrête la responsabilité du fournisseur de service
Qu’est-ce que le ETTD?
C’est l’équipement terminal de traitement de données, soit l’extrémité du périphérique utilisateur sur la liaison de réseau étendu.
Qu’est-ce que le DCE?
C’est l’équipement de communication de données, soit l’équipement servant à convertir les données utilisateur de l’ETTD en une forme compatible avec la liaison de transmission du fournisseur de services.
Une liste de contrôle d’accès entrante….
…filtre les paquets entrant ans une interface spécifique avant qu’ils ne soient acheminés vers l’interface de sortie
Une liste de contrôle d’accès sortante….
…filtre les paquets après qu’ils ont été routés, et ce, quelle que soit l’interface de sortie.
Les règles pour appliquer des listes de contrôle d’accès :
Vous ne pouvez avoir qu’une liste de contrôle d’accès apr protocole, par interface et par direction
Les listes de contrôle d’accès standard….
Utilisées pour autoriser ou refuser trafic uniquement depuis des adresse IPv4 source.
La destination du paquet et les ports concernés ne sont pas évalués
Les listes de contrôle d’accès étendu filtrent les paquets en fonctions de quels critères ?
Filtrent les paquets IPv4 en fonction de différents critères
- Type de protocole
- Adresse IPv4 source
- Adresse IPv4 de destination
- Ports TCP ou UDP source
- Ports TCP ou UDP de destination
- Informations facultatives sur le type de protocole pour un contrôle plus précis.
Les règles pour appliquer les listes de contrôle d’accès :
Une liste de contrôle d’accès par protocole
Une liste de contrôle d’accès par direction
Une liste de contrôle d’accès par interface
Une liste de contrôle d’accès détermine sir le routeur ________ ou __________ le trafic de paquets en fonction des critères d’en-tête de paquet
refuse ou autorise
Les ACL sont souvent utilisées sur les routeurs placés entre des réseaux internes et externes afin de fournir un …….
pare-feu
Un routeur comptant trois interfaces et deux protocoles réseau (IPv4 et IPv6) peut comporter jusqu’à ________ listes de contrôle d’accès actives
douze
Pour les listes de contrôle d’accès entrantes, les paquets entrants sont traités _______ la réalisation du routage
avant
Pour les listes de contrôle d’accès sortantes, les paquets sortants sont traités _________ la réalisation du routage
après
Pour chaque liste, il existe une instruction implicite de refus. Si un paquet ne correspond à aucun critère de l’ACL, il est …………
rejeté
Les listes de contrôle d’accès peuvent filtrer le trafic de données par protocole, par direction et par ________
interface
Les listes de contrôle d’accès peuvent filtrer le trafic en fonction de l’adresse source/de destination, (du/de la) __________ et des numéros de port.
protocole
Les listes de contrôle d’accès standard peuvent être utilisées pour autoriser ou refuser le trafic uniquement depuis des adresses ________
IPv4 source
Les liste de contrôle d’accès numérotés attribut un numéro en fonction du protocole à filtrer. Pour les listes de contrôle d’accès IP standard, les plages sont :
1 à 99 et 1 300 à 1999
Les liste de contrôle d’accès numérotés attribut un numéro en fonction du protocole à filtrer. Pour les listes de contrôle d’accès IP étendues, les plages sont :
100 à 199 et 2000 à 2699
Le paramètre _________ autorise uniquement les réponses au trafic provenant d’un réseau précis à revenir sur ce même réseau.
established
Il y a concordance si les bits ACK ou RST (réinitialisation) du segment TCP de retour sont définis, indiquant que le paquet appartient à une connexion existante. Sans le paramètre established dans l’instruction de la liste de contrôle d’accès, les clients pourraient envoyer le trafic vers un serveur web, mais ne pourraient pas recevoir le trafic revenant de celui-ci.
S’il n’existe aucune instruction _________ dans une liste de contrôle d’accès, tout le trafic sur l’interface à laquelle cette liste est appliquée est abandonné car l’instruction _________ à la fin de la liste de contrôle d’accès bloque tout le trafic
permit
deny any
Instruction qui autorise tout autre trafic?
Permit ip any any
Quels ports utilisent FTP?
20 et 21
Quel port utilise le trafic telnet?
23
3 grandes différences entre ACL en IPv4 et en IPv6 :
1- la commande d’application en ipv4 est ip access-group tandis qu’en ipv6 elle est ipv6 traffic-filter
2- Les ACLs en IPv6 n’utilisent pas de masques génériques, mais plutôt la longueur du préfixe
3- IPv6 inclut 2 autres instructions implicites par défaut en plus de deny ipv6 any any :
- permit icmp any any nd-na - permit icmp any any nd-ns