Explorez les ACL avec IPv6
Comprenez les différences entre les ACL IPv4 et IPv6
Mélanie s’attaque maintenant aux listes de contrôle d’accès (ACL) en IPv6. Ayant déjà maîtrisé les ACL en IPv4, elle est curieuse de voir si ses connaissances s’appliquent. En explorant, elle découvre que le principe des ACL en IPv6 est fondamentalement le même qu’en IPv4.
Cependant, en configurant une ACL sur un routeur IPv6, Mélanie repère quelques différences intéressantes. Contrairement à IPv4, où il existait des ACL standard (limitées à la source), en IPv6, toutes les ACL sont plus flexibles. Elle peut jouer avec la source, la destination, et même les ports TCP/UDP, comme un chef cuisinier qui ajuste plusieurs ingrédients pour obtenir la recette parfaite !
En creusant plus loin, elle remarque une particularité importante liée au protocole IPv6. À la fin de chaque ACL, il y a toujours un implicit deny (une règle invisible qui bloque tout ce qui n’est pas explicitement autorisé), comme en IPv4. Mais en IPv6, pour ne pas perturber le Neighbor Discovery Protocol (NDP), essentiel au fonctionnement du réseau, les messages Neighbor Solicitation (NS) et Neighbor Advertisement (NA) sont automatiquement autorisés. C'est un peu comme une porte laissée ouverte pour que les appareils puissent continuer à communiquer et découvrir leurs voisins sans problème. Ces autorisations sont placées juste avant l’implicit deny, garantissant que le NDP fonctionne sans accroc.
Comprenez le fonctionnement des ACL avec IPv6
Voyons maintenant comment fonctionnent concrètement les ACL en environnement IPv6. Prenons cette topologie :
Nous allons autoriser Etienne-R1 à accéder uniquement en SSH à Etienne-R4, et nous allons également lui donner la possibilité d’envoyer des requêtes ICMP à Etienne-R3. La configuration de l’ACL est trop longue, vous remarquerez que la capture est en deux parties, mais il s’agit bien d’une seule commande.
Voici le résultat de la création de l’ACL :
Pour appliquer l’ACL, la commande diffère par rapport à IPv4 :
La commande “ip access-group” est remplacée par “ipv6 traffic-filter”, le principe reste cependant le même, on place l’ACL en entrée d’interface, quand le flux arrive sur le routeur (c’est le cas ici), ou alors on l’applique en sortie d’interface, quand le flux a traversé le routeur.
Apprenez à vérifier le bon fonctionnement des ACL avec IPv6
Pour vérifier le fonctionnement, on commence par tester la communication : est-ce que le routeur Etienne-R1 peut pinguer le routeur Etienne-R3 ?
Ça fonctionne, parfait. Peut-il pinguer un autre routeur ?
Non, c’est parfait alors !
D’habitude on obtient une série de points (.....), alors pourquoi ce AAAAA ?
Le AAAAA indique que l’équipement n’est administrativement pas joignable, au lieu d’indiquer que c’est spécifiquement le protocole ICMP qui est bloqué, cela permet de ne pas donner d’information précise à un éventuel attaquant.
Vous pouvez bien entendu le désactiver, vous aurez alors la série de points en réponse (attention, comme nous utilisons une ACL c’est sur l’interface où est appliquée l’ACL qu’il faut désactiver cette option, pas sur l’interface de l’équipement de destination) :
On essaye de nouveau une requête ICMP :
On a ….. au lieu de AAAAA.
Essayons maintenant l’accès SSH :
L’accès SSH fonctionne, parfait !
Vérifions les ACL :
Vous pouvez voir le nombre de paquets autorisés par l’ACL. Si vous observez bien l’ACL, vous pouvez constater un numéro de séquence à la fin de chaque ligne.
À quoi peuvent servir ces numéros de séquence ?
Ces numéros de séquence, comme avec les ACL en IPv4, permettent de supprimer ou d’ajouter facilement une séquence dans l’ACL. Par exemple, si vous souhaitez supprimer l’autorisation de ping, il vous suffit de faire comme ceci :
Vérifiez ensuite l’ACL :
Il ne reste plus que la séquence 10.
Vous pouvez ensuite ajouter le mot clé “séquence X”. X représente le numéro de la séquence que vous voulez ajouter dans l’ACL. Par exemple, je vais ajouter deux séquences, une avant la séquence 10 et une après la séquence 10 :
Voilà le résultat :
Tandis qu’elle vérifie une dernière fois sa configuration d’ACL, Mélanie prend du recul. Elle repense aux premières lignes de code hésitantes, aux mécanismes mystérieux d’IPv6… et constate avec fierté tout ce qu’elle maîtrise désormais.
“Comprendre, configurer, sécuriser… Voilà un réseau prêt pour l’avenir.”
Avant de clôturer ce cours, Mélanie vous passe le relais : à vous désormais de tester vos connaissances, valider vos acquis et confirmer que vous êtes prêt·e à configurer IPv6… en toute confiance.
À vous de jouer
Dans cet exercice, vous allez configurer des ACL IPv6 et vérifier leur bon fonctionnement. Utilisez cette maquette packet tracer.
Quand vous avez terminé, utilisez ce corrigé pour vérifier votre travail.
Devinez la suite
Et maintenant, on passe à Devinez la suite. À vous de compléter… c’est parti !
En résumé
Le principe de fonctionnement des ACL en IPv6 est similaire à IPv4.
Il n’y a plus d’ACL standard en IPv6.
On utilise maintenant le préfixe dans les ACL, plus besoin de masque inversé comme en IPv4.
Au lieu d'utiliser la commande “ip access-group”, on utilise désormais la commande “ipv6 traffic-filter”.
Au lieu d’un simple “implicit deny” à la fin d’une ACL, on autorise implicitement avant le “deny” la bonne communication NDP.
Vous avez configuré, routé et sécurisé un réseau en IPv6. Il est temps de faire le point : testez vos connaissances avec le quiz final du cours !
