Vue d’ensemble des listes de contrôle d’accés ACL

Vue d'ensemble des listes de contrôle d'accés ACL
Vue d'ensemble des listes de contrôle d'accés ACL

L’une des compétences les plus importantes dont un administrateur réseau a besoin est la maîtrise des listes de contrôle d’accès (ACL). Les administrateurs utilisent les ACL pour arrêter le trafic ou n’autoriser que un trafic spécifique sur leurs réseaux.

Les ACLs standard et étendues peuvent appliquer un certain nombre de fonctionnalités de sécurité, y compris le routage basé sur des stratégies, la qualité de service (QoS), la translation des adresses réseau (NAT), et la translatation des adresses des port (PAT).

Vous pouvez également configurer des ACLs standard et étendues sur les interfaces du routeur pour contrôler le type de trafic autorisé à travers un routeur donné.

Dans cet article, nous examinons les concepts d’ACL, y compris ce qu’ils sont, comment un routeur les utilise pour filtrer le trafic, et quels types d’ACL sont disponibles.

Fonctionnement d’une ACL

L’opération par défaut d’un routeur est de transférer tous les paquets, tant qu’une route existe pour le paquet courant et que le lien de sortie est établie. Les ACLs peuvent aider à mettre en œuvre un niveau de sécurité de base.

Cependant, ils ne sont pas la seule solution de sécurité qu’une grande organisation devrait mettre en œuvre. En fait, les ACLs augmentent la latence des routeurs.

Si l’organisation est très grande et que les routeurs gèrent le trafic de centaines ou de milliers d’utilisateurs, l’administrateur utilisera très probablement une combinaison d’autres implémentations de sécurité qui dépassent la portée du CCENT et du CCNA.

Définition d’une ACL

Une ACL est un script de configuration de routeur (une liste d’instructions) qui contrôle si un routeur autorise ou refuse le passage de paquets, en fonction de critères dans l’en-tête du paquet.

Pour déterminer si un paquet est autorisé ou refusé, il est testé par rapport aux instructions ACL dans l’ordre est séquentiel. Lorsqu’une instruction correspond, aucune autre instruction n’est évaluée ; le paquet est soit autorisé, soit refusé.

Il y a un déni implicite de toute déclaration à la fin de l’ACL. Si un paquet ne correspond à aucune des instructions de la liste ACL, le paquet est supprimé.

Traitement des ACLs d’une interface

Les ACLs peuvent être appliquées à une interface pour le trafic entrant et sortant. Cependant, vous avez besoin d`une ACL séparée pour chaque direction. L’organigramme de la Figure A détaille les étapes à suivre par un routeur lors de l’évaluation d’une ACL sur les interfaces entrante et sortante.

Figure A Traitement de l'ACL d'une interface pour le trafic entrant et sortant
Figure A Traitement de l’ACL d’une interface pour le trafic entrant et sortant

Pour le trafic entrant, le routeur vérifie la présence d’une ACL entrante appliquée à l’interface avant d’effectuer une recherche dans la table de routage. Ensuite, pour le trafic sortant, le routeur s’assure qu’une route vers la destination existe avant de vérifier les ACLs.

Enfin, si une instruction ACL entraîne la suppression d’un paquet, le routeur envoie un message de destination ICMP injoignable (ICMP destination unreachable).

Le choix d’utiliser une ACL entrante ou sortante est facile à faire si, d’abord, vous vous placez à l’intérieur du routeur – soyez le routeur.

A partir d’une telle position, vous pouvez visualiser le traitement d’un paquet entrant dans une interface de routeur (entrant), décider quoi faire avec le paquet (Existe-t-il une ACL entrante, une route vers la destination ?), et transférer le paquet (Quelle est la sortie ? Y a-t-il une ACL sur l’interface ?).

Logique liste avec ACLs IP

Une ACL est une liste de commandes qui sont traitées dans l’ordre, de la première instruction de la liste en direction à la dernière instruction. Chaque commande a une logique d’adaptation différente que le routeur doit appliquer à chaque paquet lorsque le filtrage est activé.

Les ACLs utilisent la logique du premier match. Si un paquet correspond à une ligne de l’ACL, le routeur prend l’action indiquée sur cette ligne de l’ACL et ignore le reste des instructions de l’ACL.

Par exemple, la figure B montre l’ACL 1 avec trois lignes de pseudo-code. L’ACL est appliquée à l’interface S0/0/1 de R2, comme l’indique la flèche. Le trafic entrant en provenance de R1 sera filtré en utilisant l’ACL 1.

Figure B Exemple de logique de correspondance ACL
Figure B Exemple de logique de correspondance ACL

La case sous la topologie montre la logique de traitement des paquets de chaque adresse source hôte (appelée S_IP dans la figure).

Notez que lorsqu’un correspondance est établie pour l’hôte A et l’hôte B, la condition s’applique (l’hôte A est autorisé et l’hôte B est dénié) et aucun autre règle ne sera examiné. L’hôte C correspond à la dernière instruction de la liste et est autorisé.

L’hôte D ne correspond à aucun des éléments de l’ACL, le paquet est donc rejeté. La raison en est que chaque ACL IP a un déni implicite à la fin.

Planification de l’utilisation des ACLs

Parce qu’une AC peut être utilisée pour filtrer le trafic, il est important de bien planifier l’implémentation d’une ACL avant de la configurer.

Types d’ACLs

Les ACL peuvent être configurés pour filtrer tout type de trafic de protocole, y compris d’autres protocoles de couche réseau tels que AppleTalk et IPX.

Pour l’examen CCNA, nous nous concentrons sur les ACL IPv4 et IPv6, qui se présentent sous les formes suivantes :

  • Listes de contrôle d’accès IPv4 standard : Filtrer le trafic en fonction de l’adresse source uniquement
  • ACL IPv4 et IPv6 étendues : Peut filtrer le trafic en fonction de l’adresse couche 3 source et de l’adresse couche 3 de destination, des protocoles spécifiques et des ports TCP et UDP source et destination.

Vous pouvez utiliser deux méthodes pour identifier les ACLs standards et étendues :

  • Listes de contrôle d’accès IPv4 numérotées : Utilisent un numéro d’identification
  • ACL IPv4 et IPv6 nommés : Utilisent un nom ou un numéro descriptif pour l’identification

Les ACL nommées doivent être utilisées avec certains types de configurations Cisco IOS, y compris les ACLs IPv6. Cependant, ils offrent deux avantages de base pour les ACLs IPv4 standards et étendus :

  • En utilisant un nom descriptif (tel que BLOCK-HTTP), un administrateur réseau peut déterminer plus rapidement l’objectif d’une ACL. Ceci est particulièrement utile dans les grands réseaux, où un routeur peut avoir plusieurs listes de contrôle d’accès avec des centaines de règles.
  • Ils réduisent la quantité de saisie que vous devez effectuer pour configurer chaque instruction dans une ACL nommée, comme vous pouvez le voir dans l’article implémentation des ACLs IPv4 et IPv6

Les ACLs numérotées et nommées peuvent être configurées pour des implémentations ACL standard ou étendue. La Figure C résume les catégories des ACLs IPv4.

Figure C - Comparaisons des types d'ACLs IPv4
Figure C – Comparaisons des types d’ACLs IPv4

Identification ACL

Le Tableau A énumère les différentes séries de numéros ACL pour le protocole IPv4. Le tableau n’est pas exhaustif.

D’autres numéros d’ACL sont disponibles pour d’autres types de protocoles qui sont rarement utilisés ou qui dépassent la portée du CCENT et du CCNA. IPv6 n’utilise que des listes de contrôle d’accès nommées.

Tableau A – Numéros d’ACL IPv4

ProtocoleRange
IP1–99
IP étendue100–199
IP Standard (élargie)1300–1999
IP étendue (élargie)2000–2699

Les listes de contrôle d’accès IP nommées vous donnent plus de flexibilité pour travailler avec les entrées des listes de contrôle d’accès.

En plus d’utiliser des noms plus mémorables, l’utilisation de listes de contrôle d’accès nommées au lieu de listes de contrôle d’accès numérotées vous permet de supprimer des instructions individuelles dans une liste d’accès IP nommée.

La version 12.3 du logiciel Cisco IOS a introduit la numérotation séquentielle des entrées de liste d’accès IP pour les ACLs numérotées et nommées. La numérotation séquentielle des entrées de la liste d’accès IP offre les avantages suivants :

  • Vous pouvez modifier l’ordre des instructions ACL.
  • Vous pouvez supprimer des instructions individuels d’une ACL.
  • Vous pouvez utiliser le numéro séquentiel pour insérer de nouvelles instructions au milieu de la ACL.

Les numéros de séquence sont automatiquement ajoutés à l’ACL s’ils ne sont pas entrés explicitement au moment de la création de l’ACL.

Lignes directrices pour une bonne conception des ACLs

Des listes de contrôle d’accès bien conçues et mises en œuvre ajoutent une composante de sécurité importante à votre réseau. Suivez ces principes généraux pour vous assurer que les ACLs que vous créez ont les résultats attendus :

  • En fonction des conditions de test, choisissez une LCA standard ou étendue, numérotée ou nommée.
  • Une seule ACL est autorisée par protocole, par direction et par interface.
  • Organiser l’ACL pour permettre le traitement de haut en bas. Organisez votre liste de contrôle d’accès de sorte que des références plus spécifiques à un réseau, un sous-réseau ou un hôte apparaissent avant des références plus générales. Placez les conditions qui surviennent plus fréquemment avant celles qui surviennent moins fréquemment.
  • Toutes les listes de contrôle d’accès contiennent un refus implicite à la fin.
  • Créer l’ACL avant de l’appliquer à une interface.
  • Selon la façon dont vous appliquez l’ACL, cette dernière filtre le trafic qui passe par le routeur, qui va au routeur, ou qui vient de ce dernier, comme le trafic en provenance ou à destination des lignes vty.
  • Vous devriez généralement placer les ACLs étendues aussi près que possible de la source du trafic que vous voulez bloquer. Comme les listes de contrôle d’accès standard ne spécifient pas d’adresses de destination, vous devez placer une liste de contrôle d’accès standard aussi près que possible de la destination du trafic que vous voulez bloquer afin que la source puisse atteindre des réseaux intermédiaires.

LAISSER UN COMMENTAIRE

Please enter your comment!
Please enter your name here


CAPTCHA Image
Reload Image