j'ai compris

Qu'est-ce que l'ACL?

publié il y a  2020-3-26 14:05:05Dernière réponse jul. 31, 2020 23:25:28 275 2 0 0 0

Que sont les listes de contrôle d'accès?

Les ACL sont un filtre réseau utilisé par les routeurs et certains commutateurs pour autoriser et restreindre les flux de données vers et depuis les interfaces réseau. Lorsqu'une ACL est configurée sur une interface, le périphérique réseau analyse les données passant par l'interface, les compare aux critères décrits dans l'ACL, et autorise le flux des données ou l'interdit.

Pourquoi utilisons-nous des listes de contrôle d'accès?

Il existe diverses raisons pour lesquelles nous utilisons les listes de contrôle d'accès. La raison principale est de fournir un niveau de sécurité de base pour le réseau. Les listes de contrôle d'accès ne sont pas aussi complexes et détaillées en termes de protection que les pare-feu avec état, mais elles offrent une protection sur les interfaces à vitesse plus élevée où la vitesse de la ligne est importante et les pare-feu peuvent être restrictifs. Les listes de contrôle d'accès sont également utilisées pour limiter les mises à jour pour le routage à partir des homologues du réseau et peuvent contribuer à définir le contrôle de flux pour le trafic réseau.

Quand utilisons-nous les listes de contrôle d'accès?

Comme je l'ai mentionné précédemment, les listes de contrôle d'accès pour les routeurs ne sont pas aussi complexes ou robustes que les pare-feu avec état, mais elles offrent une quantité importante de capacités de pare-feu. En tant que professionnel du réseau informatique ou de la sécurité, le placement de vos défenses est essentiel à la protection du réseau, de ses actifs et de ses données. Les listes de contrôle d'accès doivent être placées sur des routeurs externes pour filtrer le trafic par rapport aux réseaux moins souhaitables et aux protocoles vulnérables connus.

L'une des méthodes les plus courantes dans ce cas consiste à configurer une zone démilitarisée ou démilitarisée dans votre réseau. Cette architecture est normalement implémentée avec deux périphériques réseau distincts.

Un exemple de cette configuration est donné à la figure 1.

https://www.pluralsight.com/content/dam/pluralsight/resources/blog/2012/05/access-control-list-concepts/wp/img/Access-List_diagramsfigure-1.jpg

Le routeur le plus extérieur donne accès à toutes les connexions réseau extérieures. Ce routeur a généralement des listes de contrôle d'accès moins restrictives, mais fournit des blocs d'accès de protection plus importants aux zones des tables de routage globales que vous souhaitez restreindre. Ce routeur doit également protéger contre les protocoles bien connus que vous ne prévoyez absolument pas d'autoriser l'accès à ou hors de votre réseau. De plus, les listes de contrôle d'accès doivent ici être configurées pour restreindre l'accès aux homologues du réseau et peuvent être utilisées en conjonction avec les protocoles de routage pour restreindre les mises à jour et l'étendue des itinéraires reçus ou envoyés aux homologues du réseau.

La DMZ est l'endroit où la plupart des professionnels de l'informatique placent des systèmes qui nécessitent un accès de l'extérieur. Les exemples les plus courants sont les serveurs Web, les serveurs DNS et les systèmes d'accès à distance ou VPN.

Le routeur interne d'une DMZ contient des ACL plus restrictives conçues pour protéger le réseau interne contre des menaces plus définies. Les listes de contrôle d'accès ici sont souvent configurées avec des instructions d'autorisation et de refus explicites pour des adresses et des services de protocole spécifiques.

En quoi consiste une liste de contrôle d'accès?

Quelle que soit la plateforme de routage que vous utilisez, toutes ont un profil similaire pour définir une liste de contrôle d'accès. Les listes plus avancées ont un contrôle plus distinct, mais les directives générales sont les suivantes:


Nom de la liste de contrôle d'accès (selon le routeur, il peut être numérique ou une combinaison de lettres et de chiffres)


Un numéro de séquence ou un nom de terme pour chaque entrée


Une déclaration d'autorisation ou de refus pour cette entrée


Un protocole réseau et une fonction ou des ports associés

  • Les exemples incluent IP, IPX, ICMP, TCP, UDP, NETBIOS et bien d'autres

Cibles de destination et de source

Ce sont généralement des adresses et peuvent être définies comme une seule adresse discrète, une plage ou un sous-réseau, ou toutes les adresses

Drapeaux ou identifiants supplémentaires

  • Ces instructions supplémentaires demandent des fonctions supplémentaires lorsqu'une correspondance est trouvée pour l'instruction. Ces indicateurs varient pour chaque protocole, mais un indicateur commun ajouté aux instructions est la fonction de journal qui enregistre toute correspondance avec l'instruction dans le journal du routeur


Quels types de listes de contrôle d'accès existe-t-il?

Il existe plusieurs types de listes de contrôle d'accès et la plupart sont définis dans un but ou un protocole distinct. Sur les routeurs Cisco, il existe deux types principaux: standard et étendu. Ces deux types sont les listes de contrôle d'accès les plus utilisées et celles sur lesquelles je me concentrerai dans cet article et dans les articles à venir, mais il existe également des listes de contrôle d'accès avancées. Certaines des listes de contrôle d'accès avancées comprennent des listes de contrôle d'accès réflexives et des listes de contrôle d'accès dynamiques et elles sont définies comme suit. Les ACL réflexives, également appelées ACL de session IP, sont déclenchées à partir d'une ACL sortante pour le trafic initié à partir du réseau interne. Le routeur identifiera ce nouveau flux de trafic et créera une entrée dans une ACL distincte pour le chemin entrant. Une fois la session terminée, l'entrée dans la liste de contrôle d'accès réflexive est supprimée.

Des listes de contrôle d'accès dynamiques ou des listes de contrôle d'accès à clé sont créées pour permettre à l'utilisateur d'accéder à un hôte source / destination spécifique via un processus d'authentification utilisateur. Les implémentations Cisco utilisent les capacités du pare-feu IOS et n'entravent pas les restrictions de sécurité existantes.

Implémentation d'ACL sur une interface de routeur

Le placement et la compréhension du flux de trafic sont importants à comprendre avant de configurer une ACL sur une interface de routeur. La compréhension du placement et de l'impact des ACL sont des questions fréquentes dans les examens CCNA et CCNP et les erreurs dans le placement des ACL sont parmi les plus courantes que les administrateurs réseau font lors de la mise en œuvre de la sécurité. Croyez-moi, cela nous arrive à tous et je ne suis pas à l'abri de celui-là. La figure 2 fournit un bon exemple du flux de trafic en ce qui concerne l'entrée et la sortie sur une interface réseau de routeur.

https://www.pluralsight.com/content/dam/pluralsight/resources/blog/2012/05/access-control-list-concepts/wp/img/Access-List_diagrams-figure2.jpg

Comme vous pouvez le voir sur ce diagramme, le trafic d'entrée circule du réseau vers l'interface et les flux de sortie de l'interface vers le réseau. Les professionnels des réseaux informatiques et de la sécurité doivent y prêter une attention particulière. Les ACL commencent par une adresse source en premier dans leur configuration et en deuxième lieu. Lorsque vous configurez une liste de contrôle d'accès sur l'entrée d'une interface réseau, il est important de reconnaître que tous les réseaux ou hôtes locaux doivent être considérés comme des sources ici, et exactement le contraire pour l'interface de sortie.

Ce qui rend le plus confus, c'est l'implémentation des ACL sur l'interface d'un routeur qui fait face à un réseau externe. Revenez à la figure 1. Dans cet exemple, le côté d'entrée provient du réseau extérieur et ces adresses sont considérées comme des sources, tandis que toutes les adresses réseau internes sont des destinations. Côté sortie, vos adresses réseau internes sont désormais des adresses source et les adresses externes sont désormais des destinations.

Lorsque vous ajoutez des ports dans des listes de contrôle d'accès étendues, la confusion peut monter. Le meilleur conseil que j'ai avant toute implémentation est de documenter vos flux et de noter vos adresses source / destination. Nous couvrirons plus de ces implémentations plus tard dans les articles de configuration ACL.


  • x
  • Standard:

henriverdun
publié il y a 2020-6-1 02:57:00
Merci pour votre partage
View more
  • x
  • Standard:

ginapax
publié il y a 2020-7-31 23:25:28
Merci
View more
  • x
  • Standard:

Commentaire

Connectez-vous pour répondre. Se connecter | Enregistrer
envoyer

Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».

My Followers

Connectez-vous pour participer à la communication et au partage

S'identifier

Bloquer
Êtes-vous sûr de bloquer cet utilisateur?
Les utilisateurs de votre liste noire ne peuvent ni commenter votre publication,ni vous mentionner, ni vous envoyer de messages privés.
Rappel
Veuillez lier votre numéro de téléphone pour obtenir un bonus d'invitation.