j'ai compris

Sécurité et accès au réseau - Les principes de base, les fonctions, la structure et la séquence de correspondance des ACL

publié il y a  2021-9-2 14:51:43 167 0 0 0 0

Bonjour à tous,

Aujourd'hui, je vais présenter les principes de base, les fonctions , la structure et la séquence de correspondance des ACL.

Définition

Les listes de contrôle d'accès (ACL) filtrent les paquets en fonction d'un ensemble ordonné de règles qui définissent les conditions de filtrage des paquets, telles que l'adresse source, l'adresse de destination et le numéro de port des paquets.

Une ACL est un filtre de paquets, tandis que les règles ACL sont les éléments de filtre. Lors de la réception d'un paquet, un périphérique vérifie le paquet par rapport aux règles ACL. Si une correspondance est trouvée, le périphérique transfère ou rejette le paquet conformément à la politique utilisée par un module de service où la liste de contrôle d'accès est appliquée.


Les fonctions

Les listes de contrôle d'accès sont utilisées pour garantir une transmission de données fiable entre les appareils d'un réseau en effectuant les opérations suivantes :

l  Défendez le réseau contre diverses attaques, telles que les attaques à l'aide de paquets IP, TCP (Transmission Control Protocol) ou ICMP (Internet Control Message Protocol).

l  Contrôler l'accès au réseau. Par exemple, les listes de contrôle d'accès peuvent être utilisées pour contrôler l'accès des utilisateurs du réseau d'entreprise aux réseaux externes, spécifier les ressources réseau spécifiques accessibles aux utilisateurs et définir les plages horaires pendant lesquelles les utilisateurs peuvent accéder aux réseaux.

l  Limitez le trafic réseau et améliorez les performances du réseau. Par exemple, les listes de contrôle d'accès peuvent être utilisées pour limiter la bande passante pour le trafic en amont et en aval et pour appliquer des règles de facturation à la bande passante demandée par l'utilisateur, obtenant ainsi une utilisation efficace des ressources réseau.

Les règles ACL sont utilisées pour classer les paquets. Une fois les règles ACL appliquées à un routeur, le routeur autorise ou refuse les paquets en fonction de celles-ci. L'utilisation de règles ACL améliore donc grandement la sécurité du réseau.


Structure

Figure 1 Structure de la liste de contrôle d'accès

Structure de la liste de contrôle d'accès


Nom ACL : identifie une ACL nommée, qui est similaire à la représentation d'adresses IP avec des noms de domaine.

Après sa création, le nom d'une ACL nommée ne peut pas être modifié.

Les noms d'ACL répétés ne peuvent être utilisés qu'entre l'ACL de base et l'ACL6 de base, et entre l'ACL avancé et l'ACL6 avancé.

Lors de la définition d'une ACL nommée, vous pouvez ajouter un numéro. Si aucun numéro n'est spécifié, le système attribue automatiquement le plus grand nombre parmi la plage de numéros disponible en fonction du type d'ACL au nom de l'ACL.

Numéro ACL : identifie une ACL numérotée lorsqu'elle est définie séparément.

Pour les listes de contrôle d'accès numérotées, la plage de numéros varie en fonction du type de liste de contrôle d'accès.

Règle : décrit les conditions de correspondance des paquets.

  ID de règle : identifie une règle ACL, qui peut être configurée manuellement ou allouée automatiquement par le système.

Les ID de règle ACL vont de 0 à 4294967294. Les paquets sont comparés aux règles ACL dans l'ordre croissant de l'ID de règle. L'appareil cesse de faire correspondre un paquet tant qu'une correspondance est trouvée.

  Action : indique comment les paquets sont traités, y compris les autorisations et les refus.

  Condition de correspondance : indique les critères que le paquet doit respecter pour correspondre à une règle. Les listes de contrôle d'accès prennent en charge un large éventail de conditions de correspondance. En plus de l'adresse IP source et de la plage de temps de la Figure 1, d'autres conditions de correspondance incluent les informations d'en-tête de trame Ethernet de couche 2 (MAC source, MAC de destination et type de protocole Ethernet), les informations de paquet de couche 3 (adresse IP de destination et type de protocole), et les informations de paquet de couche 4 (numéro de port TCP ou UDP).


Classement du LCA

IPv4 est utilisé comme exemple.

Figure 2 Classification ACL

Classement du LCA

 

Mécanisme d'appariement

Un périphérique arrête de faire correspondre les paquets aux règles ACL tant qu'une correspondance est trouvée, comme détaillé dans la figure 3

Figure 3 Mécanisme de correspondance ACL.

Mécanisme de correspondance ACL

Selon le processus de correspondance précédent, une fois les paquets filtrés par les règles ACL, les deux résultats suivants peuvent être générés :

l  Les paquets correspondent à une règle dans une ACL.

l  Aucune ACL n'existe, l'ACL ne contient aucune règle ou les paquets ne correspondent à aucune règle d'une ACL.

L'autorisation ou le refus des paquets est déterminé par les actions spécifiées dans les règles ACL et les modules de service auxquels des ACL sont appliquées. Différents modules de service traitent les paquets filtrés par les règles ACL de différentes manières. Par exemple, le module Telnet transfère directement les paquets correspondant à une règle d'autorisation, tandis que le module de politique de trafic rejette les paquets correspondant à une règle d'autorisation si le comportement configuré dans la politique de trafic est refusé.


Ordre de correspondance

Une liste de contrôle d'accès se compose de plusieurs règles, qui peuvent se chevaucher ou entrer en conflit. Par exemple, une ACL contient deux règles :

rule deny ip destination 10.1.0.0 0.0.255.255    //Les paquets destinés à une adresse IP sur le segment de réseau 10.1.0.0/16 sont refusés.

rule allow ip destination 10.1.1.0 0.0.0.255    //Les paquets destinés à une adresse IP sur le segment de réseau 10.1.1.0/24 sont autorisés, ce qui est plus petit que le segment de réseau 10.1.0.0/16.

Si le système fait d'abord correspondre un paquet destiné à l'adresse IP 10.1.1.1 à la règle de refus, le paquet est rejeté. Cependant, si le système fait d'abord correspondre le paquet à la règle d'autorisation, le paquet est transféré.

Par conséquent, si les règles ACL se chevauchent ou entrent en conflit, l'ordre de correspondance décide du résultat de la correspondance.

L'appareil peut faire correspondre les paquets aux listes de contrôle d'accès en configuration (config) ou en ordre automatique (auto). L'ordre par défaut est config.


Ordre de configuration

Le système fait correspondre les paquets aux règles ACL dans l'ordre croissant des ID de règle. C'est-à-dire que la règle avec le plus petit ID prend effet en premier.

l  Si un ID de règle plus petit est spécifié manuellement pour une règle, la règle prend effet plus tôt que celles avec des ID de règle plus grands.

l  Si aucun ID n'est spécifié manuellement pour une règle, le système attribue un ID à la règle. Cet ID de règle est le plus grand de la liste de contrôle d'accès et possède le multiple minimum de l'incrément. Par conséquent, cette règle est la dernière qui fonctionne.

Commande automatique

Le système organise les règles ACL en fonction de leur degré de précision (principe de la profondeur d'abord) et compare les paquets aux règles par ordre décroissant de précision. Une règle avec la plus haute précision définit les conditions les plus strictes et a la priorité la plus élevée. Le tableau 1 décrit comment la commande automatique est appliquée à chaque type d'ACL.

Figure 4 Ordre de correspondance automatique

Ordre de correspondance automatique

Si vous ajoutez une règle à une liste de contrôle d'accès en mode de correspondance automatique, le système identifie automatiquement la priorité de la règle et attribue un ID de règle en conséquence.

Par exemple, deux règles sont ajoutées à l'ACL 3001 avancé en mode automatique :

rule deny ip destination 10.1.0.0 0.0.255.255    //Rejeter les paquets destinés au segment de réseau 10.1.0.0/16.

rule allow ip destination 10.1.1.0 0.0.0.255    // Autoriser les paquets destinés au segment de réseau 10.1.1.0/24, dont la plage est inférieure à 10.1.0.0/16.

Les deux règles spécifient la même plage de protocoles et la plage d'adresses IP source, mais ne spécifient pas d'instances VPN. Selon l'ordre de correspondance automatique du tableau 1, le système compare les plages d'adresses IP de destination dans les règles. La plage d'adresses IP de destination spécifiée dans la règle d'autorisation est plus petite que celle spécifiée dans la règle de refus, de sorte que la règle d'autorisation a une précision plus élevée. Le système attribue ensuite un ID plus petit à la règle d'autorisation. Par conséquent, le système permet aux deux règles de l'ACL 3001 de fonctionner dans l'ordre suivant :

#                                                                              

acl number 3001 match-order auto                                               

 rule 5 permit ip destination 10.1.1.0 0.0.0.255                               

 rule 10 deny ip destination 10.1.0.0 0.0.255.255                               

#  

Une règle rule deny ip destination 10.1.1.1 0 est ajoutée à l'ACL 3001. (Cette règle a une priorité plus élevée que les deux règles précédentes car l'adresse IP de destination est une adresse hôte.) Le système réaffecte les ID aux règles en fonction de la règle. priorités. La nouvelle commande est la suivante :

#                                                                              

acl number 3001 match-order auto                                               

 rule 5 deny ip destination 10.1.1.1 0                                          

 rule 10 permit ip destination 10.1.1.0 0.0.0.255                               

 rule 15 deny ip destination 10.1.0.0 0.0.255.255                               

#  


Par rapport au mode config, le mode auto est plus complexe. Cependant, le mode automatique est avantageux dans certains scénarios. Par exemple, pour assurer la sécurité du réseau, l'administrateur a configuré une liste de contrôle d'accès en mode automatique pour rejeter tous les paquets IP sur les segments de réseau non approuvés. Lorsque davantage de services sont déployés sur le réseau, certains paquets IP sur ces segments de réseau doivent être autorisés. Le mode de correspondance automatique permet à l'administrateur d'ajouter directement de nouvelles règles à l'ACL, sans avoir besoin de réorganiser les règles.


C'est tout ce que je veux partager avec vous ! Merci!


  • x
  • Standard:

Commentaire

Connectez-vous pour répondre. Se connecter | Enregistrer
envoyer

Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Accord utilisateur ».

My Followers

Connectez-vous pour participer à la communication et au partage

S'identifier

Bloquer
Êtes-vous sûr de bloquer cet utilisateur?
Les utilisateurs de votre liste noire ne peuvent ni commenter votre publication,ni vous mentionner, ni vous envoyer de messages privés.
Rappel
Veuillez lier votre numéro de téléphone pour obtenir un bonus d'invitation.
Guide de Protection de L'information
Merci d'utiliser la Communauté D'assistance Huawei Enterprise ! Nous vous aiderons à savoir comment nous recueillons, utilisons, stockons et partageons vos informations personnelles et les droits que vous avez conformément à Politique de Confidentialité et Contrat D'utilisation.