dans le monde des réseaux informatiques, un ACL est l’un des composants les plus fondamentaux de la sécurité.

Une liste de contrôle d’accès « ACL” est une fonction qui surveille le trafic entrant et sortant et le compare à un ensemble d’instructions définies.

dans cet article, nous allons approfondir la fonctionnalité des ACL et répondre aux questions courantes suivantes sur les ACL?

  1. qu’est Ce qu’une Liste de Contrôle d’Accès?
  2. Pourquoi utiliser un ACL?,
  3. où pouvez-vous placer un ACL?
  4. Quels sont les composants d’un ACL?
  5. Quels sont les types de LCA?
  6. Comment implémenter un ACL sur un routeur?

qu’est Ce qu’une Liste de Contrôle d’Accès?

listes de contrôle d’Accès les « ACL” sont des filtres de trafic réseau qui peuvent contrôler le trafic entrant ou sortant.

Acl travailler sur un ensemble de règles qui définissent comment transférer ou de bloquer un paquet à l’interface du routeur.

un ACL est identique à un pare-feu sans état, qui restreint, bloque ou autorise uniquement les paquets qui circulent de la source à la destination.,

quand vous définissez un ACL sur un périphérique de routage pour une interface spécifique, tout le trafic circulant par sera comparé à l’instruction ACL qui le bloquera ou l’autorisera.

les critères de définition des règles ACL peuvent être la source, la destination, un protocole spécifique ou plus d’informations.

Les ACL sont courantes dans les routeurs ou les pare-feu, mais elles peuvent également les configurer dans n’importe quel périphérique qui s’exécute sur le réseau, à partir d’hôtes, de périphériques réseau, de serveurs, etc.

Pourquoi utiliser un ACL?

L’idée principale de l’utilisation d’une ACL est d’assurer la sécurité de votre réseau., Sans elle, tout trafic est autorisé à entrer ou à sortir, ce qui le rend plus vulnérable au trafic indésirable et dangereux.

pour améliorer la sécurité avec un ACL, vous pouvez, par exemple, refuser des mises à jour de routage spécifiques ou fournir un contrôle du flux de trafic.

comme indiqué dans l’image ci-dessous, le périphérique de routage a un ACL qui refuse l’accès à l’hôte C dans le réseau financier, et en même temps, il permet l’accès à L’hôte D.

avec un ACL, vous pouvez filtrer les paquets pour une seule ou un groupe d’adresses IP ou différents protocoles, tels que TCP ou UDP.,

Ainsi, par exemple, au lieu de bloquer un seul hôte dans l’équipe d’ingénierie, vous pouvez refuser l’accès à l’ensemble du réseau et de ne permettre qu’une seule. Ou vous pouvez également restreindre l’accès à l’hôte C.

Si L’ingénieur de l’hôte C doit accéder à un serveur web situé dans le réseau financier, vous ne pouvez autoriser que le port 80 et bloquer tout le reste.

où pouvez-vous placer un ACL?

Les périphériques confrontés à des réseaux externes inconnus, tels Qu’Internet, doivent disposer d’un moyen de filtrer le trafic. Ainsi, l’un des meilleurs endroits pour configurer un ACL est sur les routeurs de bord.,

un dispositif de routage avec un ACL peut être placé face à Internet et connecter la DMZ (Zone Démilitarisée), qui est une zone tampon qui divise L’Internet public et le réseau privé.

la DMZ est réservée aux serveurs nécessitant un accès de l’extérieur, tels que les serveurs Web, les serveurs d’applications, les serveurs DNS, Les VPN, etc.

comme indiqué dans l’image ci-dessous, la conception montre une DMZ divisée par deux périphériques, l’un qui sépare la zone de confiance de la DMZ et l’autre qui la sépare avec Internet (réseau public).,

Le routeur de l’Internet agit comme une passerelle pour tous les réseaux extérieurs. Il offre une sécurité générale en empêchant les sous-réseaux plus importants de sortir ou d’entrer.

Vous pouvez également configurer un ACL dans ce routeur pour se protéger contre des ports bien connus spécifiques (TCP ou UDP).

Le routeur interne, situé entre la DMZ et la zone de confiance, peut être configuré avec des règles plus restrictives pour protéger le réseau interne. Cependant, c’est un excellent endroit pour choisir un pare-feu avec État plutôt qu’un ACL.

Mais pourquoi est-il préférable de placer un ACL vs., Pare-feu avec État pour protéger la DMZ?

Les ACL sont directement configurés dans le matériel de transfert d’un périphérique, de sorte qu’ils ne compromettent pas les performances de fin.

placer un pare-feu avec État pour protéger une DMZ peut compromettre les performances de votre réseau.

choisir un routeur ACL pour protéger les actifs hautes performances, tels que les applications ou les serveurs, peut être une meilleure option. Bien que les ACL puissent ne pas fournir le niveau de sécurité qu’offre un pare-feu avec État, elles sont optimales pour les points de terminaison du réseau nécessitant une vitesse élevée et une protection nécessaire.

Quels sont les composants d’un ACL?,

l’implémentation des ACL est assez similaire dans la plupart des plates-formes de routage, qui ont toutes des directives générales pour les configurer.

rappelez-vous qu’une ACL est un ensemble de règles ou d’entrées. Vous pouvez avoir une ACL avec une ou plusieurs entrées, où chacune est censée faire quelque chose, cela peut être de tout autoriser ou de ne rien bloquer.

lorsque vous définissez une entrée ACL, vous aurez besoin des informations nécessaires.

  1. numéro de séquence:
    identifiez une entrée ACL à l’aide d’un numéro.
  2. nom ACL:
    définir une entrée ACL à l’aide d’un nom., Au lieu d’utiliser une séquence de numéros, certains routeurs permettent une combinaison de lettres et de chiffres.
  3. Remarque:
    certains routeurs vous permettent d’ajouter des commentaires dans un ACL, ce qui peut vous aider à ajouter des descriptions détaillées.
  4. Instruction:
    Refuser ou autoriser une source spécifique en fonction de l’adresse et le masque joker. Certains périphériques de routage, tels que Cisco, configurent par défaut une instruction implicite deny à la fin de chaque ACL.
  5. protocole réseau:
    spécifiez si refuser/autoriser IP, IPX, ICMP, TCP, UDP, NetBIOS, et plus encore.,
  6. Source ou Destination:
    définissez la source ou la cible de Destination comme une seule adresse IP, une plage D’adresses (CIDR) ou toutes les adresses.
  7. Log:
    certains appareils sont capables de conserver des journaux lorsque des correspondances ACL sont trouvées.
  8. autres critères:
    Les ACL avancées vous permettent d’utiliser le trafic de contrôle via le type de Service (ToS), la priorité IP et la priorité DSCP (differentiated services codepoint).

Quels sont les types de LCA?

Il existe quatre types d’ACL que vous pouvez utiliser à des fins différentes: les ACL standard, étendues, dynamiques, réflexives et temporelles.,

ACL Standard

L’ACL standard vise à protéger un réseau en utilisant uniquement l’adresse source.

c’est le type le plus basique et peut être utilisé pour des déploiements simples, mais malheureusement, il n’offre pas une sécurité Forte. La configuration pour un ACL standard sur un routeur Cisco est la suivante:

ACL étendu

avec l’ACL étendu, vous pouvez également bloquer la source et la destination pour des hôtes simples ou des réseaux entiers.

Vous pouvez également utiliser une ACL étendue pour filtrer le trafic en fonction des informations de protocole (IP, ICMP, TCP, UDP).,

la configuration D’un ACL étendu dans un routeur Cisco pour TCP est la suivante:

ACL dynamique

Les ACL dynamiques, comptent sur les ACL étendus, le Telnet, et l’authentification. Ce type de LCA est souvent appelé « verrouillage et clé » et peut être utilisé pour des délais spécifiques.

Ces listes permettent à un utilisateur d’une source ou de destination que si l’utilisateur s’authentifie à l’appareil via Telnet.

ce qui suit est la configuration D’un ACL dynamique dans un routeur Cisco.,

ACL réflexive

Les ACL réflexives sont également appelées ACL de session IP. Ces types D’ACL, filtrent le trafic basé sur des informations de session de couche supérieure.

ils réagissent aux sessions originaires à l’intérieur du routeur pour permettre le trafic sortant ou pour restreindre le trafic entrant. Le routeur reconnaît le trafic ACL sortant et crée une nouvelle entrée ACL pour l’entrant.

Lorsque la session se termine, l’entrée est supprimée.,

La configuration d’un réflexive ACL dans un routeur Cisco est comme suit:

Comment mettre en Œuvre Une ACL Sur votre Routeur?

comprendre le trafic d’entrée et de sortie (ou entrant et sortant) dans un routeur, est essentiel pour une implémentation ACL appropriée.

en définissant des règles pour un ACL, tous les flux de trafic sont basés sur le point de vue de l’interface du routeur (pas les autres réseaux).

comme vous pouvez le voir sur l’image ci-dessous, le trafic entrant est le flux provenant d’un réseau, qu’il soit externe ou interne, dans l’interface du routeur., Le trafic de sortie, d’autre part, est le flux de l’interface sortant dans un réseau.

Pour une liste de travail, de l’appliquer à une interface du routeur. Puisque toutes les décisions de routage et de transfert sont prises à partir du matériel du routeur, les instructions ACL peuvent être exécutées beaucoup plus rapidement.

quand vous créez une entrée ACL, l’adresse source va d’abord, et la destination va après. Prenez l’exemple de la configuration ACL étendue pour IP sur un routeur Cisco. Lorsque vous créez une règle de refus / autorisation, vous devez d’abord définir la source, puis L’adresse IP de destination.,

Le flux entrant est la source de tous les hôtes ou d’un réseau, et le sortant, c’est la destination de tous les hôtes et les réseaux.

Quelle est la Source si vous souhaitez Bloquer le Trafic provenant d’Internet?

rappelez-vous que le trafic entrant provient du réseau extérieur vers votre interface de routeur.

la source est donc une adresse IP D’Internet (une adresse IP publique de serveur web) ou tout (masque générique de 0.0.0.0), et la destination est une adresse IP interne.,

au contraire, que se passe-t-il si vous bloquez un hôte spécifique pour vous connecter à Internet?

le trafic entrant provient du réseau intérieur vers l’interface de votre routeur et sort vers Internet. Si la source est l’adresse IP de l’hôte interne, et la destination est l’adresse IP sur Internet.

Résumé

les Acl sont les filtres de paquets d’un réseau.

ils peuvent restreindre, autoriser ou refuser le trafic essentiel à la sécurité., Un ACL vous permet de contrôler le flux de paquets pour un seul ou un groupe d’adresses IP ou différents pour les protocoles, tels que TCP, UDP, ICMP, etc.

placer un ACL sur la mauvaise interface ou changer par erreur la source / destination peut créer un impact négatif sur le réseau. Une seule déclaration ACL peut laisser une entreprise entière sans Internet.

pour éviter les performances négatives, il est essentiel de comprendre les flux de trafic entrant et sortant, comment fonctionnent les ACL et où les placer., Rappelez-vous que le travail d’un routeur est de transférer le trafic par l’interface droite de sorte qu’un écoulement puisse être venant lui (d’arrivée) ou sortant (sortant).

bien qu’un pare-feu avec État offre une bien meilleure sécurité, il peut compromettre les performances du réseau. Mais un ACLs est déployé directement sur l’interface et le routeur utilise ses capacités matérielles pour le traiter, ce qui le rend beaucoup plus rapide tout en offrant un bon niveau de sécurité.