Cet article est le début d’une nouvelle série centrée sur la sécurité informatique, mais axée sur la sécurisation des réseaux avec des listes de contrôle d’accès, communément appelées ACL. Les listes de contrôle d’accès, leur fonction et leur mise en œuvre appropriée sont couvertes par les examens Cisco, mais les concepts et les stratégies de déploiement sont également couverts par des certifications telles que Security + et CISSP., Dans cet article, nous allons étudier et définir les différents types de listes de contrôle d’accès et examiner certains concepts de déploiement, en particulier le « pourquoi” nous les utilisons et le « quand”. Les futurs articles se concentreront sur leur mise en œuvre sur les routeurs Cisco, des conceptions spécifiques pour autoriser et refuser des services, et s’aventurer dans le monde des pare-feu.
que sont les listes de contrôle d’accès?
Les ACL sont un filtre réseau utilisé par les routeurs et certains commutateurs pour autoriser et restreindre les flux de données dans et hors des interfaces réseau., Lorsqu’un ACL est configuré sur une interface, le périphérique réseau analyse les données transitant par l’interface, les compare aux critères décrits dans L’ACL, et permet aux données de circuler ou les interdit.
Pourquoi utilisons-nous des listes de contrôle d’accès?
Il y a une variété de raisons pour lesquelles nous utilisons ACLs. La raison principale est de fournir un niveau de sécurité de base pour le réseau. Les ACL ne sont pas aussi complexes et en profondeur de protection que les pare-feu avec État, mais ils fournissent une protection sur les interfaces à vitesse plus élevée où la vitesse de débit de ligne est importante et les pare-feu peuvent être restrictifs., Les ACL sont également utilisées pour restreindre les mises à jour pour le routage à partir de pairs réseau et peuvent jouer un rôle déterminant dans la définition du contrôle de flux pour le trafic réseau.
quand utilisons-nous les listes de contrôle d’accès?
Comme je l’ai mentionné précédemment, les ACL pour les routeurs ne sont pas aussi complexes ou robustes que les pare-feu avec État, mais ils offrent une quantité importante de capacités de pare-feu. En tant que professionnel du réseau informatique ou de la sécurité, le placement de vos défenses est essentiel pour protéger le réseau, ses actifs et ses données., Les ACL doivent être placés sur des routeurs externes pour filtrer le trafic contre les réseaux moins souhaitables et les protocoles vulnérables connus.
dans ce cas, l’une des méthodes les plus courantes consiste à configurer une zone tampon démilitarisée ou DMZ dans votre réseau. Cette architecture est normalement implémentée avec deux périphériques réseau distincts.
un exemple de cette configuration est donné dans la Figure 1.
Le routeur le plus extérieur donne accès à toutes les connexions réseau extérieures., Ce routeur a habituellement des ACL moins restrictives, mais fournit de plus grands blocs d’accès de protection aux secteurs des tables globales de routage que vous souhaitez restreindre. Ce routeur doit également protéger contre les protocoles bien connus que vous ne prévoyez absolument pas d’autoriser l’accès dans ou hors de votre réseau. En outre, des ACL ici devraient être configurées pour restreindre l’accès de pair de réseau et peuvent être utilisées en même temps que les protocoles de routage pour restreindre des mises à jour et l’étendue des artères reçues de ou envoyées aux pairs de réseau.,
la DMZ est l’endroit où la plupart des professionnels de L’informatique placent des systèmes qui ont besoin d’un accès de l’extérieur. Les exemples les plus courants sont les serveurs web, les serveurs DNS et les systèmes D’accès à distance ou VPN.
Le routeur interne d’une DMZ contient des ACL plus restrictives conçues pour protéger le réseau interne contre des menaces plus définies. Les ACL sont souvent configurés ici avec des instructions explicites d’autorisation et de refus pour des adresses spécifiques et des services de protocole.
en quoi consiste une liste de contrôle d’accès?,
quelle que soit la plate-forme de routage que vous utilisez, tous ont un profil similaire pour définir une liste de contrôle d’accès.,s et numéros)
- Les exemples incluent IP, IPX, ICMP, TCP, UDP, NETBIOS et bien d’autres
- Il s’agit généralement d’adresses et peuvent être définies comme une seule adresse discrète, une plage ou un sous-réseau, ou toutes les adresses
- ces instructions supplémentaires demandent des fonctions supplémentaires lorsqu’une correspondance est trouvée pour l’instruction., Ces indicateurs varient pour chaque protocole, mais un indicateur commun ajouté aux instructions est la fonctionnalité de journal qui enregistre toute correspondance avec l’instruction dans le journal du routeur
Quels types de listes de contrôle d’accès Existe-t-il?
Il existe plusieurs types de listes de contrôle d’accès et la plupart sont définies dans un but ou un protocole distinct. Sur les routeurs Cisco, il existe deux types principaux: standard et étendu. Ces deux types sont les ACL Les plus utilisés et ceux sur lesquels je vais me concentrer dans cet article et dans les prochains, mais il existe également des ACL avancées., Certaines des ACL avancées comprennent les ACL réflexives et les ACL dynamiques et elles sont définies comme suit. Les ACL réflexives, également connues sous le nom D’ACL de Session IP, sont déclenchées à partir d’une ACL sortante pour le trafic initié du réseau interne. Le routeur identifiera ce nouveau flux de trafic et créera une entrée dans un ACL distinct pour le chemin d’arrivée. Une fois la session terminée, l’entrée dans l’ACL réflexive est supprimée.
des ACL dynamiques ou des ACL verrouillées sont créées pour permettre à l’utilisateur d’accéder à un hôte source / destination spécifique via un processus d’authentification utilisateur., Les implémentations Cisco utilisent les capacités de pare-feu IOS et n’entravent pas les restrictions de sécurité existantes.
L’implémentation des ACL sur une interface de routeur
le Placement et la compréhension du flux de trafic est important de comprendre à l’avance avant que vous configuriez un ACL sur une interface de routeur. La compréhension du placement et de l’impact des ACL sont des questions fréquentes dans les examens CCNA et CCNP et les erreurs dans le placement des ACL sont quelques-unes des plus courantes que les administrateurs réseau font lors de la mise en œuvre de la sécurité. Croyez-moi, cela nous arrive à tous et je ne suis pas à l’abri de celui-là., La Figure 2 fournit un bon exemple du flux de trafic quand il s’agit d’entrée et de sortie sur une interface réseau de routeur.
comme vous pouvez le voir sur ce diagramme, les flux de trafic entrant du réseau dans l’interface et les flux de sortie de l’interface vers le réseau. Les professionnels du réseau informatique et de la sécurité doivent y porter une attention particulière. Les ACL commencent par une adresse source d’abord dans leur configuration et destination ensuite., Comme vous configurez un ACL sur l’entrée d’une interface réseau il est important de reconnaître que tout le réseau local ou les hôtes devraient être vus comme sources ici, et exactement le contraire pour l’interface de sortie.
ce qui rend ceci le plus déroutant est l’implémentation des ACL sur l’interface d’un routeur qui fait face à un réseau externe. Regardez la Figure 1. Dans cet exemple, le côté entrée provient du réseau extérieur et ces adresses sont considérées comme des sources, tandis que toutes les adresses réseau internes sont des destinations., Du côté de la sortie, vos adresses réseau internes sont maintenant des adresses source et les adresses externes sont maintenant des destinations.
lorsque vous ajoutez des ports dans des ACL étendues, la confusion peut s’installer. Le meilleur conseil que j’ai avant toute implémentation est de documenter vos flux et de noter vos adresses source/destination. Nous couvrirons plus de ces implémentations plus tard dans les articles de configuration ACL.
résumé
les listes de contrôle d’accès sont un élément essentiel dans la sécurisation de vos réseaux et comprendre leur fonction et leur placement approprié est essentiel pour atteindre leur meilleure efficacité., La formation de Certification couvre ACLs et il y a plusieurs questions sur les examens qui les concernent. Comme nous continuons dans cette série, il serait sage de tester certains des concepts sur les simulateurs de réseau ou les ports de routeur inutilisés pour obtenir une meilleure perspective en utilisant les ACL et comment ils peuvent être représentés dans les implémentations réelles et sur les examens.
prêt à tester vos compétences en réseau informatique? Voyez comment ils s’empilent avec cette évaluation de Smarterer. Commencez ce test de réseau informatique maintenant