Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Chapitre 9 : Listes de contrôle d'accès ADIL HILMANI 1 Chapitre 9 : Listes de c

Chapitre 9 : Listes de contrôle d'accès ADIL HILMANI 1 Chapitre 9 : Listes de contrôle d'accès ADIL HILMANI 2 9.1.1.1 Qu'est-ce qu'une liste de contrôle d'accès ? Une liste de contrôle d'accès (ou ACL) est une série de commandes IOS qui déterminent si un routeur achemine ou abandonne les paquets en fonction des informations contenues dans l'en-tête de paquet. Les listes de contrôle d'accès font partie des fonctionnalités les plus utilisées du logiciel Cisco IOS. Une fois configurées, les listes de contrôle d'accès assurent les tâches suivantes : • Elles limitent le trafic réseau pour accroître les performances réseau. Si la stratégie de l'entreprise interdit, par exemple, le trafic vidéo sur le réseau, vous pouvez configurer et appliquer des listes de contrôle d'accès pour bloquer ce trafic. Ainsi, la charge réseau est nettement réduite et les performances réseau sont sensiblement améliorées. • Elles contrôlent le flux de trafic. Les listes de contrôle d'accès peuvent limiter l'arrivée des mises à jour de routage. Si aucune mise à jour n'est requise vu les conditions du réseau, la bande passante est préservée. • Elles fournissent un niveau de sécurité de base pour l'accès réseau. Les listes de contrôle d'accès permettent à un hôte d'accéder à une section du réseau tout en empêchant un autre hôte d'y avoir accès. Par exemple, l'accès au réseau du département Ressources humaines peut être limité aux utilisateurs autorisés. • Elles filtrent le trafic en fonction de son type. Ainsi, une liste de contrôle d'accès peut autoriser le trafic des e- mails, mais bloquer tout le trafic Telnet. • Elles filtrent les hôtes pour autoriser ou refuser l'accès aux services sur le réseau. Les listes de contrôle d'accès peuvent autoriser ou refuser à un utilisateur l'accès à certains types de fichier, tels que FTP ou HTTP. Par défaut, aucune liste de contrôle d'accès n'est configurée sur les routeurs. Par conséquent, les routeurs ne filtrent pas le trafic, par défaut. Le trafic qui entre dans le routeur est routé uniquement en fonction des informations de la table de routage. Toutefois, lorsqu'une liste de contrôle d'accès est appliquée à une interface, le routeur évalue en outre tous les paquets réseau lorsqu'ils traversent l'interface pour déterminer s'ils peuvent être acheminés. En dehors de l'autorisation ou du blocage du trafic, les listes de contrôle d'accès peuvent être utilisées pour sélectionner les types de trafic à analyser, à acheminer et à traiter selon d'autres méthodes. Par exemple, les listes de contrôle d'accès permettent de classer le trafic par ordre de priorité. Cette fonction s'assimile à une carte VIP pour un concert ou un événement sportif. La carte VIP offre aux spectateurs privilégiés des avantages qui ne sont pas proposés aux détenteurs d'un billet standard, notamment l'entrée prioritaire ou le droit d'accéder à une zone privée. La figure présente un exemple de topologie sur laquelle des listes de contrôle d'accès sont appliquées. Chapitre 9 : Listes de contrôle d'accès ADIL HILMANI 3 9.1.1.2 Conversation TCP Les listes de contrôle d'accès permettent aux administrateurs de contrôler le trafic entrant et sortant d'un réseau. Il peut tout simplement s'agir d'autoriser ou de refuser le trafic en fonction des adresses réseau ou bien d'atteindre des objectifs plus complexes, notamment contrôler le trafic réseau en fonction du port TCP demandé. Pour comprendre le principe de filtrage du trafic appliqué par une liste de contrôle d'accès, le plus simple est d'examiner le dialogue qui intervient dans une conversation TCP, notamment lorsque vous demandez une page Web. Communication TCP Lorsqu'un client demande des données à un serveur Web, le protocole IP gère les communications entre le PC (source) et le serveur (destination). Le protocole TCP gère les communications entre le navigateur Web (application) et le logiciel du serveur réseau. Lorsque vous envoyez un e-mail, consultez une page Web ou téléchargez un fichier, le protocole TCP se charge de répartir les données en segments pour IP avant leur envoi. TCP gère également l'assemblage des données à partir des segments lorsqu'elles arrivent. Le processus TCP ressemble à une conversation dans laquelle deux nœuds se transmettent des données sur un réseau. TCP fournit un service de flux d'octets fiable et orienté connexion. « Orienté connexion » signifie que les deux applications doivent établir une connexion TCP avant de pouvoir échanger des données. TCP est un protocole bidirectionnel simultané. En d'autres termes, chaque connexion TCP prend en charge une paire de flux d'octets, chaque flux étant unidirectionnel. TCP comprend un mécanisme de contrôle de flux pour chaque flux d'octets permettant au récepteur de limiter le volume de données que l'expéditeur peut transmettre. TCP implémente également un mécanisme de contrôle de l'encombrement. L'animation proposée à la Figure 1 illustre une conversation TCP/IP. Les segments TCP sont identifiés par des indicateurs qui décrivent leur objectif : une synchronisation (SYN) commence la session, ACK est un accusé de réception signalant qu'un segment prévu a été reçu et un segment FIN termine la session. Un paquet SYN/ACK Chapitre 9 : Listes de contrôle d'accès ADIL HILMANI 4 confirme que le transfert est synchronisé. Les segments de données TCP comprennent le protocole de niveau supérieur requis pour transmettre les données d'application à l'application appropriée. Le segment de données TCP identifie également le port correspondant au service demandé. Par exemple, HTTP correspond au port 80, SMTP au port 25 et FTP aux ports 20 et 21. La Figure 2 montre les plages des ports UDP et TCP. Les Figures 3 à 5 explorent les ports TCP/UDP. Chapitre 9 : Listes de contrôle d'accès ADIL HILMANI 5 9.1.1.3 Filtrage des paquets Comment les listes de contrôle d'accès utilisent-elles les informations transmises lors d'une conversation TCP/IP pour filtrer le trafic ? Le filtrage des paquets, parfois appelé filtrage statique des paquets, contrôle l'accès à un réseau en analysant les paquets entrants et sortants et en les transmettant ou en rejetant selon des critères spécifiques, tels que l'adresse IP source, les adresses IP de destination et le protocole transporté dans le paquet. Un routeur filtre les paquets lors de leur transmission ou de leur refus conformément aux règles de filtrage. Lorsqu'un paquet arrive sur un routeur de filtrage des paquets, le routeur extrait certaines informations de l'en-tête de paquet. Celles-ci lui permettent de décider si le paquet peut être acheminé ou non en fonction des règles de filtre configurées. Comme le montre la figure, le filtrage des paquets peut fonctionner sur différentes couches du modèle OSI ou sur la couche Internet du modèle TCP/IP. Chapitre 9 : Listes de contrôle d'accès ADIL HILMANI 6 Un routeur de filtrage de paquets utilise des règles pour déterminer s'il doit autoriser ou refuser le trafic. Un routeur peut également effectuer le filtrage des paquets au niveau de la couche 4, la couche transport. Le routeur peut filtrer les paquets en fonction des ports source et de destination du segment TCP ou UDP. Ces règles sont définies à l'aide de listes de contrôle d'accès. Une liste de contrôle d'accès est un ensemble séquentiel d'instructions d'autorisation ou de refus, appelées entrées de contrôle d'accès (ACE). Les ACE sont couramment appelées des instructions de liste de contrôle d'accès. Des ACE peuvent être créés pour filtrer le trafic en fonction de critères tels que l'adresse source, l'adresse de destination, le protocole et les numéros de port. Lorsque le trafic réseau traverse une interface configurée avec une liste de contrôle d'accès, le routeur compare les informations du paquet à chaque ACE, dans l'ordre séquentiel, afin de déterminer si le paquet correspond à l'une des instructions. Si une correspondance est trouvée, le paquet est traité en conséquence. Vous pouvez ainsi configurer des listes de contrôle d'accès en vue de contrôler l'accès à un réseau ou à un sous-réseau. Pour évaluer le trafic réseau, la liste de contrôle d'accès extrait les informations suivantes de l'en-tête de paquet de couche 3 : • Adresse IP source • Adresse IP de destination • Type de message ICMP La liste de contrôle d'accès peut également extraire des informations de couche supérieure à partir de l'en-tête de couche 4, notamment : • Port source TCP/UDP • Port de destination TCP/UDP Chapitre 9 : Listes de contrôle d'accès ADIL HILMANI 7 9.1.1.4 Filtrage des paquets (suite) Exemple de filtrage des paquets Pour comprendre comment un routeur utilise le filtrage des paquets, imaginez qu'un gardien a été placé devant une porte verrouillée. Le gardien a reçu pour instruction de ne laisser passer que les personnes dont les noms figurent sur une liste. Il filtre le passage des personnes conformément à la liste des noms autorisés. Les listes de contrôle d'accès fonctionnent de la même façon et prennent des décisions en fonction de critères définis. Par exemple, une liste de contrôle d'accès peut être configurée pour « autoriser l'accès Web aux utilisateurs du réseau A, mais leur refuser l'accès à tous les autres services. Refuser l'accès HTTP aux utilisateurs du réseau B, mais leur autoriser tous les autres accès. », et ce, de manière logique. Reportez-vous à la figure qui présente le processus décisionnel suivi par le filtre de paquets uploads/Management/ chapitre-9-listes-acl-pdf.pdf