Le filtrage dans les routeurs d’accès: ACL
Principes
L’immense majorité des routeurs aujourd’hui disponibles dans le commerce intègre des fonctions de filtrage. Ces « filtres » sont classiquement implémentés....
au travers de listes à contrôle d’accès ou ACLs (Access Control Lists).
Une ACL est généralement constituée d’une table à deux entrées : la première entrée indique un critère et, la seconde, un traitement associé à ce critère.
Les critères les plus couramment retenus sont :
· L’adresse source,
· L’adresse destination,
· Le port source,
· Le port destination,
· Le type de protocole (IP, TCP, UDP, ICMP…)
· La présence, ou l’absence, de certaines options ou flags (SYN, ACK, FIN, RST, URG…)
· L’interface Ethernet du routeur filtrant sur laquelle est reçu le paquet, et le sens (entrant ou sortant du routeur)
Lorsqu’un paquet reçu par l’équipement de filtrage correspond à l’un des critères sélectionnés, le système peut alors lui appliquer un ou plusieurs traitements particuliers :
· Acceptation,
· Refus,
· Absorption10,
· Routage forcé,
· Création d’un événement dans les journaux systèmes
· Tunnel (voir plus loin),
· Translation d’adresse ou de port
· …
Notons que, dans la plupart des cas de figure, les ACLs sont traitées selon un mécanisme dit de « first match » : lorsqu’un paquet réseau est intercepté, le système de filtrage balaye les règles une à une, dans l’ordre, et, lorsqu’une règle doit être appliquée, traite le paquet en conséquence puis sort de sa boucle de traitement. Le positionnement d’ACL peut donc parfois s’avérer délicat à mettre en oeuvre et reste souvent une source d’erreurs.
Principes
L’immense majorité des routeurs aujourd’hui disponibles dans le commerce intègre des fonctions de filtrage. Ces « filtres » sont classiquement implémentés....
au travers de listes à contrôle d’accès ou ACLs (Access Control Lists).
Une ACL est généralement constituée d’une table à deux entrées : la première entrée indique un critère et, la seconde, un traitement associé à ce critère.
Les critères les plus couramment retenus sont :
· L’adresse source,
· L’adresse destination,
· Le port source,
· Le port destination,
· Le type de protocole (IP, TCP, UDP, ICMP…)
· La présence, ou l’absence, de certaines options ou flags (SYN, ACK, FIN, RST, URG…)
· L’interface Ethernet du routeur filtrant sur laquelle est reçu le paquet, et le sens (entrant ou sortant du routeur)
Lorsqu’un paquet reçu par l’équipement de filtrage correspond à l’un des critères sélectionnés, le système peut alors lui appliquer un ou plusieurs traitements particuliers :
· Acceptation,
· Refus,
· Absorption10,
· Routage forcé,
· Création d’un événement dans les journaux systèmes
· Tunnel (voir plus loin),
· Translation d’adresse ou de port
· …
Notons que, dans la plupart des cas de figure, les ACLs sont traitées selon un mécanisme dit de « first match » : lorsqu’un paquet réseau est intercepté, le système de filtrage balaye les règles une à une, dans l’ordre, et, lorsqu’une règle doit être appliquée, traite le paquet en conséquence puis sort de sa boucle de traitement. Le positionnement d’ACL peut donc parfois s’avérer délicat à mettre en oeuvre et reste souvent une source d’erreurs.
0 com:
Enregistrer un commentaire
Suggérer des améliorations à apporter au blog, des articles, des commentaires ou des liens sur la sécurité informatique.Merci