Fonctionnement des ACL

1. Qu’est-ce que l’ACL et comment fonctionne-t-elle dans les réseaux ?

Les listes de contrôle d’accès (ACL) sont essentielles pour contrôler le trafic sur le réseau. Si vous vous demandez ce qu’est une liste de contrôle d’accès et comment elle fonctionne, vous êtes au bon endroit.

Les ACL filtrent les paquets en fonction de conditions telles que l’IP source, le protocole ou le port. Dans ce guide, vous apprendrez ce qu’est une ACL et comment elle fonctionne à travers des exemples simples et pratiques.

Imaginez que vous souhaitiez autoriser le trafic provenant du réseau juridique (192.168.1.0/24) à accéder à un serveur, mais bloquer le trafic provenant du réseau RH (192.168.2.0/24).

Diagramme montrant ce qu'est une liste de contrôle d'accès et comment elle fonctionne en permettant au réseau juridique (192.168.1.0/24) d'atteindre le serveur juridique tout en bloquant le réseau des ressources humaines (192.168.2.0/24) à l'aide d'une liste de contrôle d'accès standard.

🔹 Voici à quoi peut ressembler une ACL standard de base dans la configuration d’un routeur :

R1(config)# ip access-list standard 10 
R1(config-std-nacl)# permit 192.168.1.0 0.0.0.255
R1(config-std-nacl)# deny 192.168.2.0 0.0.0.255

✅ Répartition :

  • La première ligne crée l’ACL standard numéroté 10.
  • La deuxième ligne autorise le trafic en provenance du réseau 192.168.1.0/24.
  • La troisième ligne interdit le trafic en provenance du réseau 192.168.2.0/24.

Ces règles constituent les éléments de base d’une ACL, que nous étudierons plus en détail dans les sections suivantes.

2. Qu’est-ce qu’une entrée de contrôle d’accès (ACE) dans les ACL ?

🔍 Chaque règle d’une ACL est appelée entrée de contrôle d’accès (ACE). Considérez une ACL comme une liste et chaque ACE comme un élément de cette liste.

Diagramme montrant deux entrées de contrôle d'accès (ACE) dans une ACL standard : l'une autorisant le trafic en provenance de 192.168.1.0/24 et l'autre refusant 192.168.2.0/24, la direction de lecture étant indiquée sur le routeur R1.

✅ Dans l’exemple ci-dessus :

  • ACE 10: Autorise le trafic en provenance du réseau 192.168.1.0/24.
  • ACE 20: refuse le trafic en provenance du réseau 192.168.2.0/24.

🔍 Ordre de lecture

Les routeurs traitent les ACL de haut en bas. Dès qu’un paquet correspond à un ACE, le routeur cesse de vérifier d’autres règles.

💡 Si les règles ne sont pas dans le bon ordre, vous risquez de bloquer ou d’autoriser involontairement le trafic.

3. ⚠️ Refus implicite

À la fin de chaque ACL, il y a une règle de refus implicite. Cela signifie que si un paquet ne correspond à aucun ACE, il est automatiquement refusé. Vous ne verrez pas cette règle listée, mais elle est toujours présente.

Diagramme illustrant le refus implicite dans une ACL, où tout paquet qui ne correspond pas à un ACE est automatiquement rejeté, ce qui renforce l'importance de l'ordre des règles et du contrôle du trafic.

💡 L’importance du déni implicite

Le refus implicite garantit que tout trafic qui n’est pas spécifiquement autorisé est bloqué. Il s’agit d’une mesure de sécurité essentielle pour empêcher tout accès involontaire.

4. ACLs entrantes et ACLs sortantes

Lorsque vous appliquez une ACL à une interface de routeur, vous devez décider si elle filtre le trafic entrant ou sortant. Voyons la différence.

🛠️ ACL entrantes

  • Appliqué aux paquets lorsqu’ils entrent dans l’ interface du routeur.
  • Filtre le trafic avant toute décision de routage.
  • Idéal pour bloquer rapidement le trafic indésirable ou nuisible, ce qui permet d’économiser des ressources.

✅ Exemple : Blocage du trafic malveillant provenant de sources externes avant qu’ il ne pénètre dans votre réseau.

Illustration d'un ACL entrant appliqué au routeur R1, montrant le trafic filtré à l'entrée de l'interface avant que les décisions de routage ne soient prises.

🛠️ ACL sortantes

  • Appliqué aux paquets lorsqu’ils quittent l’ interface du routeur.
  • Filtre le trafic après que les décisions de routage ont été prises.
  • Utile pour appliquer des politiques de sécurité cohérentes au trafic sortant.

✅ Exemple : Enregistrer toutes les connexions sortantes d’ un service spécifique.

Illustration d'une ACL sortante appliquée au routeur R1, montrant le trafic filtré lorsqu'il quitte l'interface après que les décisions de routage ont été prises.

📘 Résumé

Pour résumer, voici ce qu’est l’ACL et comment il fonctionne:

  • Les ACL filtrent le trafic à l’aide d’ACE.
  • Les règles sont traitées dans l’ordre, de haut en bas.
  • Le trafic non apparié est refusé par défaut.
  • Vous pouvez appliquer des ACL en entrée ou en sortie en fonction de vos besoins.

📢 Prochaines étapes : Maintenant que nous avons appris les principes de base du fonctionnement des ACL, le prochain cours portera sur la configuration d’une ACL standard.