Liste de contrôle d’accès étendue : accès et privilèges

Découvrez comment une migration des utilisateurs avec Okta permet de réduire les réinitialisations des mots de passe inattendues, les demandes d’assistance et les problèmes de support.

Une liste de contrôle d’accès étendue (ou ACL étendue) peut servir à déterminer quel trafic est autorisé ou bloqué, jouant le rôle de gardien de votre réseau. Elle offre à l’administrateur système en charge de la configuration réseau une flexibilité et un contrôle accrus. Facile à personnaliser, elle permet de définir des règles de trafic qui ne se limitent pas aux simples adresses IP. Elle permet de bloquer les attaques réseau tout en autorisant l’accès au trafic légitime et nécessaire. Vous pouvez définir une liste ACL étendue pour bloquer l’accès de sources spécifiques via certains ports sur des ordinateurs précis. De cette façon, vous pouvez gérer de manière très granulaire le trafic à l’entrée et en sortie. 

Qu’est-ce qu’une liste de contrôle d’accès étendue ?

Un liste de contrôle d’accès (ACL, Access Control List) définit une série de règles destinées à autoriser ou à bloquer le trafic au sein d’un réseau, et ainsi lui fournir une protection de base. Une liste de contrôle d’accès étendue est plus flexible et offre davantage de possibilités de personnalisation qu’une ACL standard. Une ACL peut communiquer au système d’exploitation d’un ordinateur la liste des utilisateurs disposant de droits d’accès à des objets système spécifiques, par exemple des fichiers ou répertoires individuels. Une ACL étendue permet d’ajouter des paramètres plus spécifiques. Elle permet de renforcer la sécurité du réseau tout en priorisant le flux du trafic au sein de celui-ci. La sécurité réseau doit constamment s’adapter à l’évolution de l’environnement et des menaces. Il est encore plus important de bloquer l’accès des cybercriminels potentiels tout en laissant la possibilité au trafic nécessaire de circuler librement pour offrir aux clients et collaborateurs une interface conviviale et des interactions numériques fluides.

Caractéristiques d’une ACL étendue

Une ACL standard autorise ou bloque l’accès du trafic en fonction de l’adresse IP source, alors qu’une ACL étendue peut filtrer les paquets de manière plus précise. Elle peut définir le trafic autorisé ou non avec d’autres paramètres que la simple adresse IP, par exemple en y incluant les protocoles TCP, ICMP et UDP. Une ACL étendue peut filtrer le trafic à l’aide des paramètres suivants :

  • Adresse source
  • Adresse de destination
  • Numéro de port
  • Protocole
  • Plage horaire

L’ACL étendue peut être configurée de différentes façons pour bloquer les attaques ou le trafic potentiellement malveillant, tout en laissant libre accès au trafic légitime et nécessaire vers des destinations individuelles précises. Il est également possible de prioriser le trafic d’adresses IP spécifiques dans les plages 100-199 et 2000-2699. Par ailleurs, l’ACL étendue est appliquée à proximité de la source.

Description des commandes utilisées dans une ACL étendue

Le format de base d’une liste de contrôle d’accès étendue se présente comme suit: 

access-list numéro_liste_accès [permit/deny] protocole adresse_IP_source

masque_source destination masque_destination [opérateur]

Description des commandes :

  • Numéro de la liste d’accès : numéro de la liste d’accès dans la plage précédemment spécifiée
  • Permit : trafic autorisé si les conditions sont remplies
  • Deny : trafic bloqué si les conditions sont remplies
  • Protocole : filtrage autorisé basé sur un protocole spécifique
  • Adresse IP source : adresse ou adresses  IP source à partir desquelles le paquet est envoyé
  • Masque de destination : indique un masque générique pour déterminer l’adresse ou la plage d’adresses IP de destination afin d’éviter de saisir individuellement chaque adresse IP
  • Opérateur : permet de spécifier le ou les numéros de port lors d’un filtrage par protocole. Les opérateurs suivants peuvent être utilisés :
    • eq Égal : dans le cas d’une surveillance d’un port précis
    • gt Supérieur à : spécifie une plage de ports supérieure à un numéro de port donné
    • lt Inférieur à : spécifie une plage de ports inférieure à un numéro de port donné
    • neq Différent de : permet l’assertion de la liste d’accès pour tous les ports sauf un

Comment configurer une ACL étendue

Si une source tente d’accéder à votre réseau de façon non autorisée et que vous voulez lui refuser cet accès sans bloquer tout le trafic entre les deux adresses IP, vous devez limiter l’accès entre les ports spécifiés uniquement. Dans un premier temps, vous devez définir l’adresse IP source et la bloquer avec un masque générique. Ensuite, vous devez saisir la destination dont vous souhaitez limiter l’accès. Pour ce faire, vous devez spécifier les ports dont l’accès doit être bloqué à l’aide d’instructions similaires à ce qui suit :

Router1# conf t

Router1(config)# access-list [numéro_liste_accès] deny tcp host [adresse(s)_IP_source] eq [numéro_de_port]

Router1(config)# access-list [numéro_liste_accès] deny tcp host [adresse(s)_IP_source] eq [numéro_de_port]

La première instruction sert à bloquer la cible au niveau du port de destination spécifique, tandis que la seconde réitère le blocage pour HTTPS. La commande « eq » autorise l’accès pour les ports spécifiés. Vous pouvez vérifier cette liste à l’aide de la commande « Show Access List » pour vérifier si l’ACL étendue possède toutes les instructions nécessaires.

Blocage de l’instruction « deny all »

Si vous vous contentez d’ajouter des instructions « deny » (refuser), la liste ACL contient une instruction « Deny All » implicite qui doit être invalidée pour autoriser les accès nécessaires et éviter une panne totale du réseau. Cela ne s’affichera pas à l’exécution de la commande « Show Access List ». Pour résoudre le problème, vous devez ajouter une instruction « permit » (autoriser). Il vous faudra également utiliser une commande « any any », sans quoi tout le trafic qui ne correspond pas aux règles de la liste d’accès sera refusé. Affichez la liste d’accès à l’aide du numéro qui lui a été attribué, puis ajoutez l’instruction « Permit ». Vous devez ensuite configurer l’instruction « Permit » pour inclure et autoriser toutes les adresses IP issues de toutes les variations incluses dans l’instruction, de n’importe quelle source à l’adresse de destination. Cela vous permet de refuser uniquement les instructions que vous avez précédemment assorties de restrictions et d’autoriser le reste du trafic.

Application de l’ACL et configuration du sens du trafic

L’ACL étendue peut désormais être appliquée à une interface. Elle doit normalement être placée aussi près de la source que possible. À présent, vous devez préciser le sens du trafic. Pour ce faire, il faut utiliser une commande « in » ou « out » pour spécifier la direction du paquet. Un paquet entrant utilise la commande « in » et un paquet sortant utilise la commande « out ». Une fois l’ACL étendue appliquée, l’accès du trafic que vous cherchez à bloquer sera limité, tandis que le reste du trafic sera autorisé à circuler de sa source à sa destination. Les listes ACL doivent être configurées avant d’être appliquées et activées.

Ressources pour la configuration d’ACL

Les listes de contrôle d’accès jouent un rôle important dans la sécurité réseau. Les ACL étendues offrent un plus haut degré de personnalisation afin de garantir le transit des paquets de trafic essentiels et nécessaires entre la source et la destination, et le blocage ou la restriction du trafic non autorisé ou potentiellement dangereux. La configuration d’une ACL étendue peut prendre énormément de temps. Il existe des entreprises, des prestataires et des ressources qui peuvent vous aider à générer de telles listes et vous proposent des tutoriels vous expliquant comment procéder. Un tutoriel Cisco particulièrement utile contient des conseils et instructions pour configurer une ACL étendue pour votre réseau.

Références

The Study of Network Security With Its Penetrating Attacks and Possible Security Mechanisms. Mai 2015. A Monthly Journal of Computer Science and Information Technology.

Access Agent: Improving the Performance of Access Control Lists. Avril 2016. International Journal of Scientific & Technology Research.

Configuring Cisco IDS Blocking. 2003. Cisco Security Professional’s Guide to Secure Intrusion Detection Systems.

Cisco Content Services Switch. 2002. Managing Cisco Network Security (Second Edition).

Configuring IP Access Lists. 2007. Cisco.