Qu'est-ce qu'un réseau ACL?
Un réseau ACL est vraiment comme n'importe quel autre réseau informatique, à l'exception du fait que les routeurs et les commutateurs exécutés sur le réseau respectent une liste prédéterminée d'autorisations d'accès. Les routeurs de réseau reçoivent une liste de règles, appelée liste de contrôle d'accès (ACL), pouvant autoriser une admission de base vers ou depuis un segment de réseau, ainsi que l'autorisation d'accéder aux services éventuellement disponibles par leur intermédiaire. Bien qu'une liste de contrôle d'accès puisse être utilisée dans d'autres services informatiques, telle que l'autorisation des utilisateurs d'accéder aux fichiers stockés sur un ordinateur, dans le cas d'un réseau de liste de contrôle d'accès, les règles sont appliquées aux interfaces réseau et aux ports par lesquels les données de communication transitent.
Lorsque les paquets de données transitent par des ports contrôlés sur un périphérique réseau d'un réseau ACL, ils sont filtrés et évalués en fonction des autorisations. Dans la plupart des cas, cela se produit sur un routeur ou un commutateur réseau. Cependant, certains programmes de pare-feu intégrés à un système d'exploitation peuvent également être considérés comme une forme de liste de contrôle d'accès. Lorsqu'un paquet de données entre ou sort d'une interface sur le périphérique réseau, ses autorisations sont évaluées en fonction de la liste de contrôle d'accès. Si ces autorisations ne sont pas respectées, le voyage est refusé au paquet.
Une ACL est composée d'entrées de contrôle d'accès (ACE). Chaque entrée de contrôle d'accès de la liste contient les informations pertinentes sur les autorisations pour les paquets entrant ou sortant de l'interface réseau de la liste de contrôle d'accès. Chaque ACE contiendra soit une déclaration de permis ou de refus, ainsi que des critères supplémentaires qu'un paquet devra respecter. Dans la plupart des cas, les paquets sont évalués en fonction de normes de protocole Internet (IP) communes telles que le protocole de contrôle de transmission (TCP), le protocole UDP (User Datagram Protocol) et autres de la suite. Parmi les types les plus élémentaires de liste de contrôle d'accès, seule l'adresse d'origine est vérifiée, tandis que dans une liste de contrôle d'accès étendue, des règles peuvent être établies pour vérifier les adresses d'origine et de destination, ainsi que les ports spécifiques auxquels le trafic est destiné et destiné.
Dans un réseau ACL, les listes de contrôle sont construites au sein de routeurs et de commutateurs réseau. Chaque fournisseur de matériel de réseau peut avoir des règles distinctes pour la construction d'une liste de contrôle d'accès. Quel que soit le fabricant de matériel ou le développeur de logiciel créé la programmation qui traite les paquets contre une liste de contrôle d'accès, l'aspect le plus important de la mise en œuvre d'un réseau de liste de contrôle d'accès est la planification. En cas de mauvaise planification, il est tout à fait possible pour un administrateur de se connecter à un routeur particulier, de commencer à mettre en œuvre une liste de contrôle d'accès sur ce routeur et de se retrouver soudainement bloqué par ce routeur ou par un segment d'un réseau entier.
L'une des implémentations réseau ACL les plus courantes est intégrée au système d'exploitation interne IOS (Internetwork Operating System) créé par Cisco Systems®. Sur les routeurs et les commutateurs Cisco® IOS, la liste de contrôle d'accès est dactylographiée manuellement par un administrateur et est automatiquement implémentée à l'ajout de chaque élément de la liste. La liste de contrôle d'accès doit être implémentée de manière incrémentielle, de sorte que lorsqu'un paquet individuel corresponde à une entrée, le reste qui relève des mêmes autorisations peut suivre. Toute modification apportée à la liste signifie qu’elle doit être retapée dans son intégralité.
Bien qu’elle ne soit pas aussi sécurisée qu’un pare-feu pour la protection d’un réseau, une liste de contrôle d’accès est utile en plus d’un pare-feu pour de nombreux scénarios. Un administrateur peut limiter le trafic à destination et en provenance de certaines zones d’un réseau plus important ou empêcher le trafic provenant de certaines adresses de quitter le réseau. Les paquets peuvent être surveillés dans un réseau ACL afin de localiser les zones problématiques sur le réseau, d'identifier les hôtes qui se comportent de manière incorrecte ou de localiser les ordinateurs clients susceptibles d'être infectés par un virus qui tente de se propager. Une liste de contrôle d'accès peut également être utilisée pour spécifier le trafic devant être chiffré entre les nœuds du réseau.