Où définir les ACLs

Introduction

Dans un réseau Internet, les Listes de Contrôle d’Accès (ACLs) peuvent être définies à plusieurs endroits en fonction …​

…​

de l’infrastructure de votre réseau et des équipements que vous utilisez.

…​

Voici les options ordinaires :

1. Sur le routeur principal

Les ACLs sur le routeur sont utilisées pour contrôler le trafic entrant ou sortant vers/depuis votre réseau local et l’Internet.

…​

Vous pouvez définir les ACLs sur les interfaces ou sous-interfaces du routeur pour :

  • Filtrer le trafic basé sur les adresses IP, les ports, ou les protocoles.

…​

  • Protéger contre les menaces externes en bloquant des adresses IP malveillantes.

…​

  • Permettre uniquement certains types de trafic (ex. : HTTP, HTTPS, DNS).

Exemple : ACL standard sur un routeur Cisco

access-list 1 permit 192.168.10.0 0.0.0.255
interface GigabitEthernet0/0
 ip access-group 1 in

Exemple : ACL étendue pour bloquer un port spécifique

access-list 100 deny tcp any any eq 23
access-list 100 permit ip any any
interface GigabitEthernet0/0
 ip access-group 100 in

2. Sur un firewall matériel ou logiciel

Si vous avez un firewall dédié (par exemple, pfSense, Fortinet, ou un firewall intégré dans votre routeur), …​

…​

les ACLs sont définies directement dans le panneau de configuration du firewall.

Les ACLs dans un firewall sont souvent plus sophistiquées, permettant :

  • La gestion de règles basées sur des zones (LAN, WAN, DMZ).

…​

  • Le filtrage par application ou par utilisateur.

…​

  • La détection d’intrusions (IDS/IPS).

3. Sur les switches (niveau 2 ou 3)

Les switches de niveau 3 (multicouches) permettent également la configuration d’ACLs, souvent pour segmenter le trafic entre VLANs ou contrôler l’accès entre différentes parties du réseau.

…​

Les switches de niveau 2 peuvent parfois appliquer des règles simples pour bloquer certains types de trafic, bien que ce soit moins courant.

Exemple :

ACL sur un switch Cisco (trafic VLAN)

ip access-list extended VLAN20_FILTER
 permit tcp any any eq 80
 deny ip any any
interface vlan 20
 ip access-group VLAN20_FILTER in

4. Sur le point d’accès ou les équipements sans fil

Les équipements Wi-Fi, comme les points d’accès, disposent parfois d’options pour configurer des ACLs simples, généralement pour :

…​

  • Bloquer certaines adresses MAC ou IP.

  • Limiter les types de trafic autorisés via le Wi-Fi.

5. Sur les serveurs d’applications ou les serveurs proxy

Si vous utilisez un serveur proxy (ex. : Squid, nginx) ou des applications hébergées, des ACLs peuvent être configurées directement …​

…​

au niveau de ces services pour limiter les accès en fonction des adresses IP, des plages horaires, ou des utilisateurs.

Exemple :

ACL dans un serveur proxy Squid

acl allowed_ips src 192.168.1.0/24
http_access allow allowed_ips
http_access deny all

Bonnes pratiques pour placer les ACLs

Proximité des sources de trafic :

Appliquez les ACLs près de l’origine du trafic si le but est de limiter ou d’autoriser l’accès à des ressources spécifiques.

Exemple :

ACLs sur un switch pour segmenter des VLANs.

Proximité de la destination :

Appliquez les ACLs près de la destination si le but est de protéger une ressource critique.

Exemple :

ACLs sur le routeur principal pour filtrer le trafic Internet.

Limiter les règles globales :

Ne surchargez pas les ACLs avec trop de règles, car cela peut ralentir les performances.