Comment les listes de contrôle d'accès utilisent-elles les informations transmises lors d'une conversation TCP/IP pour filtrer le trafic ?
Le filtrage des paquets, parfois appelé filtrage statique des paquets, contrôle l'accès à un réseau en analysant les paquets entrants et sortants et en les transmettant ou en rejetant selon des critères spécifiques, tels que l'adresse IP source, les adresses IP de destination et le protocole transporté dans le paquet.
Un routeur filtre les paquets lors de leur transmission ou de leur refus conformément aux règles de filtrage. Lorsqu'un paquet arrive sur un routeur de filtrage des paquets, le routeur extrait certaines informations de l'en-tête de paquet. Celles-ci lui permettent de décider si le paquet peut être acheminé ou non en fonction des règles de filtre configurées. Comme le montre la figure, le filtrage des paquets peut fonctionner sur différentes couches du modèle OSI ou sur la couche Internet du modèle TCP/IP.
Un routeur de filtrage de paquets utilise des règles pour déterminer s'il doit autoriser ou refuser le trafic. Un routeur peut également effectuer le filtrage des paquets au niveau de la couche 4, la couche transport. Le routeur peut filtrer les paquets en fonction des ports source et de destination du segment TCP ou UDP. Ces règles sont définies à l'aide de listes de contrôle d'accès.
Une liste de contrôle d'accès est un ensemble séquentiel d'instructions d'autorisation ou de refus, appelées entrées de contrôle d'accès (ACE). Les ACE sont couramment appelées des instructions de liste de contrôle d'accès. Des ACE peuvent être créés pour filtrer le trafic en fonction de critères tels que l'adresse source, l'adresse de destination, le protocole et les numéros de port. Lorsque le trafic réseau traverse une interface configurée avec une liste de contrôle d'accès, le routeur compare les informations du paquet à chaque ACE, dans l'ordre séquentiel, afin de déterminer si le paquet correspond à l'une des instructions. Si une correspondance est trouvée, le paquet est traité en conséquence. Vous pouvez ainsi configurer des listes de contrôle d'accès en vue de contrôler l'accès à un réseau ou à un sous-réseau.
Pour évaluer le trafic réseau, la liste de contrôle d'accès extrait les informations suivantes de l'en-tête de paquet de couche 3 :
- Adresse IP source
- Adresse IP de destination
- Type de message ICMP
La liste de contrôle d'accès peut également extraire des informations de couche supérieure à partir de l'en-tête de couche 4, notamment :
- Port source TCP/UDP
- Port de destination TCP/UDP