Meilleures pratiques de liste de contrôle d'accès sur un routeur de la gamme RV34x

Options de téléchargement

  • PDF     (1.0 MB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (861.3 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (495.4 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:2 mars 2021
ID du document:1614694868570851

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

kmgmt-1338-best-practice-ACL-RV34x-router

Objectif

L'objectif de cet article est de décrire les meilleures pratiques pour créer des listes de contrôle d'accès (ACL) avec votre routeur de la gamme RV34x.

Périphériques pertinents | Version du micrologiciel

Introduction

Voulez-vous davantage de contrôle sur votre réseau ? Voulez-vous prendre des mesures supplémentaires pour sécuriser votre réseau ? Si c'est le cas, une liste de contrôle d'accès (ACL) peut être exactement ce dont vous avez besoin.

Une liste de contrôle d’accès se compose d’une ou plusieurs entrées de contrôle d’accès (ACE) qui définissent collectivement le profil de trafic réseau. Ce profil peut ensuite être référencé par les fonctions logicielles Cisco telles que le filtrage du trafic, la priorité ou la mise en file d'attente personnalisée. Chaque liste de contrôle d’accès inclut un élément d’action (permit ou deny) et un élément de filtre basé sur des critères tels que l’adresse source, l’adresse de destination, le protocole et les paramètres spécifiques au protocole.

En fonction des critères que vous avez entrés, vous pouvez contrôler le trafic entrant et/ou sortant d'un réseau. Lorsqu’un routeur reçoit un paquet, il examine le paquet pour déterminer s’il doit transférer ou abandonner le paquet en fonction de votre liste d’accès.

La mise en oeuvre de ce niveau de sécurité est basée sur différents cas d'utilisation, compte tenu de scénarios de réseau et de besoins de sécurité particuliers.

Il est important de noter que le routeur peut créer automatiquement une liste d’accès en fonction des configurations de votre routeur. Dans ce cas, il se peut que vous ne puissiez pas effacer les listes d’accès à moins de modifier les configurations des routeurs.

Pourquoi utiliser des listes d'accès

  • Dans la plupart des cas, nous utilisons des listes de contrôle d’accès pour fournir un niveau de sécurité de base pour accéder à notre réseau. Par exemple, si vous ne configurez pas de listes de contrôle d’accès, par défaut, tous les paquets passant par le routeur peuvent être autorisés à toutes les parties de notre réseau.
  • Les listes de contrôle d’accès peuvent autoriser un hôte, une plage d’adresses IP ou des réseaux et empêcher un autre hôte, une plage d’adresses IP ou des réseaux d’accéder à la même zone (hôte ou réseau).
  • À l’aide de listes de contrôle d’accès, vous pouvez déterminer les types de trafic que vous avez transférés ou bloqués sur les interfaces du routeur. Par exemple, vous pouvez autoriser le trafic SFTP (Secure Shell) et en même temps bloquer tout le trafic SIP (Session Initiation Protocol).

Quand utiliser les listes de contrôle d'accès

  • Vous devez configurer des listes de contrôle d’accès dans les routeurs situés entre notre réseau interne et un réseau externe tel qu’Internet.
  • Vous pouvez utiliser des listes de contrôle d’accès pour contrôler le trafic entrant ou sortant d’une partie spécifique de notre réseau interne.
  • Lorsque vous devez filtrer le trafic entrant ou sortant, ou les deux sur une interface.
  • Vous devez définir des listes de contrôle d’accès par protocole pour contrôler le trafic.

Meilleures pratiques de configuration de la sécurité de base avec les listes d'accès

  • Implémenter des listes de contrôle d’accès qui autorisent uniquement les protocoles, les ports et les adresses IP qui refusent tout le reste.
  • Bloquez les paquets entrants qui prétendent avoir la même adresse de destination et d’origine (attaque terrestre sur le routeur lui-même).
  • Activez la fonctionnalité de journalisation sur les listes de contrôle d’accès à un hôte Syslog interne (approuvé).
  • Si vous utilisez le protocole SNMP (Simple Network Management Protocol) sur le routeur, vous devez configurer une liste de contrôle d'accès SNMP et une chaîne de communauté SNMP complexe.
  • Autoriser uniquement les adresses internes à entrer dans le routeur à partir des interfaces internes et autoriser uniquement le trafic destiné aux adresses internes à entrer dans le routeur à partir de l’extérieur (interfaces externes).
  • Bloquer la multidiffusion si elle n'est pas utilisée.
  • Bloquez certains types de messages ICMP (Internet Control Message Protocol) (redirection, écho).
  • Considérez toujours l’ordre dans lequel vous entrez les listes de contrôle d’accès. Par exemple, lorsque le routeur décide de transférer ou de bloquer un paquet, il teste le paquet par rapport à chaque instruction de liste de contrôle d’accès dans l’ordre dans lequel les listes de contrôle d’accès ont été créées.

Implémentation de listes d'accès dans les routeurs de la gamme Cisco RV34x

Exemple de topologie de réseauNetwork Topology

Exemple de scénario

Dans ce scénario, nous répliquerons ce schéma de réseau, où nous avons un routeur RV345P et deux interfaces VLAN différentes. Nous avons un PC dans VLAN 1 et dans VLAN2, et nous avons également un serveur dans VLAN 1. Le routage inter-VLAN est activé, de sorte que les utilisateurs de VLAN 1 et VLAN 2 peuvent communiquer entre eux. Nous allons maintenant appliquer la règle d'accès pour restreindre la communication entre l'utilisateur du VLAN 2 vers ce serveur dans le VLAN 1.

Exemple de configuration

Étape 1

Connectez-vous à l'interface utilisateur Web du routeur à l'aide des informations d'identification que vous avez configurées.

Log in to the web-configuration utility of the router using the credentials you have configured.

Étape 2

Pour configurer la liste de contrôle d'accès, accédez à Firewall > Access Rules et cliquez sur l'icône plus pour ajouter une nouvelle règle.

To configure the ACL, navigate to Firewall > Access Rules and click on the plus icon to add a new rule.

Étape 3

Configurez les paramètres des règles d'accès. Appliquer une liste de contrôle d'accès pour restreindre le serveur (IPv4 : 192.168.1.10/24) accès des utilisateurs de VLAN2. Pour ce scénario, les paramètres seront les suivants :

  • État de la règle : Activer
  • Action : Refuser
  • Services : Tout le trafic
  • Journal : Vrai
  • Interface source : VLAN2
  • Adresse source: tous les modèles
  • Interface de destination : VLAN1
  • Adresse de destination: Adresse IP unique 192.168.1.10
  • Nom de la planification : À tout moment

Cliquez sur Apply.

Dans cet exemple, nous avons refusé l'accès de n'importe quel périphérique de VLAN2 au serveur, puis nous avons autorisé l'accès aux autres périphériques de VLAN1. Vos besoins peuvent varier.

Configure the Access Rules parameters.

Étape 4

La liste Règles d'accès s'affiche comme suit :

This image shows the access rules list.

Vérification

Pour vérifier le service, ouvrez l'invite de commandes. Sur les plates-formes Windows, cela peut être réalisé en cliquant sur le bouton Windows, puis en tapant cmd dans la zone de recherche inférieure gauche de l'ordinateur et en sélectionnant Invite de commandes dans le menu.

Entrez les commandes suivantes :

  • Sur le PC (192.168.3.173) dans VLAN2, envoyez une requête ping au serveur (IP : 192.168.1.10). Vous recevrez une notification de délai d'attente de la demande, ce qui signifie que la communication n'est pas autorisée.
  • Sur le PC (192.168.3.173) dans VLAN2, envoyez une requête ping à l’autre PC (192.168.1.109) dans VLAN1. Vous obtiendrez une réponse réussie.
This image shows the ping replies in the command interface.

Conclusion

Vous avez vu les étapes nécessaires pour configurer la règle d'accès sur un routeur de la gamme Cisco RV34x. Vous pouvez désormais appliquer cette règle pour créer une règle d'accès dans votre réseau qui correspondra à vos besoins !

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco