Inscrivez-vous maintenant pour un meilleur devis personnalisé!

Filtrage par état sur les commutateurs Catalyst 9K avec liste d’accès réfléchie

15 août 2023 Hi-network.com

Dans les réseaux d’entreprise, les acl standards et étfinus (listes de contrôle d’accès) voir aussi: sont utilisés pour filtrer le trafic et protéger le réseau contre les accès non autorisés et les attaques de spoofing. Cependant, les acl traditionnels ont une limitation - ils ne gardent pas trace de l’état de la connexion. Cela signifie que si quelqu’un à l’intérieur du réseau envoie du trafic sur Internet, il devient difficile d’autoriser le trafic de retour vers le réseau sans compromettre la sécurité du réseau. Les ACLs traditionnels consomment également beaucoup de mémoire car ils nécessitent plusieurs combinaisons statiques de flux entrant et sortant avec plusieurs critères de correspondance. Pour résoudre ce problème, Cisco a introduit la fonction ACL réfléchie sur les commutateurs de la série Catalyst 9000 à partir de la version 17.10.1 d’ios-xe. Cette fonctionnalité fournit un comportement d’état à la liste d’accès, améliorant la sécurité et l’efficacité du réseau.


Stateful Filtering on Catalyst 9K switches with Reflexive Access List


Liste d’accès


Maintenant, let' S examiner la disposition du réseau indiquée ci-dessus. Imaginez qu’il existe deux réseaux: le réseau interne (192.168.10.0) et le réseau externe (192.168.20.0). Let& ' S considérer une situation où un périphérique du réseau interne doit se connecter à un serveur du réseau externe, et un autre périphérique veut accéder au serveur via le web.


Pour ce faire, nous devons mettre en place des listes d’accès étendues. Ces listes d’accès doivent être configurées sur l’interface entrant du commutateur frontière. Leur but est d’autoriser le "web" Trafic du serveur pour atteindre l’appareil dans le réseau interne.


commutateur#Conf t 

Liste d’accès ip étendue ACL_inbound 

Autoriser l’hôte TCP 192.168.10.170 l’hôte 192.168.20.115 eq  www 

Refuser ip tout tout 

end 

commutateur#Conf t 

Interface GigabitEthernet1/0/4 

Pas de switchport 

Adresse ip 192.168.10.11 255.255.255.0 

end

commutateur#Conf t 

Int gi1/0/22 

Pas de switchport 

Adresse ip 192.168.20.21 255.255.255.0 

Groupe d’accès ip ACL_inbound in 

end 


L’acl configuré ci-dessus étant appliqué à un hôte du réseau semble correct. Mais une chose à considérer, il ne sera pas possible sur un réseau à grande échelle. pour se connecter au serveur Web ou effectuer un simple ping, vous devez autoriser toutes les réponses WWW/ICMP à revenir sur ces périphériques ou services. Ces déclarations sont toujours actives, de sorte qu’un pirate peut les utiliser pour lancer une attaque par déni de service (DoS) sur le réseau. Vous devriez les inclure dans l’acl étendu, ce qui aidera à augmenter la mémoire TCAM que le commutateur peut utiliser.


Liste d’accès réflexive88pl99ace1


L’acl réfléchi fonctionne d’une manière unique en permettant un filtrage bidirectionnel. Il permet au trafic de retour des connexions qui ont commencé à l’intérieur du réseau de revenir. Les ACLs réfléchissants refusent le trafic provenant de l’extérieur du réseau et tentent de se connecter à des ressources internes.


Chaque fois qu’un dispositif interne établit une connexion avec le monde extérieur, une entrée temporaire est créée. Cette entrée temporaire permet au trafic de retour pour cette session de passer par l’interrupteur frontière et crée des entrées temporaires dans le filtre entrant.


Configuration ACL Reflexive comme exemple :  

! Configurer la liste d’accès réfléchie sur l’interface sortante!  


commutateur#Conf t 

Liste d’accès ip étendue ACL_out 

Autoriser l’hôte TCP 192.168.10.170 l’hôte 192.168.20.115 eq www reflect R1 timeout 100 


! Où R1 est le nom de la liste d’accès réfléchie!  

! Timeout de 100 est de mettre un timer sur les entrées temporaires créées!  


Refuser ip tout tout 

end 

commutateur#Conf t 

Int g1/0/4 

Adresse ip 192.168.10.11 255.255.255.0 

Accès ip - groupe ACL_out in 

end 


! Configurer la liste d’accès réfléchie sur l’interface entrante!  


commutateur#Conf t 

Liste d’accès ip étendue ACL_in 

évaluation r1 

Refuser ip tout tout 

end 

commutateur#Conf t 

Int g1/0/22 

Adresse ip 192.168.20.21 255.255.255.0 

Accès ip groupe ACL_in in 

end 


Lors de l’utilisation d’acl avec "reflect" ACL, des entrées temporaires sont créées pour permettre le trafic inverse. Ces entrées ne seront activées que s’il y a un ACL avec un "evaluate" ACL appliqué dans la direction opposée.


L’acl réfléchi offre plusieurs avantages pour les réseaux d’entreprise. Il fournit un filtrage par état, qui est plus difficile à falsifier car plusieurs critères de filtrage doivent être remplis avant qu’un paquet ne soit autorisé. Il utilise également des filtres temporaires qui sont supprimés une fois la session terminée, réduisant la fenêtre de temps pour les attaques de pirates potentiels.


Il y a des avantages supplémentaires à utiliser des listes d’accès réfléchies. Il est facile à mettre en œuvre et à configurer, tout en offrant un meilleur contrôle sur le trafic externe en raison de sa nature stateful. Cette fonctionnalité est disponible sur tous les commutateurs Catalyst 9000 avec IOS-XE 17.10.1 (et plus récent) installé.


Si vous avez d’autres questions sur Cisco Routers et Cisco Switches. Vous pouvez nous contacter www.hi-network.comRe88pl99ace1 (courriel : [email protected])

tag-icon Tags chauds: commutateurs

Copyright © 2014-2024 Hi-Network.com | HAILIAN TECHNOLOGY CO., LIMITED | All Rights Reserved.