Des problèmes réseau peuvent survenir à partir de problèmes de couche transport sur le routeur, en particulier au niveau de la périphérie du réseau où le trafic est examiné et modifié. Deux des technologies de couche transport les plus souvent mises en œuvre sont les listes de contrôle d'accès et la traduction d'adresses réseau (NAT), comme le montre la Figure 1.
Les problèmes les plus fréquents liés aux listes de contrôle d'accès sont dus à une configuration incorrecte, comme l'indique la Figure 2. Les problèmes de listes de contrôle d'accès peuvent entraîner la défaillance de systèmes parfaitement opérationnels. Des erreurs de configuration fréquentes peuvent avoir lieu dans les divers domaines suivants :
- Sélection de flux de trafic : l'erreur de configuration de routeur la plus courante consiste à appliquer un trafic incorrect à la liste de contrôle d'accès. Le trafic est défini par l’interface de routeur via laquelle le trafic est acheminé et par la direction du flux de trafic. Une liste de contrôle d'accès doit être appliquée à l'interface correcte et le sens correct du trafic doit être sélectionné en vue d'assurer un fonctionnement approprié.
- Ordre des entrées de contrôle d'accès : les entrées d'une liste de contrôle d'accès doivent être de spécifique à général. Même si une entrée dans une liste de contrôle d'accès autorise de manière spécifique un flux de trafic particulier, aucun paquet ne correspondra jamais à cette entrée s'il a été refusé par une autre entrée située plus avant dans la liste. Si le routeur exécute à la fois les listes de contrôle d'accès et la traduction d'adresses réseau (NAT), l'ordre dans lequel chacune de ces technologies est appliquée à un flux de trafic est important. Le trafic entrant est traité par la liste de contrôle d’accès entrante avant d’être traité par la fonction NAT de l’extérieur vers l’intérieur. Le trafic sortant est traité par la liste de contrôle d’accès sortante après avoir été traité par la fonction NAT de l’intérieur vers l’extérieur.
- Instruction implicite deny all : lorsque la liste de contrôle d'accès ne nécessite pas une sécurité élevée, cet élément de contrôle d'accès implicite peut être à l'origine d'une mauvaise configuration de la liste de contrôle d'accès.
- Masques génériques d'adresses et IPv4 : les masques génériques IPv4 complexes offrent des améliorations significatives en termes d'efficacité, mais ils sont plus sujets aux erreurs de configuration. Un exemple de masque générique complexe est l'utilisation de l'adresse IPv4 10.0.32.0 et du masque générique 0.0.32.15 pour sélectionner les 15 premières adresses d'hôte dans le réseau 10.0.0.0 ou le réseau 10.0.32.0.
- Sélection de protocole de couche transport : lors de la configuration de listes de contrôle d'accès, il est important de ne spécifier que les protocoles de couche transport corrects. De nombreux administrateurs réseau, lorsqu'ils ne savent pas avec certitude si un flux de trafic donné utilise un port TCP ou un port UDP, configurent les deux. Lorsque les deux ports sont spécifiés, un trou se crée dans le pare-feu, laissant la possibilité aux pirates d’accéder au réseau. Cela introduit également un élément supplémentaire dans la liste de contrôle d'accès, de telle sorte que le traitement de celle-ci prend plus de temps, d'où une augmentation de la latence dans les communications réseau.
- Ports source et de destination : le contrôle correct du trafic entre deux hôtes nécessite la présence d'éléments de contrôle d'accès symétriques pour les listes de contrôle d'accès entrantes et sortantes. Les informations d'adresse et de port du trafic généré par un hôte qui répond est l'image miroir des informations d'adresse et de port du trafic généré par l'hôte initiateur.
- Utilisation du mot-clé established - Le mot-clé established permet d'accroître la sécurité offerte par une liste de contrôle d'accès. Toutefois, une utilisation incorrecte de ce mot-clé peut entraîner des résultats inattendus.
- Protocoles non courants : les listes de contrôle d'accès mal configurées sont souvent à l'origine de problèmes avec les protocoles autres que TCP et UDP. Les protocoles non courants tels que les VPN et les protocoles de chiffrement connaissent un succès croissant.
Le mot-clé log est une commande utile pour l'affichage du fonctionnement des listes de contrôle d'accès sur les entrées de liste de contrôle d'accès. Ce mot clé demande au routeur de placer une entrée dans le journal du système chaque fois que cette condition d’entrée est satisfaite. L'événement consigné contient des détails relatifs au paquet qui correspondait à l'élément de liste de contrôle d'accès. Le mot-clé log est particulièrement utile en cas de dépannage et il fournit également des informations sur les tentatives d'intrusion bloquées par la liste de contrôle d'accès.