Nouvelle fonctionnalité de ConfIn : la notification des 'permit log'

Publié le 2010/07/07 à 08:15:06
Dernière mise à jour le 2010/07/07 à 08:15:06

Les ACL positionnées sur les interfaces peuvent être 'logguées'. Le log peut aussi bien s'appliquer sur des ACL 'deny' (interdisant un trafic) ou 'permit' (autorisant un trafic). Cela est parfois fort utile pour détecter d'éventuels problèmes, mais les logs ont aussi l'inconvénient d'être très gourmands en charge CPU pour les routeurs. C'est pour cette raison que, dans les ACL par défaut, les ports tcp et udp les plus fréquemment attaqués (les ports Windows entre autre) font l'objet de refus explicite sans log.

Le log sur des lignes 'permit' peut générer énormément de log, donc une grosse charge pour le routeur, ce qui peut entrainer des perturbations sur le routage. Cette possibilité ne doit être utilisée que ponctuellement à des fins d'affinement d'ACL ou de contrôle pour des problèmes de sécurité. Le log ne doit pas appliquer en permanence sur des lignes 'permit'.

Afin d'aider les correspondants des réseaux à suivre les configurations dans lesquelles se trouvent des ACL 'permit' avec l'option de log, ConfIn leur envoie désormais un rapport journalier leur indiquant les lignes de type pour chaque interface de routage.