Aller au contenu principal

2. Le modèle MUD et la signification sémantique (The MUD Model and Semantic Meaning)

Un fichier MUD se compose d'une instance de modèle YANG qui a été sérialisée en JSON [RFC7951]. Aux fins de MUD, les nœuds qui peuvent être modifiés sont des listes de contrôle d'accès augmentées par ce modèle. Le fichier MUD est limité à la sérialisation uniquement des schémas YANG suivants :

  • ietf-access-control-list [RFC8519]
  • ietf-mud (RFC 8520)
  • ietf-acldns (RFC 8520)

Des extensions peuvent être utilisées pour ajouter des schémas supplémentaires. Ceci est décrit plus loin.

Pour offrir le déploiement le plus large possible, les éditeurs de fichiers MUD DEVRAIENT utiliser les abstractions de ce mémo et éviter l'utilisation d'adresses IP. Un gestionnaire MUD NE DEVRAIT PAS implémenter automatiquement un fichier MUD contenant des adresses IP, en particulier celles qui pourraient avoir une signification locale. L'adressage d'un côté d'une liste de contrôle d'accès est implicite, en fonction de son application en tant que to-device-policy ou from-device-policy.

À l'exception du "name" de l'ACL, du "type", du "name" de l'entrée de contrôle d'accès (ACE) et des informations de port source et destination TCP et UDP, les éditeurs de fichiers MUD DEVRAIENT limiter l'utilisation des nœuds feuilles du modèle ACL exprimés à ceux trouvés dans cette spécification. En l'absence d'extensions, les fichiers MUD sont supposés implémenter uniquement les fonctionnalités suivantes du modèle ACL :

  • match-on-ipv4, match-on-ipv6, match-on-tcp, match-on-udp, match-on-icmp

De plus, seules les actions "accept" ou "drop" DEVRAIENT être incluses. Un gestionnaire MUD PEUT choisir d'interpréter "reject" comme "drop". Un gestionnaire MUD DEVRAIT ignorer toutes les autres actions. Cela est dû au fait que les fabricants ne disposent pas d'un contexte suffisant dans un déploiement local pour savoir si reject est approprié. C'est une décision qui devrait être laissée à un administrateur réseau.

Étant donné que MUD ne traite pas des interfaces, le support du module "ietf-interfaces" [RFC8343] n'est pas requis. Plus précisément, le support des fonctionnalités et branches liées aux interfaces (par exemple, interface-attachment et interface-stats) du module YANG ACL n'est pas requis.

En fait, les gestionnaires MUD PEUVENT ignorer tout composant particulier d'une description ou PEUVENT ignorer complètement la description, et ils DEVRAIENT inspecter soigneusement toutes les descriptions MUD. Les éditeurs de fichiers MUD NE DOIVENT PAS inclure d'autres nœuds, sauf comme décrit dans la section 3.9. Consultez cette section pour plus d'informations.

Dernière mise à jour le