Co je ACL síť?
Síť ACL je skutečně stejně jako jakákoli jiná počítačová síť, s tou výjimkou, že směrovače a přepínače spuštěné v síti dodržují předem určený seznam přístupových oprávnění. Síťovým směrovačům je přidělen seznam pravidel, nazývaných seznam řízení přístupu (ACL), který může povolit základní přístup do nebo ze segmentu sítě, jakož i oprávnění pro přístup ke službám, které mohou být prostřednictvím nich dostupné. Zatímco ACL lze použít v jiných počítačových službách, například v oprávnění uživatele k přístupu k souborům uloženým v počítači, v případě sítě ACL se pravidla vztahují na síťová rozhraní a porty, kterými komunikační data procházejí.
Protože datové pakety cestují přes kontrolované porty v síťovém zařízení ACL sítě, jsou filtrovány a vyhodnocovány z hlediska oprávnění. Ve většině případů k tomu dochází na síťovém směrovači nebo přepínači. Některé programy brány firewall zabudované do operačního systému však lze také zobrazit jako seznam řízení přístupu. Když datový paket vstupuje nebo opouští rozhraní na síťovém zařízení, je vyhodnocen na svá oprávnění kontrolou proti ACL. Pokud tato oprávnění nejsou splněna, paket je odepřen cestování.
Seznam ACL se skládá ze záznamů řízení přístupu (ACE). Každý ACE v seznamu obsahuje příslušné informace o oprávněních pro pakety vstupující nebo opouštějící síťové rozhraní ACL. Každé ACE bude obsahovat buď prohlášení o povolení nebo zamítnutí, jakož i další kritéria, která paket bude muset splnit. Ve většině případů jsou pakety vyhodnocovány na základě běžných standardů internetového protokolu (IP), jako jsou protokol Transmission Control Protocl (TCP), User Datagram Protocol (UDP) a další v sadě. Z nejzákladnějších typů ACL je kontrolována pouze výchozí adresa, zatímco v rozšířeném ACL lze stanovit pravidla, která kontrolují počáteční a cílové adresy, jakož i specifické porty, z nichž pochází i směřuje provoz.
V síti ACL jsou kontrolní seznamy vytvářeny v síťových směrovačích a přepínačích. Každý dodavatel síťového hardwaru může mít samostatná pravidla pro to, jak musí být konstruován ACL. Bez ohledu na to, který výrobce hardwaru nebo vývojář softwaru vytvořil programování, které zpracovává pakety proti ACL, je nejdůležitějším aspektem implementace sítě ACL plánování. V případě špatného plánování je zcela možné, aby se správce přihlásil ke konkrétnímu routeru, začal implementovat ACL na tomto routeru a najednou se ocitl uzamčený mimo tento router nebo nějaký segment celé sítě.
Jedna z nejčastějších síťových implementací ACL je zabudována do proprietárního operačního systému (IOS) vytvořeného společností Cisco Systems®. Na směrovačích a přepínačích Cisco® IOS je ACL zadán ručně administrátorem a je implementován automaticky po přidání každé položky v seznamu. ACL je třeba implementovat postupně, aby se jednotlivý paket shodoval s položkou, zbytek, který spadá pod stejná oprávnění, může následovat. Jakékoli změny v seznamu znamenají, že je třeba jej přepsat v celém rozsahu.
Ačkoli není tak bezpečný jako firewall pro ochranu sítě, ACL je užitečný kromě brány firewall pro řadu scénářů. Správce může omezit přenos do určitých oblastí větší sítě nebo z nich, nebo nechat provoz pocházející z určitých adres před úplným opuštěním sítě. Pakety lze monitorovat v síti ACL za účelem nalezení problémových oblastí v síti, identifikace hostitelů, kteří se chovají nesprávně, nebo sledování klientských počítačů, které mohou být napadeny virem, který se pokouší rozšířit. ACL lze také použít ke specifikaci provozu, který musí být šifrován mezi uzly v síti.