Che cos'è una rete ACL?
Una rete ACL è proprio come qualsiasi altra rete di computer, con l'eccezione che i router e gli switch in esecuzione sulla rete aderiscono a un elenco predeterminato di autorizzazioni di accesso. Ai router di rete viene fornito un elenco di regole, chiamato elenco di controllo degli accessi (ACL), che può consentire l'ammissione di base ao da un segmento di rete, nonché l'autorizzazione ad accedere ai servizi che possono essere disponibili attraverso di essi. Mentre un ACL può essere utilizzato in altri servizi informatici, come l'autorizzazione dell'utente ad accedere ai file memorizzati su un computer, nel caso di una rete ACL, le regole vengono applicate alle interfacce di rete e alle porte attraverso cui passano i dati di comunicazione.
Man mano che i pacchetti di dati viaggiano attraverso porte controllate su un dispositivo di rete di una rete ACL, vengono filtrati e valutati per le autorizzazioni. Nella maggior parte dei casi, ciò si verifica su un router o uno switch di rete. Alcuni programmi firewall integrati in un sistema operativo, tuttavia, possono anche essere visualizzati come una forma di elenco di controllo degli accessi. Quando un pacchetto di dati sta entrando o uscendo da un'interfaccia sul dispositivo di rete, viene valutato per le sue autorizzazioni controllando l'ACL. Se tali autorizzazioni non vengono soddisfatte, al pacchetto viene negato il viaggio.
Un ACL è composto da voci di controllo di accesso (ACE). Ogni ACE nell'elenco contiene le informazioni pertinenti sulle autorizzazioni per i pacchetti che accedono o escono dall'interfaccia di rete ACL. Ogni ACE conterrà un'autorizzazione o una dichiarazione di rifiuto, oltre a criteri aggiuntivi che un pacchetto dovrà soddisfare. Nella maggior parte dei casi, i pacchetti vengono valutati in base a standard di protocollo Internet (IP) comuni come TCP e protocollo di controllo della trasmissione, UDP (User Datagram Protocol) e altri nella suite. Tra i tipi più elementari di ACL, viene controllato solo l'indirizzo di origine, mentre in un ACL esteso possono essere stabilite regole che controllano gli indirizzi di origine e di destinazione, nonché le porte specifiche da cui provengono e sono destinate le traffico.
In una rete ACL, le liste di controllo sono costruite all'interno di router e switch di rete. Ogni fornitore di hardware di rete può avere regole separate per la costruzione di un ACL. Indipendentemente da quale produttore hardware o sviluppatore software abbia creato la programmazione che elabora i pacchetti rispetto a un ACL, sta pianificando l'aspetto più importante per implementare una rete ACL. In caso di scarsa pianificazione, è possibile che un amministratore acceda a un router specifico, inizi a implementare un ACL su quel router e improvvisamente si trovi bloccato fuori da quel router o da un segmento di un'intera rete.
Una delle implementazioni di rete ACL più comuni è integrata nel sistema operativo interno di rete (IOS) creato da Cisco Systems®. Sui router e switch Cisco IOS, l'ACL viene digitato manualmente da un amministratore e viene implementato automaticamente ogni volta che viene aggiunto ciascun elemento nell'elenco. L'ACL deve essere implementato in modo incrementale, in modo che quando un singolo pacchetto corrisponde a una voce, il resto che rientra nelle stesse autorizzazioni può seguire l'esempio. Qualsiasi modifica all'elenco significa che deve essere riscritto nella sua interezza.
Sebbene non sia sicuro come un firewall per proteggere una rete, un ACL è utile in aggiunta a un firewall per una serie di scenari. Un amministratore può limitare il traffico da e verso determinate aree di una rete più ampia o impedire che il traffico proveniente da determinati indirizzi lasci completamente la rete. I pacchetti possono essere monitorati in una rete ACL al fine di individuare aree problematiche sulla rete, identificare host che si comportano in modo errato o rintracciare i computer client che potrebbero essere infettati da un virus che sta tentando di diffondersi. Un ACL può anche essere utilizzato per specificare il traffico che deve essere crittografato tra i nodi della rete.