Wat is een ACL-netwerk?
Een ACL-netwerk is echt net als elk ander computernetwerk, behalve dat de routers en switches die op het netwerk worden uitgevoerd, voldoen aan een vooraf bepaalde lijst met toegangsmachtigingen. De netwerkrouters krijgen een lijst met regels, een toegangscontrolelijst (ACL) genaamd, die basistoegang tot of van een netwerksegment mogelijk maakt, evenals de toestemming voor toegang tot diensten die via hen beschikbaar kunnen zijn. Hoewel een ACL kan worden gebruikt in andere computerservices, zoals gebruikerstoegang tot bestanden die op een computer zijn opgeslagen, in het geval van een ACL-netwerk, worden de regels toegepast op de netwerkinterfaces en poorten waar communicatiegegevens doorheen reizen.
Terwijl datapakketten door gecontroleerde poorten op een netwerkapparaat van een ACL-netwerk reizen, worden ze gefilterd en geëvalueerd op machtigingen. In de meeste gevallen gebeurt dit op een netwerkrouter of switch. Sommige firewallprogramma's die in een besturingssysteem zijn ingebouwd, kunnen echter ook worden gezien als een vorm van toegangscontrolelijst. Wanneer een datapakket een interface binnenkomt of verlaat op het netwerkapparaat, wordt het geëvalueerd op zijn machtigingen door te worden vergeleken met de ACL. Als niet aan die machtigingen wordt voldaan, wordt het pakket reizen geweigerd.
Een ACL bestaat uit toegangscontrolevermeldingen (ACE). Elke ACE in de lijst bevat de relevante informatie over machtigingen voor pakketten die de ACL-netwerkinterface binnenkomen of verlaten. Elke ACE zal een vergunning of weigering bevatten, evenals aanvullende criteria waaraan een pakket moet voldoen. In de meeste gevallen worden pakketten geëvalueerd op basis van veelgebruikte internetprotocolstandaarden (IP), zoals Transmission Control Protocl (TCP), User Datagram Protocol (UDP) en andere in de suite. Van de meest basistypen van ACL wordt alleen het oorspronkelijke adres gecontroleerd, terwijl in een uitgebreide ACL regels kunnen worden opgesteld die de herkomst- en bestemmingsadressen controleren, evenals de specifieke poorten waar het verkeer zowel vandaan komt als voor bestemd is.
In een ACL-netwerk zijn de controlelijsten opgebouwd binnen netwerkrouters en -schakelaars. Elke leverancier van netwerkhardware kan afzonderlijke regels hebben voor hoe een ACL moet worden geconstrueerd. Ongeacht welke hardwarefabrikant of softwareontwikkelaar de programmering heeft gemaakt die pakketten tegen een ACL verwerkt, het belangrijkste aspect bij de implementatie van een ACL-netwerk is planning. In geval van een slechte planning is het heel goed mogelijk dat een beheerder zich aanmeldt bij een bepaalde router, begint met het implementeren van een ACL op die router en plotseling merkt dat hij buitengesloten is van die router of een deel van een heel netwerk.
Een van de meest voorkomende ACL-netwerkimplementaties is ingebouwd in het eigen Internetwork Operating System (IOS) gecreëerd door Cisco Systems®. Op Cisco® IOS-routers en -schakelaars wordt de ACL handmatig ingevoerd door een beheerder en wordt deze automatisch geïmplementeerd wanneer elk item in de lijst wordt toegevoegd. De ACL moet stapsgewijs worden geïmplementeerd, zodat als een individueel pakket overeenkomt met een invoer, de rest die onder dezelfde machtigingen valt, kan volgen. Elke wijziging in de lijst betekent dat deze volledig moet worden overgetypt.
Hoewel niet zo veilig als een firewall voor het beschermen van een netwerk, is een ACL nuttig in aanvulling op een firewall voor een aantal scenario's. Een beheerder kan verkeer van en naar bepaalde delen van een groter netwerk beperken of verkeer afkomstig van bepaalde adressen verhinderen het netwerk volledig te verlaten. Pakketten kunnen worden gevolgd in een ACL-netwerk om probleemgebieden in het netwerk te lokaliseren, hosts te identificeren die zich niet goed gedragen of clientcomputers op te sporen die mogelijk zijn geïnfecteerd met een virus dat zich probeert te verspreiden. Een ACL kan ook worden gebruikt om verkeer op te geven dat moet worden gecodeerd tussen knooppunten in het netwerk.