Hva er et ACL-nettverk?
Et ACL-nettverk er egentlig akkurat som alle andre datanettverk, med unntak av at rutere og brytere som kjører på nettverket overholder en forhåndsbestemt liste over tilgangstillatelser. Nettverksruterne får en liste med regler, kalt en tilgangskontrolliste (ACL), som kan tillate grunnleggende adgang til eller fra et nettverkssegment, samt tillatelse til å få tilgang til tjenester som kan være tilgjengelige gjennom dem. Mens en ACL kan brukes i andre datatjenester, for eksempel brukertillatelse til å få tilgang til filer som er lagret på en datamaskin, i tilfelle av et ACL-nettverk, blir reglene brukt på nettverksgrensesnittene og portene som kommunikasjonsdata reiser gjennom.
Når datapakker går gjennom kontrollerte porter på en nettverksenhet i et ACL-nettverk, blir de filtrert og evaluert for tillatelser. I de fleste tilfeller skjer dette på en nettverksruter eller bryter. Noen brannmurprogrammer som er innebygd i et operativsystem, kan imidlertid også sees på som en form for tilgangskontrolliste. Når en datapakke kommer inn eller forlater et grensesnitt på nettverksenheten, blir den evaluert for dens tillatelser ved å sjekkes mot ACL. Hvis disse tillatelsene ikke blir oppfylt, nektes pakken reise.
En ACL er sammensatt av tilgangskontrolloppføringer (ACE). Hver ACE i listen inneholder relevant informasjon om tillatelser for pakker som kommer inn eller forlater ACL-nettverksgrensesnittet. Hver ACE vil inneholde enten tillatelse eller avslå uttalelse, samt tilleggskriterier en pakke vil trenge for å oppfylle. I de fleste tilfeller blir pakker evaluert basert på vanlige Internet Protocol (IP) standarder som Transmission Control Protocl (TCP), User Datagram Protocol (UDP) og andre i suiten. Av de mest grunnleggende ACL-typene er det bare opprinnelsesadressen som sjekkes, mens det i en utvidet ACL kan etableres regler som kontrollerer opprinnelses- og destinasjonsadressene, så vel som de spesifikke portene som trafikken både har sin opprinnelse til og er bestemt til.
I et ACL-nettverk er kontrolllistene bygget opp i nettverksrutere og brytere. Hver maskinvareleverandør av nettverk kan ha separate regler for hvordan en ACL må konstrueres. Uansett hvilken maskinvareprodusent eller programvareutvikler som har laget programmeringen som behandler pakker mot en ACL, er det viktigste aspektet for å implementere et ACL-nettverk planlegging. I tilfeller av dårlig planlegging er det fullt mulig for en administrator å logge seg på en bestemt ruter, begynne å implementere en ACL på den ruteren og plutselig finne seg selv låst ute av den ruteren eller et hvilket som helst segment av et helt nettverk.
En av de vanligste implementeringene av ACL-nettverk er innebygd i det proprietære Internetwork Operating System (IOS) laget av Cisco Systems®. På Cisco® IOS-rutere og brytere skrives ACL inn manuelt av en administrator og implementeres automatisk når hvert element i listen legges til. ACL må implementeres trinnvis, slik at når en individuell pakke samsvarer med en oppføring, kan resten som faller under de samme tillatelsene følge etter. Eventuelle endringer i listen betyr at den må skrives inn i sin helhet på nytt.
Selv om den ikke er så sikker som en brannmur for å beskytte et nettverk, er en ACL nyttig i tillegg til en brannmur for en rekke scenarier. En administrator kan begrense trafikk til og fra visse områder i et større nettverk eller forhindre at trafikk som stammer fra bestemte adresser, forlater nettverket helt. Pakker kan overvåkes i et ACL-nettverk for å finne problemområder i nettverket, identifisere verter som oppfører seg feil eller spore opp klientdatamaskiner som kan være infisert med et virus som prøver å spre. En ACL kan også brukes til å spesifisere trafikk som må krypteres mellom noder i nettverket.