Co to jest sieć ACL?
Sieć ACL jest tak samo jak każda inna sieć komputerowa, z tym wyjątkiem, że routery i przełączniki działające w sieci przestrzegają z góry określonej listy uprawnień dostępu. Routery sieciowe otrzymują listę reguł, zwanych listą kontroli dostępu (ACL), które mogą pozwolić na podstawowy dostęp do lub z segmentu sieci, a także zezwolenie na dostęp do usług, które mogą być za ich pośrednictwem dostępne. Chociaż listy ACL można używać w innych usługach komputerowych, takich jak zezwolenie użytkownika na dostęp do plików przechowywanych na komputerze, w przypadku sieci ACL reguły są stosowane do interfejsów sieciowych i portów, przez które przesyłane są dane komunikacyjne.
Gdy pakiety danych przemieszczają się przez kontrolowane porty w urządzeniu sieciowym sieci ACL, są one filtrowane i oceniane pod kątem uprawnień. W większości przypadków dzieje się tak na routerze lub przełączniku sieciowym. Jednak niektóre programy zapory wbudowane w system operacyjny mogą być również postrzegane jako forma listy kontroli dostępu. Gdy pakiet danych wchodzi lub wychodzi z interfejsu w urządzeniu sieciowym, jest oceniany pod kątem swoich uprawnień, sprawdzany względem listy ACL. Jeśli te uprawnienia nie zostaną spełnione, pakietowi odmówi się podróży.
Lista ACL składa się z wpisów kontroli dostępu (ACE). Każda pozycja ACE na liście zawiera istotne informacje na temat uprawnień dla pakietów wchodzących lub wychodzących z interfejsu sieciowego ACL. Każde ACE będzie zawierać oświadczenie o zezwoleniu lub odmowie, a także dodatkowe kryteria, które pakiet będzie musiał spełnić. W większości przypadków pakiety są oceniane na podstawie wspólnych standardów protokołu internetowego (IP), takich jak Protokół kontroli transmisji (TCP), protokół datagramu użytkownika (UDP) i inne w pakiecie. Spośród najbardziej podstawowych rodzajów ACL sprawdzany jest tylko adres źródłowy, podczas gdy w rozszerzonej ACL można ustanowić reguły, które sprawdzają adresy początkowe i docelowe, a także określone porty, z których zarówno ruch pochodzi, jak i jest przeznaczony.
W sieci ACL listy kontrolne są wbudowane w routery sieciowe i przełączniki. Każdy dostawca sprzętu sieciowego może mieć osobne reguły dotyczące sposobu tworzenia listy ACL. Niezależnie od tego, który producent sprzętu lub programista stworzył program przetwarzający pakiety na liście ACL, najważniejszym aspektem wdrożenia sieci ACL jest planowanie. W przypadku złego planowania administrator może zalogować się do określonego routera, rozpocząć wdrażanie listy ACL na tym routerze i nagle zostać zablokowanym na tym routerze lub jakimś segmencie całej sieci.
Jedną z najczęstszych implementacji sieci ACL jest wbudowany system operacyjny Internetu (IOS) stworzony przez Cisco Systems®. W routerach i przełącznikach Cisco® IOS lista ACL jest wpisywana ręcznie przez administratora i jest wdrażana automatycznie po dodaniu każdego elementu na liście. Lista ACL musi być wdrażana przyrostowo, tak aby jak pojedynczy pakiet pasował do wpisu, reszta, która podlega tym samym uprawnieniom, może podążać za nimi. Wszelkie zmiany na liście oznaczają, że należy ją przepisać w całości.
Chociaż nie jest tak bezpieczna jak zapora ogniowa do ochrony sieci, lista ACL jest przydatna oprócz zapory ogniowej w wielu scenariuszach. Administrator może ograniczyć ruch do i z niektórych obszarów większej sieci lub powstrzymać ruch pochodzący z określonych adresów przed całkowitym opuszczeniem sieci. Pakiety można monitorować w sieci ACL w celu zlokalizowania problematycznych obszarów w sieci, identyfikacji hostów, które zachowują się nieprawidłowo lub śledzenia komputerów klienckich, które mogą zostać zainfekowane wirusem, który próbuje się rozprzestrzeniać. Listy ACL można również użyć do określenia ruchu, który musi być szyfrowany między węzłami w sieci.