ACL (Toegangscontrole lijst) is een lijst van regels die het gebruik van netwerkbronnen verbieden of toestaan: internettoegang, Telefonie, videocommunicatie, enz. ACL werkt met IP-pakketten, maar kan het type van een specifiek pakket achterhalen, TCP-poorten (Transmission Control Protocol) en UDP-poorten (User Datagram Protocol) analyseren.
ACL kan werken met een verscheidenheid aan lokale netwerkprotocollen: AppleTalk, evenals IP en IPX (internetwork packet exchange). Om dit verkeer te filteren, werkt de ACL op het kruispunt wanneer de apparatuur grenst aan het lokale netwerk en het Internet, dat wil zeggen wanneer het nodig is om het verkeer te “zuiveren” van onnodige gegevens.
Deep Packet Inspection
Variëteiten van ACL
Er is een reflexieve, dynamische en tijdsbeperkte ACL. Laten we elk van hen in meer detail bekijken.
Dynamisch (dynamische ACL)
U kunt het gebruiken om het volgende te implementeren:
- stel dat een beheerder een router heeft die een verbinding heeft met een specifieke server;
- de taak is om de toegang tot deze router van het wereldwijde netwerk te sluiten, maar tegelijkertijd de toegang tot deze router te behouden voor een kleine groep mensen;
- de beheerder configureert de lijst met regels voor het verlenen van toegang;
- deze lijst is ingesteld op de inkomende richting;
- lokale netwerkclients die verbinding moeten maken, gebruiken Telnet (teletype network), een netwerkprotocol voor het implementeren van een tekstterminalinterface via het netwerk;
- als gevolg hiervan opent de dynamische ACL toegang tot de server en kan de client er bijvoorbeeld toegang toe krijgen via HTTP (HyperText Transfer Protocol–.
Volgens de standaardinstellingen wordt de toegang na een bepaalde tijd weer gesloten en MOET u opnieuw verbinding maken om in te loggen.
Tijd-beperkt (tijd-gebaseerde ACL)
Een standaard ACL die toegang mogelijk maakt in een bepaald “tijdvenster”. De beheerder kan dit “venster” instellen met behulp van een speciaal schema dat toegangslijsten activeert/sluit.
U kunt bijvoorbeeld HTTP-toegang tot Internet gedurende de hele werkdag verbieden. En meteen nadat het is afgelopen, open access.
Reflexieve ACL
Er wordt aangenomen dat een knooppunt open is via een privénetwerk, dat een TCP-verzoek naar het wereldwijde netwerk stuurt en tegelijkertijd wacht op een TCP-reactie. Dat wil zeggen, het kanaal moet op dit moment open zijn voor uitgaande datapakketten om een verbinding tot stand te brengen. Als het kanaal gesloten is, is het niet mogelijk om verbinding te maken en kunnen aanvallers het lokale netwerk betreden om gegevens te stelen.
Reflexieve ACL ‘ s blokkeren de toegang volledig (weigeren elke), maar vormen een extra ACL die in staat is om gebruikerssessieparameters te herkennen die zijn gegenereerd uit het lokale netwerk. Op basis van deze parameters geeft de ACL hen toegang.
Als gevolg hiervan blijkt dat ze niet in staat zijn om verbinding te maken met het lokale netwerk van het wereldwijde netwerk, maar de gegenereerde groep gebruikers zal in staat zijn om reacties te ontvangen.