ACL определяет, какие операции с файлами, программами или процессами разрешено, или запрещено выполнять группе или конкретному пользователю. Главная функция списка контроля доступом — фильтрация сетевого трафика, особенно в настройках безопасности ПК.
Как работает ACL
Каждый элемент ACL определяется как субъект или операция. Пользователи имеют различные уровни привилегий. Например, файловый объект имеет ACL (Игорь: delete; Алиса: read; Мария: read, write), это дает Игорю разрешение на удаление файла, Алисе — только на чтение, а Марии — на чтение и запись.
Списки контроля доступом работают как фильтры на коммутаторах и маршрутизаторах — ACL управляют доступом трафика в сеть. Также ACL встраивают в ОС и сетевые интерфейсы, где они фильтруют типы трафика в сети.
Источник и пункт назначения трафика — основные параметры, по которым происходит фильтрация. ACL выполняют свою основную задачу благодаря идентификации и управлению поведением доступа к сети, управлению потоками трафика и гранулярному наблюдению.
Какие проблемы решает ACL
Список управления доступом — один из самых продуктивных способов защиты сетей для организаций. ACL решает следующие проблемы:
- проникновение вирусов и вредоносного кода в организацию
- захват сети неподходящими службами и отказ в ресурсах нужным службам
- утечки данных.
Типы ACL
Существует четыре вида ACL.
Стандартные ACL разрешают или запрещают пакеты только на основе IPv4-адреса источника. В них дополнительно используются номера 1300-1999 или 1-99 для определения маршрутизатором точного адреса источника информации. Стандартные ACL не так мощны, как расширенные, но используют меньше вычислительной мощности.
Расширенные ACL позволяют разграничивать адреса поставки и назначения для определенных узлов или всей сети. С помощью расширенных списков управления доступом можно фильтровать трафик, поддерживаемый протоколами IP, TCP, ICMP, UDP.
Рефлексивные ACL фильтруют трафик с помощью данных сеанса верхнего уровня. Узел в локальной сети отправляет TCP-запрос в интернет и получает TCP-ответ. Далее формируется дополнительный ACL, распознающий сгенерированные из локальной сети параметры сессий пользователей. Эти параметры служат основой для доступа.
Динамические ACL надежны в отношении расширенных ACL, Telnet и аутентификации. Они дают администраторам возможность гибко настраивать доступ. Например, предоставить временный доступ пользователю или запретить доступ к маршрутизатору из интернета, но оставить возможность работать с ним группе пользователей.