Access Control List
ACL (Access Control List) — список правил, запрещающих или разрешающих использование ресурсов сети: доступа к интернету, телефонии, видеосвязи и т.д. ACL работает с IP-пакетами, но может узнать тип конкретного пакета, проанализировать порты TCP (Transmission Control Protocol) и UDP (User Datagram Protocol).
ACL может работать с разнообразными протоколами локальных сетей: AppleTalk, а также IP и IPX (internetwork packet exchange). Для фильтрации такого трафика ACL работает на стыке, когда оборудование граничит с локальной сетью и интернетом, то есть когда необходимо «почистить» трафик от ненужных данных.
[text_with_btn btn=»Узнать больше» link=»/ru-by/solutions/for-telecom-providers/skat-dpi/»]Deep Packet Inspection[/text_with_btn]Разновидности ACL
Существует рефлексивный, динамический и ограниченный по времени ACL. Рассмотрим каждый из них подробнее.
Динамический (Dynamic ACL)
С его помощью можно реализовать следующее:
- предположим, у администратора есть маршрутизатор, имеющий подключение к определенному серверу;
- стоит задача закрыть доступ этому маршрутизатору из глобальной сети, но сохранить при этом к ней доступ небольшой группе людей;
- администратор выполняет настройку списка с правилами по предоставлению доступа;
- этот список устанавливается на входящее направление;
- клиенты локальной сети, которым необходимо подключиться, используют Telnet (teletype network) – сетевой протокол для реализации текстового терминального интерфейса по сети;
- в итоге, Dynamic ACL открывает доступ к серверу, и клиент может на него зайти, к примеру, через HTTP (HyperText Transfer Protocol – протокол передачи гипертекста).
Согласно настройкам по умолчанию, спустя определенное время, доступ снова закрывается, и для входа необходимо подключаться повторно. Ограниченный по времени (Time-based ACL)
Стандартный ACL, открывающий доступ в определенное «окно времени». Задать это «окно» может администратор, используя специальное расписание, активирующее/закрывающее списки доступа. К примеру, можно запретить HTTP-доступ к интернету на протяжении всего рабочего дня. А сразу после его окончания открывать доступ.
Рефлексивный (Reflexive ACL)
Подразумевается, что через частную сеть открыт узел, который отправляет TCP-запрос в глобальную сеть и в то же время ждет TCP-ответа. То есть, канал в это время должен быть открытым для исходящих пакетов данных, чтобы установилось соединение. Если канал будет закрытым, подключиться не удастся, и злоумышленники смогут проникнуть в локальную сеть с целью воровства данных.
Рефлексивные ACL полностью блокируют доступ (deny any), но формируют дополнительный ACL, способный распознавать параметры пользовательских сессий, которые были сгенерированы из локальной сети. На основе этих параметров ACL открывает им доступ.
В итоге получается, что из глобальной сети подключиться к локальной не смогут, а сгенерированная группа пользователей сможет получать ответы.