Hozzáférési listák – ACL
ACL (Acces Control List)
Feladata:
-Korlátozzák a hálózati forgalmat a hálózati teljesítmény növelése érdekében.
-Biztosítják a forgalom szabályozását.
-Alapszintű hálózati hozzáférés-szabályozást biztosítanak.
-Szűrik a forgalmat
-Tiltják vagy engedélyezik az állomások számára a hálózati szolgáltatások elérését.
TCP kommunikáció:
-Mikor egy kliens adatokat kér egy webszervertől, az IP vezérli a kommunikációt a PC (forrás) és a szerver (cél) között. A TCP pedig a web böngésző (alkalmazás) és a hálózati szerver szoftver közötti párbeszédet irányítja.
Csomagszűrés:
-A bejövő és kimenő csomagok vizsgálata alapján szabályozza a hálózati hozzáférést.
-Továbbítja vagy eldobja a csomagokat adott feltételek alapján, amelyek vonatkozhatnak a forrás IP-címre, cél IP-címre vagy a csomag által szállított protokollra.
-Egy ACL engedélyező vagy tiltó utasítások sorozata
-Egy csomagszűrő forgalomirányító szabályok alapján határozza meg, hogy engedélyezi-e vagy tiltja a forgalmat.
ACL működése:
1) Bejövő irányú ACL-ek
-A beérkező csomagokat még azelőtt feldolgozza a csomagszűrő, mielőtt irányításra kerülnének egy kimenő interfészhez.
-Egy bejövő irányú ACL azért hatékony, mert az eldobott csomagokon nem kell végrehajtani az útválasztási műveleteket, így nem okoznak azok többletterhelést.
2) Kimenő irányú ACL-ek
-A beérkező csomagok irányításra kerülnek egy kimenő interfészhez, és csak ezután dolgozza fel őket a kimenő irányú ACL.
IPv4 ACL-típusok:
1) Normál ACL-ek (acces list 10 permit 192.168.30.0 0.0.0.255)
-A forrás IPv4-cím alapján engedélyezik vagy tiltják a forgalmat. A célcím és a csomagba ágyazott portszám nem kerül kiértékelésre.
2) Kiterjesztett ACL-ek
-A kiterjesztett hozzáférési listák különféle tulajdonságaik alapján szűrik az IPv4-csomagokat:
-Protokoll típus
-Forrás IPv4-cím
-Cél IPv4-cím
-Forrás TCP- vagy UDP-port
-Cél TCP- vagy UDP-port
-Kiegészítő protokoll információk a finomhangoláshoz
Számozott és nevesített ACL:
-A normál és a kiterjesztett hozzáférési listák létrehozásához használhatók számok vagy nevek.
-A számozott ACL-ek alkalmazása hatékony módszer olyan kisebb hálózatok számára, ahol jobbára homogén a forgalom.
Helyettesítő maszkolás:
– A helyettesítő maszk egy 32 bites bináris karaktersorozat, amelyet a forgalomirányító annak megállapítására használ, hogy a cím mely bitjeinél kell egyezést keresnie.
-0-s bit a helyettesítő maszkban – Egyezést követel a cím megfelelő bitjében.
-1-es bit a helyettesítő maszkban – Figyelmen kívül hagyja a cím megfelelő bitjét.
Helyettesítő maszk:
-A helyettesítő maszk kiszámítása kihívást jelenthet. Egy gyors módszer erre, ha a 255.255.255.255 értékéből kivonjuk az alhálózati maszkot.
Helyettesítő maszk kulcsszavak:
-Az any és a host kulcsszavak