Access Control List
Z Wikipedii
Access Control List, ACL (ang.) - lista kontroli dostępu. W systemach uniksowych poprzez rozszerzenie możliwości systemu plików, umożliwia bardziej rozbudowaną i dokładną kontrolę dostępu do plików, w porównaniu do standardowych uprawnień w systemie.
Standardowe uprawnienia w systemie plików systemu Unix obejmują tylko: zapis, odczyt oraz wykonanie. Każde z uprawnień możemy definiować dla: właściciela pliku (ang. owner), grupy do której on należy (group) oraz pozostałych użytkowników (other).
Natomiast za pomocą ACL możemy ustawić te trzy uprawnienia dla dowolnego użytkownika i grupy. Często ACL definiuje też inne uprawnienia. ACL w Microsoft Windows 2000 (system plików NTFS) definiuje m.in. prawo do przejęcia własności pliku.
Listy ACL (typu podstawowego i rozszerzonego) wykorzystywane są także do tworzenia reguł filtrujących ruch sieciowy w ruterach firmy Cisco.
Listy ACL są listami warunków używanych do sprawdzania ruchu w sieci, który jest kierowany przez interfejs routera. Listy te informują router, jakie rodzaje pakietów zaakceptować, a jakie odrzucić. Akceptacja i odrzucenie zależą od spełnienia konkretnych warunków. Listy ACL umożliwiają zarządzanie ruchem oraz bezpieczny dostęp do i z sieci.
Mogą zostać utworzone dla wszystkich sieciowych protokołów routowanych, takich jak IP i IPX (ang. Internetwork Packet Exchange). Listy ACL można tak skonfigurować na routerze, aby kontrolować dostęp do sieci lub podsieci.
Aby możliwe było filtrowanie ruchu, listy ACL muszą określić, czy pakiety mają być przekazywane, czy blokowane na interfejsach routera. Router sprawdza każdy pakiet i albo go przekaże, albo odrzuci, w zależności od warunków określonych na liście ACL. Lista ACL umożliwia podejmowanie decyzji o routingu na podstawie adresu źródłowego, adresów docelowych, protokołów oraz numerów portów wyższych warstw.
Listy ACL muszą być definiowane osobno dla każdego protokołu, kierunku oraz interfejsu. Aby kontrolować przepływ ruchu na interfejsie, należy zdefiniować listę ACL dla każdego protokołu włączonego na tym interfejsie. Jedna lista ACL kontroluje ruch na interfejsie w jednym kierunku. Aby kontrolować ruch przychodzący i wychodzący, należy utworzyć dwie oddzielne listy ACL. Na każdym interfejsie można zdefiniować dwa kierunki i wiele protokołów. Jeśli router ma dwa interfejsy skonfigurowane dla protokołów IP, AppleTalk i IPX, potrzebnych będzie 12 oddzielnych list ACL. Dla każdego protokołu powstanie jedna lista, co należy pomnożyć przez dwa dla każdego kierunku i jeszcze raz przez dwa dla każdego interfejsu.
Listy ACL mogą wykonywać następujące zadania:
* Ograniczenie ruchu w sieci i zwiększenie wydajności sieci. Na przykład listy ACL, które
ograniczają ruch w ramach połączeń wideo, mogą bardzo zmniejszyć obciążenie sieci i zwiększyć jej
wydajność.
* Umożliwienie kontroli ruchu w sieci. Listy ACL mogą ograniczyć dostarczanie aktualizacji
tras. Jeśli warunki w sieci nie wymagają aktualizacji, pozwala to zaoszczędzić pasmo. * Zapewnienie podstawowych zabezpieczeń podczas dostępu do sieci. Listy ACL mogą umożliwić jednemu
hostowi dostęp do części sieci, uniemożliwiając jednocześnie dostęp do tej samej części
innemu hostowi. Na przykład host A ma dostęp do sieci „Zasoby ludzkie", podczas gdy
host B nie ma do niej dostępu.
* Decydowanie o typie ruchu przenoszonego lub blokowanego na poziomie interfejsów routera.
Listy ACL mogą zezwalać na routing ruchu pocztowego (e-mail), ale blokować ruch Telnet.
* Określanie, do których obszarów sieci może mieć dostęp użytkownik.
* Klasyfikowanie ruchu z hostów w celu udostępnienia lub zakazu dostępu do segmentu sieci. Listy
ACL mogą być wykorzystywane do umożliwiania lub zakazywania dostępu użytkownika do plików przy użyciu
protokołów FTP lub HTTP.
Jeśli na routerze nie skonfigurowano list ACL, wszystkie pakiety przechodzące przez router będą miały
dostęp do całej sieci.