ACL: СПИСКИ КОНТРОЛЯ ДОСТУПА И ИХ ПРИМЕНЕНИЕ В ОРГАНИЗАЦИИ СЕТЕЙ

Аннотация. Один из важнейших навыков сетевого администратора — управление списками контроля доступа (ACL-списками). Списки контроля доступа (ACL) обеспечивают безопасность сети.

Специалисты по проектированию сетей используют межсетевые экраны для обеспечения защиты сети от несанкционированного использования. Межсетевые экраны или брандмауэры представляют собой аппаратные или программные решения, направленные на повышение степени защищенности сети. Рассмотрим в качестве примера заблокированную дверь помещения внутри здания. Благодаря блокировке в помещение могут войти только авторизованные лица, имеющие ключ или карту доступа. Аналогичным образом межсетевой экран фильтрует неавторизованные или потенциально опасные пакеты, предотвращая их проникновение в сеть.

Ключевые слова: ACL-список, контроль, безопасность, сеть.

Что такое ACL-список?

ACL-список — это ряд команд IOS, определяющих, пересылает ли маршрутизатор пакеты или сбрасывает их, исходя из информации в заголовке пакета. ACL-списки являются одной из наиболее используемых функций операционной системы Cisco IOS.

В зависимости от конфигурации ACL-списки выполняют следующие задачи:

• Ограничение сетевого трафика для повышения производительности сети. Например, если корпоративная политика запрещает видео трафик в сети, необходимо настроить и применить ACL-списки, блокирующие данный тип трафика. Подобные меры значительно снижают нагрузку на сеть и повышают ее производительность.

• Вторая задача ACL-списков — управление потоком трафика. При помощи списков контроля доступа (ACL) можно ограничить доставку маршрутных обновлений, чтобы гарантировать достоверность источников таких обновлений.

• Списки контроля доступа обеспечивают базовый уровень безопасности в отношении доступа к сети. ACL-списки могут открыть доступ к части сети одному узлу и закрыть его для других узлов. Например, доступ к сети отдела кадров может быть ограничен и разрешен только авторизованным пользователям.

• ACL-списки осуществляют фильтрацию трафика на основе типа трафика. Например, ACL-список может разрешать трафик электронной почты, но при этом блокировать весь трафик протокола Telnet.

• Списки контроля доступа осуществляют сортировку узлов в целях разрешения или запрета доступа к сетевым службам. С помощью ACL-списков можно разрешать или запрещать доступ к определенным типам файлов, например, FTP или HTTP.

Рисунок 1. Что такое ACL список?

По умолчанию ACL-списки не сконфигурированы на маршрутизаторе, поэтому маршрутизатор не фильтрует трафик. Трафик, поступающий на маршрутизатор, основывается исключительно на информации таблицы маршрутизации. Однако если ACL-список используется на интерфейсе, маршрутизатор выполняет дополнительную задачу, оценивая все сетевые пакеты, проходящие через интерфейс, с целью определения разрешения пересылки пакета.

Помимо разрешения или запрета трафика, ACL-списки можно использовать для анализа, пересылки или обработки отдельных видов трафика. Например, при помощи ACL-списков можно классифицировать трафик для включения обработки данных в соответствии с приоритетом. Данная возможность ACL-списков аналогична наличию VIP-пропуска на концерт или спортивное мероприятие. VIP-пропуск дает избранным гостям привилегии, недоступные обладателям обычных билетов, такие как приоритет входа или доступ в закрытую зону.

Фильтрации пакетов.

Список контроля доступа ACL — это последовательный список разрешающих или запрещающих операторов, называемых записями контроля доступа (ACE). Записи контроля доступа также часто называют правилами ACL-списка. При прохождении сетевого трафика через интерфейс, где действует список контроля доступа (ACL), маршрутизатор последовательно сопоставляет информацию из пакета с каждой записью в списке контроля доступа на предмет соответствия. Этот процесс называется фильтрацией пакетов.

Фильтрация пакетов обеспечивает контроль доступа к сети на основе анализа входящих и исходящих пакетов с последующей переадресацией или отбрасыванием этих пакетов согласно заданным критериям. Как показано на рисунке, фильтрация пакетов может происходить на уровнях 3 и 4. Стандартные списки контроля доступа (ACL) обеспечивают фильтрацию только на уровне 3. Расширенные списки контроля доступа (ACL) обеспечивают фильтрацию на уровнях 3 и 4.

Рисунок 2. Фильтрация пакетов

В каждой записи стандартного списка контроля доступа (ACL) IPv4 содержится критерий фильтрации, в роли которого выступает IPv4-адрес источника. Если на маршрутизаторе настроен стандартный список контроля доступа (ACL) IPv4, то, получив пакет, такой маршрутизатор извлекает из заголовка пакета IPv4-адрес источника. Далее маршрутизатор последовательно сравнивает адрес с адресом в каждой из записей в списке контроля доступа (ACL), начиная с первой записи. Обнаружив соответствие, маршрутизатор выполняет соответствующую инструкцию — разрешает либо запрещает прохождение пакета. При этом остальные записи в списке контроля доступа (ACL) не анализируются. Если IPv4-адрес источника не соответствует ни одной записи в списке контроля доступа (ACL), такой пакет отбрасывается.

Последняя запись в ACL-списке всегда содержит косвенный запрет трафика. Эта инструкция автоматически вставляется в конец каждого ACL-списка, хотя и не присутствует в нем физически. Неявный запрет блокирует весь трафик. Из-за косвенного запрета ACL-список, не содержащий хотя бы одного разрешающего правила, заблокирует весь трафик.

Принцип работы списков контроля доступа.

Списки контроля доступа определяют набор правил, обеспечивающих дополнительный контроль над пакетами, которые принимаются интерфейсами, транзитными пакетами, которые передаются через маршрутизатор, а также пакетами, которые отправляются из интерфейсов маршрутизатора. Списки контроля доступа не применяются к пакетам, созданным маршрутизатором.

Как показано на рисунке, можно настроить списки контроля доступа (ACL) для входящего и исходящего трафика.

• Входящие ACL-списки — входящие пакеты обрабатываются перед отправкой на выходной интерфейс. Входящий ACL-список эффективен, поскольку он сохраняет ресурсы на поиск маршрута, если пакет сбрасывается. Если согласно списку контроля доступа (ACL) прохождение пакета следует разрешить, то этот пакет маршрутизируется. Входные списки контроля доступа (ACL) лучше всего подходят для случаев, когда единственным источником проверяемых пакетов является сеть, подключенная к входному интерфейсу.

• Исходящие ACL-списки — входящие пакеты маршрутизируются на выходной интерфейс, а затем обрабатываются исходящим списком контроля доступа. Исходящие ACL-списки лучше всего использовать, когда одинаковые фильтры применяются к пакетам, поступающим с множества входящих интерфейсов, перед выходом на тот же выходной интерфейс.

Рисунок 3. Входящие и исходящие ACL-списки

Список литературы:

1. Николай Милинский. ACL: списки контроля доступа в Cisco IOS [Электронный ресурс]. – Режим доступа https://habr.com/post/121806/ (дата обращения 01.06.2018)
2. Соловьев Алексей. Access Control List - списки контроля доступа [Электронный ресурс]. – Режим доступа: http://help.ubuntu.ru/wiki/access_control_list/ (дата обращения 02.06.2018)
3. Евгений Белкин. Листы контроля доступа (Access Control Lists) [Электронный ресурс] – Режим доступа: http://blog.evgenybelkin.ru/2011/06/access-control-lists.html (дата обращения 02.06.2018)