ACL (Erişim Kontrol Listesi) – ağ kaynaklarının kullanımını yasaklayan veya izin veren kuralların listesi: internete erişim, telefon, görüntülü iletişim vb. ACL, IP paketleriyle çalışır, ancak belirli bir paketin türünü öğrenebilir, TCP (İletim Kontrol Protokolü) ve UDP (Kullanıcı Datagram Protokolü) bağlantı noktalarını analiz edebilir.
ACL, çeşitli yerel alan ağı protokolleriyle çalışabilir: AppleTalk, ayrıca IP ve IPX (ınternetwork packet exchange). Bu tür trafiği filtrelemek için ACL, ekipman yerel ağ ve internet ile sınır komşusu olduğunda, yani gereksiz verilerden gelen trafiği «temizlemek» gerektiğinde kavşakta çalışır.
Deep Packet Inspection
ACL Çeşitleri
Yansıtıcı, dinamik ve zaman sınırlı bir ACL vardır. Her birini daha ayrıntılı olarak ele alacağız.
Dinamik (Dynamic ACL)
Yardımı ile aşağıdakileri uygulayabilirsiniz:
- Bir yöneticinin belirli bir sunucuya bağlantısı olan bir yönlendiriciye sahip olduğunu varsayalım;
- Görev, bu yönlendiriciye geniş alan ağından erişimi kapatmak, ancak aynı zamanda küçük bir grup insanın erişimini korumaktır;
- Yönetici, listeyi erişim izni verme kurallarıyla yapılandırır;
- bu liste gelen yöne ayarlanır;
- Bağlanması gereken LAN istemcileri, ağ üzerinden metin tabanlı terminal arabirimini uygulamak için bir ağ protokolü olan Telnet’i (teletype network) kullanır;
- Sonuç olarak, Dinamik ACL sunucuya erişim açar ve istemci, örneğin HTTP (Köprü Metni Aktarım Protokolü – köprü metni Aktarım protokolü) aracılığıyla sunucuya erişebilir.
Varsayılan ayarlara göre, belirli bir süre sonra erişim tekrar kapatılır ve oturum açmak için yeniden bağlanmanız gerekir.
Zamanla sınırlı (Zamana dayalı ACL)
Belirli bir “zaman penceresinde” erişimi açan standart ACL. Yönetici, erişim listelerini etkinleştiren / kapatan özel bir program kullanarak bu «pencereyi» ayarlayabilir.
Örneğin, iş günü boyunca internete HTTP erişimini yasaklayabilirsiniz. Ve bittikten hemen sonra erişimi açın.
Yansıtıcı (Yansıtıcı ACL)
Bunun anlamı, geniş alan ağına TCP isteği gönderen ve aynı zamanda TCP yanıtını bekleyen özel ağ üzerinden bir düğümün açık olmasıdır. Yani, bağlantının kurulması için şu anda kanalın giden veri paketlerine açık olması gerekir. Kanal kapalıysa bağlanılamayacak ve saldırganlar veri çalmak amacıyla yerel ağa girebilecektir.
Yansıtıcı ACL’LER erişimi tamamen engeller (herhangi birini reddeder), ancak yerel ağdan oluşturulan kullanıcı oturumlarının parametrelerini tanıyabilen ek bir ACL oluşturur. Bu parametrelere dayanarak, ACL onlara erişim sağlar.
Sonuç olarak, küresel ağdan yerel ağa bağlanamayacakları ve oluşturulan kullanıcı grubunun yanıt alabileceği ortaya çıktı.