ACL – Access List – או רשימת גישה זוהי תוכנה שמיועדת ליצור רשימות עבור תפקידים שונים. לרוב היא משמשת כדי לאפשר או לחסום גישות שונות, מעין "פיירוול" – FireWall.
רשימת הגישה היא כמו מאבטח בכניסה, המאבטח מחזיק רשימה, ברשימה כתובים שמות האנשים שמותר להם להיכנס, או שמות אנשים שאסור להם להיכנס (או שילוב).
ה- ACL מאפשר רשימות גישה למגוון פעילויות שונות. ניתן להשתמש בזה לצורכי אבטחה לשלוט על תעבורות המידע פנימה או החוצה. אם נדייק יותר נאמר: ש- ACL נועד לנטר אירועים שונים. יש למשל ACLים שיכולים להסתכל על כתובות מק, לפתוח פאקטים ולקרוא, לקרוא על דגלי TCP. ע"י הסתכלות זאת נוכל להחליט על כל מיני דברים שונים ברמת הרשת שלנו. – האם מותר לתעבורה כזאת להיכנס ל- VPN, או להגיע ל- NAT וכו'.
סוגי ACLים:
- ACL סטנדרטי Standard – רשימה פשוטה – הנתב מסתכל רק על המקור (כתובת האייפי של מאין הגיעה החבילה).
- ACL מורחב Extended – רשימה מורכבת ומאפשרת הגדרות פרטניות.
יש לזכור שני ביטויים עיקריים: Deny, Permit – "אפשר" או "מנע" שבהם נשתמש.
ניתן לחסום או לאפשר מעבר של אייפי או רשת למשל:
Permit 192.168.1.50
מאפשר את הכתובת 192.168.1.50.
Deny 192.168.1.0 0.0.0.255
חוסם לי את כל הרשת 192.168.1.0.
כאשר ניגשים לעבוד ב- ACL חייבים לחשוב ולכתוב על דף מה בדיוק אני רוצה להשיג לפני שמתחילים את ההגדרות. קורה הרבה שמגדירים ACL על נתב מסוים וישנה טעות המונעת ממני להעביר נתונים דרך הנתב.
כללי ה- ACL
ישנם 2 כללים חשובים שחלים על רשימת הגישה ויש לזכור אותם:
- הרשימה תמיד נקראת מלמעלה למטה. וכאשר אנו כותבים רשימה אז יש להקפיד שתמיד ההתייחסויות הספציפיות יהיו למעלה והכלליות יהיו למטה, כדי שאני לא אצטרך לבדוק פרטי שמותר בתוך כללי שאסור. או למשל אם אני אאסור רשת שלמה, ולאחר מכן אציב אייפי פרטי בתוך הקבוצה שמותר, אז הוא יהיה כבר אסור, כי נקרא כבר שכל הרשת אסורה.
- בסוף כל רשימה ישנו כלל: deny any שלא רואים אותו והוא גורף ותופס עבור כל הרשימה. כלומר חייבים לעשות permit ספציפי או permit any – כללי אם רוצים שמשהו יהיה מורשה או הכל יהיה מורשה – ברירת המחדל היא DENY!
הצמדה לממשק וכיוון התעבורה
לאחר שיצרנו את רשימת הגישה עלינו להגדירה על ממשק מסוים בראוטר. – באיזה ממשק נגדיר אותה? אם מדובר על רשימת גישה סטנדרטית נגדיר אותה בממשק היוצא מהרשת (כדי לחסום או לאפשר בדיוק את מה שאנו רוצים ולא יותר).
אם מדובר על רשימת גישה מורחבת אגדיר אותה בממשק שהכי קרוב למארח שברצוני לחסום.
ישנן שני מונחים: "לצאת" (out) ו"להכנס" (in), וצריך להבין מושגים מבלבלים אלו: כאשר אני מנסה להיכנס לראוטר אני מנסה לצאת מתוך רשת. (שהרי זה תפקיד הראוטר), אז פנימה זה בעצם החוצה מבחינת המחשב. כאשר רוצים לצאת מתוך ראוטר אז נכנסים לתוך רשת. [ניתן לחשוב על הראוטר כאל אדם עם שני ידיים, כאשר האדם חושב האם יכול לחסום או לאפשר]. – אנו צריכים להבין את מושגים אלו על מנת לחסום בצורה נכונה, האם אנו בוחרים לחסום תעבורה "נכנסת" = Inbound, או תעבורה "יוצאת" = Outbound.
ACL מורחב – Extended
ברשימת ACL מסוג זה מסתכלים לא רק על המקור (כתובת האייפי של מאין הגיעה החבילה) אלא גם:
- על כתובת היעד
- סוג התעבורה
- מאיזה פורט יצאה החבילה ולאיזה פורט מיועדת החבילה.
מספרי רשימות הגישה
- רשימת גישה סטנדרטית משתמשת במספרים 1-99.
- רשימת גישה מורחבת משתמשים במספרים 100-199.
סיכום מצויין!!
תודה רבה!
אני שמח שעוזר.