Uitgebreide ACL (Access Control List) 101: toegang en rechten

Hier vindt u informatie over hoe User Migration van Okta het aantal onverwachte wachtwoordresets heeft teruggebracht en daarmee ook het aantal telefoontjes naar de helpdesk en ondersteuning bij problemen.

Met een uitgebreide Access Control List (ACL) kunt u bepalen welk verkeer wel en welk verkeer geen toegang krijgt. De lijst fungeert als een soort poortwachter voor uw netwerk. Zo'n lijst kan de admin die het netwerk instelt meer flexibiliteit en controle geven. De lijst is in hoge mate aanpasbaar zodat er regels over verkeer kunnen worden ingesteld voor meer dan alleen maar het IP-adres. Daarmee kunnen aanvallen op het netwerk worden voorkomen en kan tegelijkertijd het gewenste verkeer worden doorgelaten. Er kan een uitgebreide ACL worden ingesteld om te voorkomen dat specifieke bronnen toegang krijgen via bepaalde poorten op bepaalde computers. Op die manier kunt u uitgaand en binnenkomend verkeer tot op een uiterst nauwkeurig niveau beheren. 

Wat is een uitgebreide Access Control List (ACL)?

Een Access Control List, of toegangscontrolelijst, is een set regels waarmee verkeer tot een netwerk wordt toegelaten of geblokkeerd om zo een basis van beveiliging te verschaffen. Een uitgebreide toegangscontrolelijst is flexibeler en gemakkelijker aan te passen dan een standaard toegangscontrolelijst. Een ACL kan een besturingssysteem laten weten welke gebruikers toegangsrechten hebben voor specifieke systeemobjecten, zoals afzonderlijke bestanden of mappen. Een uitgebreide ACL kan fungeren als een uitbreiding van een standaard ACL met specifiekere parameters. Dat kan de netwerkbeveiliging verbeteren en tegelijk voorrang geven aan de verkeersstroom binnen een netwerk. Netwerkbeveiliging moet voortdurend worden aangepast aan veranderingen in de wereld en de toenemende bedreigingen. Het is nog belangrijker om potentieel malafide actoren tegen te houden en tegelijkertijd het noodzakelijke verkeer ongehinderd door te laten voor een soepel werkende interface voor klanten en werknemers en digitale interactie.

Kenmerken van een uitgebreide ACL

Een standaard ACL laat verkeer al dan niet toe op basis van het IP-adres van de bron, terwijl een uitgebreide ACL pakketten veel specifieker kan filteren. Een uitgebreide ACL kan de toegelaten of geblokkeerde verkeerstypen bepalen aan de hand van meer dan het IP-adres, maar bijvoorbeeld ook op basis van TCP, ICMP en UDP. Een uitgebreide ACL kan verkeer filteren op basis van:

  • Adres van de bron
  • Adres van de bestemming
  • Poortnummer
  • Protocol
  • Periode

De uitgebreide ACL kan op tal van manieren worden geconfigureerd om mogelijk schadelijk verkeer of aanvallen te blokkeren en tegelijkertijd legitiem en noodzakelijk verkeer door te laten naar afzonderlijke bestemmingen. Specifiek IP-verkeer in het bereik van 100 tot 199 en van 2000 tot 2699 kan voorrang worden verleend. De uitgebreide ACL wordt in het algemeen ook dicht bij de bron toegepast.

Opdrachten in een uitgebreide ACL

De basisindeling van een uitgebreide ACL ziet er als volgt uit: 

access-list access-list number [permit/deny] protocol source IP address

source-wildcard destination destination-wildcard [operator]

Uitleg van deze opdrachten:

  • access-list number: het nummer van de ACL in het bereik dat eerder is gespecificeerd
  • permit: verkeer dat wordt toegelaten als aan de juiste voorwaarden wordt voldaan
  • deny: verkeer dat wordt geweigerd als aan de juiste voorwaarden wordt voldaan
  • protocol: filteren toegestaan op basis van een specifiek protocol
  • source IP address: het IP-adres of de bron van waaruit het pakket wordt verzonden
  • destination-wildcard: geeft een source-wildcard aan om het IP-adres of de reeks IP-adressen van de bestemming te bepalen zodat niet elk IP-adres afzonderlijk hoeft te worden opgegeven
  • operator: kan het poortnummer aangeven bij filteren op protocol en gebruikt de volgende opties:
    • eq gelijk: wanneer prec