188BET×ãÇò

Skip to content Skip to navigation Skip to footer
ACL-Definition
Funktionsweise von ACLs
ACL-Komponenten
H?ufig gestellte Fragen (FAQ)

Bedeutung der Liste der Netzwerkzugangskontrolle

Eine Liste der Netzwerkzugangskontrolle (ACL) besteht aus Regeln, die entweder den Zugriff auf eine Computerumgebung erlauben oder sie ablehnen. In gewisser Weise ist eine ACL wie eine G?steliste in einem exklusiven Club. Nur diejenigen auf der Liste sind in den T¨¹ren erlaubt. Dies erm?glicht es Administratoren sicherzustellen, dass es, sofern das Ger?t nicht die richtigen Anmeldedaten bereitstellt, keinen Zugriff erh?lt.?

Es gibt zwei grundlegende Arten von ACLs:

  1. Dateisystem-ACLs: Diese arbeiten als Filter und verwalten den Zugriff auf Verzeichnisse oder Dateien. Eine Dateisystem-ACL gibt die Betriebssystemanweisungen zu den Benutzern, die auf das System zugreifen d¨¹rfen, sowie zu den Berechtigungen, die sie nach ihrem Aufenthalt haben.
  2. Netzwerk-ACLs: Netzwerk-ACLs verwalten den Zugriff auf ein Netzwerk. Dazu geben sie Switches und Routern Anweisungen, welche Arten von Datenverkehr mit dem Netzwerk verbunden werden d¨¹rfen. Sie geben auch vor, was jeder Benutzer oder jedes Ger?t tun kann, sobald er/sie sich im Inneren befindet.

Als ACLs zum ersten Mal konzipiert wurden, arbeiteten sie wie Firewalls und blockierten den Zugriff auf unerw¨¹nschte Entit?ten. W?hrend viele Firewalls ¨¹ber Funktionen zur Kontrolle des Netzwerkzugangs verf¨¹gen, verwenden einige Unternehmen immer noch ACLs mit Technologien wie virtuellen privaten Netzwerken (VPNs). Auf diese Weise kann ein Administrator vorgeben, welche Arten von Datenverkehr verschl¨¹sselt und dann durch den sicheren Tunnel des VPN gesendet werden.

Wie funktioniert eine ACL?

Mit einer Dateisystem-ACL verf¨¹gen Sie ¨¹ber eine Tabelle, die dem Betriebssystem des Computers mitteilt, welche Benutzer ¨¹ber welche Zugriffsrechte verf¨¹gen. Die Tabelle diktiert die Benutzer, die auf bestimmte Objekte zugreifen d¨¹rfen, wie Verzeichnisse oder Dateien auf dem System. Jedes Objekt auf dem Computer verf¨¹gt ¨¹ber eine Sicherheitseigenschaft, die es mit seiner zugeh?rigen Zugriffskontrollliste verkn¨¹pft. Auf der Liste finden Sie Informationen f¨¹r jeden Benutzer, der ¨¹ber die erforderlichen Rechte f¨¹r den Zugriff auf das System verf¨¹gt.

M?glicherweise haben Sie eine Schnittstelle zu einer ACL hergestellt, w?hrend Sie versuchten, eine Datei auf Ihrem Computer zu ?ndern oder zu ?ffnen. Beispielsweise gibt es bestimmte Objekte, auf die nur ein Administrator zugreifen kann. Wenn Sie sich als regul?rer Benutzer auf Ihrem Computer anmelden, d¨¹rfen Sie m?glicherweise bestimmte Dateien nicht ?ffnen. Wenn Sie sich jedoch als Administrator anmelden, wird die Sicherheitseigenschaft des Objekts sehen, dass Sie ein Administrator sind und Ihnen dann Zugriff gew?hren.

Bei der Betrachtung von Netzwerk-ACL und Sicherheitsgruppe teilen sich beide eine ?hnlichkeit. Eine Sicherheitsgruppe kann aus einer Liste von Personen bestehen, die Zugang erhalten k?nnen, oder sie kann sich aus Kategorien von Benutzern wie Administratoren, G?sten und normalen Benutzern zusammensetzen.?

Wenn ein Benutzer eine Anfrage stellt, auf ein Objekt zuzugreifen, ¨¹berpr¨¹ft das Betriebssystem des Computers die ACL, um zu sehen, ob der Benutzer den gew¨¹nschten Zugriff haben sollte. Wenn die Liste vorschreibt, dass der Benutzer dieses bestimmte Objekt nicht ?ffnen, verwenden oder ?ndern darf, wird der Zugriff verweigert.

Netzwerk-ACLs unterscheiden sich darin, dass sie in Switches und Routern installiert sind. Hier handelt es sich um Datenverkehrsfilter. Um den Datenverkehr zu filtern, verwendet eine Netzwerk-ACL Regeln, die von einem Administrator oder dem Hersteller vordefiniert wurden. Diese Regeln ¨¹berpr¨¹fen den Inhalt von Paketen anhand von Tabellen, die Zugriffsparameter regeln. Je nachdem, ob der Benutzer auscheckt, wird sein Zugriff entweder gew?hrt oder verweigert.

Auf diese Weise erf¨¹llen Switches und Router mit ACL die Funktion von Paketfiltern. Sie ¨¹berpr¨¹fen die Internet Protocol (IP)-Adressen der Quellen und des Ziels, die Quell- und Zielports sowie das offizielle Verfahren des Pakets, das vorgibt, wie es sich durch das Netzwerk bewegen soll.

Vorteile der Verwendung von ACLs

Mit einer Zugriffsliste k?nnen Sie die Identifizierung lokaler Benutzer, Remote-Benutzer und Remote-Hosts vereinfachen. Dies geschieht mit einer Authentifizierungsdatenbank, die so konfiguriert ist, dass nur zugelassenen Benutzern der Zugriff auf das Ger?t gew?hrt wird.

Eine Zugriffsliste erm?glicht es Ihnen auch, unerw¨¹nschte Benutzer und Datenverkehr zu verhindern. Wenn Sie Parameter einrichten, die vorgeben, welche Quell- oder Zieladressen und welche Benutzer auf ein Netzwerk zugreifen d¨¹rfen, k?nnen Sie verhindern, dass alle anderen ins Netzwerk gelangen. Sie k?nnen auch die Arten von Datenverkehr kategorisieren, die Sie f¨¹r den Zugriff auf das Netzwerk zulassen m?chten, und diese Kategorien dann auf die ACL anwenden. Sie k?nnen beispielsweise eine Regel erstellen, die es erm?glicht, dass der gesamte E-Mail-Datenverkehr an das Netzwerk weitergeleitet wird, aber den Datenverkehr blockiert, der ausf¨¹hrbare Dateien enth?lt.

Wo k?nnen Sie eine ACL platzieren?

Viele Administratoren entscheiden sich daf¨¹r, ACLs auf den Edge-Routern eines Netzwerks zu platzieren. Dies erm?glicht es ihnen, den Datenverkehr zu filtern, bevor er auf den Rest ihres Systems trifft. Dazu k?nnen Sie ein Routing-Ger?t mit einer ACL platzieren und es zwischen der demilitarisierten Zone (DMZ) und dem Internet positionieren. Innerhalb der DMZ verf¨¹gen Sie m?glicherweise ¨¹ber Ger?te wie Anwendungsserver, Webserver, VPNs oder Domain Name System (DNS)-Server.

Sie k?nnen auch eine ACL zwischen der DMZ und dem Rest Ihres Netzwerks platzieren. Wenn Sie eine ACL zwischen dem Internet und der DMZ sowie zwischen der DMZ und dem Rest Ihres Netzwerks verwenden, haben sie unterschiedliche Konfigurationen ¨C jede Einstellung ist darauf ausgelegt, die Ger?te und Benutzer zu sch¨¹tzen, die nach der ACL kommen.

Komponenten einer ACL

Eine ACL besteht aus mehreren Komponenten, die f¨¹r ihre Funktion von zentraler Bedeutung sind:

  1. Sequenznummer: Die Sequenznummer identifiziert den ACL-Eintrag mit einer bestimmten Nummer.
  2. ACL-Name: Der ACL-Name definiert den ACL-Eintrag mit einem ihm zugewiesenen Namen anstelle von Zahlen. In einigen F?llen erlaubt der Router sowohl Zahlen als auch Buchstaben.
  3. Anmerkung: Bei einigen Routern k?nnen Sie Kommentare eingeben, die verwendet werden k?nnen, um detailliertere Beschreibungen hinzuzuf¨¹gen.
  4. Erkl?rung: Mit einer Erkl?rung erlauben oder leugnen Sie entweder eine Quelle mit einer Platzhaltermaske oder Adresse. Eine Platzhaltermaske bestimmt, welche Elemente einer IP-Adresse von einem System untersucht werden k?nnen.
  5. Netzwerkprotokoll: Das Netzwerkprotokoll kann verwendet werden, um bestimmte Netzwerkprotokolle wie IP, Internetwork Packet Exchange (IPX), Transmission Control Protocol (TCP), Internet Control Message Protocol (ICMP), User Datagram Protocol (UDP) oder andere zuzulassen oder abzulehnen.
  6. Quelle oder Ziel: Die Quell- oder Zielkomponente definiert die Ziel- oder Quell-IP-Adresse als Adressbereich oder eine einzelne IP. Sie kann auch alle Adressen zulassen.
  7. Protokoll: Es gibt Ger?te, die ein Protokoll f¨¹hren k?nnen, wenn sie ACL-?bereinstimmungen finden.
  8. Weitere Kriterien f¨¹r fortgeschrittene ACLs: Einige komplexere ACLs bieten Ihnen die M?glichkeit, den Datenverkehr nach IP-Priorit?t, der Art des Dienstes (ToS) oder seiner Priorit?t zu steuern, die von seinem Differentiated Services Code Point (DSCP) abgeleitet wird. DSCP ist eine Netzwerkarchitektur, die die Klassifizierung und Verwaltung des Datenverkehrs in einem Netzwerk erm?glicht.

Implementierung einer ACL auf Ihrem Router

Um ACL ordnungsgem?? auf Ihrem Router zu implementieren, m¨¹ssen Sie verstehen, wie der Datenverkehr darin und aus ihm flie?t. Sie legen die Regeln basierend auf dem Standpunkt der Schnittstelle des Routers fest. Dies unterscheidet sich von dem der Netzwerke. Wenn beispielsweise der Datenverkehr in einen Router flie?t, flie?t er aus einem Netzwerk, sodass die Perspektive einen gro?en Unterschied dazu macht, wie die Bewegung des Datenverkehrs beschrieben wird.

Damit eine ACL ihre beabsichtigte Funktion ausf¨¹hrt, muss sie auf die Schnittstelle des Routers angewendet werden. Die Weiterleitungs- und Routing-Entscheidungen werden von der Hardware des Routers ausgef¨¹hrt, was einen schnelleren Prozess erm?glicht.

Beim Erstellen eines ACL-Eintrags geben Sie die Quelladresse an erster Stelle und die Zieladresse danach an. Der Router wei?, dass er den Eintrag lesen muss, wenn er in diesem Format angezeigt wird. Die Quelle ist der Ursprung des Datenverkehrs, und dies ist der ?Au?enbereich¡° des Routers. Das Ziel ist ein Punkt hinter dem Router, an dem die Datenpakete landen.

H?ufig gestellte Fragen zu Netzwerkzugangskontrolle Lists (NACL)

Was ist eine Access Control List (ACL)?

Eine Zugriffskontrollliste (Access Control List, ACL) besteht aus Regeln, die entweder den Zugriff auf eine Computerumgebung erlauben oder sie ablehnen. In gewisser Weise ist eine Liste der Zugangskontrolle wie eine G?steliste in einem exklusiven Club. Nur diejenigen auf der Liste sind in den T¨¹ren erlaubt. Dies erm?glicht es Administratoren sicherzustellen, dass es, sofern das Ger?t nicht die richtigen Anmeldedaten bereitstellt, keinen Zugriff erh?lt.

Was ist eine Zugriffskontrollliste auf einem Router?

Eine Zugriffskontrollliste auf einem Router besteht aus einer Tabelle, die festlegt, welche Arten von Datenverkehr auf das System zugreifen d¨¹rfen. Der Router wird zwischen dem eingehenden Datenverkehr und dem Rest des Netzwerks oder einem bestimmten Segment des Netzwerks, wie der demilitarisierten Zone (DMZ), platziert. Die ACL untersucht die in Datenpaketen enthaltenen Informationen, die in das oder aus dem Netzwerk flie?en, um festzustellen, woher sie stammen und wohin sie gelangen. Die ACL auf dem Router entscheidet dann, ob das Datenpaket auf die andere Seite weitergeleitet werden darf.

Ressourcen f¨¹r die Netzwerksicherheit

Weiterf¨¹hrende Links

Sprechen Sie mit einem Experten

Bitte f¨¹llen Sie das Formular aus und ein sachkundiger Vertreter wird sich in K¨¹rze mit Ihnen in Verbindung setzen.