Una rete ACL è davvero come qualsiasi altra rete di computer, con l’eccezione che i router e gli switch in esecuzione sulla rete aderiscono a un elenco predeterminato di autorizzazioni di accesso. Ai router di rete viene fornito un elenco di regole, chiamato elenco di controllo di accesso (ACL), che può consentire l’accesso di base a o da un segmento di rete, nonché l’autorizzazione per accedere ai servizi che potrebbero essere disponibili attraverso di essi. Mentre un ACL può essere utilizzato in altri servizi informatici, come l’autorizzazione dell’utente per accedere ai file archiviati su un computer, nel caso di una rete ACL, le regole vengono applicate alle interfacce di rete e alle porte attraverso le quali viaggiano i dati di comunicazione.
Quando i pacchetti di dati viaggiano attraverso porte controllate su un dispositivo di rete di una rete ACL, vengono filtrati e valutati per le autorizzazioni. Nella maggior parte dei casi, ciò si verifica su un router o uno switch di rete. Alcuni programmi firewall integrati in un sistema operativo, tuttavia, possono essere visualizzati anche come una forma di elenco di controllo degli accessi. Quando un pacchetto di dati entra o esce da un’interfaccia sul dispositivo di rete, viene valutato per le sue autorizzazioni confrontandolo con l’ACL. Se tali autorizzazioni non vengono soddisfatte, al pacchetto viene negato il viaggio.
Un ACL è composto da voci di controllo di accesso (ACE). Ogni ACE nell’elenco contiene le informazioni pertinenti sui permessi per i pacchetti che entrano o escono dall’interfaccia di rete ACL. Ogni ACE conterrà una dichiarazione di autorizzazione o negazione, oltre a criteri aggiuntivi che un pacchetto dovrà soddisfare. Nella maggior parte dei casi, i pacchetti vengono valutati in base agli standard IP (Internet Protocol) comuni come TCP (Transmission Control Protocl), UDP (User Datagram Protocol) e altri nella suite. Dei tipi più elementari di ACL, viene verificato solo l’indirizzo di origine, mentre in un ACL esteso si possono stabilire regole che controllano gli indirizzi di origine e di destinazione, nonché le porte specifiche da cui il traffico ha origine e destinazione.
In una rete ACL, le liste di controllo sono costruite all’interno di router e switch di rete. Ciascun fornitore di hardware di rete può avere regole separate su come deve essere costruito un ACL. Indipendentemente da quale produttore di hardware o sviluppatore di software ha creato la programmazione che elabora i pacchetti rispetto a un ACL, l’aspetto più importante per l’implementazione di una rete ACL è la pianificazione. In caso di scarsa pianificazione, è del tutto possibile per un amministratore accedere a un particolare router, iniziare a implementare un ACL su quel router e trovarsi improvvisamente bloccato fuori da quel router o da qualche segmento di un’intera rete.
Una delle implementazioni di rete ACL più comuni è integrata nel sistema operativo Internetwork (IOS) proprietario creato da Cisco Systems®. Sui router e switch Cisco® IOS, l’ACL viene digitato manualmente da un amministratore e viene implementato automaticamente quando viene aggiunto ogni elemento nell’elenco. L’ACL deve essere implementato in modo incrementale, in modo che quando un singolo pacchetto corrisponde a una voce, il resto che rientra nelle stesse autorizzazioni possa seguire l’esempio. Qualsiasi modifica all’elenco significa che deve essere riscritto nella sua interezza.
Sebbene non sia sicuro come un firewall per la protezione di una rete, un ACL è utile in aggiunta a un firewall per una serie di scenari. Un amministratore può limitare il traffico da e verso determinate aree di una rete più ampia o impedire che il traffico proveniente da determinati indirizzi lasci del tutto la rete. I pacchetti possono essere monitorati in una rete ACL per individuare aree problematiche sulla rete, identificare host che si comportano in modo improprio o rintracciare computer client che potrebbero essere infettati da un virus che sta tentando di diffondersi. Un ACL può essere utilizzato anche per specificare il traffico che deve essere crittografato tra i nodi della rete.