Definición de ACL (lista de control de acceso)

Anuncios

La Access Control List o lista de control de acceso es un informe sobre los permisos o derechos de acceso que tiene cada usuario sobre un objeto determinado (como un directorio o un archivo). El sistema operativo se encarga de controlar que ningún usuario pueda poseer más o menos privilegios de los que menciona el ACL.

ACL define qué usuarios o grupos pueden acceder un objeto y qué operaciones puede realizar. Esas operaciones usualmente incluyen leer, escribir y ejecutar. Por ejemplo, si ACL especifica acceso de sólo lectura para un usuario específico de un archivo, ese usuario sólo podrá abrir el archivo en cuestión pero no podrá escribirlo o ejecutarlo.

ACL provee un método sencillo de administrar permisos en archivos y carpetas. Este método es usado en la mayoría de los sistemas operativos, incluyendo Windows, Mac y UNIX.

El ACL está usualmente oculto para el usuario, sólo puede ser modificado utilizando la interfaz gráfica.

En UNIX, el ACL puede ser editado usando el comando chmod().




Alternativa al ACL

La principal alternativa al modelo ACL es el modelo RBAC (control de acceso basado en roles).

Un "modelo mínimo de RBAC", RBACm, puede compararse con un mecanismo ACL, ACLg, en el que sólo se permiten grupos como entradas en el ACL. Barkley (1997) demostró que el RBACm y el ACLg son equivalentes.

En las implementaciones SQL modernas, ACL también administra grupos y herencias en una jerarquía de grupos. Por lo tanto, las "ACL modernas" pueden expresar todo lo que expresan los RBAC, y son notablemente poderosas (comparadas con las "antiguas ACL") en su capacidad para expresar la política de control de acceso en términos de la forma en que los administradores ven a las organizaciones.

Para el intercambio de datos, y para "comparaciones de alto nivel", los datos ACL pueden ser traducidos a XACML.


Más detalles sobre las distintas implementaciones de ACL

ACL en sistemas de archivos

Un ACL del sistema de archivos es una estructura de datos (normalmente una tabla) que contiene entradas que especifican derechos individuales de usuario o de grupo para objetos específicos del sistema, como programas, procesos o archivos. Estas entradas se conocen como entradas de control de acceso (ACEs) en los sistemas operativos Microsoft Windows NT, OpenVMS, tipo Unix y Mac OS X. Cada objeto accesible contiene un identificador de su ACL. Los privilegios o permisos determinan los derechos de acceso específicos, como por ejemplo si un usuario puede leer, escribir o ejecutar un objeto. En algunas implementaciones, un ACE puede controlar si un usuario, o grupo de usuarios, puede alterar el ACL de un objeto.

La mayoría de los sistemas operativos Unix y similares a Unix (por ejemplo, Linux, BSD o Solaris) soportan ACLs POSIX.1e, basados en un borrador inicial de POSIX que fue retirado en 1997. Muchos de ellos, por ejemplo AIX, FreeBSD, Mac OS X a partir de la versión 10.4 ("Tiger"), o Solaris con sistema de archivos ZFS, soportan ACLs NFSv4, que son parte del estándar NFSv4. Hay dos implementaciones experimentales de ACLs NFSv4 para Linux: Soporte de ACLs NFSv4 para el sistema de archivos Ext3 y el más reciente Richacls, que trae soporte de ACLs NFSv4 para el sistema de archivos Ext4.

PRIMOS presentaba ACLs al menos desde 1984.

En la década de los 90, los modelos ACL y RBAC (control de acceso basado en roles) fueron probados extensamente] y utilizados para administrar los permisos de los archivos.


ACL en redes

En redes, el principal objetivo de una ACL es filtrar su tráfico, permitiéndolo o denegándolo de acuerdo a condiciones previamente establecidas.

En algunos tipos de hardware, como enrutadores (router) y conmutadores (switches), las listas de control de acceso proveen reglas que son aplicadas a los puertos o a las direcciones IP que están disponibles en un host (u otra capa 3), cada uno con una lista de hosts y/o redes permitidas para usar el servicio.

Aunque además es posible configurar listas de control de acceso basadas en nombres de dominio de red, esta es una idea cuestionable porque las cabeceras TCP, UDP e ICMP individuales no contienen nombres de dominio. En consecuencia, el dispositivo que hace cumplir la lista de control de acceso debe resolver por separado los nombres en direcciones numéricas. Esto presenta una superficie de ataque adicional para un atacante que busca comprometer la seguridad del sistema que la lista de control de acceso está protegiendo.

Tanto los servidores individuales como los routers pueden tener ACLs de red. Las listas de control de acceso generalmente pueden configurarse para controlar tanto el tráfico entrante como el saliente, y en este contexto son similares a los cortafuegos. Al igual que los cortafuegos, las ACL pueden estar sujetas a normas y estándares de seguridad como PCI DSS.

Las ACL pueden ser usadas con otros propósitos además de filtrar el tráfico IP, por ejemplo, definiendo el tráfico Network Address Translation (NAT) o cifrado, o filtrando protocolos no-IP como AppleTalk o IPX.


Implementación en SQL

Los algoritmos ACL han sido portados a SQL y a sistemas de bases de datos relacionales. Muchos sistemas "modernos" (2000 y 2010) basados en SQL, como los sistemas de planificación de recursos empresariales y de gestión de contenidos, han utilizado modelos ACL en sus módulos de administración.




Fuentes:
- Wikipedia
- Cisco.com

Citar la definición:
Alegsa.com.ar (2019). Definición de ACL - ALEGSA © 2019-03-31 url: http://www.alegsa.com.ar/Dic/acl.php