Lista de control de acceso
| ||||||
Lista de Control de Acceso o ACLs. Políticas de seguridad para el filtrado de los paquetes que transitan por los canales de trasmisión de datos TCP/IP, de forma general los administradores de redes utilizan firewalls o cortafuegos para protegerlas contra el acceso no permitido por la red, aplicando para ello lo que se denomina una Lista de Control de Accesos.
Sumario
Listas de Control de Acceso o ACLs
Las ACL (Access Control Lists), como su nombre indica, son listas de condiciones que permiten designar permisos de acceso a cualquier elemento del sistema o directorio en general. En función de estas condiciones, se concede o deniega el acceso a la modificación de las propiedades de estos elementos a los diferentes usuarios o procesos del sistema. Es, por tanto, un mecanismo de seguridad del sistema.
En el caso de referirnos, por ejemplo, al sistema de archivos, las ACL proporcionan un nivel adicional de seguridad a los archivos, ya que extiende el clásico esquema de permisos. En el caso de referirnos, por ejemplo, a routers las ACL establecen condiciones que se aplican al tráfico que viaja a través de la interfaz del router. Es decir, las ACL informan al router de qué tipo de paquetes debe aceptar y cuáles rechazar. En el artículo vamos a referirnos a ambos tipos de ACLs. En el caso de los sistemas de archivos ext4, referidas a entornos GNU/Linux y en el caso de de los routers referidas a los dispositivos enrutadores de Cisco.
Sistemas de archivos con ACLs
Las ACLs permiten asignar permisos a usuarios o grupos concretos. Por ejemplo, se pueden dar ciertos permisos a dos usuarios sobre unos archivos sin necesidad de incluirlos en el mismo grupo.
Los archivos y directorios tienen conjuntos de permisos configurados para el propietario del archivo, el grupo al que pertenece el dueño del archivo y los otros usuarios del sistema. Sin embargo, estos permisos tienen sus limitaciones. Por ejemplo, no se pueden configurar diferentes permisos para usuarios diferentes. Para solucionar este problema se crearon las Listas de Control de Acceso (Access Control Lists, ACLs).
El concepto de ACL permite un control más preciso que los permisos del archivo por sí solos, al dar al propietario de un objeto la capacidad de conceder o denegar accesos usuario por usuario.
Este mecanismo está disponible en la mayoría de Unix (Solaris, AIX, HP-UX, etc.), mientras que en otros que no lo proporcionan por defecto, como GNU/Linux, pero puede instalarse como un paquete adicional (acl). GNU/Linux soporta 2 tipos básicos de ACL:
- ACL estándar: ACL de control de directorios y ficheros. Contiene únicamente las entradas para los tipos propietario, grupo propietario y otros, que corresponden a los bits de permiso convencionales para archivos y directorios.
- ACL extendida: ACL que incluye más elementos. Una entrada máscara y puede contener al mismo tiempo distintas entradas de los tipos usuario nombrado y grupo nombrado.
Las ACLs se pueden configurar:
- Por usuario
- Por grupo
- A través de la máscara de permisos
Concepto de informática
Una Lista de Control de Accesos (ACL: Access Control List) es una serie de instrucciones que controlan que en un router se permita el paso o se bloqueen los paquetes IP de datos, que maneja el equipo según la información que se encuentra en el encabezado de los mismos.
Las ACL configuradas realizan las siguientes tareas:
- Limitan el tráfico de la red para aumentar su rendimiento. En una entidad, por ejemplo, si su política corporativa no permite el tráfico de video en la red, se pueden configurar y aplicar ACL que lo bloqueen, lo que reduce considerablemente la carga de la red y aumenta su rendimiento.
- Proporcionan un nivel básico de seguridad para el acceso a la red. Las ACL pueden permitir que un host acceda a una parte de la red y evitar que otro lo haga a esa misma área.
- Filtran el tráfico según su tipo. Por ejemplo, una ACL puede permitir el tráfico de correo electrónico, pero bloquear todo el tráfico de redes sociales.
- Filtran a los hosts para permitirles o denegarles el acceso a los servicios de red. Las ACL pueden permitirles o denegarles a los usuarios el acceso a determinados tipos de archivos.
Los routers no tienen configuradas de manera predeterminada las ACL, por lo que no filtran el tráfico por si solos si antes no fueron programados. El tráfico que ingresa al router se encamina solamente en función de la información de la tabla de ruteo; sin embargo, cuando se aplica una ACL a una interfaz de red, se realiza la tarea adicional de evaluar todos los paquetes de la red a medida que pasan a través de la misma, para determinar si se pueden reenviar.
En gestión de redes las ACL permiten controlar el flujo del tráfico, permitiendo o denegando el tráfico de red de acuerdo a alguna condición. Sin embargo, también tienen usos adicionales, como por ejemplo, distinguir "tráfico interesante" (tráfico suficientemente importante como para activar o mantener una conexión) en RDSI.
La ACL se asemejaría a un sistema de control de accesos físico típico de un edificio, donde esa parte está centralizada en un lugar. Este lugar sólo necesita saber dos cosas: Quién eres (por ejemplo un ID de una tarjeta, tu id de usuario) y qué quieres hacer. Éste te responde si tienes permiso de hacerlo o no. Con este enfoque este mismo sistema no sólo puede ser utilizado para acceder a lugares si no para cualquier cosa que necesite separarse de personas que pueden y no pueden hacer cosas, por ejemplo: acceder a una página o sección, publicar un comentario, hacer una amistad, enviar un correo.
En redes informáticas, ACL se refiere a una lista de reglas que detallan puertos de servicio o nombres de dominios (de redes) que están disponibles en un terminal u otro dispositivo de capa de red, cada uno de ellos con una lista de terminales y/o redes que tienen permiso para usar el servicio. Tantos servidores individuales como enrutadores pueden tener ACL de redes. Las listas de control de acceso pueden configurarse generalmente para controlar tráfico entrante y saliente y en este contexto son similares a unos cortafuegos.
Tipos de ACLs
Al crear una lista de control de acceso un administrador de red tiene varias opciones; en este sentido, la complejidad del diseño de dicha red determina el tipo de ACL necesaria. Por lo general, existen dos tipos clásicos de ACL:
- ACL estándar: que permiten el filtrado de paquetes de datos únicamente verificando la dirección IP de origen. De esta manera, si un dispositivo es denegado por una ACL estándar, se deniegan todos los servicios provenientes de él. Este tipo de ACL sirve para permitir el acceso de todos los servicios de un usuario específico, o LAN, a través de un router y a la vez, denegar el acceso de otras direcciones IP. Las ACL estándar están identificadas por el número que se les ha asignado. Para las listas de acceso que permiten o deniegan el tráfico IP, el número de identificación puede variar entre 1 y 99 o entre 1300 y 1999.
- ACL extendidas: filtran no sólo según la dirección IP de origen, sino también según la dirección IP de destino, el protocolo y los números de puertos. Con frecuencia son más empleadas que las ACL estándar, porque son más específicas y ofrecen un mayor control. El rango de números de las ACL extendidas va de 100 a 199 y de 2000 a 2699.
Adicionalmente, tanto a las ACL estándar como extendidas es posible hacerles referencia mediante un nombre descriptivo en lugar de un número, lo que se conoce como ACL nombradas. Existen además otros tipos de ACL, enfocados en propósitos específicos de configuración y manejo del filtrado de los paquetes de datos, como son las ACL dinámicas, reflexivas, basadas en tiempo, y basadas en el contexto, entre otras.
Fuentes
- Artículo: Lista de control de accesos. Tomado de infotecs.mx. Consultado el 1 de octubre de 2020.
- Artículo: Utilización de ACLs en el sistema de archivos. Tomado de recursostic.educacion.es. Consultado el 1 de octubre de 2020.
- Artículo:
