Lista de control de acceso

En seguridad informática, una lista de control de acceso (ACL) es una lista de permisos asociados con un recurso del sistema (objeto). Una ACL especifica a qué usuarios o procesos del sistema se les otorga acceso a los objetos, así como qué operaciones se permiten en objetos determinados. Cada entrada en una ACL típica especifica un tema y una operación. Por ejemplo, si un objeto de archivo tiene una ACL que contiene (Alice: read,write; Bob: read), esto le daría a Alice permiso para leer y escribir el archivo y le daría permiso a Bob solo para leerlo.

Implementaciones

Muchos tipos de sistemas operativos implementan ACL o tienen una implementación histórica; la primera implementación de ACL fue en el sistema de archivos de Multics en 1965.

ACL del sistema de archivos

Una ACL de sistema de archivos es una estructura de datos (generalmente una tabla) que contiene entradas que especifican derechos de usuarios o grupos individuales para objetos específicos del sistema, como programas, procesos o archivos. Estas entradas se conocen como entradas de control de acceso (ACE) en los sistemas operativos Microsoft Windows NT, OpenVMS y similares a Unix, como Linux, macOS y Solaris. Cada objeto accesible contiene un identificador para su ACL. Los privilegios o permisos determinan derechos de acceso específicos, como si un usuario puede leer, escribir o ejecutar un objeto. En algunas implementaciones, una ACE puede controlar si un usuario, o grupo de usuarios, puede o no alterar la ACL en un objeto.

Uno de los primeros sistemas operativos en proporcionar ACL de sistema de archivos fue Multics. PRIMOS presentó ACL al menos desde 1984.

En la década de 1990, los modelos ACL y RBAC se probaron y utilizaron exhaustivamente para administrar permisos de archivos.

LCA POSIX

El grupo de trabajo POSIX 1003.1e/1003.2c hizo un esfuerzo por estandarizar las ACL, lo que resultó en lo que ahora se conoce como "POSIX.1e ACL" o simplemente "POSIX ACL". Los borradores de POSIX.1e/POSIX.2c se retiraron en 1997 debido a que los participantes perdieron interés en financiar el proyecto y recurrieron a alternativas más poderosas como NFSv4 ACL. A partir de diciembre de 2019, no se pudieron encontrar fuentes en vivo del borrador en Internet, pero aún se puede encontrar en el Archivo de Internet.

La mayoría de los sistemas operativos Unix y similares (por ejemplo, Linux desde 2.5.46 o noviembre de 2002, FreeBSD o Solaris) son compatibles con las ACL POSIX.1e (no necesariamente con el borrador 17). Las ACL generalmente se almacenan en los atributos extendidos de un archivo en estos sistemas.

LCA de NFSv4

Las ACL de NFSv4 son mucho más potentes que las ACL preliminares de POSIX. A diferencia de las ACL preliminares de POSIX, las ACL de NFSv4 están definidas por un estándar actualmente publicado, como parte del sistema de archivos de red.

Las ACL de NFSv4 son compatibles con muchos sistemas operativos Unix y similares a Unix. Los ejemplos incluyen AIX, FreeBSD, Mac OS X a partir de la versión 10.4 ("Tiger"), o Solaris con sistema de archivos ZFS, compatible con ACL NFSv4, que forman parte del estándar NFSv4. Hay dos implementaciones experimentales de NFSv4 ACL para Linux: soporte de NFSv4 ACL para el sistema de archivos Ext3 y el Richacls más reciente, que brinda soporte de NFSv4 ACL para el sistema de archivos Ext4. Al igual que con las ACL de POSIX, las ACL de NFSv4 generalmente se almacenan como atributos extendidos en sistemas similares a Unix.

Las ACL de NFSv4 se organizan de manera casi idéntica a las ACL de Windows NT que se usan en NTFS. Las ACL de NFSv4.1 son un superconjunto de ACL de NT y borradores de ACL de POSIX. Samba admite guardar las ACL de NT de los archivos compartidos de SMB de muchas maneras, una de las cuales es como ACL codificadas con NFSv4.

ACL de Active Directory

El servicio Active Directory de Microsoft implementa un servidor LDAP que almacena y difunde información de configuración sobre usuarios y equipos en un dominio. Active Directory amplía la especificación LDAP al agregar el mismo tipo de mecanismo de lista de control de acceso que usa Windows NT para el sistema de archivos NTFS. Luego, Windows 2000 amplió la sintaxis para las entradas de control de acceso de modo que no solo podían otorgar o denegar el acceso a objetos LDAP completos, sino también a atributos individuales dentro de estos objetos.

ACL de redes

En algunos tipos de hardware informático patentado (en particular, enrutadores y conmutadores), una lista de control de acceso proporciona reglas que se aplican a números de puerto o direcciones IP que están disponibles en un host u otra capa 3, cada una con una lista de hosts y/o redes autorizadas para usar el servicio. Aunque también es posible configurar listas de control de acceso basadas en nombres de dominio de red, esta es una idea cuestionable porque los encabezados TCP, UDP e ICMP individuales no contienen nombres de dominio. En consecuencia, el dispositivo que hace cumplir la lista de control de acceso debe resolver por separado los nombres en direcciones numéricas. Esto presenta una superficie de ataque adicional para un atacante que busca comprometer la seguridad del sistema que protege la lista de control de acceso. Tanto los servidores individuales como los enrutadores pueden tener ACL de red. Las listas de control de acceso generalmente se pueden configurar para controlar el tráfico entrante y saliente y, en este contexto, son similares a los firewalls. Al igual que los firewalls, las ACL pueden estar sujetas a normas y estándares de seguridad como PCI DSS.

Implementaciones de SQL

Los algoritmos de ACL se trasladaron a SQL ya sistemas de bases de datos relacionales. Muchos "modernos" (décadas de 2000 y 2010) Los sistemas basados en SQL, como los sistemas de gestión de contenido y planificación de recursos empresariales, han utilizado modelos ACL en sus módulos de administración.

Comparando con RBAC

La principal alternativa al modelo ACL es el modelo de control de acceso basado en roles (RBAC). Un "modelo RBAC mínimo", RBACm, se puede comparar con un mecanismo ACL, ACLg, donde solo se permiten grupos como entradas en la ACL. Barkley (1997) demostró que RBACm y ACLg son equivalentes.

En las implementaciones modernas de SQL, las ACL también administran grupos y herencia en una jerarquía de grupos. Entonces, las "ACL modernas" pueden expresar todo lo que RBAC expresa y son notablemente potentes (en comparación con las "ACL antiguas") en su capacidad para expresar la política de control de acceso en términos de la forma en que los administradores ven las organizaciones.

Para el intercambio de datos y para "comparaciones de alto nivel", los datos de ACL se pueden traducir a XACML.