ACL (Access Control List)
Lista para control de acceso

Una lista de control de acceso a la red (ACL) está compuesta por un conjunto de reglas que permiten el acceso a un entorno informático o lo rechazan (actúa filtrando el tráfico de red). Las ACL pueden configurarse en dispositivos de red con capacidades de filtrado de paquetes, como routers y firewalls.

Estas listas ACL permite a los administradores garantizar que, a menos que el dispositivo presente las credenciales adecuadas, no pueda obtener acceso.

Existen dos tipos básicos de ACL:

1. ACL del sistema de archivos: Estos funcionan como filtros, administrando el acceso a directorios o archivos. Una ACL de sistema de archivos proporciona instrucciones del sistema operativo en cuanto a los usuarios que tienen permitido acceder al sistema, así como los privilegios a los que tienen derecho una vez que están dentro.


2. ACL de red: Las ACL de red administran el acceso a una red. Para ello, proporcionan instrucciones a los conmutadores y enrutadores en cuanto a los tipos de tráfico que pueden interactuar con la red. También dictan lo que cada usuario o dispositivo puede hacer una vez que están adentro.

Cuando se concibieron por primera vez las ACL, funcionaban como firewalls, bloqueando el acceso a entidades no deseadas. Si bien muchos firewalls tienen funciones de control de acceso a la red, algunas organizaciones aún utilizan ACL con tecnologías como redes privadas virtuales (VPN). De esta manera, un administrador puede dictar qué tipos de tráfico se cifran y luego se envían a través del túnel seguro de la VPN.

Funcionamiento de la ACL

Con una ACL de sistema de archivos, tiene una tabla que le indica al sistema operativo de la computadora qué usuarios tienen qué privilegios de acceso. La tabla indica los usuarios que tienen permitido acceder a objetos específicos, como directorios o archivos en el sistema. Cada objeto de la computadora tiene una propiedad de seguridad que lo vincula a su lista de control de acceso asociada. En la lista, hay información para cada usuario que tiene los derechos necesarios para acceder al sistema.

Es posible que haya interactuado con un ACL mientras intentaba cambiar o abrir un archivo en su computadora. Por ejemplo, hay ciertos elementos a los que solo puede acceder un administrador. Si inicia sesión en su computadora como usuario habitual, es posible que no se le permita abrir ciertos archivos. Sin embargo, si inicia sesión como administrador, la propiedad de seguridad del objeto verá que usted es un administrador y luego le permitirá acceder.

Al considerar la ACL de red frente al grupo de seguridad, ambos comparten una similitud. Un grupo de seguridad puede estar compuesto por una lista de personas que pueden obtener acceso, o puede estar compuesto por categorías de usuarios, como administradores, invitados y usuarios normales.

A medida que un usuario realiza una solicitud para acceder a un objeto, el sistema operativo de la computadora verifica la ACL para ver si el usuario debe tener el acceso que desea. Si la lista indica que no se debe permitir al usuario abrir, usar o modificar ese objeto en particular, se denegará el acceso.

Los conmutadores y enrutadores que tienen ACL de red realizan la función de filtro en el tráfico de paquetes. Utilizan reglas predefinidas por un administrador o el fabricante. Estas reglas verifican el contenido de los paquetes en comparación con las tablas que rigen los parámetros de acceso. Verifican las direcciones del protocolo de Internet (IP) de las fuentes y el destino, los puertos de origen y destino, y el procedimiento oficial del paquete, que dicta cómo se supone que se moverá a través de la red.

• En la mayoría de los casos, utilizamos ACL para proporcionar un nivel básico de seguridad para acceder a nuestra red. Por ejemplo, si no configura las ACL, de forma predeterminada todos los paquetes que pasan a través del router podrían estar permitidos en todas las partes de nuestra red.
• Las ACL pueden permitir que un host, un intervalo de direcciones IP o redes y evitar que otro host, un intervalo de direcciones IP o redes accedan al mismo área (host o red).
• Mediante ACL, puede decidir qué tipos de tráfico reenvió o bloqueó en las interfaces del router. Por ejemplo, puede permitir el tráfico de protocolo de transferencia de archivos (SFTP) de Secure Shell (SSH) y, al mismo tiempo, bloquear todo el tráfico de protocolo de inicio de sesión (SIP).
• Con una lista de acceso ACL, puede simplificar la forma en que se identifican los usuarios locales, los usuarios remotos y los hosts remotos. Esto se realiza utilizando una base de datos de autenticación configurada para garantizar que solo los usuarios aprobados tengan acceso al dispositivo.
• Una lista de acceso también le permite evitar usuarios y tráfico no deseados. Si configura parámetros que dictan qué direcciones de origen o destino y qué usuarios tienen permitido acceder a una red, puede evitar que todos los demás ingresen. También puede categorizar los tipos de tráfico que desea permitir para acceder a la red y luego aplicar esas categorías a la ACL. Por ejemplo, puede crear una regla que permita que todo el tráfico de correo electrónico pase a la red, pero bloquee el tráfico que contiene archivos ejecutables.