Was ist eine Zugriffskontrollliste (ACL)? Typen und Beispiele

Wo es keine Regeln gibt, herrscht Chaos.

Dies gilt nicht nur für das Leben, sondern auch für die System- und Netzwerksicherheit. Die Etablierung und Durchsetzung geeigneter Regeln ist notwendig, um eine sichere und geordnete digitale Umgebung aufrechtzuerhalten. Eine solche Sicherheitsmaßnahme ist eine Zugriffskontrollliste (ACL).

Stellen Sie sich vor, Sie haben ein Google-Dokument mit sensiblen Geschäftsinformationen. Sie teilen es nur mit einem eingeschränkten Personenkreis, richtig? ACL-Sicherheit erreicht dasselbe auf System- und Netzwerkebene.

Tools wie Netzwerkzugriffskontrollsoftware mit integrierten ACLs helfen Unternehmen, diese Art von Systemen zu implementieren.

Durch die effektive Konfiguration von Zugriffskontrolllisten setzen Organisationen Sicherheitsrichtlinien durch, schützen sensible Daten, verhindern unbefugten Zugriff und verwalten den Netzwerkverkehr effizient.

Wofür werden ACLs verwendet?

ACLs begannen als Zugriffskontrollmechanismus für Dateien und Ressourcen in Betriebssystemen. Im Laufe der Zeit hat sich ihre Nutzung erweitert.

Moderne Computeranwendungen, von relationalen Datenbanken bis hin zu Enterprise Resource Planning (ERP) und Content-Management-Systemen (CMS), haben ACLs in ihren Systemverwaltungsmodulen. Cloud-Computing-Dienste wie Cloud-Speicherlösungen verwenden ebenfalls ACLs für granulare Zugriffskontrolle. Amazon Web Services (AWS) bietet beispielsweise ACLs zur Verwaltung des Zugriffs auf Buckets und Objekte in ihrer Speicherlösung an.

In der Netzwerksicherheit können ACLs an jedem Punkt im Netzwerk implementiert werden. Sie werden am häufigsten an Edge-Routern in einer demilitarisierten Zone (auch bekannt als DMZ-Netzwerk) platziert, die das öffentliche Internet und das interne Netzwerk trennt.

Die meisten sozialen Netzwerke wie Facebook verwenden ebenfalls ACL als ihr Hauptzugriffssteuerungsmodell. Benutzer können festlegen, wer auf ihre Profile, Freundeslisten oder Kalender zugreifen kann.

Wie funktioniert ACL?

ACLs werden verwendet, um den Zugriff eines Subjekts auf Objekte zu kontrollieren. Hierbei kann das Subjekt jede von einem Computersystem oder Netzwerk authentifizierte Entität sein: Benutzer, Programme oder Prozesse in einem System. Das zugegriffene Objekt ist jede sicherbare Entität im System oder Netzwerk, wie Dateien, Programme, Daten, Computer, Drucker, Geräte, Netzwerke oder Container.

ACL ermöglicht es Systemadministratoren, festzulegen, wer auf ein bestimmtes Objekt zugreifen kann und welche Aktionen sie mit der Ressource ausführen können.

Zu diesem Zweck hat jede ACL eine Liste von Einträgen, die Zugriffskontrolleinträge (ACE) genannt werden. ACE listet den ACL-Namen oder die ID der Benutzer oder Gruppen auf, die Zugriff auf ein bestimmtes Objekt haben. Es definiert auch die Zugriffsrechte, die diesen Benutzern erlaubt sind. Jedes Mal, wenn ein Benutzer oder eine Gruppe versucht, auf das Objekt zuzugreifen, werden ihre Rechte mit der Liste der ACEs abgeglichen.

Wenn die ACE-Bedingungen erfüllt sind, wird der Zugriff gewährt. Andernfalls wird der Zugriff verweigert.

Um dies besser zu verstehen, schauen wir uns die Funktionsweise von zwei Haupttypen von ACLs an: Dateisystem-ACL und Netzwerk-ACL.

Wie Dateisystem-ACL und Netzwerk-ACL funktionieren

Schauen wir uns zuerst die Dateisystem-ACL an. Die Dateisystem-ACL definiert, welche Benutzer auf eine bestimmte Datei oder ein Verzeichnis zugreifen dürfen. Stellen Sie sich vor, es gibt einige Dateien und Ordner in der Verkaufsabteilung. Jeder im Verkaufsteam benötigt Zugriff, um diese Dateien zu sehen und zu bearbeiten. Personen in der Buchhaltungsabteilung müssen jedoch nur die Dateien anzeigen.

Nun kann der Dateibesitzer oder der Systemadministrator eine ACL einrichten, die der Verkaufsabteilung die Berechtigung zum Lesen, Schreiben und Ausführen gibt, während die Buchhaltungsabteilung nur die Berechtigung zum Lesen der Datei erhält.

Wenn Andrea aus der Buchhaltungsabteilung versucht, eine Datei zu ändern oder zu löschen, werden ihre Zugriffsrechte auf der Liste der ACEs überprüft. Da sie keine ACE erfüllt, erhält sie keinen Zugriff, um die Aufgabe auszuführen.

In ähnlicher Weise hat die Netzwerk-ACL eine Liste von ACEs, um den Verkehr zu filtern und zu priorisieren. Die ACEs enthalten Kriterien, gegen die ein Internetprotokoll (IP)-Paket bewertet wird. Die Bedingungen können die Quell- und Zieladressen des Verkehrs, das Protokoll und die Ports sein. ACE enthält auch ein Aktionselement, d.h. entweder ein IP-Paket zu erlauben oder zu verweigern.

Ein IP-Paket, das in das Netzwerk eintritt, wird gegen die ACEs überprüft. Wenn es die Kriterien erfüllt, wird dem Paket der Zugriff gewährt. Andernfalls wird es blockiert. Dies wird auch als Paketfilterung bezeichnet, die häufig in Firewall-Software verwendet wird.

Arten von ACLs

Zwei Haupttypen von ACLs werden verwendet, abhängig von der Ressource, auf die sie den Zugriff kontrollieren: Dateisystem-ACL und Netzwerk-ACL. Lassen Sie uns diese wichtigen ACL-Kategorien im Detail untersuchen.

1. Dateisystem-ACL

Die Dateisystem-ACL war die allererste ACL in der Computersicherheitswelt, die 1965 in einem OS namens Multics implementiert wurde.

Mit der Dateisystem-ACL können Sie mehr Berechtigungen als die üblichen Lese-, Schreib- und Ausführungsberechtigungen definieren, im Gegensatz zu den traditionellen Unix-Dateiberechtigungen. Darüber hinaus ermöglicht die Dateisystem-ACL die Definition der Berechtigung für den Dateibesitzer, andere spezifische Benutzer und Gruppen.

Viele Betriebssysteme wie Windows, MacOS, Linux und Solaris haben integrierte Dateisystem-ACLs.

2. Netzwerk-ACL

Die Netzwerk-ACL hingegen filtert den Verkehr zu Ihrem Netzwerk, um unbefugten Zugriff zu blockieren. Sie wird in der Netzwerkschnittstelle wie Routern implementiert. Die ACL bestimmt, welcher Verkehr blockiert und welcher Verkehr an das Netzwerk weitergeleitet wird.

Komponenten der ACL

Ob sie dateisystem- oder netzwerkbasiert sind, ACLs haben unterschiedliche Komponenten, die die Regeln für den Zugriff angeben.

Dateisystem-ACL-Komponenten

Ein Eintrag in der Dateisystem-ACL umfasst Folgendes:

• Datei/Objekt, für das die Zugriffsberechtigungen festgelegt sind.
• Besitzer der Datei oder des Objekts, für das die ACL festgelegt ist.
• Benutzer-ID oder Gruppen-ID zusammen mit den Berechtigungen, die erlaubt sind. In Microsoft wird ein Sicherheitsbezeichner verwendet, um die Benutzer-ID oder Gruppen-ID zu kennzeichnen.

Einige Dateisystem-ACLs können Zugriffs-Masken enthalten, die das maximale Zugriffs- oder Berechtigungsniveau auflisten, das Benutzer außer den Eigentümern haben können.

Netzwerk-ACL-Komponenten

Ein Eintrag in der Netzwerk-ACL umfasst typischerweise:

• Einen Zugriffsliste-Namen zur Identifizierung der ACL.
• Eine Sequenznummer für jede Zeile der Zugriffsliste, d.h. die ACE.
• Ein erlauben oder verweigern Aktionselement.
• Eine Quell-/Zieladresse des Verkehrs, der erlaubt oder zugelassen werden soll.
• Der Typ des Netzwerkprotokolls oder Portnummern im Falle einer erweiterten ACL.

Einige Netzwerk-ACLs erlauben auch Optionen, um Kommentare zu ACL-Einträgen hinzuzufügen und Zugriffsversuche zu protokollieren.

Andere Arten von ACLs im Netzwerk

Abgesehen von den beiden oben genannten Hauptkategorien von ACLs verwenden Netzwerke andere ACLs, die auf Faktoren wie Zugriffskontrollmechanismen und den Zwecken, die die ACLs dienen, basieren.

Basierend auf Zugriffskontrollmechanismen

Vier unterschiedliche Varianten von Netzwerk-ACLs ergeben sich aus verschiedenen Arten der Zugriffskontrolle: Standard, erweitert, dynamisch und reflexiv.

1. Standard-ACL

Eine Standard-Zugriffskontrollliste ist die häufigste Kategorie von Netzwerk-ACL. Sie filtert den Verkehr basierend auf der Quell-IP-Adresse eines Pakets. Sie wird normalerweise in Router konfiguriert. Standard-ACL unterscheidet nicht zwischen verschiedenen IP-Protokollen wie Transmission Control Protocol (TCP), User Datagram Protocol (UDP) oder Hypertext Transfer Protocol Secure (HTTPS).

2. Erweiterte ACL

Die erweiterte Zugriffskontrollliste kann Netzwerkpakete basierend auf Quell- und Zieladressen, Portnummern, Protokollen und Zeitbereichen filtern. Sie ist flexibler, anpassbarer und detaillierter als eine Standard-ACL.

3. Dynamische ACL

Die dynamische Zugriffskontrollliste wird auch als Lock-and-Key-ACL bezeichnet. Sie basiert auf der erweiterten ACL, erfordert jedoch zusätzliche Bedingungen, die erfüllt werden müssen, wie z.B. eine Remote-Verbindung zum Host oder lokalen Computer über Telnet und Authentifizierung, bevor der Netzwerkzugriff erlaubt wird. Die dynamische ACL erlaubt die Verbindung für einen bestimmten Zeitraum und bietet eine Timeout-Funktion, um eine Netzwerkverbindung zu beenden.

Diese Art von ACL eignet sich, um externen Benutzern für einen begrenzten Zeitraum eingeschränkten Zugriff auf interne Ressourcen zu gewähren.

4. Reflexive ACL

Eine reflexive Zugriffsliste ist eine Verbesserung der erweiterten ACL. Sie öffnet den Router automatisch für die Antwortpakete als Reaktion auf den ausgehenden Verkehr, der von Ihrem Netzwerk initiiert wurde.

Basierend auf der Syntax

Beim Erstellen der hier genannten verschiedenen ACLs können Sie Namen oder Nummern verwenden, um die Zugriffsliste zu identifizieren und darauf zu verweisen. Basierend auf der verwendeten Syntax gibt es zwei Arten von ACL: nummeriert und benannt.

1. Nummerierte ACL

Wie der Name schon sagt, verwendet eine nummerierte ACL eine Reihe von Nummern, die dem Verkehr zeigen, was in einem Netzwerk erlaubt oder verweigert wird. Zum Beispiel verwenden Benutzer in der Standard-ACL die Bereiche 1-99 und 1300-1999, um die Quell-IP-Adressen anzugeben, die sie verweigern oder erlauben möchten. Ebenso werden für erweiterte ACLs die IP-Adressbereiche 100-199 und 2000 bis 2699 verwendet.

2. Benannte ACL

In einer benannten ACL weisen Benutzer der Liste einen alphanumerischen Namen zu, um sie zu identifizieren. Dies ist bequemer als nummerierte ACLs, da Benutzer einen aussagekräftigen Namen angeben können, der leichter zu merken ist. Benannte ACLs bieten auch zusätzliche Vorteile, wie das einfache Hinzufügen oder Löschen von Einträgen, ohne die gesamte ACL löschen zu müssen, eine Funktion, die in nummerierten Zugriffskontrolllisten fehlt.

Basierend auf dem Zweck

Drei verschiedene Kategorien von ACLs existieren, die jeweils einem einzigartigen Zweck dienen, wie der Regulierung des Zugriffs, der Überwachung und der Durchsetzung strenger Kontrollen.

1. Discretionary ACL (DACL)

Eine discretionary access control list (DACL) ist eine benutzerorientierte Zugriffskontrolle. Hierbei erwähnt ein ACE Benutzer oder Gruppen, denen der Zugriff auf ein sicheres Objekt erlaubt oder verweigert wird.

2. System-ACL (SACL)

Die system access control list (SACL) bezieht sich mehr auf die Überwachung, wer auf ein gesichertes Objekt zugreift, als auf die Zugriffskontrolle. SACLs protokollieren die Versuche, auf ein gesichertes Objekt basierend auf festgelegten Regeln zuzugreifen. Hierbei gibt das ACE die Arten von Zugriffsversuchen an, die im Sicherheitsereignisprotokoll aufgezeichnet werden müssen.

Zum Beispiel kann ein ACE jeden fehlgeschlagenen Zugriffsversuch auf eine sichere Datei aufzeichnen, ein anderes ACE kann jeden Versuch, ein Objekt zu schreiben oder zu ändern, protokollieren, und SACLs können jede Sicherheitskompromittierung im System identifizieren.

3. Mandatory ACL (MACL)

Im Gegensatz zu anderen ACL-Typen, die es den Eigentümern eines Objekts erlauben, die ACL zu definieren, wird die mandatory access control list (MACL) vom System oder der Behörde bestimmt. Benutzer haben nicht die Möglichkeit, die ACL-Einträge zu überschreiben oder zu ändern. MACLs helfen, strenge Kontrollen über die Gewährung von Zugriffsberechtigungen durchzusetzen.

Rollenbasierte Zugriffskontrolle (RBAC) vs. ACL

Eine ACL und die rollenbasierte Zugriffskontrolle (RBAC) klingen ähnlich, aber lassen Sie uns einige Unterschiede betrachten.

Mit RBAC erhalten verschiedene Jobs unterschiedliche Berechtigungssätze für Systemressourcen, sodass Benutzer nur den minimalen Zugriff haben, der zur Erledigung einer Aufgabe erforderlich ist.

Zum Beispiel hat ein Systemadministrator vollen Zugriff auf alle Anwendungen und Ressourcen, die ein Unternehmen verwendet. Bestimmte Gruppen wie das Verkaufsteam haben jedoch nur Zugriff auf Verkaufssoftware. Während das Marketingteam auf die Dashboards des Verkaufsteams zugreifen und diese anzeigen kann, können nur Vertriebsmitarbeiter Änderungen vornehmen und das Dashboard hinzufügen oder löschen.

RBAC ist der bevorzugte Mechanismus zur Durchsetzung unternehmensweiter Zugriffsmanagementrichtlinien.

Eine ACL hingegen bietet eine „feinkörnige“ Zugriffskontrolle auf individueller Benutzerebene. Sie basiert auf Kriterien, die in ACEs definiert sind. Da sie auf individueller Benutzerebene arbeitet, sind ACLs in großen Unternehmensnetzwerken schwer zu implementieren.

Vorteile von ACL

Unternehmen verwenden ACL, um Daten zu sichern und unbefugte Benutzer daran zu hindern, auf geschäftssensible Informationen zuzugreifen. Dies verhindert Datenverletzungen und andere Cyberangriffe. Es kontrolliert auch den Netzwerkverkehr, indem die Anzahl der Benutzer, die auf Dateien, Systeme und Informationen zugreifen, begrenzt wird. Hier sind die Vorteile der Verwendung einer Zugriffskontrollliste für Ihr Unternehmensnetzwerk.

• Verbessern Sie die Netzwerksicherheit und reduzieren Sie die Wahrscheinlichkeit von Spoofing, Distributed Denial-of-Service (DDoS), Sicherheitsverletzungen und anderen Cyberangriffen.
• Erhalten Sie granulare Kontrolle über den Benutzerzugriff und den Netzwerkverkehr an verschiedenen Punkten. Um eine Vorstellung zu geben, können Sie NACL in der Nähe der Quelle oder des Ziels des Verkehrs und an Endpunkten wie Anwendungen oder Servern implementieren.
• Begrenzen Sie den Netzwerkverkehr, um die Netzwerkleistung zu verbessern. Zum Beispiel können Sie den Videoverkehr zum Netzwerk mit ACL einschränken und die Netzwerklast reduzieren.
• Priorisieren Sie bestimmte Verkehrsklassen basierend auf der Adresse, dem Typ, dem Protokoll und dem Zweck der Daten. Zum Beispiel können Sie Voice over Internet Protocol (VOIP) über andere Arten von Verkehr mit ACL priorisieren, um eine schnellere Kommunikation über das Internet zu ermöglichen.

Best Practices für die Implementierung einer ACL

Die Implementierung von ACLs für verschiedene IT-Assets in einem Unternehmensnetzwerk ist nie gleich. Die Konfiguration einer Standard-ACL auf einem Router unterscheidet sich von der Konfiguration einer ACL für das Cloud-Speichersystem. Und sie richtig zu machen, ist wichtig, um Probleme mit Ausfallzeiten und Netzwerkfehlern zu vermeiden. Sie können bestimmte allgemeine Best Practices für eine effektive ACL-Implementierung befolgen.

Implementieren Sie ACLs überall

Konfigurieren Sie ACLs auf jeder öffentlich zugänglichen Netzwerkschnittstelle und auch innerhalb Ihrer internen Netzwerkschnittstelle. Dies kontrolliert sowohl den eingehenden als auch den ausgehenden Zugriff und stellt sicher, dass kein Gerät exponiert ist. Sie können auch detaillierte Zugriffskontrollen für sensible Ressourcen erstellen und die Auswirkungen von Sicherheits- und Datenverletzungen minimieren.

Richten Sie ACLs an Sicherheitsrichtlinien aus

Definieren Sie, was Sie mit Ihren ACLs erreichen möchten. Überlegen Sie, welchen einzelnen Benutzern und Gruppen Berechtigungen erteilt werden müssen und welches Zugriffslevel sie haben. Basieren Sie dies auf den Sicherheitsrichtlinien der Organisation. Dies stellt sicher, dass Ihre ACLs nicht im Widerspruch zu Ihren Cybersicherheitsrichtlinien stehen.

Sie können auch potenzielle Zugriffsprobleme vermeiden. Schreiben Sie detaillierte ACL-Regeln aus. Ordnen Sie sie richtig, da ACL-Einträge nacheinander gelesen werden. Verwenden Sie Ihr Regelbuch, um bestimmten Zugriff zu priorisieren.

Erstellen Sie eine ACL-Bibliothek

Dokumentieren Sie alle Ihre ACL. Sie können die Kommentaroption in ACLs verwenden und Beschreibungen des Zwecks der ACL-Regeln, des Erstellungsdatums, des Autors und anderer relevanter Details hinzufügen. Die Dokumentation hilft Ihnen, den Überblick über alle Ihre Zugriffskontrollregeln zu behalten, damit Sie sie besser verwalten können. Sie bietet Ihnen auch eine Bibliothek von ACLs, die Sie jederzeit bearbeiten und wiederverwenden können.

Einschränken, schützen und sichern

ACLs sind mächtige Werkzeuge in der System- und Netzwerksicherheit, um den Zugriff auf sensible Daten zu kontrollieren und zu verwalten. Sie fungieren als Torwächter, die autorisierte Entitäten zulassen und potenziellen Bedrohungen den Zugang verwehren. Stärken Sie Ihre digitalen Unternehmensgrenzen mit ACLs und sichern Sie Ihr Netzwerk.

Erfahren Sie mehr über Netzwerkzugriffskontrolle und warum Ihr Unternehmen sie benötigt.