¿Qué es una Lista de Control de Acceso (ACL)? Tipos y Ejemplos

Donde no hay reglas, hay caos.

Esto no solo se aplica a la vida, sino también a la seguridad de sistemas y redes. Establecer y hacer cumplir reglas adecuadas es necesario para mantener un entorno digital seguro y ordenado. Una de esas medidas de seguridad es una lista de control de acceso (ACL).

Imagina que tienes un documento de Google con información empresarial sensible. Lo compartes solo con un conjunto restringido de personas, ¿verdad? La seguridad ACL logra lo mismo a nivel de sistema y red.

Herramientas como software de control de acceso a la red con ACL integradas ayudan a las empresas a implementar estos tipos de sistemas.

Al configurar listas de control de acceso de manera efectiva, las organizaciones hacen cumplir políticas de seguridad, protegen datos sensibles, previenen el acceso no autorizado y gestionan el tráfico de red de manera eficiente.

¿Para qué se utilizan las ACL?

Las ACL comenzaron como un mecanismo de control de acceso para archivos y recursos en sistemas operativos. Con el tiempo, su uso se ha expandido.

Las aplicaciones informáticas modernas, desde bases de datos relacionales hasta planificación de recursos empresariales (ERP) y sistemas de gestión de contenido (CMS), tienen ACL en sus módulos de administración del sistema. Los servicios de computación en la nube, como las soluciones de almacenamiento en la nube, también utilizan ACL para un control de acceso granular. Amazon Web Services (AWS), por ejemplo, proporciona ACL para gestionar el acceso a cubos y objetos en su solución de almacenamiento.

En seguridad de red, las ACL se pueden implementar en cualquier punto de la red. Se colocan más comúnmente en enrutadores de borde en una zona desmilitarizada (también conocida como red DMZ) que separa la internet pública y la red interna.

La mayoría de los sitios de redes sociales como Facebook también utilizan ACL como su principal modelo de control de acceso. Los usuarios pueden especificar quién puede acceder a sus perfiles, listas de amigos o calendarios.

¿Cómo funciona una ACL?

Las ACL se utilizan para controlar el acceso de un sujeto a objetos. Aquí, el sujeto puede ser cualquier entidad autenticada por un sistema informático o red: usuarios, programas o procesos en un sistema. El objeto accedido es cualquier entidad securizable en el sistema o red, como archivos, programas, datos, computadoras, impresoras, dispositivos, redes o contenedores.

ACL permite a los administradores del sistema dictar quién puede acceder a un objeto específico y qué acciones pueden realizar con el recurso.

Para este propósito, cada ACL tiene una lista de entradas llamadas entradas de control de acceso (ACE). ACE enumera el nombre o ID de la ACL de los usuarios o grupos que tienen acceso a un objeto en particular. También define los derechos de acceso permitidos para esos usuarios. Cada vez que un usuario o un grupo intenta acceder al objeto, sus derechos se verifican contra la lista de ACE.

Si se cumplen las condiciones de ACE, se concede el acceso. Si no, se niega el acceso.

Para entender esto mejor, veamos el funcionamiento de dos tipos principales de ACL: ACL de sistema de archivos y ACL de red.

Cómo funcionan la ACL de sistema de archivos y la ACL de red

Veamos primero la ACL de sistema de archivos. La ACL de sistema de archivos define qué usuarios pueden acceder a un archivo o directorio en particular. Imagina que hay algunos archivos y carpetas en el departamento de ventas. Todos en el equipo de ventas necesitan acceso para ver y modificar esos archivos. Sin embargo, las personas en el departamento de cuentas solo necesitan ver los archivos.

Ahora, el propietario del archivo o el administrador del sistema puede configurar una ACL que otorgue al departamento de ventas permiso para leer, escribir y ejecutar, mientras que el departamento de cuentas solo obtiene permiso para leer el archivo.

Si Andrea del departamento de contabilidad intenta modificar o eliminar algún archivo, sus derechos de acceso se verificarán en la lista de ACE. Como no coincidirá con ningún ACE, no obtendrá acceso para realizar la tarea.

De manera similar, la ACL de red tiene una lista de ACE en particular para filtrar y priorizar el tráfico. Las ACE contienen criterios contra los cuales se evalúa un paquete de protocolo de internet (IP). Las condiciones pueden ser las direcciones de origen y destino del tráfico, protocolo y puertos. ACE también contiene un elemento de acción, es decir, permitir o denegar un paquete IP.

Un paquete IP que ingresa a la red se verifica contra las ACE. Si coincide con los criterios, se permite el acceso al paquete. Si no, se bloquea. Esto también se llama filtrado de paquetes, que se usa comúnmente en software de cortafuegos.

Tipos de ACL

Se utilizan dos tipos principales de ACL, dependiendo del recurso al que controlan el acceso: ACL de sistema de archivos y ACL de red. Examinemos estas importantes categorías de ACL en detalle.

1. ACL de sistema de archivos

La ACL de sistema de archivos fue la primera ACL en el mundo de la seguridad informática, implementada en un sistema operativo llamado Multics en 1965.

Con la ACL de sistema de archivos, puedes definir más permisos que los habituales permisos de lectura, escritura y ejecución, a diferencia de los permisos de archivo al estilo Unix tradicional. Además, la ACL de sistema de archivos permite definir el permiso para el propietario del archivo, otros usuarios específicos y grupos.

Muchos sistemas operativos como Windows, MacOS, Linux y Solaris tienen ACL de sistema de archivos integradas.

2. ACL de red

La ACL de red, por otro lado, filtra el tráfico hacia tu red para bloquear el acceso no autorizado. Se implementa en la interfaz del dispositivo de red como enrutadores. La ACL determina qué tráfico se bloquea y qué tráfico se reenvía a la red.

Componentes de una ACL

Ya sean basadas en sistema de archivos o en red, las ACL tienen componentes distintos que mencionan las reglas para el acceso.

Componentes de una ACL de sistema de archivos

Una entrada de ACL de sistema de archivos incluye lo siguiente:

• Archivo/Objeto para el cual se establecen los permisos de acceso.
• Propietario del archivo u objeto para el cual se establece la ACL.
• ID de usuario o ID de grupo, junto con permisos permitidos. En Microsoft, se utiliza un identificador de seguridad para denotar el ID de usuario o ID de grupo.

Algunas ACL de sistema de archivos pueden contener máscaras de acceso que enumeran el nivel máximo de acceso o permiso que los usuarios que no son propietarios pueden tener.

Componentes de una ACL de red

Una entrada de ACL de red típicamente comprende:

• Un nombre de lista de acceso para identificar la ACL.
• Un número de secuencia para cada línea de la lista de acceso, es decir, el ACE.
• Un elemento de acción de permitir o denegar.
• Una dirección de origen/destino del tráfico que debe permitirse o denegarse.
• El tipo de protocolo de red, o números de puerto en caso de una ACL extendida.

Algunas ACL de red también permiten opciones para comentar las entradas de ACL y registrar intentos de acceso.

Otros tipos de ACL en redes

Aparte de las dos categorías principales de ACL mencionadas anteriormente, las redes utilizan otras ACL basadas en factores como mecanismos de control de acceso y los propósitos que sirven las ACL.

Basado en mecanismos de control de acceso

Cuatro variantes distintas de ACL de red surgen de diferentes formas de control de acceso: estándar, extendida, dinámica y reflexiva.

1. ACL estándar

Una lista de control de acceso estándar es la categoría más común de ACL de red. Filtra el tráfico basado en la dirección IP de origen de un paquete. Generalmente se configura en enrutadores. La ACL estándar no diferencia entre diferentes protocolos IP como el protocolo de control de transmisión (TCP), el protocolo de datagramas de usuario (UDP) o el protocolo seguro de transferencia de hipertexto (HTTPS).

2. ACL extendida

La lista de control de acceso extendida puede filtrar paquetes de red basados en direcciones de origen y destino, números de puerto, protocolos y rangos de tiempo. Es más flexible, personalizable y detallada que una ACL estándar.

3. ACL dinámica

La lista de control de acceso dinámica también se llama ACL de bloqueo y llave. Se basa en la ACL extendida pero requiere que se cumplan condiciones adicionales, como conexión remota al host o computadora local a través de Telnet y autenticación antes de que se permita el acceso a la red. La ACL dinámica permite la conexión por un período de tiempo específico y proporciona una función de tiempo de espera para detener una conexión de red.

Este tipo de ACL es adecuado para proporcionar acceso limitado a recursos internos a usuarios externos por un período de tiempo temporal.

4. ACL reflexiva

Una lista de acceso reflexiva es una mejora sobre la ACL extendida. Abre automáticamente el enrutador a los paquetes de respuesta en respuesta al tráfico saliente iniciado desde tu red.

Basado en la sintaxis

Al crear las diferentes ACL mencionadas aquí, puedes usar nombres o números para identificar y referirse a la lista de acceso. Basado en la sintaxis utilizada, hay dos tipos de ACL: numerada y nombrada.

1. ACL numerada

Como su nombre indica, una ACL numerada utiliza un rango de números que muestra al tráfico lo que está permitido o denegado en una red. Por ejemplo, en la ACL estándar, los usuarios emplean los rangos 1-99 y 1300-1999 para denotar las direcciones IP de origen que desean denegar o permitir. De manera similar, para las ACL extendidas, se utilizan los rangos de direcciones IP 100-199 y 2000 a 2699.

2. ACL nombrada

En una ACL nombrada, los usuarios asignan un nombre alfanumérico para identificar la lista. Esto es más conveniente que las ACL numeradas porque los usuarios pueden especificar un nombre significativo que sea más fácil de recordar. Las ACL nombradas también proporcionan ventajas adicionales, como agregar o eliminar entradas fácilmente sin tener que eliminar toda la ACL, una característica que está ausente en las listas de acceso numeradas.

Basado en el propósito

Existen tres categorías diferentes de ACL, cada una sirviendo un propósito único, como regular el acceso, auditar y hacer cumplir controles estrictos.

1. ACL discrecional (DACL)

Una lista de control de acceso discrecional (DACL) es un control de acceso orientado al usuario. Aquí, un ACE menciona a los usuarios o grupos que tienen permitido o denegado el acceso a un objeto seguro.

2. ACL del sistema (SACL)

La lista de control de acceso del sistema (SACL) se centra más en monitorear quién está accediendo a un objeto seguro que en controlar el acceso. Las SACL registran los intentos de acceso a un objeto seguro según las reglas establecidas. Aquí, el ACE especifica los tipos de intentos de acceso que deben registrarse en el registro de eventos de seguridad.

Por ejemplo, un ACE puede registrar cualquier intento fallido de acceso a un archivo seguro, otro ACE puede registrar cualquier intento de escribir o modificar un objeto, y las SACL pueden identificar cualquier compromiso de seguridad en el sistema.

3. ACL obligatoria (MACL)

A diferencia de otros tipos de ACL que permiten a los propietarios de un objeto definir la ACL, la lista de control de acceso obligatoria (MACL) es determinada por el sistema o la autoridad. Los usuarios no tienen la capacidad de anular o modificar las entradas de la ACL. Las MACL ayudan a hacer cumplir un control estricto sobre la concesión de permisos de acceso.

Control de acceso basado en roles (RBAC) vs. ACL

Una ACL y el control de acceso basado en roles (RBAC) suenan similares, pero veamos algunas diferencias.

Con RBAC, diferentes trabajos obtienen diferentes conjuntos de permisos para recursos del sistema para que los usuarios solo tengan el acceso mínimo necesario para completar una tarea.

Por ejemplo, un administrador del sistema tiene acceso completo a todas las aplicaciones y recursos que una empresa está utilizando. Sin embargo, grupos específicos como el equipo de ventas solo tienen acceso al software de ventas. Mientras que el equipo de marketing puede acceder y ver los paneles del equipo de ventas, solo los vendedores pueden hacer cambios, y agregar o eliminar el panel.

RBAC es el mecanismo preferido para hacer cumplir las políticas de gestión de acceso en toda la empresa.

Una ACL, por otro lado, ofrece un nivel de control de acceso "granular" a nivel de usuario individual. Se basa en criterios definidos en ACE. Dado que funciona a nivel de usuario individual, las ACL son difíciles de implementar en grandes redes empresariales.

Beneficios de las ACL

Las empresas utilizan ACL para asegurar datos y restringir a usuarios no autorizados el acceso a información sensible para el negocio. Esto previene violaciones de datos y otros ciberataques. También controla el tráfico de red al limitar el número de usuarios que acceden a archivos, sistemas e información. Aquí están las ventajas de usar una lista de control de acceso para tu red empresarial.

• Mejorar la seguridad de la red y reducir la posibilidad de suplantación, denegación de servicio distribuida (DDoS), violaciones de seguridad y otros ciberataques.
• Obtener control granular sobre el acceso de usuarios y el tráfico de red en diferentes puntos. Para dar una idea, puedes implementar NACL cerca de la fuente o destino del tráfico, y en puntos finales, como aplicaciones o servidores.
• Limitar el tráfico de red para mejorar el rendimiento de la red. Por ejemplo, puedes restringir el tráfico de video a la red usando ACL y reducir la carga de la red.
• Priorizar ciertas clases de tráfico basado en la dirección, tipo, protocolo y propósito de los datos. Por ejemplo, puedes priorizar voz sobre protocolo de internet (VOIP) sobre otros tipos de tráfico para una comunicación más rápida a través de internet.

Mejores prácticas para implementar una ACL

Implementar ACL para diferentes activos de TI en una red empresarial nunca es lo mismo. Configurar una ACL estándar en un enrutador es distinto de configurar una ACL para el sistema de almacenamiento en la nube. Y hacerlo bien es importante para evitar problemas de tiempo de inactividad y errores de red. Puedes seguir ciertas prácticas generales para una implementación efectiva de ACL.

Implementar ACL en todas partes

Configura ACL en cualquier interfaz de red que esté de cara al público y también dentro de tu interfaz de red interna. Esto controla tanto el acceso entrante como el saliente y asegura que ningún dispositivo esté expuesto. También puedes crear un control de acceso detallado para recursos sensibles y minimizar el impacto de violaciones de seguridad y violaciones de datos.

Alinear las ACL con las políticas de seguridad

Define lo que quieres que hagan tus ACL. Considera qué usuarios individuales y grupos necesitan recibir permiso y cuál es su nivel de acceso. Basa esto en las políticas de seguridad de la organización. Esto asegura que tus ACL no estén en conflicto con tus directrices de ciberseguridad.

También puedes evitar cualquier problema potencial de acceso. Escribe reglas detalladas de ACL. Ordénalas adecuadamente, ya que las entradas de ACL se leen secuencialmente. Usa tu libro de reglas para priorizar cierto acceso.

Crear una biblioteca de ACL

Documenta todas tus ACL. Puedes usar la opción de comentarios en las ACL y agregar descripciones del propósito de las reglas de ACL, fecha de creación, autor y otros detalles relevantes. Documentar te ayuda a llevar un registro de todas tus reglas de control de acceso para que puedas gestionarlas mejor. También te proporciona una biblioteca de ACL que puedes editar y reutilizar en cualquier momento.

Restringir, proteger y asegurar

Las ACL son herramientas formidables en la seguridad de sistemas y redes para controlar y gestionar el acceso a datos sensibles. Actúan como guardianes, permitiendo a las entidades autorizadas mientras niegan la entrada a posibles amenazas. Fortalece tus perímetros digitales empresariales con ACL y asegura tu red.

Aprende más sobre control de acceso a la red y por qué tu negocio lo necesita.