Toegangscontrolelijsten (ACL’s) regelen de toegang van processen en gebruikers tot afzonderlijke delen van een computer, zoals bestanden of registers. Zo zorgen ze ervoor dat alleen geautoriseerde gebruikers toegang hebben tot bepaalde bronnen.

Wat is een toegangscontrolelijst?

Toegangscontrolelijsten zijn, net als verplichte toegangscontrole of op rollen gebaseerde toegangscontrole, een vorm van toegangscontrole. In principe zijn ACL’s een reeks regels die door besturingssystemen of applicaties worden gebruikt om de toegang tot specifieke programmaonderdelen of bronnen te beheren. Een toegangscontrolelijst is dus een manier om bestands- of andere bronrechten op een computer te beheren.

Je kunt toegangscontrolelijsten dus zien als een soort tabel met daarin de gebruikers en het soort toegang dat ze hebben. De meest voorkomende toegangsrechten zijn:

  • het recht om een bestand te lezen
  • het recht om een bestand te schrijven (schrijven)
  • het recht om een bestand uit te voeren

De vermeldingen in een toegangscontrolelijst worden ook wel toegangscontrole-entiteiten (ACE) genoemd.

Toegangscontrolelijsten werken volgens een heel eenvoudig principe: als een bepaalde gebruiker toegang wil tot een bron, controleert de ACL of hij of zij toegang mag krijgen. Met andere woorden, of er een ACE voor de gebruiker is. Als dat het geval is, wordt toegang verleend, zo niet, dan wordt deze geweigerd.

Soorten toegangscontrolelijsten en toepassingen

Er zijn verschillende soorten toegangscontrolelijsten, wat betekent dat er een breed scala aan toepassingen voor ACL’s is. Over het algemeen zijn er twee verschillende soorten toegangscontrolelijsten: netwerk- en bestandssysteem-ACL’s.

Netwerk-ACL’s

Netwerktoegangscontrolelijsten zijn tabellen die werken als een soort firewall voor inkomend dataverkeer, bijvoorbeeld binnen routers. Een dergelijke netwerk-ACL bepaalt welke pakketten een netwerk mogen binnenkomen en welke niet. Dit betekent dat door gebruik te maken van een netwerk-ACL de toegang tot het netwerk kan worden gecontroleerd.

Binnen netwerk-ACL’s is het ook belangrijk om op te merken dat er een verschil is tussen normale en uitgebreide toegangscontrolelijsten. Normale ACL’s houden alleen rekening met het bron-IP-adres en maken geen onderscheid tussen verschillende netwerkprotocollen zoals TCP, UDP of http. Ze worden gebruikt om toegang tot het hele netwerk toe te staan of te weigeren. Uitgebreide ACL’s houden daarentegen ook rekening met het doel-IP-adres en filteren pakketten op een wezenlijk andere manier, bijvoorbeeld op basis van het netwerkprotocol of de bron- en doelpoorten van een pakket.

Bestandssysteem-ACL’s

Daarentegen beheren ACL’s van bestandssystemen de toegang tot bestanden en bronnen in het besturingssysteem. De lijsten worden binnen besturingssystemen gebruikt om bijvoorbeeld de toegangsrechten van individuele gebruikers tot bepaalde bestanden te controleren en te beheren.

Toegangscontrolelijsten voor gebouwen

Elke toegangscontrolelijst bestaat in wezen uit meerdere toegangscontrole-entiteiten. Deze vermeldingen vormen de regelset van de toegangscontrolelijst en bestaan op hun beurt weer uit afzonderlijke componenten. Welke componenten dat precies zijn, hangt af van het specifieke type ACL. Hoewel alle ACE’s een ID hebben en informatie over de toegangsrechten bevatten, verschillen ze aanzienlijk van elkaar. Terwijl netwerk-ACL’s ook informatie over IP-adressen, het protocol of poortnummers bevatten, bevatten ACL’s voor bestandssystemen informatie over gebruikersgroepen.

ACL-implementatie

Er is ook een verschil in de manier waarop toegangscontrolelijsten worden geïmplementeerd, afhankelijk van of ze worden gebruikt als een netwerk-ACL of een bestandssysteem-ACL. Terwijl de laatste eenvoudig kan worden geconfigureerd met behulp van terminalcommando’s, worden netwerk-ACL’s geïmplementeerd in netwerkcomponenten zoals routers.

Opmerking

De exacte implementatie van een toegangscontrolelijst hangt niet alleen af van het type (netwerk of bestandssysteem), maar ook van het besturingssysteem en het exacte gebruiksscenario.

Voordelen

Toegangscontrolelijsten bieden een reeks voordelen. Met name ACL’s voor bestandssystemen stellen gebruikers in staat hun computer zo te configureren dat alleen geautoriseerde gebruikers toegang hebben tot bepaalde bronnen. Toegangscontrolelijsten breiden daarom het geïntegreerde rechtenbeheer in Linux uit met meer gedetailleerde toegangsbeveiliging en verbeteren de systeembeveiliging.

Netwerk-ACL’s zijn een evenredig, ongecompliceerd alternatief voor een firewall. Ze stellen u ook in staat om het dataverkeer tussen netwerken te controleren. Dit verbetert niet alleen de prestaties, maar verhoogt ook de veiligheid.

Ga naar hoofdmenu