Listas de control de acceso o acl

Solo disponible en BuenasTareas
  • Páginas : 6 (1284 palabras )
  • Descarga(s) : 0
  • Publicado : 17 de diciembre de 2010
Leer documento completo
Vista previa del texto
ACL
Una Lista de Control de Acceso o ACL (del inglés, Access Control List) es un concepto de seguridad informática usado para fomentar la separación de privilegios. Es una forma de determinar los permisos de acceso apropiados a un determinado objeto, dependiendo de ciertos aspectos del proceso que hace el pedido.
Las ACLs permiten controlar el flujo del tráfico en equipos de redes, tales comoenrutadores y conmutadores. Su principal objetivo es filtrar tráfico, permitiendo o denegando el tráfico de red de acuerdo a alguna condición. Sin embargo, también tienen usos adicionales, como por ejemplo, distinguir "tráfico interesante" (tráfico suficientemente importante como para activar o mantener una conexión) en RDSI.

Listas de acceso estándar:
Las listas de acceso IP estándarcomprueban las direcciones de origen de los paquetes que solicitan enrutamiento. El resultado es el permiso o la denegación de la salida del paquete por parte del protocolo, basándose en la dirección IP de la red-subred-host de origen.

Listas de acceso extendidas:
Las listas de acceso comprueban tanto la dirección de origen como la de destino de cada paquete. También pueden verificar protocolosespecificados, números de puerto y otros parámetros.

Una vez creada, una ACL debe asociarse a una interfaz de la siguiente manera:

Lista de acceso entrante:
Los paquetes entrantes son procesados antes de ser enrutados a una interfaz de salida, si el paquete pasa las pruebas de filtrado, será procesado para su enrutamiento (evita la sobrecarga asociada a las búsquedas en las tablas de enrutamientosi el paquete ha de ser descartado por las pruebas de filtrado).

Lista de acceso saliente:
Los paquetes entrantes son enrutados a la interfaz de salida y después son procesados por medio de la lista de acceso de salida antes de su transmisión.

Las listas de acceso expresan el conjunto de reglas que proporcionan un control añadido para los paquetes que entran en interfaces de entrada,paquetes que se trasmiten por el router, y paquetes que salen de las interfaces de salida del router.
Las listas de acceso no actúan sobre paquetes originados en el propio router, como las actualizaciones de enrutamiento a las sesiones Telnet salientes.

 
Listas de acceso numeradas

La siguiente tabla muestra los rangos de listas de acceso numeradas:
IP estándar…….1-99 y 1300-1999
IPextendida…..100-199 y 2000-2699
DEC net………….300-399 
XNS estándar….400-499 
XNS extendida…500-599 
Apple Talk………600-699 
IPX estándar…..800-899 
IPX extendida…900-999 
Filtros Sap……..1000-1099 

Las listas de acceso IP estándar:

• verifican sólo la dirección de origen en la cabecera del paquete (Capa 3).

Las listas de acceso IP extendidas:

• pueden verificar otros muchos elementos, incluidasopciones de la cabecera del segmento (Capa 4), como los números de puerto.

• Direcciones IP de origen y destino, protocolos específicos.

• Números de puerto TCP y UDP,

Ventajas de las ACL
Tradicionalmente, se definen tres conjuntos de permisos para cada objeto de archivo de un sistema Linux. Dichos conjuntos incluyen los permisos de lectura (r), escritura (w) y ejecución (x) para cadauno de los tres tipos de usuarios: el propietario del archivo, el grupo y otros usuarios. Por lo demás, también es posible definir el bit definir id de usuario, el bit definir id de grupo y el bit de permanencia. Este concepto básico se adecúa a la perfección a la mayoría de los casos prácticos. Sin embargo, para situaciones más complejas o aplicaciones avanzadas, anteriormente los administradoresdel sistema tenían que hacer uso de una serie de trucos para sortear las limitaciones del concepto tradicional de permiso.
Las ACL se pueden emplear como una extensión del concepto tradicional de permisos para los archivos. Dichas listas permiten la asignación de permisos a usuarios individuales o a grupos, incluso si éstos no se corresponden con el propietario original ni con el grupo...
tracking img