Toe­gangs­con­tro­le­lijs­ten (ACL’s) regelen de toegang van processen en ge­brui­kers tot af­zon­der­lij­ke delen van een computer, zoals bestanden of registers. Zo zorgen ze ervoor dat alleen ge­au­to­ri­seer­de ge­brui­kers toegang hebben tot bepaalde bronnen.

Wat is een toe­gangs­con­tro­le­lijst?

Toe­gangs­con­tro­le­lijs­ten zijn, net als ver­plich­te toe­gangs­con­tro­le of op rollen ge­ba­seer­de toe­gangs­con­tro­le, een vorm van toe­gangs­con­tro­le. In principe zijn ACL’s een reeks regels die door be­stu­rings­sys­te­men of ap­pli­ca­ties worden gebruikt om de toegang tot spe­ci­fie­ke pro­gram­ma­on­der­de­len of bronnen te beheren. Een toe­gangs­con­tro­le­lijst is dus een manier om bestands- of andere bron­rech­ten op een computer te beheren.

Je kunt toe­gangs­con­tro­le­lijs­ten dus zien als een soort tabel met daarin de ge­brui­kers en het soort toegang dat ze hebben. De meest voor­ko­men­de toe­gangs­rech­ten zijn:

  • het recht om een bestand te lezen
  • het recht om een bestand te schrijven (schrijven)
  • het recht om een bestand uit te voeren

De ver­mel­din­gen in een toe­gangs­con­tro­le­lijst worden ook wel toe­gangs­con­tro­le-en­ti­tei­ten (ACE) genoemd.

Toe­gangs­con­tro­le­lijs­ten werken volgens een heel eenvoudig principe: als een bepaalde gebruiker toegang wil tot een bron, con­tro­leert de ACL of hij of zij toegang mag krijgen. Met andere woorden, of er een ACE voor de gebruiker is. Als dat het geval is, wordt toegang verleend, zo niet, dan wordt deze geweigerd.

Soorten toe­gangs­con­tro­le­lijs­ten en toe­pas­sin­gen

Er zijn ver­schil­len­de soorten toe­gangs­con­tro­le­lijs­ten, wat betekent dat er een breed scala aan toe­pas­sin­gen voor ACL’s is. Over het algemeen zijn er twee ver­schil­len­de soorten toe­gangs­con­tro­le­lijs­ten: netwerk- en be­stands­sys­teem-ACL’s.

Netwerk-ACL’s

Net­werk­toe­gangs­con­tro­le­lijs­ten zijn tabellen die werken als een soort firewall voor inkomend da­ta­ver­keer, bij­voor­beeld binnen routers. Een der­ge­lij­ke netwerk-ACL bepaalt welke pakketten een netwerk mogen bin­nen­ko­men en welke niet. Dit betekent dat door gebruik te maken van een netwerk-ACL de toegang tot het netwerk kan worden ge­con­tro­leerd.

Binnen netwerk-ACL’s is het ook be­lang­rijk om op te merken dat er een verschil is tussen normale en uit­ge­brei­de toe­gangs­con­tro­le­lijs­ten. Normale ACL’s houden alleen rekening met het bron-IP-adres en maken geen on­der­scheid tussen ver­schil­len­de net­werk­pro­to­col­len zoals TCP, UDP of http. Ze worden gebruikt om toegang tot het hele netwerk toe te staan of te weigeren. Uit­ge­brei­de ACL’s houden daar­en­te­gen ook rekening met het doel-IP-adres en filteren pakketten op een wezenlijk andere manier, bij­voor­beeld op basis van het net­werk­pro­to­col of de bron- en doel­poor­ten van een pakket.

Be­stands­sys­teem-ACL’s

Daar­en­te­gen beheren ACL’s van be­stands­sys­te­men de toegang tot bestanden en bronnen in het be­stu­rings­sys­teem. De lijsten worden binnen be­stu­rings­sys­te­men gebruikt om bij­voor­beeld de toe­gangs­rech­ten van in­di­vi­du­e­le ge­brui­kers tot bepaalde bestanden te con­tro­le­ren en te beheren.

Toe­gangs­con­tro­le­lijs­ten voor gebouwen

Elke toe­gangs­con­tro­le­lijst bestaat in wezen uit meerdere toe­gangs­con­tro­le-en­ti­tei­ten. Deze ver­mel­din­gen vormen de regelset van de toe­gangs­con­tro­le­lijst en bestaan op hun beurt weer uit af­zon­der­lij­ke com­po­nen­ten. Welke com­po­nen­ten dat precies zijn, hangt af van het spe­ci­fie­ke type ACL. Hoewel alle ACE’s een ID hebben en in­for­ma­tie over de toe­gangs­rech­ten bevatten, ver­schil­len ze aan­zien­lijk van elkaar. Terwijl netwerk-ACL’s ook in­for­ma­tie over IP-adressen, het protocol of poort­num­mers bevatten, bevatten ACL’s voor be­stands­sys­te­men in­for­ma­tie over ge­brui­kers­groe­pen.

ACL-im­ple­men­ta­tie

Er is ook een verschil in de manier waarop toe­gangs­con­tro­le­lijs­ten worden ge­ïm­ple­men­teerd, af­han­ke­lijk van of ze worden gebruikt als een netwerk-ACL of een be­stands­sys­teem-ACL. Terwijl de laatste eenvoudig kan worden ge­con­fi­gu­reerd met behulp van ter­mi­nal­com­man­do’s, worden netwerk-ACL’s ge­ïm­ple­men­teerd in net­werk­com­po­nen­ten zoals routers.

Opmerking

De exacte im­ple­men­ta­tie van een toe­gangs­con­tro­le­lijst hangt niet alleen af van het type (netwerk of be­stands­sys­teem), maar ook van het be­stu­rings­sys­teem en het exacte ge­bruiks­sce­na­rio.

Voordelen

Toe­gangs­con­tro­le­lijs­ten bieden een reeks voordelen. Met name ACL’s voor be­stands­sys­te­men stellen ge­brui­kers in staat hun computer zo te con­fi­gu­re­ren dat alleen ge­au­to­ri­seer­de ge­brui­kers toegang hebben tot bepaalde bronnen. Toe­gangs­con­tro­le­lijs­ten breiden daarom het ge­ïn­te­greer­de rech­ten­be­heer in Linux uit met meer ge­de­tail­leer­de toe­gangs­be­vei­li­ging en ver­be­te­ren de sys­teem­be­vei­li­ging.

Netwerk-ACL’s zijn een evenredig, on­ge­com­pli­ceerd al­ter­na­tief voor een firewall. Ze stellen u ook in staat om het da­ta­ver­keer tussen netwerken te con­tro­le­ren. Dit verbetert niet alleen de pres­ta­ties, maar verhoogt ook de vei­lig­heid.

Ga naar hoofdmenu