As Access Control Lists (ACL) ou listas de controlo de acesso regulam o acesso de processos e uti­li­za­do­res a de­ter­mi­na­dos objetos do com­pu­ta­dor, como ficheiros ou registos. Desta forma, garante-se que apenas os uti­li­za­do­res au­to­ri­za­dos possam aceder a de­ter­mi­na­dos recursos.

O que é exa­ta­mente uma Lista de Controlo de Acesso?

As Listas de Controlo de Acesso (Access Control Lists) são, tal como o Controlo de Acesso Obri­ga­tó­rio (Mandatory Access Control) ou o Controlo de Acesso Baseado em Funções (Role Based Access Control), uma forma de controlo de acesso. Ba­si­ca­mente, as ACL são conjuntos de regras que utilizam, por exemplo, sistemas ope­ra­ti­vos ou programas de aplicação para gerir o acesso a de­ter­mi­na­das partes do programa ou dos recursos. As ACL são, portanto, uma medida para gerir os direitos sobre ficheiros ou outros recursos num com­pu­ta­dor.

Pode pensar nessas Listas de Controlo de Acesso como uma espécie de tabela que regista, por recurso, quais os uti­li­za­do­res que têm que tipo de acesso ao recurso. Os direitos de acesso mais comuns são:

  • direito de ler um ficheiro (read)
  • direito de escrever um ficheiro (write)
  • direito de executar um ficheiro (execute)

Essas entradas dentro de uma ACL também são chamadas de Entidades de Controlo de Acesso (ACE).

As Listas de Controlo de Acesso funcionam segundo um princípio muito simples: se um de­ter­mi­nado uti­li­za­dor deseja aceder a um recurso, verifica-se a ACL do recurso cor­res­pon­dente para ver se esse acesso é permitido (em outras palavras, se existe um ACE para o uti­li­za­dor). Se for o caso, o acesso é concedido; caso contrário, é negado.

Tipos de ACL e uti­li­za­ções

Existem di­fe­ren­tes tipos de listas de controlo de acesso, pelo que as suas possíveis uti­li­za­ções também são muito variadas. Em termos gerais, podem dis­tin­guir-se dois tipos di­fe­ren­tes de ACL: listas ACL de rede e de sistema de ficheiros.

ACL de rede

As ACLs de rede são listas de controlo de acesso em forma de tabela que podem ser uti­li­za­das como uma espécie de firewall para o tráfego de dados de entrada, por exemplo, dentro dos routers. Uma ACL de rede deste tipo determina quais os pacotes que podem entrar na rede e quais os que não podem. Desta forma, o acesso à rede pode ser con­tro­lado com a ajuda de uma ACL.

No âmbito das ACLs de rede, continua a ser útil di­fe­ren­ciar entre listas de controlo de acesso normais e alargadas: as ACLs con­ven­ci­o­nais têm apenas em conta o endereço IP de origem e não dis­tin­guem entre di­fe­ren­tes pro­to­co­los de rede, como TCP, UDP ou HTTP. Permitem ou negam o acesso a toda a rede. As ACLs es­ten­di­das, por outro lado, con­si­de­ram adi­ci­o­nal­mente o endereço IP de destino e filtram os pacotes de forma muito mais di­fe­ren­ci­ada, por exemplo, com base no protocolo de rede ou na porta de origem e destino de um pacote.

ACL do sistema de ficheiros

Por outro lado, as ACLs do sistema de ficheiros controlam o acesso a ficheiros e recursos no sistema operativo. As listas são uti­li­za­das dentro dos sistemas ope­ra­ti­vos, por exemplo, para regular e gerir o acesso de uti­li­za­do­res in­di­vi­du­ais a ficheiros es­pe­cí­fi­cos.

Estrutura das listas de controlo de acesso

Cada lista de controlo de acesso é composta es­sen­ci­al­mente por várias Entidades de Controlo de Acesso (ACE). Estas entradas formam o conjunto de regras da Lista de Controlo de Acesso e são, por sua vez, cons­ti­tuí­das por com­po­nen­tes in­di­vi­du­ais. Os com­po­nen­tes en­vol­vi­dos dependem do tipo de ACL. Embora todas as ACE contenham um ID, bem como in­for­ma­ções sobre o direito de acesso, elas diferem par­ci­al­mente entre si. Por exemplo, as ACLs de rede também contêm endereços IP, in­for­ma­ções sobre o protocolo ou números de porta, enquanto as ACLs do sistema de ficheiros armazenam in­for­ma­ções sobre grupos de uti­li­za­do­res.

Im­ple­men­ta­ção de ACL

A im­ple­men­ta­ção das listas de controlo de acesso também difere consoante se trate de uma ACL de rede ou de um sistema de ficheiros. Enquanto estas últimas podem ser con­fi­gu­ra­das di­re­ta­mente através de comandos de terminal, as ACL de rede são im­ple­men­ta­das em com­po­nen­tes de rede, como os routers.

Nota

A im­ple­men­ta­ção concreta de uma ACL depende não só do tipo de ACL (ACL de rede ou ACL de sistema de ficheiros), mas também do sistema operativo e do caso de uti­li­za­ção concreto.

Vantagens

As ACL oferecem várias vantagens. Es­pe­ci­fi­ca­mente, as ACL do sistema de ficheiros permitem aos uti­li­za­do­res con­fi­gu­rar o seu com­pu­ta­dor para que apenas uti­li­za­do­res au­to­ri­za­dos possam aceder a de­ter­mi­na­dos recursos. As listas de controlo de acesso com­ple­men­tam, por exemplo, a gestão de direitos integrada no Linux com uma proteção de acesso mais detalhada e aumentam a segurança do sistema.

No âmbito das ACLs de rede, as listas de controlo de acesso são uma al­ter­na­tiva re­la­ti­va­mente simples a outras im­ple­men­ta­ções de firewall. Além disso, permitem controlar o tráfego de dados entre redes e, assim, aumentar não só a segurança da rede, mas também o seu de­sem­pe­nho.

Ir para o menu principal