ACL (Access Control List)

ACL steht für "Access Control List" (Zugriffskontrollliste). Eine ACL enthält Regeln, die den Zugriff auf bestimmte digitale Umgebungen gewähren oder verweigern.

Es gibt zwei Arten von ACLs:

  • Filesystem ACLs-filtern den Zugriff auf Dateien und/oder Verzeichnisse. Dateisystem-ACLs teilen den Betriebssystemen mit, welche Benutzer auf das System zugreifen können und welche Berechtigungen den Benutzern gewährt werden.
  • Networking ACLs-filtern den Zugriff auf das Netzwerk. Netzwerk-ACLs teilen Routern und Switches mit, welche Art von Datenverkehr auf das Netzwerk zugreifen kann und welche Aktivitäten erlaubt sind.

Ursprünglich waren ACLs die einzige Möglichkeit, einen Firewall-Schutz zu erreichen. Heute gibt es viele Arten von Firewalls und Alternativen zu ACLs. Unternehmen verwenden ACLs jedoch weiterhin in Verbindung mit Technologien wie virtuellen privaten Netzwerken (VPNs), die festlegen, welcher Datenverkehr verschlüsselt und durch einen VPN-Tunnel übertragen werden soll.

Gründe für den Einsatz einer ACL:

  • Kontrolle des Verkehrsflusses
  • Eingeschränkter Netzwerkverkehr für bessere Netzwerkleistung
  • Eine Sicherheitsstufe für den Netzwerkzugriff, die festlegt, auf welche Bereiche des Servers/Netzwerks/Dienstes ein Benutzer zugreifen kann und auf welche nicht
  • Granulare Überwachung des Verkehrs, der das System verlässt und betritt

Wie ACL funktioniert

Eine Dateisystem-ACL ist eine Tabelle, die ein Computer-Betriebssystem über die Zugriffsrechte informiert, die ein Benutzer auf ein Systemobjekt, einschließlich einer einzelnen Datei oder eines Dateiverzeichnisses, hat. Jedes Objekt hat eine Sicherheitseigenschaft, die es mit seiner Zugriffskontrollliste verbindet. Die Liste hat einen Eintrag für jeden Benutzer mit Zugriffsrechten auf das System.

Typische Zugriffsrechte sind das Recht, eine einzelne Datei (oder alle Dateien) in einem Verzeichnis zu lesen, die Datei auszuführen oder in die Datei oder Dateien zu schreiben. Betriebssysteme, die eine ACL verwenden, sind z. B. Microsoft Windows NT/2000, Netware, OpenVMS und UNIX-basierte Systeme.

Wenn ein Benutzer ein Objekt in einem ACL-basierten Sicherheitsmodell anfordert, untersucht das Betriebssystem die ACL auf einen relevanten Eintrag und prüft, ob die angeforderte Operation zulässig ist.

Netzwerk-ACLs werden in Routern oder Switches installiert, wo sie als Verkehrsfilter fungieren. Jede Netzwerk-ACL enthält vordefinierte Regeln, die steuern, welchen Paketen oder Routing-Updates der Zugriff auf ein Netzwerk erlaubt oder verweigert wird.

IP-Adressen, Ziel- und Quellport und dem offiziellen Verfahren des Pakets.

Arten von ACL

ACLs können in Bezug auf zwei Hauptkategorien betrachtet werden:

Standard-ACL

Eine Zugriffsliste, die ausschließlich anhand der Quell-IP-Adresse erstellt wird. Diese Zugriffskontrolllisten erlauben oder blockieren die gesamte Protokollsuite. Sie unterscheiden nicht zwischen IP-Verkehr wie UDP, TCP und HTTPS. Sie verwenden die Nummern 1-99 oder 1300-1999, damit der Router die Adresse als Quell-IP-Adresse erkennen kann.

Erweiterte ACL

Eine Zugriffsliste, die weit verbreitet ist, da sie IP-Verkehr differenzieren kann. Sie verwendet sowohl Quell- und Ziel-IP-Adressen als auch Portnummern, um den IP-Verkehr zu unterscheiden. Sie können auch angeben, welcher IP-Verkehr zugelassen oder verweigert werden soll.

Stand: 08.02.2021