Diferencia entre revisiones de «Lista de control de acceso»
Función de sugerencias de imágenes: 1 imagen agregada. |
NetAcad Course UI. (2023). Netacad.com. https://contenthub.netacad.com/ensa-dl/4.1.3 Etiquetas: Revertido Edición visual |
||
| Línea 3: | Línea 3: | ||
Una '''lista de control de acceso''' o '''ACL''' (del [[Idioma inglés|inglés]], ''access control list'') es un concepto de [[seguridad informática]] usado para fomentar la [[separación de privilegios]]. Es una forma de determinar los [[Permisos de acceso a archivos|permisos de acceso]] apropiados a un determinado objeto, dependiendo de ciertos aspectos del [[Proceso (informática)|proceso]] que hace el pedido.<ref>{{Cita web |url=https://tools.ietf.org/html/rfc4949 |título=RFC4949 |fechaacceso=28 de agosto de 2017 |idioma=inglés}}</ref> |
Una '''lista de control de acceso''' o '''ACL''' (del [[Idioma inglés|inglés]], ''access control list'') es un concepto de [[seguridad informática]] usado para fomentar la [[separación de privilegios]]. Es una forma de determinar los [[Permisos de acceso a archivos|permisos de acceso]] apropiados a un determinado objeto, dependiendo de ciertos aspectos del [[Proceso (informática)|proceso]] que hace el pedido.<ref>{{Cita web |url=https://tools.ietf.org/html/rfc4949 |título=RFC4949 |fechaacceso=28 de agosto de 2017 |idioma=inglés}}</ref> |
||
Las '''ACL''' permiten controlar el flujo del tráfico en equipos de [[Red informática|redes]], tales como [[enrutador]]es y [[Conmutador_(dispositivo_de_red)|conmutadores]]. Su principal objetivo es filtrar [[Tráfico web|tráfico]]: permitir o denegar el tráfico de red de acuerdo con alguna condición. Sin embargo, también tienen usos adicionales, como, por ejemplo, distinguir "tráfico interesante" (tráfico suficientemente importante como para activar o mantener una conexión) en [[RDSI|RDSI (red digital de servicios integrados)]]. |
Las '''ACL''' permiten controlar el flujo del tráfico en equipos de [[Red informática|redes]], tales como [[enrutador]]es y [[Conmutador_(dispositivo_de_red)|conmutadores]]. Su principal objetivo es filtrar [[Tráfico web|tráfico]]: permitir o denegar el tráfico de red de acuerdo con alguna condición. Sin embargo, también tienen usos adicionales, como, por ejemplo, distinguir "tráfico interesante" (tráfico suficientemente importante como para activar o mantener una conexión) en [[RDSI|RDSI (red digital de servicios integrados)]]. Una ACL es una serie de comandos del IOS que controlan si un router reenvía o descarta paquetes según la información que se encuentra en el encabezado del paquete. De forma predeterminada, un enrutador no tiene ninguna ACL configurada. Sin embargo, cuando se aplica una ACL a una interfaz, el router realiza la tarea adicional de evaluar todos los paquetes de red a medida que pasan a través de la interfaz para determinar si el paquete se puede reenviar. |
||
Una ACL utiliza una lista secuencial de declaraciones de permiso o denegación, conocidas como entradas de control de acceso (ACE). |
|||
Las ACL de entrada son frecuentes, porque ahorran la sobrecarga de enrutar búsquedas si el paquete se descarta. Si las ACL permiten el paquete, este se procesa para el routing. Las ACL de entrada son ideales para filtrar los paquetes cuando la red conectada a una interfaz de entrada es el único origen de los paquetes que se deben examinar. |
|||
Las ACL de salida filtran los paquetes después de que se enrutan, independientemente de la interfaz de entrada. Los paquetes entrantes se enrutan a la interfaz saliente y luego se procesan a través de la ACL saliente. Las ACL de salida son ideales cuando se aplica el mismo filtro a los paquetes que proporcionan varias interfaces de entrada antes de salir por la misma interfaz de salida. |
|||
El motivo por el que suele gestionarse en una clase o sistema separado y no en cada una de las partes que pretenden asociarse a permisos es por seguir las reglas [[SOLID]]; en este caso, la S —''Single responsibility'' (principio de responsabilidad única)—, lo cual te permite incluso escalar mejor. Se asemejaría a un sistema de control de accesos físico típico de un edificio, donde esa parte está centralizada en un lugar. Este lugar sólo necesita saber dos cosas: quién eres (por ejemplo un ID de una tarjeta, tu ID de usuario) y qué quieres hacer. Este te responde si tienes permiso de hacerlo o no. Con este enfoque, este mismo sistema no solo puede ser utilizado para acceder a lugares, sino para cualquier cosa que necesite separarse de personas que pueden y no pueden hacer cosas; por ejemplo, acceder a una página o sección, publicar un comentario, hacer una amistad, enviar un correo... |
El motivo por el que suele gestionarse en una clase o sistema separado y no en cada una de las partes que pretenden asociarse a permisos es por seguir las reglas [[SOLID]]; en este caso, la S —''Single responsibility'' (principio de responsabilidad única)—, lo cual te permite incluso escalar mejor. Se asemejaría a un sistema de control de accesos físico típico de un edificio, donde esa parte está centralizada en un lugar. Este lugar sólo necesita saber dos cosas: quién eres (por ejemplo un ID de una tarjeta, tu ID de usuario) y qué quieres hacer. Este te responde si tienes permiso de hacerlo o no. Con este enfoque, este mismo sistema no solo puede ser utilizado para acceder a lugares, sino para cualquier cosa que necesite separarse de personas que pueden y no pueden hacer cosas; por ejemplo, acceder a una página o sección, publicar un comentario, hacer una amistad, enviar un correo... |
||
| Línea 17: | Línea 23: | ||
La manera más eficiente de controlar los movimientos dentro de la empresa es sectorizar la misma en zonas, que pueden ser departamentos, puertas independientes, distintos pisos, etc. Lo más práctico es que cada empleado de la empresa tenga determinadas las zonas a las cuales tiene acceso. Los sistemas trabajan en red para que todas las filiales de una empresa estén conectadas a un sistema central y se maneja el acceso a nivel centralizado. |
La manera más eficiente de controlar los movimientos dentro de la empresa es sectorizar la misma en zonas, que pueden ser departamentos, puertas independientes, distintos pisos, etc. Lo más práctico es que cada empleado de la empresa tenga determinadas las zonas a las cuales tiene acceso. Los sistemas trabajan en red para que todas las filiales de una empresa estén conectadas a un sistema central y se maneja el acceso a nivel centralizado. |
||
== Tipos de ACL IPv4 == |
|||
ACL '''estándar''' '':'' |
|||
* Permiten o deniegan paquetes basados únicamente en la dirección IPv4 de origen. |
|||
* Numeración de 1 a 99. |
|||
* Las ACL estándar deben aplicarse lo más cerca posible del origen. |
|||
* Procedimiento: |
|||
*# El enrutador extrae la dirección IPv4 de origen del encabezado del paquete. |
|||
*# El enrutador comienza en la parte superior de la ACL y compara la dirección IPv4 de origen con cada ACE en un orden secuencial. |
|||
*# Cuando se hace una coincidencia, el enrutador lleva a cabo la instrucción, ya sea permitiendo o rechazando el paquete, y las ACE restantes en la ACL, si las hay, no se analizan. |
|||
*# Si la dirección IPv4 de origen no coincide con ninguna ACE de la ACL, el paquete se descarta porque hay una ACE de denegación implícita aplicada automáticamente a todas las ACL. |
|||
ACL '''extendidas''' : |
|||
* Permiten o deniegan paquetes basados en la dirección IPv4 de origen y la dirección IPv4 de destino, el tipo de protocolo, los puertos TCP o UDP de origen y destino y más. |
|||
* Numeración de 100 a 199. |
|||
* Las ACL extendidas deben ubicarse lo más cerca posible del origen del tráfico que se desea filtrar. De esta manera, el tráfico no deseado se deniega cerca de la red de origen, sin que cruce la infraestructura de red. |
|||
== Referencias == |
== Referencias == |
||
Revisión del 01:21 2 dic 2023
Una lista de control de acceso o ACL (del inglés, access control list) es un concepto de seguridad informática usado para fomentar la separación de privilegios. Es una forma de determinar los permisos de acceso apropiados a un determinado objeto, dependiendo de ciertos aspectos del proceso que hace el pedido.[1]
Las ACL permiten controlar el flujo del tráfico en equipos de redes, tales como enrutadores y conmutadores. Su principal objetivo es filtrar tráfico: permitir o denegar el tráfico de red de acuerdo con alguna condición. Sin embargo, también tienen usos adicionales, como, por ejemplo, distinguir "tráfico interesante" (tráfico suficientemente importante como para activar o mantener una conexión) en RDSI (red digital de servicios integrados). Una ACL es una serie de comandos del IOS que controlan si un router reenvía o descarta paquetes según la información que se encuentra en el encabezado del paquete. De forma predeterminada, un enrutador no tiene ninguna ACL configurada. Sin embargo, cuando se aplica una ACL a una interfaz, el router realiza la tarea adicional de evaluar todos los paquetes de red a medida que pasan a través de la interfaz para determinar si el paquete se puede reenviar.
Una ACL utiliza una lista secuencial de declaraciones de permiso o denegación, conocidas como entradas de control de acceso (ACE).
Las ACL de entrada son frecuentes, porque ahorran la sobrecarga de enrutar búsquedas si el paquete se descarta. Si las ACL permiten el paquete, este se procesa para el routing. Las ACL de entrada son ideales para filtrar los paquetes cuando la red conectada a una interfaz de entrada es el único origen de los paquetes que se deben examinar.
Las ACL de salida filtran los paquetes después de que se enrutan, independientemente de la interfaz de entrada. Los paquetes entrantes se enrutan a la interfaz saliente y luego se procesan a través de la ACL saliente. Las ACL de salida son ideales cuando se aplica el mismo filtro a los paquetes que proporcionan varias interfaces de entrada antes de salir por la misma interfaz de salida.
El motivo por el que suele gestionarse en una clase o sistema separado y no en cada una de las partes que pretenden asociarse a permisos es por seguir las reglas SOLID; en este caso, la S —Single responsibility (principio de responsabilidad única)—, lo cual te permite incluso escalar mejor. Se asemejaría a un sistema de control de accesos físico típico de un edificio, donde esa parte está centralizada en un lugar. Este lugar sólo necesita saber dos cosas: quién eres (por ejemplo un ID de una tarjeta, tu ID de usuario) y qué quieres hacer. Este te responde si tienes permiso de hacerlo o no. Con este enfoque, este mismo sistema no solo puede ser utilizado para acceder a lugares, sino para cualquier cosa que necesite separarse de personas que pueden y no pueden hacer cosas; por ejemplo, acceder a una página o sección, publicar un comentario, hacer una amistad, enviar un correo...
En redes informáticas, ACL se refiere a una lista de reglas que detallan puertos de servicio o nombres de dominios (de redes) que están disponibles en una terminal u otro dispositivo de capa de red, cada uno de ellos con una lista de terminales o redes que tienen permiso para usar el servicio. Tanto servidores individuales como enrutadores pueden tener ACL de redes. Las listas de control de acceso pueden configurarse generalmente para controlar tráfico entrante y saliente, y en este contexto son similares a un cortafuegos.
Existen dos tipos de listas de control de acceso: fijas y variables.
Los académicos han considerado que el control de acceso es un aspecto muy importante de la privacidad que debería estudiarse más a fondo. La política de control de acceso determina cuál será la política de seguridad de una organización. Para verificar la política de control de acceso, las organizaciones utilizan un modelo de control de acceso, pero el modelo no incluye detalles sobre cómo se implementa la política de seguridad. Por tanto, disponer y construir un modelo de control de acceso adecuado es fundamental.[2]
Edificaciones
Un sistema de control de accesos administra el ingreso a áreas restringidas y evita, así, que personas no autorizadas o indeseables tengan la libertad de acceder a la empresa. Así mismo, con un sistema de control de accesos se puede tener conocimiento de la asistencia del personal, horarios de ingreso y salida, y se puede tener un control histórico de entradas de personas a todas las áreas (para poder tener en cuenta quiénes podrían ser los responsables de algún siniestro).
La manera más eficiente de controlar los movimientos dentro de la empresa es sectorizar la misma en zonas, que pueden ser departamentos, puertas independientes, distintos pisos, etc. Lo más práctico es que cada empleado de la empresa tenga determinadas las zonas a las cuales tiene acceso. Los sistemas trabajan en red para que todas las filiales de una empresa estén conectadas a un sistema central y se maneja el acceso a nivel centralizado.
Tipos de ACL IPv4
ACL estándar :
- Permiten o deniegan paquetes basados únicamente en la dirección IPv4 de origen.
- Numeración de 1 a 99.
- Las ACL estándar deben aplicarse lo más cerca posible del origen.
- Procedimiento:
- El enrutador extrae la dirección IPv4 de origen del encabezado del paquete.
- El enrutador comienza en la parte superior de la ACL y compara la dirección IPv4 de origen con cada ACE en un orden secuencial.
- Cuando se hace una coincidencia, el enrutador lleva a cabo la instrucción, ya sea permitiendo o rechazando el paquete, y las ACE restantes en la ACL, si las hay, no se analizan.
- Si la dirección IPv4 de origen no coincide con ninguna ACE de la ACL, el paquete se descarta porque hay una ACE de denegación implícita aplicada automáticamente a todas las ACL.
ACL extendidas :
- Permiten o deniegan paquetes basados en la dirección IPv4 de origen y la dirección IPv4 de destino, el tipo de protocolo, los puertos TCP o UDP de origen y destino y más.
- Numeración de 100 a 199.
- Las ACL extendidas deben ubicarse lo más cerca posible del origen del tráfico que se desea filtrar. De esta manera, el tráfico no deseado se deniega cerca de la red de origen, sin que cruce la infraestructura de red.
Referencias
- ↑ «RFC4949» (en inglés). Consultado el 28 de agosto de 2017.
- ↑ Ouaddah, Aafaf; Mousannif, Hajar; Abou Elkalam, Anas; Ait Ouahman, Abdellah (15 de enero de 2017). «Access control in the Internet of Things: Big challenges and new opportunities». Computer Networks 112: 237-262. ISSN 1389-1286. doi:10.1016/j.comnet.2016.11.007. Consultado el 6 de octubre de 2023.
| Control de autoridades |
|
|---|
Datos: Q338966