Access Control List: definizione, funzionamento e finalità d’uso

Le liste di controllo degli accessi (in inglese “Access Control List”, abbreviato in ACL) gestiscono l’accesso di processi e utenti a singoli oggetti di un computer, come ad esempio i file o i registri. In questo modo, garantiscono che solo gli utenti autorizzati possano accedere a determinate risorse.

Che cos’è esattamente una lista di controllo degli accessi?

Le liste di controllo degli accessi permettono di controllare chi e cosa accede alle risorse, esattamente come il Mandatory Access Control o il Role Based Access Control. In linea di massima, le ACL sono dei regolamenti utilizzati ad esempio dai sistemi operativi o da programmi applicativi per gestire l’accesso a certe parti di un programma o certe risorse. Le ACL sono quindi uno strumento di gestione delle autorizzazioni di accesso ai file o ad altre risorse di un computer.

È possibile pensare a queste liste di controllo degli accessi come a una specie di tabella che definisce, risorsa per risorsa, quali utenti hanno determinati tipi di accesso a una data risorsa. Le autorizzazioni di accesso più frequenti sono:

  • l’autorizzazione per la lettura di un file (read);
  • l’autorizzazione per la scrittura di un file (write);
  • l’autorizzazione per l’esecuzione di un file (execute).

Queste voci contenute in un’ACL sono dette anche entità di controllo degli accessi (in inglese “Access Control Entity”, abbreviato in ACE).

Le liste di controllo degli accessi funzionano in base a un principio particolarmente semplice: se un utente specifico desidera accedere a una risorsa, l’ACL della risorsa in questione viene consultata per verificare se tale accesso è consentito (in altre parole, se esiste un’ACE per quell’utente). In questo caso, l’accesso è consentito, altrimenti viene negato.

Tipologie di ACL e finalità d’uso

Esistono diverse tipologie di ACL e le possibilità di applicazione delle liste di controllo degli accessi sono varie e numerose. In generale, si distinguono due diverse tipologie di ACL: ACL di rete e per file system.

ACL di rete

Le ACL di rete sono liste di controllo degli accessi simili a tabelle che è possibile utilizzare come una sorta di firewall per il traffico dati in ingresso, ad esempio sui router. Un’ACL di rete di questo tipo stabilisce quali pacchetti possono entrare nella rete e quali no. In questo modo è possibile utilizzarlo per gestire l’accesso alla rete.

Nel campo delle ACL di rete vale ancora la pena distinguere tra liste di controllo degli accessi normali ed estese: le ACL normali prendono in considerazione soltanto l’indirizzo IP di origine e non fanno differenza fra i diversi protocolli di rete, come TCP, UDP o HTTP. Queste liste consentono o negano l’accesso all’intera rete. Le ACL estese, invece, prendono in considerazione anche l’indirizzo IP di destinazione e filtrano i pacchetti in modo molto più differenziato, ad esempio sulla base del protocollo di rete o delle porte di origine e destinazione di un pacchetto.

ACL per file system

Al contrario, le ACL per file system controllano l’accesso a file e risorse del sistema operativo. Ad esempio, queste liste sono utilizzate all’interno dei sistemi operativi per regolare e gestire l’accesso dei singoli utenti a file specifici.

Struttura delle liste di controllo degli accessi

Ogni lista di controllo degli accessi consiste essenzialmente di diverse voci, le cosiddette entità di controllo degli accessi (ACE). Queste voci formano le regole della lista di controllo degli accessi e a loro volta sono costituite da singoli componenti. Gli esatti componenti in questione dipendono in particolare dal tipo di ACL. Tutte le ACE comprendono un ID e informazioni sulle autorizzazioni di accesso, ma a volte differiscono notevolmente le une dalle altre. Ad esempio, le ACL di rete contengono anche indirizzi IP, informazioni sul protocollo o sui numeri di porta, mentre le ACL per file system memorizzano anche informazioni sui gruppi di utenti.

Implementazione delle ACL

Anche l’implementazione delle liste di controllo degli accessi varia a seconda che si tratti di un’ACL di rete o per file system. Mentre è possibile configurare facilmente quest’ultima tipologia utilizzando direttamente i comandi da terminale, le ACL di rete sono implementate su componenti di rete, come i router.

N.B.

L’implementazione pratica di un’ACL dipende non soltanto dalla tipologia di ACL (ACL di rete o per file system), ma anche dal sistema operativo e dal caso applicativo specifico.

Vantaggi

Le ACL offrono diversi vantaggi. Le ACL per file system, in particolare, consentono agli utenti di configurare i propri computer in modo che solo gli utenti autorizzati possano accedere a determinate risorse. Le liste di controllo degli accessi completano quindi la gestione delle autorizzazioni integrata in Linux, ad esempio con una protezione degli accessi più particolareggiata, aumentando in tal modo la sicurezza del sistema.

Le ACL di rete sono quindi un metodo di controllo degli accessi che offre un’alternativa relativamente semplice rispetto ad altre implementazioni firewall. Inoltre, queste liste consentono di controllare il traffico dati tra le reti e, quindi, di ottenere non soltanto una maggiore sicurezza della rete, ma anche di aumentare le prestazioni.

Hai trovato questo articolo utile?
Per offrirti una migliore esperienza di navigazione online questo sito web usa dei cookie, propri e di terze parti. Continuando a navigare sul sito acconsenti all’utilizzo dei cookie. Scopri di più sull’uso dei cookie e sulla possibilità di modificarne le impostazioni o negare il consenso.
Page top