Blog

Was ist eine Zugriffssteuerungsliste (Access Control List, ACL)?

Geschrieben von ForeNova | November 11, 2024

Eine Zugriffssteuerungsliste (ACL) ist ein Sicherheitsmechanismus, mit dem festgelegt wird, welcher Benutzer oder welches System das Recht hat, auf ein bestimmtes Objekt oder eine Systemressource wie Dateien, Verzeichnisse, Netzdienste usw. zuzugreifen. Außerdem wird festgelegt, welche Operationen an bestimmten Objekten erlaubt sind, einschließlich Lesen, Bearbeiten oder Ausführen. Somit können ACLs als grundlegender Bestandteil einer robusten Sicherheitsstrategie angesehen werden.

Unterschied zwischen Firewalls und Zugriffssteuerungslisten

Firewalls und ACLs sind entscheidende Komponenten einer umfassenden Netzwerksicherheitsstrategie, wobei beide eine wichtige Rolle beim Schutz der sensiblen Ressourcen des Unternehmens spielen. Im Folgenden werden die Hauptunterschiede zwischen Firewalls und ACLs erläutert:

  • Umfang: Firewalls regeln den Verkehrsfluss an der Netzwerkgrenze, während ACLs die Zugriffsberechtigungen innerhalb des Netzwerks kontrollieren.
  • Detailfunktionen: ACLs bieten in erster Linie bestimmten Benutzern eine granulare Zugriffskontrolle auf der Grundlage der Aufgabenebene oder des Jobtitels mit den Einstellungen des Erstellers, um Ressourcen zu schützen, während Firewalls versuchen, den ein- und ausgehenden Netzwerkverkehr auf der Grundlage vorgegebener Sicherheitsregeln zu überwachen und zu kontrollieren, um die Systemsicherheit zu gewährleisten.
  • Implementierung: Firewalls sind unabhängige Hardware- oder Softwareprogramme, die im Netz platziert werden müssen. ACLs hingegen sind in Netzwerkschnittstellen und Betriebssysteme integriert und können in einigen Routern und Switches konfiguriert werden.

Warum brauchen wir eine Zugriffssteuerungsliste?

ACLs sind spezifizierte Regelsätze, die für die Aufrechterhaltung der Sicherheit und Integrität sowohl von Netzwerkressourcen als auch von lokalen Systemen unerlässlich sind:

  • Verbesserte Sicherheit

    ACLs bieten die Möglichkeit, spezifische Zugriffsberechtigungen für Geräte und Benutzer zu definieren und durchzusetzen, was die Sicherheit erhöht, indem es das Risiko eines unbefugten Zugriffs und möglicher Verstöße verringert. Darüber hinaus umfasst die detaillierte Kontrolle nicht nur das Zugriffsrecht, sondern auch die Aktionen, die der Benutzer ausführen darf. Diese Granularität entspricht dem Prinzip der geringsten Privilegien und trägt dazu bei, dass Benutzer ihre Aufgaben nur mit den ihrer Position entsprechenden Berechtigungen ausführen können.

  • Einhaltung von Vorschriften

    Viele Branchen, wie z. B. das Gesundheitswesen, das Finanzwesen, der Einzelhandel, die Telekommunikation, die Automobilindustrie usw., haben gesetzliche Vorschriften zur Zugriffskontrolle und zum Schutz von Kundendaten. Mit der Implementierung von ACLs können Unternehmen diese Vorschriften einhalten, indem sie sicherstellen, dass nur bestimmte Benutzer Zugriff auf sensible Daten erhalten oder diese ändern können.

  • Audit und Überwachung

    Durch die granulare Kontrolle erleichtern ACLs die Überwachung des Zugriffs auf Ressourcen und die Nachverfolgung der Aufzeichnungen. Sie können protokollieren, wer wann auf was zugegriffen hat, und erhalten so wertvolle Informationen für Audits und Untersuchungen von Vorfällen.

  • Verringern von Insider-Bedrohungen

    Unternehmen können das Risiko von Insider-Bedrohungen mindern, indem sie den Zugriff mit ACLs einschränken, um sicherzustellen, dass Mitarbeiter nur das sehen können, was für ihre Rolle relevant ist.

Die verschiedenen Arten von Zugriffssteuerungslisten

  1. Standard-ACL

    Standard-ACL ist eine der grundlegendsten Formen von ACLs, die hauptsächlich in der Netzwerksicherheit verwendet werden, um den Netzwerkverkehr zu verwalten und zu filtern, indem Pakete ausschließlich auf der Grundlage der Quell-IP-Adresse zugelassen oder abgelehnt werden. Sie kann typischerweise auf Netzwerkgeräten wie Routern oder Firewalls implementiert werden und auf ein- oder ausgehenden Datenverkehr an einer Schnittstelle angewendet werden. Auf Cisco-Geräten wird sie durch eine Nummer im Bereich von 1-99 und 1300-1999 identifiziert.

  2. Erweiterte ACL

    Die erweiterte ACL ist eine ACL, die im Vergleich zu den Standard-ACLs, die für eine detaillierte Kontrolle des Datenverkehrs und für Sicherheitsmaßnahmen besser geeignet sind, eine detailliertere Kontrolle des Netzwerkverkehrs ermöglicht. Sie ermöglicht es, den Verkehr nicht nur nach der Quell-IP-Adresse, sondern auch nach der Ziel-IP-Adresse, dem Protokoll und den Protokollnummern zu filtern. In Cisco-Routen wird sie durch eine Zahl im Bereich von 100-199 und 2000-2699 identifiziert.

  3. Benannter ACL 

    Der benannte ACL ist aus 2 Gründen intuitiver und flexibler. Es kann entweder als Standard ACL oder als Extended ACL verwendet werden, um die gleichen Möglichkeiten der Verkehrsfilterung und Zugriffskontrolle zu bieten. Auf der anderen Seite werden sie durch beschreibende Namen identifiziert, anstatt nur durch Nummern, was die Verwaltung, die Klarheit und die Erinnerung erleichtert.

  4. Dynamische ACL

    Dynamische ACL, auch bekannt als „Lock-and-key ACL“, ist eine fortschrittliche Art von ACL, die in der Netzwerksicherheit verwendet wird und die Sicherheit erhöht, indem sie sicherstellt, dass der Zugriff nur verifizierten Benutzern für einen begrenzten Zeitraum gewährt wird. Wenn sich der Benutzer erfolgreich authentifiziert, wird der ACL eine temporäre Regel hinzugefügt, die den Zugriff erlaubt. Nach Beendigung der Sitzung oder nach Ablauf der Timeout-Periode wird die Regel wieder entfernt. Darüber hinaus ist sie nützlich, um den Zugriff von Remote-Benutzern zu kontrollieren und die Sicherheit von Unternehmen genauer zu regeln.

  5. Reflexive ACLs

    Reflexive ACL, auch bekannt als „IP Session ACL“ oder „Session Filter“, ist eine dynamische ACL, die häufig für Maßnahmen in Routing- und Switching-Umgebungen in der Netzwerksicherheit verwendet wird. Sie ermöglicht eine zustandsabhängige Inspektion und Kontrolle des IP-Verkehrs, indem sie den Rückverkehr für bestehende Sitzungen zulässt, während sie unaufgefordert eingehenden Verkehr abweist. Darüber hinaus können Unternehmen mit dieser Art von ACL den Verkehr auf der Grundlage des Status aktiver Sitzungen verfolgen und filtern.


Die Bestandteile einer Zugriffssteuerungsliste

Eine ACL besteht aus den folgenden, für ihre Funktion zentralen Komponenten:

  1. Laufende Nummer: Die Sequenznummer identifiziert den ACL-Eintrag mit einer bestimmten Nummer.

  2. ACL-Name: Der ACL-Name definiert den ACL-Eintrag durch die Verwendung eines spezifischen Namens, der ihm anstelle von Nummern zugewiesen wird. In einigen Fällen erlaubt der Router jedoch sowohl die Verwendung von Zahlen als auch von Buchstaben.

  3. Bemerkung: Bei einigen Routern können Sie Kommentare einfügen, um detailliertere Beschreibungen anzuzeigen.

  4. Anweisung: Mit einer Anweisung können Sie eine Quelle unter Verwendung einer Platzhaltermaske oder -adresse zulassen oder ablehnen, wodurch das System angewiesen werden kann, ein bestimmtes Element einer IP-Adresse zu untersuchen.

  5. Netzwerkprotokoll: Das Netzwerkprotokoll kann verwendet werden, um bestimmte Netzwerkprotokolle wie IP, Internetwork Packet Exchange (IPX), Transmission Control Protocol (TCP), Internet Control Message Protocol (ICMP), User Datagram Protocol (UDP) usw. zuzulassen oder zu verbieten.

  6. Quelle oder Ziel: Die Quell- oder Zielkomponente definiert die Ziel- oder Quell-IP-Adresse als einen Adressbereich oder eine einzelne IP oder lässt alle Adressen zu.

  7. Protokoll: Es gibt Geräte, die ein Protokoll führen können, wenn sie ACL-Übereinstimmungen finden.

  8. Andere Kriterien von erweiterten ACLs: Einige fortgeschrittene ACLs bieten die Möglichkeit, den Datenverkehr nach der IP-Präferenz, dem Diensttyp (ToS) oder der Priorität, die sich aus dem DSCP (Differentiated Services Code Point) ergibt, zu kontrollieren.

Wo platziert man eine Zugriffssteuerungsliste?

Um sicherzustellen, dass Benutzer und Systeme die vorgeschriebenen Regeln einhalten, kann eine ACLauf einigen Routern oder Switches installiert werden, um den ein- und ausgehenden Netzwerkverkehr zu überwachen. Außerdem kann sie auch in verschiedene Netzwerkschnittstellen und Betriebssysteme eingebaut werden, um Sicherheitsrichtlinien zu verwalten und durchzusetzen. Unabhängig davon, welche Methoden angewandt werden, sind ACLs ein grundlegendes Instrument zur Wahrung der Sicherheit und Integrität von Unternehmen in vernetzten und lokalen Umgebungen.

Wie implementiert man eine ACL auf einem Router?

Wenn Sie eine ACL implementieren möchten, steht ForeNova bereit, um Ihnen bei jedem Schritt zu helfen. Um eine ACL korrekt auf Ihrem Router zu implementieren, müssen Sie jedoch verstehen, wie der Verkehr ein- und ausgeht. Sie definieren die Regeln aus der Perspektive der Router-Schnittstelle. Diese unterscheidet sich von derjenigen der Netzwerke. Wenn der Datenverkehr beispielsweise in einen Router eintritt, verlässt er ein Netzwerk; daher hat die Perspektive einen erheblichen Einfluss darauf, wie der Pfad des Datenverkehrs dargestellt wird.

Um richtig zu funktionieren, muss der Schnittstelle des Routers eine ACL hinzugefügt werden. Die Hardware des Routers führt die Weiterleitungs- und Routing-Entscheidungen aus, was den Prozess beschleunigt.

Beim Hinzufügen eines ACL-Eintrags geben Sie zuerst die Quelladresse und dann die Zieladresse ein. Auf diese Weise erkennt der Router den Eintrag und liest ihn ein. Die Quelle ist der Ort, von dem der Datenverkehr ausgeht und der sich „außerhalb“ des Routers befindet. Das Ziel ist der Ort außerhalb des Routers, an dem die Datenpakete ankommen.

Linux ACL vs. Windows ACL

 

Linux ACL

Windows ACL

Art

POSIX ACLs

NTFS ACLs

Berechtigungen

Lesen, Schreiben, Ausführen

Volle Kontrolle, Ändern, Lesen, Ausführen, Ordnerinhalt auflisten, Schreiben

Verwaltung

Befehlszeile

GUI oder Befehlszeile

Vererbung

Begrenzte Unterstützung

Starke Unterstützung

Integration

Linux-Dateisystem

Windows-Betriebssystem und Active Directory

Linux ACL bietet flexiblere Berechtigungsmechanismen für Ressourcen im Linux-Dateisystem im Vergleich zum traditionellen Unix-Dateiberechtigungssystem. Windows ACL ist die Sicherheitsfunktion im Windows-Betriebssystem, die die Zugriffsrechte für sensible Dateien kontrolliert.

Obwohl beide darauf abzielen, die Sicherheit des Organisationssystems zu verbessern, gibt es 4 Punkte, die sich unterscheiden und die hervorgehoben werden müssen:

  1. Detaillierte Berechtigungen: Die Windows ACL bietet eine breitere Palette an detaillierteren Berechtigungen für Benutzer, die nicht nur Lesen, Schreiben und Ausführen, sondern auch Ändern und Vollzugriff umfassen.

  2. Schnittstellen-Management: Linux verwendet hauptsächlich Befehlszeilentools, während Windows die Verwaltung über die grafische Benutzeroberfläche des Windows Explorer oder über Befehlszeilentools vornimmt.

  3. Vererbung: Im Vergleich zu Linux verfügt Windows über robustere Vererbungsfunktionen, d. h. die Berechtigung kann von übergeordneten Verzeichnissen vererbt werden.

  4. Systemintegration: Windows ACLs sind sowohl in das Windows-Betriebssystem als auch in Active Directory (AD) integriert, was eine zentralere Kontrolle in einer vernetzten Umgebung ermöglicht als die dezentralisierte Natur von Linux-Dateisystemen.