Le liste di controllo di accesso (ACL), sono una scelta molto comune di implementazione del controllo di accesso.
Le ACL vengono solitamente utilizzate per controllare l’accesso nei file system su cui vengono eseguiti i nostri sistemi operativi e per controllare il flusso di traffico nelle reti a cui sono collegati i nostri sistemi.
Le ACL sono più comunemente discusse nel contesto di firewall e router.
Quando vengono prodotte, le ACL sono generalmente scritte specificamente per una determinata risorsa e contengono gli identificatori del profilo autorizzato ad accedere alla risorsa in questione e ciò che quest’ultimo è autorizzato a fare in relazione alla risorsa.
Può sembrare un concetto molto semplicistico, ma nel contesto di implementazioni ACL più grandi, come quelle utilizzate nei file system, le ACL possono diventare piuttosto complesse e dovrebbero essere revisionate almeno una volta all’anno.
File System ACL
Quando consideriamo ACL nel contesto di un file system, vediamo comunemente tre permessi in uso: lettura, scrittura ed esecuzione, che ci consentono rispettivamente di accedere al contenuto di un file o di una directory, scrivere in un file o in una directory e, presumendo che un file contenga un programma o uno script in grado di essere eseguito sul sistema in questione, eseguire il contenuto del file.
Nel caso del file system, un file o una directory possono anche avere più ACL collegate.
Nei sistemi operativi simili a UNIX, ad esempio, possiamo vedere elenchi di accesso separati per un determinato file, sotto forma di ACL utente, ACL gruppo e ACL altri.
Possiamo dare a un singolo utente permessi di lettura, scrittura ed esecuzione, a un gruppo di diversi utenti permessi di lettura, scrittura ed esecuzione e a un diverso insieme permessi di lettura, scrittura ed esecuzione a chiunque non sia un individuo o un gruppo che abbiamo già trattato.
Questi tre set di autorizzazioni verranno visualizzati come triplette rwx-rwx-rwx, con il primo set rwx che rappresenta l’utente, il secondo il gruppo e il terzo altri.
Network ACL
Quando osserviamo la varietà di attività che si svolgono sulle reti, sia private che pubbliche, possiamo nuovamente osservare che le ACL regolano tale attività.
Nel caso di ACL di rete, in genere notiamo l’accesso controllato in base agli identificatori che utilizziamo per le transazioni di rete, come indirizzi IP (Protocollo Internet), indirizzi MAC (Media Access Control) e porte.
Possiamo vedere tali ACL all’opera nell’infrastruttura e nei dispositivi di rete come router, switch e firewall, nonché in firewall a livello applicativo, Facebook, Google, e-mail o altre forme di software.
I permessi nelle ACL di rete tendono ad essere di natura binaria, generalmente costituiti da switch “permetti” e “nega”.
Quando impostiamo l’ACL, utilizziamo il nostro identificatore o identificatori scelti per dettare a quale traffico ci riferiamo e semplicemente stabilire se il traffico deve essere consentito o meno.
Una delle forme più semplici di ACL orientati alla rete che possiamo vedere in atto è il filtraggio degli indirizzi MAC.
Gli indirizzi MAC sono, in teoria, identificatori univoci collegati a ciascuna interfaccia di rete in un dato sistema.
Ogni interfaccia di rete ha un indirizzo MAC codificato emesso quando viene prodotta.
Questo tipo di ACL può essere comunemente implementato sugli access point wireless.
Sfortunatamente per quelli di noi che dipendono dagli indirizzi MAC come base per le ACL, l’indirizzo MAC utilizzato da un’interfaccia di rete può essere sovrascritto da software di terze parti che consentono di falsificare le impostazioni nella maggior parte dei sistemi operativi.
Tali modifiche sono molto banali da attuare e l’indirizzo MAC non è una buona scelta per un identificatore univoco di un particolare dispositivo sulla rete.
Possiamo anche scegliere di utilizzare gli indirizzi IP come base per il filtraggio nelle nostre ACL.
Possiamo implementare tale filtraggio in base a singoli indirizzi o a un intero intervallo di indirizzi IP.
Sfortunatamente, come per gli indirizzi MAC, gli indirizzi IP possono essere falsificati e non sono univoci per una particolare interfaccia di rete.
Inoltre, gli indirizzi IP emessi dai provider di servizi Internet (ISP) sono soggetti a frequenti modifiche, rendendo gli indirizzi IP non idonei ad essere utilizzati come unico meccanismo di filtraggio.
Tuttavia se usati in combinazione (MAC/IP), tali meccanismi di filtraggio sono una parte importante del programma di defense in depth.
