¿Qué es una lista de control de acceso?

Una lista de control de acceso (ACL) es una lista de reglas que determinan a qué usuarios o sistemas se les permite acceder a recursos específicos de la red y lo que pueden hacer con estos recursos.

Se trata de un principio básico del marco de políticas de gestión de identidades y accesos (IAM, por sus siglas en inglés), que garantiza que los usuarios autorizados solo puedan acceder a los recursos a los que se les ha concedido permiso.

¿Cómo funcionan las listas de control de acceso?

Las listas de control de acceso verifican las credenciales de los usuarios evaluando sus permisos y otros factores que dependen del tipo de control de acceso que haya implementado la organización. Tras la evaluación y la verificación, la ACL concederá o denegará el acceso al recurso solicitado.

Tipos de listas de control de acceso

Las listas de control de acceso se pueden clasificar en dos categorías principales:

ACL estándar

Una lista de control de acceso estándar es el tipo más habitual de ACL. Filtra el tráfico únicamente en función de la dirección IP de origen. Las ACL estándar no tienen en cuenta otros factores del usuario.

ACL extendidas

Una lista de control de acceso extendida es un método más preciso que permite filtrar en función de numerosos criterios, como los números de puerto, los tipos de protocolo o las direcciones IP de origen y destino del usuario.

Tipos de controles de acceso

Según las necesidades de cada organización, existen varios tipos de controles de acceso. A continuación, hablamos de los cuatro tipos de controles de acceso más habituales.

Control de acceso basado en roles (RBAC)

El control de acceso basado en roles (RBAC) es un método muy utilizado en la gestión del acceso a recursos. Gestiona las autorizaciones y restricciones de un usuario dentro de un sistema según su función o rol dentro de la organización. El rol del usuario tendrá definidos y asociados ciertos privilegios y permisos. Este modelo de seguridad se rige por el principio de privilegio mínimo (PoLP), que garantiza que los usuarios solo tengan acceso a los sistemas necesarios para sus funciones laborales. Por ejemplo, un analista de operaciones podrá acceder a unos recursos y un directivo de ventas podrá acceder a otros con motivo de la naturaleza de sus tareas.

Control de acceso discrecional (DAC)

El control de acceso discrecional (DAC) es un método en el que los propietarios de los recursos son responsables de conceder o denegar el acceso a usuarios específicos. Se basa en la propia discreción del propietario, que tiene la última palabra. Este modelo ofrece mayor flexibilidad, ya que permite a los propietarios adaptar los permisos con rapidez y sin dificultades, pero puede plantear amenazas si el propietario del recurso no toma decisiones acertadas o no es coherente a la hora de tomarlas.

Control de acceso obligatorio (MAC)

El control de acceso obligatorio (MAC) es un método en el que el acceso a los recursos se basa en las políticas del sistema, que normalmente las configura una autoridad central o un administrador. Se puede representar como un sistema por niveles en el que se conceden distintos accesos a diferentes grupos de usuarios en función de su nivel de autorización. El control de acceso obligatorio se utiliza mucho en sistemas gubernamentales y militares donde es necesario aplicar normativas estrictas por motivos de seguridad.

Control de acceso basado en atributos (ABAC)

El control de acceso basado en atributos (ABAC) es un método de control de accesos que implica la inspección de los atributos asociados a los usuarios. En lugar de centrarse únicamente en el rol de cada uno, este modelo de seguridad analiza otras características, como el sujeto, el entorno, el cargo, la ubicación y la hora de acceso. El control de acceso basado en atributos define ciertas políticas basadas en atributos y las respeta rigurosamente.

Componentes de una lista de control de acceso

En una lista de control de acceso convergen varios componentes, cada uno de los cuales representa un dato crucial que puede influir en la determinación de los permisos del usuario.

Número de secuencia: Un número de secuencia es el código utilizado para identificar la entrada de la ACL.
Nombre de la ACL: El nombre de la ACL también identifica la entrada de la ACL, pero utiliza un nombre en lugar de una secuencia de números. En algunos casos, se utiliza una combinación de letras y números.
Protocolo de red: Los administradores pueden conceder o denegar la entrada en función de los protocolos de red del usuario, como el protocolo de Internet (IP), el protocolo de control de transmisiones (TCP) o el protocolo de datagramas del usuario (UDP).
Origen: El origen define la dirección IP del origen solicitado.

Ventajas de usar una lista de control de acceso

Una ventaja de usar una lista de control de acceso es que proporciona un control granular, lo que permite a las organizaciones establecer y configurar permisos adaptados a grupos específicos. Así, se brinda a las organizaciones más flexibilidad y una gestión concisa de los recursos al tiempo que protege la confidencialidad de los sistemas.

Además, las listas de control de acceso mitigan los riesgos de que se produzcan violaciones de seguridad, accesos no autorizados y la mayoría de las demás actividades maliciosas. Las ACL no solo pueden bloquear la entrada de tráfico no autorizado, sino también los ataques de suplantación y de denegación de servicio (DoS). Como estas listas se han diseñado para filtrar las direcciones IP de origen, permitirán explícitamente la entrada de fuentes de confianza y bloquearán las que no lo sean. Las ACL también mitigan los ataques DoS, pues filtran el tráfico malicioso y limitan el número de paquetes de datos entrantes, lo que evita un volumen de tráfico excesivo.

Cómo implementar listas de control de acceso

Para implementar una lista de control de acceso, es importante identificar primero los puntos débiles y averiguar qué áreas necesitan mejoras dentro de una organización. Tras la evaluación, las organizaciones deben elegir la solución IAM que mejor se adapte a las necesidades de seguridad y conformidad de estas y, a la vez, abordar los posibles riesgos.

Cuando la organización haya elegido la solución IAM en cuestión, tendrá que configurar los permisos adecuados para garantizar que los usuarios tengan el nivel apropiado de acceso a los recursos que necesitan y, al mismo tiempo, que se sigan cumpliendo los estándares de seguridad.