ACL è l'acronimo di Access Control List,
un meccanismo generalmente usato iin informatica per esprimere regole complesse.
Tra le sue applicazioni principali, la configurazione di Firewalle dei
diritti di accesso a file e directory
Una ACL è lista ordinata di regole che viene usata per prendere una
decisione, ad esempio se far passare o meno un pacchetto o se permettere o
meno ad un certo utente l'accesso ad un file.
Ciascuna regola esprime una o più proprietà dell'oggetto da valutare (ad
esempio, l'indirizzo sorgente di un pacchetto IP), e se queste proprietà sono
verificate indica quale decisione prendere (ad esempio, far passare il pacchetto
oppure rifiutarlo).
La valutazione inizia dalla prima regola e continua fino a quando le
condizioni di una regola non sono verificate.
Se le condizioni sono verificate, la valutazione finisce e viene applicata la
decisione presa. Altrimenti, la valutazione prosegue alla regola successiva.
Se nessuna regola viene soddisfatta, viene applicata una decisione di default,
chiamata policy del'ACL.
Ad esempio, una semplice ACL per un firewall espressa in linguaggio comune
suonerebbe più o meno così:
POLICY = SCARTA il pacchetto
se <indirizzo IP sorgente> == 192.168.0.5 allora SCARTA il pacchetto
se <porta TCP destinazione> == 500 AND <indirizzo IP destinazione> == 192.168.4.1
allora ACCETTA il pacchetto
se <indirizzo IP destinazione> appartiene alla rete 10.0.5.0/24 allora SCARTA il pacchetto
se <protocollo> != TCP allora SCARTA il pacchetto
Ciascun apparato avrà poi una particolare sintassi per configurare una ACL.
- Su un router realizzato con GNU Linux
, il nostro esempio suonerà più o meno così:
iptables --policy FORWARD DROP
iptables -A FORWARD --source 192.168.0.5 -j DROP
iptables -A FORWARD -p tcp -m tcp --destination-port 500 --destination 192.168.4.1
-j ACCEPT
iptables -A FORWARD --source 10.0.5.0/24 -j DROP
iptables -A FORWARD --protocol ! TCP -j DROP
- Su un router Cisco,
sarà:
access-list 100 deny ip host 192.168.0.5 any
access-list 100 permit tcp any gt 500 host 192.168.4.1
access-list 100 deny ip any 10.0.5.0 0.0.0.255
access-list 100 permit tcp any any
access-list 100 deny ip any any regola implicita
Sicurezza Informatica
Glossario Sicurezza Informatica
|