Access Control Lists (ACL) oder Zu­griffs­steue­rungs­lis­ten regeln den Zugriff von Prozessen und Usern auf einzelne Objekte des Computers wie z. B. Dateien oder Register. Sie sorgen auf diese Weise dafür, dass nur au­to­ri­sier­te Nut­ze­rin­nen und Nutzer auf bestimmte Res­sour­cen zugreifen können.

Was genau ist eine Access Control List?

Access Control Lists sind genau wie Mandatory Access Control oder Role Based Access Control eine Form der Zu­griffs­kon­trol­le. Im Grunde genommen handelt es sich bei ACLs um Re­gel­wer­ke, die z. B. von Be­triebs­sys­te­men oder An­wen­dungs­pro­gram­men ein­ge­setzt werden, um den Zugriff auf bestimmte Pro­gramm­tei­le oder Res­sour­cen zu verwalten. Es handelt sich bei ACL also um eine Maßnahme zur Ver­wal­tung von Rechten an Dateien oder sonstigen Res­sour­cen eines Computers.

Sie können sich derartige Access Control Lists als eine Art Tabelle vor­stel­len, die pro Ressource festhält, welche User welche Art von Zugriff auf das Be­triebs­mit­tel haben. Die häu­figs­ten Zu­griffs­rech­te sind:

  • das Recht, eine Datei zu lesen (read)
  • das Recht, eine Datei zu schreiben (write)
  • das Recht, eine Datei aus­zu­füh­ren (execute)

Diese Einträge innerhalb einer ACL werden auch als Access Control Entities (ACE) be­zeich­net.

Die Access Control Lists funk­tio­nie­ren dabei nach einem denkbar einfachen Prinzip: Wenn ein be­stimm­ter Nutzer buw. eine bestimmte Nutzerin auf eine Ressource zugreifen möchte, wird in der ACL der je­wei­li­gen Ressource nach­ge­se­hen, ob dieser Zugriff erlaubt ist (es in anderen Worten also einen ACE für den Nutzer bzw. die Nutzerin gibt). Ist dies der Fall, wird der Zugriff gewährt, ansonsten wird er ver­wei­gert.

KI-Lösungen
Mehr Digital-Power dank Künst­li­cher In­tel­li­genz
  • In Sekunden zur Online-Präsenz
  • Mehr Wachstum mit KI-Marketing
  • Zeit und Res­sour­cen sparen

Arten von ACLs und Ver­wen­dungs­zwe­cke

Es gibt ver­schie­de­ne Arten von ACLs, sodass auch die Ein­satz­mög­lich­kei­ten von Zu­griffs­kon­troll­lis­ten breit gefächert sind. Im Großen und Ganzen lassen sich vor allem zwei ver­schie­de­ne ACL-Typen un­ter­schei­den: Netzwerk- und Da­tei­sys­tem-ACLs.

Netzwerk-ACLs

Bei Netzwerk-ACLs handelt es sich um ta­bel­len­ar­ti­gen Zu­griffs­kon­troll­lis­ten, die als eine Art Firewall für den ein­ge­hen­den Da­ten­ver­kehr zum Beispiel innerhalb von Routern ein­ge­setzt werden können. Eine solche Netzwerk-ACL legt fest, welche Pakete in das Netzwerk gelangen dürfen und welche nicht. Auf diese Weise kann mithilfe einer ACL der Netz­werk­zu­griff gesteuert werden.

Im Bereich der Netzwerk-ACLs lohnt sich weiterhin die Dif­fe­ren­zie­rung zwischen normalen und er­wei­ter­ten Zu­griffs­kon­troll­lis­ten: Her­kömm­li­che ACLs be­trach­ten nur die Quell-IP-Adresse und un­ter­schei­den nicht zwischen ver­schie­de­nen Netz­werk­pro­to­kol­len wie TCP, UDP oder http. Sie erlauben oder ver­wei­gern den Zugriff auf das gesamte Netz. Er­wei­ter­te ACLs hingegen be­trach­ten zu­sätz­lich die Ziel-IP-Adresse und filtern Pakete we­sent­lich dif­fe­ren­zier­ter, bei­spiels­wei­se auf Grundlage des Netz­werk­pro­to­kolls oder des Quell- und Zielports eines Pakets.

Da­tei­sys­tem ACLs

Im Gegensatz dazu steuern Da­tei­sys­tem-ACLs den Datei- und Res­sour­cen­zu­griff im Be­triebs­sys­tem. Die Listen werden innerhalb von Be­triebs­sys­te­men bei­spiels­wei­se dazu ein­ge­setzt, den Zugriff einzelner Benutzer und Be­nut­ze­rin­nen auf bestimmte Dateien zu regeln und zu verwalten.

Aufbau von Access Control Lists

Jede Zu­griffs­kon­troll­lis­te besteht im We­sent­li­chen aus mehreren so­ge­nann­ten Access Control Entities. Diese Einträge bilden das Regelwerk der Access Control List und setzen sich wiederum aus einzelnen Kom­po­nen­ten zusammen. Um welche Kom­po­nen­ten es sich genau handelt, ist ins­be­son­de­re abhängig von der Art der ACL. Obwohl alle ACEs eine ID sowie eine In­for­ma­ti­on über das Zu­griffs­recht enthalten, un­ter­schei­den sie sich teilweise drastisch von­ein­an­der. So enthalten Netzwerk-ACLs zu­sätz­lich noch IP-Adressen, Angaben zum Protokoll oder Port­num­mern, wo­hin­ge­gen Da­tei­sys­tem-ACLs noch In­for­ma­tio­nen über User­grup­pen speichern.

Im­ple­men­tie­rung von ACLs

Auch die Im­ple­men­tie­rung von Zu­griffs­kon­troll­lis­ten un­ter­schei­det sich, je nachdem, ob es sich um eine Netzwerk- oder um eine Da­tei­sys­tem-ACL handelt. Während letztere sich einfach direkt mittels Ter­mi­nal­be­feh­len kon­fi­gu­rie­ren lässt, werden die Netzwerk-ACLs in Netz­werk­kom­po­nen­ten wie Routern im­ple­men­tiert.

Hinweis

Die konkrete Im­ple­men­tie­rung einer ACL hängt nicht nur von der Art der ACL (Netzwerk- vs. Da­tei­sys­tem-ACL), sondern auch vom Be­triebs­sys­tem und vom konkreten An­wen­dungs­fall ab.

Vorteile

ACLs bieten ver­schie­de­ne Vorteile. Ins­be­son­de­re die Da­tei­sys­tem-ACLs erlauben es Nut­ze­rin­nen und Nutzern, ihren Computer so zu kon­fi­gu­rie­ren, dass nur be­rech­tig­te User auf bestimmte Res­sour­cen zugreifen können. Die Zu­griffs­kon­troll­lis­ten ergänzen dann bei­spiels­wei­se das in Linux in­te­grier­te Rech­te­ma­nage­ment um de­tail­lier­te­ren Zu­griffs­schutz und erhöhen so die Sys­tem­si­cher­heit.

Im Bereich der Netzwerk-ACLs stellen Zu­griffs­kon­troll­lis­ten eine ver­hält­nis­mä­ßig un­kom­pli­zier­te Al­ter­na­ti­ve zu anderen Firewall-Im­ple­men­tie­run­gen dar. Sie er­mög­li­chen es außerdem, den Da­ten­ver­kehr zwischen Netz­wer­ken zu kon­trol­lie­ren und somit nicht nur die Netz­werk­si­cher­heit, sondern auch die Per­for­manz zu erhöhen.

Bild: ION_DE_VPS_Fallback_960x320.png
Bild: ION_DE_VPS_Fallback_1200x1200.png
Zum Hauptmenü