Access Control List là gì? Vai trò của ACL trong bảo mật

Bảo mật luôn là vấn đề được quan tâm và chú trọng nhiều nhất trong thế giới công nghệ hiện nay. Vì vậy mà những cách thức bảo mật luôn rất được đề cao, trong đó có ACL. ACL được xem là một phương thức bảo mật tối ưu nhất giúp kiểm soát truy cập và theo dõi lưu lượng sử dụng mạng rất tốt. Để hiểu rõ hơn về ACL hãy cùng BKHOST tìm hiểu ở bài viết dưới đây.

ACL là gì?

ACL – Access Control List là một danh sách các điều kiện dùng để quản lý lưu lượng truy cập mạng, xác định ngăn chặn đối tượng trên một thiết bị và được cài đặt trong bộ định tuyến hoặc bộ chuyển mạch. Với mỗi một tài nguyên hệ thống bất kỳ sẽ có một ACL bảo mật riêng cung cấp các quyền truy cập như khả năng đọc và ghi các tệp trong thư mục. Ngoài ra, ACL còn được tích hợp với Linux/Windows hoặc giao diện mạng để kiểm soát lưu lượng truy cập nhất định dựa theo nguồn và điểm đến cụ thể.

ACL được sử dụng để làm gì?

ACL có khả năng kiểm soát quyền truy cập của các đối tượng hoặc thiết bị kết nối trực tiếp được sử dụng trong mạng như cổng mạng hoặc thiết bị đầu cuối. Mức đặc quyền sẽ phụ thuộc vào các đối tượng có vai trò khác nhau. Chẳng hạn như quản trị viên sẽ được cấp quyền đọc, ghi và chỉnh sửa tệp hoặc tài nguyên bất kỳ, còn đối với người dùng là khách chỉ được cấp quyền đọc tệp.

ACL giúp cải thiện hiệu suất mạng và cung cấp một số quyền chi tiết hơn trên hệ thống máy tính của tổ chức dành riêng cho quản trị viên. Hoặc hỗ trợ đảm bảo an toàn mạng hơn với khả năng tự động ngăn chặn lưu lượng mạng độc hại.

ACL hoạt động như thế nào?

ACEs là mục nhập kiểm soát của ACL gồm có tên người dùng, tên nhóm hoặc tên quản trị viên được cấp quyền truy cập dưới dạng chuỗi bits hay access mask. ACEs này có nhiệm vụ tạo danh sách kiểm soát cho một đối tượng bất kỳ trên hệ thống.

Các loại ACL cơ bản

Phân loại ACL cơ bản

• File system ACLs là hệ thống quản lý quyền truy cập vào các tệp và thư mục. Đồng thời cung cấp cách thiết lập quyền truy cập cho người dùng và một số đặc quyền cụ thể.
• Networking ACLs giống như tường lửa giúp quản lý quyền truy cập mạng và xác định các loại lưu lượng mạng được phép hoạt động thông qua bộ chuyển mạch hoặc bộ định tuyến.

Phân loại ACL theo cách xác định lưu lượng truy cập

• Standard ACLs: Ngăn chặn hoặc cho phép các giao thức sử dụng địa chỉ IP nguồn.
• Extended ACLs: Ngăn chặn hoặc cho phép mở rộng lưu lượng mạng gồm địa chỉ IP nguồn và đích hoặc số cổng mạng cần sử dụng.

Lợi ích của việc sử dụng ACL

ACL có những lợi ích như:

• Đơn giản hoá nhận dạng đối tượng truy cập trên hệ thống.
• Hiệu năng ACL được nâng cấp hơn với cấu hình trực tiếp trên phần cứng của bộ định tuyến.
• Bảng điều khiển ACL cung cấp quyền kiểm soát chi tiết hơn dành cho quản trị viên bao gồm quyền truy cập vào các điểm cuối mạng và lưu lượng truy cập các mạng nội bộ với nhau.

ACL có thể được đặt ở đâu?

ACL được sử dụng cho tất cả các thiết bị định tuyến khác nhau đảm bảo về hiệu suất và an toàn bảo mật. Vì thế mà ACL là lựa chọn tốt nhất dành cho các điểm cuối mạng như ứng dụng và máy chủ.

Việc đặt ACL sẽ phụ thuộc vào yêu cầu trong kiến trúc mạng của quản trị viên. Chẳng hạn như edgerouter của mạng giáp với internet công cộng là vị trí đặt ACL thích hợp nhất hỗ trợ lọc lưu lượng mạng tốt hơn.

Ngoài ra, ACL của edgerouter còn được sử dụng trong DMZ giữa Internet công cộng và các thành phần mạng. Trong đó, DMZ là một bộ đệm định tuyến riêng cung cấp bảo mật của các mạng ngoài.

DMZ bao gồm máy chủ ứng dụng, Web Server, máy chủ tên miền hoặc mạng riêng ảo. Cấu hình ACL trên thiết bị định tuyến là khác nhau và phụ thuộc vào các yêu cầu truy cập của người dùng trên thiết bị đó.

Các thành phần của ACL

Các thành phần của ACL có những tính năng khác nhau như:

• Số thứ tự trong ACL giúp hiển thị danh tính đối tượng theo thứ tự nhất định.
• Tên giúp xác định một ACL gồm có các số và chữ cái.
• Cho phép nhận xét về ACL.
• Quản trị viên sử dụng giao thức mạng để xác định việc phê duyệt hay từ chối truy cập lưu lượng mạng như địa chỉ IP, Giao thức thông báo điều khiển Internet, TCP, Giao thức gói dữ liệu người dùng hoặc NetBIOS.
• Nguồn và đích đến giúp xác định địa chỉ IP cụ thể hỗ trợ cho phương pháp phân bổ các địa chỉ IP và định tuyến IP.
• ACL sử dụng bản ghi để xác định các đối tượng truy cập.
• Các mục nhập ACL nâng cao được sử dụng để xác định lưu lượng truy cập thông qua trường gói IP như điểm mã dịch vụ, loại dịch vụ hoặc IP ưu tiên.

Cách triển khai ACL

Điều kiện để quản trị viên triển khai ACL hiệu quả đó là tìm hiểu về loại lưu lượng truy cập và các tài nguyên được bảo vệ. Đồng thời cần quản lý tài sản CNTT theo tiêu chuẩn riêng và đảm bảo các đặc quyền khác cho khách truy cập.

ACL tiêu chuẩn hoặc mở rộng đều được triển khai gần với nguồn và được cấu hình bằng cách sử dụng tên danh sách truy cập.

ACL được thiết lập trên tiêu chuẩn bộ định tuyến của Cisco bằng cú pháp:

{{EJS0}}

Trong đó:

• (1300-1999) – dải số IP ACL có chức năng xác định loại ACL tiêu chuẩn.
• (permit | deny) chỉ định gói tin cho phép hoặc từ chối.
• Source-addr chỉ định địa chỉ IP nguồn.
• Source-wildcard chỉ định một wildcard mask.

Wildcard mask giúp bộ định tuyến xác định sự tương thích của bit với IP có sẵn. Người dùng có thể sử dụng mã cấu hình trên dòng lệnh để thiết lập ACL, còn các nền tảng đám mây như Oracle và IBM sử dụng tùy chọn để thiết lập ACL trong cổng thông tin đăng nhập.

Tổng kết về ACL – Access Control List

Trên đây là những thông tin về ACL và cách triển khai cơ bản nhất mà chúng tôi muốn gửi đến bạn đọc. Qua đó cho thấy ACL là một giải pháp bảo mật tối ưu nhất hiện nay dành cho mọi người dùng.

Nếu bạn có thắc mắc về mạng ACL hoặc muốn tìm hiểu thêm những phương thức bảo mật khác, hãy để lại ở bên bình luận bên dưới, BKHOST sẽ trả lời bạn trong thời gian sớm nhất.

P/s: Bạn cũng có thể truy cập vào Blog của BKHOST để đọc thêm các bài viết chia sẻ kiến thức về lập trình, quản trị mạng, website, domain, hosting, vps, server, email,… Chúc bạn thành công.