Control de Acceso Discrecional

El control de acceso discrecional, inglés discretionary access control (DAC) es un tipo de control de acceso definido de acuerdo a los criterios

En seguridad informática, control de acceso discrecional (DAC) es una especie de control de acceso definidos por los Criterios de Trusted Computer System Evaluation^[1] (TCSEC) "como una forma de restringir el acceso a objetos basados ​​en la identidad de los sujetos y / o grupos a los que pertenecen. Los controles son wikt:discresionales en el sentido de que un sujeto con un permiso de acceso seguro es capaz de pasar a ese permiso (quizás indirectamente) a cualquier otro tema (a menos restringido por el control de acceso obligatorio)".

El control de acceso discrecional se define generalmente en oposición al control de acceso mandatorio (MAC) (algunas veces llamado control de acceso no-discresional). A veces, un sistema en su conjunto dice tener control de acceso discrecional o puramente discrecional como una forma de indicar que carece de control mandatorio. Por otro lado, sistemas que indican implementaciones de MAC o DAC en forma simultánea, tienen DAC como una categoría de control de acceso donde los usuarios pueden pasar de uno a otro y MAC como una segunda categoría de control de acceso que impone restricciones a la primera.

Implementaciones

En la práctica, el significado del término no se limita a la definición del estándar TCSEC ya que éste no impone un concepto de implementación. Por esto, existen al menos dos implementaciones: con dueño (owner) como implementación general y con capacidades, cómo evolución.^[2]

Implementación con dueño

El término DAC suele ser utilizado en contextos donde cadea objeto tiene un dueño que controla los permisos para acceder al objeto, probablemente porque la mayoría de los sistemas que implementan DAC usan el concepto de dueño. Pero la definición del TCSEC no habla nada sobre dueños, por lo que técnicamente en sistemas de control de acceso no es necesario tener el concepto de dueño para ajustarse a la definición de DAC del TCSEC.

Los usuarios (dueños) tienen en la implementación DAC la potestad de determinarl las políticas y/o asignar los atributos de seguridad. Un ejemplo de esto es el sistema de permisos del Unix File System y su sistema de usuarios y grupos con permisos de lectura - escritura - ejecución para los objetos (archivos y directorios).

Implementación con capacidades

Los sistemas que implementan seguridad por capacidades se describen como que proveen control de acceso discrecional porque permiten a los usuarios transferir sus accesos a otros usuarios, aunque el sistema de control de capacidades no está fundamentado en una restricción del acceso "basado en la identidad de los sujetos" (los sistemas por capacidades no permiten, en general, que los permisos sean pasados a otro usuario; el sujeto que espera recibir sus permisos primero tiene que tener acceso a recibir las capacidades de otro sujeto. Los sujetos no pueden pasar al acceso de cualqueir sujeto en el sistema).

Véase también

• Control de Acceso
• Control de Acceso Mandatorio (MAC)
• Control de Acceso en base a roles (RBAC)
• Seguridad por capacidades
• XACML eXtensible Access Control Markup Language

Referencias

1. ↑ Trusted Computer System Evaluation Criteria. United States Department of Defense. December 1985. DoD Standard 5200.28-STD. http://www.radium.ncsc.mil/tpep/library/rainbow/5200.28-STD.html. 
2. ↑ http://fedoraproject.org/wiki/Features/RemoveSETUID – Fedora 15 set to remove SETUID in favor of (Linux kernel) capabilities

• P. A. Loscocco, S. D. Smalley, P. A. Muckelbauer, R. C. Taylor, S. J. Turner, and J. F. Farrell. The Inevitability of Failure: The Flawed Assumption of Security in Modern Computing Environments. In Proceedings of the 21st National Information Systems Security Conference, pp. 303–14, Oct. 1998. PDF version.