12 de diciembre de 2016

Listas de Control de Acceso - Introducción

Temario CCNAA R&S

Las listas de control de acceso (ACL – Access Control List) son una herramienta que permiten identificar tráfico en función de la información contenida en los diferentes encabezados de una trama. A partir de esta identificación es entonces posible aplicar reglas para tomar acciones sobre ese tráfico.

Formalmente una ACL es una lista de sentencias o enunciados que permiten o deniegan determinado tipo de tráfico.

Se suelen utilizar ACLs para:
  • Limitar el tráfico de la red por seguridad o para mejorar su performance.
  • Implementar controles para el flujo de tráfico.
  • Implementar políticas de seguridad de nivel básico.
  • Especificar que determinado tipo de tráfico (aplicación o protocolo) sea reenviado o bloqueado en una interfaz de un dispositivo.
  • Definir el rango de direcciones IP privadas que deben ser traducidas o nopor un servicio de NAT.
  • Definir flujos de tráfico a los que se han de aplicar políticas de calidad de servicio (QoS) o seguridad.
En IOS las ACLs están sometidas a un conjunto de reglas básicas de operación:
  • Cada lista de acceso es identificada localmente por un ID único (numérico o alfanumérico).  
  • La lista de acceso está compuesta por una serie de sentencias ordenadas secuencialmente de modo que permiten o deniegan un tipo de tráfico específico.
  • Cada paquete que ingresa o sale a través de una interfaz que tiene asociada una lista de acceso es comparado con cada sentencia de la ACL secuencialmente, en orden, comenzando por la primera y hasta lograr una coincidencia.
  • La comparación se sigue realizando hasta tanto se encuentre una coincidencia. Una vez que el paquete cumple la condición de una sentencia (la primera coincidencia), se ejecuta la acción indicada en esa sentencia y no se sigue comparando.
  • Hay un deny ip any any (denegación de todo tráfico) implícito al final de cada lista de acceso, que no es visible. 
  • Los filtros que se aplican sobre el tráfico saliente NO afectan el tráfico originado en el mismo router. 
  • Para el filtrado de tráfico, sólo se puede aplicar una única ACL en cada interfaz, por sentido del tráfico (entrante / saliente), por protocolo (IPv4, IPv6, etc.).


Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en
 el 
Glosario de Siglas y Términos de Networking

que está disponible en la Librería en Línea de EduBooks.

2 comentarios:

  1. Es conveniente tener una lista de acceso con varias sentencias o tener varias listas de acceso con pocas sentencias.

    Supongamos que tenemos un router donde su s0/0/0 conecta a una red3 su g0/0 conecta a la red1 y su g0/1 a la red2. En este escenario, quisiera bloquear trafico desde la red 2 hacia el destino red3 y desde la red1 hacia la red3. En este sentido cual alternativa es mas correcta

    1º hacer 2 listas de acceso (una ACL1 para bloquear la red2 hacia la red3 y ponerla como IN en la interfaz g0/1) y (otra ACL2 para bloquear la red1 hacia la red3 y ponerla como IN en la interfaz g0/0)

    2ª crear una unica lista de acceso ACL_BLOQUEO para bloquear trafico desde las redes red1 y red2, poniendola como IN en las interfaces g0/0 y g0/1

    Saludos

    ResponderBorrar
    Respuestas
    1. No me parece adecuado hablar de "conveniente" en un planteo teórico.
      La conveniencia o no de una determinada implementación depende en concreto de los objetivos de diseño y las políticas que se han planteado, y por lo tanto está vinculado a un planteo concreto, no a un ejercicio teórico.
      La mejor solución es aquella que mejor se ajusta a los requerimientos utilizando la menor cantidad de recursos posible.
      Dependiendo de cuáles sean las políticas de acceso que deban implementarse, una u otra de tus opciones puede ser más o menos conveniente.

      Borrar

Gracias por tu comentario.
En este blog los comentarios están moderados, por lo que su publicación está pendiente hasta la revisión del mismo.