ACL

¿Qué es la lista de control de acceso?

 Una ACL es una serie de comandos del IOS que controlan si un router reenvía o descarta
paquetes según la información que se encuentra en el encabezado del paquete. Las ACL
son una de las características del software IOS de Cisco más utilizadas.
TAREAS DE LAS ACL

 Limitan el tráfico de la red para aumentar su rendimiento. Por ejemplo, si la política corporativa
no permite el tráfico de video en la red, se pueden configurar y aplicar ACL que bloqueen el tráfico
de video. Esto reduciría considerablemente la carga de la red y aumentaría su rendimiento.
 Proporcionan control del flujo de tráfico. Las ACL pueden restringir la entrega de actualizaciones
de routing para asegurar que las actualizaciones provienen de un origen conocido.
 Proporcionan un nivel básico de seguridad para el acceso a la red. Las ACL pueden permitir que
un host acceda a una parte de la red y evitar que otro host acceda a la misma área.
 Filtran el tráfico según el tipo de tráfico. Por ejemplo, una ACL puede permitir el tráfico de correo
electrónico, pero bloquear todo el tráfico de Telnet.
 Filtran a los hosts para permitirles o denegarles el acceso a los servicios de red. Las ACL
pueden permitirles o denegarles a los usuarios el acceso a determinados tipos de archivos, como FTP
o HTTP.
Filtrado de paquetes

 Una ACL es una lista secuencial de instrucciones permit (permitir) o deny (denegar),
conocidas como “entradas de control de acceso” (ACE). Las ACE también se denominan
comúnmente “instrucciones de ACL”. Cuando el tráfico de la red atraviesa una interfaz
configurada con una ACL, el router compara la información dentro del paquete con cada
ACE, en orden secuencial, para determinar si el paquete coincide con una de las ACE. Este
proceso se denomina filtrado de paquetes.
 El filtrado de paquetes controla el acceso a una red mediante el análisis de los paquetes
entrantes y salientes y la transferencia o el descarte de estos según criterios determinados.
El filtrado de paquetes puede producirse en la capa 3 o capa 4.
 Funcionamiento de las ACL
 Las Listas de Control de Acceso definen el conjunto de reglas que proporcionan
un control adicional para los paquetes que ingresan por las interfaces de entrada,
para los que retransmiten a través del router y para los que salen por las
interfaces de salida del router. Las ACL no operan sobre paquetes que se originan
en el router mismo.
 Las ACL se configuran para aplicarse al tráfico entrante o al tráfico saliente
 ACL de entrada: los paquetes entrantes se procesan antes de enrutarse a la interfaz de salida. Las ACL de
entrada son eficaces, porque ahorran la sobrecarga de enrutar búsquedas si el paquete se descarta. Si las
ACL permiten el paquete, este se procesa para el routing. Las ACL de entrada son ideales para filtrar los
paquetes cuando la red conectada a una interfaz de entrada es el único origen de los paquetes que se deben
examinar.
 ACL de salida: los paquetes entrantes se enrutan a la interfaz de salida y después se procesan mediante la
ACL de salida. Las ACL de salida son ideales cuando se aplica el mismo filtro a los paquetes que provienen
de varias interfaces de entrada antes de salir por la misma interfaz de salida.
Pautas para la creación de ACL

 Las siguientes son algunas pautas para el uso de ACL:

 Utilice las ACL en los routers de firewall ubicados entre su red interna y una red externa,
como Internet.
 Utilice las ACL en un router ubicado entre dos partes de la red para controlar el tráfico que
entra a una parte específica de su red interna o que sale de esta.
 Configure las ACL en los routers de frontera, es decir, los routers ubicados en los límites
de las redes. Esto proporciona una separación muy básica de la red externa o entre un área
menos controlada y un área más importante de su propia red.
 Configure las ACL para cada protocolo de red configurado en las interfaces del router de
frontera.
Reglas para aplicar las ACL

 Se puede configurar una ACL por protocolo, por sentido y por interfaz:
 Una ACL por protocolo: para controlar el flujo de tráfico en una interfaz, se debe definir
una ACL para cada protocolo habilitado en la interfaz. (p. ej., IPv4 o IPv6)
 Una ACL por sentido: las ACL controlan el tráfico en una interfaz de a un sentido por
vez. Se deben crear dos ACL diferentes para controlar el tráfico entrante y saliente. (es
decir, de entrada o de salida)
 Una ACL por interfaz: las ACL controlan el tráfico para una interfaz, por ejemplo,
GigabitEthernet 0/0.
 Optimizaciones de las ACL

 El uso de las ACL requiere prestar atención a los detalles y un extremo cuidado. Los errores
pueden ser costosos en términos de tiempo de inactividad, esfuerzos de resolución de problemas y
servicio de red deficiente. Antes de configurar una ACL, se requiere una planificación básica. En
la siguiente tabla, se presentan pautas que constituyen la base de una lista de prácticas
recomendadas para ACL.
Pautas Ventajas
Fundamente sus ACL según las políticas de Esto asegurará la implementación de las pautas de
seguridad de la organización. seguridad de la organización.
Prepare una descripción de lo que desea que Esto lo ayudará a evitar posibles problemas de
realicen las ACL. acceso generados de manera inadvertida.
Utilice un editor de texto para crear, editar y Esto lo ayudará a crear una biblioteca de ACL
guardar las ACL. reutilizables.
Pruebe sus ACL en una red de desarrollo antes de
Esto lo ayudará a evitar errores costosos.
implementarlas en una red de producción.
 Pautas para la colocación de ACL
 La correcta colocación de las ACL puede contribuir a que la red funcione de forma más eficaz. Se puede
colocar una ACL para reducir el tráfico innecesario. Por ejemplo, el tráfico que se denegará en un destino
remoto no se debe reenviar mediante recursos de red por la ruta hacia ese destino.
 La colocación de la ACL y, por lo tanto, el tipo de ACL que se utiliza también puede depender de lo
siguiente:
 Alcance del control del administrador de la red: la colocación de la ACL puede depender de si el
administrador de red controla tanto la red de origen como la de destino o no.
 Ancho de banda de las redes involucradas: el filtrado del tráfico no deseado en el origen impide la
transmisión de ese tráfico antes de que consuma ancho de banda en la ruta hacia un destino. Esto es de
especial importancia en redes con un ancho de banda bajo.
 Facilidad de configuración: si un administrador de red desea denegar el tráfico proveniente de varias
redes, una opción es utilizar una única ACL estándar en el router más cercano al destino. La desventaja es
que el tráfico de dichas redes utilizará ancho de banda de manera innecesaria. Se puede utilizar una ACL
extendida en cada router donde se origina tráfico. Esto ahorra ancho de banda, ya que el tráfico se filtra en
el origen, pero requiere la creación de ACL extendidas en varios routers.
Dónde ubicar las ACL
 ACL extendidas: coloque las ACL extendidas lo más cerca posible del origen del tráfico que se filtrará. De
esta manera, el tráfico no deseado se deniega cerca de la red de origen, sin que cruce la infraestructura de
red.
 ACL estándar: debido a que en las ACL estándar no se especifican las direcciones de destino, colóquelas
tan cerca del destino como sea posible. Si coloca una ACL estándar en el origen del tráfico, evitará de forma
eficaz que ese tráfico llegue a cualquier otra red a través de la interfaz a la que se aplica la ACL.
 Ubicación de la ACL estándar
 ACL estándar. El administrador desea impedir que el tráfico que se origina en la red [Link]/24 llegue
a la red [Link]/24.
 De acuerdo con las pautas básicas de colocación de ACL estándar cerca del destino, en la ilustración se
muestran dos interfaces posibles del R3 a las que aplicar la ACL estándar:
 Interfaz S0/0/1 del R3: la aplicación de una ACL estándar para impedir que el tráfico de [Link]/24
ingrese a la interfaz S0/0/1 evita que dicho tráfico llegue a [Link]/24 y al resto de las redes a las que
puede llegar el R3. Esto incluye la red [Link]/24. Dado que el objetivo de la ACL es filtrar el tráfico
destinado solo a [Link]/24, no se debe aplicar una ACL estándar a esta interfaz.
 Interfaz G0/0 del R3: al aplicar una ACL estándar al tráfico que sale por la interfaz G0/0, se filtran los
paquetes que van de [Link]/24 a [Link]/24. Esto no afecta a las otras redes a las que puede
llegar el R3. Los paquetes de [Link]/24 aún pueden llegar a [Link]/24.