¿Qué son las Listas de Control de Acceso o ACLs?.

Las ACL (Access Control Lists), como su nombre indica, son listas de condiciones que permiten designar permisos de acceso a cualquier elemento del sistema o directorio en general. En función de estas condiciones, se concede o deniega el acceso a la modificación de las propiedades de estos elementos a los diferentes usuarios o procesos del sistema. Es, por tanto, un mecanismo de seguridad del sistema.En el caso de referirnos, por ejemplo, al sistema de archivos, las ACL proporcionan un nivel adicional de seguridad a los archivos, ya que extiende el clásico esquema de permisos.En el caso de referirnos, por ejemplo, a routers las ACL establecen condiciones que se aplican al tráfico que viaja a través de la interfaz del router. Es decir, las ACL informan al router de qué tipo de paquetes debe aceptar y cuáles rechazar.

Funcionamiento de las ACL.

Las ACL definen el conjunto de reglas que proporcionan un control adicional para los paquetes que ingresan por las interfaces de entrada, para los que retransmiten a través del router y para los que salen por las interfaces de salida del router. Las ACL no operan sobre paquetes que se originan en el router mismo.

ACL de entrada: los paquetes entrantes se procesan antes de enrutarse a la interfaz de salida. Las ACL de entrada son eficaces, porque ahorran la sobrecarga de enrutar búsquedas si el paquete se descarta. Si las pruebas permiten el paquete, este se procesa para el routing.

Las ACL de entrada son ideales para filtrar los paquetes cuando la red conectada a una interfaz de entrada es el único origen de los paquetes que se deben examinar.

ACL de salida: los paquetes entrantes se enrutan a la interfaz de salida y después se procesan mediante la ACL de salida. Las ACL de salida son ideales cuando se aplica el mismo filtro a los paquetes que provienen de varias interfaces de entrada antes de salir por la misma interfaz de salida. La última sentencia de una ACL es siempre una denegación implícita. Esta sentencia se inserta automáticamente al final de cada ACL, aunque no esté presente físicamente. La denegación implícita bloquea todo el tráfico. Debido a esta denegación implícita, una ACL que no tiene, por lo menos, una instrucción permit bloqueará todo el tráfico.

Tipos de ACL.

• ACL estándar, donde solo tenemos que especificar una dirección de origen.
• ACL extendida, en cuya sintaxis aparece el protocolo y una dirección de origen y de destino.
• ACL con nombre, permite dar nombres en vez de números a las ACL estándar o extendidas.

Propósito de las ACL.

Las ACL permiten un control del tráfico de red, a nivel de los routers. Pueden ser parte de una solución de seguridad (junton con otros componentes, como antivirus, anti-espías, firewall, proxy, etc.).

Puntos varios, que se deben recordar.

Una ACL es una lista de una o más instrucciones.

Se asigna una lista a una o más interfaces.

Cada instrucción permite o rechaza tráfico, usando uno o más de los siguientes criterios: el origen del tráfico; el destino del tráfico; el protocolo usado.

El router analiza cada paquete, comparándolo con la ACL correspondiente.

El router compara la ACL línea por línea. Si encuentra una coincidencia, toma la acción correspondiente (aceptar o rechazar), y ya no revisa los restantes renglones.

Es por eso que hay que listar los comandos desde los casos más específicos, hasta los más generales.

¡Las excepciones tienen que estar antes de la regla general! Si no encuentra una coincidencia en ninguno de los renglones, rechaza automáticamente el tráfico.

Consideren que hay un "deny any" implícito, al final de cada ACL.

Cualquier línea agregada a una ACL se agrega al final.

Para cualquier otro tipo de modificación, se tiene que borrar toda la lista y escribirla de nuevo. Se recomienda copiar al Bloc de Notas y editar allí.

Las ACL estándar (1-99) sólo permiten controlar en base a la dirección de origen.

Las ACL extendidas (100-199) permiten controlar el tráfico en base a la dirección de origen; la dirección de destino; y el protocolo utilizado.

También podemos usar ACL nombradas en vez de usar un rango de números.

El darles un nombre facilita entender la configuración (y por lo tanto, también facilita hacer correcciones).

No trataré las listas nombradas en este resumen.

Si consideramos sólo el tráfico de tipo TCP/IP, para cada interface puede haber sólo una ACL para tráfico entrante, y una ACL para tráfico saliente.

Sugerencia para el examen: Se deben conocer los rangos de números de las ACL, incluso para protocolos que normalmente no nos interesan.