Listas de acceso (ACL)

La lista de acceso (ACL) es un conjunto de reglas definidas para controlar el tráfico de red y reducir los ataques a la red. Las ACL se utilizan para filtrar el tráfico en función del conjunto de reglas definidas para la entrada o salida de la red. 

Características de LCA: 

1. El conjunto de reglas definidas se emparejan en serie, es decir, la coincidencia comienza con la primera línea, luego la segunda, luego la tercera y así sucesivamente.
2. Los paquetes se emparejan solo hasta que coincida con la regla. Una vez que se hace coincidir una regla, no se realiza ninguna otra comparación y se ejecuta esa regla.
3. Hay una denegación implícita al final de cada ACL, es decir, si ninguna condición o regla coincide, el paquete se descartará. 
    

Una vez que se crea la lista de acceso, debe aplicarse a la entrada o salida de la interfaz: 
 

• Listas de acceso entrantes: 
  cuando se aplica una lista de acceso a los paquetes entrantes de la interfaz, primero los paquetes se procesarán de acuerdo con la lista de acceso y luego se enrutarán a la interfaz saliente. 
   
• Listas de acceso de salida: 
  cuando se aplica una lista de acceso a los paquetes de salida de la interfaz, primero se enrutará el paquete y luego se procesará en la interfaz de salida. 
   

Tipos de ACL: 
hay dos tipos principales diferentes de lista de acceso, a saber: 

1. Lista de acceso estándar: 
   estas son las listas de acceso que se realizan utilizando solo la dirección IP de origen. Estas ACL permiten o deniegan todo el conjunto de protocolos. No distinguen entre el tráfico IP como TCP, UDP, HTTPS, etc. Al usar los números 1-99 o 1300-1999, el enrutador lo interpretará como una ACL estándar y la dirección especificada como la dirección IP de origen. 
    
2. Lista de acceso extendida: 
   estas son las ACL que utilizan la IP de origen, la IP de destino, el puerto de origen y el puerto de destino. Estos tipos de ACL, también podemos mencionar qué tráfico de IP se debe permitir o denegar. Estos usan el rango 100-199 y 2000-2699.

Además, hay dos categorías de lista de acceso:  

1. Lista de acceso numerada: esta es la lista de acceso que no se puede eliminar específicamente una vez creada, es decir, si queremos eliminar alguna regla de una lista de acceso, esto no está permitido en el caso de la lista de acceso numerada. Si intentamos eliminar una regla de la lista de acceso, se eliminará toda la lista de acceso. La lista de acceso numerada se puede utilizar con listas de acceso estándar y extendidas. 
    
2. Lista de acceso con nombre: en este tipo de lista de acceso, se asigna un nombre para identificar una lista de acceso. Se permite eliminar una lista de acceso con nombre, a diferencia de la lista de acceso numerada. Al igual que las listas de acceso numeradas, se pueden usar tanto con listas de acceso estándar como extendidas. 
    

Reglas para ACL – 

1. La lista de acceso estándar generalmente se aplica cerca del destino (pero no siempre).
2. La lista de acceso extendida generalmente se aplica cerca de la fuente (pero no siempre).
3. Podemos asignar solo una ACL por interfaz por protocolo por dirección, es decir, solo se permite una ACL entrante y saliente por interfaz.
4. No podemos eliminar una regla de una lista de acceso si estamos usando una lista de acceso numerada. Si intentamos eliminar una regla, se eliminará toda la ACL. Si usamos listas de acceso con nombre, podemos eliminar una regla específica.
5. Cada nueva regla que se agrega a la lista de acceso se colocará en la parte inferior de la lista de acceso, por lo tanto, antes de implementar las listas de acceso, analice todo el escenario cuidadosamente.
6. Como hay una denegación implícita al final de cada lista de acceso, debemos tener al menos una declaración de permiso en nuestra lista de acceso; de lo contrario, se denegará todo el tráfico.
7. Las listas de acceso estándar y las listas de acceso extendidas no pueden tener el mismo nombre. 
    

Ventajas de ACL – 

• Mejorar el rendimiento de la red.
• Brinda seguridad ya que el administrador puede configurar la lista de acceso de acuerdo con las necesidades y denegar el ingreso de paquetes no deseados a la red.
• Brinda control sobre el tráfico ya que puede permitir o denegar según la necesidad de la red.