Una ACL (Access Control List) es un tipo de configuración de un router, o switch multicapa, que nos permite conceder o denegar privilegios a hosts o redes enteras de ordenadores. Estos privilegios son el tipo de tráfico permitido y engloban desde la concesión del uso de FTP a un único equipo, hasta la denegación del acceso a Internet a toda una red, ya sea de 10 dispositivos o de 1.000. Gracias a estas limitaciones de servicio, conseguimos mejorar de forma notable el tráfico de la red y, con ello, su rendimiento general.

Los routers no tienen ACLs configuradas de manera predeterminada, por lo que, del mismo modo, no filtran el tráfico. Este tráfico que ingresa al router se enruta solamente en función de la información de la tabla de routing. Sin embargo, cuando se aplica una ACL a una interfaz, el router realiza la tarea adicional de evaluar todos los paquetes de red a medida que pasan a través de la interfaz para determinar si el paquete se puede reenviar.

 

 

Las ACLs se configuran en una determinada interfaz, y puede hacerse para el tráfico entrante o saliente:

  • ACL de Entrada. Los paquetes entrantes se procesan antes de enviarse a la interfaz de salida. Las ACLs de entrada son eficaces, porque ahorran la sobrecarga de enrutar búsquedas si el paquete es descartado.
  • ACL de salida. Los paquetes entrantes se envían a la interfaz de salida y después se procesan mediante dicha ACL. Las ACL de salida son ideales cuando se aplica el mismo filtro a los paquetes que provienen de varias interfaces de entrada antes de salir por la misma interfaz de salida.

 

Esto nos lleva a explicar los tipos de ACL, que son 2. Estándar y extendida:

  • Estándar: Son muy básicas. Únicamente permiten denegar un servicio a un host específico. A continuación un ejemplo:

 

  • Extendida: En su sintaxis se incluyen direcciones IP de origen y destino, además de sus máscaras y el protocolo en cuestión.

 

Ambas ACL, tanto estándar como extendida, pueden identificarse mediante un número o un nombre.

¡Eso sí, DATO IMPORTANTE! Sólo podemos poner una ACL de entrada y una de salida en cada interfaz por cada servicio, y no son modificables, por lo que tendremos que tener muy claro lo que queremos hacer antes de hacerlo, pues la única modificación posible es la eliminación y creación de una nueva lista.

También es cierto que si las identificamos con un número, podemos hacerlo dejando algunos intermedios, lo que nos permitirá añadir una nueva orden entre la 5 y la 10, por ejemplo.

 

COMPARACIÓN DE ACLS EN IPv4 e IPv6

En IPv6 no hay distinción entre tipos de ACLs, sólo existe uno. Podría decirse que es la extendida, pero no se llama así, pues no hay más.

Para configurar una ACL en versión 4 necesitamos una máscara wildcard, que es una cadena de 32 dígitos binarios que el router utiliza para determinar los bits de la dirección que debe examinar para encontrar una coincidencia. Podría decirse que es la inversa a la máscara de subred tradicional. Si nuestra máscara es una clase C (255.255.255.0), su wildcard correspondiente sería 0.0.0.255. En IPv6 no es necesario. En la nueva versión únicamente tendríamos que añadir el prefijo correspondiente a nuestra dirección.

Como una imagen vale más que mil palabras, y no hay nada mejor para entender algo que una foto…

He intentado ser breve en la explicación, pero una ACL no es todo lo que aquí podemos leer, aunque es un buen resumen que nos sirve para hacernos una idea general. Es un gran obsequio que nos proporcionan los routers, y pueden llegar a venir realmente bien. En cuanto a su configuración, puede ser muy fácil o muy difícil. Como todo, dependerá de nuestra capacidad para organizarnos y, como siempre, tener claro lo que queremos hacer.