6.1 Listas de control de acceso (ACL)
6.1.1 Qué son las ACL
Nota para el instructor
  Recuerde a los estudiantes que, si bien los puentes, switches y VLAN filtran el tráfico a nivel de Capa 2 y que los routers toman decisiones de mejor ruta utilizando la Capa 3, las ACL permiten que los routers realicen una administración muy sofisticada de tráfico y filtrado de Capas 3 y 4.

Las Mejores prácticas para enseñar este indicador de objetivos incluyen Miniconferencia y Estudio en línea (con una Guía de estudio). Recuerde a los estudiantes los requisitos del distrito del TCS para las ACL. Un router que los estudiantes pueden considerar como router de acceso es el router 2621, con puertos duales Ethernet, una línea serial (que se puede usar para un enlace T1) y una línea RDSI (que se puede usar como respaldo DDR). Otros modelos de routers también son aceptables, y todos (dado que ejecutan IOS) permiten la creación de ACL.

Las ACL son listas de instrucciones que se aplican a una interfaz del router. Estas listas indican al router qué tipos de paquetes se deben aceptar y qué tipos de paquetes se deben denegar. La aceptación y rechazo se pueden basar en ciertas especificaciones, como dirección origen, dirección destino y número de puerto. Las ACL le permiten administrar el tráfico y examinar paquetes específicos, aplicando la ACL a una interfaz del router.  Cualquier tráfico que pasa por la interfaz debe cumplir ciertas condiciones que forman parte de la ACL.  

Las ACL se pueden crear para todos los protocolos enrutados de red, como el Protocolo Internet (IP) y el Intercambio de paquetes de internetwork (IPX), para filtrar los paquetes a medida que pasan por un router. Las ACL se pueden configurar en el router para controlar el acceso a una red o subred. Por ejemplo, en el Distrito Escolar Washington, las ACL se pueden usar para evitar que el tráfico de los estudiantes pueda entrar a la red administrativa.

Las ACL filtran el tráfico de red controlando si los paquetes enrutados se envían o se bloquean en las interfaces del router. El router examina cada paquete para determinar si se debe enviar o descartar, según las condiciones especificadas en la ACL. Entre las condiciones de las ACL se pueden incluir la dirección origen o destino del tráfico, el protocolo de capa superior, u otra información.

Las ACL se deben definir por protocolo. En otras palabras, es necesario definir una ACL para cada protocolo habilitado en una interfaz si desea controlar el flujo de tráfico para esa interfaz. (Observe que algunos protocolos se refieren a las ACL como filtros.) Por ejemplo, si su interfaz de router estuviera configurada para IP, AppleTalk e IPX, sería necesario definir por lo menos tres ACL. Las ACL se pueden utilizar como herramientas para el control de redes, agregando la flexibilidad necesaria para filtrar los paquetes que fluyen hacia adentro y hacia afuera de las interfaces del router.

Estudio guiado de caso
  Proyecto Washington: Requisitos de seguridad

El diseño LAN para todas las escuelas del Distrito Escolar Washington requiere que cada escuela tenga dos redes: una para el currículum y la otra para administración. Cada segmento exclusivo de LAN se debe conectar a un puerto Ethernet separado en el router para brindar servicios a esa LAN. Estos routers existen: busque en http://www.cisco.com para más información. Como parte de la solución de seguridad, necesita desarrollar una ACL para el router de acceso al sitio local que deniegue acceso a los usuarios del segmento de LAN del currículum al segmento de LAN administrativo, otorgando al mismo tiempo acceso completo de la LAN administrativa al segmento de LAN del currículum.

Una excepción a esta ACL es que el router debe pasar cualquier tráfico de Sistema de nombres de dominio (DNS) o de correo electrónico al servidor DNS/correo electrónico, que se ubica en el segmento de la LAN de administración. Este es tráfico que se origina en la LAN a la que acceden los estudiantes. Por lo tanto, si un estudiante está navegando en la Web y necesita el servidor DNS para resolver nombres de host, esta ACL permite la resolución de nombres de host. Además, esta ACL permite que los estudiantes envíen y reciban correo electrónico.


Vínculos de Web
Cisco Connection Online
Cisco Documentation
Search Cisco