Está en la página 1de 8

Qu son las ACL?

Publicado marzo 26, 2011 por Hamner Ballesteros en Apuntes. Dejar un comentario
Las ACL son listas de condiciones que se aplican al trfico que viaja a travs de la
interfaz del router.

Estas listas le informan al router qu tipo de paquetes aceptar o rechazar. La
aceptacin y rechazo se pueden basar en ciertas condiciones especficas. Las ACL
permiten la administracin del trfico y aseguran el acceso hacia y desde una red.
Es posible crear ACL en todos los protocolos de red enrutados, por ejemplo: el
Protocolo de Internet (IP) y el Intercambio de paquetes de internetwork (IPX).
Las ACL se pueden configurar en el router para controlar el acceso a una red o
subred.
Las ACL filtran el trfico de red, controlando si los paquetes enrutados se envan o
se bloquean en las interfaces del router.

El router examina cada paquete y lo enviar o lo descartar, segn las condiciones
especificadas en la ACL. Algunos de los puntos de decisin de ACL son direcciones
origen y destino, protocolos y nmeros de puerto de capa superior.
Las ACL se definen segn el protocolo, la direccin o el puerto.

Para controlar el flujo de trfico en una interfaz, se debe definir una ACL para cada
protocolo habilitado en la interfaz. Las ACL controlan el trfico en una direccin
por vez, en una interfaz. Se necesita crear una ACL por separado para cada
direccin, una para el trfico entrante y otra para el saliente. Finalmente, cada
interfaz puede contar con varios protocolos y direcciones definidas. Si el router
tiene dos interfaces configuradas para IP, AppleTalk e IPX, se necesitan 12 ACLs
separadas. Una ACL por cada protocolo, multiplicada por dos por direccin
entrante y saliente, multiplicada por dos por el nmero de puertos.

Estas son las razones principales para crear las ACL:
Limitar el trfico de red y mejorar el rendimiento de la red. Al restringir el
trfico de video, por ejemplo, las ACL pueden reducir ampliamente la carga de
la red y en consecuencia mejorar el rendimiento de la misma.
Brindar control de flujo de trfico. Las ACL pueden restringir el envo de las
actualizaciones de enrutamiento. Si no se necesitan actualizaciones debido a
las condiciones de la red, se preserva el ancho de banda.
Proporcionar un nivel bsico de seguridad para el acceso a la red. Por ejemplo,
las ACL pueden permitir que un host acceda a una parte de la red y evitar que
otro acceda a la misma rea. Por ejemplo, al Host A se le permite el acceso a la
red de Recursos Humanos, y al Host B se le niega el acceso a dicha red.
Se debe decidir qu tipos de trfico se envan o bloquean en las interfaces del
router. Permitir que se enrute el trfico de correo electrnico, pero bloquear
todo el trfico de telnet.
Permitir que un administrador controle a cules reas de la red puede acceder
un cliente.
Analizar ciertos hosts para permitir o denegar acceso a partes de una red.
Otorgar o denegar permiso a los usuarios para acceder a ciertos tipos de
archivos, tales como FTP o HTTP.
Si las ACL no estn configuradas en el router, todos los paquetes que pasen a travs
del router tendrn acceso a todas las partes de la red.
Funcionamiento de las ACL
Una lista ACL es un grupo de sentencias que definen si se aceptan o rechazan los
paquetes en interfaces entrantes o salientes.

Estas decisiones se toman haciendo coincidir una sentencia de condicin en una
lista de acceso y luego realizando la accin de aceptacin o rechazo definida en la
sentencia.
El orden en el que se ubican las sentencias de la ACL es importante. El software
Cisco IOS verifica si los paquetes cumplen cada sentencia de condicin, en orden,
desde la parte superior de la lista hacia abajo. Una vez que se encuentra una
coincidencia, se lleva a cabo la accin de aceptar o rechazar y no se verifican otras
sentencias ACL. Si una sentencia de condicin que permite todo el trfico est
ubicada en la parte superior de la lista, no se verifica ninguna sentencia que est
por debajo.
Si se requieren ms cantidad de sentencias de condicin en una lista de acceso, se
debe borrar y volver a crear toda la ACL con las nuevas sentencias de condicin.

Para que el proceso de revisin de una ACL sea ms simple, es una buena idea
utilizar un editor de textos como el Bloc de notas y pegar la ACL a la configuracin
del router.
El principio del proceso de comunicaciones es el mismo, ya sea que las ACL se usen
o no.
A medida que una trama ingresa a una interfaz, el router verifica si la direccin de
Capa 2 concuerda o si es una trama de broadcast. Si se acepta la direccin de la
trama, la informacin de la trama se elimina y el router busca una ACL en la
interfaz entrante. Si existe una ACL, entonces se verifica si el paquete cumple o no
las condiciones de la lista. Si el paquete cumple las condiciones, se lleva a cabo la
accin de aceptar o rechazar el paquete. Si se acepta el paquete en la interfaz, se lo
compara con las entradas de la tabla de enrutamiento para determinar la interfaz
destino y conmutarlo a aquella interfaz. A continuacin, el router verifica si la
interfaz destino tiene una ACL. Si existe una ACL, se compara el paquete con las
sentencias de la lista y si el paquete concuerda con una sentencia, se lleva a cabo la
aceptacin o el rechazo del paquete. Si no hay ACL o se acepta el paquete, el
paquete se encapsula en el nuevo protocolo de Capa 2 y se enva por la interfaz
hacia el dispositivo siguiente.
A manera de revisin, las sentencias de la ACL operan en orden secuencial lgico.
Si se cumple una condicin, el paquete se permite o deniega, y el resto de las
sentencias de la ACL no se verifican. Si todas las sentencias ACL no tienen
coincidencias, se coloca una sentencia implcita que dice deny any (denegar
cualquiera) en el extremo de la lista por defecto. Aunque la lnea deny any no sea
visible como ltima lnea de una ACL, est ah y no permitir que ningn paquete
que no coincida con las lneas anteriores de la ACL sea aceptada. Cuando est
aprendiendo por primera vez cmo crear una ACL, es una buena prctica agregar
el deny any al final de las ACL para reforzar la presencia dinmica de la
prohibicin implcita deny.


Tipos de acl
Navegador Regexp
Una expresin regular que coincide con el tipo de navegador clientes basados en el encabezado de agente de
usuario. Esto permite una ACL para operar segn el tipo de navegador en uso, por ejemplo, utilizando este
tipo de ACL, se podra crear una ACL para los usuarios de Netscape y otra para usuarios de Internet Explorer.
Esto podra ser usado para redirigir a los usuarios a una pgina de Netscape Navigator mejorado, y los
usuarios de IE Explorer a una pgina mejorada. Probablemente no el ms sabio uso de un tiempo a los
administradores, pero s indica la flexibilidad incomparable de Squid. Este tipo de ACL se correlaciona con el
tipo de ACL navegador.

Direccin IP del cliente
La direccin IP del cliente solicitante, o la direccin IP de los clientes. Esta opcin se refiere a la ACL src en
el archivo de configuracin de Squid. Una direccin IP y mscara de red que se espera. Los intervalos de
direcciones tambin se aceptan.
Nombre de la mquina cliente
Coincide con el nombre de dominio del cliente. Esta opcin se corresponde con la ACL srcdomain, y puede
ser un nombre de dominio nico, o una lista de nombres o de dominio o un nombre de archivo que contiene
una lista de nombres de dominio. Este tipo de ACL puede aumentar la latencia, y disminuir significativamente
el rendimiento en un cach de carga, ya que debe llevar a cabo una direccin a la bsqueda de nombres para
cada solicitud, as que es preferible usar la IP del cliente tipo de direcciones.

Nombre de la mquina cliente Regexp
Coincide con el nombre de dominio del cliente. Esta opcin se corresponde con la ACL srcdom_regex, y
puede ser un nombre de dominio nico, o una lista de nombres de dominio, o un nombre de archivo que
contiene una lista de nombres de dominio.
Fecha y hora
Este tipo es slo lo que suena, proporcionando un medio para crear las ACL que se activa durante ciertas
horas del da o ciertos das de la semana. Esta caracterstica se utiliza a menudo para bloquear ciertos tipos de
contenido o algunos sectores de la Internet durante el horario comercial o de clase. Muchas compaas de la
pornografa bloque, entretenimiento, deportes, y otros claramente no-lugares de trabajo relacionados durante
horas de oficina, pero luego desbloquear despus de las horas. Esto podra mejorar la eficiencia de trabajo en
algunas situaciones (o que slo podra ofender a los empleados). Este tipo de ACL le permite introducir los
das de la semana y un intervalo de tiempo, o seleccionar todas las horas de los das seleccionados. Este tipo
de ACL es la misma que la Directiva sobre el tiempo tipo de ACL.

Destino Nmero de AS
El Destino Nmero de Sistema Autnomo es el nmero de AS del servidor que se consulta. Los derechos
autnomos del sistema de numeracin tipos ACL generalmente se usan slo en cach de los compaeros, o de
la PIC, las restricciones de acceso. nmeros de sistema autnomo se utilizan en las organizaciones que tienen
vnculos mltiples y routers de Internet que operan bajo una sola autoridad administrativa mediante el
protocolo misma puerta de enlace. las decisiones de enrutamiento se basa entonces en el conocimiento de la
AS, adems de otros datos posibles. Si no est familiarizado con el sistema autnomo plazo, por lo general es
seguro decir que no es necesario utilizar ACL basado en AS. Incluso si est familiarizado con el trmino, y
tener un local de AS, que probablemente todava tienen poca utilidad para los tipos de AS Nmero ACL, a
menos que sus compaeros de cach en otros sistemas autnomos y la necesidad de regular el acceso sobre la
base de esa informacin. Este tipo se corresponde con la dest_as tipo de ACL.
Fuente AS Nmero
El origen de Nmeros de Sistemas Autnomos es otro tipo AS ACL relacionados, y los partidos en el nmero
de AS de la fuente de la solicitud. Equivale a la directiva de tipo src_as ACL.
Direccin Ethernet
El Ethernet o la direccin MAC del cliente solicitante. Esta opcin slo funciona para los clientes de la subred
local mismo, y slo para ciertas plataformas. Linux, Solaris, BSD y algunas variantes son el apoyo de los
sistemas operativos para este tipo de ACL. Esta ACL puede proporcionar un mtodo un tanto seguro de
control de acceso, porque las direcciones MAC son generalmente ms difciles de falsificar que las
direcciones IP, y usted puede garantizar que sus clientes estn en la red local (de lo contrario no hay
resolucin ARP puede llevarse a cabo).
Externos de autenticacin
Este tipo de ACL llama a un proceso de autentificacin externa para decidir si la solicitud se le permitir.
Muchos programas de ayuda autenticador estn disponibles para Squid, incluyendo PAM, NCSA, Unix
passwd, SMB, NTLM (slo en Squid 2.4), etc Tenga en cuenta que la autenticacin no puede trabajar en un
proxy transparente o acelerador de HTTP. El protocolo HTTP no prev dos etapas de autenticacin (uno local
y uno en los sitios web a distancia). As que para poder utilizar un autenticador, el apoderado debe actuar
como un proxy tradicionales. Esto se correlaciona con la directiva proxy_auth.

Externos de autenticacin Regex
Como el anterior, esta ACL llama a un proceso de autentificacin externa, sino que permite patrn de
expresin o partidos entre maysculas y minsculas. Esta opcin se corresponde con la directiva
proxy_auth_regex.

Proxy Direccin IP
La direccin IP local en el que la conexin del cliente existe. Esto permite que las ACL para ser construido de
forma que slo coinciden con una red fsica, en caso de mltiples interfaces estn presentes en el poder, entre
otras cosas. Esta opcin permite configurar la directiva myip.
Usuario RFC931
El nombre de usuario dado por un demonio ident ejecutndose en la mquina cliente. Esto requiere que ident
se ejecuta en cualquier mquina cliente sea autenticado de esta manera. Identificador no debe ser considerada
segura, excepto en redes privadas, donde la seguridad no importa mucho. Usted puede encontrar libre
servidores ident para los siguientes sistemas operativos: Windows NT, Win95/Win98, y Unix. La mayora de
los sistemas Unix, incluyendo las distribuciones Linux y BSD, incluye un servidor de ident.

Solicitud de Mtodo
Este tipo de ACL partidos en el mtodo HTTP en las cabeceras de peticin. Esto incluye los mtodos GET,
PUT, etc, lo que corresponde a la directiva mtodo de tipo de ACL.

URL Regex URL
Esta ACL partidos en la ruta URL menos de cualquier protocolo, puerto, y nombres de equipos. No incluye,
por ejemplo, el http://www.swelltech.com parte de una solicitud, dejando slo la ruta de acceso real al
objeto. Esta opcin se corresponde con la directiva urlpath_regex.
URL de Puerto
Esta ACL partidos en el puerto de destino de la solicitud, y configura el puerto Directiva ACL.
URL de Protocolo
Esta ACL partidos en el protocolo de la solicitud, tales como FTP, HTTP, PCI, etc
URL Regexp
Partidos utilizando una expresin regular en la direccin URL completa. Esta ACL se pueden utilizar para
proporcionar control de acceso basado en las secciones de la URL o caso un partido insensible de la direccin,
y mucho ms. Las expresiones regulares utilizadas en Squid son proporcionados por la biblioteca GNU Regex
que se documenta expresiones regulares. La mayora de los sistemas Unix tambin tendr una pgina de
manual o la pgina de informacin para la expresin regular. Esta opcin es equivalente a la directiva de tipo
url_regex ACL.
Direccin web del servidor
Esta ACL los partidos sobre la base de la direccin IP del servidor web de destino. Squid una nica direccin
IP, una red IP con mscara de red, as como un rango de direcciones en la forma 192.168.1.1-192.168.1.25.
Esta opcin se corresponde con la directiva ACL tipo de dst.

Nombre del servidor Web
Esta ACL partidos en el nombre de host del servidor web de destino.

Servidor Web Regexp
Partidos utilizando una expresin regular en el nombre de host del servidor web de destino.