¿Qué es una red ACL?
Una red ACL es realmente como cualquier otra red de computadoras, con la excepción de que los enrutadores y conmutadores que se ejecutan en la red se adhieren a una lista predeterminada de permisos de acceso. Los enrutadores de red reciben una lista de reglas, llamada lista de control de acceso (ACL), que puede permitir la admisión básica ao desde un segmento de red, así como el permiso para acceder a los servicios que pueden estar disponibles a través de ellos. Si bien una ACL se puede utilizar en otros servicios informáticos, como el permiso del usuario para acceder a los archivos almacenados en una computadora, en el caso de una red ACL, las reglas se aplican a las interfaces y puertos de red a través de los cuales viajan los datos de comunicación.
A medida que los paquetes de datos viajan a través de puertos controlados en un dispositivo de red de una red ACL, se filtran y se evalúan los permisos. En la mayoría de los casos, esto ocurre en un enrutador o conmutador de red. Sin embargo, algunos programas de firewall integrados en un sistema operativo también se pueden ver como una forma de lista de control de acceso. Cuando un paquete de datos ingresa o sale de una interfaz en el dispositivo de red, se evalúa sus permisos al compararlo con la ACL. Si no se cumplen esos permisos, se niega el viaje al paquete.
Una ACL se compone de entradas de control de acceso (ACE). Cada ACE en la lista contiene la información pertinente sobre los permisos para los paquetes que ingresan o salen de la interfaz de red ACL. Cada ACE contendrá una declaración de permiso o denegación, así como criterios adicionales que un paquete deberá cumplir. En la mayoría de los casos, los paquetes se evalúan en función de los estándares comunes de protocolo de Internet (IP), como el Protocolo de control de transmisión (TCP), el Protocolo de datagramas de usuario (UDP) y otros en la suite. De los tipos más básicos de ACL, solo se verifica la dirección de origen, mientras que en una ACL extendida, se pueden establecer reglas que verifiquen las direcciones de origen y de destino, así como los puertos específicos desde los que el tráfico se originó y está destinado.
En una red ACL, las listas de control se crean dentro de enrutadores y conmutadores de red. Cada proveedor de hardware de red puede tener reglas separadas sobre cómo se debe construir una ACL. Independientemente de qué fabricante de hardware o desarrollador de software haya creado la programación que procesa paquetes contra una ACL, el aspecto más importante para implementar una red de ACL es la planificación. En casos de mala planificación, es completamente posible que un administrador inicie sesión en un enrutador particular, comience a implementar una ACL en ese enrutador y de repente se encuentre bloqueado de ese enrutador o de algún segmento de toda una red.
Una de las implementaciones de red ACL más comunes está integrada en el Sistema Operativo Internetwork (IOS) patentado creado por Cisco Systems®. En los enrutadores y conmutadores Cisco® IOS, la ACL se escribe manualmente por un administrador y se implementa automáticamente a medida que se agrega cada elemento de la lista. La ACL debe implementarse de forma incremental, de modo que a medida que un paquete individual coincida con una entrada, el resto que caiga bajo los mismos permisos puede seguir su ejemplo. Cualquier cambio en la lista significa que debe volver a escribirse en su totalidad.
Si bien no es tan seguro como un firewall para proteger una red, una ACL es útil además de un firewall para una serie de escenarios. Un administrador puede limitar el tráfico hacia y desde ciertas áreas de una red más grande o evitar que el tráfico que se origina en ciertas direcciones salga de la red por completo. Los paquetes se pueden monitorear en una red ACL para localizar áreas problemáticas en la red, identificar hosts que se comportan incorrectamente o rastrear computadoras cliente que pueden estar infectadas con un virus que intenta propagarse. Una ACL también se puede utilizar para especificar el tráfico que debe cifrarse entre los nodos de la red.