Configurar correctamente las listas de control de acceso (ACL) es fundamental para garantizar la seguridad y el rendimiento de una red. Más allá de entender cómo operan, es necesario conocer cuántas se pueden aplicar, dónde ubicarlas y qué buenas prácticas seguir para evitar errores que podrían causar una disrupción en la red.
¿Cuántas listas de control de acceso puedo tener en un dispositivo?
La cantidad máxima de ACL que se pueden configurar en un mismo dispositivo activo no es arbitraria, sino que depende de tres factores multiplicados entre sí [00:13]:
- Cantidad de protocolos: si se trabaja con IPv4 e IPv6, cada protocolo requiere listas independientes.
- Dirección del tráfico: cada interfaz admite una lista para tráfico entrante y otra para tráfico saliente, lo que da un factor de dos.
- Cantidad de puertos: cada puerto o interfaz del dispositivo puede tener sus propias listas.
El total máximo es el resultado de multiplicar esos tres valores. En la práctica, rara vez se utilizan todas las combinaciones posibles; solo se configuran las que realmente se necesitan.
¿Dónde se ubican las listas estándar y extendidas dentro de la topología?
La ubicación física de una ACL dentro de la topología depende de su tipo [01:23]:
- Listas estándar: se colocan lo más cerca posible del destino del tráfico, porque su filtrado es básico y solo evalúa direcciones de origen.
- Listas extendidas: al ser más granulares y complejas, se ubican lo más cerca posible del origen del tráfico para impedir que los paquetes recorran la red innecesariamente antes de ser descartados.
¿Qué ventaja ofrecen las listas nombradas?
Existen ACL identificadas por número y otras que reciben un nombre. Las listas nombradas (named ACLs) ofrecen dos ventajas importantes [01:50]:
- Facilitan la administración al tener un identificador descriptivo.
- Permiten insertar reglas en la mitad de la lista sin necesidad de eliminarla, editarla completa y volver a aplicarla.
Esto es relevante porque las reglas de una ACL se evalúan en el orden exacto en que fueron escritas, y modificar ese orden en listas numéricas obliga a reescribirlas por completo.
¿Qué diferencia hay entre tráfico que atraviesa el enrutador y tráfico administrativo?
Un punto clave es que las ACL aplicadas a interfaces solo filtran el tráfico que atraviesa el enrutador, es decir, paquetes que van de una red a otra [02:20]. El tráfico dirigido al propio enrutador —como comandos de configuración remota— no se ve afectado por esas listas.
Para filtrar ese tráfico administrativo se utiliza el comando access class, que permite restringir qué estaciones pueden conectarse al equipo activo con fines de gestión [02:52]. En términos de seguridad, esta restricción es una capa adicional muy valiosa.
¿Cuáles son las buenas prácticas para administrar ACL?
Las listas de control de acceso deben responder a una política de seguridad documentada de la organización, no a decisiones arbitrarias [03:14]. Por ejemplo, si la política establece que el grupo comercial solo accede a servidores comerciales, la ACL traduce esa regla tomando las direcciones IP correspondientes.
Estas son las prácticas recomendadas:
- Documentar cada regla con su objetivo para facilitar futuras ediciones cuando cambien las políticas [03:45].
- Editar fuera de línea: trabajar la lista en un archivo de texto externo, probarla "en papel" y luego aplicarla de una sola vez sobre el equipo [04:03]. Esto evita el riesgo de que una regla temporal desconecte al administrador mientras está configurando.
- Usar software de gestión que permita mantener la lista, verificarla y aplicarla una vez terminada [04:30].
- Probar antes de producción: idealmente en una topología de prueba o, como mínimo, en un ambiente de simulación que permita verificar que las listas operan según lo esperado antes de aplicarlas sobre equipos físicos en producción [04:40].
Si has trabajado con listas de control de acceso y tienes algún consejo adicional sobre su administración, comparte tu experiencia en los comentarios.
