Access Control List Reflexive

Tags: ACL

Come funzionano e che vantaggi danno le ACL “reflexive”?

Certificazione e Corso Cisco CCNA – riferimento Semestre 4-5.4.3.1-2

Le ACL “reflexive” hanno soltanto “entry” temporanee, e sono “abbinate” ad una ACL IP estesa con nome. Svolgono un compito simile alle ACL estese operanti su TCP con l’opzione: established, ma in modo più sofisticato.

Infatti le ACL riflessive consentono solo il traffico di ritorno che effettivamente corrisponda a sessioni già aperte dall’interno di una LAN, e non solo che “sembri” tale (perché confezionato appositamente da un hacker!). Per fare ciò, queste ACL:

  • controllano il traffico uscente, prendendo nota delle richieste di nuove connessioni
  • creano la “entry” della ACL “reflexive” necessaria per autorizzare il traffico di risposta
  • controllano che tale traffico abbia “tutte le carte a posto”, ad esempio i due IP
  • bloccano ogni altro traffico entrante (comprese le richieste di nuove connessioni!)
  • funzionano anche per i traffici ICMP e UDP, che non hanno i flag di Segmento
  • funzionano anche per connessioni che alterano i numeri di Porta sorgente e/o destinazione
  • rimuovono la “reflexive entry” quando vedono che viene chiusa la connessione.

ACL Reflexive