Tags: ACL
Come funzionano e che vantaggi danno le ACL “reflexive”?
Certificazione e Corso Cisco CCNA – riferimento Semestre 4-5.4.3.1-2
Le ACL “reflexive” hanno soltanto “entry” temporanee, e sono “abbinate” ad una ACL IP estesa con nome. Svolgono un compito simile alle ACL estese operanti su TCP con l’opzione: established, ma in modo più sofisticato.
Infatti le ACL riflessive consentono solo il traffico di ritorno che effettivamente corrisponda a sessioni già aperte dall’interno di una LAN, e non solo che “sembri” tale (perché confezionato appositamente da un hacker!). Per fare ciò, queste ACL:
- controllano il traffico uscente, prendendo nota delle richieste di nuove connessioni
- creano la “entry” della ACL “reflexive” necessaria per autorizzare il traffico di risposta
- controllano che tale traffico abbia “tutte le carte a posto”, ad esempio i due IP
- bloccano ogni altro traffico entrante (comprese le richieste di nuove connessioni!)
- funzionano anche per i traffici ICMP e UDP, che non hanno i flag di Segmento
- funzionano anche per connessioni che alterano i numeri di Porta sorgente e/o destinazione
- rimuovono la “reflexive entry” quando vedono che viene chiusa la connessione.
