lunes, 16 de enero de 2012

Access list dinámicas: Lock and Key ACL


Las ACL Dinámicas, también conocidas como Lock and Key ACL son ACL que solo permiten el paso de tráfico una vez que el usuarios se ha autenticado. Para autenticarse el usuario deberá hacer un telnet al router, se le facilitará usuario y contraseña, y si se autentica correctamente a partir de ese momento, y con un timeout establecido, podrá acojerse a las cláusulas permit de la ACL, en caso contrario no podrá cursar tráfico.

Un ejemplo vale mas que mil palabras:

username HOMER password SIMPSON <-----Creamos un usuario local, que será el que luego utilizaremos para conectarnos por telnet al router

line vty 0 4
    login local <----¿No te apetece probar esto mismo con un TACACS+? Pronto un articulo sore autenticación con TACACS+
    autocommand access-enable host timeout 10 <----Timeout del telnet

Una vez creado el acceso por telnet, la siguiente parte es crear la ACL dinámica. La primera linea, que pueden ser todas las que se quieran, mientras que lleven dynamic, y la lista de acceso dinámica que queremos que se cree, es lo que se le va a aplicar a los usuarios una vez autenticados por telnet.
La segunda linea de la ACL es una linea “normal”, y sirve para permitir el acceso por telnet a nuestro router, para que la gente se pueda autenticar.

access-list 110 dynamic DINAMICA timeout 10 permit ip any any  <-----Lo que se aplica a los usuarios ya conectados
access-list 110 permit tcp any host 1.1.1.1 eq telnet <-----Permitimos que los usuarios se conecten por telnet, sino va a ser complicado :D

Un ejemplo que ponen en la propia web de cisco:

This is a basic example of lock and key.
username test password 0 test 
!--- Ten (minutes) is the idle timeout.username test autocommand access-enable host timeout 10 


interface Ethernet0/0 
  ip address 10.1.1.1 255.255.255.0 
  ip access-group 101 in 

access-list 101 permit tcp any host 10.1.1.1 eq telnet !--- 15 (minutes) is the absolute timeout.access-list 101 dynamic testlist timeout 15 permit ip 10.1.1.0 0.0.0.255        
172.16.1.0 0.0.0.255


line vty 0 4  
login local 
El link a las access list dinámicas de la pagina de Cisco. 
Publicado por en
Etiquetas: , , , ,

1 comentario:

  1. Anónimo4 de marzo de 2014, 13:37

    Sin más rodeos! Es cierto, es mejor de frente un ejemplo, gracias!!!

    ResponderEliminar

Suscribirse a: Enviar comentarios (Atom)