2. • Conocidas como "lock and key
• Sólo pueden ser utilizadas para tráfico IP.
• Dependen de conectividad Telnet, autenticación (local o remota) y
ACLs extendidas.
• La configuración de una ACL dinámica comienza con la aplicación de
una ACL extendida para bloquear el tráfico en el router.
• Los usuarios que quieran atravesar el router serán bloqueados hasta
que utilicen Telnet para conectarse al router y logren autenticarse.
• La conexión Telnet es entonces descartada y se agrega una ACL
dinámica de una sola entrada a la ACL extendida existente.
• Esto permite tráfico por un período de tiempo particular. El
vencimiento puede ser tanto absoluto o por inactividad.
3. • Una de las razones por las que pueden usarse ACLs dinámicas
es para proporcionar a un usuario remoto específico o un
grupo de usuarios remotos acceso a un host dentro de la red.
• Otra razón puede ser cuando un subgrupo de hosts de una red
local necesita acceder a un host en una red remota que está
protegido con un firewall.
• Las ACLs dinámicas ofrecen estos beneficios de seguridad
sobre las ACLs estándar y extendidas:
• Mecanismo de desafío para autenticar usuarios individuales
• Administración simplificada en grandes redes
• Procesamiento reducido para ACLs
• Menores oportunidades para los hackers de forzar una entrada a
la red
• Creación de acceso dinámico de usuarios
4. • Una combinación de actividades solicitadas al usuario y
automáticas ocurre en los dispositivos cuando se implementa
e invoca una ACL dinámica.
• Primero, el usuario remoto debe abrir una conexión Telnet o
SSH al router, que la ACL externa del router debe permitir.
• Luego, el router pide al usuario su nombre de usuario y
contraseña.
• En el siguiente paso, el router autentica la conexión usando
una base de datos de usuarios local definida con los comandos
username, un servidor AAA que use los protocolos RADIUS o
TACACS+ o el comando password en las líneas vty.
• Si la autenticación es exitosa, la conexión Telnet o SSH se
cierra, ya que su función era exclusivamente de autenticación.
5. • Una vez que el usuario ha sido autenticado exitosamente, el
IOS de Cisco agrega una entrada a la ACL dinámica que ofrece
acceso al usuario a los recursos internos configurados.
• No es posible establecer políticas de acceso por usuario. En su
lugar, el administrador define una política para todos los
usuarios de ACLs dinámicas y esta política se aplica a todos los
usuarios autenticados.
• Finalmente, el usuario puede acceder a los recursos internos,
a los que, sin la entrada en la ACL dinámica no tendría acceso.
6.
7. configuración de una ACL
dinámica
• Paso 1. Cree una ACL extendida.
• La ACL dinámica soporta ACLs extendidas tanto numeradas
como nombradas.
• Una de las primeras entradas en la ACL permite acceso Telnet
o SSH a una dirección IP en el router que los usuarios externos
pueden utilizar.
• Como mínimo, se crea una entrada de reserva de lugar en la
ACL, que, una vez que un usuario se autentica exitosamente,
toma valores dinámicos concretos.
• La autenticación exitosa del usuario crea esta entrada
dinámica.
8. • Paso 2. Defina la autenticación
• Las ACLs dinámicas soportan los siguientes métodos de
autenticación: local (base de datos de nombres de usuario),
por servidor AAA externo y la contraseña de línea.
• Típicamente, la contraseña de línea no se utiliza porque con
este método todos los usuarios deben emplear la misma
contraseña.
• Paso 3. Habilite el método de autenticación dinámico.
• Esto toma lugar en las líneas vty del router. Una vez que se
habilita, el usuario puede crear entradas para la ACL dinámica
en la ACL de la interfaz que hace referencia a la ACL dinámica.
9. • Este es el comando usado para crear la entrada de ACL dinámica.
• Router(config)# access-list {100-199} dynamic
nombre_ACL_dinámica [timeout minutos] {permit | deny} protocolo
dir-origen [wildcard-origen] [operador operando] dir-destino
[wildcard-destino] [operador operando] [established]
• La palabra clave dynamic permite al administrador especificar el
nombre de la ACL dinámica que se usará.
• Este nombre debe ser único entre todas las ACLs nombradas en el
router.
• El parámetro timeout es opcional. Especifica un vencimiento
absoluto de la entrada dinámica que crea un usuario autenticado. El
rango posible del vencimiento es de 1 a 9999 minutos.
10.
11. • Dos vencimientos están asociados con las entradas ACL: los
absolutos y los que ocurren por inactividad.
• El vencimiento absoluto se especifica en la entrada de la ACL
dinámica, mientras que el valor de vencimiento por
inactividad se especifica por medio del comando
autocommand, el cual habilita la autenticación lock and key en
las líneas vty.
• Si no se especifican los tiempos de vencimiento, por defecto,
la entrada nunca se vencerá.
• Por lo tanto, se recomienda configurar un tiempo de
vencimiento, sea absoluto o por inactividad.
12. • Luego del parámetro de vencimiento en la sentencia ACL,
especifique qué tráfico de usuario deberá permitirse.
• Normalmente, se desconoce la dirección IP del usuario
externo, por lo que deberá usar la palabra clave any.
• Luego de crear la ACL extendida, para habilitar el permiso a
Telnet y/o SSH y las entradas dinámicas, actívela en la interfaz
del router con el comando ip access-group.
• Habiendo configurado una base de datos de usuarios local, la
última cosa que queda por hacer es habilitar la autenticación
lock and key en las líneas vty.
• Router(config)# line vty 0 4
• Router(config-line)# autocommand access-enable host
[timeout minutes]
13. • El comando autocommand access-enable especifica la
autenticación lock and key.
• Luego de que un usuario se autentica exitosamente, se inserta
una entrada temporal en la ACL extendida.
• Esta entrada se ubica en el parámetro dynamic que reserva el
lugar en la ACL extendida.
• La entrada temporal se agrega sólo en la interfaz a la que el
usuario se conecta.
• Sin el comando autocommand access-enable, el router no
creará las entradas ACL temporales.
14. • El parámetro host es opcional.
• Cuando se especifica este parámetro, el IOS de Cisco
reemplaza la palabra clave any de la ACL dinámica con la
dirección IP del usuario.
• Si se aplica la ACL extendida como de entrada, la palabra clave
any del origen se reemplaza con la dirección IP del usuario; si
se aplica como de salida, la palabra clave que se reemplaza es
la any de destino.
• El parámetro de vencimiento opcional se usa para configurar
el vencimiento por inactividad de la entrada temporal de la
ACL del usuario.