SlideShare una empresa de Scribd logo

Clase 10

Descargar como PPTX, PDF
Titiushko Jazz
Titiushko Jazz
1 de 18
Configuracion de ACLs dinamicas
• Conocidas como "lock and key • Sólo pueden ser utilizadas para tráfico IP. • Dependen de conectividad Telnet, autenticación (local o remota) y ACLs extendidas. • La configuración de una ACL dinámica comienza con la aplicación de una ACL extendida para bloquear el tráfico en el router. • Los usuarios que quieran atravesar el router serán bloqueados hasta que utilicen Telnet para conectarse al router y logren autenticarse. • La conexión Telnet es entonces descartada y se agrega una ACL dinámica de una sola entrada a la ACL extendida existente. • Esto permite tráfico por un período de tiempo particular. El vencimiento puede ser tanto absoluto o por inactividad.
• Una de las razones por las que pueden usarse ACLs dinámicas es para proporcionar a un usuario remoto específico o un grupo de usuarios remotos acceso a un host dentro de la red. • Otra razón puede ser cuando un subgrupo de hosts de una red local necesita acceder a un host en una red remota que está protegido con un firewall. • Las ACLs dinámicas ofrecen estos beneficios de seguridad sobre las ACLs estándar y extendidas: • Mecanismo de desafío para autenticar usuarios individuales • Administración simplificada en grandes redes • Procesamiento reducido para ACLs • Menores oportunidades para los hackers de forzar una entrada a la red • Creación de acceso dinámico de usuarios
• Una combinación de actividades solicitadas al usuario y automáticas ocurre en los dispositivos cuando se implementa e invoca una ACL dinámica. • Primero, el usuario remoto debe abrir una conexión Telnet o SSH al router, que la ACL externa del router debe permitir. • Luego, el router pide al usuario su nombre de usuario y contraseña. • En el siguiente paso, el router autentica la conexión usando una base de datos de usuarios local definida con los comandos username, un servidor AAA que use los protocolos RADIUS o TACACS+ o el comando password en las líneas vty. • Si la autenticación es exitosa, la conexión Telnet o SSH se cierra, ya que su función era exclusivamente de autenticación.
• Una vez que el usuario ha sido autenticado exitosamente, el IOS de Cisco agrega una entrada a la ACL dinámica que ofrece acceso al usuario a los recursos internos configurados. • No es posible establecer políticas de acceso por usuario. En su lugar, el administrador define una política para todos los usuarios de ACLs dinámicas y esta política se aplica a todos los usuarios autenticados. • Finalmente, el usuario puede acceder a los recursos internos, a los que, sin la entrada en la ACL dinámica no tendría acceso.
configuración de una ACL dinámica • Paso 1. Cree una ACL extendida. • La ACL dinámica soporta ACLs extendidas tanto numeradas como nombradas. • Una de las primeras entradas en la ACL permite acceso Telnet o SSH a una dirección IP en el router que los usuarios externos pueden utilizar. • Como mínimo, se crea una entrada de reserva de lugar en la ACL, que, una vez que un usuario se autentica exitosamente, toma valores dinámicos concretos. • La autenticación exitosa del usuario crea esta entrada dinámica.
• Paso 2. Defina la autenticación • Las ACLs dinámicas soportan los siguientes métodos de autenticación: local (base de datos de nombres de usuario), por servidor AAA externo y la contraseña de línea. • Típicamente, la contraseña de línea no se utiliza porque con este método todos los usuarios deben emplear la misma contraseña. • Paso 3. Habilite el método de autenticación dinámico. • Esto toma lugar en las líneas vty del router. Una vez que se habilita, el usuario puede crear entradas para la ACL dinámica en la ACL de la interfaz que hace referencia a la ACL dinámica.
• Este es el comando usado para crear la entrada de ACL dinámica. • Router(config)# access-list {100-199} dynamic nombre_ACL_dinámica [timeout minutos] {permit | deny} protocolo dir-origen [wildcard-origen] [operador operando] dir-destino [wildcard-destino] [operador operando] [established] • La palabra clave dynamic permite al administrador especificar el nombre de la ACL dinámica que se usará. • Este nombre debe ser único entre todas las ACLs nombradas en el router. • El parámetro timeout es opcional. Especifica un vencimiento absoluto de la entrada dinámica que crea un usuario autenticado. El rango posible del vencimiento es de 1 a 9999 minutos.
• Dos vencimientos están asociados con las entradas ACL: los absolutos y los que ocurren por inactividad. • El vencimiento absoluto se especifica en la entrada de la ACL dinámica, mientras que el valor de vencimiento por inactividad se especifica por medio del comando autocommand, el cual habilita la autenticación lock and key en las líneas vty. • Si no se especifican los tiempos de vencimiento, por defecto, la entrada nunca se vencerá. • Por lo tanto, se recomienda configurar un tiempo de vencimiento, sea absoluto o por inactividad.
• Luego del parámetro de vencimiento en la sentencia ACL, especifique qué tráfico de usuario deberá permitirse. • Normalmente, se desconoce la dirección IP del usuario externo, por lo que deberá usar la palabra clave any. • Luego de crear la ACL extendida, para habilitar el permiso a Telnet y/o SSH y las entradas dinámicas, actívela en la interfaz del router con el comando ip access-group. • Habiendo configurado una base de datos de usuarios local, la última cosa que queda por hacer es habilitar la autenticación lock and key en las líneas vty. • Router(config)# line vty 0 4 • Router(config-line)# autocommand access-enable host [timeout minutes]
• El comando autocommand access-enable especifica la autenticación lock and key. • Luego de que un usuario se autentica exitosamente, se inserta una entrada temporal en la ACL extendida. • Esta entrada se ubica en el parámetro dynamic que reserva el lugar en la ACL extendida. • La entrada temporal se agrega sólo en la interfaz a la que el usuario se conecta. • Sin el comando autocommand access-enable, el router no creará las entradas ACL temporales.
• El parámetro host es opcional. • Cuando se especifica este parámetro, el IOS de Cisco reemplaza la palabra clave any de la ACL dinámica con la dirección IP del usuario. • Si se aplica la ACL extendida como de entrada, la palabra clave any del origen se reemplaza con la dirección IP del usuario; si se aplica como de salida, la palabra clave que se reemplaza es la any de destino. • El parámetro de vencimiento opcional se usa para configurar el vencimiento por inactividad de la entrada temporal de la ACL del usuario.
Clase 10
Clase 10
Clase 10
Clase 10

Recomendados

Lab huawei2
Lab huawei2Lab huawei2
Lab huawei2pablo6842
 
Sistemas Operativos
Sistemas OperativosSistemas Operativos
Sistemas Operativosmalenita15
 
Expl sw chapter_02_switches_part_ii
Expl sw chapter_02_switches_part_iiExpl sw chapter_02_switches_part_ii
Expl sw chapter_02_switches_part_iiBatman Apellidos
 
Segmentación LAN desde Web Plus a fully Managed
Segmentación LAN desde Web Plus a fully ManagedSegmentación LAN desde Web Plus a fully Managed
Segmentación LAN desde Web Plus a fully ManagedNETGEAR Iberia
 
Manejo de redes practica 12
Manejo de redes practica 12Manejo de redes practica 12
Manejo de redes practica 12Richy Vega
 
Mtcna mikrotik informatix
Mtcna mikrotik informatixMtcna mikrotik informatix
Mtcna mikrotik informatixEfrain Solorzano
 
Rut500 guía de configuración rápida
Rut500 guía de configuración rápidaRut500 guía de configuración rápida
Rut500 guía de configuración rápidaDAVANTEL
 
Configuracion switch(8)
Configuracion switch(8)Configuracion switch(8)
Configuracion switch(8)mariansastoque01
 

Recomendados

Lab huawei2
Lab huawei2Lab huawei2
Lab huawei2pablo6842
 
Sistemas Operativos
Sistemas OperativosSistemas Operativos
Sistemas Operativosmalenita15
 
Expl sw chapter_02_switches_part_ii
Expl sw chapter_02_switches_part_iiExpl sw chapter_02_switches_part_ii
Expl sw chapter_02_switches_part_iiBatman Apellidos
 
Segmentación LAN desde Web Plus a fully Managed
Segmentación LAN desde Web Plus a fully ManagedSegmentación LAN desde Web Plus a fully Managed
Segmentación LAN desde Web Plus a fully ManagedNETGEAR Iberia
 
Manejo de redes practica 12
Manejo de redes practica 12Manejo de redes practica 12
Manejo de redes practica 12Richy Vega
 
Mtcna mikrotik informatix
Mtcna mikrotik informatixMtcna mikrotik informatix
Mtcna mikrotik informatixEfrain Solorzano
 
Rut500 guía de configuración rápida
Rut500 guía de configuración rápidaRut500 guía de configuración rápida
Rut500 guía de configuración rápidaDAVANTEL
 
Configuracion switch(8)
Configuracion switch(8)Configuracion switch(8)
Configuracion switch(8)mariansastoque01
 
Manual de instalación de EXCHANGE y TMG 2010
Manual de instalación de EXCHANGE y TMG 2010Manual de instalación de EXCHANGE y TMG 2010
Manual de instalación de EXCHANGE y TMG 2010Hugo Rios
 
Redes Privadas Virtuales y cómo configurar routers de Teltonika
Redes Privadas Virtuales y cómo configurar routers de TeltonikaRedes Privadas Virtuales y cómo configurar routers de Teltonika
Redes Privadas Virtuales y cómo configurar routers de TeltonikaMonolitic, S.A.
 
Listas de acceso
Listas de accesoListas de acceso
Listas de accesoLeonoa Brises Sixtos
 
R7 verificaciã³n de la conectividad
R7 verificaciã³n de la conectividadR7 verificaciã³n de la conectividad
R7 verificaciã³n de la conectividadRichy Vega
 
Listas de Control de Acceso
Listas de Control de AccesoListas de Control de Acceso
Listas de Control de AccesoAlexx Campos
 
Configuracion de redes vlan
Configuracion de redes vlanConfiguracion de redes vlan
Configuracion de redes vlanAlex Pin
 
Lans switchadaspractica3
Lans switchadaspractica3Lans switchadaspractica3
Lans switchadaspractica3henrynaranjo2010
 
Configuración De Hostpot
Configuración De HostpotConfiguración De Hostpot
Configuración De HostpotRod Hinojosa
 
Clase 2. ACL
Clase 2. ACLClase 2. ACL
Clase 2. ACLJosé Ricardo Tillero Giménez
 
Cap2 mod3(sol)
Cap2 mod3(sol)Cap2 mod3(sol)
Cap2 mod3(sol)Ivan Nuñez Salinas
 
Acl seguridad-ip
Acl seguridad-ipAcl seguridad-ip
Acl seguridad-ipJuan Quijano
 
Vlans con una tarjeta de red en pfsense
Vlans con una tarjeta de red en pfsenseVlans con una tarjeta de red en pfsense
Vlans con una tarjeta de red en pfsenseEdgar Guth
 
Practica de redes diana rodriguez
Practica de redes diana rodriguezPractica de redes diana rodriguez
Practica de redes diana rodriguezdianaaribarra
 
4.e3 pt act_3_5_1.config_basicavlancontrunking_noresuelto
4.e3 pt act_3_5_1.config_basicavlancontrunking_noresuelto4.e3 pt act_3_5_1.config_basicavlancontrunking_noresuelto
4.e3 pt act_3_5_1.config_basicavlancontrunking_noresueltoAlvaro J
 
Capitulo 4
Capitulo 4Capitulo 4
Capitulo 4rancruel027
 
Clase 04
Clase 04Clase 04
Clase 04Titiushko Jazz
 
Clase 04
Clase 04Clase 04
Clase 04Titiushko Jazz
 
Acl tema seguridad-ip
Acl tema seguridad-ipAcl tema seguridad-ip
Acl tema seguridad-ipJuan Quijano
 
Clase 09
Clase 09Clase 09
Clase 09Titiushko Jazz
 
Clase 09
Clase 09Clase 09
Clase 09Titiushko Jazz
 
Clase 15
Clase 15Clase 15
Clase 15Titiushko Jazz
 
Clase 15
Clase 15Clase 15
Clase 15Titiushko Jazz
 

Más contenido relacionado

La actualidad más candente

Manual de instalación de EXCHANGE y TMG 2010
Manual de instalación de EXCHANGE y TMG 2010Manual de instalación de EXCHANGE y TMG 2010
Manual de instalación de EXCHANGE y TMG 2010Hugo Rios
 
Redes Privadas Virtuales y cómo configurar routers de Teltonika
Redes Privadas Virtuales y cómo configurar routers de TeltonikaRedes Privadas Virtuales y cómo configurar routers de Teltonika
Redes Privadas Virtuales y cómo configurar routers de TeltonikaMonolitic, S.A.
 
R7 verificaciã³n de la conectividad
R7 verificaciã³n de la conectividadR7 verificaciã³n de la conectividad
R7 verificaciã³n de la conectividadRichy Vega
 
Listas de Control de Acceso
Listas de Control de AccesoListas de Control de Acceso
Listas de Control de AccesoAlexx Campos
 
Configuracion de redes vlan
Configuracion de redes vlanConfiguracion de redes vlan
Configuracion de redes vlanAlex Pin
 
Configuración De Hostpot
Configuración De HostpotConfiguración De Hostpot
Configuración De HostpotRod Hinojosa
 
Vlans con una tarjeta de red en pfsense
Vlans con una tarjeta de red en pfsenseVlans con una tarjeta de red en pfsense
Vlans con una tarjeta de red en pfsenseEdgar Guth
 
Practica de redes diana rodriguez
Practica de redes diana rodriguezPractica de redes diana rodriguez
Practica de redes diana rodriguezdianaaribarra
 
4.e3 pt act_3_5_1.config_basicavlancontrunking_noresuelto
4.e3 pt act_3_5_1.config_basicavlancontrunking_noresuelto4.e3 pt act_3_5_1.config_basicavlancontrunking_noresuelto
4.e3 pt act_3_5_1.config_basicavlancontrunking_noresueltoAlvaro J
 

La actualidad más candente (15)

Manual de instalación de EXCHANGE y TMG 2010
Manual de instalación de EXCHANGE y TMG 2010Manual de instalación de EXCHANGE y TMG 2010
Manual de instalación de EXCHANGE y TMG 2010
 
Redes Privadas Virtuales y cómo configurar routers de Teltonika
Redes Privadas Virtuales y cómo configurar routers de TeltonikaRedes Privadas Virtuales y cómo configurar routers de Teltonika
Redes Privadas Virtuales y cómo configurar routers de Teltonika
 
Listas de acceso
Listas de accesoListas de acceso
Listas de acceso
 
R7 verificaciã³n de la conectividad
R7 verificaciã³n de la conectividadR7 verificaciã³n de la conectividad
R7 verificaciã³n de la conectividad
 
Listas de Control de Acceso
Listas de Control de AccesoListas de Control de Acceso
Listas de Control de Acceso
 
Configuracion de redes vlan
Configuracion de redes vlanConfiguracion de redes vlan
Configuracion de redes vlan
 
Lans switchadaspractica3
Lans switchadaspractica3Lans switchadaspractica3
Lans switchadaspractica3
 
Configuración De Hostpot
Configuración De HostpotConfiguración De Hostpot
Configuración De Hostpot
 
Clase 2. ACL
Clase 2. ACLClase 2. ACL
Clase 2. ACL
 
Cap2 mod3(sol)
Cap2 mod3(sol)Cap2 mod3(sol)
Cap2 mod3(sol)
 
Acl seguridad-ip
Acl seguridad-ipAcl seguridad-ip
Acl seguridad-ip
 
Vlans con una tarjeta de red en pfsense
Vlans con una tarjeta de red en pfsenseVlans con una tarjeta de red en pfsense
Vlans con una tarjeta de red en pfsense
 
Practica de redes diana rodriguez
Practica de redes diana rodriguezPractica de redes diana rodriguez
Practica de redes diana rodriguez
 
4.e3 pt act_3_5_1.config_basicavlancontrunking_noresuelto
4.e3 pt act_3_5_1.config_basicavlancontrunking_noresuelto4.e3 pt act_3_5_1.config_basicavlancontrunking_noresuelto
4.e3 pt act_3_5_1.config_basicavlancontrunking_noresuelto
 
Capitulo 4
Capitulo 4Capitulo 4
Capitulo 4
 

Similar a Clase 10

Acl tema seguridad-ip
Acl tema seguridad-ipAcl tema seguridad-ip
Acl tema seguridad-ipJuan Quijano
 
Servidir Proxy
Servidir ProxyServidir Proxy
Servidir Proxykaliz
 
Control de Acceso a la Red en entornos corporativos con Software Libre
Control de Acceso a la Red en entornos corporativos con Software Libre Control de Acceso a la Red en entornos corporativos con Software Libre
Control de Acceso a la Red en entornos corporativos con Software Libre linenoise
 
Tunneling: Esquivando Restricciones de Proxies y Firewalls
Tunneling: Esquivando Restricciones de Proxies y FirewallsTunneling: Esquivando Restricciones de Proxies y Firewalls
Tunneling: Esquivando Restricciones de Proxies y FirewallsEsteban Saavedra
 
Mikrotik RouterOs basics v0.3 español
Mikrotik RouterOs basics v0.3 españolMikrotik RouterOs basics v0.3 español
Mikrotik RouterOs basics v0.3 españolRod Hinojosa
 

Similar a Clase 10 (20)

Clase 04
Clase 04Clase 04
Clase 04
 
Clase 04
Clase 04Clase 04
Clase 04
 
Acl tema seguridad-ip
Acl tema seguridad-ipAcl tema seguridad-ip
Acl tema seguridad-ip
 
Clase 09
Clase 09Clase 09
Clase 09
 
Clase 09
Clase 09Clase 09
Clase 09
 
Clase 15
Clase 15Clase 15
Clase 15
 
Clase 15
Clase 15Clase 15
Clase 15
 
Clase 03
Clase 03Clase 03
Clase 03
 
Clase 03
Clase 03Clase 03
Clase 03
 
Clase 16
Clase 16Clase 16
Clase 16
 
Clase 16
Clase 16Clase 16
Clase 16
 
Servidir Proxy
Servidir ProxyServidir Proxy
Servidir Proxy
 
Control de Acceso a la Red en entornos corporativos con Software Libre
Control de Acceso a la Red en entornos corporativos con Software Libre Control de Acceso a la Red en entornos corporativos con Software Libre
Control de Acceso a la Red en entornos corporativos con Software Libre
 
Acls
AclsAcls
Acls
 
Tunneling: Esquivando Restricciones de Proxies y Firewalls
Tunneling: Esquivando Restricciones de Proxies y FirewallsTunneling: Esquivando Restricciones de Proxies y Firewalls
Tunneling: Esquivando Restricciones de Proxies y Firewalls
 
Clase 05
Clase 05Clase 05
Clase 05
 
Clase 05
Clase 05Clase 05
Clase 05
 
Mikrotik RouterOs basics v0.3 español
Mikrotik RouterOs basics v0.3 españolMikrotik RouterOs basics v0.3 español
Mikrotik RouterOs basics v0.3 español
 
Clase 11
Clase 11Clase 11
Clase 11
 
Clase 11
Clase 11Clase 11
Clase 11
 

Más de Titiushko Jazz

Unidad vii esp parte 3 clase de inteligencia de negocios (datawarehouse)
Unidad vii esp parte 3 clase de inteligencia de negocios (datawarehouse)Unidad vii esp parte 3 clase de inteligencia de negocios (datawarehouse)
Unidad vii esp parte 3 clase de inteligencia de negocios (datawarehouse)Titiushko Jazz
 
Unidad vii esp parte 3 clase de datawarehouse ( ing. doño)
Unidad vii esp parte 3 clase de datawarehouse ( ing. doño)Unidad vii esp parte 3 clase de datawarehouse ( ing. doño)
Unidad vii esp parte 3 clase de datawarehouse ( ing. doño)Titiushko Jazz
 
Unidad vii esp parte 2 introduccion a data warehouse y datamining
Unidad vii esp parte 2 introduccion a data warehouse y dataminingUnidad vii esp parte 2 introduccion a data warehouse y datamining
Unidad vii esp parte 2 introduccion a data warehouse y dataminingTitiushko Jazz
 
Unidad vi esp parte 2 procesimientos en plsql y transact sql
Unidad vi esp parte 2 procesimientos en plsql y transact sqlUnidad vi esp parte 2 procesimientos en plsql y transact sql
Unidad vi esp parte 2 procesimientos en plsql y transact sqlTitiushko Jazz
 
Tarea pronosticos eily
Tarea pronosticos eilyTarea pronosticos eily
Tarea pronosticos eilyTitiushko Jazz
 
Proyecto teórico práctico
Proyecto teórico prácticoProyecto teórico práctico
Proyecto teórico prácticoTitiushko Jazz
 

Más de Titiushko Jazz (20)

Unidad vii esp parte 3 clase de inteligencia de negocios (datawarehouse)
Unidad vii esp parte 3 clase de inteligencia de negocios (datawarehouse)Unidad vii esp parte 3 clase de inteligencia de negocios (datawarehouse)
Unidad vii esp parte 3 clase de inteligencia de negocios (datawarehouse)
 
Unidad vii esp parte 3 clase de datawarehouse ( ing. doño)
Unidad vii esp parte 3 clase de datawarehouse ( ing. doño)Unidad vii esp parte 3 clase de datawarehouse ( ing. doño)
Unidad vii esp parte 3 clase de datawarehouse ( ing. doño)
 
Unidad vii esp parte 2 introduccion a data warehouse y datamining
Unidad vii esp parte 2 introduccion a data warehouse y dataminingUnidad vii esp parte 2 introduccion a data warehouse y datamining
Unidad vii esp parte 2 introduccion a data warehouse y datamining
 
Unidad vi esp parte 2 procesimientos en plsql y transact sql
Unidad vi esp parte 2 procesimientos en plsql y transact sqlUnidad vi esp parte 2 procesimientos en plsql y transact sql
Unidad vi esp parte 2 procesimientos en plsql y transact sql
 
Unidad ii esp parte 2
Unidad ii esp parte 2Unidad ii esp parte 2
Unidad ii esp parte 2
 
Unidad ii esp parte 1
Unidad ii esp parte 1Unidad ii esp parte 1
Unidad ii esp parte 1
 
Unidad i esp parte 2
Unidad i esp parte 2Unidad i esp parte 2
Unidad i esp parte 2
 
Unidad i esp parte 1
Unidad i esp parte 1Unidad i esp parte 1
Unidad i esp parte 1
 
Tarea pronosticos eily
Tarea pronosticos eilyTarea pronosticos eily
Tarea pronosticos eily
 
Sociedades limitadas
Sociedades limitadasSociedades limitadas
Sociedades limitadas
 
Rhu
RhuRhu
Rhu
 
Qué es un proyecto
Qué es un proyectoQué es un proyecto
Qué es un proyecto
 
Proyecto teórico práctico
Proyecto teórico prácticoProyecto teórico práctico
Proyecto teórico práctico
 
Presentacion1630
Presentacion1630Presentacion1630
Presentacion1630
 
Presentacion1410
Presentacion1410Presentacion1410
Presentacion1410
 
Presentacion1310
Presentacion1310Presentacion1310
Presentacion1310
 
Presentacion1210
Presentacion1210Presentacion1210
Presentacion1210
 
Presentacion1220
Presentacion1220Presentacion1220
Presentacion1220
 
Presentacion1001
Presentacion1001Presentacion1001
Presentacion1001
 
Presentacion810
Presentacion810Presentacion810
Presentacion810
 

Clase 10

  • 2. • Conocidas como "lock and key • Sólo pueden ser utilizadas para tráfico IP. • Dependen de conectividad Telnet, autenticación (local o remota) y ACLs extendidas. • La configuración de una ACL dinámica comienza con la aplicación de una ACL extendida para bloquear el tráfico en el router. • Los usuarios que quieran atravesar el router serán bloqueados hasta que utilicen Telnet para conectarse al router y logren autenticarse. • La conexión Telnet es entonces descartada y se agrega una ACL dinámica de una sola entrada a la ACL extendida existente. • Esto permite tráfico por un período de tiempo particular. El vencimiento puede ser tanto absoluto o por inactividad.
  • 3. • Una de las razones por las que pueden usarse ACLs dinámicas es para proporcionar a un usuario remoto específico o un grupo de usuarios remotos acceso a un host dentro de la red. • Otra razón puede ser cuando un subgrupo de hosts de una red local necesita acceder a un host en una red remota que está protegido con un firewall. • Las ACLs dinámicas ofrecen estos beneficios de seguridad sobre las ACLs estándar y extendidas: • Mecanismo de desafío para autenticar usuarios individuales • Administración simplificada en grandes redes • Procesamiento reducido para ACLs • Menores oportunidades para los hackers de forzar una entrada a la red • Creación de acceso dinámico de usuarios
  • 4. • Una combinación de actividades solicitadas al usuario y automáticas ocurre en los dispositivos cuando se implementa e invoca una ACL dinámica. • Primero, el usuario remoto debe abrir una conexión Telnet o SSH al router, que la ACL externa del router debe permitir. • Luego, el router pide al usuario su nombre de usuario y contraseña. • En el siguiente paso, el router autentica la conexión usando una base de datos de usuarios local definida con los comandos username, un servidor AAA que use los protocolos RADIUS o TACACS+ o el comando password en las líneas vty. • Si la autenticación es exitosa, la conexión Telnet o SSH se cierra, ya que su función era exclusivamente de autenticación.
  • 5. • Una vez que el usuario ha sido autenticado exitosamente, el IOS de Cisco agrega una entrada a la ACL dinámica que ofrece acceso al usuario a los recursos internos configurados. • No es posible establecer políticas de acceso por usuario. En su lugar, el administrador define una política para todos los usuarios de ACLs dinámicas y esta política se aplica a todos los usuarios autenticados. • Finalmente, el usuario puede acceder a los recursos internos, a los que, sin la entrada en la ACL dinámica no tendría acceso.
  • 6.
  • 7. configuración de una ACL dinámica • Paso 1. Cree una ACL extendida. • La ACL dinámica soporta ACLs extendidas tanto numeradas como nombradas. • Una de las primeras entradas en la ACL permite acceso Telnet o SSH a una dirección IP en el router que los usuarios externos pueden utilizar. • Como mínimo, se crea una entrada de reserva de lugar en la ACL, que, una vez que un usuario se autentica exitosamente, toma valores dinámicos concretos. • La autenticación exitosa del usuario crea esta entrada dinámica.
  • 8. • Paso 2. Defina la autenticación • Las ACLs dinámicas soportan los siguientes métodos de autenticación: local (base de datos de nombres de usuario), por servidor AAA externo y la contraseña de línea. • Típicamente, la contraseña de línea no se utiliza porque con este método todos los usuarios deben emplear la misma contraseña. • Paso 3. Habilite el método de autenticación dinámico. • Esto toma lugar en las líneas vty del router. Una vez que se habilita, el usuario puede crear entradas para la ACL dinámica en la ACL de la interfaz que hace referencia a la ACL dinámica.
  • 9. • Este es el comando usado para crear la entrada de ACL dinámica. • Router(config)# access-list {100-199} dynamic nombre_ACL_dinámica [timeout minutos] {permit | deny} protocolo dir-origen [wildcard-origen] [operador operando] dir-destino [wildcard-destino] [operador operando] [established] • La palabra clave dynamic permite al administrador especificar el nombre de la ACL dinámica que se usará. • Este nombre debe ser único entre todas las ACLs nombradas en el router. • El parámetro timeout es opcional. Especifica un vencimiento absoluto de la entrada dinámica que crea un usuario autenticado. El rango posible del vencimiento es de 1 a 9999 minutos.
  • 10.
  • 11. • Dos vencimientos están asociados con las entradas ACL: los absolutos y los que ocurren por inactividad. • El vencimiento absoluto se especifica en la entrada de la ACL dinámica, mientras que el valor de vencimiento por inactividad se especifica por medio del comando autocommand, el cual habilita la autenticación lock and key en las líneas vty. • Si no se especifican los tiempos de vencimiento, por defecto, la entrada nunca se vencerá. • Por lo tanto, se recomienda configurar un tiempo de vencimiento, sea absoluto o por inactividad.
  • 12. • Luego del parámetro de vencimiento en la sentencia ACL, especifique qué tráfico de usuario deberá permitirse. • Normalmente, se desconoce la dirección IP del usuario externo, por lo que deberá usar la palabra clave any. • Luego de crear la ACL extendida, para habilitar el permiso a Telnet y/o SSH y las entradas dinámicas, actívela en la interfaz del router con el comando ip access-group. • Habiendo configurado una base de datos de usuarios local, la última cosa que queda por hacer es habilitar la autenticación lock and key en las líneas vty. • Router(config)# line vty 0 4 • Router(config-line)# autocommand access-enable host [timeout minutes]
  • 13. • El comando autocommand access-enable especifica la autenticación lock and key. • Luego de que un usuario se autentica exitosamente, se inserta una entrada temporal en la ACL extendida. • Esta entrada se ubica en el parámetro dynamic que reserva el lugar en la ACL extendida. • La entrada temporal se agrega sólo en la interfaz a la que el usuario se conecta. • Sin el comando autocommand access-enable, el router no creará las entradas ACL temporales.
  • 14. • El parámetro host es opcional. • Cuando se especifica este parámetro, el IOS de Cisco reemplaza la palabra clave any de la ACL dinámica con la dirección IP del usuario. • Si se aplica la ACL extendida como de entrada, la palabra clave any del origen se reemplaza con la dirección IP del usuario; si se aplica como de salida, la palabra clave que se reemplaza es la any de destino. • El parámetro de vencimiento opcional se usa para configurar el vencimiento por inactividad de la entrada temporal de la ACL del usuario.