Cisco Access-List Lock & key o Dynamic.

clip_image001

Le ACL Dynamic, sono uno strumento molto utile per concedere un permesso temporaneo ad una risorsa che normalmente è bloccata.

L’utente deve effettuare una autenticazione via Telnet, dopo di chè il router concederà la risorsa soltanto al suo ip e per un tempo limitato.

Visto che l’autenticazione può essere eseguita soltanto via telnet, c’è il pericolo che un malintenzionato possa catturare i pacchetti e “spoofare” l’indirizzo ip dell’host remoto.

 

In questo esempio vedremo come premettere dinamicamente l’accesso RDP ad un server dopo essersi correttamente autenticati al router.

 

  • Come prima cosa indichiamo alle porte virtuali(telnet/ssh) di autenticare tramite LOCAL Database, potremmo utilizzare anche TACACS+ o Radius.

line vty 0 4
login local

  • Ora dobbiamo configurare l’utente per permettergli di creare l’acl temporanea. Impostiamo anche un timeout di 15 minuti.

username utenteEXT password 0 MiaPassword

username utenteEXT autocommand access-enable host timeout 15

  • Configuriamo l’ACl, che normalmente permette icmp e telnet, dinamicamente apre anche la porta TCP 3389.

 

access-list 100 permit icmp any any
access-list 100 permit tcp any any eq telnet
access-list 100 dynamic ACCESS permit tcp any any eq 3389
access-list 100 deny ip any any log

  • Ora dobbiamo applicare l’ACL all’interfaccia desiderata.

interface fa0/0

ip access-group 100 in

Bene, la nostra access-list lock & key è configurata, basterà fare un telnet ed autenticarsi per avere accesso alla risorsa desiderata.

Per cancellare l’access-list dinamica si dovrà utilizzare questa sintassi:

clear access-template [access-list-number | name] [dynamic-name] [source] [destination]

Quindi nel nostro caso:

clear access-template 100 ACCESS any any

 

 

 

Share

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *