La realización de listas complejas no es nada del otro mundo, solo que necesita manejar muy bien los CONCEPTOS BÁSICOS DE LAS ACL, que vimos en un artículo anterior. Veamos entonces en que consisten y como se configuran.
ACL Dinámicas (De bloqueo)
Los usuario que deseen atravesar el router son bloqueados hasta que utilizan Telnet para conectarse al router y son autenticados. Se usa para usuario que deseen acceder a una red que esta protegida a través de una autenticación. Este es un ejemplo que sigue las mismas bases de configuración que hemos visto en artículos pasados.
R3(config)#username Estudiante password 0 Cisco // Usuario y contraseña con lo que debe ingresar.
R3(Config)#access-list 101 permit any host 10.2.2.2 eq telnet // permite establecer sección Telnet.
R3(Config)#access-list 101 dynamic testlist timeout 15 (ventana se abre durante 15min)
permit ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255
R3(Config)#interface serial 0/0/1
R3(Config-if)#ip access-group 101 in
R3(Config)#line vty 0 4
R3(Config-line)#login local
R3(config-line)#autocommand access-enable host timeout 5 // con 5 minutos de inactividad, se cierra.
ACL reflexivas (Solo en ACL nombradas)
Su principal ventaja es que protege la red de diferentes tipos de ataque. Permite el tráfico saliente y limitan el tráfico entrante como respuesta a sesiones que se originan fuera de la red. El router examina el tráfico saliente y, cuando ve una conexión, agrega una entrada a una ACL temporal para permitir la devolución de respuestas. Solo se aplica a ACL nombradas. Se debe crear en el router de borde conectado al ISP. Siempre se necesitan dos listas una para permitir todo el trafico saliente y otro que evalúa el trafico entrante.
R2(Config)#ip access-list extended OUTBOUNDFILTERS
R2(Config-ext-nacl)#permit tcp 192.168.0.0 0.0.0.255 any reflect TCPTRAFFIC
R2(Config-ext-nacl)#permit tcp 192.168.0.0 0.0.0.255 any reflect TCPTRAFFIC //Mantendra un registro del trafico ——————– R2(Config)#ip access-list extended INBOUNDFILTERS R2(Config-ext-nacl)#evaluate TCPTRAFFIC
R2(Config-ext-nacl)#evaluate
TCPTRAFFIC Crea una política de entrada que requiere que el router verifique el tráfico entrante para ver si se inició desde el interior y vincula la parte de la ACL reflexiva de la OUTBOUNDFILTERS ACL, llamada TCPTRAFFIC, a la INBOUNDFILTERS ACL ———————–
R2(Config)#interface s0/0
R2(Config-if)#ip access.group INBOUNDFILTERS in
R2(Config-if)#ip access.group OUTBOUNDFILTERS out
ACL Basadas en el tiempo.
Permiten el control de acceso según la hora del día y la semana.
R1(Config)#time-range CIERTOSDIAS
R1(Config-time-range)#periodic Monday Wednesday Friday 8:00 to 17:00 R1(Config)#access-list 101 pemit tcp 192.168.10.0 0.0.0.255 any eq telnet time-range CIERTOSDIAS
R1(Config)#interface s0/0
R1(Config-if)#ip access-group 101 out
Si necesitas aprender a implementar la tecnología en tu empresa, descubre precios y procedimientos, visitando nuestros servicios de tecnología para empresa.
