LISTAS DE ACCESO DINMICAS (LOCK AND KEY) Introduccin.

La funcionalidad Lock-And-Key es un mtodo de autenticacin simple que permite utilizar listas de acceso dinmicas para controlar el acceso a ciertos servicios a travs de un ruteador. Topologa. 192.168.1.0 /24 SERVIDOR
E0/0 E0/0

RTR1 100
S2/0 S2/0

10.10.10.0 /24
E0/0 E0/0

1.1.1.0 /24

RTR2 200

PC 210

Objetivo. En la topologa mostrada, la PC con IP 10.10.10.2 debe poder abrir una sesin de Telnet con el Servidor con IP 1.1.1.50 (NAT esttico) despus de que el ruteador RTR1 haya autenticado la sesin de manera dinmica. Modo de Operacin. La forma en la que esta funcin opera es la siguiente: 1. Un usuario abre una sesin de telnet hacia el ruteador de acceso, configurado previamente para la funcin Lock-and-key. 2. El ruteador de acceso realiza el proceso de autenticacin. Este proceso puede llevarse acabo en el mismo ruteador (base de datos local) o a travs de un servidor de RADIUS o TACACS+ (base de datos externa). 3. Una vez que el ruteador de acceso autentica al usuario, la sesin de telnet hacia el ruteador es terminada por el mismo equipo y el acceso al servicio interno est permitida durante el tiempo especificado en la configuracin.

Configuracin. RTR1 hostname RTR1 interface Ethernet0/0 ip address 192.168.1.1 255.255.255.0 ip nat inside interface Serial2/0

ip address 1.1.1.1 255.255.255.0 ip access-group 120 in ip nat outside ip nat inside source static 192.168.1.50 1.1.1.50 extendable ip route 0.0.0.0 0.0.0.0 1.1.1.2 access-list 120 permit tcp any host 1.1.1.1 eq telnet access-list 120 dynamic LOCK permit tcp any host 1.1.1.50 eq telnet line vty 0 4 password cisco login autocommand access-enable host En la configuracin anterior podemos observar una configuracin simple en las interfaces, una regla de NAT esttico para el SERVIDOR y un filtro aplicado en la interfaz externa a travs de una lista de acceso 120. Dentro de la lista de acceso 120, agregamos una entrada dinmica con el nombre LOCK la cual establece el servicio que queremos habilitar dinmicamente, una vez que el usuario haya pasado por el proceso de autenticacin. Cabe hacer notar que en este ejemplo la lista de acceso 120 adems tiene permitida la sesin de telnet a su interfaz externa (1.1.1.1), esto con el fin de habilitar la sesin al ruteador de acceso. Finalmente, el comando autocommand access-enable host le permite al ruteador capturar la informacin de la direccin IP que se autentica para agregar una entrada nueva a la lista de acceso 120. Es muy importante no olvidar agregar la partcula host al comando ya que esto restringe el acceso nicamente a la IP que pasa el proceso de autenticacin, si no se utiliza este comando, una sesin al Servidor desde cualquier otra IP tambin es permitida. PRUEBAS. Prueba 1. Intentar realizar una sesin de telnet al SERVIDOR con IP 1.1.1.50 desde la PC. telnet 1.1.1.50 % Destination unreachable; gateway or host down No hay acceso al servidor como esperbamos.

RTR1#show access-list Extended IP access list 120 10 permit tcp any host 1.1.1.1 eq telnet

20 Dynamic LOCK permit tcp any host 1.1.1.50 eq telnet Los paquetes desde la PC al servidor son bloqueados por la instruccin deny ip any any que viene implcita al final de la lista de acceso 120.

Prueba 2. Realizar una sesin de telnet al SERVIDOR con IP 1.1.1.50 desde la PC, despus de realizado el proceso LOCK-AND-KEY. Telnet al ruteador de acceso:

telnet 1.1.1.1 Trying 1.1.1.1 ... Open User Access Verification Password: [Connection to 1.1.1.1 closed by foreign host] La autenticacin fue exitosa y el ruteador termina la sesin de telnet. Telnet al SERVIDOR.

telnet 1.1.1.50 Trying 1.1.1.50 ... Open La sesin al servidor interno fue exitosa y se agreg una entrada dinmica a la lista de acceso 120 que contiene la IP de la PC (10.10.10.2).

RTR1#sh access-list Extended IP access list 120 10 permit tcp any host 1.1.1.1 eq telnet (30 matches) 20 Dynamic LOCK permit tcp any host 1.1.1.50 eq telnet permit tcp host 10.10.10.2 host 1.1.1.50 eq telnet (14 matches) Para ms informacin sobre otras opciones de esta funcionalidad, as como tiempos de espera que pueden ser configurados pueden consultar la siguiente pgina: http://www.cisco.com/en/US/tech/tk583/tk822/technologies_tech_note09186a0080094524. shtml