Le ACL Dynamic, sono uno strumento molto utile per concedere un permesso temporaneo ad una risorsa che normalmente è bloccata.
L’utente deve effettuare una autenticazione via Telnet, dopo di chè il router concederà la risorsa soltanto al suo ip e per un tempo limitato.
Visto che l’autenticazione può essere eseguita soltanto via telnet, c’è il pericolo che un malintenzionato possa catturare i pacchetti e “spoofare” l’indirizzo ip dell’host remoto.
In questo esempio vedremo come premettere dinamicamente l’accesso RDP ad un server dopo essersi correttamente autenticati al router.
- Come prima cosa indichiamo alle porte virtuali(telnet/ssh) di autenticare tramite LOCAL Database, potremmo utilizzare anche TACACS+ o Radius.
line vty04loginlocal
Ora dobbiamo configurare l’utente per permettergli di creare l’acl temporanea. Impostiamo anche un timeout di 15 minuti.
username utenteEXT password0MiaPassword
username utenteEXT autocommand access-enable host timeout 15
Configuriamo l’ACl, che normalmente permette icmp e telnet, dinamicamente apre anche la porta TCP 3389.
access-list100permit icmp any anyaccess-list100permit tcp any anyeq telnetaccess-list100dynamic ACCESS permit tcp any any eq 3389access-list100deny ip any any log
Ora dobbiamo applicare l’ACL all’interfaccia desiderata.
interface fa0/0
ip access-group 100 in
Bene, la nostra access-list lock & key è configurata, basterà fare un telnet ed autenticarsi per avere accesso alla risorsa desiderata.
Per cancellare l’access-list dinamica si dovrà utilizzare questa sintassi:
clear access-template [access-list-number | name] [dynamic-name] [source] [destination]
Quindi nel nostro caso:
clear access-template 100 ACCESS any any