Protección Puertos VTY con ACL Estándar
Resumen
Aprende a configurar una ACL estándar para proteger el acceso a VTY. ¡¡Empieza a aprender CCNA 200-301 gratis ahora mismo!!
¡Bienvenido!: Este tema forma parte del Módulo 5 del curso de Cisco CCNA 3, para un mejor seguimiento del curso puede ir a la sección CCNA 3 para guiarte del índice.
Tabla de Contenido
1. El Comando access-class
Las ACL normalmente filtran el tráfico entrante o saliente en una interfaz. Sin embargo, una ACL también se puede utilizar para proteger el acceso administrativo remoto a un dispositivo mediante las líneas vty.
Utiliza los dos pasos siguientes para proteger el acceso administrativo remoto a las líneas vty:
- Crea una ACL para identificar a qué hosts administrativos se debe permitir el acceso remoto.
- Aplica la ACL al tráfico entrante en las líneas vty.
Utiliza el siguiente comando para aplicar una ACL a las líneas vty:
R1(config-line)# access-class {access-list-number | access-list-name} { in | out }
La palabra clave in es la opción más utilizada para filtrar el tráfico vty entrante. El parámetro out filtra el tráfico vty saliente y rara vez se aplica.
Se debe tener en cuenta lo siguiente al configurar listas de acceso en líneas vty:
- Las listas de acceso numeradas y nombradas se pueden aplicar a las líneas vty.
- Se deben establecer restricciones idénticas en todas las líneas vty, porque un usuario puede intentar conectarse a cualquiera de ellas.
2. Ejemplo de Acceso Seguro a VTY
La topología de la figura se utiliza para demostrar cómo configurar una ACL para filtrar el tráfico vty. En este ejemplo, sólo el PC1 podrá acceder a Telnet en el R1.
Nota: Telnet se utiliza aquí sólo con fines de demostración. SSH debe implementarse en el entorno de producción.
Para aumentar el acceso seguro, se creará un nombre de usuario y una contraseña, y se utilizará el método de autenticación login local en las líneas vty. El comando del ejemplo crea una entrada de base de datos local para un usuario ADMIN y una contraseña class.
Se crea una ACL estándar llamada ADMIN-HOST e identifica PC1. Observa que se ha configurado deny any para realizar un seguimiento del número de veces que se ha denegado el acceso.
Las líneas vty se configuran para utilizar la base de datos local para la autenticación, permitir el tráfico Telnet y utilizar la ACL ADMIN-HOST para restringir el tráfico.
R1(config)# username ADMIN secret class R1(config)# ip access-list standard ADMIN-HOST R1(config-std-nacl)# remark This ACL secures incoming vty lines R1(config-std-nacl)# permit 192.168.10.10 R1(config-std-nacl)# deny any R1(config-std-nacl)# exit R1(config)# line vty 0 4 R1(config-line)# login local R1(config-line)# transport input telnet R1(config-line)# access-class ADMIN-HOST in R1(config-line)# end R1#
En un entorno de producción, establecerías las líneas vty para permitir sólo SSH, como se muestra en el ejemplo.
R1(config)# line vty 0 4 R1(config-line)# login local R1(config-line)# transport input ssh R1(config-line)# access-class ADMIN-HOST in R1(config-line)# end R1#
3. Verificar la Seguridad del Puerto VTY
Después de configurar la ACL para restringir el acceso a las líneas vty, es importante verificar que esté funcionando como se esperaba.
Como se muestra en la figura, cuando PC1 hace Telnet a R1, se le pedirá al host un nombre de usuario y contraseña antes de acceder correctamente al símbolo del sistema.
Esto verifica que PC1 pueda acceder a R1 con fines administrativos.
A continuación, probamos la conexión desde PC2. Como se muestra en esta figura, cuando PC2 intenta Telnet, se rechaza la conexión.
Para verificar las estadísticas de ACL, ejecuta el comando show access-lists. Observa el mensaje informativo que aparece en la consola con respecto al usuario administrador. También se genera un mensaje informativo de la consola cuando un usuario sale de la línea vty.
La coincidencia en la línea permit de la salida es el resultado de una conexión Telnet exitosa por PC1. La coincidencia en la declaración deny se debe al intento fallido de crear una conexión Telnet por PC2, un dispositivo en la red 192.168.11.0/24.
R1#
Oct 9 15:11:19.544: %SEC_LOGIN-5-LOGIN_SUCCESS: Login Success [user: admin] [Source: 192.168.10.10] [localport: 23] at 15:11:19 UTC Wed Oct 9 2019
R1# show access-lists
Standard IP access list ADMIN-HOST
10 permit 192.168.10.10 (2 matches)
20 deny any (2 matches)
R1#
4. Comprobación Sintaxis – Proteger los Puertos VTY
Protege las líneas vty para el acceso administrativo remoto.
Crear una entrada en la base de datos local para el nombre ADMIN y secret class.
R1(config)#username ADMIN secret class
Crear un ACL estándar llamado ADMIN-HOST.
R1(config)#ip access-list standard ADMIN-HOST
Crear un permiso ACE para el host con la dirección IP 192.168.10.10.
R1(config-std-nacl)#permit host 192.168.10.10
A continuación, añade el “deny any” implícito y vuelve al modo de configuración global.
R1(config-std-nacl)#deny any R1(config-std-nacl)#exit
Entra en el modo de configuración vty para configurar las cinco líneas vty (es decir, 0 – 4).
R1(config)#line vty 0 4
Usar el método login local para la autenticación y permitir el tráfico de Telnet.
R1(config-line)#login local R1(config-line)#transport input telnet
Restringe el acceso entrante al PC1 sólo con el comando access-class, nombrálo ACL ADMIN-HOST y vuelve al modo privilegiado EXEC.
R1(config-line)#access-class ADMIN-HOST in R1(config-line)#end
El PC1 intentó hacer un telnet a R1 y tuvo éxito. El PC2 lo intentó y no tuvo éxito. Verifica las estadísticas del ACL para ver si los ACL funcionan como se espera.
R1#show access-lists
Standard IP access list ADMIN-HOST
10 permit 192.168.10.10 (2 matches)
20 deny any (2 matches)
Has modificado con éxito un ACL numerado IPv4 en R1.
Glosario: Si tienes dudas con algún término especial, puedes consultar este diccionario de redes informáticas.
¡Listo! Sigue visitando nuestro blog de curso de redes, dale Me Gusta a nuestra fanpage; y encontrarás más herramientas y conceptos que te convertirán en todo un profesional de redes.
