WB1 - Lab02a - 2.4/2.5

Intentando retomar el estudio para el CCIE Security lab, cuya fecha que tengo programada es Febrero, hoy avance un poco, con una dificultad de un dolor grande en mi caso (la cabeza). Todo el dia sin tregua...argh!#@#!@

En fin, los puntos destacables de 2.4 y 2.5 del Lab 2a WB1:

1. Order of operations: input y output ACLs vienen _DESPUES_ de NAT, por lo que estos ACLs _DEBEN_ considerar las direcciones POST-NAT o no funcionan!
2. Tema viejisimo, pero se me olvido completamente. Para que un usuario ingrese a un router, e ingrese con un privilegio 15, sin tener que usar enable, es imperativo tener habilitado autorizacion. ejemplo:

aaa new-model
aaa authentication login VTY_1 local
aaa authorization exec VTY_2 local
username admin privilege 15 password 0 admin
line vty 0 4
authorization exec VTY_2
login authentication VTY_1
transport input ssh

3. Para que lock'n'key funcione, agregar al escenario de arriba:

username ccie password 0 ccie
username ccie autocommand access-enable host timeout 10
access-list dynamic-extended
ip access-list blah extended
[..........]
dynamic dacl timeout 100 permit tcp any any
int x
access-group blah in

Con esto, si el usuario ccie se autentica via SSH, a continuacion se habilitar el ACL que permite todo el trafico TCP en la interfaz X.

4. Si no dejan usar reflexive ACLs o CBAC, puede ser una opcion usar el bit established en un ACL con trafico TCP

5. Un ejemplo de reflexive ACL (SOLO FUNCIONAN CON NAMED ACLs!):

ip access-list extended out_acl
permit icmp any any echo
permit icmp any any echo-reply
permit icmp any any unreachable
permit tcp 9.4.45.0 0.0.0.255 host 9.16.146.14 eq 22 reflect REF_ACL timeout 180
permit tcp 9.4.45.0 0.0.0.255 host 192.1.49.12 eq 22 reflect REF_ACL timeout 180

ip access-list extended in_acl
deny ip 10.0.0.0 0.255.255.255 any
deny ip 172.16.0.0 0.15.255.255 any
deny ip 192.168.0.0 0.0.255.255 any
deny ip host 0.0.0.0 any log
deny ip 127.0.0.0 0.255.255.255 any log
deny ip 224.0.0.0 15.255.255.255 any log
deny ip 169.254.0.0 0.0.255.255 any log
deny ip host 255.255.255.255 any log
permit icmp any any echo
permit icmp any any echo-reply
permit icmp any any unreachable
permit tcp host 9.9.156.9 eq bgp host 9.9.156.5 gt 1024
permit tcp host 9.9.156.9 gt 1024 host 9.9.156.5 eq bgp
permit udp host 9.9.156.9 eq ntp host 4.4.4.4 eq ntp
permit udp host 9.9.156.9 eq ntp host 5.5.5.5 eq ntp
evaluate REF_ACL
deny ip any any

Until next time!


100 es un timeout global