Normál IPv4 ACL-ek

VTY-vonalak védelme normál IPv4 ACL-lel

ACL használata VTY-hozzáférés szabályozására

A Cisco a forgalomirányítók és kapcsolók felügyeletére az SSH-t javasolja. Ha a forgalomirányító Cisco IOS szoftvere nem támogatja az SSH-t, akkor a VTY-hozzáférés korlátozásával növelhetjük az adminisztratív kapcsolat biztonságát. A VTY-elérés korlátozása azt jelenti, hogy meghatározzuk, hogy melyik IP-címekről engedélyezett a belépés a forgalomirányító parancssorába a Telnet használatával. Egy ACL segítségével szabályozhatjuk, hogy melyik felügyeleti munkaállomás vagy hálózat kapcsolódhat a forgalomirányítóhoz. A hozzáférést az access-class paranccsal konfigurálhatjuk a VTY-vonalakon. Ugyanezt a módszert alkalmazhatjuk az SSH-ra is, tovább növelve a felügyeleti hozzáférés biztonságát.

Az access-class vonali konfigurációs mód parancs korlátozza a bejövő és kimenő kapcsolatokat egy adott VTY-vonalon a hozzáférési listában lévő címek alapján.

A normál és a kiterjesztett hozzáférési listák engedélyei és tiltásai a forgalomirányítókon keresztülhaladó csomagokra vonatkoznak. Magáról a forgalomirányítóról származó csomagok szűrésére ezek a hozzáférési listák nem alkalmasak. Alapértelmezés szerint, egy Telnet-re vonatkozó kimenő irányú kiterjesztett ACL nem akadályozza meg a forgalomirányító által kezdeményezett Telnet kapcsolatot.

A Telnet és SSH-forgalom szabályozása jellemzően egy kiterjesztett ACL feladata, mivel egy magasabb rétegbeli protokoll szűréséről van szó. De, mivel az access-class parancs alkalmas a bejövő és kimenő Telnet/SSH-kapcsolatok forráscím alapján való szűrésére, elég normál ACL-t használni.

Az access-class parancs szintaktikája a következő:

Router(config-line)# access-class hozzáférési lista száma { in [ vrf-also ] | out }

Az in paraméter lekorlátozza a Cisco eszközhöz tartó bejövő kapcsolatokat a hozzáférési listában szereplő címekre, míg az out paraméter meghatározza a Cisco eszközről indítható összeköttetéseket az ACL címei alapján.

Az első ábrán lévő példában a VTY 0-4 vonalak engedélyezése látható, amelyek csak a 192.168.10.0 hálózat számára hozzáférhetők, minden más elérés tiltott.

A VTY-vonalakon konfigurált hozzáférési listák esetén vegyük figyelembe a következőket:

• Csak számozott hozzáférési listák alkalmazhatók a VTY-vonalakon.

• Azonos korlátozást kell beállítani minden VTY-vonalra, mivel a felhasználó bármelyikhez csatlakozhat közülük.

A 2. ábrán gyakorolhatjuk a VTY-hozzáférés biztonságossá tételét a parancsszimulátorban.