Zastosowanie ACL do kontrolowania dostępu do VTY.
Cisco zaleca, aby do administrowania routerami i przełącznikami używać protokołu SSH. Jeśli wersja systemu Cisco IOS nie obsługuje SSH, można zwiększyć bezpieczeństwo połączeń poprzez ograniczenie dostępu do sesji VTY. Ograniczanie dostępu do sesji VTY polega na zdefiniowaniu adresów IP, z których ruch Telnet do routera jest przepuszczany. Możesz określić przy pomocy listy ACL, które stacje robocze lub całe podsieci mogą zarządzać twoim routerem, używając komendy access-class , skonfigurowanej na liniach VTY. Możesz także użyć tej techniki do zabezpieczenia połączeń SSH dla zwiększenia bezpieczeństwa.
Komenda access-class , wprowadzona w trybie konfiguracji linii VTY, ogranicza połączenia przychodzące i wychodzące pomiędzy daną sesją VTY (w urządzeniu Cisco) a adresami na liście ACL.
Standardowe i rozszerzone listy dostępowe są stosowane w odniesieniu do pakietów przechodzących przez router. Nie są one przeznaczone do blokowania pakietów wygenerowanych przez ten router. Dlatego też wyjściowa rozszerzona lista ACL domyślnie nie zapobiegnie ruchowi protokołu telnet, zainicjowanemu na routerze.
Filtrowanie ruchu telnet lub SSH jest zazwyczaj domeną rozszerzonych list ACL, ponieważ podlega mu protokół wyższego poziomu. Jednakże, ponieważ do filtrowania użyta została komenda access-class , a kontrolowany ruch dotyczy adresów źródłowych i opiera się na protokole SSH/Telnet, można użyć standardowej listy ACL.
Składnia polecenia access-class jest następująca:
Router(config-line)# access-class access-list-number { in [ vrf-also ] | out }
Parametr in powoduje ograniczenie połączeń przychodzących między adresami na liście dostępu a urządzeniem Cisco, natomiast parametr out spowoduje ograniczenie połączeń wychodzących z urządzenia Cisco do adresów wymienionych na liście ACL.
Na rysunku 1 podano przykład zezwalający na dostęp do linii VTY 0 - 4 dla pewnego zakresu adresów. Listę ACL skonfigurowano tak, aby zezwolić na ruch z podsieci 192.168.10.0 do sesji VTY 0 - 4 oraz blokować cały pozostały ruch.
Aby skonfigurować listę ACL na liniach VTY, należy wziąć pod uwagę następujące fakty:
- Do sesji VTY można stosować tylko numerowane listy ACL.
- Do każdej linii VTY należy stosować te same ACL, ponieważ użytkownik może podłączyć się do dowolnej z nich.
Użyj weryfikatora składni z rysunku 2 aby przećwiczyć polecenia związane z zabezpieczaniem sesji VTY.