Rajoita pääsyä Cisco Switchiin IP-osoitteen perusteella

Turvallisuuden lisäämiseksi halusin rajoittaa pääsyn Cisco SG300-10 -kytkimeeni vain yhteen IP-osoitteeseen paikallisessa aliverkossani. Kun konfiguroin uuden kytkimeni alun perin(initially configuring my new switch) muutaman viikon takaperin, en ollut tyytyväinen, kun tiesin, että kuka tahansa lähiverkkooni(LAN) tai WLAN -verkkoon liitetty pääsi kirjautumissivulle vain tietämällä laitteen IP-osoitteen.

Päädyin seulomaan 500-sivuisen oppaan läpi selvittääkseni, kuinka voin estää kaikki IP-osoitteet paitsi ne, jotka halusin hallintaan. Pitkän testauksen ja useiden Ciscon(Cisco) foorumeilla tehtyjen viestien jälkeen tajusin sen! Tässä artikkelissa opastan sinut Cisco - kytkimen käyttöprofiilien ja profiilisääntöjen määrittämiseksi.

Huomautus: Seuraava menetelmä, jota aion kuvata, antaa sinun myös rajoittaa pääsyn mihin tahansa kytkimesi käytössä oleviin palveluihin. Voit esimerkiksi rajoittaa pääsyä SSH-, HTTP-, HTTPS-, Telnet- tai kaikkiin näihin palveluihin IP-osoitteen perusteella. (Note: The following method I am going to describe also allows you to restrict access to any number of enabled services on your switch. For example, you can restrict access to SSH, HTTP, HTTPS, Telnet, or all of these services by IP address. )

Luo hallinnan käyttöoikeusprofiili(Create Management Access Profile) ja säännöt(Rules)

Aloita kirjautumalla kytkimesi verkkokäyttöliittymään ja laajentamalla Suojaus(Security) ja sitten Mgmt Access Method . Siirry eteenpäin ja napsauta Käyttöprofiilit(Access Profiles) .

Ensimmäinen asia, joka meidän on tehtävä, on luoda uusi käyttöoikeusprofiili. Oletuksena sinun pitäisi nähdä vain Vain konsoli(Console Only) -profiili. Huomaat myös yläreunassa, että Active Access Profile -kohdan vieressä on Ei mitään(None) . Kun olemme luoneet profiilimme ja sääntömme, meidän on valittava profiilin nimi täältä, jotta se voidaan aktivoida.

Napsauta nyt Lisää(Add) - painiketta ja tämän pitäisi tuoda esiin valintaikkuna, jossa voit nimetä uuden profiilisi ja lisätä myös ensimmäisen säännön uudelle profiilille.

Anna uudelle profiilillesi nimi yläreunassa. Kaikki muut kentät liittyvät ensimmäiseen sääntöön, joka lisätään uuteen profiiliin. Säännön prioriteetti -asetukselle( Rule Priority) on valittava arvo väliltä 1 - 65535. Cisco toimii siten, että alhaisimman prioriteetin sääntöä sovelletaan ensin. Jos se ei täsmää, sovelletaan seuraavaa sääntöä, jolla on alhaisin prioriteetti.

Esimerkissäni valitsin prioriteetiksi 1 , koska haluan, että tämä sääntö käsitellään ensin. Tämä sääntö sallii IP-osoitteen, jolle haluan antaa pääsyn kytkimelle. Hallintamenetelmässä voit(Management Method) joko valita tietyn palvelun tai valita kaikki, mikä rajoittaa kaikkea. Minun tapauksessani valitsin kaikki, koska minulla on joka tapauksessa käytössä vain SSH ja HTTPS ja hallitsen molempia palveluita yhdestä tietokoneesta.

Huomaa, että jos haluat suojata vain SSH :n ja HTTPS :n , sinun on luotava kaksi erillistä sääntöä. Toiminto voi olla vain (Action)Estä(Deny) tai Salli(Permit) . Esimerkissäni valitsin Permit , koska tämä koskee sallittua IP-osoitetta. Seuraavaksi(Next) voit soveltaa sääntöä tiettyyn laitteen käyttöliittymään tai jättää sen Kaikki(All) -kohtaan , jotta se koskee kaikkia portteja.

Kohdassa Koskee lähde-IP-osoitetta(Applies to Source IP Address) meidän on valittava tässä Käyttäjän määrittämä( User Defined) ja sen jälkeen versio 4(Version 4) , ellet työskentele IPv6 - ympäristössä, jolloin valitsisit version 6 . Kirjoita nyt IP-osoite, jolle pääsy sallitaan, ja kirjoita verkkomaski, joka vastaa kaikkia tarkasteltavia bittejä.

Esimerkiksi koska IP-osoitteeni on 192.168.1.233, koko IP-osoite on tutkittava ja siksi tarvitsen verkkomaskin 255.255.255.255. Jos haluaisin, että sääntö koskee kaikkia koko aliverkossa, käyttäisin maskia 255.255.255.0. Tämä tarkoittaisi, että kuka tahansa, jolla on 192.168.1.x-osoite, olisi sallittu. En tietenkään halua tehdä sitä, mutta toivottavasti se selittää kuinka verkkomaskia käytetään. Huomaa, että verkon peite ei ole verkkosi aliverkon peite. Verkkomaski kertoo yksinkertaisesti, mitä bittejä Ciscon(Cisco) tulee tarkastella sääntöä soveltaessaan.

Napsauta Käytä(Apply) , ja sinulla pitäisi nyt olla uusi käyttöoikeusprofiili ja sääntö! Napsauta(Click) vasemmanpuoleisessa valikossa Profiilisäännöt ja sinun pitäisi nähdä uusi sääntö yläreunassa .( Profile Rules)

Nyt meidän on lisättävä toinen sääntömme. Voit tehdä tämän napsauttamalla Lisää(Add) - painiketta, joka näkyy Profiilisääntötaulukon(Profile Rule Table) alla .

Toinen sääntö on todella yksinkertainen. Varmista ensin, että pääsyprofiilin nimi(Access Profile Name) on sama, jonka juuri loimme. Nyt annamme säännölle prioriteetin 2 (Action)ja(2) valitsemme toiminnolle Kieltä(Deny) . Varmista, että kaikki muu on asetettu kohtaan Kaikki(All) . Tämä tarkoittaa, että kaikki IP-osoitteet estetään. Koska ensimmäinen sääntömme kuitenkin käsitellään ensin, tämä IP-osoite sallitaan. Kun sääntö on sovitettu, muut säännöt ohitetaan. Jos IP-osoite ei vastaa ensimmäistä sääntöä, se siirtyy tähän toiseen sääntöön, jossa se vastaa ja estetään. Kiva!

Lopuksi meidän on aktivoitava uusi käyttöprofiili. Voit tehdä tämän palaamalla käyttöprofiileihin( Access Profiles) ja valitsemalla uuden profiilin yläreunassa olevasta pudotusvalikosta ( Active Access Profile -kohdan vieressä ). Varmista, että napsautat Käytä(Apply) , niin sinun pitäisi olla valmis.

Muista(Remember) , että kokoonpano on tällä hetkellä tallennettu vain käynnissä olevaan kokoonpanoon. Varmista, että siirryt kohtaan Hallinta(Administration)Tiedostonhallinta( File Management)Copy/Save Configuration kopioidaksesi käynnissä olevan konfiguraation käynnistyskonfiguraatioon.

Jos haluat sallia useamman kuin yhden IP-osoitteen pääsyn kytkimeen, luo toinen sääntö, kuten ensimmäinen, mutta aseta sille korkeampi prioriteetti. Sinun on myös varmistettava, että muutat Kieltosäännön(Deny) prioriteettia niin, että sillä on korkeampi prioriteetti kuin kaikilla lupasäännöillä(Permit) . Jos kohtaat ongelmia tai et saa tätä toimimaan, kirjoita rohkeasti kommentteihin, niin yritän auttaa. Nauttia!



Sari Mäkelä

About the author

Hei! Nimeni on ja olen laitteistohakkeri. Minulla on yli 10 vuoden kokemus tietokoneiden korjaamisesta ja muokkaamisesta. Voin korjata melkein mitä tahansa kannettavista tietokoneista tabletteihin ja älytelevisioihin. Taitojeni avulla pystyn auttamaan asiakkaita ratkaisemaan ongelmansa nopeasti ja tehokkaasti. Blogini on omistettu auttamaan ihmisiä korjaamaan tietokoneita ja laitteitaan oikeilla työkaluilla. Ja Facebook-sivullani jaan vinkkejä, temppuja ja oivalluksia kaikesta tietokoneeseen liittyvästä!


Related posts