Управление доступом по протоколам Telnet и SSH с помощью списков ACL
Создана 19.11.2024
Отредактирована 19.11.2024
Отредактирована 19.11.2024
Современная среда безопасности требует безопасного способа администрирования вашей сети. Вот почему для подключения к маршрутизатору для мониторинга, настройки и устранения неполадок рекомендуется использовать Secure Shell (SSH). Хотя Telnet по-прежнему доступен в качестве опции, его использование не рекомендуется, поскольку сеанс не зашифрован и может быть виден в виде открытого текста.
SSH использует модель клиент-сервер. Ваш маршрутизатор Cisco является как сервером SSH, так и клиентом SSH. Таким образом, вы можете использовать SSH на настольном клиенте (на Windows PC можно использовать PuTTY) для подключения к маршрутизатору, тогда сам маршрутизатор может быть клиентом, позволяя вам безопасно переходить с одного маршрутизатора на другой.
Можно также подключиться через Telnet, но это небезопасно, так как трафик передаётся в открытом виде, и его могут перехватить
Когда внешний пользователь подключается к маршрутизатору или коммутатору по SSH, операционная система IOS использует канал vty для предоставления ему пользовательского соединения. Применив списки ACL к этим входящим соединениям, операционная система IOS может фильтровать адреса хостов IPv4, от которых маршрутизаторы или коммутаторы могут принимать соединения SSH.
Предположим, например, что сетевые администраторы используют подсеть 10.10.10.0/24 и устройства только из этой подсети должны быть в состоянии установить сеансы SSH с любым из маршрутизаторов Cisco в сети. В таком случае конфигурация в примерах 1 и 2 применяется на каждом маршрутизаторе, чтобы лишить доступа все IР-адреса не из этой подсети. Для начала вам нужно настроить сам протоколо SSH на сетевом оборудованиии, чтобы ознакомиться как это сделать, перейдите по ссылке.
Пример 1. Создание стандартного нумерованного ACL
Router(config)#ip access-list standard 45
Router(config-std-nacl)#permit 10.10.10.0 0.0.0.255
Router(config-std-nacl)#exit
Пример 2. Управление доступом через соединения vty с использованием команды access-class
Router(config)#line vty 0 15
Router(config-line)#access-class 45 in
Router(config-line)#login local
Router(config-line)#transport input ssh
В команде access-class применяется ссылка на средства проверки, заданные с помощью команды access-class 45 in. Ключевое слово in указывает, что речь идет о входящих запросах на создание соединений SSH с маршрутизатором, иными словами, о подключении к маршругизатору с помощью этого протокола удаленного соединения. В том виде, в каком он задан в конфигурации, список ACL 45 проверяет IР-адрес отправителя в пакетах, относящихся к запросам на создание соединений Telnet. Этой командой transport input ssh мы разрешаем только SSH для использования входящего трафика на линиях VTY.
Операционная система IOS позволяет также использовать списки ACL для фильтрации исходящих соединений Telnet и SSH. Рассмотрим, например, пользователя, который использовал протокол telnet или SSH для подключения к CLI и теперь находится в пользовательском или привилегированном режиме. При исходящем фильтре VТY операционная система IOS применит логику ACL, если пользователь попытается применить команду telnet или ssh для подключения с локального устройства к другому устройству.
Чтобы настроить исходящий список ACL VТY, используйте команду access-class acl out в режиме конфигурации VТY. После настройки маршругизатор фильтрует попытки текущих пользователей vty использовать команды telnet и s sh для инициализации новых соединений с другими устройствами.
Из этих двух возможностей (защита входящих и исходящих соединений) защита входящих соединений безусловно важней и применяется чаще. Но для полноты картины следует заметить, что у исходящих списков ACL VТY есть удивительная особенность. При использовании ключевого слова out стандартный список ACL IP, перечисленный в команде ip access-class, фактически контролирует IР адрес получателя, а не отправителя. Таким образом, он осуществляет фильтрацию на основании устройства, с которым команда telnet или ssh пытается установить соединение.