Restricționarea acces router prin telnet sau ssh prin acl, ciscotips

Să vedem cum să restricționeze accesul la router. Pentru a începe, vă recomand să citiți articolul pe ACL. dacă nu aveți deja.

Cum să nu facă

Deci, există un router, noi, ca administratori doresc să fie în măsură să se conecteze la distanță să-l prin ssh sau telnet, dar nu doresc să-l la distanță și au fost conectate atacatorii brute force parolele noastre. Este destul de o provocare, dacă încercați să-l rezolve folosind ACL extins la interfețele router.

Să aveți un router cu aceste interfețe:

Zafiltrovat pentru a avea acces la telnet, pe Fa0 / 0 ne-ar trebui să se aplice această intrare ACL:

La Fa0 / 1 și Fa0 / 2 ar trebui să aplice aceeași ACL. Deoarece router-ul se poate conecta la oricare din interfața sa. De exemplu, putem fi în rețea conectată prin Fa0 / 0 și se referă la router prin intermediul interfeței Fa0 / 1. traficul nostru vine prin Fa0 / 0 este rulată la Fa0 / 1 și se întâmplă deja prin conexiunea telnet. Acesta este motivul pentru care am enumerat toate interfețele. Acum, imaginați-vă că fiecare dintre interfețele au avut deja ACL lor cu regulile sale de filtrare. În acest caz, nu am primit de a utiliza un ACL comun 101 pe toate interfețele, va fi necesar ca fiecare ACL adauga trei linii. Imaginați-vă că există o nouă interfață Fa0 / 3 (192.168.3.1) - acum trebuie să lucreze în jurul valorii de toate create anterior ACL și adăugați o linie acolo

Cum se face

ACL 1 - simplu ACL, constând din două linii. El a aplicat la linia VTY și acum nu contează în cazul în care traficul a venit de la care interfața cu o rețea. Când este vorba de o VTY, acesta va fi verificat pentru conformitatea cu ACL și acceptat sau respins.

Rețineți că ACL este aplicată pe comanda de interfață de acces-grup. și pe VTY - comanda de acces clasă.

Aceasta se referă la tema: