Per maggiore sicurezza, volevo limitare l'accesso al mio switch Cisco SG300-10 a un solo indirizzo IP nella mia subnet locale. Dopo aver inizialmente configurato il mio nuovo switch poche settimane prima, non ero contento di sapere che chiunque fosse connesso alla mia LAN o WLAN poteva accedere alla pagina di accesso semplicemente conoscendo l'indirizzo IP del dispositivo.
Alla fine ho setacciato il manuale di 500 pagine per capire come fare per bloccare tutti gli indirizzi IP tranne quelli che volevo per l'accesso alla gestione. Dopo un sacco di test e diversi post sui forum Cisco, l'ho capito! In questo articolo, illustrerò i passaggi per configurare i profili di accesso e le regole dei profili per lo switch Cisco.
Nota : il seguente metodo che sto per descrivere consente anche di limitare l'accesso a qualsiasi numero di servizi abilitati sul proprio switch. Ad esempio, è possibile limitare l'accesso a SSH, HTTP, HTTPS, Telnet o tutti questi servizi per indirizzo IP.
Crea profilo e regole per l'accesso alla gestione
Per iniziare, accedere all'interfaccia Web per il proprio switch ed espandere Sicurezza, quindi espandere Metodo di accesso Mgmt . Vai avanti e fai clic su Profili di accesso .
La prima cosa che dobbiamo fare è creare un nuovo profilo di accesso. Per impostazione predefinita, dovresti vedere solo il profilo Solo console . Inoltre, noterai in alto che Nessuno è selezionato accanto a Profilo di accesso attivo . Una volta che abbiamo creato il nostro profilo e le regole, dovremo selezionare il nome del profilo qui per attivarlo.
Ora fai clic sul pulsante Aggiungi e questo dovrebbe far apparire una finestra di dialogo in cui potrai dare un nome al tuo nuovo profilo e aggiungere anche la prima regola per il nuovo profilo.
In alto, dai un nuovo nome al tuo nuovo profilo. Tutti gli altri campi si riferiscono alla prima regola che verrà aggiunta al nuovo profilo. Per Priorità regola, devi scegliere un valore compreso tra 1 e 65535. Il modo in cui Cisco funziona è che la regola con priorità più bassa viene applicata per prima. Se non corrisponde, viene applicata la regola successiva con priorità più bassa.
Nel mio esempio, ho scelto una priorità di 1 perché voglio che questa regola venga elaborata per prima. Questa regola sarà quella che consente l'indirizzo IP che voglio dare l'accesso allo switch. In Metodo di gestione, puoi scegliere un servizio specifico o scegliere tutto, il che limiterà tutto. Nel mio caso, ho scelto tutto perché ho solo abilitato SSH e HTTPS e gestisco entrambi i servizi da un computer.
Nota che se vuoi proteggere solo SSH e HTTPS, dovrai creare due regole separate. L' Azione può essere Nega o Permesso . Per il mio esempio, ho scelto Permit poiché questo sarà per l'IP consentito. Successivamente, puoi applicare la regola a un'interfaccia specifica sul dispositivo oppure puoi lasciarla su Tutto in modo che si applichi a tutte le porte.
Sotto Applies to Source IP Address, dobbiamo scegliere User Defined qui e quindi scegliere la Versione 4, a meno che non si stia lavorando in un ambiente IPv6, nel qual caso si sceglierebbe Versione 6. Ora digitare l'indirizzo IP a cui sarà consentito l'accesso e digitare in una maschera di rete che corrisponde a tutti i bit rilevanti da esaminare.
Ad esempio, dal momento che il mio indirizzo IP è 192.168.1.233, l'intero indirizzo IP deve essere esaminato e quindi ho bisogno di una maschera di rete 255.255.255.255. Se volessi che la regola si applicasse a tutti sull'intera sottorete, allora userei una maschera di 255.255.255.0. Ciò significherebbe chiunque con un indirizzo 192.168.1.x sarebbe permesso. Questo non è quello che voglio fare, ovviamente, ma spero che questo spieghi come usare la maschera di rete. Si noti che la maschera di rete non è la subnet mask per la propria rete. La maschera di rete indica semplicemente quali bit deve considerare Cisco quando si applica la regola.
Fai clic su Applica e ora dovresti avere un nuovo profilo di accesso e regola! Fai clic su Regole del profilo nel menu a sinistra e dovresti vedere la nuova regola elencata in alto.
Ora dobbiamo aggiungere la nostra seconda regola. Per fare ciò, fare clic sul pulsante Aggiungi mostrato sotto la tabella delle regole del profilo .
La seconda regola è davvero semplice. Innanzitutto, assicurati che il nome del profilo di accesso sia lo stesso che abbiamo appena creato. Ora, diamo solo alla regola una priorità pari a 2 e scegli Nega per l' azione . Assicurati che tutto il resto sia impostato su Tutto . Ciò significa che tutti gli indirizzi IP saranno bloccati. Tuttavia, poiché la nostra prima regola verrà elaborata per prima, l'indirizzo IP sarà consentito. Una volta che una regola è stata abbinata, le altre regole vengono ignorate. Se un indirizzo IP non corrisponde alla prima regola, arriverà a questa seconda regola, dove corrisponderà e sarà bloccata. Bello!
Infine, dobbiamo attivare il nuovo profilo di accesso. Per fare ciò, tornare a Access Profiles e selezionare il nuovo profilo dall'elenco a discesa nella parte superiore (accanto a Profilo di accesso attivo ). Assicurati di fare clic su Applica e dovresti essere pronto.
Ricorda che la configurazione è attualmente salvata solo nella configurazione in esecuzione. Assicurati di andare su Amministrazione - Gestione file - Copia / Salva configurazione per copiare la configurazione in esecuzione nella configurazione di avvio.
Se si desidera consentire l'accesso a più di un indirizzo IP allo switch, è sufficiente creare un'altra regola come la prima, ma assegnare una priorità più alta. Dovrai anche assicurarti di modificare la priorità della regola Nega in modo che abbia una priorità più alta rispetto a tutte le regole Permesso . Se riscontri dei problemi o non riesci a farlo funzionare, sentiti libero di postare nei commenti e cercherò di aiutarti. Godere!