Περιορίστε την πρόσβαση στο Cisco Switch με βάση τη διεύθυνση IP
Για πρόσθετη ασφάλεια, ήθελα να περιορίσω την πρόσβαση στο μεταγωγέα Cisco SG300-10 σε μία μόνο διεύθυνση IP στο τοπικό μου υποδίκτυο. Μετά την αρχική διαμόρφωση του νέου μου διακόπτη(initially configuring my new switch) πριν από μερικές εβδομάδες, δεν ήμουν χαρούμενος που γνώριζα ότι οποιοσδήποτε ήταν συνδεδεμένος στο LAN ή το WLAN μου θα μπορούσε να μεταβεί στη σελίδα σύνδεσης γνωρίζοντας απλώς τη διεύθυνση IP της συσκευής.
Κατέληξα να κοιτάξω το εγχειρίδιο 500 σελίδων για να καταλάβω πώς να αποκλείσω όλες τις διευθύνσεις IP εκτός από αυτές που ήθελα για πρόσβαση διαχείρισης. Μετά από πολλές δοκιμές και αρκετές αναρτήσεις στα φόρουμ της Cisco , το κατάλαβα! Σε αυτό το άρθρο, θα σας καθοδηγήσω στα βήματα για να διαμορφώσετε τα προφίλ πρόσβασης και τους κανόνες προφίλ για το μεταγωγέα Cisco .
Σημείωση: Η ακόλουθη μέθοδος που θα περιγράψω σάς επιτρέπει επίσης να περιορίσετε την πρόσβαση σε οποιονδήποτε αριθμό ενεργοποιημένων υπηρεσιών στο διακόπτη σας. Για παράδειγμα, μπορείτε να περιορίσετε την πρόσβαση σε SSH, HTTP, HTTPS, Telnet ή όλες αυτές τις υπηρεσίες κατά διεύθυνση IP. (Note: The following method I am going to describe also allows you to restrict access to any number of enabled services on your switch. For example, you can restrict access to SSH, HTTP, HTTPS, Telnet, or all of these services by IP address. )
Δημιουργία προφίλ(Create Management Access Profile) και κανόνων πρόσβασης διαχείρισης(Rules)
Για να ξεκινήσετε, συνδεθείτε στη διεπαφή ιστού για το διακόπτη σας και αναπτύξτε την Ασφάλεια(Security) και, στη συνέχεια, αναπτύξτε τη Μέθοδος πρόσβασης Mgmt(Mgmt Access Method) . Προχωρήστε και κάντε κλικ στο Access Profiles .
Το πρώτο πράγμα που πρέπει να κάνουμε είναι να δημιουργήσουμε ένα νέο προφίλ πρόσβασης. Από προεπιλογή, θα πρέπει να βλέπετε μόνο το προφίλ Console Only . Επίσης, θα παρατηρήσετε στο επάνω μέρος ότι το Κανένα(None) είναι επιλεγμένο δίπλα στο Ενεργό προφίλ πρόσβασης( Active Access Profile) . Αφού δημιουργήσουμε το προφίλ και τους κανόνες μας, θα πρέπει να επιλέξουμε το όνομα του προφίλ εδώ για να το ενεργοποιήσουμε.
Τώρα κάντε κλικ στο κουμπί Προσθήκη(Add) και θα εμφανιστεί ένα παράθυρο διαλόγου όπου θα μπορείτε να ονομάσετε το νέο προφίλ σας και επίσης να προσθέσετε τον πρώτο κανόνα για το νέο προφίλ.
Στην κορυφή, δώστε ένα όνομα στο νέο σας προφίλ. Όλα τα άλλα πεδία σχετίζονται με τον πρώτο κανόνα που θα προστεθεί στο νέο προφίλ. Για την Προτεραιότητα κανόνα( Rule Priority) , πρέπει να επιλέξετε μια τιμή μεταξύ 1 και 65535. Ο τρόπος που λειτουργεί η Cisco είναι ότι εφαρμόζεται πρώτα ο κανόνας με τη χαμηλότερη προτεραιότητα. Εάν δεν ταιριάζει, τότε εφαρμόζεται ο επόμενος κανόνας με τη χαμηλότερη προτεραιότητα.
Στο παράδειγμά μου, επέλεξα προτεραιότητα 1 επειδή θέλω πρώτα να γίνει επεξεργασία αυτού του κανόνα. Αυτός ο κανόνας θα είναι αυτός που επιτρέπει στη διεύθυνση IP που θέλω να δώσω πρόσβαση στο διακόπτη. Στην Μέθοδο διαχείρισης(Management Method) , μπορείτε είτε να επιλέξετε μια συγκεκριμένη υπηρεσία είτε να επιλέξετε όλες, κάτι που θα περιορίσει τα πάντα. Στην περίπτωσή μου, επέλεξα όλες γιατί έτσι κι αλλιώς έχω ενεργοποιημένα μόνο SSH και HTTPS και διαχειρίζομαι και τις δύο υπηρεσίες από έναν υπολογιστή.
Σημειώστε ότι εάν θέλετε να ασφαλίσετε μόνο SSH και HTTPS , τότε θα χρειαστεί να δημιουργήσετε δύο ξεχωριστούς κανόνες. Η Ενέργεια(Action) μπορεί να είναι μόνο Άρνηση(Deny) ή Άδεια(Permit) . Για το παράδειγμά μου, επέλεξα το Permit αφού αυτό θα είναι για την επιτρεπόμενη IP. Στη συνέχεια(Next) , μπορείτε να εφαρμόσετε τον κανόνα σε μια συγκεκριμένη διασύνδεση της συσκευής ή μπορείτε απλώς να τον αφήσετε στο Όλα(All) ώστε να ισχύει για όλες τις θύρες.
Στην περιοχή Εφαρμόζεται στη διεύθυνση IP προέλευσης(Applies to Source IP Address) , πρέπει να επιλέξουμε Ορίζεται από το χρήστη( User Defined) εδώ και, στη συνέχεια, να επιλέξουμε Έκδοση 4(Version 4) , εκτός εάν εργάζεστε σε περιβάλλον IPv6 , οπότε θα επιλέξετε την Έκδοση 6(Version 6) . Τώρα πληκτρολογήστε τη διεύθυνση IP στην οποία θα επιτρέπεται η πρόσβαση και πληκτρολογήστε μια μάσκα δικτύου που ταιριάζει με όλα τα σχετικά bits που πρέπει να εξεταστούν.
Για παράδειγμα, εφόσον η διεύθυνση IP μου είναι 192.168.1.233, πρέπει να εξεταστεί ολόκληρη η διεύθυνση IP και ως εκ τούτου χρειάζομαι μια μάσκα δικτύου 255.255.255.255. Αν ήθελα ο κανόνας να ισχύει για όλους σε ολόκληρο το υποδίκτυο, τότε θα χρησιμοποιούσα μια μάσκα 255.255.255.0. Αυτό σημαίνει ότι θα επιτρέπεται σε οποιονδήποτε έχει διεύθυνση 192.168.1.x. Δεν είναι αυτό που θέλω να κάνω, προφανώς, αλλά ελπίζω ότι αυτό εξηγεί πώς να χρησιμοποιήσετε τη μάσκα δικτύου. Σημειώστε ότι η μάσκα δικτύου δεν είναι η μάσκα υποδικτύου για το δίκτυό σας. Η μάσκα δικτύου απλώς λέει ποια bits πρέπει να εξετάσει η Cisco κατά την εφαρμογή του κανόνα.
Κάντε κλικ στο Apply και θα πρέπει τώρα να έχετε νέο προφίλ πρόσβασης και νέο κανόνα! Κάντε κλικ(Click) στους Κανόνες προφίλ( Profile Rules) στο αριστερό μενού και θα δείτε τον νέο κανόνα να εμφανίζεται στην κορυφή.
Τώρα πρέπει να προσθέσουμε τον δεύτερο κανόνα μας. Για να το κάνετε αυτό, κάντε κλικ στο κουμπί Προσθήκη(Add) που εμφανίζεται κάτω από τον Πίνακα κανόνων προφίλ(Profile Rule Table) .
Ο δεύτερος κανόνας είναι πραγματικά απλός. Αρχικά, βεβαιωθείτε ότι το όνομα προφίλ πρόσβασης(Access Profile Name) είναι το ίδιο που δημιουργήσαμε. Τώρα, απλώς δίνουμε στον κανόνα μια προτεραιότητα 2 και επιλέγουμε Άρνηση(Deny) για την Ενέργεια(Action) . Βεβαιωθείτε ότι όλα τα άλλα έχουν οριστεί σε Όλα(All) . Αυτό σημαίνει ότι όλες οι διευθύνσεις IP θα αποκλειστούν. Ωστόσο, δεδομένου ότι ο πρώτος μας κανόνας θα υποβληθεί σε επεξεργασία πρώτα, αυτή η διεύθυνση IP θα επιτρέπεται. Μόλις αντιστοιχιστεί ένας κανόνας, οι άλλοι κανόνες αγνοούνται. Εάν μια διεύθυνση IP δεν ταιριάζει με τον πρώτο κανόνα, θα έρθει σε αυτόν τον δεύτερο κανόνα, όπου θα ταιριάζει και θα αποκλειστεί. Ομορφη!
Τέλος, πρέπει να ενεργοποιήσουμε το νέο προφίλ πρόσβασης. Για να το κάνετε αυτό, επιστρέψτε στο Access Profiles και επιλέξτε το νέο προφίλ από την αναπτυσσόμενη λίστα στο επάνω μέρος (δίπλα στο Active Access Profile ). Φροντίστε να κάνετε κλικ στο Apply και θα πρέπει να είστε έτοιμοι.
Να θυμάστε(Remember) ότι η διαμόρφωση αυτή τη στιγμή είναι αποθηκευμένη μόνο στην τρέχουσα διαμόρφωση. Βεβαιωθείτε ότι έχετε μεταβεί στο Administration – File Management – Copy/Save Configuration για να αντιγράψετε την τρέχουσα διαμόρφωση στη διαμόρφωση εκκίνησης.
Εάν θέλετε να επιτρέψετε σε περισσότερες από μία διευθύνσεις IP πρόσβαση στο διακόπτη, απλώς δημιουργήστε έναν άλλο κανόνα όπως τον πρώτο, αλλά δώστε του μεγαλύτερη προτεραιότητα. Θα πρέπει επίσης να βεβαιωθείτε ότι αλλάζετε την προτεραιότητα για τον κανόνα Άρνησης(Deny) , ώστε να έχει μεγαλύτερη προτεραιότητα από όλους τους κανόνες Άδειας(Permit) . Εάν αντιμετωπίσετε οποιοδήποτε πρόβλημα ή δεν μπορείτε να το κάνετε αυτό να λειτουργήσει, μη διστάσετε να το δημοσιεύσετε στα σχόλια και θα προσπαθήσω να σας βοηθήσω. Απολαμβάνω!
Related posts
Πώς να βρείτε τη διεύθυνση IP του εκτυπωτή σας WiFi σε Windows και Mac
Πώς να ενεργοποιήσετε την πρόσβαση SSH για διακόπτες Cisco SG300
Πώς να ορίσετε μια στατική διεύθυνση IP στα Windows 11/10
Πώς μπορώ να βρω τη διεύθυνση IP του δρομολογητή μου;
Πώς να εκχωρήσετε μια στατική διεύθυνση IP σε υπολογιστή Windows 11/10
Πώς να βρείτε μια διεύθυνση IP ασύρματου σημείου πρόσβασης
Πώς να απελευθερώσετε και να ανανεώσετε μια διεύθυνση IP
Πώς να βρείτε τη διεύθυνση MAC σε συσκευές iPhone (iOS) και Android
Πώς να τραβήξετε στιγμιότυπα οθόνης στο Nintendo Switch
Ενεργοποιήστε τον έλεγχο ταυτότητας δημόσιου κλειδιού για SSH σε διακόπτες Cisco SG300
Πώς να αποκτήσετε πρόσβαση στο Samsung Cloud και να αξιοποιήσετε στο έπακρο την υπηρεσία
Πώς να συνδέσετε ένα διακόπτη Nintendo σε έναν υπολογιστή
Εκχωρήστε μια στατική διεύθυνση IP σε εκτυπωτή ή οποιαδήποτε συσκευή δικτύου
Πώς να κατεβάσετε το πρόγραμμα εγκατάστασης του Google Chrome εκτός σύνδεσης (αυτόνομο).
Τι είναι το 192.168.0.1 και γιατί είναι η προεπιλεγμένη διεύθυνση IP για τους περισσότερους δρομολογητές;
Αποτρέψτε την πρόσβαση στη γραμμή εντολών στα Windows
Απενεργοποιήστε τον Έλεγχο λογαριασμού χρήστη (UAC) για μια συγκεκριμένη εφαρμογή
Πώς να παρακολουθείτε την αρχική τοποθεσία ενός email μέσω της διεύθυνσης IP του
Πώς να βρείτε τη δημόσια διεύθυνση IP σας
Review Book - The How-To Geek Guide στα Windows 8