Использование ACL-списка для управления доступом к VTY
Cisco рекомендует использовать протокол SSH для административных подключений к маршрутизаторам и коммутаторам. Если образ Cisco IOS на маршрутизаторе не поддерживает протокол SSH, можно повысить безопасность административных каналов путем ограничения доступа к VTY. Ограничение доступа к VTY — метод, позволяющий определить, какому IP-адресу разрешён доступ Telnet к процессу EXEC маршрутизатора. Можно проконтролировать, какая административная рабочая станция или сеть управляет маршрутизатором с помощью ACL-списка и оператора access-class, сконфигурированного на каналах VTY. Также можно использовать этот метод с протоколом SSH для дальнейшего улучшения безопасности административного доступа.
Команда access-class, установленная в режиме конфигурации канала, ограничивает входящие и исходящие соединения между указанным VTY (в устройстве Cisco) и адресами в списке доступа.
Стандартные и расширенные списки контроля доступа применяются к пакетам данных, передающимся через маршрутизатор. Они не предназначены для блокировки пакетов, создающихся внутри маршрутизатора. Расширенный ACL-список по исходящему протоколу Telnet не препятствует открытию Telnet-сессий, инициированных маршрутизатором по умолчанию.
Фильтрация трафика Telnet или SSH, как правило, рассматривается как расширенная функция ACL-списка IP, поскольку подразумевает фильтрацию трафика протокола высшего уровня. Между тем, поскольку для фильтрации входящего и исходящего трафика Telnet/SSH используется команда access-class, можно применять стандартный ACL-список.
Синтаксис команды access-class выглядит следующим образом:
Router(config-line)# access-class access-list-number { in [ vrf-also ] | out }
Параметр in ограничивает входящие соединения между адресами в списке доступа и устройством Cisco, в то время как параметр out ограничивает исходящие соединения между отдельным устройством Cisco и адресами в списке доступа.
На рис. 1 показан пример, в котором у диапазона адресов есть доступ к каналам VTY 0-4. ACL-список на рисунке настроен на разрешение доступа для сети 192.168.10.0 к каналам VTY 0-4 и на запрет доступа для всех остальных сетей.
Следующие положения должны учитываться при конфигурации списка доступа к каналам VTY.
- Только нумерованные списки доступа могут применяться к VTY.
- Одинаковые ограничения должны быть установлены на все каналы VTY, поскольку пользователь может попытаться подключиться к любому из них.
Используйте инструмент проверки синтаксиса на рис. 2 для отработки навыков обеспечения защиты доступа к VTY.