Tổng Quan
Bảo mật là một yếu tố quan trọng trong quản lý hệ thống mạng, và việc tăng cường bảo mật cho truy cập vào các thiết bị mạng, như Cisco 3845, là một phần quan trọng của chiến lược bảo mật toàn diện. Hiện nay giao thức SSH (Secure Shell) thường được sử dụng để bảo vệ truy cập từ xa vào các thiết bị mạng. Sử dụng Access Control List (ACL) trên Cisco 3845 là một cách hiệu quả để quản lý và kiểm soát truy cập SSH từ các địa chỉ IP cụ thể.
Ví dụ và Lý do sử dụng ACL cho SSH
Chúng ta có thể xem xét một ví dụ cụ thể về cách sử dụng ACL để kiểm soát truy cập SSH. Trong trường hợp này, chúng ta muốn cho phép một số địa chỉ IP cụ thể (ví dụ: 103.118.30/23, 118.69.62.113, 113.161.201.128, 103.138.88.0/23, 115.79.213.185, 103.15.49.0/24, 103.110.128.0/23) truy cập SSH vào thiết bị Cisco, trong khi từ chối tất cả các kết nối SSH từ các địa chỉ khác.
Dưới đây là một cấu hình Access Control List (ACL) với tên cho phép các địa chỉ IP cụ thể truy cập SSH và chặn tất cả các địa chỉ IP khác:
ip access-list extended SSH-ALLOW
permit tcp host 118.69.62.113 any eq 22
permit tcp host 113.161.201.128 any eq 22
permit tcp host 115.79.213.185 any eq 22
permit tcp 103.118.30.0 0.1.255.255 any eq 22
permit tcp 103.138.88.0 0.1.255.255 any eq 22
permit tcp 103.15.49.0 0.0.0.255 any eq 22
permit tcp 103.110.128.0 0.0.1.255 any eq 22
deny ip any any
line vty 0 4
access-class SSH-ALLOW inỞ đây:
ip access-list extended SSH-ALLOWtạo một ACL mở rộng với tên là “SSH-ALLOW”.permit tcpdùng để cho phép gói tin TCP.hostđược sử dụng để chỉ địa chỉ IP cụ thể.103.118.30.0 0.1.255.255,103.138.88.0 0.1.255.255, và103.15.49.0 0.0.0.255là các wildcard mask mở rộng để định danh các phạm vi IP cụ thể.deny ip any anysẽ từ chối tất cả các gói tin IP không khớp với các quy tắc trước đó.access-class SSH-ALLOW ináp dụng ACL “SSH-ALLOW” cho việc kiểm soát truy cập vào các dòng VTY.
Cấu hình ACL này được thực hiện thông qua các mệnh đề permit và deny trong danh sách “SSH-ALLOW”. Điều này tạo ra một bức tường bảo vệ, chỉ cho phép truy cập từ các nguồn được xác định trước, tăng cường khả năng chống lại các cuộc tấn công mạng không mong muốn.
Kết luận
Sử dụng Access Control List để kiểm soát truy cập SSH trên các thiết bị Cisco không chỉ là một phương pháp hiệu quả mà còn là một bước quan trọng trong việc tăng cường bảo mật hệ thống mạng. Bằng cách xác định rõ ràng các nguồn được phép và từ chối tất cả các kết nối không mong muốn, ACL giúp ngăn chặn hiệu quả các cuộc tấn công từ xa và bảo vệ quyền riêng tư cũng như tính toàn vẹn của dữ liệu. Mặc dù có nhiều phương tiện khác để bảo mật truy cập SSH, sử dụng ACL trên Cisco 3845 là một lựa chọn linh hoạt và mạnh mẽ.
