Vitajte na [www.pocitac.win] Pripojiť k domovskej stránke Obľúbené stránky
* Použite pomenované ACLS: Namiesto očíslovaných ACL používajte pomenované ACLS. Vďaka tomu je vaša konfigurácia oveľa čitateľnejšia a ľahšie spravovateľná. Zmena číslovaného ACL vyžaduje aktualizáciu každého rozhrania alebo linky VTY, ktorá ho používa. Pomenovaná zmena ACL má vplyv na všetky odkazy naraz.
* najmenej privilégium: Poskytnúť iba potrebný prístup. Nedávajte používateľom viac privilégiá, ako je potrebné pre svoju prácu. To obmedzuje škody z ohrozených účtov.
* samostatné ACL pre rôzne skupiny používateľov: Namiesto jedného masívneho ACL vytvorte samostatné ACL pre rôzne skupiny používateľov (napr. Správcovia, inžinieri a používatelia iba na čítanie). Zjednodušuje to riešenie problémov a zlepšuje bezpečnosť. Kompromitovaný účet s obmedzeným ACL bude mať menší vplyv ako s neobmedzeným prístupom.
* explicitné poprieť na konci: Zahrňte implicitné popieranie na konci každého ACL. To popiera všetku prevádzku, ktorá nie je výslovne povolená. To bráni neúmyselnému poskytovaniu prístupu. To je obzvlášť dôležité pre riadky VTY, pretože mnoho príkazov môže viesť k značnému poškodeniu.
* Pravidelná recenzia a audit: Pravidelne kontrolujte a auditujte svoje ACL VTY Line. To zaisťuje, že zostanú primerané a efektívne. Úlohy používateľov a zmeny bezpečnostných potrieb; Vaše ACL by mali odrážať tieto zmeny.
* Zakážte zbytočné vty riadky: Povoľte iba potrebné linky VTY. Zakážte akékoľvek nepoužité alebo zbytočné línie na zníženie povrchu útoku.
* Strong Heslá a autentifikácia: Používajte silné heslá a v ideálnom prípade silné metódy overovania nad rámec iba hesiel (RADIUS, TACACS+). Pomoc ACLS, ale silné overovanie je vaša prvá obranná línia.
* Protokolovanie: Nakonfigurujte protokolovanie pre úspešné a neúspešné pokusy o prihlásenie. To poskytuje cenné informácie pre monitorovanie bezpečnosti a riešenie problémov.
Príklad (koncepčný):
Namiesto:
`` `
Prístupový zoznam 100 povolenie TCP akékoľvek EQ 23
Prístupový zoznam 100 povolenie TCP akýkoľvek EQ 22
riadok Vty 0 4
prihlasovacie overovanie miestne
prepravovať vstup všetko
100 v prístupe
`` `
Použitie:
`` `
Prístupový zoznam rozšírené siete-adminy povolenie TCP každého hostiteľa 192.168.1.100 EQ 22
Prístupový zoznam rozšírených sieťových adminov povolenie TCP akékoľvek EQ 23
prístupový zoznam rozšírené siete-adminy popierajú ip akékoľvek
riadok Vty 0 4
prihlasovacie overovanie miestne
prepravovať vstup všetko
sieťové adminisky v prístupe
prístupový zoznam rozšírené iba na čítanie TCP akékoľvek EQ 23
prístupový zoznam rozšírený iba na čítanie popiera IP akékoľvek
riadok Vty 5 9
prihlasovacie overovanie miestne
prepravovať vstup všetko
Čítanie prístupu k prístupu iba v
`` `
Tento príklad oddeľuje administrátorov a používateľov iba na čítanie, používa s názvom ACLS a obsahuje explicitné odopiera. Nezabudnite nahradiť IP adresy a porty za svoje skutočné hodnoty. Konkrétne príkazy sa môžu mierne líšiť v závislosti od vášho sieťového zariadenia (Cisco IOS, Juniper Junos atď.).