Pour plus de sécurité, je souhaitais limiter l'accès à mon commutateur Cisco SG300-10 à une seule adresse IP de mon sous-réseau local. Après la configuration initiale de mon nouveau commutateur il y a quelques semaines, je n'étais pas content de savoir que toute personne connectée à mon réseau local ou à un réseau local sans fil pouvait accéder à la page de connexion simplement en connaissant l'adresse IP du périphérique.
J'ai fini par parcourir le manuel de 500 pages pour comprendre comment bloquer toutes les adresses IP, à l'exception de celles que je souhaitais pour l'accès de gestion. Après de nombreux tests et plusieurs publications sur les forums Cisco, j'ai compris! Dans cet article, je vais vous expliquer les étapes de la configuration de profils d'accès et de règles de profils pour votre commutateur Cisco.
Remarque: La méthode suivante que je vais décrire vous permet également de limiter l'accès à un nombre quelconque de services activés sur votre commutateur. Par exemple, vous pouvez limiter l'accès à SSH, HTTP, HTTPS, Telnet ou à tous ces services par adresse IP.
Créer un profil et des règles d'accès de gestion
Pour commencer, connectez-vous à l'interface Web de votre commutateur et développez Sécurité puis développez Méthode d'accès Mgmt. Allez-y et cliquez sur Profils d'accès.
La première chose à faire est de créer un nouveau profil d’accès. Par défaut, vous ne devriez voir que le Console seulement profil. En outre, vous remarquerez en haut que Aucun est sélectionné à côté de Profil d'accès actif. Une fois que nous avons créé notre profil et nos règles, nous devrons sélectionner ici le nom du profil afin de l'activer.
Maintenant, cliquez sur le Ajouter Ce bouton devrait afficher une boîte de dialogue dans laquelle vous pourrez nommer votre nouveau profil et ajouter la première règle pour le nouveau profil.
En haut, donnez un nom à votre nouveau profil. Tous les autres champs concernent la première règle qui sera ajoutée au nouveau profil. Pour Priorité de la règle, vous devez choisir une valeur comprise entre 1 et 65535. En règle générale, Cisco applique la règle avec la priorité la plus basse. Si elle ne correspond pas, la règle suivante ayant la priorité la plus basse est appliquée.
Dans mon exemple, j'ai choisi une priorité de 1 parce que je veux que cette règle soit traitée en premier. Cette règle sera celle qui autorise l'adresse IP à laquelle je souhaite donner accès au commutateur. Sous Méthode de gestion, vous pouvez soit choisir un service spécifique, soit tout choisir, ce qui limitera tout. Dans mon cas, j'ai tout choisi parce que SSH et HTTPS ne sont activés que de toute façon et que je gère les deux services à partir d'un seul ordinateur.
Notez que si vous souhaitez sécuriser uniquement SSH et HTTPS, vous devez créer deux règles distinctes. le action ne peut être Nier ou Permis. Pour mon exemple, j'ai choisi Permis puisque ce sera pour l'IP autorisé. Ensuite, vous pouvez appliquer la règle à une interface spécifique du périphérique ou vous pouvez simplement la laisser à Tout afin qu'il s'applique à tous les ports.
Sous S'applique à l'adresse IP source, nous devons choisir Défini par l'utilisateur ici et ensuite choisir Version 4, sauf si vous travaillez dans un environnement IPv6, auquel cas vous devriez choisir la version 6. Tapez maintenant l'adresse IP qui sera autorisée à accéder et tapez un masque de réseau qui correspond à tous les bits pertinents à examiner.
Par exemple, mon adresse IP étant 192.168.1.233, il est nécessaire d’examiner l’ensemble de l’adresse IP; il me faut donc un masque de réseau de 255.255.255.255. Si je voulais que la règle s'applique à tout le monde sur l'ensemble du sous-réseau, j'utiliserais un masque de 255.255.255.0. Cela signifierait que toute personne ayant une adresse 192.168.1.x serait autorisée. Ce n'est pas ce que je veux faire, évidemment, mais j'espère que cela explique comment utiliser le masque de réseau. Notez que le masque de réseau n'est pas le masque de sous-réseau de votre réseau. Le masque de réseau indique simplement quels bits Cisco doit examiner lors de l’application de la règle.
Cliquez sur Appliquer et vous devriez maintenant avoir un nouveau profil d’accès et une nouvelle règle! Cliquer sur Règles de profil dans le menu de gauche et vous devriez voir la nouvelle règle listée en haut.
Nous devons maintenant ajouter notre deuxième règle. Pour ce faire, cliquez sur le bouton Ajouter bouton affiché sous le Table de règles de profil.
La deuxième règle est vraiment simple. Tout d’abord, assurez-vous que le nom du profil d’accès est identique à celui que nous venons de créer. Maintenant, nous donnons à la règle une priorité de 2 et choisir Nier pour le action. Assurez-vous que tout le reste est réglé sur Tout. Cela signifie que toutes les adresses IP seront bloquées. Cependant, puisque notre première règle sera traitée en premier, cette adresse IP sera autorisée. Une fois la règle trouvée, les autres règles sont ignorées. Si une adresse IP ne correspond pas à la première règle, elle aboutira à cette seconde règle, où elle sera identique et bloquée. Agréable!
Enfin, nous devons activer le nouveau profil d'accès. Pour ce faire, retournez à Profils d'accès et sélectionnez le nouveau profil dans la liste déroulante en haut (à côté de Profil d'accès actif). Assurez-vous de cliquer Appliquer et vous devriez être bon pour aller.
Rappelez-vous que la configuration est actuellement enregistrée uniquement dans la configuration en cours. Assurez-vous d'aller à Administration - Gestion de fichiers - Copier / Enregistrer la configuration copier la configuration en cours dans la configuration de démarrage.
Si vous souhaitez autoriser plusieurs adresses IP à accéder au commutateur, créez simplement une autre règle comme la première, mais donnez-lui une priorité plus élevée. Vous devrez également vous assurer que vous modifiez la priorité du Nier règle de sorte qu'il a une priorité plus élevée que tous les Permis règles. Si vous rencontrez des problèmes ou si vous ne parvenez pas à résoudre ce problème, n'hésitez pas à poster vos commentaires et j'essaierai de vous aider. Prendre plaisir!