Bästa metoder för att konfigurera ACL:er på VTY -linjer (virtuella terminaler) fokuserar på säkerhet och underhåll. Här är nyckelelement:
* Används med namnet ACLS: Istället för numrerade ACL:er, använd med namnet ACLS. Detta gör din konfiguration mycket mer läsbar och lättare att hantera. Att ändra en numrerad ACL kräver uppdatering av varje gränssnitt eller VTY -linje med den. En namngiven ACL -förändring påverkar alla referenser på en gång.
* minst privilegium: Bevilja endast nödvändig åtkomst. Ge inte användare mer privilegium än vad som krävs för deras jobb. Detta begränsar skadorna från komprometterade konton.
* separata ACL för olika användargrupper: Istället för en massiv ACL, skapa separata ACL:er för olika användargrupper (t.ex. administratörer, ingenjörer och skrivbara användare). Detta förenklar felsökning och förbättrar säkerheten. Ett komprometterat konto med en begränsad ACL kommer att ha mindre påverkan än ett med obegränsad åtkomst.
* Explicit förnekar i slutet: Inkludera en implicit förnekning i slutet av varje ACL. Detta förnekar all trafik som inte uttryckligen är tillåten. Detta förhindrar oavsiktligt bevilja åtkomst. Detta är särskilt kritiskt för Vty -linjer eftersom många kommandon kan leda till betydande skador.
* Regelbunden granskning och revision: Granska och granska regelbundet dina VTY -linje ACL:er. Detta säkerställer att de förblir lämpliga och effektiva. Användarroller och säkerhetsbehov ändras; Dina ACL:er bör återspegla dessa förändringar.
* Inaktivera onödiga Vty -linjer: Aktivera bara de Vty -linjerna som behövs. Inaktivera eventuella oanvända eller onödiga linjer för att minska attackytan.
* Starka lösenord och autentisering: Använd starka lösenord och, idealiskt, starka autentiseringsmetoder utöver bara lösenord (radie, tacacs+). ACLS hjälper, men stark autentisering är din första försvarslinje.
* loggning: Konfigurera loggning för framgångsrika och misslyckade inloggningsförsök. Detta ger värdefull information för säkerhetsövervakning och felsökning.
Exempel (konceptuell):
I stället för:
`` `
Access-lista 100 tillåter tcp någon eq 23
Access-lista 100 tillåter tcp någon eq 22
Line Vty 0 4
Lokal inloggning
Transportinmatning alla
åtkomstklass 100 in
`` `
Använda:
`` `
Access-List Extended Network-ADMINS Tillåter TCP någon värd 192.168.1.100 ekv. 22
Tillgångslista utökade nätverk-adminer tillåter tcp någon eq 23 23
Tillgångslista utökade nätverk-adminer förnekar IP någon
Line Vty 0 4
Lokal inloggning
Transportinmatning alla
Access-Class Network-Admins i
Tillgångslista utökad skrivskyddad tillåter tcp någon eq 23
åtkomstlista utökad skrivskyddad förnekar ip någon
Line Vty 5 9
Lokal inloggning
Transportinmatning alla
Access-klass skrivskyddad i
`` `
Detta exempel separerar administratörer och skrivbara användare, använder namngivna ACLS och inkluderar uttryckliga förnekningar. Kom ihåg att ersätta IP -adresser och portar med dina faktiska värden. De specifika kommandona kan variera något beroende på din nätverksutrustning (Cisco iOS, Juniper Junos, etc.).
