Recommandé, 2024

Choix De L'Éditeur

Restreindre l'accès au commutateur Cisco en fonction de l'adresse IP

Pour plus de sécurité, je souhaitais limiter l'accès à mon commutateur Cisco SG300-10 à une seule adresse IP de mon sous-réseau local. Après la configuration initiale de mon nouveau commutateur il y a quelques semaines, je n'étais pas heureux de savoir que toute personne connectée à mon réseau local ou à un réseau local sans fil pouvait accéder à la page de connexion simplement en connaissant l'adresse IP du périphérique.

J'ai fini par parcourir le manuel de 500 pages pour comprendre comment bloquer toutes les adresses IP, à l'exception de celles que je souhaitais pour l'accès de gestion. Après de nombreux tests et plusieurs publications sur les forums Cisco, j'ai compris! Dans cet article, je vais vous expliquer les étapes de la configuration de profils d'accès et de règles de profils pour votre commutateur Cisco.

Remarque : La méthode suivante que je vais décrire vous permet également de limiter l'accès à un nombre quelconque de services activés sur votre commutateur. Par exemple, vous pouvez limiter l'accès à SSH, HTTP, HTTPS, Telnet ou à tous ces services par adresse IP.

Créer un profil et des règles d'accès de gestion

Pour commencer, connectez-vous à l'interface Web de votre commutateur, développez Sécurité, puis développez Méthode d'accès au gestionnaire . Allez-y et cliquez sur Profils d'accès .

La première chose à faire est de créer un nouveau profil d’accès. Par défaut, vous ne devriez voir que le profil Console Only . En outre, vous remarquerez en haut que Aucun est sélectionné en regard de Profil d'accès actif . Une fois que nous avons créé notre profil et nos règles, nous devrons sélectionner ici le nom du profil afin de l'activer.

Maintenant, cliquez sur le bouton Ajouter. Une boîte de dialogue apparaîtra dans laquelle vous pourrez nommer votre nouveau profil et ajouter la première règle pour le nouveau profil.

En haut, donnez un nom à votre nouveau profil. Tous les autres champs concernent la première règle qui sera ajoutée au nouveau profil. Pour la priorité de règle, vous devez choisir une valeur comprise entre 1 et 65535. Cisco travaille en ce sens que la règle ayant la priorité la plus basse est appliquée en premier. Si cela ne correspond pas, la règle suivante ayant la priorité la plus basse est appliquée.

Dans mon exemple, j'ai choisi une priorité de 1 car je souhaite que cette règle soit traitée en premier. Cette règle sera celle qui autorise l'adresse IP à laquelle je souhaite donner accès au commutateur. Sous Méthode de gestion, vous pouvez choisir un service spécifique ou choisir tout ce qui limitera tout. Dans mon cas, j'ai tout choisi parce que SSH et HTTPS ne sont activés que de toute façon et que je gère les deux services à partir d'un seul ordinateur.

Notez que si vous souhaitez sécuriser uniquement SSH et HTTPS, vous devez créer deux règles distinctes. L' action ne peut être que refuser ou autoriser . Pour mon exemple, j'ai choisi Permit car ce sera pour l'IP autorisée. Ensuite, vous pouvez appliquer la règle à une interface spécifique du périphérique ou vous pouvez simplement la laisser sur Tout afin qu'elle s'applique à tous les ports.

Sous S'applique à l'adresse IP source, vous devez choisir Défini par l'utilisateur ici, puis la version 4, sauf si vous travaillez dans un environnement IPv6. Dans ce cas, choisissez la version 6. Saisissez maintenant l'adresse IP qui sera autorisée à accéder et saisissez dans un masque de réseau qui correspond à tous les bits pertinents à examiner.

Par exemple, mon adresse IP étant 192.168.1.233, il est nécessaire d’examiner l’ensemble de l’adresse IP; il me faut donc un masque de réseau de 255.255.255.255. Si je voulais que la règle s'applique à tout le monde sur l'ensemble du sous-réseau, j'utiliserais un masque de 255.255.255.0. Cela signifierait que toute personne ayant une adresse 192.168.1.x serait autorisée. Ce n'est pas ce que je veux faire, évidemment, mais j'espère que cela explique comment utiliser le masque de réseau. Notez que le masque de réseau n'est pas le masque de sous-réseau de votre réseau. Le masque de réseau indique simplement quels bits Cisco doit examiner lors de l’application de la règle.

Cliquez sur Appliquer et vous devriez maintenant avoir un nouveau profil d'accès et une nouvelle règle! Cliquez sur Règles du profil dans le menu de gauche et vous devriez voir la nouvelle règle listée en haut.

Nous devons maintenant ajouter notre deuxième règle. Pour ce faire, cliquez sur le bouton Ajouter affiché sous la table des règles de profil .

La deuxième règle est vraiment simple. Tout d’abord, assurez-vous que le nom du profil d’accès est identique à celui que nous venons de créer. Nous allons maintenant donner à la règle une priorité de 2 et choisir Refuser pour l' action . Assurez-vous que tout le reste est défini sur Tous . Cela signifie que toutes les adresses IP seront bloquées. Cependant, puisque notre première règle sera traitée en premier, cette adresse IP sera autorisée. Une fois qu'une règle correspond, les autres règles sont ignorées. Si une adresse IP ne correspond pas à la première règle, elle passera à cette seconde règle, où elle sera identique et bloquée. Agréable!

Enfin, nous devons activer le nouveau profil d'accès. Pour ce faire, retournez dans Profils d'accès et sélectionnez le nouveau profil dans la liste déroulante située en haut (à côté de Profil d'accès actif ). Assurez-vous de cliquer sur Appliquer et vous devriez être prêt à partir.

Rappelez-vous que la configuration est actuellement enregistrée uniquement dans la configuration en cours. Assurez-vous d’aller dans Administration - Gestion de fichiers - Copier / enregistrer la configuration pour copier la configuration en cours dans la configuration de démarrage.

Si vous souhaitez autoriser plusieurs adresses IP à accéder au commutateur, créez une autre règle comme la première, mais donnez-lui une priorité plus élevée. Vous devez également vous assurer que vous modifiez la priorité de la règle Deny afin qu'elle ait une priorité plus élevée que toutes les règles d' autorisation . Si vous rencontrez des problèmes ou n'arrivez pas à résoudre le problème, n'hésitez pas à poster vos commentaires et j'essaierai de vous aider. Prendre plaisir!

Top