IP Adresine Göre Cisco Anahtarına Erişimi Kısıtla

Ek güvenlik için Cisco SG300-10(Cisco SG300-10) anahtarıma erişimi yerel alt ağımda yalnızca bir IP adresiyle kısıtlamak istedim . Birkaç hafta önce yeni anahtarımı ilk kez yapılandırdıktan(initially configuring my new switch) sonra , LAN'ıma(LAN) veya WLAN'ıma(WLAN) bağlanan herhangi birinin yalnızca cihazın IP adresini bilerek oturum açma sayfasına ulaşabileceğini bilmek beni mutlu etmedi.

Yönetim erişimi için istediklerim dışındaki tüm IP adreslerini nasıl bloke edeceğimi bulmak için 500 sayfalık kılavuzu gözden geçirdim. Pek çok testten ve Cisco forumlarına yapılan birkaç gönderiden sonra, anladım! Bu makalede, Cisco(Cisco) anahtarınız için erişim profillerini ve profil kurallarını yapılandırma adımlarında size yol göstereceğim .

Not: Aşağıda anlatacağım yöntem, anahtarınızdaki herhangi bir sayıda etkin hizmete erişimi kısıtlamanıza da olanak tanır. Örneğin, SSH, HTTP, HTTPS, Telnet veya tüm bu hizmetlere erişimi IP adresine göre kısıtlayabilirsiniz. (Note: The following method I am going to describe also allows you to restrict access to any number of enabled services on your switch. For example, you can restrict access to SSH, HTTP, HTTPS, Telnet, or all of these services by IP address. )

Yönetim Erişim Profili(Create Management Access Profile) ve Kuralları Oluşturun(Rules)

Başlamak için anahtarınız için web arayüzünde oturum açın ve Güvenlik'i(Security) genişletin ve ardından Yönetim Erişim Yöntemi'ni(Mgmt Access Method) genişletin . Devam edin ve Erişim Profillerine(Access Profiles) tıklayın .

Yapmamız gereken ilk şey yeni bir erişim profili oluşturmak. Varsayılan olarak, yalnızca Yalnızca Konsol(Console Only) profilini görmelisiniz. Ayrıca, en üstte Aktif Erişim Profili'nin( Active Access Profile) yanında Yok'un(None) seçili olduğunu fark edeceksiniz . Profilimizi ve kurallarımızı oluşturduktan sonra, etkinleştirmek için profilin adını buradan seçmemiz gerekecek.

Şimdi Ekle(Add) düğmesine tıklayın ve bu, yeni profilinizi adlandırabileceğiniz ve ayrıca yeni profil için ilk kuralı ekleyebileceğiniz bir iletişim kutusu açacaktır.

En üstte, yeni profilinize bir ad verin. Diğer tüm alanlar, yeni profile eklenecek ilk kuralla ilgilidir. Kural Önceliği( Rule Priority) için 1 ile 65535 arasında bir değer seçmeniz gerekir. Cisco'nun(Cisco) çalışma şekli, önce en düşük önceliğe sahip kuralın uygulanmasıdır. Eşleşmiyorsa, en düşük önceliğe sahip sonraki kural uygulanır.

Örneğimde önceliği 1(1) olarak seçtim çünkü önce bu kuralın işlenmesini istiyorum. Bu kural, anahtara erişim vermek istediğim IP adresine izin veren kural olacaktır. Yönetim Yöntemi(Management Method) altında , belirli bir hizmeti seçebilir veya tümünü seçebilirsiniz, bu da her şeyi kısıtlayacaktır. Benim durumumda hepsini seçtim çünkü zaten yalnızca SSH ve HTTPS'yi(HTTPS) etkinleştirdim ve her iki hizmeti de tek bir bilgisayardan yönetiyorum.

Yalnızca SSH(SSH) ve HTTPS'nin(HTTPS) güvenliğini sağlamak istiyorsanız iki ayrı kural oluşturmanız gerekeceğini unutmayın. Eylem yalnızca Reddet(Deny) veya İzin (Action)Ver(Permit) olabilir . Örneğimde , izin verilen IP için olacağından İzin Ver'i(Permit) seçtim . Ardından(Next) , kuralı cihazdaki belirli bir arabirime uygulayabilir veya tüm(All) bağlantı noktalarına uygulanması için Tümü'nde bırakabilirsiniz.

Kaynak IP Adresine Uygulanır(Applies to Source IP Address) altında , burada Kullanıcı Tanımlı'yı( User Defined) seçmemiz ve ardından Sürüm 4'ü(Version 4) seçmemiz gerekir , eğer bir IPv6 ortamında çalışmıyorsanız, bu durumda (IPv6)Sürüm 6'yı(Version 6) seçersiniz . Şimdi erişime izin verilecek IP adresini yazın ve bakılacak tüm ilgili bitlerle eşleşen bir ağ maskesi yazın.

Örneğin, IP adresim 192.168.1.233 olduğundan, tüm IP adresinin incelenmesi gerekiyor ve bu nedenle 255.255.255.255 ağ maskesine ihtiyacım var. Kuralın tüm alt ağdaki herkese uygulanmasını isteseydim, 255.255.255.0 maskesi kullanırdım. Bu, 192.168.1.x adresine sahip herkese izin verileceği anlamına gelir. Açıkçası yapmak istediğim bu değil, ama umarım bu, ağ maskesinin nasıl kullanılacağını açıklar. Ağ maskesinin ağınızın alt ağ maskesi olmadığını unutmayın. Ağ maskesi , kuralı uygularken Cisco'nun(Cisco) hangi bitlere bakması gerektiğini söyler.

Uygula'yı(Apply) tıklayın ve şimdi yeni bir erişim profiliniz ve kuralınız olmalıdır! Soldaki menüden Profil Kuralları'na ( Profile Rules)tıklayın(Click) ve en üstte yeni kuralın listelendiğini görmelisiniz.

Şimdi ikinci kuralımızı eklememiz gerekiyor. Bunu yapmak için Profil Kural Tablosu(Profile Rule Table) altında gösterilen Ekle(Add) düğmesine tıklayın .

İkinci kural gerçekten çok basit. İlk olarak, Erişim Profili Adının(Access Profile Name) az önce oluşturduğumuzla aynı olduğundan emin olun . Şimdi, kurala 2(2) önceliği veriyoruz ve Eylem(Action) için Reddet'i(Deny) seçiyoruz . Diğer her şeyin All olarak ayarlandığından emin olun . Bu, tüm IP adreslerinin engelleneceği anlamına gelir. Ancak ilk kuralımız önce işleneceği için o IP adresine izin verilecektir. Bir kural eşleştirildiğinde, diğer kurallar yok sayılır. Bir IP adresi ilk kuralla eşleşmezse, bu ikinci kurala gelir, burada eşleşir ve engellenir. Güzel!

Son olarak, yeni erişim profilini etkinleştirmemiz gerekiyor. Bunu yapmak için Access Profiles'a( Access Profiles) geri dönün ve üstteki açılır listeden yeni profili seçin ( Active Access Profile'ın(Active Access Profile) yanında ). Uygula'yı(Apply) tıkladığınızdan emin olun ve gitmeniz iyi olur.

(Remember)Yapılandırmanın şu anda yalnızca çalışan yapılandırmaya kaydedildiğini unutmayın . Çalışan yapılandırmayı başlangıç ​​yapılandırmasına kopyalamak için Yönetim(Administration)Dosya Yönetimi( File Management)Copy/Save Configuration gittiğinizden emin olun .

Anahtara birden fazla IP adresi erişimine izin vermek istiyorsanız, ilki gibi başka bir kural oluşturun, ancak ona daha yüksek bir öncelik verin. Ayrıca, Reddetme kuralının önceliğini, tüm (Deny)İzin(Permit) kurallarından daha yüksek bir önceliğe sahip olacak şekilde değiştirdiğinizden emin olmanız gerekir . Herhangi bir sorunla karşılaşırsanız veya bunu çalıştıramazsanız, yorumlara yazmaktan çekinmeyin, yardım etmeye çalışacağım. Zevk almak!



About the author

Excel ve PowerPoint dahil olmak üzere Microsoft Office yazılımlarıyla çalışma deneyimine sahip bir bilgisayar uzmanıyım. Ayrıca Google'a ait bir tarayıcı olan Chrome ile de deneyimim var. Becerilerim arasında mükemmel yazılı ve sözlü iletişim, problem çözme ve eleştirel düşünme yer alır.



Related posts