Restringir el acceso al interruptor de Cisco en función de la dirección IP

Para mayor seguridad, quería restringir el acceso a mi conmutador Cisco SG300-10 a una sola dirección IP en mi subred local. Después de configurar inicialmente mi nuevo interruptor hace unas pocas semanas, no estaba contento de saber que cualquier persona conectada a mi LAN o WLAN podría llegar a la página de inicio de sesión con solo conocer la dirección IP para el dispositivo.

Terminé examinando el manual de 500 páginas para descubrir cómo bloquear todas las direcciones IP, excepto las que quería para el acceso a la administración. Después de muchas pruebas y varias publicaciones en los foros de Cisco, lo descubrí! En este artículo, lo guiaré a través de los pasos para configurar los perfiles de acceso y las reglas de perfiles para su interruptor de Cisco.

Nota. Por ejemplo, puede restringir el acceso a SSH, HTTP, HTTPS, Telnet o todos estos servicios por dirección IP. 

Crear perfil y reglas de acceso de gestión

Para comenzar, inicie sesión en la interfaz web para su conmutación y expandir Seguridad . Adelante y haga clic en Perfiles de acceso.

. . Para, . La forma en que trabaja Cisco es que la regla con la prioridad más baja se aplica primero. Si no coincide, entonces se aplica la siguiente regla con la prioridad más baja.

En mi ejemplo, elegí una prioridad de 1 Porque quiero que esta regla se procese primero. Esta regla será la que permita la dirección IP que quiero dar acceso al conmutador. Bajo Método de gestión, Puede elegir un servicio específico o elegir todo, lo que restringirá todo. En mi caso, elegí todo porque solo tengo SSH y HTTPS habilitados de todos modos y administro ambos servicios de una computadora.

Tenga en cuenta que si desea asegurar solo SSH y HTTPS, entonces necesitará crear dos reglas separadas. El Acción Solo puede ser Denegar o Permiso. Para mi ejemplo, elegí Permiso Dado que esto será para la IP permitida. A continuación, puede aplicar la regla a una interfaz específica en el dispositivo o simplemente puede dejarla en Todo para que se aplique a todos los puertos.

Bajo Se aplica a la dirección IP de origen, Tenemos que elegir Usuario definido aquí y luego elige Versión 4, A menos que esté trabajando en un entorno IPv6, en cuyo caso elegiría la versión 6. Ahora escriba la dirección IP que se le permitirá acceso y escriba una máscara de red que coincida con todos los bits relevantes para analizar.

Por ejemplo, ya que mi dirección IP es 192.168.1.233, toda la dirección IP debe ser examinada y, por lo tanto, necesito una máscara de red de 255.255.255.255. Si quisiera que la regla se aplicara a todos en toda la subred, usaría una máscara de 255.255.255.0. Eso significaría a cualquiera con un 192.168.1.X La dirección estaría permitida. Eso no es lo que quiero hacer, obviamente, pero espero que explique cómo usar la máscara de red. Tenga en cuenta que la máscara de red no es la máscara de subred para su red. La máscara de red simplemente dice qué bits debe observar el bits al aplicar la regla.

Hacer clic Aplicar y ahora debería tener un nuevo perfil de acceso y regla! Haga clic en Reglas de perfil en el menú izquierdo y debería ver la nueva regla en la parte superior.

Ahora necesitamos agregar nuestra segunda regla. Para hacer esto, haga clic en el Agregar botón que se muestra debajo del Tabla de reglas de perfil.

La segunda regla es realmente simple. En primer lugar, asegúrese de que el nombre del perfil de acceso sea el mismo que acabamos de crear. Ahora, solo le damos a la regla una prioridad de 2 y elige Denegar Para el Acción. Asegúrese de que todo lo demás esté configurado para Todo. Esto significa que todas las direcciones IP serán bloqueadas. Sin embargo, dado que nuestra primera regla se procesará primero, esa dirección IP se permitirá. Una vez que se combina una regla, se ignoran las otras reglas. Si una dirección IP no coincide con la primera regla, llegará a esta segunda regla, donde coincidirá y se bloqueará. Lindo!

Finalmente, tenemos que activar el nuevo perfil de acceso. Para hacer eso, volver a Perfiles de acceso y seleccione el nuevo perfil de la lista desplegable en la parte superior (al lado de Perfil de acceso activo). Asegúrese de hacer clic Aplicar Y deberías estar listo para ir.

Recuerde que la configuración actualmente solo se guarda en la configuración en ejecución. Asegúrate de ir a Administración - Gestión de archivos - Copiar/guardar la configuración Para copiar la configuración en ejecución a la configuración de inicio.

Si desea permitir más de un acceso a la dirección IP al conmutador, simplemente cree otra regla como la primera, pero le dé una prioridad más alta. También tendrá que asegurarse de cambiar la prioridad para el Denegar regla para que tenga una prioridad más alta que la Permiso normas. Si te encuentras con algún problema o no puedes hacer que esto funcione, siéntete libre de publicar en los comentarios e intentaré ayudar. Disfrutar!