* Usa ACL nominati: Invece di ACL numerati, usa gli ACL denominati. Questo rende la tua configurazione molto più leggibile e più facile da gestire. La modifica di un ACL numerato richiede l'aggiornamento di ogni interfaccia o riga VTY utilizzandolo. Un cambiamento ACL nominato influisce su tutti i riferimenti contemporaneamente.
* Privilegio minimo: Concedere solo l'accesso necessario. Non dare agli utenti più privilegi del richiesto per il proprio lavoro. Ciò limita il danno da resoconti compromessi.
* ACL separati per diversi gruppi di utenti: Invece di un massiccio ACL, creare ACL separati per diversi gruppi di utenti (ad es. Amministratori, ingegneri e utenti di sola lettura). Ciò semplifica la risoluzione dei problemi e migliora la sicurezza. Un account compromesso con un ACL limitato avrà un impatto inferiore a uno con accesso senza restrizioni.
* Nega esplicita alla fine: Includi una negazione implicita alla fine di ogni ACL. Ciò nega tutto il traffico non esplicitamente consentito. Ciò impedisce alla concessione involontariamente l'accesso. Ciò è particolarmente critico per le righe VTY poiché molti comandi possono causare danni significativi.
* Recensione e auditing regolare: Rivedi regolarmente e verifica la tua linea VTY ACLS. Ciò garantisce che rimangono appropriati ed efficaci. Ruoli utente e necessità di sicurezza Cambiamento; I tuoi ACL dovrebbero riflettere questi cambiamenti.
* Disabilita le linee VTY non necessarie: Abilita solo le linee VTY necessarie. Disabilita eventuali linee non utilizzate o non necessarie per ridurre la superficie di attacco.
* password forti e autenticazione: Utilizzare password forti e, idealmente, forti metodi di autenticazione oltre solo password (raggio, tacac+). Aiuta ACLS, ma una forte autenticazione è la tua prima linea di difesa.
* Registrazione: Configurare la registrazione per tentativi di accesso riusciti e non riusciti. Ciò fornisce informazioni preziose per il monitoraggio della sicurezza e la risoluzione dei problemi.
Esempio (concettuale):
Invece di:
`` `
Access-list 100 consentire TCP qualsiasi eq 23
Access-list 100 autorizza TCP qualsiasi eq 22
riga vty 0 4
Autenticazione di accesso locale
Ingresso di trasporto tutto
Access-Classe 100 pollici
`` `
Utilizzo:
`` `
Access-list Extended Rete-Admins autorizza TCP qualsiasi host 192.168.1.100 Eq 22
Access-list Extended Network-Admins consente TCP qualsiasi eq 23
Access-list Extended Network-Admins Negy IP
riga vty 0 4
Autenticazione di accesso locale
Ingresso di trasporto tutto
Access-Class Network-Ad-Mmins in
Access-list Extended Ready Sony Amissioni TCP qualsiasi Eq 23
Elenco di accesso esteso di sola lettura negare ip
linea vty 5 9
Autenticazione di accesso locale
Ingresso di trasporto tutto
Access-Class Symply in
`` `
Questo esempio separa gli amministratori e gli utenti di sola lettura, usa gli ACL denominati e include dentate esplicite. Ricorda di sostituire gli indirizzi e le porte IP con i valori effettivi. I comandi specifici potrebbero variare leggermente a seconda delle apparecchiature di rete (Cisco IOS, Juniper Junos, ecc.).
networking © www.354353.com