* Χρησιμοποιήστε το όνομα ACLS: Αντί για αριθμημένες ACLs, χρησιμοποιήστε το όνομα ACLS. Αυτό καθιστά τη διαμόρφωσή σας πολύ πιο ευανάγνωστη και ευκολότερη στη διαχείριση. Η αλλαγή ενός αριθμού ACL απαιτεί την ενημέρωση κάθε διασύνδεσης ή VTY γραμμή χρησιμοποιώντας το. Μια ονομαστική αλλαγή ACL επηρεάζει όλες τις αναφορές ταυτόχρονα.
* λιγότερο προνόμιο: Χορηγήστε μόνο την απαραίτητη πρόσβαση. Μην δώσετε στους χρήστες περισσότερο προνόμιο από ό, τι απαιτείται για τη δουλειά τους. Αυτό περιορίζει τη ζημιά από τους συμβιβασμένους λογαριασμούς.
* Ξεχωριστά ACLs για διαφορετικές ομάδες χρηστών: Αντί για ένα τεράστιο ACL, δημιουργήστε ξεχωριστές ACL για διαφορετικές ομάδες χρηστών (π.χ. διαχειριστές, μηχανικοί και χρήστες μόνο για ανάγνωση). Αυτό απλοποιεί την αντιμετώπιση προβλημάτων και βελτιώνει την ασφάλεια. Ένας συμβιβασμένος λογαριασμός με περιορισμένο ACL θα έχει μικρότερο αντίκτυπο από έναν με απεριόριστη πρόσβαση.
* ρητή άρνηση στο τέλος: Συμπεριλάβετε μια σιωπηρή άρνηση στο τέλος κάθε ACL. Αυτό αρνείται ότι κάθε κίνηση δεν επιτρέπεται ρητά. Αυτό αποτρέπει την ακούσια χορήγηση πρόσβασης. Αυτό είναι ιδιαίτερα κρίσιμο για τις γραμμές VTY, καθώς πολλές εντολές μπορούν να οδηγήσουν σε σημαντικές ζημιές.
* Κανονική αναθεώρηση και έλεγχο: Ελέγξτε τακτικά και ελέγξτε τα ACLs Vty Line. Αυτό εξασφαλίζει ότι παραμένουν κατάλληλα και αποτελεσματικά. Οι ρόλοι των χρηστών και οι ανάγκες ασφάλειας αλλάζουν. Τα ACL σας πρέπει να αντικατοπτρίζουν αυτές τις αλλαγές.
* Απενεργοποιήστε τις περιττές γραμμές VTY: Ενεργοποιήστε μόνο τις απαιτούμενες γραμμές VTY. Απενεργοποιήστε τυχόν αχρησιμοποίητες ή περιττές γραμμές για να μειώσετε την επιφάνεια επίθεσης.
* Ισχυροί κωδικοί πρόσβασης και έλεγχος ταυτότητας: Χρησιμοποιήστε ισχυρούς κωδικούς πρόσβασης και, ιδανικά, ισχυρές μεθόδους ελέγχου ταυτότητας πέρα από τους απλούς κωδικούς πρόσβασης (RADIUS, TACACS+). Το ACLS Help, αλλά ο ισχυρός έλεγχος ταυτότητας είναι η πρώτη σας γραμμή άμυνας.
* Καταγραφή: Ρύθμιση καταγραφής για επιτυχημένες και αποτυχημένες προσπάθειες σύνδεσης. Αυτό παρέχει πολύτιμες πληροφορίες για την παρακολούθηση και την αντιμετώπιση προβλημάτων ασφαλείας.
Παράδειγμα (εννοιολογική):
Αντί για:
`` `
Access-List 100 Άδεια TCP ΟΠΟΙΑΔΗΠΟΤΕ EQ 23
Access-List 100 Άδεια TCP οποιαδήποτε Eq 22
γραμμή vty 0 4
Τοπικός έλεγχος ταυτότητας
μεταφορά εισόδου όλα
Κλάση πρόσβασης 100 στο
`` `
Χρήση:
`` `
Access-List Extended Network-Admins επιτρέπουν στο TCP οποιονδήποτε κεντρικό υπολογιστή 192.168.1.100 EQ 22
Access-List Extended Network-Admins επιτρέπουν στο TCP οποιοδήποτε EQ 23
access-list extended network-admins αρνείται ip οποιοδήποτε
γραμμή vty 0 4
Τοπικός έλεγχος ταυτότητας
μεταφορά εισόδου όλα
Πρόσβαση-τάξη δικτύου-admins στο
Λίστα πρόσβασης σε εκτεταμένη άδεια μόνο για ανάγνωση TCP οποιοδήποτε EQ 23
Η λίστα πρόσβασης στην επεκταθείσα μόνο για ανάγνωση αρνείται
γραμμή Vty 5 9
Τοπικός έλεγχος ταυτότητας
μεταφορά εισόδου όλα
Κλάση πρόσβασης μόνο για ανάγνωση
`` `
Αυτό το παράδειγμα διαχωρίζει τους διαχειριστές και τους χρήστες μόνο για ανάγνωση, χρησιμοποιεί το όνομα ACLS και περιλαμβάνει ρητές αρνήσεις. Θυμηθείτε να αντικαταστήσετε τις διευθύνσεις IP και τις θύρες με τις πραγματικές σας τιμές. Οι συγκεκριμένες εντολές ενδέχεται να διαφέρουν ελαφρώς ανάλογα με τον εξοπλισμό δικτύωσης σας (Cisco IOS, Juniper Junos κ.λπ.).
Πνευματικά δικαιώματα © Γνώση Υπολογιστών Όλα τα δικαιώματα κατοχυρωμένα