虛擬終端是許多網路管理人員每天甚至是隨時會用到的工具與管理方式。虛擬終端提供許多網路管理上的便利性,透過虛擬終端,讓多位網路管理員可以同時做管理動作,並且在不同的網路環境中以遠端的方式進行網路管理。不過,它的便利性可能帶來某些安全上的顧慮,則是必須注意的議題。本文將說明如何透過存取控制來提升虛擬終端的安全性。
以存取控制清單 提升虛擬終端介面的安全性
一開始,先設定標準型存取控制清單來限定虛擬終端介面的存取行為。
增加一筆標準型存取控制清單,相關指令如下:
這裡的識別碼範圍為1到99之間,而mask指的是字元遮罩,這個字元遮罩可輸入也可忽略,若沒有輸入字元遮罩,預設值是0.0.0.0。
字元遮罩是用來指定一個以上的位址,但不同的是,在存取控制清單中,位元值為0代表符合(Match)目前這個位元值所對應的位址值,而位元值為1則代表忽略(Ignore)。
這點與子網路遮罩剛好相反。字元遮罩的預設值是0.0.0.0,所以必須是符合前面所輸入IP位址的每一個位元,才能套用這個存取控制規則。
接下來,把已經設定好的標準型存取控制規則套用在虛擬終端介面上。首先要做的是先進入相對應的虛擬終端介面。進入相對應虛擬終端介面的指令如下所示:
指令的關鍵字是line,代表要進入某種介面,而後面接上vty表示要進入虛擬終端介面,接著後面可以接上兩種值,第一種是指定某一個特定的虛擬終端介面編號,而第二種就是指定一段虛擬終端介面編號的範圍。
也就是說,可以一次針對多個虛擬終端介面做設定,這對網路管理人員來說無疑是一個福音,這樣就不需要針對每個虛擬終端介面做個別設定。
最後一個步驟是把設定好的標準型存取控制清單套用在虛擬終端介面上,套用的指令如下所示:
套用到虛擬終端介面的指令和套用存取控制清單到一般Ethernet介面的指令不太相同,一般要把存取控制清單套用在Ethernet介面上的指令是:
不同的是,access-class指令用在虛擬終端介面,而ip access-group指令應用在Ethernet介面。指令下達之後,就完成了設定動作。
範例說明
先來看看下面這個簡單的範例。假設網路管理人員所處的網段是192.168.1.0/24,而公司其他員工所處的網段為192.168.2.0/24,這裡只允許網路管理人員管理中間這台路由器A,換句話說,只允許由192.168.1.0/24所發送過來的Telnet連線。
因此,先建立一個相對應的標準型存取控制清單,執行以下的指令:
以上這一條標準型存取控制規則採用15為識別碼,而因為192.168.1.0網段的子網路遮罩為255.255.255.0,因此所使用的IP位址字元遮罩是0.0.0.255。
接下來,因為不能清楚地確認使用者將會從哪個虛擬終端介面連進來管理路由器A,所以最好的做法是將這條存取控制規則套用在所有的虛擬終端介面上,因此先進入所有的虛擬終端介面的設定模式:
再來,把剛剛所設定好的存取控制規則套用進來,請執行以下的指令:
這樣就大功告成了。雖然剛剛只有設定允許的規則,但其實在存取控制清單的最後會有一條預設的規則是拒絕所有連線,所以只要是沒有符合剛剛所設定的存取控制規則的網路連線,都會被過濾掉。
設定存取控制清單的技巧
存取控制清單如果設計得好,可以很有效地過濾網路封包,也能夠減少網路中不必要的網路流量。以下列出一些設計存取控制清單時的技巧,供各位參考。
利用存取控制清單規則識別碼 規劃相同網路協定的規則
存取控制規則的識別碼,乍看之下可能沒有太大的用途,但可以將這些識別碼加以應用,將相同網路協定的規則的識別碼規劃在一起,以便於快速辨識哪些規則是用在哪些網路協定上,同時也方便管理。
就標準型存取控制清單而言,可以把1300-1800規劃給TCP協定,而1801-1999規劃給UDP協定,而TCP協定中還可以繼續分類,這可以依照個別的喜好和使用的環境來好好規劃。
貫徹規則的單純性質
存取控制清單中的每一條規則可以同時針對多個協定、多種通訊埠,也可以同時讓多個介面使用在多個方向的網路封包上,但是建議每個介面(Interface)的每個方向,針對每個協定最好只用一條規則來過濾。
使用文字編輯器 先寫下存取控制清單內容
在設定或設計存取控制清單時,隨時要注意的是記得存取控制清單的順序性,這是最重要的。
所以,Cisco建議在設定存取控制清單的規則時,最好先用一個文字編輯器,把要設定的規則內容寫在文字編輯器內,等到全部的規則都設定完之後,再重複審查一下所設定的規則內容無誤,然後用剪下和貼上的方式設定到Cisco的路由器設備上。這樣一來,可以減少錯誤的發生率。
例如,先開啟Word軟體或記事本,然後在文字編輯軟體中編輯好規則,再Telnet連到遠端Cisco路由器設備一一設定進去。