تقييد الوصول إلى محول Cisco استنادًا إلى عنوان IP

لمزيد من الأمان ، أردت تقييد الوصول إلى مفتاح Cisco SG300-10 الخاص بي على عنوان IP واحد فقط في شبكتي الفرعية المحلية. بعد تكوين مبدئي للمحول الجديد(initially configuring my new switch) لبضعة أسابيع ، لم أكن سعيدًا بمعرفة أن أي شخص متصل بشبكة LAN أو WLAN الخاص بي يمكنه الوصول إلى صفحة تسجيل الدخول بمجرد معرفة عنوان IP للجهاز.

انتهى بي الأمر بالغربلة في الدليل المكون من 500 صفحة لمعرفة كيفية المضي قدمًا في حظر جميع عناوين IP باستثناء تلك التي أردت الوصول إليها للإدارة. بعد الكثير من الاختبارات والعديد من المشاركات في منتديات Cisco ، اكتشفت ذلك! في هذه المقالة ، سوف أطلعك على الخطوات لتكوين ملفات تعريف الوصول وقواعد ملفات التعريف لمحول Cisco الخاص بك .

ملاحظة: الطريقة التالية التي سأصفها تسمح لك أيضًا بتقييد الوصول إلى أي عدد من الخدمات الممكّنة على مفتاحك. على سبيل المثال ، يمكنك تقييد الوصول إلى SSH أو HTTP أو HTTPS أو Telnet أو كل هذه الخدمات عن طريق عنوان IP. (Note: The following method I am going to describe also allows you to restrict access to any number of enabled services on your switch. For example, you can restrict access to SSH, HTTP, HTTPS, Telnet, or all of these services by IP address. )

(Create Management Access Profile)إنشاء ملف تعريف الوصول للإدارة والقواعد(Rules)

للبدء ، قم بتسجيل الدخول إلى واجهة الويب الخاصة بالمحول الخاص بك وقم بتوسيع الأمان(Security) ثم قم بتوسيع طريقة الوصول Mgmt(Mgmt Access Method) . انطلق وانقر على ملفات تعريف الوصول(Access Profiles) .

أول شيء يتعين علينا القيام به هو إنشاء ملف تعريف وصول جديد. بشكل افتراضي ، يجب أن ترى فقط ملف تعريف وحدة التحكم فقط(Console Only) . أيضًا ، ستلاحظ في الجزء العلوي أنه لم(None) يتم تحديد أي شيء بجوار ملف تعريف الوصول النشط( Active Access Profile) . بمجرد إنشاء ملف التعريف والقواعد الخاصة بنا ، سيتعين علينا تحديد اسم ملف التعريف هنا لتفعيله.

انقر الآن على الزر " إضافة(Add) " وسيظهر لك مربع حوار حيث ستتمكن من تسمية ملف التعريف الجديد الخاص بك وإضافة القاعدة الأولى لملف التعريف الجديد.

في الجزء العلوي ، قم بتسمية ملف التعريف الجديد الخاص بك. تتعلق جميع الحقول الأخرى بالقاعدة الأولى التي سيتم إضافتها إلى ملف التعريف الجديد. بالنسبة إلى "أولوية القاعدة"( Rule Priority) ، يجب عليك اختيار قيمة بين 1 و 65535. الطريقة التي تعمل بها Cisco هي تطبيق القاعدة ذات الأولوية الأقل أولاً. إذا لم تتطابق ، فسيتم تطبيق القاعدة التالية ذات الأولوية الأقل.

في المثال الخاص بي ، اخترت أولوية 1 لأنني أريد معالجة هذه القاعدة أولاً. ستكون هذه القاعدة هي التي تسمح بعنوان IP الذي أريد منحه حق الوصول إلى المحول. ضمن أسلوب الإدارة(Management Method) ، يمكنك إما اختيار خدمة معينة أو اختيار الكل ، مما سيؤدي إلى تقييد كل شيء. في حالتي ، اخترت الكل لأنني أمتلك SSH و HTTPS فقط على أي حال وأنا أدير كلتا الخدمتين من جهاز كمبيوتر واحد.

لاحظ أنه إذا كنت تريد تأمين SSH و HTTPS فقط ، فستحتاج إلى إنشاء قاعدتين منفصلتين. لا يمكن أن يكون الإجراء(Action) سوى الرفض(Deny) أو التصريح(Permit) . على سبيل المثال ، اخترت التصريح(Permit) لأن هذا سيكون لعنوان IP المسموح به. بعد ذلك(Next) ، يمكنك تطبيق القاعدة على واجهة معينة على الجهاز أو يمكنك تركها على الإطلاق(All) بحيث تنطبق على جميع المنافذ.

ضمن ينطبق على عنوان IP المصدر(Applies to Source IP Address) ، يتعين علينا اختيار معرف المستخدم( User Defined) هنا ثم اختيار الإصدار 4(Version 4) ، إلا إذا كنت تعمل في بيئة IPv6 وفي هذه الحالة ستختار الإصدار 6(Version 6) . اكتب الآن عنوان IP الذي سيسمح له بالوصول واكتب قناع الشبكة الذي يطابق جميع البتات ذات الصلة التي سيتم النظر إليها.

على سبيل المثال ، نظرًا لأن عنوان IP الخاص بي هو 192.168.1.233 ، يجب فحص عنوان IP بالكامل ، وبالتالي أحتاج إلى قناع شبكة من 255.255.255.255.255.255.255. إذا كنت أرغب في تطبيق القاعدة على الجميع في الشبكة الفرعية بأكملها ، فسأستخدم قناعًا من 255.255.255.0. هذا يعني أنه سيتم السماح لأي شخص لديه عنوان 192.168.1.x. من الواضح أن هذا ليس ما أريد القيام به ، لكن آمل أن يشرح ذلك كيفية استخدام قناع الشبكة. لاحظ أن قناع الشبكة ليس قناع الشبكة الفرعية لشبكتك. يشير قناع الشبكة ببساطة إلى البتات التي يجب على Cisco النظر إليها عند تطبيق القاعدة.

انقر فوق تطبيق(Apply) ويجب أن يكون لديك الآن ملف تعريف وصول جديد وقاعدة! انقر فوق(Click) قواعد الملف الشخصي( Profile Rules) في القائمة اليمنى وسترى القاعدة الجديدة مدرجة في الأعلى.

الآن علينا إضافة القاعدة الثانية. للقيام بذلك ، انقر فوق الزر " إضافة(Add) " الموضح أسفل جدول قواعد الملف الشخصي(Profile Rule Table) .

القاعدة الثانية بسيطة حقًا. أولاً ، تأكد من أن اسم ملف تعريف الوصول(Access Profile Name) هو نفسه الذي أنشأناه للتو. الآن ، نعطي القاعدة أولوية 2 ونختار Deny for the Action . تأكد من تعيين كل شيء آخر على الكل(All) . هذا يعني أنه سيتم حظر جميع عناوين IP. ومع ذلك ، نظرًا لأن قاعدتنا الأولى ستتم معالجتها أولاً ، فسيتم السماح بعنوان IP هذا. بمجرد مطابقة القاعدة ، يتم تجاهل القواعد الأخرى. إذا كان عنوان IP لا يتطابق مع القاعدة الأولى ، فسوف ينتقل إلى هذه القاعدة الثانية ، حيث سيتطابق ويتم حظره. لطيف!

أخيرًا ، يتعين علينا تنشيط ملف تعريف الوصول الجديد. للقيام بذلك ، ارجع إلى ملفات تعريف الوصول( Access Profiles) وحدد ملف التعريف الجديد من القائمة المنسدلة في الأعلى (بجوار ملف تعريف الوصول النشط(Active Access Profile) ). تأكد من النقر فوق تطبيق(Apply) ويجب أن تكون على ما يرام.

تذكر(Remember) أن التكوين محفوظ حاليًا فقط في ملف config قيد التشغيل. تأكد من الانتقال إلى الإدارة(Administration) - إدارة الملفات( File Management) - Copy/Save Configuration لنسخ التكوين الجاري تشغيله إلى تهيئة بدء التشغيل.

إذا كنت تريد السماح لأكثر من عنوان IP بالوصول إلى المحول ، فما عليك سوى إنشاء قاعدة أخرى مثل القاعدة الأولى ، ولكن أعطها أولوية أعلى. سيتعين عليك أيضًا التأكد من تغيير أولوية قاعدة الرفض(Deny) بحيث يكون لها أولوية أعلى من جميع قواعد التصريح(Permit) . إذا واجهت أي مشاكل أو لم تتمكن من تشغيل هذا ، فلا تتردد في النشر في التعليقات وسأحاول مساعدتك. يتمتع!



About the author

أنا مبرمج كمبيوتر منذ أكثر من 15 عامًا. تكمن مهاراتي في تطوير التطبيقات البرمجية وصيانتها ، فضلاً عن تقديم الدعم الفني لتلك التطبيقات. لقد قمت أيضًا بتدريس برمجة الكمبيوتر لطلاب المدارس الثانوية ، وأنا حاليًا مدرس محترف.



Related posts