เพื่อน ๆ ครับ ในวันนี้ผมก็จะมีเทคนิคง่าย ๆ ที่ช่วยเพิ่มระดับการรักษาความปลอดภัยให้แก๋อุปกรณ์เครือข่ายมาแนะนำกันครับ นั่นก็คือการกำหนด IP Address ที่อนุญาตให้เข้าใช้ CLI (Command Line Interface) บนอุปกรณ์ Cisco ผ่านทางโปรโตคอลที่ใช้ในการ remote ต่าง ๆ เช่น telnet, ssh เป็นต้น เช่นอาจจะกำหนดให้ สามารถ remote มายังอุปกรณ์จาก IP Address ของเครื่อง admin เท่านั้น แต่ไม่อนุญาตให้เครื่องผู้ใช้สามารถ remote มาได้ครับ
สำหรับขั้นตอนการตั้งค่าก็มีดังนี้ครับ
- ทำการสร้าง access-list ที่ใช้กำหนดถึง IP Address ที่อนุญาตให้เข้าใช้งานบนอุปกรณ์
- นำ access-list ที่สร้างขึ้นมาไปใช้งานบน line vty
เห็นมั้ยครับเพื่อน ๆ ขั้นตอนในการตั้งค่านั้นไม่มีอะไรซับซ้อนเลยครับ ทีนี้ลองมาดูตัวอย่างในการตั้งค่ากันดีกว่าครับ ในอันดับแรก เราก็จะมาทำการสร้าง access-list เพื่อใช้ในการคัดเลือกทราฟิกที่จะอนุญาตหรือไม่อนุญาตให้เข้าใช้งานบนอุปกรณ์ของเรากันครับ โดยในตัวอย่างนี้ จะเป็นการอนุญาตทราฟิกที่มีต้นทางเป็น IP Address ของเครือข่าย 192.168.10.0/24 ครับ โดยใช้คำสั่ง “access-list <1-99> <permit | deny> <source IP Address> <wildcard mask>”
ตัวอย่าง
Router(config)#access-list 1 permit 192.168.10.0 0.0.0.255
จากตัวอย่างด้านบน การสร้าง access-list บน Cisco IOS นั้นจะไม่ใช้ subnet mask นะครับ แต่จะใช้ wildcard mask แทนครับ
และถ้าเราอาจจะต้องการที่จะไม่อนุญาตบาง IP Address ใน subnet นี้ เช่น ไม่อนุญาตให้ IP Address ในช่วง 192.168.10.1-192.168.10.31 แต่อนุญาต IP Address อื่น ๆ ใน subnet นี้เราก็สามารถเขียน access-list ได้ ดังนี้ครับ
ตัวอย่าง
Router(config)#access-list 1 deny 192.168.10.0 0.0.0.31
Router(config)#access-list 1 permit 192.168.10.0 0.0.0.255
จากนั้นเราก็นำ access-list ที่เราสร้างขึ้นมาไปใช้งานใน line vty กัน โดยใช้คำสั่ง "access-class"ครับ
ตัวอย่าง
Router(config)#line vty 0 15
Router(config-line)#access-class 1 in
Router(config-line)#exit
เพียงเท่านี้ ก็จะสามารถเพิ่มระดับในการรักษาความปลอดภัย ให้กับอุปกรณ์ Cisco ของเรากันแล้วครับ เพราะว่าจะมีเพียง IP Address ที่เรากำหนดไว้เท่านั้นที่จะสามารถ remote มาเข้าใช้งานบนอุปกรณ์ได้ครับ
No comments:
Post a Comment