Протокол telnet удобен, однако он небезопасен для прослушивания трафика и для взлома. Поэтому доступ к TCP-порту telnet лучше всего ограничить. Ниже это показано на примере.
Имеем роутер (C871), который одним интерфейсом смотрит в Интернет, и по VPN подключается к серверу VPN (ASA-5540) удаленного офиса. Задача - сделать так, чтобы можно было администрировать по протоколу SSH откуда угодно (подключаясь и через Интернет, и через локальную сеть), а по протоколу telnet - только изнутри (подключаясь либо с внутренней сети филиала, либо через канал VPN из офиса с ASA-5540, через её внутреннюю сеть). Проще всего было бы отключить доступ к telnet вообще, например:
(config)#line vty 0 4
(config)# transport input ssh
(config)# transport output all
Недостаток этого способа в том, что консоль telnet становится совсем недоступна из всех сетей, в том числе и из внутренних, что не удобно. Решить задачу можно, если наложить access-list на внутренний интерфейс:
ip access-list extended cons-Admin
deny tcp any any eq telnet log
permit ip any any
interface FastEthernet4
ip address 83.219.a.b 255.255.255.248
ip access-group cons-Admin in
Теперь по telnet можно коннектиться только через соединения по внутренней сети (через Интернет нельзя вообще, даже из наших публичных адресов). По SSH можно коннектиться откуда угодно (и через Интернет, и через локальную сеть). Такой вариант настройки хорош тем, что нельзя снаружи засниферить незащищенный пароль telnet, но надо помнить, что пароль к логину должен быть достаточно стойким к подбору (чтобы нельзя было подобрать его снаружи). |
Комментарии
RSS лента комментариев этой записи