Säkerhet med ACL

Modifiera IPv4 ACL      |      Extended ACL Numrerad

Åtkomstkontrollistor (ACL) används vanligtvis för att filtrera inkommande eller utgående trafik på ett interface, men de kan också användas för att säkerställa fjärradministrativ åtkomst till nätverksenheter via VTY-linjer (virtuella terminaler).

Genom att konfigurera en ACL kan man begränsa vilka administrativa datorer som får fjärråtkomst till en router eller switch, vilket ökar säkerheten och minskar risken för obehöriga anslutningar.

Konfigurera ACL för att säkra VTY-linjer

Följ dessa två steg för att säkra fjärråtkomst via VTY-linjer:

  1. Skapa en ACL som identifierar vilka administrativa datorer som ska tillåtas ansluta.
  2. Tillämpa ACL på inkommande trafik på VTY-linjerna.

Använd följande kommando för att tillämpa en ACL på VTY-linjerna:

R1(config-line)# access-class {access-list-number | access-list-name} {in | out}
  • in används vanligtvis för att filtrera inkommande trafik på VTY-linjerna.
  • out filtrerar utgående trafik, men används sällan för fjärradministration.

Viktiga överväganden vid ACL på VTY-linjer

  • Både namngivna och numrerade ACL kan användas.
  • Identiska restriktioner bör tillämpas på alla VTY-linjer, eftersom en angripare kan försöka ansluta via en annan linje.
  • SSH bör användas istället för Telnet i en produktionsmiljö, eftersom Telnet skickar data i klartext.

Exempel: Säker fjärråtkomst via VTY

Följande topologi används för att demonstrera hur en ACL kan konfigureras för att skydda Telnet-åtkomst till en router. Med en ACL ska endast PC1 få använda Telnet för att ansluta till R1.

Obs: Telnet används här endast för demonstration. SSH bör alltid användas i produktionsmiljöer.

Steg 1: Skapa användarnamn och lösenord
För att öka säkerheten används en lokal användardatabas för autentisering.

R1(config)# username ADMIN secret remAcP@55

Denna konfiguration skapar ett lokalt användarkonto (ADMIN) med lösenordet ”remAcP@55” för fjärråtkomst.

Steg 2: Skapa en ACL för att begränsa åtkomst

En namngiven standard ACL kallad ADMIN-HOST skapas för att identifiera PC1:s IP-adress (192.168.10.10).

R1(config)# ip access-list standard ADMIN-HOST
R1(config-std-nacl)# remark This ACL secures incoming vty lines
R1(config-std-nacl)# permit 192.168.10.10
R1(config-std-nacl)# deny any
R1(config-std-nacl)# exit

Obs: ”deny any” används för att blockera all övrig trafik och samtidigt logga nekade anslutningsförsök.

Steg 3: Konfigurera VTY-linjerna

Routern konfigureras för att:

  • Använda lokal autentisering (login local).
  • Tillåta endast Telnet-trafik.
  • Tillämpa ADMIN-HOST ACL på inkommande trafik.
R1(config)# line vty 0 4
R1(config-line)# login local
R1(config-line)# transport input telnet
R1(config-line)# access-class ADMIN-HOST in
R1(config-line)# end
R1#

Viktigt: För att öka säkerheten i en verklig miljö bör Telnet ersättas med SSH:

R1(config)# line vty 0 4
R1(config-line)# login local
R1(config-line)# transport input ssh
R1(config-line)# access-class ADMIN-HOST in
R1(config-line)# end
R1#

Verifiera att VTY-porten är säkrad med ACL

Efter att en ACL har konfigurerats för att styra VTY-åtkomst är det viktigt att testa och verifiera att den fungerar korrekt.

  1. Testa anslutning från en tillåten enhet (PC1)
    • När PC1 ansluter via Telnet, uppmanas användaren att ange användarnamn och lösenord innan åtkomst till kommandotolken ges.
    • Detta bekräftar att PC1 har åtkomst till R1 för administrativa syften.
  2. Testa anslutning från en otillåten enhet (PC2)
    • Om PC2 försöker ansluta via Telnet, kommer anslutningen att nekas eftersom IP-adressen inte finns i ACL:n.

Visa och analysera ACL-statistik

Använd show access-lists för att granska ACL-statistik. Detta visar hur många gånger varje ACE har matchats.

R1# show access-lists
Standard IP access list ADMIN-HOST
10 permit 192.168.10.10 (2 matches)
20 deny any (2 matches)
  • ACE 10 har matchats 2 gånger, vilket betyder att PC1 lyckades ansluta via Telnet.
  • ACE 20 har matchats 2 gånger, vilket betyder att PC2 försökte ansluta men nekades.

Notera: Den implicita ”deny any” visas inte i statistiken. Om du vill övervaka alla nekade anslutningar, lägg till deny any log i ACL-konfigurationen.

Syslog

Syslog (System Logging Protocol) är ett standardiserat protokoll för att samla, lagra och hantera loggmeddelanden från nätverksenheter och system. Det används för att övervaka systemstatus, felsöka problem och spåra säkerhetshändelser i nätverk.

I exemplet visas följande nivå-fem loggmeddelande:

Mar 9 15:11:19.544: %SEC_LOGIN-5-LOGIN_SUCCESS: Login Success [user: admin] [Source: 192.168.10.10] [localport: 23] at 15:11:19 UTC Mar 9 2025

Förklaring:

  • En användare (”admin”) loggade in framgångsrikt via Telnet (port 23) från IP-adressen 192.168.10.10
  • Händelsen registrerades den 9 mars 2025 kl. 15:11:19 UTC.
  • Syslog-nivå 5 (Notification) innebär att detta är ett informativt meddelande, inte ett fel eller en varning.
  • Detta loggmeddelande används ofta för att övervaka och säkerställa att endast auktoriserade användare får åtkomst.

Rensa ACL-statistik

Om du vill återställa räknarna i ACL-statistiken kan du använda följande kommando:
R1# clear access-list counters NO-ACCESS

Efter att ha rensat statistiken kommer show access-lists att visa nollställda räknare.

R1# show access-lists
Standard IP access list ADMIN-HOST
10 permit 192.168.10.10
20 deny any
R1#

Sammanfattning

VTY-linjer kan säkras genom ACL för att begränsa vilka datorer som får fjärråtkomst. I det syfte kan Namngivna eller numrerade ACL användas för att filtrera inkommande anslutningar. ACL bör tillämpas på alla VTY-linjer eftersom en angripare kan försöka ansluta till en annan linje och det rekommenderas att använda SSH istället Telnet. SSH erbjuder krypterad kommunikation.

Det är viktigt att verifiera konfigurationerna för att säkerställa att den fungerar som förväntat.

Modifiera IPv4 ACL      |      Extended ACL-Numrerad