|
Les meilleures pratiques de configuration des ACL sur les lignes VTY (terminaux virtuels) se concentrent sur la sécurité et la maintenabilité. Voici les éléments clés :
* Utiliser les ACL nommées : Au lieu d'ACL numérotées, utilisez des ACL nommées. Cela rend votre configuration beaucoup plus lisible et plus facile à gérer. La modification d'une ACL numérotée nécessite la mise à jour de chaque interface ou ligne vty qui l'utilise. Une modification d’ACL nommée affecte toutes les références à la fois.
* Moin de privilège : Accordez uniquement l’accès nécessaire. N'accordez pas aux utilisateurs plus de privilèges que ceux requis pour leur travail. Cela limite les dommages causés par les comptes compromis.
* LCA séparées pour différents groupes d'utilisateurs : Au lieu d'une seule ACL massive, créez des ACL distinctes pour différents groupes d'utilisateurs (par exemple, administrateurs, ingénieurs et utilisateurs en lecture seule). Cela simplifie le dépannage et améliore la sécurité. Un compte compromis avec une ACL restreinte aura moins d’impact qu’un compte avec un accès illimité.
* Refus explicite à la fin : Incluez un refus implicite à la fin de chaque ACL. Cela refuse tout trafic non explicitement autorisé. Cela évite d’accorder un accès involontairement. Ceci est particulièrement critique pour les lignes VTY puisque de nombreuses commandes peuvent entraîner des dommages importants.
* Examen et audit réguliers : Examinez et auditez régulièrement vos ACL de ligne VTY. Cela garantit qu’ils restent appropriés et efficaces. Les rôles des utilisateurs et les besoins en matière de sécurité changent ; vos ACL doivent refléter ces changements.
* Désactiver les lignes VTY inutiles : Activez uniquement les lignes vty nécessaires. Désactivez toutes les lignes inutilisées ou inutiles pour réduire la surface d’attaque.
* Mots de passe forts et authentification : Utilisez des mots de passe forts et, idéalement, des méthodes d'authentification fortes au-delà des simples mots de passe (RADIUS, TACACS+). Les ACL sont utiles, mais l'authentification forte constitue votre première ligne de défense.
* Journalisation : Configurez la journalisation pour les tentatives de connexion réussies et échouées. Cela fournit des informations précieuses pour la surveillance de la sécurité et le dépannage.
Exemple (conceptuel) :
Au lieu de:
```
liste d'accès 100 permis TCP any any eq 23
liste d'accès 100 permis TCP any any eq 22
ligne vty 0 4
connexion authentification locale
transport entrée tout
classe d'accès 100 po
```
Utiliser:
```
liste d'accès les administrateurs réseau étendus autorisent TCP n'importe quel hôte 192.168.1.100 eq 22
liste d'accès les administrateurs réseau étendus autorisent TCP any any eq 23
les administrateurs réseau étendus de la liste d'accès refusent l'adresse IP
ligne vty 0 4
connexion authentification locale
transport entrée tout
administrateurs réseau de classe d'accès dans
liste d'accès permis de lecture seule étendu tcp any any eq 23
liste d'accès étendue en lecture seule refuser l'adresse IP toute
ligne vty 5 9
connexion authentification locale
transport entrée tout
classe d'accès en lecture seule dans
```
Cet exemple sépare les administrateurs et les utilisateurs en lecture seule, utilise des ACL nommées et inclut des refus explicites. N'oubliez pas de remplacer les adresses IP et les ports par vos valeurs réelles. Les commandes spécifiques peuvent varier légèrement en fonction de votre équipement réseau (Cisco IOS, Juniper Junos, etc.).
|
