Restringir el acceso al conmutador Cisco en base a la dirección IP

Para mayor seguridad, quería restringir el acceso a mi conmutador Cisco SG300-10 a una sola dirección IP en mi subred local. Después de configurar inicialmente mi nuevo interruptor hace unas semanas, no estaba feliz sabiendo que cualquiera conectado a mi LAN o WLAN podría llegar a la página de inicio de sesión con sólo saber la dirección IP del dispositivo.

Terminé revisando el manual de 500 páginas para averiguar cómo bloquear todas las direcciones IP excepto las que quería para el acceso de la administración. Después de muchas pruebas y varios mensajes en los foros de Cisco, ¡lo descubrí! En este artículo, te guiaré a través de los pasos para configurar los perfiles de acceso y las reglas de los perfiles para tu switch Cisco.

Crear el perfil de acceso a la gestión & Reglas

Para empezar, entra en la interfaz web de tu interruptor y expande Security y luego expande Mgmt Access Method. Adelante, haz clic en Perfiles de acceso.

Lo primero que tenemos que hacer es crear un nuevo perfil de acceso. Por defecto, sólo debería ver el perfil Console Only. Además, notarán en la parte superior que None está seleccionado junto a Active Access Profile. Una vez que hayamos creado nuestro perfil y reglas, tendremos que seleccionar el nombre del perfil aquí para activarlo.

Ahora haga clic en el botón Add y esto debería traer un cuadro de diálogo donde podrá nombrar su nuevo perfil y también añadir la primera regla para el nuevo perfil.

En la parte superior, dale un nombre a tu nuevo perfil. Todos los demás campos se refieren a la primera regla que se añadirá al nuevo perfil. Para Regla Prioridad, tienes que elegir un valor entre 1 y 65535. La forma en que trabaja Cisco es que la regla de menor prioridad se aplica primero. Si no coincide, entonces se aplica la siguiente regla con la menor prioridad.

En mi ejemplo, elegí una prioridad de 1 porque quiero que esta regla se procese primero. Esta regla será la que permita la dirección IP que quiero dar acceso al interruptor. En Management Method, puede elegir un servicio específico o elegir todos, lo que restringirá todo. En mi caso, elegí todos porque sólo tengo SSH y HTTPS habilitados de todos modos y manejo ambos servicios desde una computadora.

Avisa que si quieres asegurar sólo SSH y HTTPS, entonces tendrás que crear dos reglas separadas. El Acción sólo puede ser Deny o Permiso. Para mi ejemplo, elegí Permit ya que esto será para la IP permitida. A continuación, puede aplicar la regla a una interfaz específica del dispositivo o puede dejarla en All para que se aplique a todos los puertos.

Bajo Aplica a la dirección IP de origen, tenemos que elegir Definido por el usuario aquí y luego elegir Versión 4, a menos que esté trabajando en un entorno IPv6, en cuyo caso elegiría la Versión 6. Ahora escriba la dirección IP a la que se le permitirá el acceso y escriba una máscara de red que coincida con todos los bits relevantes a ser mirados.

Por ejemplo, como mi dirección IP es 192.168.1.233, es necesario examinar toda la dirección IP y por lo tanto necesito una máscara de red de 255.255.255.255. Si quisiera que la regla se aplicara a todos en toda la subred, entonces usaría una máscara de 255.255.255.0. Eso significaría que cualquiera con una dirección 192.168.1.x sería permitido. Eso no es lo que quiero hacer, obviamente, pero espero que eso explique cómo usar la máscara de la red. Tenga en cuenta que la máscara de red no es la máscara de subred de su red. La máscara de la red simplemente dice qué bits debe mirar Cisco al aplicar la regla.

Click Apply y ahora deberías tener un nuevo perfil de acceso y regla! Haga clic en Profile Rules en el menú de la izquierda y debería ver la nueva regla listada en la parte superior.

Ahora tenemos que añadir nuestra segunda regla. Para ello, haga clic en el botón Add que se muestra bajo la tabla de reglas de perfil >strong>.

2 y elegimos Deny para el Acción. Asegúrate de que todo lo demás está puesto en All. Esto significa que todas las direcciones IP serán bloqueadas. Sin embargo, como nuestra primera regla será procesada primero, esa dirección IP será permitida. Una vez que una regla es igualada, las otras reglas son ignoradas. Si una dirección IP no coincide con la primera regla, llegará a esta segunda regla, donde coincidirá y será bloqueada. ¡Bien!

Finalmente, tenemos que activar el nuevo perfil de acceso. Para ello, vuelva a Perfiles de Acceso y seleccione el nuevo perfil de la lista desplegable de la parte superior (junto a Perfil de Acceso Activo). Asegúrate de hacer clic en Apply y deberías estar listo para ir.

Recordar que la configuración sólo se guarda actualmente en la configuración en ejecución. Asegúrate de ir a Administración – Gestión de Archivos – Copiar/guardar configuración para copiar la configuración en curso a la configuración de inicio.

Si quieres permitir el acceso al interruptor a más de una dirección IP, sólo tienes que crear otra regla como la primera, pero dale una mayor prioridad. También tendrás que asegurarte de que cambias la prioridad de la regla Deny para que tenga una mayor prioridad que todas las reglas Permit. Si tienes algún problema o no puedes hacer que esto funcione, siéntete libre de escribir en los comentarios e intentaré ayudar. ¡Disfruta!

Fundador del Help Desk Geek y editor gerente. Empezó a escribir en el blog en 2007 y dejó su trabajo en 2010 para escribir a tiempo completo. Tiene más de 15 años de experiencia en la industria de la tecnología de la información y posee varias certificaciones técnicas. Lea la biografía completa de Aseem.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *