Una regla básica para mantener una red segura es limitar el acceso a los equipos.
La seguridad de acceso incluiría dos grandes accesos:
Seguridad física
La opción más simple es tener los equipos en salas cerradas con llave donde los usuarios no tengan acceso. Lamentablemente esto no es siempre posible.
Seguridad lógica
Los equipos están en la misma red física que los usuarios y por ello debemos asegurarnos de que no puedan acceder. Una buena estrategia es usar una VLAN específica para la gestión siempre diferente a la de usuarios.
Aún dificultando el acceso al tener diferentes VLAN hay que asegurarse que las conexiones remotas a los equipos (ssh, https), además de requerir usuario y contraseña, estén limitadas a aquellas con origen el departamento de redes de nuestra empresa.
HP:
El fabricante HP utiliza una estrategia sencilla para asegurar que las conexiones entrantes sean del departamento que nos interesa. Definimos las direcciones IP de aquellos que están autorizados a acceder. Esta limitación general aplica a todos los métodos de acceso (telnet, ssh, http, https):
ip authorized-managers 10.10.10.0 255.255.255.192
ip authorized-managers 10.20.10.0 255.255.255.192
CISCO:
El fabricante CISCO recurre a las access-list de tal forma que definimos una lista con aquellas direcciones que queremos permitir para posteriormente aplicar dicha ACL a la confiugración de accesos.
access-list 19 permit 10.10.10.0 0.0.0.64Con esta configuración forzamos que el acceso sea únicamente vía ssh con 5 sesiones máximo y limitamos los rangos de acceso.
access-list 19 permit 10.10.20.0 0.0.0.64
line vty 0 4
access-class 19 in
transport input ssh
