Para bloquear, deshabilitar o denegar el acceso a HTTP/herramientas web, acceda con Telnet a un Brocade serie B por motivos de seguridad.
Estos son los pasos que se utilizan para crear una política con una regla a fin de denegar el acceso mediante cualquier IP a través del puerto HTTP 80.
Nota: Dado que la política predeterminada no se puede cambiar, debe clonar cualquier conjunto de filtros que desee usar. En este ejemplo, utilizamos el conjunto “default_ipv4”:
- Inicie sesión en el switch mediante SSH o con un cable en serie.
- Cree una política copiando la política default_ipv4 existente:
ipfilter --clone DenyWebtools -from default_ipv4
- Guarde la nueva política:
ipfilter --save DenyWebtools
- Verifique que la nueva política sea correcta. Debería ver la nueva política:
ipfilter --show
- Agregue una regla a la nueva política para denegar el acceso HTTP:
ipfilter --addrule DenyWebtools -rule 3 -sip any -dp 80 -prot tcp -act deny
Con este comando, desglosado por subcomandos, se realiza:
- --addrule DenyWebtools: Con el comando, se agrega la regla al conjunto de reglas DenyWebtools.
- -rule 3: Con el comando, se agrega una regla en el número de índice de la regla especificada. El número de regla debe estar entre 1 y el número de regla máximo actual más uno. También puede establecer una regla para una gran variedad de puertos.
- -sip any: Con el comando, se especifica la dirección IP fuente. En este ejemplo, cualquier IP que se conecte a este switch tiene HTTP bloqueado.
- -dp: Con este comando, se especifica el número de puerto al que se aplica esta regla. En este ejemplo, el puerto para HTTP es 80.
- -proto: Con este comando, se especifica el tipo de protocolo. En este ejemplo, el protocolo es TCP.
- -act deny: Con este comando, se especifica la acción de permiso o denegación asociada con esta regla.
- Busque la regla de permiso para HTTP (80):
ipfilter --show DenyWentools
Resultado:
Nombre: DenyWebtools, Type: ipv4, State: defined (modified)
Rule Source IP Protocol Dest Port Action
1 any tcp 22 permit
2 any tcp 23 permit
3 any tcp 80 deny
4 any tcp 80 permit
5 any tcp 443 permit
6 any udp 161 permit
7 any udp 123 permit
8 any tcp 600 - 1023 permit
9 any udp 600 - 1023 permit
- Elimine la regla de permiso para HTTP. Esto es para efectos de eliminación, ya que ahora hay dos reglas HTTP, como se indicó anteriormente:
ipfilter --delrule DenyWebtools -rule 4
- Guárdelas nuevamente:
ipfilter --save DenyWebtools
- Vuelva a revisar la política para verificar que esté correcta:
ipfilter --show DenyWebtools
Resultado:
Nombre: DenyWebtools, Type: ipv4, State: defined
Rule Source IP Protocol Dest Port Action
1 any tcp 22 permit
2 any tcp 23 permit
3 any tcp 80 deny <<< New Rule
4 any tcp 80 permit
5 any tcp 443 permit
6 any udp 161 permit
7 any udp 123 permit
8 any tcp 600 - 1023 permit
9 any udp 600 - 1023 permit
- Active la nueva política:
ipfilter --activate DenyWebtools
- Vuelva a revisar la política para verificar que esté correcta y que la política "DenyWebtools" esté activa:
ipfilter --show
Resultado:
Nombre: DenyWebtools, Type: ipv4, State: active <<<<<<<<<<<<<<<<<< New Policy is "Active"
Rule Source IP Protocol Dest Port Action
1 any tcp 22 permit
2 any tcp 23 permit
3 any tcp 80 deny
4 any tcp 80 permit
5 any tcp 443 permit
6 any udp 161 permit
7 any udp 123 permit
8 any tcp 600 - 1023 permit
9 any udp 600 - 1023 permit
- Abra Webtools mediante un navegador soportado e intente acceder a la interfaz de usuario de Webtools del switch que tiene el HTTP deshabilitado y se debe denegar.
- En el resultado “errdump” del switch, debe ver que el switch rechazó el acceso mediante HTTP.
errdump:
2021/10/06-11:19:28, [SEC-3039], 39764, FID 128, INFO, DS6510B_TT38, Event:Security Violation, Status: failed, Info: El host no autorizado con la dirección IP xx.xx.xx.xx intenta establecer la conexión mediante el puerto TCP 80.
A continuación, se presenta una lista de todos los comandos utilizados anteriormente en el orden de uso:
ipfilter --clone DenyWebtools -from default_ipv4
ipfilter --save DenyWebtools
ipfilter --show
ipfilter --addrule DenyWebtools -rule 3 -sip any -dp 80 -prot tcp -act deny
ipfilter --delrule DenyWebtools -rule 4
ipfilter --save DenyWebtools
ipfilter --show DenyWebtools
ipfilter --activate DenyWebtools
ipfilter --show
errdump