per bloccare, disabilitare o negare l'accesso a HTTP/Webtools, utilizzare l'accesso telnet a Brocade B-series per motivi di sicurezza.
Di seguito è descritta la procedura da completare per creare una policy contenente una regola per negare l'accesso a qualsiasi IP che utilizza la porta HTTP 80.
Nota: poiché la policy predefinita non può essere modificata, è necessario clonare il set di filtri che si desidera utilizzare. In questo esempio utilizzeremo il set "default_ipv4":
- Accedere allo switch utilizzando SSH o un cavo seriale.
- Creare una policy copiando la policy default_ipv4 esistente:
ipfilter --clone DenyWebtools -from default_ipv4
- Salvare la nuova policy:
ipfilter --save DenyWebtools
- Verificare che la nuova policy sia corretta. Visualizzare la nuova policy:
ipfilter --show
- Aggiungere alla nuova policy una regola che nega l'accesso HTTP:
ipfilter --addrule DenyWebtools -rule 3 -sip any -dp 80 -prot tcp -act deny
Questo comando, suddiviso in una serie di sotto comandi, agisce nel modo seguente:
- --addrule DenyWebtools: il comando aggiunge la regola al set di regole DenyWebtools.
- -rule 3: il comando aggiunge una regola al numero di indice della regola specificato. Il numero della regola deve essere compreso tra 1 e l'attuale numero massimo di regole più uno. È possibile impostare una regola anche per un intervallo di porte.
- -sip any: il comando specifica l'indirizzo IP di origine. In questo esempio, HTTP è bloccato per qualsiasi IP connesso allo switch.
- -dp: il comando specifica il numero di porta a cui verrà applicata la regola. In questo esempio, la porta per HTTP è 80.
- -proto: il comando specifica il tipo di protocollo. In questo esempio, il protocollo è TCP.
- -act deny: il comando specifica l'azione di autorizzazione o divieto associata a questa regola.
- Individuare la regola di autorizzazione per HTTP (80):
ipfilter --show DenyWentools
Output:
Name: DenyWebtools, Type: ipv4, State: defined (modified)
Rule Source IP Protocol Dest Port Action
1 any tcp 22 permit
2 any tcp 23 permit
3 any tcp 80 deny
4 any tcp 80 permit
5 any tcp 443 permit
6 any udp 161 permit
7 any udp 123 permit
8 any tcp 600 - 1023 permit
9 any udp 600 - 1023 permit
- Rimuovere la regola di autorizzazione per HTTP. La rimozione serve a eliminare una delle due regole che compaiono qui sopra:
ipfilter --delrule DenyWebtools -rule 4
- Salvare nuovamente:
ipfilter --save DenyWebtools
- Controllare di nuovo la policy per verificare che sia corretta:
ipfilter --show DenyWebtools
Output:
Name: DenyWebtools, Type: ipv4, State: defined
Rule Source IP Protocol Dest Port Action
1 any tcp 22 permit
2 any tcp 23 permit
3 any tcp 80 deny <<< New Rule
4 any tcp 80 permit
5 any tcp 443 permit
6 any udp 161 permit
7 any udp 123 permit
8 any tcp 600 - 1023 permit
9 any udp 600 - 1023 permit
- Attivare la nuova policy:
ipfilter --activate DenyWebtools
- Controllare di nuovo la policy per verificare che sia corretta e che la policy "DenyWebtools" sia attiva:
ipfilter --show
Output:
Name: DenyWebtools, Type: ipv4, State: active <<<<<<<<<<<<<<<<<< New Policy is "Active"
Rule Source IP Protocol Dest Port Action
1 any tcp 22 permit
2 any tcp 23 permit
3 any tcp 80 deny
4 any tcp 80 permit
5 any tcp 443 permit
6 any udp 161 permit
7 any udp 123 permit
8 any tcp 600 - 1023 permit
9 any udp 600 - 1023 permit
- Aprire WebTools utilizzando un browser supportato e provare ad accedere all'interfaccia utente di WebTools utilizzando lo switch con HTTP disabilitato. L'accesso deve essere negato.
- L'output "errdump" dello switch dovrebbe indicare che allo switch è stato negato l'accesso tramite HTTP.
errdump:
2021/10/06-11:19:28, [SEC-3039], 39764, FID 128, INFO, DS6510B_TT38, Event:Security Violation , Status: failed, Info: Unauthorized host with IP address xx.xx.xx.xx tries to establish connection using TCP port 80.
Di seguito è riportato un elenco di tutti i comandi utilizzati in precedenza nell'ordine di utilizzo:
ipfilter --clone DenyWebtools -from default_ipv4
ipfilter --save DenyWebtools
ipfilter --show
ipfilter --addrule DenyWebtools -rule 3 -sip any -dp 80 -prot tcp -act deny
ipfilter --delrule DenyWebtools -rule 4
ipfilter --save DenyWebtools
ipfilter --show DenyWebtools
ipfilter --activate DenyWebtools
ipfilter --show
errdump