Protezione della sicurezza della rete e concessione dell'accesso a terze parti

Opzioni per il download

  • PDF     (164.7 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (86.0 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (73.2 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:24 gennaio 2007
ID documento:72884

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

Introduzione

Nel corso di questa richiesta di assistenza, è possibile che si desideri che i tecnici Cisco accedano alla rete dell'organizzazione. La concessione di tale accesso consente spesso di risolvere la richiesta di assistenza in modo più rapido. In questi casi, Cisco può accedere alla rete, e lo farà solo, con la tua autorizzazione.

Prerequisiti

Requisiti

Nessun requisito specifico previsto per questo documento.

Componenti usati

Il documento può essere consultato per tutte le versioni software o hardware.

Convenzioni

Per ulteriori informazioni sulle convenzioni usate, consultare il documento Cisco sulle convenzioni nei suggerimenti tecnici.

Procedure ottimali

Cisco consiglia di attenersi a queste linee guida per proteggere la sicurezza della rete quando si concede l'accesso a un tecnico o a una persona esterna all'azienda o all'organizzazione.

  • Se possibile, utilizzare Cisco Unified MeetingPlace per condividere le informazioni con i tecnici dell'assistenza. Cisco consiglia di utilizzare Cisco Unified MeetingPlace per i seguenti motivi:

    • Cisco Unified MeetingPlace utilizza il protocollo SSL (Secure Socket Layer), che in alcuni casi è più sicuro rispetto al protocollo SSH (Secure Shell) o Telnet.

    • Cisco Unified MeetingPlace non richiede l'immissione di password a utenti esterni alla società o all'organizzazione.

      Nota: ogni volta che si concede l'accesso alla rete a persone esterne alla società o all'organizzazione, le password specificate devono essere temporanee e valide solo se richieste da terzi.

    • In genere, Cisco Unified MeetingPlace non richiede la modifica dei criteri del firewall perché la maggior parte dei firewall aziendali consente l'accesso HTTPS in uscita.

    Per ulteriori informazioni, visitare Cisco Unified MeetingPlace.

  • Se non è possibile utilizzare Cisco Unified MeetingPlace e si sceglie di consentire l'accesso di terze parti tramite un'altra applicazione, ad esempio SSH, verificare che la password sia temporanea e disponibile solo per un utilizzo unico. Inoltre, è necessario modificare o invalidare immediatamente la password quando l'accesso di terze parti non è più necessario. Se si utilizza un'applicazione diversa da Cisco Unified MeetingPlace, è possibile seguire le seguenti procedure e linee guida:

    • Per creare un account temporaneo sui router Cisco IOS, utilizzare questo comando:

      Router(config)#username tempaccount secret QWE!@#

    • Per creare un account temporaneo su PIX/ASA, usare questo comando: 

      PIX(config)#username tempaccount password QWE!@#

    • Per rimuovere l'account temporaneo, utilizzare questo comando: 

      Router (config)#no username tempaccount

    • Generare la password temporanea in modo casuale. La password temporanea non deve essere correlata alla richiesta di servizio o al provider di servizi di supporto specifico. Ad esempio, non utilizzare password come cisco, cisco123 o ciscotac.

    • Non fornire mai il proprio nome utente o password.

    • Non utilizzare Telnet su Internet. Non è sicuro.

  • Se il dispositivo Cisco che richiede supporto si trova dietro un firewall aziendale e se un tecnico dell'assistenza deve modificare le policy del firewall per introdurlo nel dispositivo Cisco, verificare che la modifica apportata alla policy sia specifica del tecnico dell'assistenza assegnato al problema. Non aprire mai l'eccezione al criterio all'intero Internet o a un intervallo di host più ampio del necessario.

    • Per modificare un criterio firewall su un firewall Cisco IOS, aggiungere queste righe all'elenco degli accessi in entrata in Interfaccia con connessione Internet: 

      Router(config)#ip access-list ext inbound
Router(config-ext-nacl)#1 permit tcp host 
    <IP address for TAC engineer> host <Cisco device address> eq 22

      Nota: nell'esempio, la configurazione Router(config-ext-nacl)# viene visualizzata su due righe per preservare spazio. Tuttavia, quando si aggiunge questo comando all'elenco degli accessi in entrata, la configurazione deve essere visualizzata su una riga.

    • Per modificare un criterio firewall su un firewall Cisco PIX/ASA, aggiungere questa riga al gruppo di accesso in entrata: 

      ASA(config)#access-list inbound line 1 permit tcp host 
    <IP address for TAC engineer> host <Cisco device address> eq 22

      Nota: nell'esempio, la configurazione ASA(config)# viene visualizzata su due righe per preservare spazio. Tuttavia, quando si aggiunge questo comando al gruppo di accesso in entrata, la configurazione deve essere visualizzata su una sola riga.

    • Per consentire l'accesso SSH sui router Cisco IOS, aggiungere questa riga alla classe access-class: 

      Router(config)#access-list 2 permit host <IP address for TAC engineer>
Router(config)#line vty 0 4
Router(config-line)#access-class 2

    • Per consentire l'accesso SSH su Cisco PIX/ASA, aggiungere questa configurazione: 

      ASA(config)#ssh <IP address for TAC engineer> 255.255.255.255 outside

Per domande o ulteriore assistenza sulle informazioni descritte in questo documento, contattare il Technical Assistance Center (TAC) di Cisco.

Questa pagina Web ha solo scopo informativo e viene fornita "così com'è" senza alcuna garanzia o concessione. Le procedure ottimali sopra descritte non sono concepite per essere complete, ma sono consigliate per integrare le procedure di sicurezza correnti dei clienti. L'efficacia di qualsiasi prassi di sicurezza dipende dalla situazione specifica di ciascun cliente; e i clienti sono incoraggiati a considerare tutti i fattori rilevanti nella determinazione delle procedure di sicurezza più appropriate per le loro reti.

Informazioni correlate

Cronologia delle revisioni

Revisione Data di pubblicazione Commenti
1.0
24-Jan-2007
Versione iniziale

Questo documento ti è stato utile?

FeedbackFeedback

Contattaci

Questo documento si applica a questi prodotti