Steuer SSH und Telnet-Zugriff auf Junos Router
SSH und Telnet sind die beiden gemeinsamen Möglichkeiten für die Benutzer auf den Router zugreifen. Beide erfordern Passwort-Authentifizierung, entweder über ein Konto auf dem Router konfiguriert oder ein Konto auf einem zentralen Authentifizierungsserver, wie beispielsweise ein RADIUS-Server. Selbst mit einem Passwort, Telnet-Sitzungen sind von Natur aus unsicher, und SSH kann durch Brute-Force-Versuche angegriffen werden, um Passwörter zu erraten.
Sie beschränken SSH und Telnet-Zugriff durch eine Firewall-Filter zu schaffen, die den Verkehr auf eine bestimmte Schnittstelle regelt, zu entscheiden, was zu ermöglichen und was zu verwerfen. Erstellen eines Filters ist ein zweistufiger Prozess:
Sie definieren die Filterung Details.
Sie wenden den Filter auf einen Router-Schnittstelle.
Nun, wenn Sie den Zugriff auf den Router steuern möchten, würden Sie normalerweise brauchen, um diese Einschränkungen zu jeder Schnittstelle anzuwenden, wie der Router kann über eine beliebige Schnittstelle kontaktiert werden. Doch um die Dinge einfacher, Junos OS ermöglicht es Ihnen, Firewall-Filter auf die Loopback anzuwenden (lo0) Schnittstelle.
Firewall-Filter, die auf die lo0 Schnittstelle beeinflussen den gesamten Datenverkehr des Routers Steuerebene bestimmt, unabhängig von der Schnittstelle, auf der das Paket angekommen. So SSH zu begrenzen und Telnet-Zugriff auf den Router, wenden Sie den Filter auf die lo0 Schnittstelle.
Das Filter in dem folgenden Verfahren gezeigt wird aufgerufen Limit-ssh-telnet, und es hat zwei Teile, oder Begriffe. Die Junos OS wertet die beiden Begriffe der Reihe nach. Datenverkehr, der den ersten Term entspricht, wird sofort verarbeitet, und Verkehr, der durch den zweiten Term ausgewertet versagt wird. Hier ist, wie der Prozess funktioniert:
Der erste Begriff, Limit-ssh-telnet, sucht Versuche SSH und Telnet-Zugriff nur von Geräten auf dem 192.168.0.1/24 Subnetz.
Pakete werden nur diesen Begriff übereinstimmen, wenn der IP-Header eine Zieladresse aus dem Präfix 192.168.0.1/24 enthält, zeigt das IP-Header das Paket ein TCP-Paket ist, und das TCP-Paket-Header zeigt, dass der Verkehr für die SSH oder Telnet Ziel geleitet wird Ports.
Wenn alle diese Kriterien erfüllt sind, Aktion des Filters ist es, den Zugriffsversuch und Verkehr zu übernehmen:
[Bearbeiten Firewall] fred @ Router # set Filter Limit-ssh-telnet Begriff Zugang Zeit fromsource-Adresse 192.168.0.1/24[edit Firewall] fred @ Router # set Filter Limit-ssh-telnet Begriff access-Begriff fromprotocol tcp [Bearbeiten Firewall] fred @ Router # set Filter Limit-ssh-telnet Begriff Zugang Zeit fromdestination-port [ssh telnet] [bearbeiten Firewall] fred @ Router # set Filter Limit-ssh-telnet Begriff Zugriff Zeit dann akzeptieren
Der zweite Begriff, genannt Block-all-else, blockiert den gesamten Datenverkehr, der die Kriterien in Schritt 1 nicht erfüllt.
Sie können mit einem grundlegenden diesen Schritt tun ablehnen Befehl. Dieser Begriff enthält keine Kriterien zu entsprechen, so wird standardmäßig, es ist für den gesamten Verkehr angewendet, die die erste Frist fehl:
[Bearbeiten Firewall] fred @ Router # set Filter Limit-ssh-telnet Begriff Block-all-else Begriff ablehnen
Sie sollten gescheiterte Versuche verfolgen den Router zugreifen, so dass Sie, ob eine abgestimmte Angriff im Gange bestimmen kann. Das Block-all-else Begriff zählt die Anzahl der fehlgeschlagenen Zugriffsversuchen. Der erste Befehl in dem nächsten Beispiel verfolgt diese Versuche in einem Zähler benannt bad-Zugang, Protokollierung des Pakets und Informationen an den Syslog-Prozess sendet.
[Bearbeiten Firewall] fred @ Router # set Filter Limit-ssh-telnet Begriff Block-all-else Begriff countbad-Zugang [Bearbeiten Firewall] fred @ Router # set Filter Limit-ssh-telnet Begriff Block-all-else Begriff Zählung log [ bearbeiten Firewall] fred @ Router # set Filter Limit-ssh-telnet Begriff Block-all-else Begriff Zählung syslog
Erstellen eines Filters ist die Hälfte der Prozess. Die zweite Hälfte ist es auf eine Router-Schnittstelle anzuwenden, in diesem Fall auf die Loopback-Schnittstelle des Routers, lo0:
[Bearbeiten Schnittstellen] fred @ Router # set lo0 Einheit 0 Familie inet Filtereingabegrenze-ssh-telnet
Sie wenden den Filter als Eingangsfilter, das bedeutet, dass die JUNOS es auf alle eingehenden Datenverkehr gilt für die Steuerebene bestimmt.