Kontroll SSH og Telnet Access til Junos Routers - dummies

SSH og Telnet er de to vanligste måtene for brukere å få tilgang til ruteren. Begge krever passordautentisering, enten via en konto konfigurert på ruteren eller et kontosett på en sentralisert godkjenningsserver, for eksempel en RADIUS-server. Selv med et passord, er Telnet-økter iboende usikre, og SSH kan bli angrepet av brute force-forsøk på å gjette passord.

Du begrenser SSH og Telnet-tilgang ved å opprette et brannmurfilter som regulerer trafikken på et bestemt grensesnitt, bestemmer hva du skal tillate og hva du skal kaste bort. Opprette et filter er en todelt prosess:

1. Du definerer filtreringsdetaljer.

2. Du bruker filteret til et rutefrensesnitt.

Når du vil styre tilgangen til ruteren, trenger du normalt å bruke disse begrensningene til hvert grensesnitt, da ruteren kan kontaktes via et hvilket som helst grensesnitt. Men for å gjøre det enklere, kan Junos OS bruke firewall-filtre til loopback (lo0) grensesnittet.

Brannmurfiltre som er brukt på lo0-grensesnittet, påvirker all trafikk som er bestemt til ruterenes kontrollplan, uavhengig av grensesnittet som pakken ankom. For å begrense SSH og Telnet tilgang til ruteren, bruker du filteret til lo0-grensesnittet.

Filteret som vises i den følgende prosessen kalles grense-ssh-telnet , , og den har to deler eller vilkår. Junos OS evaluerer de to begrepene i rekkefølge. Trafikk som samsvarer med første sikt behandles umiddelbart, og trafikk som feiler evalueres av andre sikt. Slik fungerer prosessen:

1. Den første termen, limit-ssh-telnet, ser etter SSH- og Telnet-tilgangsforsøk bare fra enheter på 192. 168. 0. 1/24 subnetwork.

   Pakker vil bare matche dette begrepet hvis IP-header inkluderer en destinasjonsadresse fra 192. 168. 0. 1/24 prefiks, IP-header viser at pakken er en TCP-pakke, og TCP-pakkehodet viser at trafikken er ledet etter SSH eller Telnet destinasjonsportene.

   Hvis alle disse kriteriene er oppfylt, er filterets handling å akseptere tilgangsforsøk og trafikk:

   [rediger brannmur] fred @ router # sett filtergrense-ssh-telnet termen tilgangsperiode fra kildeadresse 192. 168. 0. 1/24 [rediger brannmur] fred @ router # sett filter grense-ssh-telnet termen tilgangsperiode fra protokoll tcp [rediger brannmur] fred @ router # sett filter grense-ssh-telnet termen tilgangsperiode fra destinasjon -port [ssh telnet] [rediger brannmur] fred @ router # sett filter grense-ssh-telnet termen tilgangstid og godta deretter
   

2. Den andre termen, kalt blokk-alt-annet, blokkerer all trafikk som ikke oppfyller kriteriene i trinn 1.

   Du kan gjøre dette trinnet med en grunnleggende avvisningskommando. Denne termen inneholder ingen kriterier for å matche, slik at den som standard brukes til all trafikk som mislykkes første term:

   [rediger brannmur] fred @ router # sett filtergrense-ssh-telnet term blokk
   

Du bør følge mislykkede forsøk på å få tilgang til ruteren, slik at du kan avgjøre om et samordnet angrep er i gang. Blokk-alt-annet termen teller antall mislykkede tilgangsforsøk. Den første kommandoen i det neste eksemplet holder styr på disse forsøkene i en teller som heter dårlig tilgang, logger pakken og sender informasjon til syslog-prosessen.

[rediger brannmur] fred @ router # sett filter grense-ssh-telnet term blokk-alt annet termen telle dårlig tilgang [rediger brannmur] fred @ router # sett filter grense-ssh-telnet term block-all-else Term count log [rediger brannmur] fred @ router # sett filter grense-ssh-telnet term blokk-alt annet term count syslog

Opprette et filter er halvparten av prosessen. Den andre halvdelen er å bruke den til et rutergrensesnitt, i dette tilfellet til rutens loopback-grensesnitt, lo0:

[rediger grensesnitt] fred @ router # sett lo0 enhet 0 familieinngangsfilterinngang grense-ssh-telnet

Du bruker filteret som et inngangsfilter, noe som betyr at Junos OS bruker det til all innkommende trafikk bestemt til kontrollplanet.