Kontroll SSH och Telnet Access till Junos Routers - dummies

SSH och Telnet är de två vanliga sätten för användarna att komma åt routern. Båda kräver lösenordsautentisering, antingen via ett konto som är konfigurerat på routern eller en kontosats på en centraliserad autentiseringsserver, till exempel en RADIUS-server. Även med ett lösenord är Telnet-sessioner i sig osäkra, och SSH kan attackeras av brutala kraftförsök att gissa lösenord.

Du begränsar SSH- och Telnet-åtkomst genom att skapa ett brandväggsfilter, som reglerar trafiken på ett visst gränssnitt, bestämmer vad som ska tillåtas och vad som ska kasseras. Skapa ett filter är en tvådelad process:

1. Du definierar filtreringsuppgifterna.

2. Du tillämpar filtret på ett router-gränssnitt.

När du vill styra åtkomst till routern behöver du normalt tillämpa begränsningarna på varje gränssnitt, eftersom routern kan kontaktas via vilket gränssnitt som helst. För att göra det enklare kan Junos OS du använda firewallfilter till loopback (lo0) gränssnittet.

Firewall-filter som appliceras på lo0-gränssnittet påverkar all trafik som är avsedd för routerns kontrollplan, oavsett gränssnittet på vilket paketet anlände. För att begränsa SSH och Telnet-åtkomst till routern, applicerar du filtret på lo0-gränssnittet.

Filtret som visas i följande process heter gräns-ssh-telnet , och har två delar eller termer. Junos OS utvärderar de två termen i följd. Trafik som matchar första termen behandlas omedelbart, och trafik som misslyckas utvärderas av andra terminen. Så här fungerar processen:

1. Den första termen, limit-ssh-telnet, letar efter SSH och Telnet-åtkomstförsök bara från enheter på 192. 168. 0. 1/24 subnetwork.

   Paket kommer bara att matcha den här termen om IP-rubriken innehåller en destinationsadress från 192. 168. 0. 1/24 prefix, IP-rubriken visar att paketet är ett TCP-paket och TCP-pakethuvudet visar att trafiken är ledde till SSH- eller Telnet-destinationsportarna.

   Om alla dessa kriterier är uppfyllda, är filterets åtgärd att acceptera åtkomstförsök och trafik:

   [edit firewall] fred @ router # set filter limit-ssh-telnet term access term från källadress 192. 168. 0. 1/24 [redigera brandvägg] fred @ router # set filtergräns-ssh-telnet term access-term från protokoll tcp [redigera brandvägg] fred @ router # set filtergräns-ssh-telnet term access term från destination -port [ssh telnet] [redigera brandvägg] fred @ router # set filtergräns-ssh-telnet term access-term och acceptera sedan
   

2. Den andra termen, kallad block-all-else, blockerar all trafik som inte uppfyller kriterierna i steg 1.

   Du kan göra detta steg med ett grundläggande avvisningskommando. Denna term innehåller inga kriterier för att matcha, så är den vanligtvis tillämpad på all trafik som misslyckas första termen:

   [redigera brandvägg] fred @ router # set filtergräns-ssh-telnet term block-allt annat term avvisa
   

Du bör spåra misslyckade försök att komma åt routern så att du kan avgöra om en samordnad attack är igång. Block-all-other termen räknar antalet misslyckade åtkomstförsök. Det första kommandot i nästa exempel håller reda på dessa försök i en räknare som heter dålig åtkomst, loggar paketet och skickar information till syslog-processen.

[redigera brandvägg] fred @ router # set filter gräns-ssh-telnet term block-allt annat term count fel tillgång [redigera brandvägg] fred @ router # set filter limit-ssh-telnet term block-all-else term count log [redigera brandvägg] fred @ router # set filtergräns-ssh-telnet term block-allt annat term count syslog

Skapa ett filter är hälften av processen. Den andra halvan är att tillämpa den på ett router-gränssnitt, i det här fallet till routerns loopback-gränssnitt, lo0:

[redigera gränssnitt] fred @ router # set lo0 unit 0 family inet filter input limit-ssh-telnet

Du tillämpar filtret som ett inmatningsfilter, vilket innebär att Junos OS tillämpar det på all inkommande trafik som är avsedd för kontrollplanet.