Ssh controle e acesso telnet para routers junos
SSH e Telnet são as duas maneiras comuns para usuários de acessar o roteador. Ambos exigem autenticação de senha, seja através de uma conta configurada no roteador ou uma conta definida em um servidor de autenticação centralizada, tal como um servidor RADIUS. Mesmo com uma senha, sessões Telnet são inerentemente inseguros, e SSH podem ser atacados por tentativas de força bruta para adivinhar senhas.
Você restringir SSH e acesso Telnet através da criação de um filtro de firewall, que regula o tráfego em uma interface específica, decidir o que permitir eo que descartar. Criando um filtro é um processo em duas partes:
Você define os detalhes de filtragem.
Você aplicar o filtro a uma interface de roteador.
Agora, quando você deseja controlar o acesso ao roteador, você normalmente precisa aplicar essas restrições para cada interface que o roteador pode ser contactado através de qualquer interface. No entanto, para facilitar as coisas, Junos OS permite aplicar filtros de firewall para o auto-retorno (lo0) interface.
filtros de firewall aplicada ao lo0 interface de afetar todo o tráfego destinado ao plano de controle do roteador, independentemente da interface em que o pacote chegou. Então, para limitar SSH e acesso Telnet para o roteador, você aplicar o filtro para o lo0 interface.
O filtro mostrado na seguinte processo é chamado limite-ssh-telnet, e tem duas partes, ou termos. O Junos OS avalia a dois termos sequencialmente. O tráfego que corresponde ao primeiro termo é processado imediatamente, e o tráfego que não é avaliado pelo segundo mandato. Eis como funciona o processo:
O primeiro termo, limite-ssh-telnet, procura por SSH e acesso Telnet tentativas única de dispositivos na 192.168.0.1/24 sub-rede.
Pacotes irá corresponder a esse termo só se o cabeçalho IP inclui um endereço de destino do 192.168.0.1/24 prefixo, o cabeçalho IP mostra o pacote é um pacote TCP, eo cabeçalho do pacote TCP mostra que o tráfego é dirigido para o SSH ou o destino Telnet portos.
Se todos esses critérios forem cumpridos, a ação do filtro é aceitar a tentativa de acesso e tráfego:
[Editar firewall] fred @ router filtro # set prazo limite-ssh-telnet acesso prazo fromsource-address firewall 192.168.0.1/24[edit] fred @ router filtro # set limite-ssh-telnet termo acesso prazo fromprotocol tcp [editar firewall] fred @ router filtro # set prazo limite-ssh-telnet acesso prazo fromdestination-porta [ssh telnet] [editar firewall] fred @ router filtro # set limite-ssh-telnet termo acesso prazo, então, aceitar
O segundo termo, chamado block-tudo-else, bloqueia todo o tráfego que não cumpre os critérios na etapa 1.
Você pode fazer esta etapa com um básica rejeitar comando. Este termo não contém critérios para combinar, assim, por padrão, é aplicada a todo o tráfego que não passar no primeiro mandato:
[Editar firewall] fred @ router # conjunto de filtros prazo limite-ssh-telnet block-tudo-else prazo rejeitar
Você deve monitorar tentativas falhadas para acessar o roteador para que você possa determinar se um ataque concertado está em andamento. o block-tudo-else prazo conta o número de tentativas de acesso falhadas. O primeiro comando no próximo exemplo mantém registro dessas tentativas em um contador chamado bad-acesso, registrar o pacote e enviar informações para o processo syslog.
[Editar firewall] fred @ router # conjunto de filtros prazo limite-ssh-telnet block-tudo-else prazo countbad de acesso [editar firewall] log prazo limite-ssh-telnet block-tudo-else contagem de prazo router filtro # set fred @ [ editar firewall] fred @ router # conjunto de filtros prazo limite-ssh-telnet contagem de bloco-tudo-else prazo syslog
Criando um filtro é metade do processo. A segunda metade é aplicá-lo a uma interface de roteador, neste caso, a interface loopback do roteador, lo0:
[editar] interfaces de fred @ router # conjunto de unidades lo0 0 família entrada do filtro inet limite-ssh-telnet
Você aplicar o filtro como um filtro de entrada, o que significa que o sistema operacional Junos aplica a todo o tráfego de entrada destinado ao plano de controle.