Como proteger os junos mecanismo de roteamento

Apesar de todas as interfaces são importantes, o auto-retorno (lo0

) Interface é talvez o mais importante, pois é o link para o motor de encaminhamento, que corre e monitora todos os protocolos de roteamento. Este artigo fornece o esqueleto de um filtro de firewall que protege o mecanismo de roteamento. Você pode usar este exemplo como um modelo para projetar o filtro apropriado para o seu router. O filtro é aplicado ao router de lo0 interface.

Video: 03 Dicas de COMO PROTEGER A SUA REDE WiFi

Este filtro é para um roteador configurado para uma configuração comum IPv4:

  • IPv4

  • BGP e IS-IS protocolos de roteamento

  • RADIUS, SSH, e acesso Telnet

  • Acesso NMS SNMP

  • NTP

Video: Olhar Digital Descubra se seu roteador foi invadido e aprenda a se proteger

Como os filtros de firewall são avaliados em ordem, coloque os itens mais urgentes - os protocolos de roteamento - em primeiro lugar. Aceitar o tráfego de seus pares BGP conhecidos e dos conhecidos vizinhos IS-IS com o AS, usando a seguinte conjunto comandos:

[Editar filtro de firewall de roteamento-engine] definir prazo BGP-filtro de fonte endereço peer-endereço1set prazo BGP-filtro de fonte endereço peer-endereço2definido BGP-filtro termo do protocolo BGP tcpset termo-filtro de porta bgpset termo BGP-filtro, então, aceitar

Em seguida, aceitar o tráfego DNS (para a resolução de hostname):

Video: [JNCIA] Juniper - Inter-VLAN Routing



[Editar firewall de filtro de roteamento-engine] definir prazo dns-filtro de fonte endereço Endereço de rededefinido dns-filtro termo de protocolo [TCP UDP] definir termo dns-filtro de porta domainset termo dns-filtro, então, aceitar

Em seguida, aceitar RADIUS, SSH, Telnet e tráfego SNMP NMS:

[Editar firewall de filtro de roteamento-engine] definir prazo raio-filtro de fonte endereço raio-server-address1set termo raio-filtro de fonte endereço raio-server-address2definido termo raio-filtro de fonte-porta radiusset termo raio-filtro, em seguida, acceptset ssh-telnet-filtro termo de fonte-endereço rede de address1set prazo ssh-telnet-filtro de fonte endereço rede de address2definido ssh-telnet-filtro termo de protocolo tcpset termo ssh-telnet-filtro de destino-porta [ssh telnet] definir ssh-telnet-filtro termo então acceptset termo SNMP-filtro de fonte-endereço rede de address1set prazo snmp-filtro de fonte endereço rede de address2conjunto SNMP-filtro termo de protocolo SNMP udpset termo-filtro de destino-porta snmpset termo SNMP-filtro, então, aceitar

A última tráfego para aceitar é a partir dos servidores NTP tempo e do protocolo ICMP (que envia mensagens de erro IPv4):

[Editar firewall de filtro de roteamento-engine] definido ntp-filtro termo de fonte endereço server-address1set prazo ntp-filtro de fonte endereço server-address2set prazo ntp-filtro de fonte endereço 127.0.0.1definido NTP-filtro termo de protocolo udpset termo NTP-filtro de porta ntpset termo NTP-filtro, em seguida, acceptset ICMP-filtro termo de ICMP-filtro protocolo icmpset termo de ICMP do tipo [pedido eco-eco-resposta inacessível fonte de retardamento excedido-tempo ] definir termo ICMP-filtro, então, aceitar

A parte final do filtro descarta explicitamente todo o tráfego:

[Editar firewall de filtro de roteamento-engine] definido descarte-o-resto termo em seguida, contar contra-arquivodefinir descarte-o-resto prazo, então logset prazo descarte-o-resto em seguida, descarte-o-resto syslogset prazo, então rejeitar

Você precisa criar o arquivo no qual deseja colocar as mensagens syslog:

[Sistema de edição] fred @ router # definir arquivo syslog nome do arquivo firewall qualquer

E, por último, aplicar o filtro de firewall para interface loopback do roteador:

Video: 1ª Parte Protoclo de Roteamento

[editar] interfaces de fred @ router # conjunto de unidades lo0 0 família entrada do filtro inet roteamento-engine

Publicações relacionadas