Controle SSH e Telnet O acesso ao Junos Routers
SSH e Telnet são as duas maneiras comuns para usuários de acessar o roteador. Ambos exigem autenticação de senha, seja através de uma conta configurada no roteador ou uma conta definida em um servidor de autenticação centralizada, tal como um servidor RADIUS. Mesmo com uma senha, sessões Telnet são inerentemente inseguros, e SSH podem ser atacados por tentativas de força bruta para adivinhar senhas.
Você restringir o SSH e acesso Telnet através da criação de um filtro de firewall, que regula o tráfego em uma interface específica, decidir o que permitem eo que descartar. Criando um filtro é um processo em duas partes:
Você define os detalhes de filtragem.
Você aplicar o filtro a uma interface de roteador.
Agora, quando você deseja controlar o acesso ao roteador, você normalmente precisa aplicar essas restrições para cada interface que o roteador pode ser contactado através de qualquer interface. No entanto, para facilitar as coisas, Junos OS permite aplicar filtros de firewall para o auto-retorno (lo0) interface.
filtros de firewall aplicada ao lo0 interface de afetar todo o tráfego destinado ao plano de controle do roteador, independentemente da interface na qual o pacote chegou. Então, para limitar SSH e acesso Telnet para o roteador, você aplicar o filtro para o lo0 interface.
O filtro mostrado na seguinte processo é chamado -limite ssh-telnet, e tem duas partes, ou termos. O Junos OS avalia a dois termos sequencialmente. O tráfego que corresponde ao primeiro termo é processado imediatamente e tráfego que não é avaliado pelo segundo mandato. Veja como funciona o processo:
O primeiro termo, -limite ssh-telnet, procura por SSH e acesso Telnet tentativas única de dispositivos no 192.168.0.1/24 sub-rede.
Pacotes irá corresponder a esse termo só se o cabeçalho IP inclui um endereço de destino do 192.168.0.1/24 prefixo, o cabeçalho IP mostra o pacote é um pacote TCP, eo cabeçalho do pacote TCP mostra que o tráfego é dirigido para o SSH ou o destino Telnet portos.
Se todos estes critérios forem cumpridos, a ação do filtro é aceitar a tentativa de acesso e tráfego:
[Editar firewall] fred @ router filtro # set prazo-limite ssh-telnet acesso prazo fromsource-address firewall 192.168.0.1/24[edit] fred @ router filtro # set-limite ssh-telnet termo acesso prazo fromprotocol tcp [editar firewall] fred @ router filtro # set prazo-limite ssh-telnet acesso prazo fromdestination-port [ssh telnet] [editar firewall] fred @ router filtro # set-limite ssh-telnet termo acesso prazo, então, aceitar
O segundo termo, chamado block-tudo-else, bloqueia todo o tráfego que não cumpre os critérios na etapa 1.
Você pode fazer esta etapa com uma base rejeitar comando. Este termo não contém critérios para combinar, assim, por padrão, é aplicada a todo o tráfego que não passar no primeiro mandato:
[Editar firewall] fred @ router # conjunto de filtros prazo-limite ssh-telnet block-tudo-else prazo rejeitar
Você deve monitorar tentativas fracassadas de acessar o roteador para que você possa determinar se um ataque concertado está em andamento. o block-tudo-else prazo conta o número de tentativas de acesso falhadas. O primeiro comando no próximo exemplo mantém o controle dessas tentativas em um contador nomeado bad-acesso, registrar o pacote e enviar informações para o processo syslog.
[Editar firewall] fred @ router # conjunto de filtros prazo-limite ssh-telnet block-tudo-else prazo countbad de acesso [editar firewall] log prazo-limite ssh-telnet block-tudo-else contagem de prazo roteador filtro # set fred @ [ editar firewall] fred @ router # conjunto de filtros prazo-limite ssh-telnet contagem de blocos-todo-else termo syslog
Criando um filtro é metade do processo. A segunda metade é aplicá-lo a uma interface de roteador, neste caso, a interface loopback do roteador, lo0:
[editar] interfaces de fred @ router # conjunto de unidades lo0 0 família entrada do filtro inet-limite ssh-telnet
Você aplicar o filtro como um filtro de entrada, o que significa que o sistema operacional Junos aplica a todo o tráfego de entrada destinado ao plano de controle.