Ssh de contrôle et l'accès Telnet aux routeurs Junos

SSH et Telnet sont les deux façons courantes pour les utilisateurs d'accéder au routeur. Les deux nécessitent une authentification par mot de passe, soit par le biais d'un compte configuré sur le routeur ou créé un compte sur un serveur d'authentification centralisée, comme un serveur RADIUS. Même avec un mot de passe, les sessions Telnet sont intrinsèquement précaire, et SSH peuvent être attaqués par force brute tente de deviner les mots de passe.

Vous limitez l'accès SSH et Telnet en créant un filtre pare-feu, qui régule le trafic sur une interface spécifique, décider ce que pour permettre et ce qu'il faut jeter. Création d'un filtre est un processus en deux parties:

  1. Vous définissez les détails de filtrage.

  2. Vous appliquez le filtre à une interface de routeur.

Maintenant, lorsque vous souhaitez contrôler l'accès au routeur, vous auriez normalement besoin d'appliquer ces restrictions à chaque interface que le routeur peut être contacté par aucune interface. Toutefois, pour faciliter les choses, Junos OS vous permet d'appliquer des filtres de pare-feu à l'bouclage (lo0) interface.

Pare-feu filtre appliqués à la lo0 Interface affecte tout le trafic destiné à l'avion de commande du routeur, indépendamment de l'interface sur laquelle le paquet est arrivé. Donc, pour limiter l'accès SSH et Telnet au routeur, vous appliquez le filtre à la lo0 interface.

Le filtre représenté sur la procédure suivante est appelée limite-ssh-telnet, et il comporte deux parties, ou des termes. Le système d'exploitation Junos évalue les deux termes séquentiellement. Le trafic qui correspond au premier terme est traitée immédiatement, et le trafic qui échoue est évaluée par le second terme. Voilà comment fonctionne le processus:

  1. Le premier terme, limite-ssh-telnet, semble pour l'accès SSH et Telnet tentatives seulement de dispositifs sur le sous-réseau 192.168.0.1/24.

    Les paquets seront correspondre à ce terme que si l'en-tête IP comprend une adresse de destination à partir du préfixe 192.168.0.1/24, l'en-tête IP montre le paquet est un paquet TCP, et l'en-tête de paquet TCP montre que le trafic est dirigé pour le SSH ou de destination Telnet ports.

    Si tous ces critères sont respectés, l'action du filtre est d'accepter la tentative d'accès et de la circulation:

    [modifier pare-feu] fred @ routeur # set filtre terme limite-ssh-telnet accès terme fromsource adresse 192.168.0.1/24[edit pare-feu] fred @ routeur # set filtre limite-ssh-telnet terme fromprotocol accès terme tcp [edit pare-feu] fred @ routeur # set filtre terme limite-ssh-telnet accès terme fromdestination-port [ssh telnet] [modifier pare-feu] fred @ routeur # set filtre limite-ssh-telnet terme accès terme puis accepte
  2. Le second terme, appelé bloc-tout-le monde, bloque tout le trafic qui ne répond pas aux critères de l'étape 1.

    Vous pouvez faire cette étape avec une base rejeter commande. Ce terme ne contient pas de critères pour correspondre, donc, par défaut, elle est appliquée à tout le trafic qui échoue le premier terme:


    [modifier pare-feu] fred @ routeur # set filtre terme limite-ssh-telnet bloc tout autre terme de rejet

Vous devriez suivre les tentatives infructueuses pour accéder au routeur de sorte que vous pouvez déterminer si une attaque concertée est en cours. La bloc-tout-le monde terme compte le nombre de tentatives d'accès infructueuses. La première commande dans l'exemple suivant conserve la trace de ces tentatives dans un compteur nommé bad-accès, connectant le paquet, et l'envoi d'informations au processus syslog.

[modifier pare-feu] fred @ routeur # set filtre terme limite-ssh-telnet bloc tout autre terme countbad accès [modifier pare-feu] fred @ routeur # set filtre terme limite-ssh-telnet bloc tout autre compte terme log [ modifier pare-feu] fred @ routeur # set filtre terme limite-ssh-telnet comptage bloc tout autre terme syslog

Création d'un filtre est la moitié du processus. La deuxième moitié est de l'appliquer à une interface de routeur, en l'espèce à l'interface de bouclage du routeur, lo0:

[modifier] interfaces fred @ routeur # ensemble de l'unité de la famille lo0 0 entrée du filtre inet limite-ssh-telnet 

Vous appliquez le filtre comme un filtre d'entrée, ce qui signifie que le système d'exploitation Junos l'applique à tout le trafic entrant destiné au plan de contrôle.


» » » » Ssh de contrôle et l'accès Telnet aux routeurs Junos