Comment protéger les Junos moteur de routage

Bien que toutes les interfaces sont importantes, le bouclage (lo0) Interface est peut-être le plus important car il est le lien vers le moteur de routage, qui gère et surveille tous les protocoles de routage. Cet article fournit le squelette d'un filtre firewall qui protège le moteur de routage. Vous pouvez utiliser cet exemple comme un modèle pour concevoir le filtre approprié pour votre routeur. Le filtre est appliqué au routeur de lo0 interface.

Ce filtre est un routeur configuré pour une installation commune IPv4:

  • IPv4

  • BGP et IS-IS protocoles de routage

  • RADIUS, SSH, Telnet et accès

  • Accès SNMP NMS

  • NTP

Parce que les filtres de pare-feu sont évalués dans l'ordre, placer le plus de temps critique éléments - les protocoles de routage - première. Accepter le trafic de vos pairs connus BGP et à partir connus les voisins IS-IS avec l'aide de l'AS suivant ensemble commandes:

[edit filtre de pare-feu de routage moteur] réglé terme BGP-filtre de la source d'adresse peer-address1terme ensemble BGP-filtre de la source d'adresse peer-adresse2mettre terme BGP-filtre du protocole tcpset terme BGP-filtre du port bgpset terme BGP-filtre puis accepte

Puis accepter le trafic DNS (pour la résolution de nom d'hôte):

[modifier pare-feu filtre routage moteur] réglé terme dns-filtre de la source d'adresse adresse réseaumettre terme dns-filtre du protocole [tcp udp] réglé terme dns-filtre du port domainset terme dns-filtre puis accepte

Suivant, acceptez RADIUS, SSH, Telnet et le trafic SNMP NMS:

[modifier pare-feu filtre routage moteur] réglé terme rayon-filtre de la source d'adresse radius-server-address1terme ensemble rayon-filtre de la source d'adresse radius-server-adresse2mettre terme rayon-filtre de la source ports radiusset terme rayon-filtre puis acceptset terme ssh-telnet-filtre de la source d'adresse réseau address1ensemble terme ssh-telnet-filtre de la source d'adresse réseau adresse2mettre terme ssh-telnet-filtre du protocole tcpset terme ssh-telnet-filtre de la destination-port [ssh telnet] réglé terme ssh-telnet-filtre puis acceptset terme snmp-filtre de la source d'adresse réseau address1terme ensemble snmp-filtre de la source d'adresse réseau adresse2mettre terme snmp-filtre du protocole udpset terme snmp-filtre de la destination port snmpset terme snmp-filtre alors accepter

Le dernier à accepter le trafic est à partir des serveurs de temps NTP et le protocole ICMP (qui envoie des messages d'erreur IPv4):

[modifier pare-feu filtre routage moteur] réglé terme NTP-filtre de la source d'adresse serveur address1terme ensemble NTP-filtre de la source d'adresse serveur adresse2terme ensemble NTP-filtre de la source d'adresse 127.0.0.1mettre terme NTP-filtre du protocole udpset terme NTP-filtre du port ntpset terme NTP-filtre puis acceptset terme ICMP-filtre du protocole icmpset terme ICMP-filtre de type ICMP [echo-request echo-reply inaccessible temps dépassé source trempe ] réglé terme ICMP-filtre puis accepte

La dernière partie du filtre rejette explicitement toute autre circulation:

[modifier pare-feu filtre routage moteur] réglé terme discard-le-reste donc compter contre-nommettre terme discard-le-reste alors LOGSET terme discard-le-reste alors terme syslogset discard-le-reste alors rejeter

Vous devez créer le fichier dans lequel placer les messages syslog:

[système de modifier] fred @ routeur # set fichier syslog nom de fichier pare-feu tout

Et enfin, appliquer le filtre pare-feu à l'interface de bouclage du routeur:

[modifier] interfaces fred @ routeur # ensemble de l'unité de la famille lo0 0 entrée du filtre inet-moteur de routage

» » » » Comment protéger les Junos moteur de routage