Ssh de contrôle et l'accès Telnet aux routeurs Junos
SSH et Telnet sont les deux façons courantes pour les utilisateurs d'accéder au routeur. Les deux nécessitent une authentification par mot de passe, soit par le biais d'un compte configuré sur le routeur ou créé un compte sur un serveur d'authentification centralisée, comme un serveur RADIUS. Même avec un mot de passe, les sessions Telnet sont intrinsèquement précaire, et SSH peuvent être attaqués par force brute tente de deviner les mots de passe.
Vous limitez l'accès SSH et Telnet en créant un filtre pare-feu, qui régule le trafic sur une interface spécifique, décider ce que pour permettre et ce qu'il faut jeter. Création d'un filtre est un processus en deux parties:
Vous définissez les détails de filtrage.
Vous appliquez le filtre à une interface de routeur.
Maintenant, lorsque vous souhaitez contrôler l'accès au routeur, vous auriez normalement besoin d'appliquer ces restrictions à chaque interface que le routeur peut être contacté par aucune interface. Toutefois, pour faciliter les choses, Junos OS vous permet d'appliquer des filtres de pare-feu à l'bouclage (lo0) interface.
Pare-feu filtre appliqués à la lo0 Interface affecte tout le trafic destiné à l'avion de commande du routeur, indépendamment de l'interface sur laquelle le paquet est arrivé. Donc, pour limiter l'accès SSH et Telnet au routeur, vous appliquez le filtre à la lo0 interface.
Le filtre représenté sur la procédure suivante est appelée limite-ssh-telnet, et il comporte deux parties, ou des termes. Le système d'exploitation Junos évalue les deux termes séquentiellement. Le trafic qui correspond au premier terme est traitée immédiatement, et le trafic qui échoue est évaluée par le second terme. Voilà comment fonctionne le processus:
Le premier terme, limite-ssh-telnet, semble pour l'accès SSH et Telnet tentatives seulement de dispositifs sur le sous-réseau 192.168.0.1/24.
Les paquets seront correspondre à ce terme que si l'en-tête IP comprend une adresse de destination à partir du préfixe 192.168.0.1/24, l'en-tête IP montre le paquet est un paquet TCP, et l'en-tête de paquet TCP montre que le trafic est dirigé pour le SSH ou de destination Telnet ports.
Si tous ces critères sont respectés, l'action du filtre est d'accepter la tentative d'accès et de la circulation:
[modifier pare-feu] fred @ routeur # set filtre terme limite-ssh-telnet accès terme fromsource adresse 192.168.0.1/24[edit pare-feu] fred @ routeur # set filtre limite-ssh-telnet terme fromprotocol accès terme tcp [edit pare-feu] fred @ routeur # set filtre terme limite-ssh-telnet accès terme fromdestination-port [ssh telnet] [modifier pare-feu] fred @ routeur # set filtre limite-ssh-telnet terme accès terme puis accepte
Le second terme, appelé bloc-tout-le monde, bloque tout le trafic qui ne répond pas aux critères de l'étape 1.
Vous pouvez faire cette étape avec une base rejeter commande. Ce terme ne contient pas de critères pour correspondre, donc, par défaut, elle est appliquée à tout le trafic qui échoue le premier terme:
[modifier pare-feu] fred @ routeur # set filtre terme limite-ssh-telnet bloc tout autre terme de rejet
Vous devriez suivre les tentatives infructueuses pour accéder au routeur de sorte que vous pouvez déterminer si une attaque concertée est en cours. La bloc-tout-le monde terme compte le nombre de tentatives d'accès infructueuses. La première commande dans l'exemple suivant conserve la trace de ces tentatives dans un compteur nommé bad-accès, connectant le paquet, et l'envoi d'informations au processus syslog.
[modifier pare-feu] fred @ routeur # set filtre terme limite-ssh-telnet bloc tout autre terme countbad accès [modifier pare-feu] fred @ routeur # set filtre terme limite-ssh-telnet bloc tout autre compte terme log [ modifier pare-feu] fred @ routeur # set filtre terme limite-ssh-telnet comptage bloc tout autre terme syslog
Création d'un filtre est la moitié du processus. La deuxième moitié est de l'appliquer à une interface de routeur, en l'espèce à l'interface de bouclage du routeur, lo0:
[modifier] interfaces fred @ routeur # ensemble de l'unité de la famille lo0 0 entrée du filtre inet limite-ssh-telnet
Vous appliquez le filtre comme un filtre d'entrée, ce qui signifie que le système d'exploitation Junos l'applique à tout le trafic entrant destiné au plan de contrôle.
-
Configurer les interfaces de gestion et de bouclage - Comment accéder aux périphériques Junos avec ssh
- Comment accéder aux périphériques Junos avec Telnet
- Comment appliquer une politique de routage à toute circulation en utilisant Junos
- Comment concevoir un filtre pare-feu junos
- Comment faire pour déterminer qui fait quoi sur votre routeur junos
Comment limiter le trafic sur les interfaces du routeur Junos Afin de contrecarrer un type de déni de service (DoS) sur votre routeur Junos, vous pouvez utiliser policers Junos pour dire au routeur quoi faire pour limiter l'impact d'une telle attaque.Certaines attaques DoS sur des routeurs fonctionnent en…
Comment faire correspondre le trafic en fonction en utilisant des classificateurs multichamps dans junos Multifield (MF) classificateurs examiner l'en-tête du paquet et sur la base des contenus qui y sont, attribuer le paquet à une classe de transfert. Contrairement comportement global (BA) classificateurs, classificateurs MF examinent plus que les…
Comment prévenir la famine file d'attente sur les routeurs Junos Pour empêcher la famine de vos autres files d'attente, vous pouvez configurer un policer sortant qui définit une limite pour la quantité de trafic de la file d'attente peut desservir.Avec priorité stricte Queuing configuré, vos paquets de voix…
Comment protéger les Junos moteur de routage Bien que toutes les interfaces sont importantes, le bouclage (lo0) Interface est peut-être le plus important car il est le lien vers le moteur de routage, qui gère et surveille tous les protocoles de routage. Cet article fournit le squelette d'un…
Comment sécuriser les protocoles de routage Junos Une façon de protéger les protocoles de routage est de permettre l'authentification de sorte que les protocoles acceptent uniquement le trafic des routeurs connus de vous. Cette approche garantit que les routeurs de confiance uniquement…
Comment mettre en place dans la bande de gestion à distance sur les appareils Junos Pour la gestion à distance dans la bande, vous devez d'abord décider quelle interface vous voulez que votre interface de gestion. Généralement, le trafic de gestion ne soit pas excessive, ou même substantielle, donc choisir l'une des interfaces…
Comment serrer le mot de passe sur junos login root Lors de la configuration initiale d'un nouveau routeur, vous définissez le mot de passe root comme un mot de passe en texte clair. Parce que l'utilisateur root est capable d'effectuer toutes opérations sur le routeur, restreignant l'accès au…
Comment utiliser les préfixes de route pour créer des filtres de routage dans junos Le but fondamental des politiques de routage est d'empêcher certaines routes d'être soit acceptée dans votre table de routage ou annoncés à un routeur adjacent. Parfois, correspondant à des itinéraires spécifiques ou un ensemble de routes…
Les paramètres de sécurité par défaut Junos Junos OS dispose d'un certain nombre de comportements par défaut qui contribuent à la sécurité, le routeur comportements qui prennent effet immédiatement une fois que vous effectuez la configuration initiale du routeur.Routeur d'accès: Par…
Cisco Networking: mode de fonctionnement de exec utilisateur Lorsque vous vous connectez premier à un routeur de réseau Cisco, un commutateur ou un pare-feu, l'invite initiale indiquera que vous êtes en mode d'exploitation User EXEC. La première invite ressemblera le texte suivant (mais gardez à l'esprit…
Pare-feu de réseau: l'entrée et la sortie de filtrage La plupart des pare-feu agissent comme gardiens de réseaux ou segments de réseau et existent dans une position où un routeur existerait et gère entrée et la sortie des données. En fait, si l'ensemble de la fonction a été activée, votre…
Réseau routeur activation Il peut sembler étrange, mais lorsque vous activez premier routeur de votre réseau et de configurer les adresses IP pour ses interfaces, le routeur ne sera pas réellement données de route. D'abord, vous devez «dire» le routeur, il…
Assistant de configuration du routeur fonctionnant Quand un routeur bottes pour la première fois, il passe automatiquement en configuration. Si votre routeur ne fonctionne pas, vous avez la possibilité de lancer l'installation du mode privilégié. Voici la configuration de processus de base en…
Comment mettre en place un routeur avec un pare-feu Si vous êtes un utilisateur Internet haut débit, la meilleure façon de garder les logiciels malveillants sur votre ordinateur est de mettre en place un pare-feu matériel. UN matériel pare-feu est un gadget électronique installé entre le modem…