Ssh control y el acceso telnet a los routers Junos
SSH y Telnet son las dos formas más comunes de los usuarios para acceder al router. Ambos requieren autenticación de contraseña, ya sea a través de una cuenta configurada en el router o una cuenta configurada en el servidor de autenticación centralizado, como un servidor RADIUS. Incluso con una contraseña, sesiones de Telnet son inherentemente inseguro, y SSH pueden ser atacados por los intentos de fuerza bruta para adivinar contraseñas.
Restringir el acceso SSH y Telnet mediante la creación de un filtro de firewall, que regula el tráfico en una interfaz específica, decidir qué permitir y qué descartar. Creación de un filtro es un proceso de dos partes:
Usted define los detalles de filtrado.
Aplicar el filtro a una interfaz del router.
Ahora, cuando se quiere controlar el acceso al router, usted normalmente tiene que aplicar esas restricciones a cada interfaz que el router puede contactarse a través de cualquier interfaz. Sin embargo, para facilitar las cosas, Junos OS le permite aplicar filtros de cortafuegos para el bucle de retorno (lo0) interfaz.
Filtros de firewall aplicadas a la lo0 interfaz afecta a todo el tráfico destinado al plano de control del router, independientemente de la interfaz en la que llegó el paquete. Así que para limitar el acceso SSH y Telnet al router, se aplica el filtro a la lo0 interfaz.
El filtro se muestra en el siguiente proceso se llama límite ssh-telnet, y tiene dos partes, o términos. El sistema operativo Junos evalúa los dos términos de forma secuencial. El tráfico que coincide con el primer mandato se procesa de inmediato, y el tráfico que no es evaluado por el segundo término. Así es como funciona el proceso:
El primer término, límite ssh-telnet, busca SSH y Telnet intentos de acceso únicamente de los dispositivos de la subred 192.168.0.1/24.
Los paquetes coincidirán este término sólo si el encabezado IP incluye una dirección de destino del prefijo 192.168.0.1/24, la cabecera IP muestra el paquete es un paquete TCP, y la cabecera del paquete TCP muestra que el tráfico se dirigió a la SSH o Telnet destino puertos.
Si se cumplen todos estos criterios, la acción del filtro es aceptar el intento de acceso y el tráfico:
[editar firewall] fred @ enrutador filtro # set plazo límite ssh-telnet acceso plazo fromsource dirección firewall 192.168.0.1/24[edit] fred @ enrutador filtro # set límite ssh-telnet plazo fromprotocol acceso plazo tcp [editar firewall] fred @ enrutador filtro # set plazo límite ssh-telnet acceso plazo fromdestination puertos [telnet ssh] [editar firewall] fred @ enrutador filtro # set límite ssh-telnet término acceso plazo luego aceptar
El segundo término, denominado bloque de todos los demás, bloquea todo el tráfico que no cumple con los criterios en el paso 1.
Usted puede hacer este paso con un básico rechazar comandos. Este término no contiene criterios a la altura, por lo que, de forma predeterminada, que se aplica a todo el tráfico que no logra el primer término:
[editar firewall] fred @ enrutador # conjunto de filtros plazo límite ssh-telnet bloque todo lo demás término rechazan
Usted debe realizar un seguimiento de los intentos fallidos de acceso al router para que pueda determinar si un ataque concertado está en marcha. los bloque de todos los demás término cuenta el número de intentos de acceso fallidos. El primer comando en el ejemplo siguiente realiza un seguimiento de estos intentos en un contador de llamada mal de acceso, registrar el paquete, y el envío de información para el proceso de syslog.
[editar firewall] fred @ enrutador filtro # set plazo límite ssh-telnet bloque todo lo demás plazo countbad de acceso [editar firewall] fred @ enrutador filtro # set registro de bloqueos-todo-cosa recuento plazo plazo límite ssh-telnet [ editar firewall] fred @ enrutador # conjunto de filtros plazo límite ssh-telnet syslog recuento de bloques-todo-cosa plazo
Creación de un filtro es la mitad del proceso. El segundo medio es aplicarlo a una interfaz del router, en este caso a la interfaz loopback del router, lo0:
[editar] interfaces de fred @ enrutador # set unidad lo0 0 familiares entrada del filtro inet límite ssh-telnet
Se aplica el filtro como un filtro de entrada, lo que significa que el sistema operativo Junos lo aplica a todo el tráfico entrante destinado al plano de control.
-
Configure las interfaces de gestión y de bucle - Cómo acceder a los dispositivos Junos con ssh
- Cómo acceder a los dispositivos Junos con telnet
- Cómo aplicar una política de enrutamiento a todo el tráfico usando Junos
-
Cómo configurar el auto del siguiente salto en bgp Junos -
Cómo configurar LSP RSVP-señalado en los routers Junos
Cómo diseñar un filtro de firewall de Junos Para diseñar un filtro de firewall Junos correctamente, es necesario saber cómo Junos procesa los filtros. Hay dos consideraciones básicas a tener en cuenta para asegurar que los filtros de firewall Junos se comportan de la manera que usted…
Cómo determinar quién está haciendo qué en el router Junos Más de una persona puede conectarse a un router Juniper en un momento dado, ingresar, ya sea con un nombre de cuenta de usuario individual o con un nombre de grupo que es compartida por muchos usuarios. (Un ejemplo de una cuenta de grupo es raíz.)…
Cómo limitar el tráfico en las interfaces del router Junos Con el fin de impedir un tipo de denegación de servicio (DoS) en el router Junos, puede utilizar policers Junos para decirle al enrutador qué hacer para limitar el impacto de un ataque de ese tipo.Algunos ataques DoS en los routers funcionan…
Cómo hacer coincidir el tráfico en función utilizando clasificadores multicampo en Junos Multicampo (MF) clasificadores examinar la cabecera del paquete y en base a los contenidos del mismo, asignar el paquete a una clase de reenvío. A diferencia agregada comportamiento (BA) clasificadores, clasificadores MF examinan más que sólo los…
Cómo evitar el hambre de colas en los routers Junos Para evitar el hambre de sus otras colas, es posible que desee configurar un controlador de políticas de salida que define un límite para la cantidad de tráfico de la cola puede dar servicio.Con puesta en cola configurado prioridad estricta, sus…
Cómo proteger a los Junos motor de enrutamiento Aunque todas las interfaces son importantes, el bucle de retorno (lo0) Interfaz es tal vez el más importante porque es el vínculo con el motor de enrutamiento, que se ejecuta y supervisa todos los protocolos de enrutamiento. Este artículo…
¿Cómo asegurar los protocolos de enrutamiento Junos Una forma de proteger a los protocolos de enrutamiento es permitir la autenticación de modo que los protocolos de aceptar el tráfico sólo desde routers conocidos por usted. Este enfoque garantiza que los routers de confianza solamente contribuyen…
Cómo ajustar la contraseña en Junos raíz de inicio de sesión Durante la configuración inicial de un nuevo router, se establece la contraseña de root como una contraseña de texto sin formato. Debido a que el usuario root es capaz de realizar cualquier y todas las operaciones en el router, el endurecimiento…
Configuración de seguridad predeterminada Junos Junos OS tiene una serie de comportamientos predeterminados que contribuyen al router de seguridad, los comportamientos que tienen efecto inmediato una vez que se realice la configuración inicial del router.Acceso Router: Por defecto, la única…
Apilamiento de etiquetas en las redes MPLS Como los paquetes se enviarán en un marco etiqueta de conmutación, los routers MPLS encapsulan los paquetes con encabezados especiales llamadas etiquetas. Una etiqueta básicamente le dice al router que LSP que pertenece. El router puede entonces…
La creación de redes de Cisco: modo de funcionamiento ejecutivo de usuario La primera vez que se conecte a un enrutador de red Cisco, conmutador o servidor de seguridad, el símbolo inicial indicará que está en el modo de funcionamiento EXEC usuario. El mensaje inicial se verá como la siguiente (pero ten en cuenta que…
Cisco Networking: el uso de telnet Si usted necesita para administrar remotamente su switch Cisco, usted podrá elegir entre Telnet y Secure Shell (SSH). Hay peligros a través de Telnet, envía datos a través de la red en texto plano, lo que hace Telnet menos seguro en comparación…