Ssh control y el acceso telnet a los routers Junos
SSH y Telnet son las dos formas más comunes de los usuarios para acceder al router. Ambos requieren autenticación de contraseña, ya sea a través de una cuenta configurada en el router o una cuenta configurada en el servidor de autenticación centralizado, como un servidor RADIUS. Incluso con una contraseña, sesiones de Telnet son inherentemente inseguro, y SSH pueden ser atacados por los intentos de fuerza bruta para adivinar contraseñas.
Restringir el acceso SSH y Telnet mediante la creación de un filtro de firewall, que regula el tráfico en una interfaz específica, decidir qué permitir y qué descartar. Creación de un filtro es un proceso de dos partes:
Usted define los detalles de filtrado.
Aplicar el filtro a una interfaz del router.
Ahora, cuando se quiere controlar el acceso al router, usted normalmente tiene que aplicar esas restricciones a cada interfaz que el router puede contactarse a través de cualquier interfaz. Sin embargo, para facilitar las cosas, Junos OS le permite aplicar filtros de cortafuegos para el bucle de retorno (lo0) interfaz.
Filtros de firewall aplicadas a la lo0 interfaz afecta a todo el tráfico destinado al plano de control del router, independientemente de la interfaz en la que llegó el paquete. Así que para limitar el acceso SSH y Telnet al router, se aplica el filtro a la lo0 interfaz.
El filtro se muestra en el siguiente proceso se llama límite ssh-telnet, y tiene dos partes, o términos. El sistema operativo Junos evalúa los dos términos de forma secuencial. El tráfico que coincide con el primer mandato se procesa de inmediato, y el tráfico que no es evaluado por el segundo término. Así es como funciona el proceso:
El primer término, límite ssh-telnet, busca SSH y Telnet intentos de acceso únicamente de los dispositivos de la subred 192.168.0.1/24.
Los paquetes coincidirán este término sólo si el encabezado IP incluye una dirección de destino del prefijo 192.168.0.1/24, la cabecera IP muestra el paquete es un paquete TCP, y la cabecera del paquete TCP muestra que el tráfico se dirigió a la SSH o Telnet destino puertos.
Si se cumplen todos estos criterios, la acción del filtro es aceptar el intento de acceso y el tráfico:
[editar firewall] fred @ enrutador filtro # set plazo límite ssh-telnet acceso plazo fromsource dirección firewall 192.168.0.1/24[edit] fred @ enrutador filtro # set límite ssh-telnet plazo fromprotocol acceso plazo tcp [editar firewall] fred @ enrutador filtro # set plazo límite ssh-telnet acceso plazo fromdestination puertos [telnet ssh] [editar firewall] fred @ enrutador filtro # set límite ssh-telnet término acceso plazo luego aceptar
El segundo término, denominado bloque de todos los demás, bloquea todo el tráfico que no cumple con los criterios en el paso 1.
Usted puede hacer este paso con un básico rechazar comandos. Este término no contiene criterios a la altura, por lo que, de forma predeterminada, que se aplica a todo el tráfico que no logra el primer término:
[editar firewall] fred @ enrutador # conjunto de filtros plazo límite ssh-telnet bloque todo lo demás término rechazan
Usted debe realizar un seguimiento de los intentos fallidos de acceso al router para que pueda determinar si un ataque concertado está en marcha. los bloque de todos los demás término cuenta el número de intentos de acceso fallidos. El primer comando en el ejemplo siguiente realiza un seguimiento de estos intentos en un contador de llamada mal de acceso, registrar el paquete, y el envío de información para el proceso de syslog.
[editar firewall] fred @ enrutador filtro # set plazo límite ssh-telnet bloque todo lo demás plazo countbad de acceso [editar firewall] fred @ enrutador filtro # set registro de bloqueos-todo-cosa recuento plazo plazo límite ssh-telnet [ editar firewall] fred @ enrutador # conjunto de filtros plazo límite ssh-telnet syslog recuento de bloques-todo-cosa plazo
Creación de un filtro es la mitad del proceso. El segundo medio es aplicarlo a una interfaz del router, en este caso a la interfaz loopback del router, lo0:
[editar] interfaces de fred @ enrutador # set unidad lo0 0 familiares entrada del filtro inet límite ssh-telnet
Se aplica el filtro como un filtro de entrada, lo que significa que el sistema operativo Junos lo aplica a todo el tráfico entrante destinado al plano de control.