Cómo proteger a los Junos motor de enrutamiento

Aunque todas las interfaces son importantes, el bucle de retorno (lo0) Interfaz es tal vez el más importante porque es el vínculo con el motor de enrutamiento, que se ejecuta y supervisa todos los protocolos de enrutamiento. Este artículo proporciona el esqueleto de un filtro de firewall que protege el motor de enrutamiento. Puede utilizar este ejemplo como modelo para diseñar el filtro adecuado para su router. El filtro se aplica a los del enrutador lo0 interfaz.

Este filtro es para un router configurado para una configuración común IPv4:

  • IPv4

  • BGP e IS-IS protocolos de enrutamiento

  • RADIUS, SSH, Telnet y acceso

  • SNMP acceso NMS

  • NTP

Debido a que los filtros de firewall se evalúan en orden, colocar la mayor cantidad de elementos críticos en el tiempo - los protocolos de enrutamiento - primero. Acepta el tráfico de sus conocidos BGP compañeros y de los vecinos IS-IS conocidos con el AS utilizando el siguiente conjunto comandos:

[editar filtro de firewall de enrutamiento motor] ajustado plazo BGP-filtro de la fuente de dirección peer-address1término conjunto bgp-filtro de la fuente de dirección peer-address2establecer plazo BGP-filtro del protocolo tcpset plazo BGP-filtro del puerto bgpset plazo BGP-filtro y luego aceptar

Luego aceptar tráfico DNS (para la resolución de nombre de host):

[editar firewall-filtro de enrutamiento motor] ajustado plazo dns-filtro de la fuente de dirección dirección de redestablecer plazo dns-filtro del protocolo [tcp udp] ajustado plazo dns-filtro del puerto domainset plazo dns-filtro y luego aceptar

A continuación, aceptar RADIUS, SSH, Telnet y SNMP NMS tráfico:

[editar firewall-filtro de enrutamiento motor] ajustado plazo radio-filtro de la fuente de dirección radius-server-address1plazo determinado radio de filtro de la fuente de dirección radius-server-address2establecer plazo radio-filtro de la fuente de puertos radiusset término radio-filtro entonces acceptset plazo ssh-telnet-filtro de la fuente de dirección red-address1conjunto de términos ssh-telnet-filtro de la fuente de dirección red-address2establecer plazo ssh-telnet-filtro del protocolo tcpset plazo ssh-telnet-filtro de destino puertos [telnet ssh] ajustado plazo ssh-telnet-filtro entonces acceptset plazo snmp-filtro de la fuente de dirección red-address1término set snmp-filtro de la fuente de dirección red-address2establecer plazo snmp-filtro del protocolo udpset plazo snmp-filtro de destino puertos snmpset plazo snmp-filtro y luego aceptar

El último tránsito de aceptar es de los servidores de tiempo NTP y el protocolo ICMP (que envía mensajes de error IPv4):

[editar firewall-filtro de enrutamiento motor] fija plazo NTP-filtro de la fuente de dirección server-address1término set ntp-filtro de la fuente de dirección server-address2término set ntp-filtro de la fuente de dirección 127.0.0.1establecer plazo NTP-filtro del protocolo udpset plazo NTP-filtro del puerto ntpset plazo NTP-filtro entonces acceptset plazo icmp-filtro del protocolo icmpset plazo icmp-filtro del tipo ICMP [solicitud de eco-eco-respuesta inalcanzable fuente de enfriamiento de tiempo superado ] ajustado plazo icmp-filtro y luego aceptar

La parte final del filtro descarta explícitamente el resto del tráfico:

[editar firewall-filtro de enrutamiento motor] ajustado plazo de descartes-la-reposo luego contar la lucha contra el nombre del archivoestablecer plazo descarte-la-resto continuación LOGSET plazo descarte-la-resto continuación plazo syslogset descarte-el-resto luego rechazan

Es necesario crear el archivo en el que colocar los mensajes syslog:

[sistema de editar] fred @ enrutador # configurar el archivo syslog Nombre del archivo firewall cualquiera

Y por último, aplicar el filtro de firewall para interfaz loopback del router:

[editar] interfaces de fred @ enrutador # set unidad lo0 entrada del filtro inet enrutamiento motor 0 familia



» » » » Cómo proteger a los Junos motor de enrutamiento