Video: HP Switch - VLAN Configuration (Command-line interface) 2024
SSH en Telnet zijn de twee gebruikelijke manieren waarop gebruikers toegang krijgen tot de router. Beide vereisen wachtwoordverificatie, hetzij via een account dat op de router is geconfigureerd, hetzij een account ingesteld op een gecentraliseerde authenticatieserver, zoals een RADIUS-server. Zelfs met een wachtwoord zijn Telnet-sessies inherent onveilig en kan SSH worden aangevallen door pogingen met brute kracht om wachtwoorden te raden.
U beperkt SSH- en Telnet-toegang door een firewallfilter te maken, dat het verkeer op een specifieke interface regelt, bepaalt wat moet worden toegestaan en wat moet worden weggegooid. Een filter maken is een proces in twee delen:
-
U definieert de filtergegevens.
-
U past het filter toe op een routerinterface.
Als u nu de toegang tot de router wilt regelen, moet u deze beperkingen normaal gesproken toepassen op elke interface, omdat u via elke interface contact kunt opnemen met de router. Om het je echter gemakkelijker te maken, kun je met Junos OS firewall-filters toepassen op de loopback-interface (lo0).
Firewall-filters toegepast op de lo0-interface beïnvloeden alle verkeer dat is bestemd voor het besturingsvlak van de router, ongeacht de interface waarop het pakket is aangekomen. Dus om de SSH- en Telnet-toegang tot de router te beperken, past u het filter toe op de lo0-interface.
Het filter dat wordt weergegeven in het volgende proces wordt limit-ssh-telnet , genoemd en heeft twee delen of termen. Het Junos-besturingssysteem evalueert achtereenvolgens de twee termen. Verkeer dat overeenkomt met de eerste termijn, wordt onmiddellijk verwerkt en verkeer dat faalt, wordt geëvalueerd door de tweede term. Hier is hoe het proces werkt:
-
De eerste term, limit-ssh-telnet, zoekt alleen naar SSH- en Telnet-toegangspogingen van apparaten op het 192. 168. 0. 1/24 subnetwerk.
Pakketten komen alleen overeen met deze term als de IP-header een bestemmingsadres van 192 bevat. Voorvoegsel 168. 0. 1/24, de IP-header geeft aan dat het pakket een TCP-pakket is en dat de TCP-pakketkop aangeeft dat verkeer is op weg naar de bestemmingshavens van SSH of Telnet.
Als aan al deze criteria is voldaan, is de actie van het filter om de toegangspoging en het verkeer te accepteren:
[firewall bewerken] fred @ router # filterlimiet instellen-ssh-telnet term-toegangstermijn vanaf bronadres 192. 168. 0. 1/24 [bewerk firewall] fred @ router # stel filterlimiet in - ssh-telnet term toegangstermijn van protocol tcp [bewerk firewall] fred @ router # stel filter limiet in - ssh-telnet term toegangsperiode van bestemming -port [ssh telnet] [bewerk firewall] fred @ router # stel filterlimiet in - ssh-telnet term toegangsperiode en accepteer
-
De tweede term, block-all-else genaamd, blokkeert alle verkeer dat niet voldoet aan de criteria in stap 1.
U kunt deze stap uitvoeren met een eenvoudige weigeropdracht. Deze term bevat geen overeenkomende criteria, dus wordt deze standaard toegepast op alle verkeer dat de eerste term niet haalt:
[firewall bewerken] fred @ router # filterbeperking instellen-ssh-telnet term blokkeren-alle-else term weigeren
U moet de mislukte pogingen om toegang te krijgen tot de router volgen, zodat u kunt bepalen of een gecoördineerde aanval onderweg is. De Block-All-else-term telt het aantal mislukte toegangspogingen. De eerste opdracht in het volgende voorbeeld houdt deze pogingen bij in een teller met de naam slechte toegang, het loggen van het pakket en het verzenden van informatie naar het syslog-proces.
[bewerk firewall] fred @ router # set filter limiet-ssh-telnet term block-all-else term count slechte toegang [edit firewall] fred @ router # set filter limiet-ssh-telnet term block-all-else term count log [edit firewall] fred @ router # set filter limiet-ssh-telnet term block-all-else term count syslog
Het maken van een filter is de helft van het proces. De tweede helft moet worden toegepast op een routerinterface, in dit geval op de loopback-interface van de router, lo0:
[bewerk interfaces] fred @ router # set lo0 unit 0 familie inet filterinvoerlimiet-ssh-telnet
U past het filter toe als een invoerfilter, wat betekent dat het Junos-besturingssysteem het toepast op al het inkomende verkeer dat is bestemd voor het besturingsvlak.