Video: Access to the console via AUX port 2025
angegriffen werden. SSH und Telnet sind die beiden gängigsten Wege für Benutzer, auf den Router zuzugreifen. Beide erfordern eine Kennwortauthentifizierung, entweder über ein Konto, das auf dem Router konfiguriert ist, oder ein Konto, das auf einem zentralisierten Authentifizierungsserver, z. B. einem RADIUS-Server, eingerichtet ist. Selbst mit einem Kennwort sind Telnet-Sitzungen von Natur aus unsicher, und SSH kann durch Brute-Force-Versuche, Kennwörter zu erraten, angegriffen werden.
Sie schränken den SSH- und Telnet-Zugriff ein, indem Sie einen Firewall-Filter erstellen, der den Datenverkehr auf einer bestimmten Schnittstelle regelt und entscheidet, was zugelassen und verworfen werden soll. Das Erstellen eines Filters ist ein zweiteiliger Prozess:
-
Sie definieren die Filterdetails.
-
Sie wenden den Filter auf eine Routerschnittstelle an.
Wenn Sie nun den Zugriff auf den Router kontrollieren möchten, müssen Sie diese Einschränkungen normalerweise auf jede Schnittstelle anwenden, da der Router über eine beliebige Schnittstelle angesprochen werden kann. Um dies zu vereinfachen, können Sie mit Junos OS Firewall-Filter auf die Loopback-Schnittstelle (lo0) anwenden.
Auf die lo0-Schnittstelle angewendete Firewall-Filter wirken sich auf den gesamten Datenverkehr aus, der für die Steuerungsebene des Routers bestimmt ist, unabhängig von der Schnittstelle, an der das Paket angekommen ist. Um SSH- und Telnet-Zugriff auf den Router zu beschränken, wenden Sie den Filter daher auf die lo0-Schnittstelle an.
Der Filter, der im folgenden Prozess gezeigt wird, heißt limit-ssh-telnet , und hat zwei Teile oder Terme. Das Junos-Betriebssystem wertet die beiden Begriffe sequenziell aus. Verkehr, der mit dem ersten Begriff übereinstimmt, wird sofort verarbeitet, und Datenverkehr, der fehlschlägt, wird vom zweiten Begriff ausgewertet. So funktioniert der Prozess:
-
Der erste Begriff, limit-ssh-telnet, sucht nach SSH- und Telnet-Zugriffsversuchen nur von Geräten im Teilnetz 192. 168. 0. 1/24.
Pakete werden mit diesem Begriff nur dann übereinstimmen, wenn der IP-Header eine Zieladresse aus dem 192. 168. 0. 1/24 Präfix enthält, der IP-Header zeigt, dass das Paket ein TCP-Paket ist und der TCP-Paket-Header zeigt, dass der Datenverkehr steuerte auf die Zielhäfen SSH oder Telnet zu.
Wenn alle diese Kriterien erfüllt sind, akzeptiert der Filter den Zugriffsversuch und den Datenverkehr:
[Firewall bearbeiten] fred @ router # set filter limit-ssh-telnet-Begriff access-term von der Quelladresse 192. 168. 0. 1/24 [edit firewall] fred @ router # set filter begrenzen-ssh-telnet begriff access-term von protokoll tcp [bearbeiten firewall] fred @ router # setzen filter begrenzen-ssh-telnet begriff access-term vom bestimmungsort -port [ssh telnet] [Firewall bearbeiten] fred @ router # Filter setzen limit-ssh-telnet Begriff access-term then accept
-
Der zweite Begriff, block-all-else genannt, blockiert den gesamten Datenverkehr, der die Kriterien nicht erfüllt in Schritt 1.
Sie können diesen Schritt mit einem einfachen Ablehnungsbefehl ausführen. Dieser Begriff enthält keine zu erfüllenden Kriterien. Standardmäßig wird er auf den gesamten Datenverkehr angewendet, der den ersten Begriff nicht erfüllt:
[Firewall bearbeiten] fred @ router # Festlegen des Filters limit-ssh-telnet Begriff block-all-else term reject
Sie sollten fehlgeschlagene Versuche verfolgen, auf den Router zuzugreifen, um festzustellen, ob ein konzertierter Angriff im Gange ist. Der Block-all-else-Begriff zählt die Anzahl der fehlgeschlagenen Zugriffsversuche. Der erste Befehl im nächsten Beispiel protokolliert diese Versuche in einem Zähler namens bad-access, protokolliert das Paket und sendet Informationen an den Syslog-Prozess.
[Firewall bearbeiten] fred @ router # Filter setzen limit-ssh-telnet Term block-all-else Begriff count bad-access [Firewall bearbeiten] fred @ router # Filter setzen limit-ssh-telnet Term block-all-else term count log [Firewall bearbeiten] fred @ router # Filter setzen limit-ssh-telnet Term block-all-else Begriff count syslog
Die Erstellung eines Filters ist der halbe Prozess. Die zweite Hälfte ist die Anwendung auf eine Router-Schnittstelle, in diesem Fall auf die Loopback-Schnittstelle des Routers. Lo0:
[Editierschnittstellen] fred @ router # set lo0 unit 0 Familie inet Filtereingabe limit-ssh-telnet
Sie wenden den Filter als Eingabefilter an, dh das Junos-Betriebssystem wendet es auf den gesamten eingehenden Datenverkehr an, der für die Steuerungsebene bestimmt ist.
