Video: KOMPLETE KONTROL A-Series A49 unboxing and **NO DEMO**!? 2024
Kullanıcıların yönlendiriciye erişmek için SSH ve Telnet iki yaygın yolu vardır. Her ikisi de yönlendiricide yapılandırılmış bir hesapla veya RADIUS sunucusu gibi merkezi bir kimlik doğrulama sunucusundaki bir hesapla şifre doğrulamasını gerektirir. Bir şifreyle bile olsa, Telnet oturumları doğal olarak güvensizdir ve SSH, şifreleri tahmin etmek için kaba kuvvet girişimleri tarafından saldırıya maruz kalabilir.
SSH ve Telnet erişimini, belirli bir arabirimdeki trafiği düzenleyen bir güvenlik duvarı filtresi oluşturarak, nelerin izin verileceğine ve nelerin atılacağına karar vererek kısıtlıyorsunuz. Filtre oluşturmak iki parçalı bir işlemdir:
-
Filtreleme ayrıntılarını tanımlarsınız.
-
Filtreyi bir yönlendirici arayüzüne uygularsınız.
Şimdi, yönlendiriciye erişimi denetlemek istediğinizde, yönlendiriciye herhangi bir arabirim aracılığıyla erişilebileceğinden normalde bu kısıtlamaları her arabirime uygulamanız gerekir. Bununla birlikte, işleri kolaylaştırmak için Junos OS, geri döngü (lo0) arayüzüne güvenlik duvarı filtreleri uygulamanıza izin verir.
Lo0 arabirimine uygulanan güvenlik duvarı filtreleri, paketin geldiği arabirime bakılmaksızın yönlendiricinin denetim düzlemine yönlendirilen tüm trafiği etkiler. SSH'yi ve yönlendiriciye Telnet erişimi sınırlamak için filtreyi lo0 arayüzüne uygularsınız.
Aşağıdaki işlemde gösterilen filtre, limit-ssh-telnet , olarak adlandırılır ve iki bölümden oluşur. Junos OS bu iki terimi ardışık olarak değerlendirir. İlk terimle eşleşen trafik derhal işlenir ve başarısız olan trafik ikinci terim tarafından değerlendirilir. İşlem nasıl işliyor:
-
İlk terim olan limit-ssh-telnet, SSH ve Telnet erişim girişimleri için yalnızca 192. 168. 0. 1/24 alt ağdaki aygıtlardan arar.
Paketler bu terimi yalnızca, IP başlığı 192. 168. 0. 1/24 önekinden bir hedef adres içeriyorsa, IP üstbilgisi paketin bir TCP paketi olduğunu ve TCP paket başlığının trafik akışının SSH veya Telnet hedef portlarına yöneldi.
Tüm bu kriterlere uyulursa, filtrenin eylemi erişim girişimini ve trafiği kabul etmektir:
[güvenlik duvarı düzelt] fred @ router # set filter limit-ssh-telnet term erişim-terimi kaynak-adres 192. 168. 0. 1/24 [Düzenleme Güvenlik Duvarı] fred @ yönlendirici # filtre limiti-ssh-telnet termini protokolden erişim terimi tcp [edit firewall] fred @ router # filtre limit-ssh-telnet terimi erişim-terimi hedeften -port [ssh telnet] [güvenlik duvarı] fred @ router # set filtre limit-ssh-telnet terimi access-term kabul et
-
block-all-else adı verilen ikinci terim, ölçütleri karşılamayan tüm trafiği engeller Adım 1'de.
Bu adımı basit bir reddetme komutu ile yapabilirsiniz. Bu terim, eşleşme kriterleri içermediğinden, varsayılan olarak ilk teriminde başarısız olan tüm trafiklere uygulanır:
[güvenlik duvarı düzenle] fred @ router # filtre limiti-ssh-telnet terimi blok-all-else terimi reddet
Uyumlu bir saldırının devam edip etmediğini belirleyebilmeniz için yönlendiriciye erişim başarısız girişimlerini izlemelisiniz. Block-all-else terimi başarısız erişim girişimleri sayısını sayar. Bir sonraki örnekteki ilk komut, bu girişimleri kötü erişim adlı bir sayaçta izlemeyi, paketi günlüğe kaydetmeyi ve syslog işlemine bilgi göndermeyi sürdürür.
[güvenlik duvarı] fred @ yönlendirici # filtre sınırı-ssh-telnet terimi blok-all-else terim sayımı hatalı erişim [güvenlik duvarını düzenle] fred @ router # filtre limit-ssh-telnet terimi block-all-else term sayacı günlüğü [edit firewall] fred @ router # filtre limit-ssh-telnet terimi block-all-else terim sayımı syslog
Oluşturma işlemi yarısıdır. İkinci yarı, bir yöneltici arabirimine, bu durumda yönlendiricinin geri döngü arabirimine, lo0 uygulamaktır:
[arabirimleri düzenle] fred @ router # set lo0 birim 0 ailenin inet filtresi girişi limit-ssh-telnet
Filtreyi bir giriş filtresi olarak uygularsınız, yani Junos OS, onu kontrol düzlemine gönderilen tüm gelen trafiğe uygular.
