Video: Testing port connectivity with Telnet 2024
SSH og Telnet er de to almindelige måder, brugerne får adgang til routeren. Begge kræver adgangskodeautentificering enten via en konto konfigureret på routeren eller et kontosæt på en centraliseret godkendelsesserver, såsom en RADIUS-server. Selv med et kodeord er Telnet-sessioner iboende usikre, og SSH kan angribes af brute force forsøg på at gætte adgangskoder.
Du begrænser adgangen til SSH og Telnet ved at oprette et firewallfilter, der regulerer trafikken på en bestemt grænseflade, bestemmer hvad du skal tillade og hvad du skal afsætte. Oprettelse af et filter er en todelt proces:
-
Du definerer filtreringsoplysningerne.
-
Du bruger filteret til en router-grænseflade.
Når du vil styre adgangen til routeren, skal du normalt anvende disse begrænsninger på alle grænseflader, da routeren kan kontaktes via en hvilken som helst grænseflade. For at gøre tingene nemmere kan Junos OS du anvende firewall filtre til loopback (lo0) interface.
Firewall-filtre, der anvendes til lo0-grænsefladen, påvirker al trafik, der er bestemt til routers kontrolplan, uanset hvilken grænseflade der blev anbragt. For at begrænse SSH og Telnet adgang til routeren, skal du anvende filteret til lo0 interface.
Filteret, der vises i den følgende proces kaldes grænse-ssh-telnet , , og den har to dele eller vilkår. Junos OS evaluerer de to udtryk i rækkefølge. Trafik, der matcher første sigt, behandles straks, og trafik, der fejler, evalueres af andet sigt. Sådan fungerer processen:
-
Den første term, limit-ssh-telnet, søger SSH og Telnet adgangsforsøg kun fra enheder på 192. 168. 0. 1/24 subnetwork.
Pakker vil kun matche dette udtryk, hvis IP-overskriften indeholder en destinationsadresse fra 192. 168. 0. 1/24 prefixet, IP-header viser, at pakken er en TCP-pakke, og TCP-pakkeoverskriften viser, at trafikken er ledet efter SSH eller Telnet destinationsporte.
Hvis alle disse kriterier er opfyldt, er filterets handling at acceptere adgangsforsøg og trafik:
[edit firewall] fred @ router # sæt filtergrænse-ssh-telnet term adgangsperiode fra kildeadresse 192. 168. 0. 1/24 [edit firewall] fred @ router # sæt filtergrænse-ssh-telnet term adgangsperiode fra protokol tcp [rediger firewall] fred @ router # sæt filter grænse-ssh-telnet term adgangsperiode fra destination -port [ssh telnet] [rediger firewall] fred @ router # sæt filtergrænse-ssh-telnet term adgangsperiode så accepterer
-
Den anden betegnelse kaldes blok-all-else blokkerer al trafik, der ikke opfylder kriterierne i trin 1.
Du kan gøre dette trin med en grundlæggende afvisningskommando. Dette udtryk indeholder ikke nogen kriterier, der matcher, så det er som standard anvendt til al trafik, der fejler den første periode:
[rediger firewall] fred @ router # sæt filtergrænse-ssh-telnet termen blok-alt andet term
Du bør følge mislykkede forsøg på at få adgang til routeren, så du kan afgøre, om et samordnet angreb er i gang. Blokken-alt andet termen tæller antallet af fejlagtige adgangsforsøg. Den første kommando i det næste eksempel holder styr på disse forsøg i en tæller, der hedder dårlig adgang, logger pakken og sender oplysninger til syslog-processen.
[rediger firewall] fred @ router # sæt filtergrænse-ssh-telnet term blok-alt andet term count dårlig adgang [rediger firewall] fred @ router # sæt filtergrænse-ssh-telnet term block-all-else term count log [rediger firewall] fred @ router # sæt filter grænse-ssh-telnet term blok-alt andet term count syslog
Oprettelse af et filter er halvdelen af processen. Den anden halvdel er at anvende den på en router-grænseflade, i dette tilfælde til routerens loopback-grænseflade, lo0:
[rediger grænseflader] fred @ router # sæt lo0 enhed 0 familieindgang filterindgang limit-ssh-telnet
Du anvender filteret som et inputfilter, hvilket betyder, at Junos OS anvender det på al indkommende trafik bestemt til kontrolplanet.
