Βίντεο: Δίκτυα Υπολογιστών (Μέρος 6ο) - Πρωτόκολλα BOOTP, DHCP και Telnet 2024
Οι SSH και Telnet είναι οι δύο συνήθεις τρόποι πρόσβασης των δρομολογητών από τους χρήστες. Και οι δύο απαιτούν έλεγχο ταυτότητας με κωδικό πρόσβασης, είτε μέσω ενός λογαριασμού που έχει ρυθμιστεί στο δρομολογητή είτε ενός λογαριασμού που έχει οριστεί σε κεντρικό διακομιστή ελέγχου ταυτότητας, όπως ένας διακομιστής RADIUS. Ακόμη και με έναν κωδικό πρόσβασης, οι συνεδρίες Telnet είναι εγγενώς ανασφαλείς και η SSH μπορεί να επιτεθεί από προσπάθειες βίαιης βίας για την μαντέψουν τους κωδικούς πρόσβασης.
Περιορίζετε την πρόσβαση SSH και Telnet δημιουργώντας ένα φίλτρο τείχους προστασίας, το οποίο ρυθμίζει την κίνηση σε μια συγκεκριμένη διεπαφή, αποφασίζοντας τι να επιτρέψει και τι να απορρίψει. Η δημιουργία ενός φίλτρου είναι μια διαδικασία δύο τεμαχίων:
-
Ορίζετε τα στοιχεία φιλτραρίσματος.
-
Εφαρμόζετε το φίλτρο σε διεπαφή δρομολογητή.
Τώρα, όταν θέλετε να ελέγξετε την πρόσβαση στο δρομολογητή, θα πρέπει κανονικά να εφαρμόσετε αυτούς τους περιορισμούς σε κάθε διεπαφή, καθώς μπορεί να επικοινωνήσει με το δρομολογητή μέσω οποιουδήποτε περιβάλλοντος εργασίας. Ωστόσο, για να διευκολύνετε τα πράγματα, το Junos OS σάς επιτρέπει να εφαρμόσετε φίλτρα τείχους προστασίας στη διασύνδεση loopback (lo0).
Τα φίλτρα τείχους προστασίας που εφαρμόζονται στη διασύνδεση lo0 επηρεάζουν όλη την κίνηση που προορίζεται για το επίπεδο ελέγχου του δρομολογητή, ανεξάρτητα από τη διεπαφή στην οποία έφτασε το πακέτο. Για να περιορίσετε την πρόσβαση SSH και Telnet στον δρομολογητή, εφαρμόζετε το φίλτρο στη διεπαφή lo0.
Το φίλτρο που εμφανίζεται στην παρακάτω διαδικασία ονομάζεται limit-ssh-telnet , και έχει δύο μέρη ή όρους. Το Junos OS αξιολογεί τους δύο όρους διαδοχικά. Η κυκλοφορία που αντιστοιχεί στον πρώτο όρο επεξεργάζεται αμέσως και η επισκεψιμότητα που αποτυγχάνει αξιολογείται από τον δεύτερο όρο. Δείτε πώς λειτουργεί η διαδικασία:
-
Ο πρώτος όρος, lim-ssh-telnet, ψάχνει για προσπάθειες πρόσβασης SSH και Telnet μόνο από συσκευές στο 192. 168. 0. 1/24 υποδίκτυο.
Τα πακέτα θα αντιστοιχούν σε αυτόν τον όρο μόνο αν η κεφαλίδα IP περιλαμβάνει μια διεύθυνση προορισμού από το πρόθεμα 192. 168. 0. 1/24, η κεφαλίδα IP δείχνει ότι το πακέτο είναι πακέτο TCP και η κεφαλίδα πακέτου TCP δείχνει ότι η κίνηση είναι που κατευθύνεται προς τις θύρες προορισμού SSH ή Telnet.
Εάν πληρούνται όλα αυτά τα κριτήρια, η ενέργεια του φίλτρου είναι να αποδεχθεί την απόπειρα πρόσβασης και την επισκεψιμότητα:
[επεξεργασία τείχους προστασίας] fred @ router # ορίστε όριο πρόσβασης φίλτρου-ssh-telnet από τη διεύθυνση προέλευσης 192. 168. 0. 1/24 [επεξεργασία τείχους προστασίας] fred @ router # ορισμός φίλτρου όριο-ssh-telnet όρος πρόσβασης από το πρωτόκολλο tcp [επεξεργασία τείχους προστασίας] fred @ router # Το δεύτερο όρο, που ονομάζεται block-all-else, αποκλείει κάθε κίνηση που δεν πληροί τα κριτήρια στο Βήμα 1.
-
Μπορείτε να κάνετε αυτό το βήμα με μια βασική εντολή απόρριψης. Αυτός ο όρος δεν περιέχει κριτήρια που να ταιριάζουν, επομένως, από προεπιλογή, εφαρμόζεται σε όλες τις κυκλοφορίες που αποτυγχάνουν στον πρώτο όρο:
[επεξεργασία τείχους προστασίας] fred @ router # set filter limit-ssh-telnet
Θα πρέπει να παρακολουθείτε τις αποτυχημένες προσπάθειες πρόσβασης στον δρομολογητή, ώστε να μπορείτε να καθορίσετε εάν υπάρχει μια συντονισμένη επίθεση. Ο όρος "block-all-other" μετρά τον αριθμό των αποτυχημένων προσπαθειών πρόσβασης. Η πρώτη εντολή στο επόμενο παράδειγμα παρακολουθεί τις προσπάθειες αυτές σε ένα μετρητή που ονομάζεται κακή πρόσβαση, καταγράφει το πακέτο και στέλνει πληροφορίες στη διαδικασία syslog.
[επεξεργαστείτε το τείχος προστασίας] fred @ router # ρυθμίστε το όριο φίλτρου-ssh-telnet όρο block-all-other μετρήστε τον αριθμό κακό πρόσβασης [επεξεργασία τείχους προστασίας] fred @ router # [επεξεργασία τείχους προστασίας] fred @ router # set όριο φίλτρου-ssh-telnet όρο block-all-other ορολογία count syslog
Η δημιουργία ενός φίλτρου είναι η μισή διαδικασία. Το δεύτερο εξάμηνο είναι να το εφαρμόσουμε σε μια διασύνδεση δρομολογητή, στην περίπτωση αυτή με τη διασύνδεση loopback του δρομολογητή, lo0:
[επεξεργασία διεπαφών] fred @ router # set lo0 μονάδα 0 οικογένεια inet φίλτρο εισόδου limit-ssh-telnet
Εφαρμόζετε το φίλτρο ως φίλτρο εισόδου, το οποίο σημαίνει ότι το Junos OS το εφαρμόζει σε όλες τις εισερχόμενες μεταφορές που προορίζονται για το επίπεδο ελέγχου.