Vidéo: Configuring an IPv4 ACL on VTY (Telnet or SSH) Lines 2025
SSH et Telnet sont les deux moyens les plus courants pour les utilisateurs d'accéder au routeur. Les deux nécessitent une authentification par mot de passe, soit via un compte configuré sur le routeur, soit via un compte défini sur un serveur d'authentification centralisé, tel qu'un serveur RADIUS. Même avec un mot de passe, les sessions Telnet sont intrinsèquement non sécurisées et SSH peut être attaqué par des tentatives de force brute pour deviner les mots de passe.
Vous restreignez l'accès SSH et Telnet en créant un filtre de pare-feu, qui régule le trafic sur une interface spécifique, en décidant quoi autoriser et quoi jeter. Créer un filtre est un processus en deux parties:
-
Vous définissez les détails de filtrage.
-
Vous appliquez le filtre à une interface de routeur.
Maintenant, lorsque vous voulez contrôler l'accès au routeur, vous devez normalement appliquer ces restrictions à chaque interface car le routeur peut être contacté via n'importe quelle interface. Cependant, pour vous faciliter la tâche, Junos OS vous permet d'appliquer des filtres de pare-feu à l'interface de bouclage (lo0).
Les filtres de pare-feu appliqués à l'interface lo0 affectent tout le trafic destiné au plan de contrôle du routeur, quelle que soit l'interface sur laquelle le paquet est arrivé. Donc, pour limiter l'accès SSH et Telnet au routeur, vous appliquez le filtre à l'interface lo0.
Le filtre indiqué dans le processus suivant est appelé limit-ssh-telnet , et comporte deux parties, ou termes. Le système d'exploitation Junos évalue les deux termes de manière séquentielle. Le trafic correspondant au premier terme est traité immédiatement et le trafic qui échoue est évalué par le second terme. Voici comment le processus fonctionne:
-
Le premier terme, limite-ssh-telnet, recherche les tentatives d'accès SSH et Telnet uniquement à partir des périphériques du sous-réseau 192. 168. 0. 1/24.
Les paquets ne correspondront à ce terme que si l'en-tête IP contient une adresse de destination du préfixe 192. 168. 0. 1/24, l'en-tête IP indique que le paquet est un paquet TCP et l'en-tête du paquet TCP pour les ports de destination SSH ou Telnet.
Si tous ces critères sont remplis, l'action du filtre est d'accepter la tentative d'accès et le trafic:
[éditer le pare-feu] fred @ router # définir le filtre limite-ssh-telnet terme access-term 192. 168. 0. 1/24 [éditer le pare-feu] fred @ routeur # définir le filtre limite-ssh-telnet terme terme d'accès du protocole tcp [éditer le pare-feu] fred @ routeur # définir le filtre limite-ssh-telnet terme d'accès de la destination -port [ssh telnet] [éditer le pare-feu] fred @ routeur # définir le filtre limit-ssh-telnet terme access-term puis accepter
-
Le second terme, appelé block-all-else, bloque tout le trafic qui ne répond pas aux critères à l'étape 1.
Vous pouvez effectuer cette étape avec une commande de rejet de base. Ce terme ne contient aucun critère, donc, par défaut, il s'applique à tout le trafic qui échoue au premier terme:
[éditer le pare-feu] fred @ routeur # définir le filtre limite-ssh-telnet terme bloquer-tout-autrement
Vous devez suivre les tentatives infructueuses d'accès au routeur afin de déterminer si une attaque concertée est en cours. Le terme bloc-tout-autre compte le nombre de tentatives d'accès échouées. La première commande de l'exemple suivant conserve la trace de ces tentatives dans un compteur nommé bad-access, en enregistrant le paquet et en envoyant des informations au processus syslog.
[éditer le pare-feu] fred @ routeur # définir le filtre limite-ssh-telnet terme bloquer-tout-autre terme compte mauvais accès [éditer le pare-feu] fred @ routeur # définir le filtre limite-ssh-telnet terme bloquer-tout-autre term count log [éditer le pare-feu] fred @ routeur # définir le filtre limite-ssh-telnet terme bloquer-tout-autre terme compter syslog
Créer un filtre est la moitié du processus. La seconde moitié est de l'appliquer à une interface de routeur, dans ce cas à l'interface de bouclage du routeur, lo0:
[éditer les interfaces] fred @ routeur # définir lo0 unité 0 famille inet filtre limite d'entrée-ssh-telnet
Vous appliquez le filtre en tant que filtre d'entrée, ce qui signifie que le système d'exploitation Junos l'applique à tout le trafic entrant destiné au plan de contrôle.
