個人財務 Junos RoutersへのSSHとTelnetアクセスの制御 - ダミー

Junos RoutersへのSSHとTelnetアクセスの制御 - ダミー

ビデオ: Using Juniper for the First Time | JunOS CLI 2024

ビデオ: Using Juniper for the First Time | JunOS CLI 2024
Anonim

SSHとTelnetは、ユーザーがルータにアクセスする2つの一般的な方法です。両方とも、ルータに設定されたアカウントまたはRADIUSサーバなどの集中認証サーバに設定されたアカウントを使用して、パスワード認証が必要です。パスワードがあっても、Telnetセッションは本質的に安全ではなく、パスワードを推測するブルートフォースの試みによってSSHを攻撃することができます。

SSHとTelnetのアクセスを制限するには、ファイアウォールフィルタを作成します。このフィルタは、特定のインターフェイスのトラフィックを規制し、何を許可し、何を破棄するかを決定します。フィルタの作成は、2つの部分からなるプロセスです。

<! - 1 - >

  1. フィルタリングの詳細を定義します。

  2. ルータインタフェースにフィルタを適用します。

ルータへのアクセスを制御したい場合は、ルータがすべてのインタフェースを介して接続できるように、通常はすべてのインタフェースにこれらの制限を適用する必要があります。しかし、簡単にするために、Junos OSでは、ループバック(lo0)インタフェースにファイアウォールフィルタを適用することができます。

<! - 2 - >

lo0インタフェースに適用されるファイアウォールフィルタは、パケットが到着したインタフェースに関係なく、ルータの制御プレーンを宛先とするすべてのトラフィックに影響します。したがって、ルータへのSSHおよびTelnetアクセスを制限するには、lo0インターフェイスにフィルタを適用します。

以下のプロセスに示すフィルタは、limit-ssh-telnet 、 と呼ばれ、2つの部分または項を持ちます。 Junos OSは2つの用語を順番に評価します。第1項に一致するトラフィックは直ちに処理され、失敗したトラフィックは第2項によって評価されます。プロセスの仕組みは次のとおりです。

<! - 3 - >

  1. 最初のterm、limit-ssh-telnetは、192/168/0/1/24サブネットワーク上のデバイスからのみSSHとTelnetアクセス試行を探します。

    パケットは、IPヘッダが192. 168. 0. 1/24プレフィックスの宛先アドレスを含む場合にのみ、この用語と一致し、IPヘッダはパケットがTCPパケットであることを示し、TCPパケットヘッダはトラフィックがSSHまたはTelnet宛先ポートに向かう。

    fred @ router#set filter limit-ssh-telnet term access-termを送信元アドレス192から設定します。 168. 0. 1/24 [編集ファイアウォール] fred @ router#set filter limit-ssh-telnetプロトコルからのaccess-term tcp [editファイアウォール] fred @ router#set filter-ssh-telnet term [999] block-all-elseと呼ばれる第2項は、基準を満たさないすべてのトラフィックをブロックしますステップ1で。

    このステップは基本拒否コマンドで実行できます。この用語には一致する基準はありません。したがって、デフォルトでは、最初の用語に失敗したすべてのトラフィックに適用されます。

  2. [editファイアウォール] fred @ router#set filter-ssh-telnet

    ルータへのアクセス失敗を追跡して、協調攻撃が進行中かどうかを判断する必要があります。 block-all-else項は、失敗したアクセス試行回数をカウントします。次の例の最初のコマンドは、不正アクセスと呼ばれるカウンタでこれらの試行を追跡し、パケットを記録し、情報をsyslogプロセスに送信します。

    [ファイアウォールの編集] fred @ router#set filter limit-ssh-telnet termブロック - すべて - その他の用語カウント不正アクセス[ファイアウォールの編集] fred @ファイアウォールの編集fred @ router#set filter limit-ssh-telnet term block-all-else用語カウントsyslog

フィルタの作成は、プロセスの半分です。後者は、ルータのループバックインターフェイスlo0に適用されます。

[edit interfaces] fred @ router#set lo0 unit 0ファミリのinetフィルタ入力制限-ssh-telnet

入力フィルタとしてフィルタを適用します。つまり、Junos OSは制御プレーンを宛先とするすべての着信トラフィックにフィルタを適用します。

Junos RoutersへのSSHとTelnetアクセスの制御 - ダミー

エディタの選択

エディタの選択

保育検索中に背景チェックを行う - ダミー

保育検索中に背景チェックを行う - ダミー

個人財務

他の在宅育児提供者またはあなたのお子様をご家族のお子様に配慮することを検討している場合は、参照チェックとバックグラウンドチェックをお勧めします。家族の託児所運営の場合は、自宅にいる他の大人の警察にも尋ねてください。あなたは...

離婚や離婚後の父親へのダミー - ダミー

離婚や離婚後の父親へのダミー - ダミー

個人財務

分離と離婚は、多くの父親が子供たちから離れていることです。分離は、あなたの子供や子供のための偉大なお父さんと役割モデルになり続けるための障壁にはならないはずです。非居住の父親と居間の父親の責任にはほとんど違いがありません。あなた...

育児ダミーを選択する際にナニー税を考慮して育児を選択する際にナニー税を考慮する

育児ダミーを選択する際にナニー税を考慮して育児を選択する際にナニー税を考慮する

個人財務

エディタの選択

デジタルカメラの機能

デジタルカメラの機能

個人財務

デジタル写真のフラッシュパワーを調整する - ダミー

デジタル写真のフラッシュパワーを調整する - ダミー

個人財務

フラッシュを使用すると、デジタルカメラは自動的にフラッシュを設定しますそれは必要と思われるものに応じた力。しかし、多くのカメラでは、フラッシュ露出補正、またはフラッシュEVと呼ばれる機能によって、フラッシュ光の強さを調整できます。

ISO設定を変更してデジタルカメラの光感度を調整する - ダミー

ISO設定を変更してデジタルカメラの光感度を調整する - ダミー

個人財務

ISO設定の選択。カメラのイメージセンサの光感度を示します。 ISO番号が高いほど、カメラはより迅速に光に反応します。 ISO感度を高く設定すると光の感度は上がりますが、画像にノイズが加わることもあります。この図は、4枚の画像を示しています。

エディタの選択

WEPの弱点 - ダミー

WEPの弱点 - ダミー

個人財務

セキュリティ研究者は悪意のあるユーザーが無線LAN(ワイヤレスローカルエリアネットワークWEP(Wired Equivalent Privacy)を使用しています。これらは、たとえば以下のようなものです。トラフィックを復号化するパッシブ攻撃:統計分析に基づいています。

Webアプリケーションの安全でないログインハックとそれらを防ぐ方法 - ダミー

Webアプリケーションの安全でないログインハックとそれらを防ぐ方法 - ダミー

個人財務

アプリケーションで何かできるようになる前にログインする必要があります。意外なことに、これらはハッカーの大きな助けになることがあります。これらのログイン・メカニズムは、誤ったユーザーIDまたはパスワードを正常に処理しないことがよくあります。攻撃者が有効なユーザーIDとパスワードを収集するために使用することができる情報を漏洩させることがよくあります。 To ...

あなたのネットワーク上のOutlook Web Appを使用する - ダミー

あなたのネットワーク上のOutlook Web Appを使用する - ダミー

個人財務

自宅からオフィスネットワークに接続するほとんどの人本当にちょうど彼らの電子メールが必要です。オフィスネットワークにアクセスする唯一の理由が電子メールを受け取ることだけであれば、この簡単で簡単なツール、OWAとも呼ばれるOutlook Web Appを試してみてください。このMicrosoft Exchange Server機能は、あなたの会社の電子メールにアクセスすることができます...

エディタの選択

エディタの選択

人気のカテゴリ

© Copyright ja.blender3dtutorials.com, 2024 十一月 | サイトについて | 連絡先 | プライバシーポリシー.