Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Nesta página
 

Exemplo: Configure um filtro para bloquear o acesso à Telnet e SSH

Requisitos

Você precisa de dois dispositivos em execuçãoJunos OS com um link de rede compartilhado. Nenhuma configuração especial além da inicialização básica de dispositivos (interface de gerenciamento, acesso remoto, contas de login do usuário etc.) é necessário antes de configurar este exemplo. Embora não seja um requisito rigoroso, o acesso ao console ao dispositivo R2 é recomendado.

Nota:

Nossa equipe de testes de conteúdo validou e atualizou este exemplo.

Visão geral e topologia

Neste exemplo, você cria um filtro de firewall stateless IPv4 que registra e rejeita pacotes Telnet ou SSH enviados ao mecanismo de roteamento local, a menos que o pacote se o origine da sub-rede 192.168.1.0/30 . O filtro é aplicado à interface de loopback para garantir que apenas o tráfego destinado ao dispositivo local seja afetado. Você aplica o filtro na direção de entrada. Um filtro de saída não é usado. Como resultado, todo o tráfego gerado localmente é permitido.

  • Para combinar pacotes originados de uma sub-rede específica ou prefixo IP, você usa a condição de correspondência IPv4 aplicada na direção de entrada.source-address

  • Para combinar pacotes destinados à porta Telnet e portas SSH, você usa a condição de correspondência combinada com condições de correspondência IPv4 e aplicadas na direção de entrada.protocol tcpport telnetport ssh

Topologia de exemplo

Figura 1 mostra a topologia de teste para este exemplo. O filtro de firewall é aplicado ao dispositivo R2, tornando-o o dispositivo em teste (DUT). O R1 e os dispositivos R2 compartilham um link que é atribuído a uma sub-rede de 192.168.1.0/30. Ambos os dispositivos têm endereços de loopback atribuídos a partir do prefixo 192.168.255.0/30 usando uma máscara de sub-rede /32. Rotas estáticas oferecem acessibilidade entre endereços de loopback porque um protocolo de gateway interior não está configurado neste exemplo básico.

Figura 1: Topologia de exemploTopologia de exemplo

Configuração

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, consulte Usando o Editor de CLI no modo de configuração.Use o editor de CLI no modo de configuração

CUIDADO:

Ao projetar o filtro de amostra, o acesso de Telnet e SSH ao R2, a menos que se origine da sub-rede compartilhada na R1. Se você usar SSH ou Telnet para acessar diretamente o dispositivo R2, você perderá a conectividade quando o filtro for aplicado. Recomendamos que você tenha acesso ao console ao configurar este exemplo. Se necessário, você pode usar o dispositivo R1 como um host de salto para lançar uma sessão de SSH ao R2 após a aplicação do filtro. Alternativamente, considere modificar o filtro de amostra para também permitir que a sub-rede IP atribuída à máquina que você usa acesse o dispositivo R2.

Execute as seguintes tarefas para configurar este exemplo:

Configuração rápida da CLI

Configuração rápida para o dispositivo R1

Para configurar rapidamente o dispositivo R1, edite os seguintes comandos conforme necessário e cole-os no CLI no nível de hierarquia.[edit] Certifique-se de emitir um modo de configuração para ativar as mudanças.commit

Configuração rápida para o dispositivo R2

Para configurar rapidamente o dispositivo R2, edite os seguintes comandos conforme necessário e cole-os no CLI no nível de hierarquia.[edit] Certifique-se de emitir um modo de configuração para ativar as mudanças.commit

Dica:

Considere usar ao fazer alterações que possam afetar o acesso remoto ao seu dispositivo.commit-confirmed Ativando uma configuração do Junos OS, mas exigindo confirmação

Configure o dispositivo R1

Procedimento passo a passo

Siga essas etapas para configurar o dispositivo R1:

  1. Configure as interfaces:

  2. Configure o nome do host e a rota estática para o endereço loopback do dispositivo R2. Você também configura o acesso à Telnet e SSH:

Verifique e confirme a configuração no dispositivo R1

Procedimento passo a passo

Preencha as seguintes etapas para verificar e comprometer a configuração do candidato no dispositivo R1:

  1. Confirme a configuração da interface com o comando do modo de configuração.show interfaces Se a saída de comando não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

  2. Verifique a rota estática usada para alcançar o endereço loopback do dispositivo R2 e se o acesso SSH e Telnet está habilitado. Use os comandos do modo e configuração.show routing-optionsshow system services Se a saída de comando não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

  3. Quando satisfeito com a configuração no dispositivo R1, comprometa a configuração do seu candidato.

Configure o dispositivo R2

Procedimento passo a passo

Preencha as seguintes etapas para configurar o dispositivo R2. Você começa definindo o filtro de firewall sem estado que bloqueia seletivamente o acesso à Telnet e ao SSH:

  1. Posicione-se na hierarquia:edit firewall family inet filter local_acl

  2. Definir o termo filtro.terminal_access Este termo permite que a Telnet e a SSH a partir do(s) prefixo(s) de origem especificado:

  3. Definir o termo filtro.terminal_access_denied Este termo rejeita SSH e Telnet de todos os outros endereços de origem. Este termo é configurado para registrar correspondências ao termo e gerar uma resposta explícita do Protocolo de Mensagem de Controle de Internet (ICMP) de volta à fonte do pacote. Veja ações de registro de filtros de firewall para obter detalhes sobre opções de registro de filtros.Ações de registro de filtro de firewall

    Dica:

    Você pode usar a ação para suprimir a geração de mensagens de erro do ICMP de volta à fonte.discard Consulte ações de terminação do filtro de firewall para obter mais detalhes.Ações de terminação de filtros de firewall
  4. Opcional.

    Definir o termo filtro.tcp-estab Este termo permite o acesso de saída à Internet para oferecer suporte a conexões à nuvem Juniper Mist ( é uma condição de jogo de campo pequeno, que indica uma sessão TCP estabelecida, mas não o primeiro pacote de uma conexão TCP):tcp-establishedtcp-flags "(ack | rst)"

  5. Definir o termo filtro.default-term Este termo aceita todos os outros tráfegos. Lembre-se que os filtros sem estado têm um termo de negação implícito no final.Junos OS A substituição desse comportamento ao encerrar o filtro com uma ação de aceitação explícita.default-term O término do filtro resulta em todos os outros tráfegos sendo aceitos pelo filer.

    Nota:

    Por este exemplo, estamos permitindo todo o outro tráfego, mas para sua rede você pode querer proteger o mecanismo de roteamento. Consulte a proteção do mecanismo de roteamento para obter mais informações.https://www.juniper.net/documentation/us/en/software/junos/routing-policy/topics/example/routing-stateless-firewall-filter-security-accept-traffic-from-trusted-source-configuring.html

  6. Configure a interface de loopback e aplique o filtro na direção de entrada:

  7. Configure o nome do host, a interface ge-0/0/0, a rota estática para o endereço loopback do dispositivo R1 e habilite o acesso remoto por SSH e Telnet:

Verifique e confirme a configuração no dispositivo R2

Procedimento passo a passo

Preencha as seguintes etapas para verificar e confirmar a configuração do seu candidato no dispositivo R2:

  1. Confirme a configuração do filtro de firewall sem estado com o comando do modo de configuração.show firewall Se a saída de comando não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

  2. Confirme a configuração da interface e filtre o aplicativo com o comando do modo de configuração.show interfaces Se a saída de comando não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

  3. Verifique a rota estática usada para alcançar o endereço de loopback do dispositivo R1 e verifique se o acesso Telnet e SSH está habilitado. Use os comandos do modo e configuração.show routing-optionsshow system services Se a saída de comando não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

  4. Quando satisfeito com a configuração no dispositivo R2, comprometa a configuração do seu candidato.

    Dica:

    Considere usar ao fazer alterações que possam afetar o acesso remoto ao seu dispositivo.commit-confirmed

Verifique o filtro de firewall sem estado

Confirme que o filtro de firewall para limitar o acesso à Telnet e SSH está funcionando corretamente.

Verificar pacotes aceitos

Propósito

Verifique se o filtro de firewall permite a SSH e a Telnet corretamente quando o tráfego é originado a partir da sub-rede 192.168.1.0/30 .

Ação

  1. Libere o log de firewall em seu roteador ou switch.

  2. De um host em um endereço IP dentro da sub-rede 192.168.1.0/30 , use um comando para verificar se você pode fazer login no dispositivo usando SSH a partir de um endereço de origem permitido.ssh 192.168.255.2 Este pacote deve ser aceito, mas as informações de cabeçalho de pacote para este pacote não devem ser registradas no buffer de log de filtro de firewall no Mecanismo de encaminhamento de pacotes. Você será solicitado a salvar a chave de host SSH se este for o primeiro login SSH como entre esses dispositivos.user

    Nota:

    Por padrão, o dispositivo R1 obterá o tráfego SSH da interface de saída usada para chegar ao destino. Como resultado, esse tráfego é originado do endereço 192.168.1.1 atribuído à interface ge-0/0/0 do dispositivo R1.

  3. Faça o login da CLI no dispositivo R2 para fechar a sessão de SSH.

  4. De um host em um endereço IP dentro da sub-rede 192.168.1.0/30 , use o comando para verificar se você pode fazer login no seu roteador ou switch usando a Telnet a partir de um endereço de origem permitido.telnet 192.168.255.2 Este pacote deve ser aceito, mas as informações de cabeçalho de pacote para este pacote não devem ser registradas no buffer de log de filtro de firewall no Mecanismo de encaminhamento de pacotes.

  5. Faça login na CLI para fechar a sessão da Telnet ao dispositivo R2.

  6. Use o comando para verificar se o buffer de log de firewall no Mecanismo de encaminhamento de pacotes (PFE) do dispositivo R2 não contém nenhuma entrada com um endereço fonte na sub-rede 192.168.1.0/30 .show firewall log

Verificar pacotes logados e rejeitados

Propósito

Verifique se o filtro de firewall rejeita corretamente o tráfego SSH e Telnet que não se origina da sub-rede 192.168.1.0/30 .

Ação

  1. Libere o log de firewall em seu roteador ou switch.

  2. Gere tráfego SSH originado no endereço de loopback do dispositivo R1. O endereço fonte desse tráfego está fora da sub-rede 192.168.1.0/30 permitida. Use o comando para verificar se você não pode fazer login no dispositivo usando SSH a partir deste endereço de origem.ssh 192.168.255.2 source 192.168.255.1 Este pacote deve ser rejeitado, e as informações de cabeçalho de pacote devem ser registradas no buffer de log do filtro de firewall.

    A saída mostra que a conexão SSH é recusada. Essa saída confirma que o filtro está gerando uma mensagem de erro do ICMP e que bloqueia corretamente o tráfego SSH quando enviado de um endereço de origem não permitido.

  3. Gere tráfego Telnet originado no endereço de loopback do dispositivo R1. O endereço fonte desse tráfego está fora da sub-rede 192.168.1.0/30 permitida. Use o comando para verificar se você não pode fazer login no dispositivo usando a Telnet a partir deste endereço fonte.telnet 192.168.255.2 source 192.168.255.1 Este pacote deve ser rejeitado, e as informações de cabeçalho de pacote para este pacote devem ser registradas no buffer de log de filtro de firewall no PFE.

    A saída mostra que a conexão Telnet foi recusada. Essa saída confirma que o filtro está gerando uma mensagem de erro do ICMP e que bloqueia corretamente o tráfego da Telnet quando enviado de um endereço de origem não permitido.

  4. Use o comando para verificar se o buffer de log de firewall no dispositivo R2 contém entradas mostrando que os pacotes com um endereço fonte de 192.168.255.1 foram rejeitados .show firewall log

    A saída confirma que o tráfego do endereço fonte 192.168.255.1 correspondia ao termo do filtro.terminal_access_denied A coluna exibe uma indicação de que esses pacotes foram rejeitados.ActionR A interface, o protocolo de transporte e os endereços de origem e destino também estão listados. Esses resultados confirmam que o filtro de firewall está funcionando corretamente para este exemplo.