Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Exemple: Configurer un filtre pour bloquer l’accès Telnet et SSH

Conditions préalables

Deux équipements s’exécutant Junos OS avec une liaison réseau partagée. Aucune configuration particulière au-delà de l’initialisation de base de l’équipement (interface de gestion, accès à distance, comptes de connexion utilisateur, etc.) n’est requise avant de configurer cet exemple. Bien qu’il ne s’agit pas d’une exigence stricte, il est recommandé d’accéder à l’équipement R2 par la console.

Remarque :

Notre équipe de test de contenu a validé et mis à jour cet exemple.

Présentation et topologie

Dans cet exemple, vous créez un filtre de pare-feu sans état IPv4 qui enregistre et rejette les paquets Telnet ou SSH envoyés au moteur de routage local, sauf si le paquet est originaire du sous-réseau 192.168.1.0/24. Le filtre est appliqué à l’interface de bouclage pour s’assurer que seul le trafic destiné à l’équipement local est impacté. Vous appliquez le filtre dans la direction d’entrée. Aucun filtre de sortie n’est utilisé. Ainsi, tout le trafic généré localement est autorisé.

  • Pour correspondre aux paquets provenant d’un sous-réseau ou d’un préfixe IP spécifiques, vous utilisez la condition de correspondance IPv4 appliquée dans source-address la direction d’entrée.

  • Pour faire correspondre les paquets à destination du port Telnet et des ports SSH, vous utilisez la condition de correspondance combinée avec les conditions de correspondance IPv4 et IPv4 appliquées dans la protocol tcpport telnet direction port ssh d’entrée.

Topologie d’exemple

Figure 1 montre la topologie du test pour cet exemple. Le filtre de pare-feu est appliqué à l’équipement R2, ce qui en fait l’équipement testé. Les équipements R1 et R2 partagent une liaison qui se voit attribuer un sous-réseau 192.168.1.0/24. Les deux équipements ont des adresses de loopback attribuées à partir du préfixe 192.168.255.0/24 à l’aide d’un masque de /32 sous-réseau. Les routes statiques offrent une accessibilité entre les adresses de bouclage car un protocole de passerelle intérieure n’est pas configuré dans cet exemple de base.

Figure 1 : Topologie d’exempleTopologie d’exemple

Configuration

L’exemple suivant vous oblige à naviguer dans différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation du CLI, consultez l’utilisationdu CLI en mode de configuration .

ATTENTION :

Par sa conception, le filtre restreint l’accès Telnet et SSH au R2, sauf s’il provient du sous-réseau partagé au niveau du R1. Si vous utilisez SSH ou Telnet pour accéder directement à l’équipement R2, vous allez perdre la connectivité lorsque le filtre est appliqué. Il est recommandé d’avoir un accès à la console lors de la configuration de cet exemple. Si nécessaire, vous pouvez utiliser l’équipement R1 comme hôte de saut pour lancer une session SSH vers le point R2 après l’application du filtre. Vous pouvez également modifier le filtre d’échantillon pour autoriser l’sous-réseau IP assigné à la machine que vous utilisez pour accéder au dispositif R2.

Exécutez les tâches suivantes pour configurer cet exemple:

CLI configuration rapide

Configuration rapide de l’équipement R1

Pour configurer rapidement l’équipement R1, modifiez les commandes suivantes selon vos besoins et collez-les dans le CLI au niveau [edit] de la hiérarchie. Assurez-vous d’émettre un commit numéro de mode de configuration pour activer les modifications.

Configuration rapide de l’équipement R2

Pour configurer rapidement l’équipement R2, modifiez les commandes suivantes selon vos besoins et collez-les dans le CLI au niveau [edit] de la hiérarchie. Assurez-vous d’émettre un commit numéro de mode de configuration pour activer les modifications.

Conseil :

Envisagez commit-confirmed d’utiliser ces modifications pour modifier l’accès distant à votre équipement. Voir Activer une configuration de Junos OS mais nécessitant une confirmation pour plus de détails.

Configurer l’équipement R1

Procédure étape par étape

Suivez ces étapes pour configurer l’équipement R1:

  1. Configurez les interfaces:

  2. Configurez le nom de l’hôte et la route statique vers l’adresse loopback de l’équipement R2. Vous configurez également l’accès Telnet et SSH:

Vérifier et valider la configuration sur l’équipement R1

Procédure étape par étape

Suivez les étapes ci-dessous pour vérifier et valider la configuration de votre candidat sur l’équipement R1:

  1. Confirmez la configuration de l’interface avec la show interfaces commande mode de configuration. Si le résultat de la commande n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

  2. Vérifiez la route statique utilisée pour atteindre l’adresse loopback de l’équipement R2 et que l’accès SSH et Telnet est activé. Utiliser les show routing-options commandes du mode de configuration show system services et. Si le résultat de la commande n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

  3. Si vous avez satisfait la configuration de l’équipement R1, validation de la configuration de votre candidat.

Configurer l’équipement R2

Procédure étape par étape

Suivez les étapes ci-dessous pour configurer l’équipement R2. Vous commencez par définir le filtre de pare-feu sans état qui bloque de manière sélective l’accès Telnet et SSH:

  1. Positionnez-vous dans edit firewall family inet filter la local_acl hiérarchique hiérarchique:

  2. Définir le terme « filtre terminal_access». Ce terme autorise Telnet et SSH à partir du préfixe source spécifié:

  3. Définir le terme « filtre terminal_access_denied». Ce terme rejette les adresses SSH et Telnet de toutes les autres adresses source. Ce terme est configuré pour connecter des correspondances au terme et générer une réponse explicite au protocole ICMP (Internet Control Message Protocol) à la source du paquet. Voir les actions de journalisation des filtres de pare-feu pour plus d’informations sur les options de journalisation des filtres.

    Conseil :

    Vous pouvez utiliser l’action pour supprimer la génération de discard messages d’erreur ICMP vers la source. Voir les actions de terminaison de filtre de pare-feu pour plus d’informations.

  4. Définir le terme terme filtre par défaut. Ce terme accepte tout autre trafic. Rappelons que Junos OS filtres sans état ont un terme qui refuse implicitement leur fin. Le terme par défaut remplace ce comportement en mettant fin au filtre avec une action d’acceptation explicite. Tout le reste du trafic est alors accepté par le fileur.

  5. Configurez l’interface de bouclation et appliquez le filtre dans la direction d’entrée:

  6. Configurez le nom de l’hôte, l’interface ge-0/0/0, la route statique vers l’adresse de bouclante de l’équipement R1 et activez l’accès distant via SSH et Telnet:

Vérifier et valider la configuration sur l’équipement R2

Procédure étape par étape

Suivez les étapes ci-dessous pour vérifier et valider la configuration de votre candidat sur l’équipement R2:

  1. Confirmez la configuration du filtre de pare-feu sans état avec la show firewall commande mode de configuration. Si le résultat de la commande n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

  2. Confirmez la configuration de l’interface et filtrez l’application avec la show interfaces commande du mode de configuration. Si le résultat de la commande n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

  3. Vérifiez la route statique utilisée pour atteindre l’adresse de boucllage de l’équipement R1 et que l’accès Telnet et SSH est activé. Utiliser les show routing-options commandes du mode de configuration show system services et. Si le résultat de la commande n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

  4. Si vous avez satisfait la configuration de l’équipement R2, validation de la configuration de votre candidat.

    Conseil :

    Envisagez commit-confirmed d’utiliser ces modifications pour modifier l’accès distant à votre équipement. Voir Activer une configuration de Junos OS mais nécessitant une confirmation pour plus de détails.

Vérifier le filtre de pare-feu sans état

Confirmez que le filtre de pare-feu pour limiter les accès Telnet et SSH fonctionne correctement.

Vérifier les paquets acceptés

But

Vérifiez que le filtre de pare-feu autorise correctement les services SSH et Telnet lorsque le trafic est issu du sous-réseau 192.168.1.0/24.

Action

  1. Effacer le journal du pare-feu sur votre routeur ou commutateur.

  2. À partir d’un hôte à une adresse IP au sein du sous-réseau 192.168.1.0/24, utilisez une commande pour vérifier que vous pouvez vous connecter à l’équipement à l’aide du protocole SSH à partir d’une adresse ssh 192.168.255.2 source autorisée. Ce paquet doit être accepté et les informations d’en-tête du paquet en-tête de ce paquet ne doivent pas être consignées dans la mise en mémoire tampon du filtre de pare-feu dans moteur de transfert de paquets. Si c’est la première connexion SSH en tant qu’utilisateur entre ces équipements, vous serez invité à enregistrer la clé d’hôte SSH.

    Remarque :

    Par défaut, l’équipement R1 sourcera le trafic SSH à partir de l’interface de sortie utilisée pour atteindre sa destination. Ce trafic est donc issu de l’adresse 192.168.1.1.1 attribuée à l’interface ge-0/0/0 de l’équipement R1.

  3. Vous vous déconnectez du CLI au niveau de l’équipement R2 pour fermer la session SSH.

  4. À partir d’un hôte à une adresse IP au sein du sous-réseau 192.168.1.0/24, utilisez la commande pour vérifier que vous pouvez vous connecter à votre routeur ou à votre commutateur à l’aide de Telnet à partir d’une adresse telnet 192.168.255.2 source autorisée. Ce paquet doit être accepté et les informations d’en-tête du paquet en-tête de ce paquet ne doivent pas être consignées dans la mise en mémoire tampon du filtre de pare-feu dans moteur de transfert de paquets.

  5. Se déconnecter du CLI pour fermer la session Telnet vers l’équipement R2.

  6. Utilisez la commande pour vérifier que la mise en mémoire tampon du pare-feu sur le moteur de transfert de paquets (PFE) de l’équipement R2 ne contient aucune entrée contenant une adresse source dans le sous-réseau show firewall log 192.168.1.0/24.

Vérifier les paquets enregistrés et rejetés

But

Vérifiez que le filtre de pare-feu rejette correctement le trafic SSH et Telnet qui n’est pas à l’origine du sous-réseau 192.168.1.0/24.

Action

  1. Effacer le journal du pare-feu sur votre routeur ou commutateur.

  2. Générer du trafic SSH provenant de l’adresse de bouclage de l’équipement R1. L’adresse source de ce trafic est en dehors du sous-réseau 192.168.1.0/24 autorisé. Utilisez la commande pour vérifier que vous ne pouvez pas vous connecter à l’équipement à l’aide de ssh 192.168.255.2 source 192.168.255.1 SSH à partir de cette adresse source. Ce paquet doit être rejeté et les informations de l’en-tête du paquet doivent être consignées dans le tampon de journal des filtres de pare-feu.

    Le résultat indique que la connexion SSH est rejetée. Cela confirme que le filtre génère un message d’erreur ICMP et qu’il bloque correctement le trafic SSH lorsqu’il est envoyé à partir d’une adresse source non officielle.

  3. Générer du trafic Telnet provenant de l’adresse de bouclant de l’équipement R1. L’adresse source de ce trafic est en dehors du sous-réseau 192.168.1.0/24 autorisé. Utilisez la commande pour vérifier que vous ne pouvez pas vous connecter à l’équipement à l’aide de telnet 192.168.255.2 source 192.168.255.1 Telnet à partir de cette adresse source. Ce paquet doit être rejeté et les informations d’en-tête de paquets de ce paquet doivent être enregistrées dans le tampon de journal des filtres de pare-feu dans le PFE.

    La sortie indique que la connexion Telnet est rejetée. Cela confirme que le filtre génère un message d’erreur ICMP et qu’il bloque correctement le trafic Telnet lorsqu’il est envoyé à partir d’une adresse source non officielle.

  4. Utilisez la commande pour vérifier que la mise en mémoire tampon du pare-feu sur l’équipement R2 contient des entrées montrant des paquets avec une adresse source de show firewall log 192.168.255.1.

    La sortie confirme que le trafic provenant de l’adresse source 192.168.255.1 correspond au terminal_access_denied terme du filtre. La Action colonne affiche une pour indiquer que ces R paquets ont été rejetés. L’interface, le protocole de transport, ainsi que les adresses source et de destination sont également répertoriés. Ces résultats confirment que le filtre de pare-feu fonctionne correctement pour cet exemple.