Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

例:デバイスのネットワーク デバイスジュニパー管理アクセス

注:

この例は、コンテンツ テスト チームが検証と更新を行いました。

この例では、許可される IP アドレスの特定のセットにジュニパーネットワーク デバイスへの管理アクセスを制限する方法を示しています。このタイプの機能は ACL(アクセス コントロール リスト)と呼ばれるのが多く、ステートレス ファイアウォール フィルターとして実装Junos OS。

要件

管理ジュニパーネットワークに接続されたネットワーク デバイスです。設定を検証するには、テスト中のデバイス(DUT)への SSH または Telnet 接続を開始できる管理ネットワークへのアクセス権を持つデバイスが少なくとも 1 つ必要です。この例を設定する前に、基本的なデバイス初期化(管理インターフェイスと関連する静的ルート、システム サービス、ユーザー ログイン アカウントなど)以外の特別な設定は必要ありません。

概要

ファイアウォール フィルタを設定して、デバイスを管理できる IP アドレスを制限できます。このファイアウォール フィルタには、デバイスの管理が許可されている IP アドレス以外のすべてのトラフィックを拒否する条件を含める必要があります。管理トラフィック、つまりデバイス自体に送信されたトラフィックだけがフィルタリングされるのを確認するには、ファイアウォール フィルタをループバック インターフェイス(lo0)に適用する必要があります。

トポロジーの例

図 1は、この例のトポロジを示しています。R1 デバイスは、172.16.0.0/24 サブネットが割り当てられた管理ネットワークのデフォルト ゲートウェイとして機能します。この例では、R2 デバイスへの管理アクセスを制限するフィルタを DUT に適用します。リモート ワークステーションには DUT の管理が承認され、10.0.0.1/32 アドレスが割り当てされています。

この例では、以下のことを行います。

  • manager-ip と呼ばれるプレフィックス リスト を設定します。このリストは、デバイスの管理が可能な IP アドレスのセットを定義します。この例では、管理サブネット自体(172.16.0.0/24)と認定リモート ユーザーの IP アドレス(10.0.0.1/32)がリストに含まれています。

  • manager-ip プレフィックス リストで定義された特定のアドレス セットを除くすべての送信元アドレスを拒否するファイアウォール フィルターの limit-mgmt-accessを設定します。 これにより、プレフィックス リストに記載された IP アドレスのみデバイスを管理できます。

  • limit-mgmt-access フィルタをループバックインターフェイスに適用します。ローカル デバイスにアドレス指定されたパケットが任意のインターフェイスに到着すると、ループバック インターフェイスがフィルター制限- mgmt-access を適用して、許可されたアドレスにのみ管理アクセスを制限します。

図 1: ネットワーク トポロジーの例ネットワーク トポロジーの例

IP アドレス リストを設定してデバイスへの管理アクセスを制限する

手順

CLI クイック構成

この例を迅速に設定するには、必要に応じて以下のコマンドを編集し、階層レベルで R2 デバイスCLIデバイスのサーバーに [edit] 貼り付けます。設定を完全にするために、SSH(非ユーザーの)および Telnet システム サービスを設定するコマンドが含まれます。また、管理インターフェイスと関連する静的ルートの設定も行います。これらのコマンドは、デバイスにこの機能が既に設定されている場合には必要とされません。

注:

Telnet は、複数のデバイスでのログインジュニパーネットワークスサポートされていません。この例では、ユーザーのSSHログインは設定されていません。デバイスに、リモート ログインを許可するように設定された非ユーザーが必要です。あるいは、 ステートメントに引数を追加して、SSH を使用して -login allowsystem services ssh ログインを許可できます。

変更をアクティブにするには、 commit 必ず設定モードからを発行してください。

ヒント:

デバイスへのアクセスを制限するフィルターを適用する場合は、 を使用して検討してください commit confirmed 。このオプションは、指定した時間に別のコミットを発行できない場合に、設定を自動的にロール バックします。

順を追った手順

次の手順では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 cli のユーザーガイド設定モードで Cli エディターを使用するを参照してください。

  1. 管理およびループバック インターフェイスを設定し、Telnet および SSH システム サービスが有効になっているか確認します。

    注:

    Telnet は、複数のデバイスでのログインジュニパーネットワークスサポートされていません。この例では、ユーザーのSSHログインは設定されていません。デバイスに、リモート ログインを許可するように設定された非ユーザーが必要です。あるいは、 ステートメントに引数を追加して、SSH を使用して -login allowsystem services ssh ログインを許可できます。

  2. プレフィックス リストで許可されるホスト アドレスのセットを定義します。このリストには、管理サブネットおよび単一の承認済みリモート管理ステーションのプレフィックスが含まれています。

    プレフィックス リストはファイアウォール フィルタで参照されます。プレフィックス リストを使用すると、デバイスへのアクセスが許可されたアドレスを簡単に更新できます。これは、プレフィックス リストのみを更新する必要があるためです。許可されるプレフィックスを追加または削除する際に、ファイアウォール フィルター自体に編集を行う必要はありません。

  3. ファイアウォール フィルターを設定して、プレフィックス リストで定義されているアドレスを除くすべての IP アドレスから Telnet および SSH トラフィックを拒否します。

    アクションの使用に except 注意してください。最初の条件は、考えられるすべての送信元アドレスで一致します。次の用語は、指定されたプレフィックス リスト内の送信元アドレスの一致を逆にします。その結果、指定されたプロトコルおよびポート宛の管理トラフィックは、トラフィックがリスト内のアドレスから来た場合にのみ受け入れられます。他のすべての送信元プレフィックスからプロトコルとポートの同じ組み合わせへのトラフィックは破棄されます。この例では、フィルターのデバッグと検証に役立つログアクションが追加されています。

  4. 他のすべてのトラフィックを受け入れるデフォルト条件を設定します。これにより、ping、ping、BGP、OSPF などの他のサービスとプロトコルは、フィルターによる影響を受けずにいます。

    ヒント:

    例のフィルターは、設計により透過的です。これは、フィルター条件によって拒否または破棄されていないすべてのトラフィックを明示的に受け入れる場合に、セキュリティ脅威を表す可能性があります。より強力なセキュリティ フィルターを設定するには、受け入れるべきすべてのプロトコルとサービスを明示的にリストして、すべての条件を明示的または明示的に拒否してフィルタを終了することで、他のすべてのトラフィックをフィルタリングできます。制限フィルタの欠点は、サポートされるサービスが追加または削除される度に編集しなければならない点です。

  5. 入力フィルターとして、ステートレス ファイアウォール フィルタをループバック インターフェイスに適用します。この例では、ローカル デバイスから送信されたトラフィックはフィルタリングされません。

結果

設定モードから次のコマンドを入力 show configuration して、作業を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

作業に満足したら、設定モード commit から入力します。

ヒント:

デバイスへのアクセスを制限するフィルターを適用する場合は、 を使用して検討してください commit confirmed 。このオプションは、指定した時間に別のコミットを発行できない場合に、設定を自動的にロール バックします。

ステートレス ファイアウォール フィルターの検証

管理アクセスを制限するファイアウォール フィルターが正常に動作されていることを確認します。

受け入れられるパケットを検証

目的

トラフィックが 172.16.0.0/24 サブネットから送信された場合、またはリモート管理ステーションに関連付けられた 10.0.0.1 ホスト プレフィックスから送信された場合、ファイアウォール フィルターによって SSH と Telnet が正しく許可されていることを検証します。

アクション

  1. ルーターまたはスイッチのファイアウォールログをクリアします。

  2. R1 デバイスなどの172.16.0.0/24 サブネットに接続されたホストから、 コマンドを使用して DUT への接続を ssh 172.16.0.253 開始します。デフォルトでは、R1デバイスは、宛先に到達するために使用されるエグレス インターフェイスからのトラフィックをソースします。その結果、テスト トラフィックは R1 の 172.16.0.254 アドレスから取得されます。このトラフィックは、参照されるプレフィックス block_non_manager 一致するアドレスに対するアクションの大別を理由として、フィルタ条件 except と一致しません。このトラフィックは、トラフィック accept_everything_else フィルタ条件に一致し、受け入れられる

    注:

    デバイス間のユーザーとして初めてSSHログインを実行する場合は、SSHホスト キーを 保存するよう求 めるプロンプトが表示されます。

  3. R2 デバイスでCLIし、SSH セッションを閉じます。

    注:

    コマンドを使用して、この手順を telnet 繰り返します。Telnet 接続が成功する必要があります。

  4. R2 デバイスの コマンドを使用して、R2 デバイスのファイアウォール ログ バッファに show firewall log 、172.16.0.0/24 サブネット内の送信元アドレスを持つエントリーが含か確認します。つまり、このトラフィックのパケット ヘッダー情報はファイアウォール フィルター ログ に記録されません。この例では、指定した条件 block_non_manager一致 するトラフィックだけがログに記録されます。

この出力は、管理ネットワークから取得された SSH(および Telnet)接続が受け入れられるか確認します。また、指定した期間と一致しない block_non_managerはログ に記録されません。SSH または Telnet トラフィックが、10.0.0.1 アドレスを割り当てられたリモート管理ステーションによって生成された場合にも、同じ結果が期待されます。

ログに記録されたパケットと拒否されたパケットを検証

目的

ファイアウォール フィルターが、manager-ipプレフィックス リストのいずれかのプレフィックスから発信されていない SSH および Telnet トラフィックを正しく破棄されていることを検証します。

アクション

  1. manager-ipプレフィックスリストに指定されていないアドレスからソースされたSSH トラフィックを 生成します。セッションを R1 デバイスのループバック アドレスから取得して、非承認 IP をシミュレートできます。または、管理サブネットに接続されていない、および 10.0.0.1 の IP アドレスが割り当てられていないリモート デバイスからの接続を開始します。この SSH セッションのパケットは破棄し、パケット ヘッダー情報はファイアウォール フィルター ログ バッファに記録する必要があります。

    注:

    エラー メッセージや返信は期待外です。接続の試行はタイムアウトします。これは、サンプル フィルターがアクションではなくを discard 使用しているため reject です。

    出力には、SSH 接続が成功しないという結果が表示されます。これによって、フィルターが、許可されない送信元アドレスから送信された SSH トラフィックを正しくブロックします。認証されていない IP 送信元アドレスによって開始された Telnet セッションにも、同じ結果が期待されます。

  2. コマンドを使用して、R2 デバイスのファイアウォール ログ バッファに、承認されていない送信元アドレスを持つパケットのエントリー show firewall log が含まれるか確認します。

出力は、10.0.0.119 送信元アドレスからのトラフィックが limit-mgmt-access フィルタのロギング条件と一致したと確認します。この例では 、block_non_manager の用語だけがログ アクションを実行しているのを思い出してください。列 Action に a が表示 D され、パケットが破棄されました。フィルタリングされたトラフィックのイングレス インターフェイスが、デバイスの管理ポート fxp0.0 に確認されました。フィルタリングされた TCP パケットのトランスポート プロトコルと IP アドレスも表示されます。このトラフィックの送信元 10.0.0.119 アドレスは 、manager-ip プレフィックス リストに表示されません。

これらの結果は、この例でファイアウォール フィルタが正常に機能しているという確認を行います。