Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Ejemplo Acceso de administración de control en Juniper de red

Nota:

Nuestro equipo de pruebas de contenido validó y actualizó este ejemplo.

En este ejemplo, se muestra cómo limitar el acceso de administración a Juniper dispositivos de red basados en un conjunto específico de direcciones IP permitidas. Este tipo de funcionalidad se suele denominar lista de control de acceso (ACL), y se implementa como un filtro de firewall sin estado en la Junos OS.

Aplicables

Un Juniper dispositivo de red conectado a una red de administración. Para ayudar a validar la configuración, debe haber al menos otro dispositivo con acceso a la red de administración que pueda iniciar conexiones SSH o Telnet con el dispositivo en prueba (DUT). No se necesita ninguna configuración especial más allá de la inicialización básica del dispositivo (interfaz de administración y ruta estática relacionada, servicios del sistema, cuentas de inicio de sesión de usuario, entre otros), antes de configurar este ejemplo.

Descripción general

Puede configurar un filtro de firewall para limitar las direcciones IP que pueden administrar un dispositivo. Este filtro de firewall debe incluir un término para denegar todo el tráfico, excepto las direcciones IP que se les permite administrar el dispositivo. Debe aplicar el filtro de firewall a la interfaz de circuito cerrado (lo0) para asegurarse de que solo se filtró el tráfico de administración, es decir, el tráfico enviado al propio dispositivo.

Topología de ejemplo

Figura 1muestra la topología de este ejemplo. El dispositivo R1 sirve como puerta de enlace predeterminada para la red de administración a la que se asigna la subred 172.16.0.0/24. Puede aplicar el filtro que limita el acceso de administración al dispositivo R2, lo que lo hace el DUT en este ejemplo. La estación de trabajo remota está autorizada para administrar el DUT y se le asignó la dirección 10.0.0.1/32.

En este ejemplo, usted:

  • Configure una lista de prefijos denominada manager-ip. Esta lista define el conjunto de direcciones IP a las que se les permite administrar el dispositivo. En este ejemplo, la lista incluye la propia subred de administración (172.16.0.0/24) y la dirección IP de un usuario remoto autorizado (10.0.0.1/32).

  • Configure un filtro de firewall limit-mgmt-access que rechaza todas las direcciones de origen, excepto el conjunto específico de direcciones definidas en la lista de prefijos del administrador-IP. Esto garantiza que solo las direcciones IP enumeradas en la lista de prefijos puedan administrar el dispositivo.

  • Aplique el filtro limit-mgmt-access a la interfaz de circuito cerrado. Cada vez que un paquete dirigido al dispositivo local llega a cualquier interfaz, la interfaz de circuito cerrado aplica el filtro limit-mgmt-access para limitar el acceso de administración a solo las direcciones permitidas.

Figura 1: Topología de red de ejemploTopología de red de ejemplo

Configure una lista de direcciones IP para restringir el acceso de administración a un dispositivo

Modalidades

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, edite los siguientes comandos según sea necesario y péguelos en el CLI del dispositivo R2 en el [edit] nivel de jerarquía. Para obtener integridad, la configuración incluye comandos para configurar SSH (para usuarios no usuarios) y los servicios del sistema Telnet. También proporciona la configuración de la interfaz de administración y la ruta estática relacionada. Estos comandos no son necesarios si el dispositivo ya tiene configurada esta funcionalidad.

Nota:

Telnet no admite el inicio de sesión en Juniper Networks dispositivos. El inicio de sesión SSH para el usuario no está configurado en este ejemplo. El dispositivo debe tener un usuario no configurado para permitir el inicio de sesión remoto. Como alternativa, puede agregar el argumento -login allow a la instrucción para permitir el inicio de sesión mediante system services ssh SSH.

Asegúrese de emitir un commit modo de configuración from para activar los cambios.

Consejo:

Cuando aplique un filtro que restrinja el acceso al dispositivo, considere la posibilidad de usar commit confirmed . Esta opción revierte automáticamente la configuración si no puede emitir otra confirmación en el tiempo especificado.

Procedimiento paso a paso

Los siguientes pasos requieren que desplace varios niveles de la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración en la guía del usuario de CLI.

  1. Configure las interfaces de administración y circuito cerrado y asegúrese de que telnet y los servicios del sistema SSH están habilitados.

    Nota:

    Telnet no admite el inicio de sesión en Juniper Networks dispositivos. El inicio de sesión SSH para el usuario no está configurado en este ejemplo. El dispositivo debe tener un usuario no configurado para permitir el inicio de sesión remoto. Como alternativa, puede agregar el argumento -login allow a la instrucción para permitir el inicio de sesión mediante system services ssh SSH.

  2. Defina el conjunto de direcciones de host permitidas en la lista de prefijos. Esta lista incluye prefijos para la subred de administración y para una sola estación de administración remota autorizada.

    En el filtro de firewall se hace referencia a la lista de prefijos. El uso de una lista de prefijos facilita la actualización de las direcciones a las que se les permite acceder al dispositivo. Esto se debe a que solo se debe actualizar la lista de prefijos. No es necesario editar el filtro del firewall al agregar o eliminar los prefijos permitidos.

  3. Configure un filtro de firewall para denegar el tráfico telnet y SSH de todas las direcciones IP, excepto las definidas en la lista de prefijos.

    Observe el uso del modificador except de acción. El primer término coincide con todas las direcciones de origen posibles. El siguiente término invierte la coincidencia para esas direcciones de origen en la lista de prefijos especificados. El resultado es que el tráfico de administración destinado al protocolo y los puertos especificados solo se acepta cuando el tráfico proviene de una dirección de la lista. Se descarta el tráfico desde todos los demás prefijos de origen a la misma combinación de protocolo y puertos. En este ejemplo, se agrega una acción de registro para ayudar en la depuración y verificación de filtros.

  4. Configure un término predeterminado para aceptar el resto del tráfico. Esto garantiza que otros servicios y protocolos, por ejemplo, pings, BGP o OSPF, no se ven afectados por el filtro.

    Consejo:

    El filtro de ejemplo es permisivo por diseño. Puede representar una amenaza de seguridad, ya que acepta explícitamente todo el tráfico que no ha sido rechazada ni descartada por los términos del filtro anteriores. Puede configurar un filtro de seguridad más sólido enumerando explícitamente todos los protocolos y servicios que se deben aceptar finalizando el filtro con un término denegar todo el término, ya sea de forma implícita o explícita, para filtrar todo el resto del tráfico. El inconveniente de un filtro restrictivo es que se debe editar cada vez que se agrega o elimina un servicio compatible.

  5. Aplique el filtro de firewall sin estado a la interfaz de circuito cerrado como filtro de entrada. El tráfico enviado desde el dispositivo local no se filtra en este ejemplo.

Resultados

Para confirmar su trabajo, escriba los siguientes show configuration comandos en el modo de configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.

Cuando esté satisfecho con su trabajo, ingrese commit en el modo de configuración.

Consejo:

Cuando aplique un filtro que restrinja el acceso al dispositivo, considere la posibilidad de usar commit confirmed . Esta opción revierte automáticamente la configuración si no puede emitir otra confirmación en el tiempo especificado.

Verificar el filtro de firewall sin estado

Confirme que el filtro de firewall para limitar el acceso de administración funciona correctamente.

Verificar paquetes aceptados

Purpose

Compruebe que el filtro de firewall permite correctamente SSH y Telnet cuando el tráfico es de origen de la subred 172.16.0.0/24 o del prefijo de host 10.0.0.1 asociado con la estación de administración remota.

Intervención

  1. Borre el registro del firewall en su enrutador o conmutador.

  2. Desde un host conectado a la subred 172.16.0.0/24, como el dispositivo R1, use el comando para iniciar una conexión con el ssh 172.16.0.253 DUT. De forma predeterminada, las fuentes del dispositivo R1 son el tráfico de la interfaz de salida utilizada para llegar al destino. Como resultado, el tráfico de prueba viene de la dirección 172.16.0.254 de R1. Este tráfico no coincide con el término block_non_manager de filtro debido al modificador de acción para las direcciones que coincidan con la except lista de prefijos a la que se hace referencia. Este tráfico coincide con el término accept_everything_else filtro que hace que se acepte

    Nota:

    Se le pedirá que guarde la clave de host SSH si este es el primer inicio de sesión ssh como usuario entre estos dispositivos.

  3. Cierre sesión en el CLI en el dispositivo R2 para cerrar la sesión SSH.

    Nota:

    Repita este paso con el telnet comando. La conexión telnet debe tener éxito.

  4. Utilice el comando en el dispositivo R2 para comprobar que el búfer de registro del firewall en el dispositivo R2 no contiene entradas con una dirección de origen en la show firewall log subred 172.16.0.0/24. Esto significa que la información del encabezado del paquete para este tráfico no se registra en el registro del filtro del firewall. En este ejemplo, solo se registra el tráfico block_non_manager coincide con el término de extensión.

Efectos

El resultado confirma que se aceptan conexiones SSH (y Telnet) cuando se fuente de la red de administración. También muestra que no se registran los paquetes que no coincidan block_non_manager término. Se esperan los mismos resultados si el tráfico SSH o Telnet se genera en la estación de administración remota a la que se asigna la dirección 10.0.0.1.

Verificar paquetes registrados y rechazadas

Purpose

Compruebe que el filtro de firewall descarta correctamente el tráfico SSH y Telnet que no se origina en uno de los prefijos de la lista de prefijos del administrador-IP.

Intervención

  1. Genere tráfico SSH con origen desde una dirección que no se especifica en la lista de prefijos manager-ip. Puede obtener el origen de la sesión desde la dirección de circuito cerrado del dispositivo R1 para simular una IP no autorizada. Como alternativa, inicie la conexión desde cualquier dispositivo remoto que no esté conectado a la subred de administración y que no tenga asignada una dirección IP de 10.0.0.1. Los paquetes para esta sesión ssh se deben descartar y la información del encabezado del paquete se debe registrar en el búfer de registro del filtro de firewall.

    Nota:

    No debe esperar ningún mensaje de error o respuesta. El intento de conexión estará en tiempo de espera. Esto se debe a que el filtro de ejemplo utiliza una acción discard en lugar reject de una.

    El resultado muestra que la conexión SSH no se realiza correctamente. Esto confirma que el filtro bloquea correctamente el tráfico SSH cuando se envía desde una dirección de origen no permitido. Se espera el mismo resultado para las sesiones de Telnet que inicie cualquier dirección IP de origen no autorizada.

  2. Utilice el comando para comprobar que el búfer de registro del firewall en el dispositivo R2 ahora contiene entradas para paquetes con una dirección de show firewall log origen no autorizada.

Efectos

El resultado confirma que el tráfico de la dirección de origen 10.0.0.119 coincide con un término de registro en el filtro limit-mgmt-access. Recuerde que solo el término block_non_manager tiene una acción de registro en este ejemplo. La Action columna muestra una para indicar que los D paquetes se descartaron. Se confirma que la interfaz de entrada para el tráfico filtrado es el puerto de fxp0.0 administración del dispositivo. También se muestran TCP el protocolo de transporte y las direcciones IP de los paquetes filtrados. Tenga en cuenta que la dirección de origen de este tráfico no aparece en la lista de 10.0.0.119prefijos del administrador-IP.

Estos resultados confirman que el filtro del firewall funciona correctamente para este ejemplo.