Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Descripción general del acceso remoto

Usted (el administrador de red) puede acceder a un enrutador, conmutador o dispositivo de seguridad de forma remota mediante servicios como DHCP, Finger, FTP, rlogin, SSH y los servicios de Telnet. En este tema, se muestra cómo configurar el acceso remoto mediante los servicios Telnet, SSH, FTP y Finger.

Descripción general de servicios del sistema

Por motivos de seguridad, el acceso remoto al enrutador está deshabilitado de forma predeterminada. Debe configurar el enrutador explícitamente para que los usuarios de sistemas remotos puedan acceder a él. Los usuarios pueden acceder al enrutador desde un sistema remoto mediante los servicios DHCP, dedo, FTP, rlogin, SSH y Telnet. Además, las aplicaciones cliente de protocolo JUnos XML pueden usar capa de sockets seguros (SSL) o el servicio de texto sin formato específico del protocolo XML de Junos, entre otros servicios.

Nota:

Para proteger los recursos del sistema, puede limitar la cantidad de conexiones simultáneas que acepta un servicio y la cantidad de procesos propiedad de un solo usuario. Si se supera cualquiera de los límites, se produce un error en los intentos de conexión.

Configurar el servicio Telnet para el acceso remoto a un enrutador o conmutador

Para configurar el enrutador o conmutador para que acepte Telnet como servicio de acceso, incluya la telnet instrucción en el [edit system services] nivel de jerarquía:

De forma predeterminada, el enrutador o conmutador admite un número limitado de sesiones de Telnet simultáneas e intentos de conexión por minuto.

De forma opcional, puede incluir una de las siguientes instrucciones o ambas para cambiar los valores predeterminados:

  • connection-limit limit— Número máximo de conexiones simultáneas por protocolo (IPV4 e IPv6). El rango es de 1 a 250. El valor predeterminado es 75. Cuando configure un límite de conexión, el límite se aplica al número de sesiones de telnet por protocolo (IPv4 e IPv6). Por ejemplo, un límite de conexión de 10 permite 10 sesiones IPv6 telnet y 10 sesiones IPv4 telnet.

  • rate-limit limit— Número máximo de intentos de conexión aceptados por minuto (de 1 a 250). El valor predeterminado es 150. Cuando configure un límite de velocidad, el límite se aplica al número de intentos de conexión por protocolo (IPv4 e IPv6). Por ejemplo, un límite de velocidad de 10 permite 10 intentos de conexión de sesión telnet IPv6 por minuto y 10 intentos de conexión de sesión telnet IPv4 por minuto.

No puede incluir la telnet instrucción en dispositivos que ejecutan el software Junos-FIPS. Recomendamos que no use Telnet en un entorno de Common Criteria.

Configurar el servicio FTP para el acceso remoto al enrutador o conmutador

Para configurar el dispositivo para que acepte FTP como servicio de acceso, incluya la ftp instrucción en el [edit system services] nivel jerárquico:

De forma predeterminada, el enrutador o conmutador admite un número limitado de sesiones FTP simultáneas e intentos de conexión por minuto. Puede incluir una de las siguientes instrucciones o ambas para cambiar los valores predeterminados:

  • connection-limit limit— Número máximo de conexiones simultáneas por protocolo (IPV4 e IPv6). El intervalo es un valor del 1 al 250. El valor predeterminado es 75. Cuando configure un límite de conexión, el límite se aplica al número de sesiones por protocolo (IPv4 e IPv6). Por ejemplo, un límite de conexión de 10 permite 10 sesiones FTP IPv6 y 10 sesiones IPv4 FTP.

  • rate-limit limit— Número máximo de intentos de conexión aceptados por minuto (valor de 1 a 250). El valor predeterminado es 150. Cuando configure un límite de velocidad, el límite se aplica al número de intentos de conexión por protocolo (IPv4 e IPv6). Por ejemplo, un límite de velocidad de 10 permite 10 intentos de conexión de sesión FTP IPv6 y 10 intentos de conexión de sesión FTP IPv4.

Puede usar FTP pasivo para acceder a dispositivos que solo acepten servicios FTP pasivos. Todos los comandos e instrucciones que utilizan FTP también aceptan FTP pasivo. Incluya la ftp instrucción en el [edit system services] nivel de jerarquía para usar FTP activo o FTP pasivo.

Para iniciar una sesión FTP pasiva, utilice pasvftp (en lugar de ftp ) en el formato FTP estándar (ftp://destination). Por ejemplo:

No puede incluir la ftp instrucción en enrutadores o conmutadores que ejecutan el software Junos-FIPS. Recomendamos que no utilice el servicio FTP en un entorno de Common Criteria.

Configurar el servicio Finger para el acceso remoto al enrutador

Para configurar el enrutador para que acepte el dedo como servicio de acceso, incluya la finger instrucción en el [edit system services] nivel jerárquico:

De forma predeterminada, el enrutador admite un número limitado de sesiones de dedo e intentos de conexión simultáneos por minuto. De forma opcional, puede incluir una de las siguientes instrucciones o ambas para cambiar los valores predeterminados:

  • connection-limit limit— Número máximo de conexiones simultáneas por protocolo (IPv4 e IPv6). El intervalo es un valor del 1 al 250. El valor predeterminado es 75. Cuando configure un límite de conexión, el límite se aplica al número de sesiones por protocolo (IPv4 e IPv6). Por ejemplo, un límite de conexión de 10 permite 10 sesiones de servicio de texto sin formato IPv6 y 10 sesiones de servicio de texto sin formato IPv4

  • rate-limit limit— Número máximo de intentos de conexión aceptados por minuto (valor de 1 a 250). El valor predeterminado es 150. Cuando configure un límite de velocidad, el límite se aplica al número de intentos de conexión por protocolo (IPv4 e IPv6). Por ejemplo, un límite de velocidad de 10 permite 10 intentos de conexión de sesión IPv6 por minuto y 10 intentos de conexión de sesión IPv4 por minuto.

No puede incluir la finger instrucción en enrutadores que ejecutan el software Junos-FIPS. Recomendamos que no utilice el servicio finger en un entorno de Criterios comunes.

Configurar el servicio SSH para el acceso remoto al enrutador o conmutador

Para configurar el enrutador o conmutador para que acepte SSH como servicio de acceso, incluya la ssh instrucción en el [edit system services] nivel jerárquico:

De forma predeterminada, el enrutador o conmutador admite un número limitado de sesiones SSH simultáneas e intentos de conexión por minuto. Utilice las siguientes instrucciones para cambiar los valores predeterminados:

  • connection-limit limit— Número máximo de conexiones simultáneas por protocolo (IPv4 e IPv6). El intervalo es un valor del 1 al 250. El valor predeterminado es 75. Cuando se configura un límite de conexión, el límite se aplica al número de sesiones SSH por protocolo (IPv4 e IPv6). Por ejemplo, un límite de conexión de 10 permite 10 sesiones SSH IPv6 y 10 sesiones SSH IPv4.

  • max-sessions-per-connection number— Incluya esta instrucción para especificar el número máximo de sesiones SSH permitidas por una sola conexión SSH. Esto le permite limitar la cantidad de sesiones clonadas tunelizadas dentro de una sola conexión SSH. El valor predeterminado es 10.

  • rate-limit limit— Número máximo de intentos de conexión aceptados por minuto (valor de 1 a 250). El valor predeterminado es 150. Cuando configure un límite de velocidad, el límite se aplica al número de intentos de conexión por protocolo (IPv4 e IPv6). Por ejemplo, un límite de velocidad de 10 permite 10 intentos de conexión de sesión SSH IPv6 por minuto y 10 intentos de conexión de sesión SSH IPv4 por minuto.

  • data-limit—Límite de datos antes de renegociar las claves de sesión (bytes)

  • time-limit—Plazo antes de la renegociación de las claves de sesión (minutos)

A partir de Junos OS versión 19.4R1 y Junos OS versión 17.4R3, puede deshabilitar la contraseña de inicio de sesión SSH o la autenticación de desafío-respuesta usando las no-password-authentication opciones en no-challenge-response el nivel de jerarquía [edit system services ssh].

De forma predeterminada, un usuario puede crear un túnel SSH a través de una sesión de CLI a un enrutador que ejecuta Junos OS a través de SSH. Este tipo de túnel se puede utilizar para reenviar tráfico TCP, pasando por alto cualquier filtro de firewall o listas de control de acceso. Al pasar por alto los filtros de firewall o las listas de control de acceso, este tipo de túnel permite el acceso a recursos más allá del enrutador. Utilice la no-tcp-forwarding opción para evitar que un usuario cree un túnel SSH a un enrutador mediante SSH.

Para obtener más información acerca de otras opciones de configuración, consulte los temas siguientes:

Configure el inicio de sesión raíz a través de SSH

De forma predeterminada, los usuarios pueden iniciar sesión en el enrutador o cambiar como root mediante SSH cuando el método de autenticación no requiere una contraseña. Para controlar el acceso de los usuarios a través de SSH, incluya la root-login instrucción en el [edit systems services ssh] nivel jerárquico:

allow— Permite a los usuarios iniciar sesión en el enrutador o cambiar como raíz a través de SSH.

deny: permite que los usuarios inicien sesión en el enrutador o cambien como raíz a través de SSH.

deny-password—Permite a los usuarios iniciar sesión en el enrutador o cambiar como raíz a través de SSH cuando el método de autenticación (por ejemplo, RSA) no requiere una contraseña.

El valor predeterminado es deny-password.

Configurar conexiones SFTP entrantes

El protocolo de transferencia de archivos SSH (SFTP) es un protocolo de red que proporciona acceso a archivos, transferencia de archivos y administración de archivos sobre cualquier flujo de datos confiable. A partir de Junos OS versión 19.1R1, hemos deshabilitado globalmente las conexiones SFTP entrantes de forma predeterminada. Si lo desea, puede habilitar globalmente las conexiones SFTP entrantes mediante la configuración de la instrucción sftp-server en el [edit system services ssh] nivel de jerarquía. Antes de junos OS versión 19.1R1, las conexiones SFTP entrantes estaban habilitadas de forma global de forma predeterminada.

Nota:

Solo las conexiones SFTP entrantes están deshabilitadas de forma predeterminada. Por ejemplo, dados los dispositivos A y B (en los que el dispositivo A ejecuta 19.1R1), no puede conectarse a través de SFTP de B a A de forma predeterminada. Sin embargo, puede conectarse a través de SFTP del dispositivo B al dispositivo A si configura sftp-server en el dispositivo A.

Las conexiones SFTP entrantes están deshabilitadas de forma predeterminada. Para habilitar conexiones SFTP entrantes:

  1. Configure la sftp-server instrucción en el [edit system services ssh] nivel de jerarquía:
  2. Confirme la configuración.

    La sftp-server instrucción ya está activa. Por lo tanto, las conexiones SFTP entrantes están habilitadas.

Configurar la versión del protocolo SSH

De forma predeterminada, solo está habilitada la versión 2 del protocolo SSH.

Para configurar el enrutador o conmutador para usar la versión 2 del protocolo SSH, incluya la protocol-version instrucción y especifique v2 en el [edit system services ssh] nivel jerárquico:

Los sistemas en modo FIPS siempre utilizan la versión del v2protocolo SSH.

Configurar el mecanismo de vida del cliente

El mecanismo activo del cliente es valioso cuando el cliente o el servidor dependen de saber cuándo una conexión se ha inactivo. Difiere del mecanismo estándar de guarda porque los mensajes vivos del cliente se envían a través del canal cifrado. El mecanismo de vida del cliente no está habilitado de forma predeterminada. Para habilitarlo, configure las client-alive-count-max instrucciones y client-alive-interval . Esta opción solo se aplica al protocolo SSH versión 2.

En el ejemplo siguiente, los clientes SSH que no responden se desconectarán después de aproximadamente 100 segundos (20 x 5):

Configurar el algoritmo hash de huellas digitales SSH

Para configurar el algoritmo hash utilizado por el servidor SSH cuando muestra las huellas digitales de la clave, incluya la fingerprint-hash instrucción y especifique md5 o sha2-256 en el [edit system services ssh] nivel de jerarquía:

El md5 algoritmo hash no está disponible en sistemas en modo FIPS.

Configurar la autenticación basada en certificados SSH

A partir de Junos OS y Junos OS Evolved versión 22.4R1, puede configurar la autenticación basada en certificados SSH para usuarios y hosts. Esta función le permite configurar el acceso SSH a un dispositivo con inicio de sesión sin contraseña para los usuarios y ofrece la capacidad de confiar en los hosts sin la necesidad de verificar las huellas digitales de la clave.

Para configurar la autenticación basada en certificados SSH, utilice las siguientes instrucciones de configuración de CLI:

  • [system services ssh trusted-user-ca-key-file filename]— Configure el TrustedUserCAKey archivo en /etc/ssh/sshd_config, que contiene las claves públicas de un certificado SSH.

  • [system services ssh host-certificate-file filename]— Configure el HostCertificate archivo en /etc/ssh/sshd_config, que contiene el certificado de host firmado.

  • [system services ssh authorized-principals-file filename]— Configure el AuthorizedPrincipals archivo en /var/etc, que contiene una lista de nombres, uno de los cuales debe aparecer en el certificado para que se acepte para la autenticación.

  • [system services ssh authorized-principals-command program-path]— Especifique un programa que se utilizará para generar la lista de entidades de seguridad de certificado permitidas que se encuentran en el AuthorizedPrincipals archivo.

El comando telnet

Puede usar el comando de cli telnet para abrir una sesión Telnet en un dispositivo remoto:

Nota:

En los dispositivos SRX100, SRX210, SRX220, SRX240, SRX300, SRX320, SRX340, SRX345 y SRX1500, la cantidad máxima de sesiones simultáneas de Telnet se indica en la tabla siguiente. La compatibilidad de la plataforma depende de la versión de Junos OS en su instalación.

SRX100

SRX210SRX220

SRX240

SRX300SRX320SRX340

SRX345

SRX1500

3

3

5

3

5

5

Para salir de la sesión telnet y volver al símbolo del sistema telnet, presione Ctrl-].

Para salir de la sesión telnet y volver al símbolo del sistema de cli, escriba quit.

Tabla 1: Opciones de comando de CLI telnet

Option

Descripción

8bit

Utilice una ruta de datos de 8 bits.

bypass-routing

Omita las tablas de enrutamiento y abra una sesión de Telnet solo a hosts en interfaces directamente conectadas. Si el host no está en una interfaz directamente adjunta, se devuelve un mensaje de error.

host

Abra una sesión Telnet en el nombre de host o dirección IP especificados.

inet

Forzar la sesión de Telnet a un destino IPv4.

interface source-interface

Abra una sesión Telnet en un host en la interfaz especificada. Si no incluye esta opción, se usarán todas las interfaces.

no-resolve

Suprima la visualización de nombres simbólicos.

port port

Especifique el número de puerto o el nombre de servicio en el host.

routing-instance routing-instance-name

Utilice la instancia de enrutamiento especificada para la sesión de Telnet.

source address

Utilice la dirección de origen especificada para la sesión de Telnet.

El comando ssh

Puede usar el comando de CLI ssh para usar el programa secure shell (SSH) para abrir una conexión a un dispositivo remoto:

Nota:

En los dispositivos SRX100, SRX210, SRX220, SRX240, SRX300, SRX320, SRX340, SRX345 y SRX1500, la cantidad máxima de sesiones SSH simultáneas se indica en la tabla siguiente. La compatibilidad de la plataforma depende de la versión de Junos OS en su instalación.

SRX100

SRX210SRX220

SRX240

SRX300SRX320SRX340

SRX345

SRX1500

3

3

5

3

5

5

Tabla 2 describe las opciones de ssh comando.

Tabla 2: Opciones de comando ssh de CLI

Option

Descripción

bypass-routing

Omita las tablas de enrutamiento y abra una conexión SSH solo a hosts en interfaces conectadas directamente. Si el host no está en una interfaz directamente adjunta, se devuelve un mensaje de error.

host

Abra una conexión SSH al nombre de host o dirección IP especificados.

inet

Forzar la conexión SSH a un destino IPv4.

interface source-interface

Abra una conexión SSH a un host en la interfaz especificada. Si no incluye esta opción, se usarán todas las interfaces.

routing-instance routing-instance-name

Utilice la instancia de enrutamiento especificada para la conexión SSH.

source address

Utilice la dirección de origen especificada para la conexión SSH.

v1

Obligue a SSH a usar la versión 1 para la conexión.

v2

Obligue a SSH a usar la versión 2 para la conexión.

Configure las claves de host conocidas de SSH para la copia segura de datos

El Shell seguro (SSH) utiliza algoritmos de cifrado para generar un sistema de clave de host, servidor y sesión que garantiza una transferencia de datos segura. Puede configurar claves de host SSH para admitir la copia segura (SCP) como alternativa a FTP para la transferencia de datos en segundo plano, como archivos de configuración y registros de eventos. Para configurar la compatibilidad de SSH para SCP, debe completar las siguientes tareas:

  • Especifique hosts conocidos ssh mediante la inclusión de nombres de host e información de clave de host en la jerarquía de configuración del motor de enrutamiento.

  • Establezca una URL DE SCP para especificar el host desde el cual se recibirán los datos. Al configurar este atributo, se recupera automáticamente la información de la clave de host SSH del servidor SCP.

  • Compruebe que la clave de host es auténtica.

  • Acepte la conexión segura. Al aceptar esta conexión, se almacena automáticamente la información de la clave de host en la base de datos de claves de host local. Almacenar información de clave de host en la jerarquía de configuración automatiza el apretón de manos seguro y permite la transferencia de datos en segundo plano mediante SCP.

Las tareas para configurar las claves de host SSH para la copia segura de datos son:

Configurar hosts conocidos de SSH

Para configurar hosts conocidos ssh, incluya la instrucción y especifique las host opciones de nombre de host y clave de host para servidores de confianza en el [edit security ssh-known-hosts] nivel jerárquico:

Las claves de host son una de las siguientes:

  • dsa-key key—Clave de algoritmo de firma digital (DSA) codificada base64 para SSH versión 2.

  • ecdsa-sha2-nistp256-key key—Clave ECDSA-SHA2-NIST256 codificada en Base64.

  • ecdsa-sha2-nistp384-key key—Clave ECDSA-SHA2-NIST384 codificada en Base64.

  • ecdsa-sha2-nistp521-key key—Clave ECDSA-SHA2-NIST521 codificada en Base64.

  • ed25519-key key—Clave ED25519 codificada en base64.

  • rsa-key key—Algoritmo de clave pública codificada Base64 que admite cifrado y firmas digitales para SSH versión 1 y SSH versión 2.

  • rsa1-key key—Algoritmo de clave pública RSA codificado en Base64, que admite cifrado y firmas digitales para SSH versión 1.

Configurar la compatibilidad para la transferencia de archivos SCP

Para configurar un host conocido para que admita transferencias de archivos SCP en segundo plano, incluya la archive-sites instrucción en el [edit system archival configuration] nivel de jerarquía.

Nota:

Cuando especifique una URL en una Junos OS instrucción con una dirección de host IPv6, debe adjuntar la DIRECCIÓN URL completa entre comillas (" ") y adjuntar la dirección de host IPv6 entre corchetes ([ ]). Por ejemplo, “scp://username<:password>@[host]<:port>/url-path”;

Establecer la archive-sites instrucción para que apunte a una URL SCP activa la recuperación automática de claves de host. En este punto, Junos OS se conecta al host SCP para buscar la clave pública SSH, muestra el resumen del mensaje de la clave del host o la huella digital como salida a la consola y termina la conexión con el servidor.

Para comprobar que la clave de host es auténtica, compare esta huella digital con una huella digital que obtenga del mismo host mediante un origen de confianza. Si las huellas digitales son idénticas, acepte la clave de host ingresando yes en el indicador. La información de la clave del host se almacena en la configuración del motor de enrutamiento y admite transferencias de datos en segundo plano mediante SCP.

Actualizar la información de la clave de host SSH

Por lo general, la información de clave de host SSH se recupera automáticamente cuando se establece un atributo URL para SCP mediante la archival configuration archive-sites instrucción en el [edit system] nivel de jerarquía. Sin embargo, si necesita actualizar manualmente la base de datos de claves de host, utilice uno de los métodos siguientes.

Recuperar información de clave de host manualmente

Para recuperar manualmente información de clave de host público SSH, configure la fetch-from-server opción en el [edit security ssh-known-hosts] nivel jerárquico. Debe especificar el host desde el que recuperar la clave pública SSH.

Importar información de clave de host desde un archivo

Para importar manualmente información de clave de host SSH desde un known_hosts archivo, incluya la load-key-file opción en el [edit security ssh-known-hosts] nivel jerárquico. Debe especificar la ruta al archivo desde el cual importar información de clave de host.

Configurar el servicio SSH para admitir criptografía heredada

El servidor SSH en se basa en Junos OS OpenSSH 7 y por defecto a un conjunto más seguro de cifrados y algoritmos de intercambio de claves. OpenSSH 7 omite alguna criptografía heredada.

Nota:

La falta de soporte para la criptografía heredada en dispositivos hace que el descubrimiento de dispositivos de Junos Space falle. Para evitar este problema, configure el dispositivo para que admita el 3des-cbc o blowfish-cbc el cifrado, o ambos, y el dh-group1-sha1 método de intercambio de claves. Este problema no afecta a los dispositivos que ejecutan Junos OS con FreeBSD actualizado.

Nota:

Consulte la documentación de OpenSSH 7 en https://www.openssh.com/ para obtener más información acerca de estas extensiones.

Junos OS admite el siguiente conjunto de cifrados de forma predeterminada:

  • chacha20-poly1305@openssh.com

  • aes128-ctr

  • aes192-ctr

  • aes256-ctr

  • aes128-gcm@openssh.com

  • aes256-gcm@openssh.com

En Junos OS, los siguientes cifrados no se admiten de forma predeterminada, pero puede configurar el dispositivo para que los admitan. Se enumeran desde los más seguros hasta los menos seguros:

  • aes256-cbc

  • aes192-cbc

  • aes128-cbc

  • 3des-cbc

  • blowfish-cbc

  • cast128-cbc

  • arcfour256

  • arcfour128

  • arcfour

Junos OS admite el siguiente conjunto de métodos de intercambio de claves de forma predeterminada:

  • curve25519-sha256

  • ecdh-sha2-nistp256

  • ecdh-sha2-nistp384

  • ecdh-sha2-nistp521

  • group-exchange-sha2

  • dh-group14-sha1

En Junos OS, los siguientes métodos de intercambio de claves no se admiten de forma predeterminada, pero puede configurar el dispositivo para que sean compatibles con ellos:

  • group-exchange-sha1

  • dh-group1-sha1

Para configurar el servicio SSH para que admita la criptografía heredada:

Nota:

Al configurar un conjunto ordenado de cifrados, métodos de intercambio de claves o códigos de autenticación de mensajes (MAC), el conjunto recién definido se aplica a los comandos de servidor y cliente. Los cambios en los valores predeterminados afectan al file copy comando cuando se utiliza Secure Copy Protocol (SCP).

  1. Agregue compatibilidad con cifrados mediante el set system services ssh ciphers [ cipher 1 cipher 2 ... ] comando. Recomendamos que agregue los cifrados al final de la lista de configuración para que se encuentren entre las últimas opciones utilizadas. En el siguiente ejemplo, los arcfour cifrados y blowfish-cbc se agregan al conjunto predeterminado:
  2. Agregue compatibilidad con métodos de intercambio de claves mediante el set system services ssh key-exchange [ method 1 method 2 ... ] comando. Recomendamos que agregue los métodos de intercambio de claves al final de la lista de configuración para que se encuentren entre las últimas opciones utilizadas. En el siguiente ejemplo, el dh-group1-sha1 método de intercambio de claves se agrega al conjunto predeterminado:
  3. Confirme la configuración:

Consulte también

Configurar el servicio SSH saliente

Puede configurar un dispositivo en ejecución Junos OS para iniciar una conexión TCP/IP con una aplicación de administración de cliente. Si la aplicación de administración no llega a un dispositivo de Juniper Networks, por ejemplo, el dispositivo es un firewall. En estos casos, outbound-ssh se puede configurar en el dispositivo Juniper Networks. Una outbound-ssh configuración inicia una conexión SSH inversa del servidor al cliente a la aplicación de administración. Esta conexión SSH saliente solo se cierra después de quitar la configuración del dispositivo.

Nota:

No hay ningún comando de iniciación con SSH saliente. Después de configurar y confirmar SSH saliente, el dispositivo comienza a iniciar una conexión SSH saliente según la configuración confirmada. El dispositivo intenta crear esta conexión repetidamente hasta que se éxito. Si se pierde la conexión entre el dispositivo y la aplicación de administración del cliente, el dispositivo vuelve a intentar crear una nueva conexión SSH saliente hasta que se produzca correctamente. Esta conexión se mantiene hasta que la estrofa SSH saliente se elimina de la configuración.

Para configurar el dispositivo para conexiones SSH salientes, incluya la outbound-ssh instrucción en el [edit system services] nivel jerárquico:

[edit system services outbound-ssh]

En los siguientes temas se describen las tareas para configurar el servicio SSH saliente.

Envíe la clave de host SSH pública al cliente SSH saliente

Cada vez que el enrutador o conmutador establece una conexión SSH saliente, primero envía una secuencia de iniciación al cliente de administración. Esta secuencia identifica el enrutador o el cambio al cliente de administración. Dentro de esta transmisión se encuentra el valor de device-id.

Para configurar el identificador de dispositivo del enrutador o conmutador, incluya la device-id instrucción en el [edit system services outbound-ssh client client-id] nivel jerárquico:

La secuencia de iniciación cuando secret no está configurada:

Durante la inicialización de una conexión SSH, el cliente autentica la identidad del dispositivo mediante la clave de host SSH pública del dispositivo. Por lo tanto, antes de que el cliente pueda iniciar la secuencia SSH, el cliente necesita la clave SSH pública del dispositivo. Cuando configure la secret instrucción, el dispositivo pasa su clave SSH pública como parte de la secuencia de iniciación de la conexión SSH saliente.

Cuando se establece la secret instrucción y el dispositivo establece una conexión SSH saliente, el dispositivo comunica su ID de dispositivo, su clave SSH pública y un hash SHA1 derivado en parte de la secret instrucción. El valor de la secret instrucción se comparte entre el dispositivo y el cliente de administración. El cliente usa el secreto compartido para autenticar la clave de host SSH pública que está recibiendo para determinar si la clave pública es del dispositivo identificado por la device-id instrucción.

El uso de la secret instrucción para transportar la clave de host SSH pública es opcional. Puede transportar e instalar manualmente la clave pública en el sistema cliente.

Nota:

Incluir la secret instrucción significa que el dispositivo envía su clave de host SSH pública cada vez que establece una conexión con el cliente. Luego, es el cliente el que decide qué hacer con la clave de host SSH si el cliente ya tiene una clave SSH para ese dispositivo. Recomendamos que reemplace la copia del cliente de la clave de host SSH por la nueva clave. Las claves de host pueden cambiar por varias razones. Al reemplazar la clave cada vez que se establece una conexión, se asegura de que el cliente tenga la clave más reciente.

Para enviar la clave de host SSH pública del enrutador o conmutador cuando el dispositivo se conecta al cliente, incluya la secret instrucción en el [edit system services outbound-ssh client client-id] nivel de jerarquía:

El dispositivo envía el siguiente mensaje cuando se configura el secret atributo:

Configurar mensajes keepalive para conexiones SSH salientes

Después de que la aplicación cliente tenga la clave de host SSH pública del enrutador o del conmutador, puede iniciar la secuencia SSH como si hubiera creado la conexión TCP/IP. Luego, el cliente puede autenticar el dispositivo mediante su copia de la clave SSH de host público del enrutador o del conmutador como parte de esa secuencia. El dispositivo autentica al usuario cliente mediante los mecanismos admitidos en Junos OS (autenticación de contraseña o cadena pública RSA/DSA).

Para permitir que el dispositivo envíe mensajes de mantener el protocolo SSH a la aplicación cliente, configure la keep-alive instrucción en el [edit system services outbound-ssh client client-id] nivel jerárquico:

Configurar una nueva conexión SSH saliente

Cuando se desconecta, el dispositivo comienza a iniciar una nueva conexión SSH saliente. Para especificar cómo se vuelve a conectar el dispositivo al servidor después de que se cae una conexión, incluya la reconnect-strategy instrucción en el [edit system services outbound-ssh client client-id] nivel jerárquico:

También puede especificar el número de intentos de reintentos y establecer la cantidad de tiempo antes de que se detengan los intentos de reconexión. Consulte Configurar mensajes keepalive para conexiones SSH salientes.

Configure el cliente SSH saliente para aceptar NETCONF como servicio disponible

Para configurar la aplicación para que acepte NETCONF como servicio disponible, incluya la services netconf instrucción en el [edit system services outbound-ssh client client-id] nivel jerárquico:

Configurar clientes SSH salientes

Para configurar los clientes disponibles para esta conexión SSH saliente, enumera cada cliente con una instrucción de dirección independiente en el [edit system services outbound-ssh client client-id] nivel jerárquico:

Nota:

Las conexiones SSH salientes admiten formatos de direcciones IPv4 e IPv6.

Configurar instancias de enrutamiento para clientes SSH salientes

Para usar la instancia de enrutamiento de administración, primero habilite la instancia de mgmt_junos enrutamiento mediante el set system management-instance comando.

Para usar cualquier otra instancia de enrutamiento, configure primero la instancia de enrutamiento en la [edit routing-instances] jerarquía.

Si no especifica una instancia de enrutamiento, el dispositivo establecerá la conexión SSH saliente mediante la tabla de enrutamiento predeterminada.

Configurar conexiones NETCONF-over-SSH en un puerto TCP especificado

Junos OS le permite restringir las conexiones NETCONF entrantes a un puerto TCP especificado sin configurar un firewall. Para configurar el puerto TCP utilizado para las conexiones NETCONF-over-SSH, incluya la port instrucción en el [edit system services netconf ssh] nivel de jerarquía. El puerto configurado solo acepta sesiones NETCONF-over-SSH. Se rechazan las solicitudes regulares de sesión SSH para este puerto.

Puede configurar el puerto predeterminado 830 para conexiones NETCONF a través de SSH, como se especifica en RFC 4742, Mediante el protocolo de configuración de NETCONF sobre Shell seguro (SSH) o configurar cualquier puerto del 1 al 65535.

Nota:

  • El puerto SSH predeterminado (22) sigue aceptando sesiones NETCONF incluso con un puerto de servidor NETCONF configurado. Para deshabilitar que el puerto SSH acepte sesiones de NETCONF, especíquelo en la secuencia de comandos de evento de inicio de sesión.

  • No recomendamos configurar los puertos predeterminados para los servicios FTP (21) y Telnet (23) para configurar conexiones NETCONF-sobre-SSH.

Configurar límites de reintento de contraseña para Telnet y SSH Access

Para evitar ataques de fuerza bruta y de diccionario, un dispositivo realiza las siguientes acciones para sesiones Telnet o SSH de forma predeterminada:

  • Desconecta una sesión después de un máximo de 10 reintentos de contraseña consecutivos.

  • Después del segundo reintento de contraseña, introduce un retraso en múltiplo de 5 segundos entre los reintentos de contraseña posteriores.

    Por ejemplo, el dispositivo introduce un retraso de 5 segundos entre el tercer y el cuarto reintentos de contraseña, un retraso de 10 segundos entre el cuarto y el quinto reintento de contraseña, entre otros.

  • Aplica un tiempo de sesión mínimo de 20 segundos, durante el cual no se puede desconectar una sesión. La configuración del tiempo mínimo de sesión impide que los usuarios maliciosos desconecten las sesiones antes de que el retraso del reintentos de contraseña entre en vigor. La configuración del tiempo mínimo de sesión también les impide intentar ataques de fuerza bruta y de diccionario con varios inicios de sesión.

Puede configurar los límites de reintento de contraseña para telnet y acceso SSH. En este ejemplo, configure el dispositivo para que realice las siguientes acciones para las sesiones de Telnet y SSH:

  • Permita un máximo de cuatro reintentos de contraseña consecutivos antes de desconectar una sesión.

  • Introduzca un retraso en múltiplo de 5 segundos entre los reintentos de contraseña que se produzcan después del segundo reintento de contraseña.

  • Aplique un tiempo de sesión mínimo de 40 segundos, durante el cual no se puede desconectar una sesión.

Para configurar los límites de los intentos de contraseña para el acceso Telnet y SSH:

  1. Establezca el número máximo de reintentos de contraseña consecutivos antes de desconectar una sesión telnet, SSH o telnet. El número predeterminado es 10, pero puede establecer un número desde a través 10de 1 .
  2. Establezca el número de umbral de los reintentos de contraseña después del cual se introduce un retraso entre dos reintentos de contraseña consecutivos. El número predeterminado es 2, pero puede especificar un valor de a través 3de 1 .
  3. Establezca el retraso (en segundos) entre los reintentos de contraseña consecutivos después del número de umbral de reintentos de contraseña. El retraso predeterminado se encuentra en múltiplo de 5 segundos, pero puede especificar un valor de a 10 dos5.
  4. Establezca el tiempo mínimo (en segundos) durante el cual no se puede desconectar una sesión de Telnet o SSH. El valor predeterminado es 20 segundos, pero puede especificar un intervalo de 20 hasta 60 segundos.
  5. Después de configurar el dispositivo, ingrese commit al modo de configuración.

Ejemplo: Configurar un filtro para bloquear el acceso telnet y SSH

Requisitos

Necesita dos dispositivos que se ejecuten Junos OS con un vínculo de red compartido. Sin configuración especial más allá de la inicialización básica del dispositivo (interfaz de administración, acceso remoto, cuentas de inicio de sesión de usuario, etc.) es necesario antes de configurar este ejemplo. Aunque no es un requisito estricto, se recomienda el acceso a la consola al dispositivo R2.

Nota:

Nuestro equipo de pruebas de contenido validó y actualizó este ejemplo.

Descripción general y topología

En este ejemplo, se crea un filtro de firewall sin estado IPv4 que registra y rechaza los paquetes Telnet o SSH enviados al motor de enrutamiento local, a menos que el paquete se origine en la subred 192.168.1.0/30 . El filtro se aplica a la interfaz de circuito cerrado para garantizar que solo el tráfico destinado al dispositivo local se vea afectado. Aplique el filtro en la dirección de entrada. No se utiliza un filtro de salida. Como resultado, se permite todo el tráfico generado localmente.

  • Para hacer coincidir paquetes que se originan en una subred o un prefijo IP específico, utilice la source-address condición de coincidencia IPv4 aplicada en la dirección de entrada.

  • Para hacer coincidir paquetes destinados al puerto Telnet y los puertos SSH, utilice la protocol tcp condición de coincidencia combinada con port telnet las condiciones de coincidencia a e port ssh IPv4 aplicadas en la dirección de entrada.

Topología de ejemplo

Figura 1 muestra la topología de prueba para este ejemplo. El filtro de firewall se aplica al dispositivo R2, lo que lo convierte en el dispositivo en prueba (DUT). Los dispositivos R1 y R2 comparten un vínculo al que se le asigna una subred de 192.168.1.0/30. Ambos dispositivos tienen direcciones de circuito cerrado asignadas desde el prefijo 192.168.255.0/30 mediante una máscara de subred /32. Las rutas estáticas proporcionan accesibilidad entre direcciones de circuito cerrado, ya que un protocolo de puerta de enlace interior no está configurado en este ejemplo básico.

Figura 1: Topología de ejemplo Topología de ejemplo

Configuración

El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener más información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en modo de configuración.

Precaución:

Por diseño, el filtro de ejemplo restringe el acceso telnet y SSH a R2 a menos que se origine en la subred compartida en R1. Si utiliza SSH o Telnet para acceder directamente al dispositivo R2, perderá conectividad cuando se aplique el filtro. Recomendamos que tenga acceso a la consola al configurar este ejemplo. Si es necesario, puede usar el dispositivo R1 como host de salto para lanzar una sesión SSH a R2 después de aplicar el filtro. Alternativamente, considere modificar el filtro de muestra para permitir también que la subred IP asignada a la máquina que utilice tenga acceso al dispositivo R2.

Realice las siguientes tareas para configurar este ejemplo:

Configuración rápida de CLI

Configuración rápida para el dispositivo R1

Para configurar rápidamente el dispositivo R1, edite los siguientes comandos según sea necesario y péguelos en la CLI en el [edit] nivel jerárquico. Asegúrese de emitir un commitmodo de configuración para activar los cambios.

Configuración rápida para el dispositivo R2

Para configurar rápidamente el dispositivo R2, edite los siguientes comandos según sea necesario y péguelos en la CLI en el [edit] nivel de jerarquía. Asegúrese de emitir un commit modo de configuración para activar los cambios.

Consejo:

Considere su uso commit-confirmed cuando realice cambios que puedan afectar el acceso remoto a su dispositivo. Activación de una configuración de Junos OS pero que requiere confirmación

Configurar el dispositivo R1

Procedimiento paso a paso

Siga estos pasos para configurar el dispositivo R1:

  1. Configure las interfaces:

  2. Configure el nombre de host y la ruta estática a la dirección de circuito cerrado del dispositivo R2. También configura el acceso Telnet y SSH:

Verificar y confirmar la configuración en el dispositivo R1

Procedimiento paso a paso

Complete los siguientes pasos para verificar y confirmar la configuración de candidato en el dispositivo R1:

  1. Confirme la configuración de interfaz con el comando del modo de show interfaces configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.

  2. Verifique la ruta estática utilizada para llegar a la dirección de circuito cerrado del dispositivo R2 y que el acceso SSH y Telnet estén habilitados. Utilice los comandos del show routing-options modo y show system services de configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.

  3. Cuando esté satisfecho con la configuración en el dispositivo R1, confirme la configuración del candidato.

Configurar el dispositivo R2

Procedimiento paso a paso

Complete los pasos siguientes para configurar el dispositivo R2. Se comienza por definir el filtro de firewall sin estado que bloquea selectivamente el acceso Telnet y SSH:

  1. Posicione en la edit firewall family inet filter local_acl jerarquía:

  2. Defina el término terminal_accessde filtro . Este término permite Telnet y SSH desde los prefijos de origen especificados:

  3. Defina el término terminal_access_deniedde filtro . Este término rechaza SSH y Telnet de todas las demás direcciones de origen. Este término se configura para registrar coincidencias con el término y para generar una respuesta inalcanzable de destino explícito del Protocolo de mensajes de control de Internet (ICMP) al origen del paquete. Consulte Acciones de registro de filtros de firewall para obtener más información sobre las opciones de registro del filtro.

    Consejo:

    Puede usar la acción para suprimir la discard generación de mensajes de error ICMP de vuelta al origen. Consulte Acciones de terminación del filtro de firewall para obtener más información.
  4. Opcional.

    Defina el término tcp-estabde filtro . Este término permite el acceso saliente a Internet para admitir conexiones a la nube de Juniper Mist (tcp-established es una condición de coincidencia de campo de bits, tcp-flags "(ack | rst)"que indica una sesión TCP establecida, pero no el primer paquete de una conexión TCP):

  5. Defina el término default-termde filtro . Este término acepta el resto del tráfico. Recuerde que Junos OS los filtros sin estado tienen un término implícito de denegación al final. El default-term anula este comportamiento al finalizar el filtro con una acción de aceptar explícita. La finalización del filtro da como resultado que el otro tráfico sea aceptado por el filer.

    Nota:

    Para este ejemplo, estamos permitiendo todo el resto del tráfico, pero para su red es posible que desee proteger el motor de enrutamiento. Consulte protección del motor de enrutamiento para obtener más información.

  6. Configure la interfaz de circuito cerrado y aplique el filtro en la dirección de entrada:

  7. Configure el nombre de host, la interfaz ge-0/0/0, la ruta estática a la dirección de circuito cerrado del dispositivo R1 y habilite el acceso remoto a través de SSH y Telnet:

Verificar y confirmar la configuración en el dispositivo R2

Procedimiento paso a paso

Complete los siguientes pasos para comprobar y confirmar la configuración de candidato en el dispositivo R2:

  1. Confirme la configuración del filtro de firewall sin estado con el comando del modo de show firewall configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.

  2. Confirme la configuración de la interfaz y la aplicación de filtro con el comando del modo de show interfaces configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.

  3. Verifique la ruta estática utilizada para llegar a la dirección de circuito cerrado del dispositivo R1 y verifique que el acceso Telnet y SSH estén habilitados. Utilice los comandos del show routing-options modo y show system services de configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.

  4. Cuando esté satisfecho con la configuración en el dispositivo R2, confirme la configuración del candidato.

    Consejo:

    Considere su uso commit-confirmed cuando realice cambios que puedan afectar el acceso remoto a su dispositivo.

Verificar el filtro de firewall sin estado

Confirme que el filtro de firewall para limitar el acceso telnet y SSH funciona correctamente.

Verificar paquetes aceptados

Propósito

Verifique que el filtro de firewall permite correctamente SSH y Telnet cuando el tráfico se obtiene de la subred 192.168.1.0/30 .

Acción

  1. Desactive el registro del firewall en el enrutador o conmutador.

  2. Desde un host en una dirección IP dentro de la subred 192.168.1.0/30 , utilice un ssh 192.168.255.2 comando para comprobar que puede iniciar sesión en el dispositivo mediante SSH desde una dirección de origen permitida. Este paquete debe aceptarse, pero la información del encabezado del paquete no se debe registrar en el búfer de registro del filtro de firewall en el motor de reenvío de paquetes. Se le pedirá que guarde la clave de host SSH si este es el primer inicio de sesión SSH entre user estos dispositivos.

    Nota:

    De forma predeterminada, el dispositivo R1 extraerá el tráfico SSH de la interfaz de salida utilizada para llegar al destino. Como resultado, este tráfico proviene de la dirección 192.168.1.1 asignada a la interfaz ge-0/0/0 del dispositivo R1.

  3. Cierre sesión de la CLI en el dispositivo R2 para cerrar la sesión SSH.

  4. Desde un host en una dirección IP dentro de la subred 192.168.1.0/30 , utilice el telnet 192.168.255.2 comando para comprobar que puede iniciar sesión en su enrutador o conmutador con Telnet desde una dirección de origen permitida. Este paquete debe aceptarse, pero la información del encabezado del paquete no se debe registrar en el búfer de registro del filtro de firewall en el motor de reenvío de paquetes.

  5. Cierre sesión en la CLI para cerrar la sesión de Telnet en el dispositivo R2.

  6. Utilice el show firewall log comando para comprobar que el búfer de registro del firewall en el motor de reenvío de paquetes (PFE) del dispositivo R2 no contiene ninguna entrada con una dirección de origen en la subred 192.168.1.0/30 .

Verificar paquetes registrados y rechazados

Propósito

Verifique que el filtro de firewall rechaza correctamente el tráfico SSH y Telnet que no se origina en la subred 192.168.1.0/30 .

Acción

  1. Desactive el registro del firewall en el enrutador o conmutador.

  2. Genere tráfico SSH procedente de la dirección de circuito cerrado del dispositivo R1. La dirección fuente de este tráfico está fuera de la subred permitida 192.168.1.0/30 . Utilice el ssh 192.168.255.2 source 192.168.255.1 comando para comprobar que no puede iniciar sesión en el dispositivo mediante SSH desde esta dirección de origen. Este paquete debe rechazarse y la información del encabezado del paquete debe registrarse en el búfer de registro del filtro de firewall.

    El resultado muestra que la conexión SSH se rechaza. Este resultado confirma que el filtro está generando un mensaje de error ICMP y que bloquea correctamente el tráfico SSH cuando se envía desde una dirección de origen no permitido.

  3. Genere tráfico telnet procedente de la dirección de circuito cerrado del dispositivo R1. La dirección fuente de este tráfico está fuera de la subred permitida 192.168.1.0/30 . Utilice el telnet 192.168.255.2 source 192.168.255.1 comando para comprobar que no puede iniciar sesión en el dispositivo con Telnet desde esta dirección de origen. Este paquete debe rechazarse y la información del encabezado del paquete se debe registrar en el búfer de registro del filtro de firewall en el PFE.

    El resultado muestra que la conexión Telnet se rechaza. Este resultado confirma que el filtro está generando un mensaje de error ICMP y que bloquea correctamente el tráfico telnet cuando se envía desde una dirección de origen no permitido.

  4. Utilice el show firewall log comando para comprobar que el búfer de registro del firewall en el dispositivo R2 contiene entradas que muestran que se rechazaron paquetes con una dirección de origen de 192.168.255.1.

    El resultado confirma que el tráfico de la dirección de origen 192.168.255.1 coincide con el término del terminal_access_denied filtro. La Action columna muestra una R para indicar que estos paquetes se rechazaron. También se enumeran la interfaz, el protocolo de transporte y las direcciones de origen y destino. Estos resultados confirman que el filtro de firewall funciona correctamente para este ejemplo.

Temas relacionados

Tabla de historial de versiones
Liberación
Descripción
19.4R1
A partir de Junos OS versión 19.4R1 y Junos OS versión 17.4R3, puede deshabilitar la contraseña de inicio de sesión SSH o la autenticación de desafío-respuesta usando las no-password-authentication opciones en no-challenge-response el nivel de jerarquía [edit system services ssh].
19.1R1
A partir de Junos OS versión 19.1R1, hemos deshabilitado globalmente las conexiones SFTP entrantes de forma predeterminada. Si lo desea, puede habilitar globalmente las conexiones SFTP entrantes mediante la configuración de la instrucción sftp-server en el [edit system services ssh] nivel de jerarquía
18.3R1
A partir de Junos OS versión 18.3R1, los ssh-dss algoritmos hostkey y ssh-dsa y se desusan (en lugar de eliminarse inmediatamente) para proporcionar compatibilidad con versiones anteriores y una oportunidad de hacer que su configuración cumpla con la nueva configuración.
18.3R1
(Solo las series SRX y MX) A partir de Junos OS versión 19.3R1, puede especificar el nombre de la instancia de enrutamiento en la que se debe establecer la conectividad SSH saliente incluyendo la routing-instance instrucción en el [edit system services outbound-ssh] nivel de jerarquía: