Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Обзор удаленного доступа

Можно получить доступ к маршрутизатору, коммутатору или устройство обеспечения безопасности с помощью служб DHCP, Finger, FTP, rlogin, SSH и Telnet и т.д. В этом разделе показано, как настроить удаленный доступ с помощью служб Telnet, SSH, FTP и Finger. Дополнительные сведения об этом разделе.

Обзор системных служб

Из соображений безопасности удаленный доступ к маршрутизатору по умолчанию отключен. Маршрутизатор необходимо настроить явным образом, чтобы пользователи удаленных систем могли к нему получить доступ. К маршрутизатору можно получить доступ из удаленной системы с помощью служб DHCP, finger, FTP, rlogin, SSH и Telnet. Кроме того, Junos клиентские приложения протокола XML могут использовать, кроме прочего, службу Secure Sockets Layer (SSL) или службу защищенного Junos XML протокола.

Прим.:

Чтобы защитить системные ресурсы, можно ограничить число одновременных соединений, которые принимает служба, и число процессов, принадлежит одному пользователю. Если превышен любой предел, попытки подключения не удастся.

Настройка службы Telnet для удаленного доступа к маршрутизатору или коммутатору

Чтобы настроить маршрутизатор или коммутатор на прием Telnet в качестве службы доступа, включите утверждение на telnet[edit system services] уровне иерархии:

По умолчанию маршрутизатор или коммутатор поддерживает ограниченное число одновременных сеансов Telnet и попыток подключения в минуту.

При желании можно включить один или оба из следующих ехабов для изменения насайтов по умолчанию:

  • connection-limit limit— Максимальное число одновременных соединений для каждого протокола (IPV4 и IPv6). Диапазон — от 1 до 250. Значение по умолчанию — 75. При настройке предела соединений предел применим к количеству сеансов Telnet для каждого протокола (IPv4 и IPv6). Например, предел подключения 10 разрешает 10 сеансов telnet IPv6 и 10 сеансов telnet IPv4.

  • rate-limit limit— Максимальное число попыток подключения, принятое в минуту (от 1 до 250). Значение по умолчанию — 150. При настройке предела скорости предел применим к количеству попыток подключения для каждого протокола (IPv4 и IPv6). Например, предел скорости 10 разрешает 10 попыток сеанса telnet IPv6 в минуту и 10 попыток сеанса telnet IPv4 в минуту.

Нельзя включить утверждение telnet на устройствах, на Junos-FIPS. Рекомендуется не использовать Telnet в среде с общими критериями.

Настройка службы FTP для удаленного доступа к маршрутизатору или коммутатору

Чтобы настроить маршрутизатор или коммутатор на прием FTP в качестве службы доступа, включите утверждение ftp на [edit system services] уровне иерархии:

По умолчанию маршрутизатор или коммутатор поддерживает ограниченное число одновременных сеансов FTP и попыток подключения в минуту. Чтобы изменить настройки по умолчанию, можно включить один или оба из следующих ок.

  • connection-limit limit— Максимальное число одновременных соединений для каждого протокола (IPV4 и IPv6). Диапазон — это значение от 1 до 250. Значение по умолчанию — 75. При настройке предела количества сеансов для каждого протокола (IPv4 и IPv6). Например, предел соединения 10 разрешает 10 сеансов IPv6 FTP и 10 сеансов IPv4 FTP.

  • rate-limit limit— Максимальное число попыток подключения, принятое в минуту (значение от 1 до 250). Значение по умолчанию — 150.При настройке предела скорости предел применим к количеству попыток подключения для каждого протокола (IPv4 и IPv6). Например, предел скорости 10 разрешает 10 попыток подключения FTP по IPv6 и 10 попыток подключения сеанса IPv4 FTP.

Для доступа к устройствам, которые принимают только пассивные услуги FTP, можно использовать пассивный FTP. Все команды и утверждения, которые используют FTP, также принимают пассивный FTP. ftpВключит утверждение на иерархической стороне, чтобы использовать либо [edit system services] активный FTP, либо пассивный FTP.

Чтобы начать пассивный сеанс FTP, используйте pasvftpftp (вместо) в стандартном формате FTP ftp://destination (). Например:

Нельзя включить утверждение на маршрутизаторах или коммутаторах, на ftp Junos-FIPS. Рекомендуется не использовать службу finger в среде "Common Criteria" (Общие критерии).

Настройка службы Finger для удаленного доступа к маршрутизатору

Чтобы настроить маршрутизатор на прием "finger" в качестве службы доступа, включите утверждение finger на [edit system services] уровне иерархии:

По умолчанию маршрутизатор поддерживает ограниченное число одновременных сеансов и попыток подключения в минуту. При желании можно включить один или оба из следующих ехабов для изменения насайтов по умолчанию:

  • connection-limit limit— Максимальное число одновременных соединений для каждого протокола (IPv4 и IPv6). Диапазон — это значение от 1 до 250. Значение по умолчанию — 75. При настройке предела количества сеансов для каждого протокола (IPv4 и IPv6). Например, предел соединения 10 разрешает 10 сеансов служб IPv6 с четким текстом и 10 сеансов служб с четким текстом IPv4

  • rate-limit limit— Максимальное число попыток подключения, принятое в минуту (значение от 1 до 250). Значение по умолчанию — 150. При настройке предела скорости предел применим к количеству попыток подключения для каждого протокола (IPv4 и IPv6). Например, предел скорости 10 разрешает 10 попыток подключения сеанса IPv6 в минуту и 10 попыток подключения сеанса IPv4 в минуту.

Нельзя включить утверждение finger на маршрутизаторах, на Junos-FIPS. Рекомендуется не использовать службу finger в среде "Common Criteria" (Общие критерии).

Настройка службы SSH для удаленного доступа к маршрутизатору или коммутатору

Чтобы настроить маршрутизатор или коммутатор на прием SSH в качестве службы доступа, включите утверждение на ssh[edit system services] уровне иерархии:

По умолчанию маршрутизатор или коммутатор поддерживает ограниченное число одновременных сеансов SSH и попыток подключения в минуту. Используйте следующие утверждения, чтобы изменить настройки по умолчанию:

  • connection-limit limit— Максимальное число одновременных соединений для каждого протокола (IPv4 и IPv6). Диапазон — это значение от 1 до 250. Значение по умолчанию — 75. При настройке предела соединений предел применим к количеству сеансов SSH для протокола (IPv4 и IPv6). Например, предел подключения 10 разрешает 10 сеансов IPv6 SSH и 10 сеансов IPv4 SSH.

  • max-sessions-per-connection number- Включив это утверждение, чтобы указать максимальное число сеансов SSH, разрешенное для одного SSH-соединения. Это позволяет ограничить число клонированных сеансов, туннелированных в рамках одного SSH-соединения. Значение по умолчанию — 10.

  • rate-limit limit— Максимальное число попыток подключения, принятое в минуту (значение от 1 до 250). Значение по умолчанию — 150. При настройке предела скорости предел применим к количеству попыток подключения для каждого протокола (IPv4 и IPv6). Например, предел скорости 10 разрешает 10 попыток сеанса SSH IPv6 в минуту и 10 попыток сеанса SSH IPv4 в минуту.

  • data-limit- Ограничение данных перед повторной обработкой ключей сеанса (bytes)

  • time-limit- Ограничение по времени перед повторной выбором ключей сеанса (минут)

Начиная с Junos OS 19.4R1 и Junos OS release 17.4R3, можно отключить либо пароль для входа в систему SSH, либо аутентификацию "challenge-response", используя параметры и параметры на уровне no-password-authenticationno-challenge-responseedit system services ssh [] иерархии.

По умолчанию пользователь может создать SSH-туннель через интерфейс командной строки к маршрутизатору, который Junos OS через SSH. Этот тип туннеля можно использовать для перенаад доступа к TCP-трафику, минуя все фильтры межсетевых экранов или списки управления доступом, разрешая доступ к ресурсам за маршрутизатором. Используйте этот no-tcp-forwarding параметр, чтобы предотвратить создание пользователем туннеля SSH к маршрутизатору с помощью SSH.

Для получения информации о других параметрах конфигурации см. следующие темы:

Настройка корневого входа через SSH

По умолчанию пользователям разрешается входить на маршрутизатор или коммутатор с помощью SSH, если для метода аутентификации root не требуется пароль. Чтобы управлять доступом пользователя через SSH, включим в себя утверждение root-login на [edit systems services ssh] иерархическому уровне:

allow- Позволяет пользователям войти на маршрутизатор или коммутатор в качестве корневого через SSH.

deny- Отключает пользователя от входа на маршрутизатор или коммутатор в качестве корневого через SSH.

deny- Позволяет пользователям войти на маршрутизатор или коммутатор в качестве корневого через SSH, если метод аутентификации password (например, RSA) не требует пароля.

Значение по умолчанию deny-password .

Настройка входящих соединений SFTP

Протокол передачи файлов SSH (SFTP) — это сетевой протокол, который обеспечивает доступ к файлам, передачу файлов и управление файлами по любому надежному потоку данных. Начиная Junos OS выпуске 19.1R1, по умолчанию все входящие SFTP-соединения отключены. При желании можно глобально включить входящие SFTP-соединения, настроив утверждение sftp-server на [edit system services ssh] уровне иерархии. До Junos OS выпуска 19.1R1 по умолчанию все входящие SFTP-соединения были глобально включены.

Прим.:

По умолчанию отключены только входящие соединения SFTP. Например, для устройств A и B (где устройство А 19.1R1), по умолчанию подключиться через SFTP от B к A нельзя. Однако, если настроить устройство А, можно подключиться через SFTP от устройства B к устройству sftp-server A.

Входящие соединения SFTP по умолчанию отключены. Чтобы включить входящие SFTP-соединения:

  1. Настройте sftp-server утверждение на [edit system services ssh] уровне иерархии:
  2. Сфиксировать конфигурацию.

    Теперь sftp-server утверждение активно. Таким образом, входящие SFTP-соединения включены.

Настройка версии протокола SSH

По умолчанию включена только версия 2 протокола SSH.

Чтобы настроить маршрутизатор или коммутатор на использование версии 2 протокола SSH, включите утверждение и укажите на protocol-versionv2[edit system services ssh] иерархической уровне:

Системы в режиме FIPS всегда используют версию протокола v2 SSH.

Настройка механизма работы клиента

Механизм работы клиента ценен, когда клиент или сервер зависят от того, когда соединение стало неактивным. Он отличается от стандартного механизма поддержания связи, так как клиентские сообщения о действиях посылаются по зашифрованному каналу. По умолчанию механизм работы клиента не включен. Чтобы включить его, настройте client-alive-count-max их и client-alive-interval заяви. Этот параметр применим только к протоколу SSH версии 2.

В следующем примере unresponsive SSH-клиенты будут отключены примерно через 100 секунд (20 x 5).

Настройка алгоритма алгоритма hash-алгоритма SSH

Чтобы настроить алгоритм hash, используемый сервером SSH при выявке основных алгоритмов, включив в него утверждение и указание или на fingerprint-hashmd5 уровне sha2-256[edit system services ssh] иерархии:

Алгоритм md5 аширования недоступен на системах в режиме FIPS.

Команда telnet

Команду интерфейс командной строки для открытия telnet сеанса Telnet удаленному устройству:

Прим.:

На SRX100, SRX210, SRX220, SRX240, SRX300, SRX320, SRX340, SRX345 и SRX1500 устройств, максимальное число одновременно сеансов Telnet указано в следующей таблице. Поддержка платформы зависит от Junos OS в установке.

SRX100

SRX210SRX220

SRX240

SRX300SRX320SRX340

SRX345

SRX1500

3

3

5

3

5

5

Чтобы выйти из сеанса Telnet и вернуться к командной подсказке Telnet, нажмите Ctrl-].

Чтобы выйти из сеанса Telnet и вернуться к командной интерфейс командной строки, введите quit .

Табл. 1 описывает telnet параметры команд.

Табл. 1: интерфейс командной строки команд telnet

Параметр

Описание

8bit

Используйте 8-битный путь данных.

bypass-routing

Обошли таблицы маршрутизации и откройте сеанс Telnet только для хостов, подключенных напрямую к интерфейсам. Если хост не подключен непосредственно к интерфейсу, возвращается сообщение об ошибке.

host

Откройте сеанс Telnet на указанное имя хоста или IP-адрес.

inet

Принудить сеанс Telnet к месту назначения IPv4.

interface source-interface

Откройте сеанс Telnet с хостом на указанном интерфейсе. Если этот параметр не включен, используются все интерфейсы.

no-resolve

Подавляй отображение символьных имен.

port port

Укажите номер порта или имя службы на хосте.

routing-instance routing-instance-name

Используйте указанный экземпляр маршрутизации для сеанса Telnet.

source address

Используйте указанный адрес источника для сеанса Telnet.

Команда ssh

Можно использовать команду интерфейс командной строки, чтобы использовать программу secure shell (SSH) для открытия соединения ssh с удаленным устройством:

Прим.:

В SRX100, SRX210, SRX220, SRX240, SRX300, SRX320, SRX340, SRX345 и SRX1500 устройств, максимальное число одновременно сеансов SSH указано в следующей таблице. Поддержка платформы зависит от Junos OS в установке.

SRX100

SRX210SRX220

SRX240

SRX300SRX320SRX340

SRX345

SRX1500

3

3

5

3

5

5

Табл. 2 описывает ssh параметры команд.

Табл. 2: интерфейс командной строки команд ssh

Параметр

Описание

bypass-routing

Обошли таблицы маршрутов и откройте SSH-соединение только для хостов, подключенных напрямую к интерфейсам. Если хост не подключен непосредственно к интерфейсу, возвращается сообщение об ошибке.

host

Откройте SSH-подключение к указанному имени хоста или IP-адресу.

inet

Принудительное подключение SSH к месту назначения IPv4.

interface source-interface

Откройте SSH-подключение к хосту на указанном интерфейсе. Если этот параметр не включен, используются все интерфейсы.

routing-instance routing-instance-name

Для соединения SSH используйте указанный экземпляр маршрутки.

source address

Для SSH-соединения используйте указанный адрес источника.

v1

При принудительном использовании SSH для соединения используется версия 1.

v2

При принудительном использовании SSH для соединения используется версия 2.

Настройка ключей хоста SSH для безопасной копирования данных

Secure Shell(SSH)использует алгоритмы шифрования для создания системы ключа хоста, сервера и ключа сеанса, обеспечивая надежную передачу данных. Можно настроить ключи хоста SSH для поддержки безопасной копии(SCP)в качестве альтернативы FTP для фоновой передачи данных, таких как архивы конфигураций и журналы событий. Для настройки поддержки SSH для SCP необходимо выполнить следующие задачи:

  • Укажите известные хосты SSH, включив имена хостов и данные ключа хоста в модуль маршрутизации конфигурации.

  • Установите URL-адрес SCP, чтобы указать хост, с которого будут приниматься данные. Настройка этого атрибута автоматически извлекает данные ключа хоста SSH с SCP-сервера.

  • Убедитесь, что ключ хоста является аутентификацией.

  • Примите безопасное соединение. При его приеме данные ключа хоста автоматически будут хранится в базе данных ключей локального хоста. Сохранение ключевой информации хоста в иерархии конфигурации автоматизирует безопасное пожатие и позволяет передавать фоновые данные с помощью SCP.

Задачи настройки ключей SSH-хоста для безопасного копирования данных:

Настройка известных хостов SSH

Для настройки известных хостов SSH включите утверждение и укажите параметры имени хоста и ключа хоста для доверенных серверов на host[edit security ssh-known-hosts] уровне иерархии:

Ключи хоста являются одним из следующих:

  • dsa-key key-Кодированный алгоритм цифровой подписи (DSA) в базе 64 для SSH версии 2.

  • ecdsa-sha2-nistp256-key key— кодированный base64 ключ ECDSA-SHA2-NIST256.

  • ecdsa-sha2-nistp384-key key— кодированный base64 ключ ECDSA-SHA2-NIST384.

  • ecdsa-sha2-nistp521-key key— кодированный base64 ключ ECDSA-SHA2-NIST521.

  • ed25519-key key— кодированный ключ Base64 ED25519.

  • rsa-key key- Алгоритм общего ключа Base64, который поддерживает шифрование и цифровые сигнатуры для SSH версии 1 и SSH версии 2.

  • rsa1-key key- Алгоритм открытого ключа RSA с кодом Base64, который поддерживает шифрование и цифровые подписи для SSH версии 1.

Начиная Junos OS релизе 18.3R1, алгоритмы hostkey и хоста удаляются — вместо немедленного удаления — обеспечивают обратную совместимость и возможность привести конфигурацию в соответствие с новой ssh-dssssh-dsa конфигурацией.

Настройка поддержки передачи файлов SCP

Чтобы настроить известный хост для поддержки передачи фоновых файлов SCP, включите утверждение archive-sites на [edit system archival configuration] уровне иерархии.

Прим.:

При указании URL-адреса в Junos OS с использованием адреса хоста IPv6 необходимо ввести в кавычках весь URL-адрес и ввести адрес хоста IPv6 в квадратные скобки ([]). Например “scp://username<:password>@[host]<:port>/url-path”;

Установка archive-sites параметра, указывающая на URL-адрес SCP, инициирует автоматическое инициировать инициацировать иници В этот момент Junos OS К хосту SCP для получения общего ключа SSH, отображает дайджест основных сообщений хоста или расщепляемые данные в качестве выходных данных для консоли и прерывает подключение к серверу.

Чтобы проверить подлинность ключа хоста, сравните эту аутентификацию с неустойки, получаемой от того же хоста с доверенным источником. Если комментарии совпадают, примите ключ хоста, введя yes его в приглашение. Затем данные ключа хоста сохраняются в конфигурации модуль маршрутизации и поддерживают передачу фоновых данных с помощью SCP.

Обновление информации ключа хоста SSH

Как правило, сведения о ключе хоста SSH автоматически извлекаются при наборе атрибута URL для SCP с помощью утверждения на archival configuration archive-sites[edit system] уровне иерархии. Однако если требуется вручную обновить базу данных ключей хоста, используйте один из следующих методов.

Информация о ключе хоста вручную

Чтобы вручную получить информацию о ключе общего хоста SSH, fetch-from-server используйте эту опцию вместе с set security ssh-known-hosts командой. Необходимо включить в команду атрибут hostname, чтобы указать хост, с которого можно извлечь set security ssh-known-hosts fetch-from-server открытый ключ SSH.

Импорт информации ключа хоста из файла

Чтобы вручную импортировать ключ SSH-хоста из файла известных хостов, расположенного на сервере, включив /var/tmp/known-hostsload-key-file эту команду в set security ssh-known-hosts параметр. Путь к файлу необходимо включить командой, чтобы указать known-hostsset security ssh-known-hosts load-key-file расположение, из которого следует импортировать данные ключа хоста.

Настройка службы SSH для поддержки устаревшей криптографии

Начиная с Junos OS 16.1, сервер SSH в Junos OS основан на OpenSSH 7 и по умолчанию использует более безопасный набор шифров и алгоритмов обмена ключами. OpenSSH 7 не является частью устаревшей криптографии.

Прим.:

Отсутствие поддержки в устаревших криптографии устройств приводит к Junos Space обнаружения устройств. Чтобы обойти эту проблему, настройте устройство на поддержку шифра, или того, и иного, и 3des-cbcblowfish-cbc метода обмена dh-group1-sha1 ключами. Эта проблема не затрагивает устройства, работающие Junos OS с обновленным FreeBSD.

Прим.:

Дополнительные сведения об этих расширениях см. в документации https://www.openssh.com/ OpenSSH 7.

Junos OS версии 16.1 по умолчанию поддерживает следующий набор шифров:

  • chacha20-poly1305@openssh.com

  • aes128-ctr

  • aes192-ctr

  • aes256-ctr

  • aes128-gcm@openssh.com

  • aes256-gcm@openssh.com

В Junos OS 16.1 следующие шифры по умолчанию не поддерживаются, но можно настроить устройство для их поддержки. Они перечислены в списках от наиболее безопасных до наименее защищенных:

  • aes256-cbc

  • aes192-cbc

  • aes128-cbc

  • 3des-cbc

  • blowfish-cbc

  • cast128-cbc

  • arcfour256

  • arcfour128

  • arcfour

Junos OS версии 16.1 поддерживает следующий набор методов обмена ключами по умолчанию:

  • curve25519-sha256

  • ecdh-sha2-nistp256

  • ecdh-sha2-nistp384

  • ecdh-sha2-nistp521

  • group-exchange-sha2

  • dh-group14-sha1

В Junos OS версии 16.1 следующие методы обмена ключами по умолчанию не поддерживаются, но можно настроить устройство для их поддержки:

  • group-exchange-sha1

  • dh-group1-sha1

Чтобы настроить службу SSH для поддержки устаревшей криптографии:

Прим.:

За счет настройки упорядоченного набора шифров, методов обмена ключами или кодов аутентификации сообщений (MACs) новый набор применяется как к командам сервера, так и к клиентам. Изменения нас по умолчанию влияют на команду file copy при использовании протокола Secure Copy Protocol (SCP).

  1. Добавьте поддержку шифров с помощью set system services ssh ciphers [ cipher 1 cipher 2 ... ] команды. Рекомендуется добавить шифры в конец списка конфигураций, чтобы они были среди последних вариантов. В следующем примере 3des-cbcblowfish-cbc шифры и шифры добавляются к набору по умолчанию:
  2. Добавьте поддержку методов обмена ключами с помощью set system services ssh key-exchange [ method 1 method 2 ... ] команды. Рекомендуется добавить методы обмена ключами в конец списка конфигураций, чтобы они были среди последних вариантов. В следующем примере метод обмена ключами добавляется к набору по dh-group1-sha1 умолчанию:
  3. Сфиксировать конфигурацию:

Настройка исходя службы SSH

Можно настроить устройство, на Junos OS которое будет инициировать TCP/IP-соединение с приложением управления клиентом, которое будет заблокировано при попытке клиента инициировать подключение (например, если устройство находится за межсетевой экраном). Команда приказыет устройству создать TCP/IP-соединение с приложением управления клиентом и перенаправление outbound-ssh идентификации устройства. После того, как соединение установлено, управляющее приложение действует как клиент и инициирует последовательность SSH, а устройство действует как сервер и аутентификация клиента.

Прим.:

При исходященном SSH команда initiation не существует. После настройки и сконфигуры исходящие SSH устройства начинают исходящие SSH-соединения на основе конфигурируемых настроек. Устройство постоянно пытается создать это соединение до тех пор, пока не будет успешно. Если соединение между устройством и приложением управления клиентом разостановилось, устройство снова пытается создать новое исходяще SSH-соединение до тех пор, пока не будет успешно. Это соединение поддерживается до тех пор, пока исходящие SSH-защелки не будут удалены из конфигурации.

Чтобы настроить устройство для исходящие SSH-подключений, включите утверждение outbound-ssh на [edit system services] уровне иерархии:

[edit system services outbound-ssh]

Задачи по настройке исходящие службы SSH описаны в следующих темах:

Настройка идентификатора устройства для исходяющих SSH-подключений

Каждый раз, когда устройство устанавливает исходящие SSH-соединения, оно сначала отправляет последовательность инициации управляющему клиенту. Эта последовательность идентифицирует устройство для клиента управления. В рамках этой передачи имеет device-id значение:

Чтобы настроить идентификатор устройства, включив в него утверждение device-id на [edit system services outbound-ssh client client-id] уровне иерархии:

Последовательность инициации, secret если она не настроена:

Отправка общего ключа хоста SSH на исходящий клиент SSH

Каждый раз, когда маршрутизатор или коммутатор устанавливает исходящие SSH-соединения, он сначала отправляет последовательность инициации клиенту управления. Эта последовательность идентифицирует маршрутизатор или коммутатор к управляющему клиенту. В рамках этой передачи имеется значение id устройства.

Чтобы настроить идентификатор устройства маршрутизатора или коммутатора, включите утверждение device-id на [edit system services outbound-ssh client client-id] уровне иерархии:

Последовательность инициации, secret если она не настроена:

Во время инициализации SSH-соединения клиент аутентификацией подлинности устройства с помощью общего ключа хоста SSH устройства. Таким образом, прежде чем клиент сможет инициировать последовательность SSH, ему нужен открытый SSH-ключ устройства. При настройке утверждения устройство передает свой открытый SSH-ключ как часть последовательности инициации secret исходятого соединения SSH.

Когда утверждение установлено и устройство устанавливает исходящие SSH-соединения, устройство сообщает свой ID устройства, его открытый secret SSH-ключ и hash SHA1, полученные частично из secret утверждения. Значение утверждения secret является общим для устройства и клиента управления. Клиент использует общий секретный ключ для аутентификации общего ключа хоста SSH, который он получает, чтобы определить, является ли открытый ключ от устройства, обнаруженного в device-id сообщении.

Использование утверждения secret для переноса общего ключа хоста SSH необязательно. Можно вручную перевезти и установить открытый ключ в клиентскую систему.

Прим.:

В том числе утверждение означает, что устройство посылает свой открытый ключ хоста SSH каждый раз при установлении secret соединения с клиентом. Затем клиент самостоятельно решает, что делать с ключом хоста SSH, если он уже имеет ключ для этого устройства. Рекомендуется заменить копию клиента новым ключом. Ключи хоста могут меняться по разным причинам. При каждом установлении соединения необходимо убедиться, что клиент получает последний ключ.

Чтобы отправить открытый ключ хоста SSH маршрутизатора или коммутатора при подключении устройства к клиенту, включите утверждение на secret[edit system services outbound-ssh client client-id] уровне иерархии:

Устройство при настройке атрибута отправляет secret следующее сообщение:

Настройка сообщений keepalive для исходяющих SSH-подключений

После того, как клиентский приложение получает открытый ключ SSH-хоста маршрутизатора или коммутатора, оно может инициировать последовательность SSH, как если бы оно создало TCP/IP-соединение и может проверить подлинность устройства, используя свою копию SSH-ключа общего хоста маршрутизатора или коммутатора как часть этой последовательности. Устройство аутентификации пользователя клиента с помощью механизмов, поддерживаемых Junos OS (общественная строка RSA/DSA или аутентификация пароля).

Чтобы позволить устройству отправлять сообщения keepalive протокола SSH клиентскому приложению, настройте утверждение на keep-alive[edit system services outbound-ssh client client-id] уровне иерархии:

Настройка нового исходяного SSH-соединения

При отключении устройство начинает инициировать новое исходяще SSH-соединение. Чтобы указать, как устройство повторно подключилось к серверу после сброса соединения, включим в него утверждение reconnect-strategy на [edit system services outbound-ssh client client-id] уровне иерархии:

Можно также указать количество попыток повторного соединения и задать период времени до остановки попыток повторного соединения. См. Настройка сообщений keepalive для исходяющих SSH-подключений .

Настройка исходяшего клиента SSH на прием NETCONF в качестве доступной службы

Чтобы настроить приложение на прием NETCONF в качестве доступной службы, включим утверждение services netconf на [edit system services outbound-ssh client client-id] уровне иерархии:

Настройка исходяющих клиентов SSH

Для настройки клиентов, доступных для этого исходяшего SSH-соединения, перечислите каждый клиент с помощью отдельного утверждения адреса на [edit system services outbound-ssh client client-id] уровне иерархии:

Прим.:

Исходящие SSH-соединения поддерживают форматы адресов IPv4 и IPv6.

Настройка экземпляров маршрутов для исходяющих клиентов SSH

(серия SRX только серия MX) Начиная Junos OS выпуске 19.3R1, можно указать имя экземпляра маршрутки, для которого необходимо установить исходящие SSH-соединения, включив утверждение на уровне routing-instance[edit system services outbound-ssh] иерархии:

Чтобы использовать экземпляр управляющей маршрутки, сначала в включить экземпляр mgmt_junos маршрутки с помощью set system management-instance команды.

Чтобы использовать любой другой экземпляр маршрутки, сначала настройте экземпляр маршрутов в [edit routing-instances] иерархии.

Если экземпляр маршрутки не указан, устройство установит исходящие SSH-соединения с помощью таблицы маршрутов по умолчанию.

Настройка подключений NETCONF-Over-SSH на указанном порту TCP

Этот Junos OS позволяет ограничивать входящие соединения NETCONF с указанным портом TCP без настройки межсетевых экранов. Для настройки TCP-порта, используемого для подключений NETCONF-over-SSH, необходимо включить утверждение на port[edit system services netconf ssh] иерархическом уровне. Настроенный порт принимает только сеансы NETCONF over-SSH. Запросы обычного сеанса SSH для этого порта отклоняется.

Можно либо настроить порт 830 по умолчанию для подключений NETCONF через SSH, как указано в RFC 4742, используя протокол конфигурации NETCONF через Secure Shell (SSH)или настроить любой порт от 1 до 65535.

Прим.:
  • Порт SSH (22) по умолчанию продолжает принимать сеансы NETCONF даже с настроенным портом сервера NETCONF. Чтобы отключить SSH-порт от примите сеансы NETCONF, укажите это в сценарии событий входа.

  • Не рекомендуется настраивать порты по умолчанию для служб FTP (21) и Telnet (23) для настройки подключений NETCONF-over-SSH.

Настройка ограничений повторного пароля для telnet и SSH-доступа

Чтобы предотвратить атаки с помощью грубой силы и словаря, устройство по умолчанию выполняет следующие действия для сеансов Telnet или SSH:

  • Разъединение сеанса после 10 последовательных повторного и повторного доступа к паролям.

  • После второго повторного попытку пароля вводится задержка в кратных 5 секундах между последующими попыткуми пароля.

    Например, устройство вводит задержку в 5 секунд между третьим и четвертым повторном паролем, задержку в 10 секунд между четвертым и пятым повторном паролем и так далее.

  • Обеспечивает минимальное время сеанса, которое составляет 20 секунд, в течение которого сеанс не может быть отключен. Настройка минимального времени сеанса предотвращает отключение вредоносными пользователями сеансов до того, как задержка повторного пароля вступает в силу, и пытается использовать грубое принудиние и словарные атаки с несколькими входами.

Можно настроить ограничения на количество повторного пароля для доступа Telnet и SSH. В данном примере устройство настроено на следующие действия для сеансов Telnet и SSH:

  • Разрешить не более четырех последовательных повторного повторного доступа к паролям перед отключением сеанса.

  • Ввести задержку в кратном 5 секунде между повторной попытку пароля, которая происходит после второго повторного пароля.

  • Необходимо обеспечить минимальное время сеанса, которое составляет 40 секунд, в течение которого сеанс не может быть отключен.

Настройка ограничений повторного пароля для доступа Telnet и SSH:

  1. Установите максимальное число последовательных повторного числа повторного доступа к паролям перед отключением сеанса Telnet, SSH или telnet. Номер по умолчанию есть, но номер можно установить 10 с 1 помощью 10 through.
  2. Установите пороговое число повторно введенных паролей, после которых между двумя последовательными повторноми инсточками пароля вводится задержка. Номером по умолчанию 2 является, но можно указать значение 1 сквозь 3 .
  3. Установите задержку (в секундах) между последовательными повторного числами повторного пароля после порогового количества повторного доступа. Задержка по умолчанию составляет кратное количество секунд, но можно указать значение 5 в 510 секундах.
  4. Установите минимальный период времени (в секундах), в течение которого сеанс Telnet или SSH не может быть отключен. Значение по умолчанию 20 – секунда, но можно указать интервал в 2060 секундах.
  5. После настройки устройства войдите в commit режим конфигурации.

Примере: Настройка фильтра для блокирований telnet-доступа и SSH-доступа

Требования

Два устройства, Junos OS работают по совместному сетевому соединению. Перед настройкой этого примера специальная настройка после базовой инициализации устройств (интерфейс управления, удаленный доступ, учетные записи пользователя и т. д.) не требуется. Не предъявляя строгих требований, рекомендуется использовать консольный доступ к устройству R2.

Прим.:

Наша группа тестирования контента проверила и обновила данный пример.

Обзор и топология

В данном примере создается фильтр межсетевых экранов без с состоянием IPv4, который региструет и отклоняет пакеты Telnet или SSH, отосланные локальному модуль маршрутизации, за исключением тех моментов, когда пакет исходит из подсети 192.168.1.0/24. Фильтр применяется к интерфейсу обратной связи, чтобы гарантировать, что влияет только трафик, предназначенный для локального устройства. Фильтр применяется в направлении ввода. Фильтр вывода не используется. В результате весь локально сгенерированный трафик разрешается.

  • Для совпадения пакетов, исходя из определенной подсети или IP-префикса, используется условие совпадения source-address IPv4, примененное в вводимом направлении.

  • Для совпадения пакетов, предназначенных для портов Telnet и SSH, используется условие совпадения в сочетании с условиями совпадения protocol tcpport telnet IPv4, примененными в направлении port ssh входа.

Примерная топология

Рис. 1 показывает тестовую топологию для этого примера. Фильтр межсетевых экранов применяется к устройству R2, которое делает его устройством, которое тестется (DUT). Устройства R1 и R2 совместно делят связь, присвоенную подсети 192.168.1.0/24. Оба устройства имеют адреса обратной связи, присвоенные с префикса 192.168.255.0/24 с использованием маски подсети /32. Статические маршруты обеспечивают доступность между адресами обратной связи, так как в этом базовом примере протокол внутреннего шлюза не настроен.

Рис. 1: Примерная топологияПримерная топология

Конфигурации

В следующем примере необходимо провести различные уровни в иерархии конфигурации. Для получения информации о навигации по интерфейс командной строки см. Использование редактора интерфейс командной строки в режиме конфигурации.

ОСТОРОЖНО:

При разработке примера фильтр ограничивает доступ Telnet и SSH к R2, если только он исходит из общей подсети на R1. Если для прямого доступа к устройству R2 используется SSH или Telnet, при использовании фильтра соединение будет разорено. При настройке этого примера рекомендуется использовать консольный доступ. При необходимости можно использовать устройство R1 в качестве хоста перемыка, чтобы после применения фильтра запустить сеанс SSH с R2. Можно также изменить выборку фильтра, чтобы также разрешить IP-подсеть, назначенную компьютеру, который используется для доступа к устройству R2.

Для настройки этого примера выполните следующие задачи:

интерфейс командной строки быстрой конфигурации

Быстрая конфигурация устройства R1

Чтобы быстро настроить устройство R1, при необходимости отредактировать следующие команды и вправить их в интерфейс командной строки [edit] иерархии. Чтобы активировать изменения, не забудьте включить изменения в commit режиме настройки.

Быстрая конфигурация устройства R2

Чтобы быстро настроить устройство R2, при необходимости отредактировать следующие команды и вправить их в интерфейс командной строки [edit] иерархии. Чтобы активировать изменения, не забудьте включить изменения в commit режиме настройки.

Совет:

Рассмотрите commit-confirmed возможность использования при внесении изменений, которые могут повлиять на удаленный доступ к устройству. См. "Активация конфигурации Junos OS, но требует подтверждения" для получения дополнительных сведений.

Настройка устройства R1

Пошаговая процедура

Чтобы настроить устройство R1, выполните следующие действия:

  1. Настройка интерфейсов:

  2. Настройте имя хоста и статический маршрут к адресу обратной связи устройства R2. Вы также настраиваете доступ через Telnet и SSH:

Проверка и сфиксация конфигурации на устройстве R1

Пошаговая процедура

Чтобы проверить и подтвердить конфигурацию кандидатов на устройстве R1, выполните следующие действия:

  1. Подтвердит конфигурацию интерфейса с show interfaces помощью команды configuration mode. Если в выходных данных команды не отображается указанная конфигурация, повторите инструкции, показанные в данном примере, чтобы исправить конфигурацию.

  2. Проверьте статический маршрут, используемый для достижения адреса обратной связи устройства R2, и что доступ по SSH и Telnet включен. Используйте команды show routing-options режима show system services конфигурации и режима конфигурации. Если в выходных данных команды не отображается указанная конфигурация, повторите инструкции, показанные в данном примере, чтобы исправить конфигурацию.

  3. Если конфигурация устройства R1 удовлетворены, сфиксировать конфигурацию candidate.

Настройка устройства R2

Пошаговая процедура

Для настройки устройства R2 выполните следующие действия. Начнем с определения фильтра межсетевых экранов без с состояния, который выборочно блокирует доступ По telnet и SSH:

  1. Расположитесь в edit firewall family inet filter иерархии local_acl:

  2. Определите термин фильтраterminal_access. Этот термин разрешает Telnet и SSH из указанного префикса источника:

  3. Определите термин фильтра terminal_access_denied. Этот термин отклоняет SSH и Telnet от всех других исходных адресов. Этот термин настраивается для регистрации совпадений с термином и создания явного протокола управления Интернет-сообщениями (ICMP) назначения недостижимого ответа обратно источнику пакета. Подробные сведения о параметрах ведения журнала фильтра см. в "Действия фильтрации межсетевых экранов".

    Совет:

    Это действие можно использовать discard для подавления генерации сообщений об ошибках ICMP обратно к источнику. Подробные сведения см. в "Действия по прерываниям фильтра межсетевых экранов".

  4. Определите термин фильтра по умолчанию. Этот термин принимает весь другой трафик. Вспомните, Junos OS фильтры без сточки зрения состояния имеют неявный термин deny по окончании. Термин по умолчанию переопределит это поведение, завершив фильтр явным действием принятия. Это приводит к другому трафику, принятому файлом.

  5. Настройте интерфейс обратной связи и примените фильтр в направлении ввода:

  6. Настройте имя хоста, интерфейс ge-0/0/0, статический маршрут к адресу обратной связи устройства R1 и вдав удаленный доступ через SSH и Telnet:

Проверка и сфиксация конфигурации на устройстве R2

Пошаговая процедура

Чтобы проверить и подтвердить конфигурацию кандидатов на устройстве R2, выполните следующие действия:

  1. Подтвердит конфигурацию фильтра межсетевых экранов без строек с помощью show firewall команды mode конфигурации. Если в выходных данных команды не отображается указанная конфигурация, повторите инструкции, показанные в данном примере, чтобы исправить конфигурацию.

  2. Подтвердить конфигурацию интерфейса и фильтровать приложение с show interfaces помощью команды configuration mode. Если в выходных данных команды не отображается указанная конфигурация, повторите инструкции, показанные в данном примере, чтобы исправить конфигурацию.

  3. Проверьте статический маршрут, используемый для достижения адреса обратной связи устройства R1 и включения доступа Telnet и SSH. Используйте команды show routing-options режима show system services конфигурации и режима конфигурации. Если в выходных данных команды не отображается указанная конфигурация, повторите инструкции, показанные в данном примере, чтобы исправить конфигурацию.

  4. Если конфигурация устройства R2 удовлетворены, сфиксировать конфигурацию candidate.

    Совет:

    Рассмотрите commit-confirmed возможность использования при внесении изменений, которые могут повлиять на удаленный доступ к устройству. См. "Активация конфигурации Junos OS, но требует подтверждения" для получения дополнительных сведений.

Проверка фильтра межсетевых экранов без с состоянием состояния

Подтвердим, что фильтр брандмауэра, ограничивающий доступ к Telnet и SSH, работает нормально.

Проверка принятых пакетов

Цель

Убедитесь, что фильтр брандмауэра правильно разрешает SSH и Telnet при источнике трафика из подсети 192.168.1.0/24.

Действий
  1. Очистка журнала брандмауэра на маршрутизаторе или коммутаторе.

  2. На ip-адресе хоста в подсети 192.168.1.0/24 используйте команду, чтобы убедиться, что можно войти в устройство, используя SSH с разрешенного адреса ssh 192.168.255.2 источника. Данный пакет должен быть принят, и информация о заглавном поле пакета для этого пакета не должна регистрироваться в буфере журнала фильтра брандмауэра в модуль передачи пакетов. Будет предложено сохранить ключ хоста SSH, если это первый SSH-вход в систему как пользователь между этими устройствами.

    Прим.:

    По умолчанию устройство R1 будет источником SSH-трафика с выходного интерфейса, который используется для достижения места назначения. В результате источником этого трафика является адрес 192.168.1.1, присвоенный интерфейсу ge-0/0/0 устройства R1.

  3. Для закрытия сеанса SSH интерфейс командной строки выход из интерфейс командной строки устройства R2.

  4. На ip-адресе хоста в подсети 192.168.1.0/24 используйте команду, чтобы убедиться, что можно войти в маршрутизатор или коммутатор с помощью Telnet с разрешенного адреса telnet 192.168.255.2 источника. Данный пакет должен быть принят, и информация о заглавном поле пакета для этого пакета не должна регистрироваться в буфере журнала фильтра брандмауэра в модуль передачи пакетов.

  5. Выйдите из интерфейс командной строки чтобы закрыть сеанс Telnet для устройства R2.

  6. Используйте эту команду, чтобы убедиться, что буфер журнала брандмауэра на модуль передачи пакетов (PFE) устройства R2 не содержит записей с адресом источника в подсети show firewall log 192.168.1.0/24.

Проверка зарегистрированных и отклоненных пакетов

Цель

Убедитесь, что фильтр межсетевых экранов правильно отклоняет трафик SSH и Telnet, который исходит не из подсети 192.168.1.0/24.

Действий

  1. Очистка журнала брандмауэра на маршрутизаторе или коммутаторе.

  2. Сгенерировать SSH-трафик, исходный код из адреса обратной связи устройства R1. Исходный адрес этого трафика находится вне разрешенной подсети 192.168.1.0/24. Используйте эту ssh 192.168.255.2 source 192.168.255.1 команду, чтобы убедиться, что вход на устройство с использованием SSH с этого адреса источника не удается. Этот пакет должен быть отклонен, и информация о заглавной области пакета должна регистрироваться в буфере журнала фильтра брандмауэра.

    Выходные данные показывают, что соединение SSH отклонено. Это подтверждает, что фильтр генерирует ICMP-сообщение об ошибках и что он правильно блокирует трафик SSH при отправлении с неоправданной адреса источника.

  3. Генерировать трафик Telnet, исходный код из адреса обратной связи устройства R1. Исходный адрес этого трафика находится вне разрешенной подсети 192.168.1.0/24. Используйте эту команду для проверки возможности входа на устройство с помощью telnet 192.168.255.2 source 192.168.255.1 Telnet с этого адреса источника. Этот пакет должен быть отклонен, и информация о заглавном поле пакета для этого пакета должна регистрироваться в буфере журнала фильтра межсетевых экранов на PFE.

    Выходные данные показывают, что соединение Telnet отклонено. Это подтверждает, что фильтр генерирует сообщение об ошибках ICMP и что он корректно блокирует трафик Telnet при отправлении с неавтоблифицированного адреса источника.

  4. Используйте эту команду для проверки того, что буфер журнала брандмауэра на устройстве R2 содержит записи, показывающие, что пакеты с адресом источника show firewall log 192.168.255.1 отклонены.

    Выходные данные подтверждают, что трафик от адреса источника 192.168.255.1 terminal_access_denied фильтра. В Action столбце отображается информация R об отклонении этих пакетов. Также перечислены интерфейс, транспортный протокол и адреса источника и назначения. Эти результаты подтверждают, что фильтр брандмауэра работает для этого примера должным образом.

Таблица истории выпусков
Версия
Описание
19.4R1
Начиная с Junos OS 19.4R1 и Junos OS release 17.4R3, можно отключить либо пароль для входа в систему SSH, либо аутентификацию "challenge-response", используя параметры и параметры на уровне no-password-authenticationno-challenge-responseedit system services ssh [] иерархии.
19.1R1
Начиная Junos OS выпуске 19.1R1, по умолчанию все входящие SFTP-соединения отключены. При желании можно глобально включить входящие SFTP-соединения, настроив утверждение sftp-server на [edit system services ssh] уровне иерархии.
18.3R1
Начиная Junos OS релизе 18.3R1, алгоритмы hostkey и хоста удаляются — вместо немедленного удаления — обеспечивают обратную совместимость и возможность привести конфигурацию в соответствие с новой ssh-dssssh-dsa конфигурацией.