비디오: 전방위적 네트워크 보안 자동화, SDSN(Software Defined Secure Network) - 한국주니퍼네트웍스 [IT 프리뷰 22회, 네트워크 보안소프트웨어운영관리 편] 2024
SSH 및 텔넷은 사용자가 라우터에 액세스하는 두 가지 일반적인 방법입니다. 둘 다 라우터에 구성된 계정이나 RADIUS 서버와 같은 중앙 인증 서버에 설정된 계정을 통해 암호 인증을 요구합니다. 암호가 있어도 텔넷 세션은 본질적으로 안전하지 않으며 암호를 추측하려는 무차별 대입에 의해 SSH가 공격받을 수 있습니다.
방화벽 필터를 생성하여 특정 인터페이스의 트래픽을 조절하고 무엇을 허용하고 무엇을 버릴 지 결정함으로써 SSH 및 텔넷 액세스를 제한 할 수 있습니다. 필터를 작성하는 과정은 두 부분으로 이루어집니다:
-
필터링 세부 사항을 정의합니다.
-
라우터 인터페이스에 필터를 적용합니다.
이제 라우터에 대한 액세스를 제어하려는 경우 일반적으로 인터페이스를 통해 라우터에 연결할 수 있으므로 모든 인터페이스에 이러한 제한 사항을 적용해야합니다. 그러나 일을 더 쉽게하기 위해 Junos OS에서는 루프백 (lo0) 인터페이스에 방화벽 필터를 적용 할 수 있습니다.
lo0 인터페이스에 적용된 방화벽 필터는 패킷이 도착한 인터페이스에 관계없이 라우터의 제어 플레인으로 향하는 모든 트래픽에 영향을줍니다. 따라서 라우터에 대한 SSH 및 텔넷 액세스를 제한하려면 lo0 인터페이스에 필터를 적용하십시오.
다음 프로세스에 표시된 필터는 limit-ssh-telnet , 라고하며 두 부분 또는 용어가 있습니다. Junos OS는이 두 용어를 순차적으로 평가합니다. 첫 번째 용어와 일치하는 트래픽은 즉시 처리되고 실패한 트래픽은 두 번째 용어로 평가됩니다. 프로세스가 작동하는 방법은 다음과 같습니다.
-
첫 번째 용어 인 limit-ssh-telnet은 192. 168. 0. 1/24 하위 네트워크의 장치에서만 SSH 및 텔넷 액세스 시도를 찾습니다.
IP 헤더가 192. 168. 0. 1/24 접두사의 목적지 주소를 포함하고 IP 헤더가 패킷이 TCP 패킷임을 나타내며 TCP 패킷 헤더가 트래픽이 있음을 나타내는 경우에만 패킷이이 용어와 일치합니다 SSH 또는 텔넷 대상 포트로 향합니다.
[edit firewall] fred @ router # 필터 제한 -ssh-telnet term access-term을 소스 주소 192에서 설정합니다.
위의 모든 조건이 충족되면 필터의 작업이 액세스 시도 및 트래픽을 허용합니다. 168. 0. 1/24 [편집 방화벽] fred @ router # 필터 제한 설정 -ssh-telnet 프로토콜 tcp의 access-term [편집 방화벽] fred @ router # 필터 제한 설정 -ssh-telnet term -port [ssh telnet] fred @ router # set filter limit-ssh-telnet term access-term then accept
-
두 번째 항목 인 block-all-else는 기준을 충족하지 않는 모든 트래픽을 차단합니다 1 단계에서
이 단계는 기본 거부 명령을 사용하여 수행 할 수 있습니다. 이 용어는 일치시킬 기준이 없기 때문에 기본적으로 첫 번째 용어가 실패한 모든 트래픽에 적용됩니다.
[방화벽 편집] fred @ router # set 필터 제한 -ssh-telnet 용어 block-all-else 용어 거부
협상 된 공격이 진행 중인지 여부를 결정할 수 있도록 라우터 액세스 시도 실패를 추적해야합니다. block-all-else 용어는 실패한 액세스 시도 횟수를 계산합니다. 다음 예제의 첫 번째 명령은 잘못된 액세스라는 카운터에서 이러한 시도를 추적하고 패킷을 로깅하며 syslog 프로세스에 정보를 보냅니다.
fred @ router # 필터 제한 설정 -ssh-telnet term block-all-else 용어 카운트 불량 액세스 [edit firewall] fred @ router # set 필터 제한 -ssh-telnet term block-all-else term count log [편집 방화벽] fred @ router # set filter limit-ssh-telnet term block-all-else 용어 카운트 syslog
필터를 만드는 것은 과정의 절반입니다. 두 번째 절반은 라우터 인터페이스 (이 경우 라우터의 루프백 인터페이스 lo0)에 적용하는 것입니다.
[edit 인터페이스] fred @ router # set lo0 unit 0 패밀리 inet 필터 입력 제한 -ssh-telnet
필터를 입력 필터로 적용하면 Junos OS가 제어 플레인을 향하는 모든 들어오는 트래픽에 필터를 적용합니다.
