Video: Accessing Your ASUSTOR NAS Part 2 (Windows) (Multilingual Subtitles) 2024
SSH dan Telnet adalah dua cara biasa untuk pengguna mengakses penghala. Kedua-duanya memerlukan pengesahan kata laluan, sama ada melalui akaun yang dikonfigurasi pada penghala atau akaun yang ditetapkan pada pelayan pengesahan berpusat, seperti pelayan RADIUS. Walaupun dengan kata laluan, sesi Telnet sememangnya tidak selamat, dan SSH boleh diserang oleh cubaan kuasa kasar untuk meneka kata laluan.
Anda mengehadkan akses SSH dan Telnet dengan membuat penapis firewall, yang mengawal lalu lintas pada antara muka tertentu, memutuskan apa yang hendak dibenarkan dan apa yang hendak dibuang. Mencipta penapis adalah proses dua bahagian:
-
Anda menentukan butiran penapisan.
-
Anda memohon penapis ke antara muka penghala.
Sekarang, apabila anda mahu mengawal akses kepada penghala, biasanya anda perlu menggunakan sekatan tersebut ke setiap antara muka sebagai penghubung boleh dihubungi melalui mana-mana antara muka. Walau bagaimanapun, untuk membuat perkara lebih mudah, Junos OS membolehkan anda menggunakan penapis firewall ke antaramuka loopback (lo0).
Penapis firewall yang digunakan pada antara muka lo0 menjejaskan semua trafik yang ditakdirkan kepada satah kawalan router, tanpa mengira antara muka yang mana paket itu tiba. Jadi untuk menghadkan akses SSH dan Telnet ke penghala, anda menggunakan penapis ke antara muka lo0.
Penapis yang ditunjukkan dalam proses berikut dipanggil had-ssh-telnet , dan ia mempunyai dua bahagian atau istilah. OS Junos menilai kedua-dua istilah secara berurutan. Trafik yang sepadan dengan istilah pertama diproses dengan serta-merta, dan lalu lintas yang gagal dinilai oleh istilah kedua. Begini cara proses berfungsi:
-
Istilah pertama, had-ssh-telnet, mencari akses SSH dan Telnet hanya cuba dari peranti pada 192. 168. 0. 1/24 subnetwork.
Paket akan sepadan dengan istilah ini hanya jika header IP termasuk alamat destinasi dari 192. 168. 0. 1/24 awalan, header IP menunjukkan paket adalah paket TCP, dan header paket TCP menunjukkan bahawa lalu lintas adalah menuju pelabuhan destinasi SSH atau Telnet.
Sekiranya semua kriteria ini dipenuhi, tindakan penapis adalah untuk menerima percubaan dan trafik capaian:
[edit firewall] fred @ router # set penapis had istilah ssh-telnet dari source-address 192. 168. 0. 1/24 [edit firewall] fred @ router # set penapis limit-ssh-telnet term-access term dari protocol tcp [edit firewall] fred @ router # set filter limit-ssh-telnet term access term from destination -port [ssh telnet] [edit firewall] fred @ router # set penapis had-ssh-telnet term-access term kemudian menerima
-
Istilah kedua, yang dipanggil block-all-else, menghalang semua lalu lintas yang tidak memenuhi kriteria dalam Langkah 1.
Anda boleh melakukan langkah ini dengan arahan menolak asas. Istilah ini tidak mengandungi kriteria untuk dipadankan, jadi, secara lalai, ia digunakan untuk semua lalu lintas yang gagal dalam istilah pertama:
[sunting firewall] fred @ router # set penapis had-ssh-telnet istilah blok-semua-lain istilah menolak
Anda mesti mengesan percubaan gagal untuk mengakses penghala supaya anda dapat menentukan sama ada serangan bersepadu sedang dijalankan. Istilah blok-semua-lain menghitung jumlah cubaan akses yang gagal. Perintah pertama dalam contoh seterusnya menjejaki percubaan ini di kaunter yang dinamakan tidak kemas, log masuk dan menghantar maklumat ke proses syslog.
[edit firewall] fred @ router # set penapis had-ssh-telnet istilah block-all-else menghitung jumlah akses tidak sah [edit firewall] fred @ router # set filter limit-ssh-telnet term block-all- log kiraan istilah [edit firewall] fred @ router # set penapis had-ssh-telnet istilah block-all-else kiraan istilah syslog
Membuat penapis adalah separuh proses. Bahagian kedua adalah menggunakannya pada antara muka penghala, dalam hal ini ke antara muka loopback router, lo0:
[edit interface] fred @ router # set lo0 unit 0 input masuk penapis inet keluarga-ssh-telnet
Anda menggunakan penapis sebagai penapis input, yang bermaksud bahawa OS Junos memasukannya ke semua lalu lintas masuk yang ditujukan ke pesawat kawalan.
