जुनिपर एसआरएक्स राउटर्स पर एसएसएच एक्सेस सुरक्षा बढ़ाना

इस लेख में मैं आपको बताऊंगा कि जुनिपर SRX श्रृंखला उपकरणों के लिए सही मायने में सुरक्षित एसएसएच एक्सेस को कॉन्फ़िगर कैसे करें, अर्थात। हमारे राउटर को हैक करना अपने आप में एक प्राथमिकता है। मैं दो चीजों का वर्णन करूंगा:

• SSH लॉगिन केवल ssh कुंजी से कैसे संभव है।
• IP पते की सूची को कैसे सीमित करें जो जूनिपर को ssh-access का उपयोग कर सकते हैं।

एक समय में, मैंने ईमानदारी से पूरे दिन मार डाला कि कैसे जूनीपर्स में ऐसी सरल चीजों को लागू किया जाए। मुझे उम्मीद है कि मेरा लेख आपको समय बचाने में मदद करता है।

पहले पैराग्राफ को लागू करते हैं। और तुरंत बीज के लिए दो चम्मच टार:

• Junipers पर, SSH पोर्ट को न बदलें! हम अपने पूरे जीवन को 22 वें से जोड़ेंगे! ठीक है। यह कुंजी प्रविष्टि करने का एक और कारण है। मुझे उम्मीद है कि भविष्य के फर्मवेयर किसी तरह इसे ठीक कर लेंगे ...
• यह प्रक्रिया वेब इंटरफ़ेस तक पहुंच को प्रभावित नहीं करती है। यह एक तरफ खराब है, क्योंकि जो कोई भी वेब चेहरे के लिए पासवर्ड को तोड़ता है वह कॉन्फ़िगर को बदल सकता है जैसा वह चाहता है, लेकिन दूसरी तरफ यह अच्छा है, क्योंकि हमें लगता है, और जो हमारे वेब चेहरे पर भी जा सकता है और क्या वह ऐसा कर सकता है? आप इंटरफ़ेस और आईपी दोनों द्वारा वेब इंटरफेस तक पहुंच को प्रतिबंधित कर सकते हैं। लेकिन उस पर और बाद में।

तो चलिए शुरू करते हैं। सबसे पहले आपको SSH कीज़ की एक जोड़ी जेनरेट करनी होगी। PuTTy उपयोगिताओं के मानक सेट से PuTTygen की उपयोगिता इसके लिए एकदम सही है । हम इसे लॉन्च करते हैं और हम ऐसी विंडो देखते हैं:



हम SSH2-RSA का चयन करते हैं, कुंजी की लंबाई 1024 बिट्स है (ऊपर जुनिपर समर्थन नहीं करते हैं)। "जनरेट" पर क्लिक करें, माउस ले जाएँ जबकि पीढ़ी चल रही है। जब समाप्त हो जाए, तो उचित फ़ील्ड में दो बार एक मजबूत पासवर्ड दर्ज करना सुनिश्चित करें और निजी कुंजी को बचाने के लिए "निजी कुंजी" बटन पर क्लिक करें। मुझे लगता है कि आपको यह याद दिलाना जरूरी नहीं है कि निजी कुंजी को निजी कुंजी कहा जाता है, जिसे इसे बहुत ही सुरक्षित स्थान पर संग्रहीत किया जाना चाहिए? उदाहरण के लिए, मैं इसे खुले रूप में संग्रहीत नहीं करता, लेकिन KeePass2 उपयोगिता का उपयोग करता हूं । खैर, यह पहले से ही किसी के लिए अधिक सुविधाजनक है!
यह भी सलाह दी जाती है कि इस कुंजी को न खोएं, क्योंकि इसके अलावा, हम जुनिपर को कॉन्फ़िगर करेंगे ताकि उसके बिना वह केवल कंसोल पर न जाए। आपको वेब-फेस में जाना होगा और उस कॉन्फ़िगरेशन के हिस्से को हटाना होगा जो इस सेटिंग के लिए जिम्मेदार है। खैर, या डिवाइस के लिए रूट पासवर्ड रीसेट करने के लिए एक सुनसान प्रक्रिया को पूरा करें।
फिर, "सार्वजनिक कुंजी ..." विंडो की सामग्री को एक नोटबुक में कॉपी करें। जुनिपर कॉन्फ़िगरेशन में सार्वजनिक कुंजी डालने से पहले हमें कुछ ठीक करना होगा। सबसे पहले, "rsa-key- ..." वाक्यांश को अंत से हटाएं, फिर कुंजी को फॉर्म में लाएं:

"Ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQBfkD3juKaLXqNKJhhUMIwt4Ro / aF38WDi7XlniSYDY8GZuhcAMJHLLFJRTI07Qrr
Kfev4nFm2HbeSFkaI96l4TSKlqS90goemrbTkNTes / 2F9VBzRjogYcEfr57bgUQ + DVmnSMWiLeWwFwT79pctJR1dJZbSuQf2jgmrqPpTfJ235u + 8 + V4O2KPmIbrjHaWg9MZQcu2pdDfLBFaLgkgh9wPlToKtaCk0577DN6OImhOpL + xoyIOzg3JFlCwTNIYSvGX8sdnJaJkt0IOWf + KJrGQSXfc68Zw0hhakBojfotyFklGO390KxO
wVecS35kMuHjSRmhaGqf03yG1sQWt = रूट @ जूनून »

चेतावनी! यहां गलती न करना महत्वपूर्ण है, अन्यथा जुनिपर कुंजी को स्वीकार नहीं करेगा! कुंजी हमेशा उद्धरण चिह्नों में संलग्न होनी चाहिए। अंत में एक "=" चिह्न होना चाहिए, उसके बाद एक स्थान और उसके बाद रूट @ your_Juniper_name। यह आपके डिवाइस के कमांड लाइन प्रॉम्प्ट की तरह ही है! जुनिपर नाम, मुझे याद है, कॉन्फ़िगरेशन मोड में set system host-name कमांड द्वारा सेट किया गया है। यदि आप बाद में इस नाम को बदलते हैं, तो आपको कुंजी को स्वयं ही सही करना होगा।
अब जबकि निजी कुंजी पासवर्ड-सुरक्षित है और एक सुरक्षित स्थान पर संग्रहीत है, और सार्वजनिक एक को कॉन्फ़िगरेशन में सम्मिलित करने के लिए तैयार है, PuTTygen उपयोगिता को बंद किया जा सकता है और कंसोल में प्रवेश किया जा सकता है। हम लिखते हैं:

root@juniper# set system root-authentication ssh-rsa _ ( -)

यदि सब कुछ सही ढंग से किया गया था, तो जुनिपर उसके विन्यास में हमारी कुंजी लिखेंगे।
अब हम केवल एक कुंजी पर एक प्रवेश द्वार बनाते हैं:

root@juniper# set system services ssh root-login deny-password

ठीक है, निश्चित रूप से:

root@juniper# commit check
root@juniper# commit

अब, एसएसएच के माध्यम से लॉग इन करने के लिए, हमें पहले "कनेक्शन - एसएसएच - प्रमाणीकरण" अनुभाग में पुट्टी में अपनी निजी कुंजी की फ़ाइल निर्दिष्ट करने की आवश्यकता है। प्रवेश द्वार पर, हम कुछ इस तरह देखेंगे:



यहां हम उस पासवर्ड को दर्ज करते हैं जो निजी कुंजी बनाते समय सेट किया गया था। उसके बाद, हम उदारता से अनुमति देते हैं! यह दिलचस्प है कि अगर कोई अब बिना चाबी के प्रवेश करने की कोशिश करता है, तो जुनिपर सभी एक ही आज्ञाकारी रूप से उससे लॉगिन पासवर्ड पूछेगा, लेकिन प्रमाणीकरण हर बार विफल हो जाएगा।

अब आइए नेटवर्क एक्सेस स्तर पर SSH लॉगिन को प्रतिबंधित करने के तरीके के बारे में बात करते हैं। इसके लिए दो पूरक तरीके हैं। पहला: edit security zones अनुभाग में host-inbound-traffic निर्देश। एक उदाहरण:

  रूट @ जुनिपर # सुरक्षा ज़ोन सुरक्षा-ज़ोन अविश्वास दिखाते हैं
     स्क्रीन अविश्वसनीय स्क्रीन;
     इंटरफेस {
         fe-0/0 / 0.0 {
             होस्ट-इनबाउंड-ट्रैफ़िक {
                 सिस्टम-सेवाएं {
                     पिंग;
                     ssh;
                 }
             }
         } 

यह निर्देश प्रोटोकॉल को नियंत्रित करता है जिसके लिए जुनिपर इस क्षेत्र / इंटरफ़ेस के लिए उपलब्ध होगा। उदाहरण के लिए, ssh, ping, https, https, dhcp, tftp, आदि। यदि हम host-inbound-traffic system-services सेक्शन में ssh प्रोटोकॉल को निर्दिष्ट करते हैं, तो जुनिपर इस ज़ोन / इंटरफ़ेस पर ssh के अनुरोधों को सुनेंगे।
सब ठीक है। लेकिन अगर हमने LAN के लिए इंटरफ़ेस पर ssh ओपन किया है, तो LAN के सभी उपयोगकर्ता ssh के माध्यम से जुनिपर को संभावित रूप से एक्सेस कर सकते हैं। यह ज्यादातर मामलों में गुलजार नहीं होता है, इसलिए आपको केवल कुछ IP तक पहुँच देने के लिए फ़ायरवॉल फ़िल्टर का उपयोग करना होगा।
मान लीजिए कि हमें केवल आईपी 192.168.10.10 तक पहुंच की अनुमति देने की आवश्यकता है, और अन्य सभी को अक्षम करें। हम ऐसा निर्माण लिखते हैं:

root@juniper# edit firewall filter deny-ssh

(फ़िल्टर संपादन मोड में प्रवेश किया)

root@juniper# set term 1 from source-address 0/0

(किसी भी स्रोत पते के साथ संयोग का संकेत दें ...)

root@juniper# set term 1 from source-address 192.168.10.10 except

(... सिवाय इसके कि हमें क्या चाहिए)

root@juniper# set term 1 from destination-port ssh
root@juniper# set term 1 then log discard

(ssh के माध्यम से पहुंच को प्रतिबंधित करना। त्यागना - इसका मतलब चुपचाप पैकेट को मारना है। आप अस्वीकार कर सकते हैं - प्रतिबंध भी लिख सकते हैं, लेकिन icmp पोर्ट अनुपलब्ध भेजने के साथ। लॉग - का अर्थ है ssh को हिट करने के असफल प्रयास। सिद्धांत रूप में, आप नहीं लिख सकते हैं)।

root@juniper# set term 2 then accept

(सब कुछ करने की अनुमति देना न भूलें, अन्यथा यह हमारे और राउटर के लिए बहुत बुरा होगा)

हम इस फिल्टर को राउटर के लूपबैक इंटरफेस पर लागू करते हैं (क्योंकि यह रूटिंग-इंजन की ओर जाता है, यानी सिस्टम के कर्नेल में जहां sshd डेमन रहता है)।

root@juniper# set interfaces lo0 unit 0 family inet filter input deny-ssh

उपरोक्त विधि काफी कठिन है और सावधानीपूर्वक आवेदन की आवश्यकता है , क्योंकि किसी भी इंटरफ़ेस से जुनिपर तक ssh पहुँच को समायोजित करता है। यदि हमें सुरक्षा के इतने गंभीर स्तर की आवश्यकता नहीं है, तो उसी फ़िल्टर को LAN इंटरफ़ेस पर भी लागू किया जा सकता है। केवल इस मामले में, आपको यह ध्यान में रखना होगा कि LAN इंटरफ़ेस परिभाषा द्वारा पारगमन है, और इसलिए आपको Juniper को destination-address फ़िल्टर के फ़िल्टर नियमों से जोड़ने की आवश्यकता है, अन्यथा दिए गए नेटवर्क पर ssh प्रोटोकॉल सामान्य रूप से जादुई रूप से काम नहीं करेगा। लूपबैक इंटरफ़ेस के लिए, आपको destination-address निर्दिष्ट करने की आवश्यकता नहीं है, क्योंकि यह क्षणभंगुर नहीं है।
यह स्पष्ट है कि यह पूरी तरह से वैकल्पिक है, उदाहरण के लिए, source-address में सभी शून्य लिखने के लिए। आप किसी भी विशिष्ट सबनेट और यहां तक ​​कि इंटरफेस को निर्दिष्ट कर सकते हैं। दूसरे शब्दों में, आप बहुत लचीले ढंग से पहुंच को कॉन्फ़िगर कर सकते हैं।

वैसे, हम एक समान प्रक्रिया द्वारा जुनिपर वेब इंटरफेस तक पहुंच को प्रतिबंधित कर सकते हैं!

वह सब है! इस सरल तरीके से, हमने अपने ssh सत्रों की सुरक्षा में उल्लेखनीय वृद्धि की है!