Video: SSH TOOLS Kiếm Tiền Online 2025
SSH và Telnet là hai cách phổ biến để người dùng truy cập router. Cả hai đều yêu cầu xác thực mật khẩu, thông qua tài khoản được định cấu hình trên router hoặc tài khoản được đặt trên một máy chủ xác thực tập trung, chẳng hạn như một máy chủ RADIUS. Ngay cả với một mật khẩu, các phiên Telnet vốn không an toàn, và SSH có thể bị tấn công bởi những nỗ lực táo bạo để đoán mật khẩu.
Bạn hạn chế quyền truy cập SSH và Telnet bằng cách tạo một bộ lọc tường lửa, điều chỉnh lưu lượng truy cập trên một giao diện cụ thể, quyết định cho phép và loại bỏ những gì. Tạo bộ lọc là một quá trình gồm hai phần:
-
Bạn xác định các chi tiết lọc.
-
Bạn áp dụng bộ lọc cho một giao diện router.
Bây giờ, khi bạn muốn kiểm soát truy cập vào router, bạn thường phải áp dụng những hạn chế này cho mỗi giao diện khi router có thể được liên lạc qua bất kỳ giao diện nào. Tuy nhiên, để làm cho mọi việc trở nên dễ dàng hơn, Junos OS cho phép bạn áp dụng các bộ lọc tường lửa cho giao diện loopback (lo0).
Bộ lọc thể hiện trong quá trình sau được gọi là limit-ssh-telnet, và nó có hai phần, hoặc các thuật ngữ. Hệ điều hành Junos đánh giá hai thuật ngữ tuần tự. Giao thông phù hợp với thuật ngữ đầu tiên được xử lý ngay lập tức và lưu lượng truy cập không thành công được đánh giá theo kỳ thứ hai. Dưới đây là cách tiến trình hoạt động:-
Các gói tin sẽ khớp với thuật ngữ này chỉ khi tiêu đề IP bao gồm một địa chỉ đích từ 192. 168. 0. Tiền tố 1/24, phần đầu IP cho thấy gói là một gói tin TCP, và phần đầu gói tin TCP cho thấy lưu lượng truy cập là hướng tới các cổng đích SSH hoặc Telnet.
Nếu tất cả các tiêu chí này được đáp ứng, hành động của bộ lọc là chấp nhận nỗ lực truy cập và lưu lượng truy cập:
[chỉnh sửa tường lửa] fred @ router # thiết lập bộ lọc hạn chế-ssh-telnet thuật ngữ truy cập hạn từ nguồn-địa chỉ 192. 168. 0. 1/24 [edit firewall] fred @ router # thiết lập bộ lọc hạn chế-ssh-telnet thuật ngữ truy cập từ giao thức tcp [sửa] tường lửa fred @ router # thiết lập bộ lọc hạn chế-ssh-telnet thuật ngữ truy cập hạn từ điểm đến -sport [ssh telnet] [chỉnh sửa tường lửa] fred @ router # thiết lập bộ lọc hạn chế-ssh-telnet thuật ngữ truy cập hạn sau đó chấp nhận
Thuật ngữ thứ hai, được gọi là block-all-else, chặn tất cả lưu lượng truy cập không đáp ứng các tiêu chí trong Bước 1.
-
Bạn có thể thực hiện bước này bằng lệnh cơ bản từ chối. Thuật ngữ này không có tiêu chí để so khớp, do đó, theo mặc định, nó được áp dụng cho tất cả lưu lượng truy cập không thành công trong thuật ngữ đầu tiên:
[chỉnh sửa tường lửa] fred @ router # bộ lọc hạn chế-ssh-telnet thuật ngữ block-all-else từ chối
Bạn nên theo dõi những nỗ lực không thành công để truy cập router để bạn có thể xác định liệu một cuộc tấn công phối hợp đang được tiến hành hay không. Cụm từ block-all-else đếm số lần truy cập truy cập không thành công. Lệnh đầu tiên trong ví dụ kế tiếp theo dõi những nỗ lực này trong một truy cập có tên là bad-access, ghi lại gói tin, và gửi thông tin đến tiến trình syslog.
[edit firewall] fred @ router # thiết lập bộ lọc hạn chế-ssh-telnet thuật ngữ block-all-else hạn truy cập xấu [chỉnh sửa tường lửa] fred @ router # thiết lập bộ lọc hạn chế-ssh-telnet thuật ngữ block-all-else log-time log file [redistribution] fred @ router # bộ lọc giới hạn -ssh-telnet thuật ngữ block-all-else count syslog
Tạo một bộ lọc là một nửa quá trình. Phần thứ hai là để áp dụng nó vào một giao diện router, trong trường hợp này đến giao diện loopback của router, lo0:
[sửa các giao diện] fred @ router # đặt lo0 đơn vị 0 family inet lọc đầu vào giới hạn-ssh-telnet
Bạn áp dụng bộ lọc như một bộ lọc đầu vào, có nghĩa là hệ điều hành Junos áp dụng nó cho tất cả các lưu lượng truy cập đến được chuyển đến máy bay điều khiển.
