Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 10
tacacs+ и TOTP пароли наше все.
Я согласен со всем, но:
1) Джунипер не принимает иной формат ключа (влоть до пробела) и это почему-то не отражено ни в одной оффициальной доке, и в инете такой инфы тоже нет. Пришлось тупо угадывать, какая запись ему понравится.
2) Я же не спорю, что TACACS+ хорошая вещь, но данная статья в первую очередь ориентирована на среднестатистического сисадмина, который хочет обезопасить ssh-доступ «из коробки». Согласитесь, не все админы сразу же побегут ставить себе TACACS-сервер, который еще надо настроить. К тому же авторизация по ssh-ключам предоставляет достаточный уровень безопасности. Или я не прав?
1) Джунипер не принимает иной формат ключа (влоть до пробела) и это почему-то не отражено ни в одной оффициальной доке, и в инете такой инфы тоже нет. Пришлось тупо угадывать, какая запись ему понравится.
2) Я же не спорю, что TACACS+ хорошая вещь, но данная статья в первую очередь ориентирована на среднестатистического сисадмина, который хочет обезопасить ssh-доступ «из коробки». Согласитесь, не все админы сразу же побегут ставить себе TACACS-сервер, который еще надо настроить. К тому же авторизация по ssh-ключам предоставляет достаточный уровень безопасности. Или я не прав?
> На Джуниперах НЕЛЬЗЯ сменить порт SSH!
Сменить по честному нет, но можно сделать локальный редирект с нужного порта, а 22 закрыть. Остальное может быть интересно разве что для людей кто первый раз смотрит на junos.
Сменить по честному нет, но можно сделать локальный редирект с нужного порта, а 22 закрыть. Остальное может быть интересно разве что для людей кто первый раз смотрит на junos.
Это в большинстве случаев не есть гуд
Согласен.
поэтому необходимо воспользоваться файрволл-фильтрами, чтобы дать доступ только определенным айпишникам. Все остальные
Допустим нам надо разрешить доступ только для айпи 192.168.10.10, а всем остальным – запретить. Пишем такую конструкцию:
Несогласен с реализацией. В принципе — вариант имеет право на существование, но более правильный подход, по идеологии srx-ов, это политики безопасности. Правильно ограничивать доступ к самому устройству нужно следующим образом:
m0ps@gate-ua-cn> show configuration security policies from-zone UNTRUST to-zone junos-host
policy ALLOWED_SSH_ACCESS {
match {
source-address [ HOST1 HOST2 HOST3 ];
destination-address any;
application junos-ssh;
}
then {
permit;
}
}
policy WORLD_WAN_ACCESS {
match {
source-address any;
destination-address any;
application any;
}
then {
deny;
}
}Основная идея — создание политики, в которой зона назначения junos-host.
А я считаю, что файрвол-фильтры в данном случае — более быстрый и более удобный способ достижения цели. Во-первых куда меньше писанины, не надо создавать записи в адресной книге для хостов и писать несколько политик, а во-вторых не засоряется лишним раздел policies. Можно добавлять интерфейсы и айпишники без необходимости добавления новых адресов и политик между зонами. Быстрее и удобнее при абсолютно том же функционале.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Повышаем безопасность SSH-доступа на маршрутизаторах Juniper SRX