Video: Configure Telnet on Huawei Routers (HCIA-HNTD) 2024
SSH dan Telnet adalah dua cara yang umum bagi pengguna untuk mengakses router. Keduanya memerlukan otentikasi password, baik melalui akun yang dikonfigurasi pada router atau akun yang ditetapkan pada server otentikasi terpusat, seperti server RADIUS. Bahkan dengan kata sandi, sesi Telnet secara inheren tidak aman, dan SSH dapat diserang oleh upaya brute force untuk menebak kata kunci.
Anda membatasi akses SSH dan Telnet dengan membuat filter firewall, yang mengatur lalu lintas pada antarmuka tertentu, memutuskan apa yang harus diizinkan dan apa yang harus dibuang. Membuat filter adalah proses dua bagian:
-
Anda menentukan rincian penyaringan.
-
Anda menerapkan filter ke antarmuka router.
Sekarang, ketika Anda ingin mengendalikan akses ke router, Anda biasanya perlu menerapkan batasan tersebut ke setiap antarmuka karena router dapat dihubungi melalui antarmuka apa pun. Namun, untuk mempermudah, Junos OS memungkinkan Anda menerapkan filter firewall ke antarmuka loopback (lo0).
Filter firewall yang diterapkan pada antarmuka lo0 mempengaruhi semua lalu lintas yang ditujukan ke bidang kontrol router, terlepas dari antarmuka tempat paket tiba. Jadi untuk membatasi akses SSH dan Telnet ke router, Anda menerapkan filter ke antarmuka lo0.
Filter yang ditunjukkan pada proses berikut disebut limit-ssh-telnet , dan memiliki dua bagian, atau istilah. OS Junos mengevaluasi dua istilah secara berurutan. Lalu lintas yang cocok dengan istilah pertama diproses segera, dan lalu lintas yang gagal dievaluasi oleh istilah kedua. Begini cara kerjanya:
-
Istilah pertama, limit-ssh-telnet, mencari akses SSH dan Telnet hanya dari perangkat pada 192. 168. 0. 1/24 subnetwork.
Paket akan sesuai dengan istilah ini hanya jika header IP menyertakan alamat tujuan dari awalan 192. 168. 0. 1/24, tajuk IP menunjukkan bahwa paket tersebut adalah paket TCP, dan tajuk paket TCP menunjukkan bahwa lalu lintas adalah menuju port tujuan SSH atau Telnet.
Jika semua kriteria ini terpenuhi, tindakan filter adalah menerima upaya akses dan lalu lintas:
[edit firewall] fred @ router # set filter limit-ssh-telnet term access-term from source-address 192. 168. 0. 1/24 [edit firewall] fred @ router # set filter limit-ssh-telnet istilah akses-istilah dari protokol tcp [edit firewall] fred @ router # set filter limit-ssh-telnet term access-term from destination -port [ssh telnet] [edit firewall] fred @ router # set filter limit-ssh-telnet istilah akses kemudian menerima
-
Istilah kedua, yang disebut block-all-else, memblokir semua lalu lintas yang tidak memenuhi kriteria di Langkah 1.
Anda bisa melakukan langkah ini dengan perintah dasar menolak. Istilah ini tidak mengandung kriteria untuk dicocokkan, jadi, secara default, ini berlaku untuk semua lalu lintas yang gagal dalam istilah pertama:
[edit firewall] fred @ router # set filter limit-ssh-telnet istilah block-all-else term reject
Anda harus melacak upaya yang gagal untuk mengakses router sehingga Anda dapat menentukan apakah serangan bersama sedang berlangsung. Istilah block-all-else menghitung jumlah upaya akses yang gagal. Perintah pertama pada contoh berikut melacak usaha-usaha ini di sebuah counter yang bernama bad-access, logging the packet, dan mengirimkan informasi ke proses syslog.
[edit firewall] fred @ router # set filter batas-ssh-telnet istilah block-all-else term count-access [edit firewall] fred @ router # set filter limit-ssh-telnet istilah block-all-else term count log [edit firewall] fred @ router # set filter limit-ssh-telnet istilah block-all-else term count syslog
Membuat filter setengah proses. Babak kedua adalah menerapkannya ke antarmuka router, dalam hal ini ke antarmuka loopback router, lo0:
[edit interfaces] fred @ router # set lo0 unit 0 batas input inet filter keluarga-ssh-telnet
Anda menerapkan filter sebagai filter input, yang berarti bahwa OS Junos menerapkannya pada semua lalu lintas yang masuk yang dituju ke pesawat kontrol.