Comments 10
tacacs+ и TOTP пароли наше все.
+4
UFO just landed and posted this here
Я согласен со всем, но:
1) Джунипер не принимает иной формат ключа (влоть до пробела) и это почему-то не отражено ни в одной оффициальной доке, и в инете такой инфы тоже нет. Пришлось тупо угадывать, какая запись ему понравится.
2) Я же не спорю, что TACACS+ хорошая вещь, но данная статья в первую очередь ориентирована на среднестатистического сисадмина, который хочет обезопасить ssh-доступ «из коробки». Согласитесь, не все админы сразу же побегут ставить себе TACACS-сервер, который еще надо настроить. К тому же авторизация по ssh-ключам предоставляет достаточный уровень безопасности. Или я не прав?
1) Джунипер не принимает иной формат ключа (влоть до пробела) и это почему-то не отражено ни в одной оффициальной доке, и в инете такой инфы тоже нет. Пришлось тупо угадывать, какая запись ему понравится.
2) Я же не спорю, что TACACS+ хорошая вещь, но данная статья в первую очередь ориентирована на среднестатистического сисадмина, который хочет обезопасить ssh-доступ «из коробки». Согласитесь, не все админы сразу же побегут ставить себе TACACS-сервер, который еще надо настроить. К тому же авторизация по ssh-ключам предоставляет достаточный уровень безопасности. Или я не прав?
+1
Многие сисадмины вообще оставляют торчать наружу незакриптованные 22-порты с шестизначными паролями. Эта статья — в первую очередь для них.
0
> На Джуниперах НЕЛЬЗЯ сменить порт SSH!
Сменить по честному нет, но можно сделать локальный редирект с нужного порта, а 22 закрыть. Остальное может быть интересно разве что для людей кто первый раз смотрит на junos.
Сменить по честному нет, но можно сделать локальный редирект с нужного порта, а 22 закрыть. Остальное может быть интересно разве что для людей кто первый раз смотрит на junos.
0
Это в большинстве случаев не есть гуд
Согласен.
поэтому необходимо воспользоваться файрволл-фильтрами, чтобы дать доступ только определенным айпишникам. Все остальные
Допустим нам надо разрешить доступ только для айпи 192.168.10.10, а всем остальным – запретить. Пишем такую конструкцию:
Несогласен с реализацией. В принципе — вариант имеет право на существование, но более правильный подход, по идеологии srx-ов, это политики безопасности. Правильно ограничивать доступ к самому устройству нужно следующим образом:
m0ps@gate-ua-cn> show configuration security policies from-zone UNTRUST to-zone junos-host policy ALLOWED_SSH_ACCESS { match { source-address [ HOST1 HOST2 HOST3 ]; destination-address any; application junos-ssh; } then { permit; } } policy WORLD_WAN_ACCESS { match { source-address any; destination-address any; application any; } then { deny; } }
Основная идея — создание политики, в которой зона назначения junos-host.
0
А я считаю, что файрвол-фильтры в данном случае — более быстрый и более удобный способ достижения цели. Во-первых куда меньше писанины, не надо создавать записи в адресной книге для хостов и писать несколько политик, а во-вторых не засоряется лишним раздел policies. Можно добавлять интерфейсы и айпишники без необходимости добавления новых адресов и политик между зонами. Быстрее и удобнее при абсолютно том же функционале.
0
Sign up to leave a comment.
Повышаем безопасность SSH-доступа на маршрутизаторах Juniper SRX