Комментарии 10
НЛО прилетело и опубликовало эту надпись здесь
Я согласен со всем, но:
1) Джунипер не принимает иной формат ключа (влоть до пробела) и это почему-то не отражено ни в одной оффициальной доке, и в инете такой инфы тоже нет. Пришлось тупо угадывать, какая запись ему понравится.
2) Я же не спорю, что TACACS+ хорошая вещь, но данная статья в первую очередь ориентирована на среднестатистического сисадмина, который хочет обезопасить ssh-доступ «из коробки». Согласитесь, не все админы сразу же побегут ставить себе TACACS-сервер, который еще надо настроить. К тому же авторизация по ssh-ключам предоставляет достаточный уровень безопасности. Или я не прав?
Многие сисадмины вообще оставляют торчать наружу незакриптованные 22-порты с шестизначными паролями. Эта статья — в первую очередь для них.
НЛО прилетело и опубликовало эту надпись здесь
Если тебя просто сканирует робот, то шестизначный пароль (который не содержится в словаре) поможет еще как, а вот если это направленная атака, то смена порта на нестандартный ничем не поможет ;)
> На Джуниперах НЕЛЬЗЯ сменить порт SSH!

Сменить по честному нет, но можно сделать локальный редирект с нужного порта, а 22 закрыть. Остальное может быть интересно разве что для людей кто первый раз смотрит на junos.
Это в большинстве случаев не есть гуд

Согласен.
поэтому необходимо воспользоваться файрволл-фильтрами, чтобы дать доступ только определенным айпишникам. Все остальные
Допустим нам надо разрешить доступ только для айпи 192.168.10.10, а всем остальным – запретить. Пишем такую конструкцию:

Несогласен с реализацией. В принципе — вариант имеет право на существование, но более правильный подход, по идеологии srx-ов, это политики безопасности. Правильно ограничивать доступ к самому устройству нужно следующим образом:

m0ps@gate-ua-cn> show configuration security policies from-zone UNTRUST to-zone junos-host
policy ALLOWED_SSH_ACCESS {
    match {
        source-address [ HOST1 HOST2 HOST3 ];
        destination-address any;
        application junos-ssh;
    }
    then {
        permit;
    }
}
policy WORLD_WAN_ACCESS {
    match {
        source-address any;
        destination-address any;
        application any;
    }
    then {
        deny;
    }
}

Основная идея — создание политики, в которой зона назначения junos-host.
А я считаю, что файрвол-фильтры в данном случае — более быстрый и более удобный способ достижения цели. Во-первых куда меньше писанины, не надо создавать записи в адресной книге для хостов и писать несколько политик, а во-вторых не засоряется лишним раздел policies. Можно добавлять интерфейсы и айпишники без необходимости добавления новых адресов и политик между зонами. Быстрее и удобнее при абсолютно том же функционале.
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.