Access-List op de juniper SRX550 - Serversoftware en clouddiensten

dinsdag 28 januari 2014 12:16

Acties:

Topicstarter

Beste Forum users

ik wil graag een access-list in me router configureren voor het toegang van de router en dat op basis van de Mac-adres. ik op de router inloggen met de bekende mac adressen. en heb geen ervaring met juniper access-list

kunnen jullie me hiermee helpen
MVG
Sakbari

dinsdag 28 januari 2014 12:37

Acties:

Equator

Crew Council

#whisky #barista

Beste Sakbari,

Dit is nu al het vierde topic van jou in Professional Networking & Servers waar je eigenlijk 0,0 eigen inzet laat zien. In de eerdere topics hebben we dit nog door de virtuele vingers gezien, maar hier trek ik nu de lijn.

Het is me ten eerste niet duidelijk wat je nu precies wilt bereiken. Wil je de toegang tot de management interface van de router beperken voor een paar MAC adressen? Of wil je de toegang tot een VLAN/route beperken tot machines met een bepaald MAC adres?

Nu wil ik je nog wel vermelden dat een MAC adres de minste veilige manier is om toegang ergens toe beperken. Een MAC adres kan gespoofed worden door iedereen met een beetje kennis van een OS. Dus je management beperken tot een MAC adres is NIET veilig. Hiervoor hanteer je beter een goed wachtwoord bij een onbekende gebruikersnaam. Of ga aan de slag met certificaten.

Wat heb je zelf al geprobeerd om je probleem op te lossen? Heb je bijvoorbeeld de hardware guide doorgenomen?

Heb je uberhaupt een google query gehanteerd? [google=juniper srx 550 configure access lists] geeft me onder andere al: http://kb.juniper.net/Inf...x?page=content&id=KB16647

Als je geen ervaring hebt met een product en je moet dit in productie gaan beheren dan moet je het risico van onkunde aan je manager voorleggen. Niet je alles voor laten kauwen op een forum en er uiteindelijk nog niets van begrijpen.

Ik ga je de kans geven om het topic te voorzien van duidelijke gegevens. Wat je al hebt geprobeerd of gezocht en waarom werkte dat niet. Wat probeer je nu echt te bereiken?
Lukt dat niet dan gaat het topic op slot.

[ Voor 11% gewijzigd door Equator op 28-01-2014 12:39 ]

dinsdag 28 januari 2014 13:11

Acties:

sakbari

Topicstarter

Beste Equator

ik heb die link wat je geeft al door genomen. ik wil toegang beperken tot bepaalde mac adressen. en dat heb ik opgezocht maar kan het niet vinden.

wat ik gevonden heb is daar mee geef je alleen toegang van bepaalde IP adressen

user@host# show firewall
family inet {
filter pim-traffic-filter {
term pim {
from {
source-address {
10.10.0.0/16;
}
destination-address {
224.0.0.13/32;
}
protocol pim;
}
then {
policer network-control-5m;
count pim-pkts;
loss-priority low;
forwarding-class network-control;
accept;

dinsdag 28 januari 2014 13:16

Acties:

Equator

Crew Council

#whisky #barista

Toegang beperken tot bepaalde MAC adressen. Waarvoor of waar naar toe? Voor specifieke protocollen van en naar specifieke sites/netwerken? Wees nou eens duidelijker?

Een firewall kijkt heel lullig gezegd naar layer 3 en hoger. Een MAC adres zit op laag 2. Je kan dus niet filteren op een firewall op basis van een MAC adres.

Als jij bepaalde systemen de toegang tot een specifiek protocol wilt ontzeggen dan zal je deze in een eigen VLAN moeten zetten en dan de ACL op het vlan plaatsen.
Hoe je ze dan in dat VLAN plaatst kan je nog over bomen.

dinsdag 28 januari 2014 13:18

Acties:

sakbari

Topicstarter

ik wil de management toegang op de router via ssh beperken met mac adressen. ik zie dat ze op de router proberen in te loggen

dinsdag 28 januari 2014 13:20

Acties:

DukeBox

loves wheat smoothies

Zoals eerder genoemd, dat kan niet.

Duct tape can't fix stupid, but it can muffle the sound.

dinsdag 28 januari 2014 13:23

Acties:

Equator

Crew Council

#whisky #barista

Beperk dat dan tot een bepaalde interface/NIC. Of sta SSH van buitenaf niet toe.

In de link die ik je eerder gaf:

2. Specify allowed host-inbound traffic for a zone or interface.

To access the SRX Series device, you must specify the kinds of traffic that can reach it by using the host-inbound-traffic command, which you can configure at the zone or interface level. If you configure host-inbound traffic for a zone, all interfaces in that zone are affected. If you configure host-inbound traffic at the interface level, this configuration overrides the host-inbound traffic configuration for a zone.) You must enable all expected host-inbound traffic. Inbound traffic from devices directly connected to the SRX Series device's interfaces is dropped by default. For more information, see Technical Documentation.
a. Verify host-inbound traffic that is enabled.

To verify the host-inbound traffic that is enabled on all zones, use the following command:

user@host# show security zones | match "host-inbound-traffic" | display set
set security zones security-zone trust host-inbound-traffic system-services all
set security zones security-zone trust host-inbound-traffic protocols all
set security zones security-zone untrust interfaces ge-0/0/0.0 host-inbound-traffic system-services dhcp
set security zones security-zone untrust interfaces ge-0/0/0.0 host-inbound-traffic system-services tftp

Blijkbaar kan je een security zone definieren welke je toegang geeft tot je management service. Hoe dat verder werkt staat blijkbaar hier: http://www.juniper.net/te...ity-swconfig-security.pdf

[ Voor 91% gewijzigd door Equator op 28-01-2014 13:27 ]

dinsdag 28 januari 2014 14:41

Acties:

Mikey!

Als je SSH vanaf internet wilt beperken tot één of meerdere IP-adressen kan je dat doen door gebruik te maken van policies. Het voorbeeld hieronder staat enkel verkeer met source-adres 8.8.8.8/32 en 9.9.9.9/32 toe om met SSH een verbinding op te zetten naar de Juniper zelf vanaf internet (interface fe-0/0/7)

code:

security {
    address-book {
        global {
            address IP01 8.8.8.8/32;
            address IP02 9.9.9.9/32;
        }
    policies {
        from-zone untrust to-zone junos-host {
            policy ssh-permit {
                match {
                    source-address [ IP01 IP02 ];
                    destination-address any;
                    application junos-ssh;
                }
                then {
                    permit;
                }
            }
            policy default-deny {
                match {                 
                    source-address any;
                    destination-address any;
                    application any;
                }
                then {
                    deny;
                }
            }
        }
    zones {
        security-zone untrust {
            screen untrust-screen;
            interfaces {
                fe-0/0/7.0 {
                    host-inbound-traffic {
                        system-services {
                            ssh;
                        }
                    }
                }
            }
        }
    }
}

Om bovenstaande te configureren gebruik je onderstaande commando's:

code:

set security address-book global address IP01 8.8.8.8/32
set security address-book global address IP02 9.9.9.9/32

set security policies from-zone untrust to-zone junos-host policy ssh-permit match source-address IP01
set security policies from-zone untrust to-zone junos-host policy ssh-permit match source-address IP02
set security policies from-zone untrust to-zone junos-host policy ssh-permit match destination-address any
set security policies from-zone untrust to-zone junos-host policy ssh-permit match application junos-ssh
set security policies from-zone untrust to-zone junos-host policy ssh-permit then permit

set security policies from-zone untrust to-zone junos-host policy default-deny match source-address any
set security policies from-zone untrust to-zone junos-host policy default-deny match destination-address any
set security policies from-zone untrust to-zone junos-host policy default-deny match application any
set security policies from-zone untrust to-zone junos-host policy default-deny then deny

set security zones security-zone untrust screen untrust-screen
set security zones security-zone untrust interfaces fe-0/0/7.0 host-inbound-traffic system-services ssh

dinsdag 28 januari 2014 15:53

Acties:

sakbari

Topicstarter

Bedankt Mikey!

ik gebruik zelf reth PORTe n die port is verbonden naar de buitenwereld.

nogmaals bedankt voor de code

[ Voor 6% gewijzigd door sakbari op 28-01-2014 15:59 ]

dinsdag 28 januari 2014 18:30

Acties:

CyBeR

💩

Equator schreef op dinsdag 28 januari 2014 @ 13:23:
Beperk dat dan tot een bepaalde interface/NIC. Of sta SSH van buitenaf niet toe.

In de link die ik je eerder gaf:

[...]

Blijkbaar kan je een security zone definieren welke je toegang geeft tot je management service. Hoe dat verder werkt staat blijkbaar hier: http://www.juniper.net/te...ity-swconfig-security.pdf

Bijna; in dat voorbeeld wordt ingesteld dat voor de zones 'trust' en 'untrust' bepaalde soorten verkeer naar de router zelf ('host-inbound-traffic') toegestaan wordt. In dit geval alles in de 'trust' zone en dhcp en tftp in de 'untrust' zone.

Overigens is er inderdaad een speciale zone die je toestaat dit wat meer granular in te stellen, 'junos-host'. Dit is een speciale zone die toegepast wordt op verkeer naar de router zelf toe. Zie hierboven; hij wordt in dat voorbeeld gebruikt.

All my posts are provided as-is. They come with NO WARRANTY at all.

woensdag 29 januari 2014 11:08

Acties:

Mikey!

sakbari schreef op dinsdag 28 januari 2014 @ 15:53:
Bedankt Mikey!

ik gebruik zelf reth PORTe n die port is verbonden naar de buitenwereld.

nogmaals bedankt voor de code

Geen dank