Juniper – Ograniczenie dostępu do IKE

Co zrobić aby na urządzeniu na którym jest uruchomiona usługa IKE na skanach bezpieczeństwa nie pojawiało się że jest włączony aggressive mode. Najszybciej będzie założenie filtru który będzie nam dopuszczał wybrane adresy peerów do usługi IKE i ESP

  1. Definiujemy grupę w której będzie lista adresów IP i sieci które będą mogły się zestawić IPSEC’a oraz z którymi urządzenie będzie mogło nawiązać połączenie
    set policy-options prefix-list allow_peer 8.8.8.8
    set policy-options prefix-list allow_peer 172.10.10.0/24
  2.  Definiujemy term w którym będziemy blokować wszystkie próby połączenia poza listą allow_peer
    mamy dwa filtry:
    filter-VPN-in

    set firewall family inet filter filter-VPN-in term block_esp from source-address 0.0.0.0/0 
    set firewall family inet filter filter-VPN-in term block_esp from source-prefix-list allow_peer except 
    set firewall family inet filter filter-VPN-in term block_esp from protocol esp 
    set firewall family inet filter filter-VPN-in term block_esp then discard 
    set firewall family inet filter filter-VPN-in term block_udp500 from source-address 0.0.0.0/0 
    set firewall family inet filter filter-VPN-in term block_udp500 from source-prefix-list allow_peer except 
    set firewall family inet filter filter-VPN-in term block_udp500 from protocol udp 
    set firewall family inet filter filter-VPN-in term block_udp500 from destination-port 500 
    set firewall family inet filter filter-VPN-in term block_udp500 then discard 
    set firewall family inet filter filter-VPN-in term accept_default then accept 
    

    oraz filter-VPN-out

    set firewall family inet filter filter-VPN-out term block_esp from destination-address 0.0.0.0/0 
    set firewall family inet filter filter-VPN-out term block_esp from destination-prefix-list allow_peer except 
    set firewall family inet filter filter-VPN-out term block_esp from protocol esp 
    set firewall family inet filter filter-VPN-out term block_esp then discard 
    set firewall family inet filter filter-VPN-out term block_udp500 from destination-address 0.0.0.0/0 
    set firewall family inet filter filter-VPN-out term block_udp500 from destination-prefix-list HQ-LOT except 
    set firewall family inet filter filter-VPN-out term block_udp500 from protocol udp 
    set firewall family inet filter filter-VPN-out term block_udp500 from port 500 
    set firewall family inet filter filter-VPN-out term block_udp500 then discard 
    set firewall family inet filter filter-VPN-out term accept_default then accept 
    

     

  3. Wyżej zdefiniowany filtr filter-VPN-out przypinamy do interfejsu który służy nam do zestawiania kanału IPSEC, w mym przypadku jest to fe-0/0/7
    set interfaces fe-0/0/7 unit 0 family inet filter input filter-VPN-in 
    set interfaces fe-0/0/7 unit 0 family inet filter output filter-VPN-out

     

Pasjonat komputerowy od zawsze oraz maniak w zakresie sieci, wirtualizacji oraz bezpieczeństwa IT. Kompetentny inżynier z dużym doświadczeniem w realizacji projektów informatycznych i telekomunikacyjnych. Wieloletni administrator IT, który utrzymuje systemy informatyczne dostosowując je do wymogów biznesowych z zapewnieniem dostępności 24/7/365.
Posts created 126

Related Posts

Begin typing your search term above and press enter to search. Press ESC to cancel.

Back To Top