Junos jak zabezpieczyć konfigurację

Ostatnio dużo siedziałem na nową wersja SRX’a w wersji wirtualnej i odkryłem możliwość blokowania konfiguracji poszczególnych opcji, poniżej przedstawię jak zabezpieczyć jakiś segment konfiguracji. Do zabezpieczenia konfiguracji służy polecenie protect

jak widać możemy zabezpieczyć każdy element konfiguracji. Przykład: Zabezpieczamy interfejs sieciowy ge-0/0/0

wykonujemy commit wychodzimy z trybu konfiguracji i sprawdzamy:

po próbie modyfikacji konfiguracji interfejsu ge-0/0/0 o opis dostajemy komunikat:

aby móc wykonać modyfikację zabezpieczonego interfejsu …

Lab – Cisco ISE – AAA dla Junosa

W poprzednich wpisach opisałem jak zainstalować oraz jak podłączyć do AD ISE. Poniżej opiszę jak wykorzystać ISE jak radius który będzie serwować użytkowników do logowania po ssh i www dla urządzeń Juniper pod systemem Junos. Jak centralne repozytorium użytkowników będzie służyć AD. Mam nadzieję że komuś się przyda. Bierzemy się do pracy. Tworzymy grupy i userów: Grupa AD User User Junos Network-RW netrw RW Network-RO netro RO Network-OP netop OP …

Juniper – Ograniczenie dostępu do IKE

Co zrobić aby na urządzeniu na którym jest uruchomiona usługa IKE na skanach bezpieczeństwa nie pojawiało się że jest włączony aggressive mode. Najszybciej będzie założenie filtru który będzie nam dopuszczał wybrane adresy peerów do usługi IKE i ESP Definiujemy grupę w której będzie lista adresów IP i sieci które będą mogły się zestawić IPSEC’a oraz z którymi urządzenie będzie mogło nawiązać połączenie

 Definiujemy term w którym będziemy blokować wszystkie …

Juniper – ograniczenie dostępu do managmentu

Poniżej przedstawiam jak ograniczyć dostęp dla wybranej listy sieci oraz hostów do ssh i https dla urządzeń Juniper. Definiujemy grupę która będzie miała dostęp do ssh i https

Definiujemy filtr który blokuje dostęp do ssh oraz https z wykluczeniem grup management-hosts

  Przypinamy filtr do interfejsu loopback 0

Po tym zabiegu mamy ograniczony dostęp do urządzenia. W kolejnym wpisie przedstawię jak ograniczyć dostęp do usługi IKE

Lab – IPSEC Juniper SRX – Cisco router

Dziś postanowiłem opisać trochę labowania, temat ostatnio bardzo mocno przerabiany IPSEC. Poniżej opiszę wariant policy base vpn, który jest bardzo elastyczny. Założenia: Faza 1 aes256 sha-1 pfs g2 3600s Faza 2 aes256 sha-1 pfs g2 3600s Cisco Juniper SRX Sieci które będą podlegały szyfrowaniu 172.16.10.0/24 10.10.10.0/24 Cisco Juniper SRX Interfejs z adresem tzw. publicznym 192.168.1.201/24 192.168.1.2/24 Konfiguracja Cisco Logujemy się do Cisco:

konfiguracja fazy 1

konfiguracja fazy 2 …