За последний год производитель коммутаторов Juniper неоднократно выпускал и выпускает бюллетени по безопасности ОС Junos: серии SRX и EX с уязвимостями в J-Web. Многочисленные уязвимости в компоненте J-Web OS Juniper Networks Junos в сериях SRX и EX были устранены путем применения специальных исправлений для устранения каждой уязвимости. Данные проблемы устраняются путем выпуска новых версий прошивок, но как выяснилось опытным путем не на все коммутаторы Juniper серии EX устанавливается последняя прошивка.
Обходной путь для решении данной проблемы предложен в самой бюллетени по безопасности - это отключение J-Web или ограничение доступа только к доверенным хостам.
Данные настройки будут актуальны для коммутаторов серии Juniper EX3200 на которых нет возможности обновится до последней версии прошивки.
Рассмотрим решение для предотвращения несанкционированного доступа к графическому интерфейсу J-Web на коммутаторах серии EX.
Это решение может быть изменено, чтобы также ограничить доступ к другим портам управления, таким как SSH и SNMP.
1. Прежде всего, нам нужно определить наш список хостов, которым разрешен доступ к коммутатору через J-Web:
""manager-ip - название prefix-list (название может быть произвольным)""
admin_di@EX3200SW3> configure
admin_di@MKA-TRP1-EX3200# set policy-options prefix-list manager-ip 192.168.30.0/27
admin_di@EX3200SW3# set policy-options prefix-list manager-ip 192.168.20.0/24
""проверяем policy-options""
admin_di@EX3200SW3# show policy-options
prefix-list manager-ip {
192.168.20.0/24;
192.168.20.67/32;
192.168.30.0/27;
}
""удалить строку в policy-options""
admin_di@EX3200SW3# edit policy-options
[edit policy-options]
admin_di@EX3200SW3# delete prefix-list manager-ip 192.168.20.67/32
[edit policy-options]
admin_di@EX3200SW3# show
prefix-list manager-ip {
192.168.20.0/24;
192.168.30.0/27;
}
[edit policy-options]
admin_di@EX3200SW3# exit
[edit]
""не забываем записывать конфигурацию, т.к. в JunOS без сохранения конфигурации правило не заработает""
admin_di@EX3200SW3# commit
commit complete
2. Далее мы создаем фильтр брандмауэра, который выполняет следующие действия: - сначала принимает подключения к любой службе с адресов из списка префиксов manager-ip; - отбрасывает весь остальной HTTP-трафик; - принимает весь остальной трафик.
admin_di@EX3200SW3# set firewall family inet filter J-Web term AllowedIPAnyService from source-prefix-list manager-ip
[edit]
admin_di@EX3200SW3# set firewall family inet filter J-Web term AllowedIPAnyService then accept
[edit]
admin_di@EX3200SW3# set firewall family inet filter J-Web term BlockOtherHTTP from destination-port http
[edit]
admin_di@EX3200SW3# set firewall family inet filter J-Web term BlockOtherHTTP then discard
[edit]
admin_di@EX3200SW3# set firewall family inet filter J-Web term default then accept
[edit]
3. Наконец, примените входящий фильтр к интерфейсу loopback 0 (если вы примените входящий фильтр брандмауэра к loopback устройства Juniper, это будет применено ко всему трафику, обрабатываемому механизмом маршрутизации. Это включает в себя трафик с адресом назначения физического интерфейса (т.е. не обратный цикл):
admin_di@EX3200SW3# set interfaces lo0 unit 0 family inet filter input J-Web
[edit]
admin_di@EX3200SW3# commit
commit complete
4. Проверяем работу.