Junos tips og triks

SSH tilpasninger i Junos

JUNOS benytter OpenSSH og mange av tilpasningene som kan gjøres i OpenSSH er også mulig å gjøre i JUNOS. 

Konfigurasjonen nedenfor viser hvordan du kan slå av og på støtten for forskjellige algoritmer relatert til kryptering og på den måten øke sikkerheten sammenlignet med standard-innstillingene i JUNOS. I tillegg har vi tatt med et par andre innstillinger relatert til sikkerhet og ett som gjør livet enklere for dem som logger inn på JUNOS-enheter gjennom brannmurer som er litt for ivrige til å terminere sesjoner uten aktivitet.

Kryptografi er et komplekst fagområde og langt utenfor kompetanseområdet for forfatteren av dette JUNOS-tipset, så innstillingene vist nedenfor må ikke regnes som en fasit. Har du synspunkter på hvilke ciphers, macs, key-exchange eller hostkey-algorithm varianter som bør benyttes, så send dem gjerne til jojo@nlogic.no

system {

    services {

        ssh {

            root-login deny-password;

            no-tcp-forwarding;

            protocol-version v2;

            ciphers "chacha20-poly1305@openssh.com";

            macs "hmac-sha2-512-etm@openssh.com";

            /* curve25519-sha256 kan gi problemer med OpenSSH_6.6.1p1 */

            key-exchange [ curve25519-sha256 group-exchange-sha2 ];

            client-alive-interval 30;

            client-alive-count-max 4;

            hostkey-algorithm {        

                no-ssh-dss;            

                ssh-rsa;               

                no-ssh-ecdsa;          

                ssh-ed25519;           

            }                          

            connection-limit 3;        

            rate-limit 3;              

        }

    }

}


Vær oppmerksom på at du trenger en rimelig ny versjon av OpenSSH (eller tilsvarende) som klient for å kunne benytte denne konfigurasjonen. Du kan lett stenge deg selv ute fra ruteren når du gjør endringer på disse parametrene, så husk å bruke commit confirmed

Hvilke parametre som kan spesifiseres er avhengig av hvilken JUNOS-versjon du bruker, så det kan tenkes at det ikke er mulig å konfigurere alle valgene som er vist i eksemplet over.

Parameter Forklaring
Root-Login Lar deg spesifisere om det skal være lov å logge inn som bruker root eller ikke. Valget deny-passwordlar deg logge inn som bruker root med SSH-nøkler men ikke med vanlig passord
Rate Limit Spesifiserer maksimalt antall forsøk på å etablere en SSH-forbindelse per minutt. Tallet som oppgis gjelder pr adresse-familie (IPv4 + IPv6)
Protocol-version Lar deg spesifisere at du bare skal tillate SSH versjon 2
No-TCP-Forwarding Fjerner muligheten for å sette opp videresending av andre TCP-porter via SSH-tunneler
Client-Alive-Interval Forteller SSH at det skal sendes keepalive pakker med 30 sekunders mellomrom dersom det ikke har blitt sendt annen trafikk.. Dette hindrer at ivrige brannmurer dropper SSH-forbindelsen før den timer ut i JUNOS
Client-Alive-Count-Max Spesifiserer hvor mange keepalive pakker som kan sendes uten at det sendes noe svar tilbake før SSH daemonen i JUNOS vil koble ned forbindelsen
Connection-Limit Spesifiserer maksimalt antall samtidig SSH-forbindelser .Tallet du spesifiseres er summen av IPv4 og IPv6 forbindelser. Nye brukere som forsker å logge inn etter at grensen er nådd vil ikke få noe feilmelding og det er lett å tro at det skyldes en feil
Chipers, macs, key-exchange og hostkeyalorithm Spør Google om disse.