set interfaces ge-0/0/1 description "---unused---" disable
Default source address
set system default-address-selection
Disable unused services
delete system services rsh
delete system services rlogin
delete system services ftp
delete system services finger
delete system services telnet
delete system services http
Harden SSH
set system service ssh protocol-version v2
set system service ssh root-login deny
set system service ssh connection-limit 10
set system service ssh rate-limit 3
Harden Login
set system login retry-options tries-before-disconnect 3
set system login retry-options backoff-threshold 1
set system login retry-options backoff-factor 6
set system login retry-options minimum-time 30
Harden network
set system no-redirects
set system no-ping-record-route
set system no-ping-timer-stamp
set system internet-options tcp-drop-synfin-set
set system internet-options no-tcp-reset drop-all-tcp
set protocols lldp interface all disable
set protocols lldp interface fe-0/0/2
set protocols lldp-med interface all disable
set protocols lldp-med interface fe-0/0/2
Harden syslog
set system syslog host 192.168.100.1 log-prefix lab-101srx001
set system syslog host 192.168.100.1 source-address 192.168.101.1
Disable USB
set system processes usb-control disable
set chassis usb storage disable
Encrypt configuration files
request system set-encryption-key algorithm aes
set system encrypt-configuration-files
JunOS restrict management access to specific IP addresses
policy-options {
prefix-list manager-ip {
10.0.0.0/8
192.168.0.0/16
172.16.0.0/12
}
}
firewall {
filter manager-ip-filter {
term allow-manager-networks {
from {
source-prefix-list {
manager-ip;
}
}
then accept;
}
term deny-all {
then {
log;
discard;
}
}
}
}
interfaces {
lo0 {
unit 0 {
family inet {
filter {
input manager-ip-filter;
}
}
}
}
}
Use Security Policy
Note: Bei der Verwendung von Security Policies ist zu bedenken, dass
die Policy auch Traffic betrifft der für das Gerät selber bestimmt ist. Dazu gehören auch Protokolle
wie z.B. OSPF, BGP oder RIP. Die notwendigen Adressen
sind der prefix-listmanager-ip dann hinzuzufügen.
show security policies from-zone untrusted to-zone trusted policy allow-icmp6
match {
source-address any;
destination-address any;
application junos-icmp6-echo-request;
}
then {
permit;
}
DHCPv6 Funktionalität überprüfen
rzimmermann@lab> show dhcpv6 client binding detail
Client Interface: pp0.0
Hardware Address: 10:0e:7e:fb:be:c1
State: BOUND(DHCPV6_CLIENT_STATE_BOUND)
ClientType: STATEFUL
Lease Expires: 2015-08-18 18:15:01 CEST
Lease Expires in: 14369 seconds
Lease Start: 2015-08-18 14:15:01 CEST
Bind Type: IA_PD
Client DUID: LL0x29-10:0e:7e:fb:be:c1
Rapid Commit: On
Server Ip Address: ::
Update Server Yes
Client IP Prefix: 2003:a:332:9900::/56
DHCP options:
Name: server-identifier, Value: VENDOR0x00000a4c-0x4533322f
Name: dns-recursive-server, Value: 2003:180:2:3000:0:1:0:53,2003:180:2:4000:0:1:0:53
DHCPv6 Troubleshooting
Bei der Konfiguration und Definition von IPv6 Firewall Filtern kommt es unter
Umständen dazu das DHCPv6 nicht mehr funktioniert. In unseren Installationen und
Tests mit mehreren Routing Instanzen und mehreren VDSL
Zugängen hat folgender Befehl die Funktionalität wiederhergestellt.
Die einfachere Art DHCP-Relay mit routing-instances zu konfigurieren ist die
Konfiguration über die forwarding-options bzw. helpers. Das wichtige in der
Konfiguration ist die Angabe der routing-instance.
show forwarding-options
helpers {
bootp {
relay-agent-option;
interface {
ge-0/0/1.0 {
server 10.1.1.10 routing-instance network-1;
server 10.1.1.11 routing-instance network-1;
}
ge-0/0/2.0 {
server 10.1.1.10 routing-instance network-2;
server 10.1.1.11 routing-instance network-2;
}
ge-0/0/3.0 {
server 10.1.1.10 routing-instance network-3;
server 10.1.1.11 routing-instance network-3;
}
}
}
}
Check the DHCP client bindings in the routing instance:
rzimmermann@lab# run show dhcp relay binding routing-instance instance-network-1
IP address Session Id Hardware address Expires State Interface
10.10.1.100 5 00:2c:39:12:1a:00 86201 BOUND ge-0/0/1.0
Es gibt eigentlich nicht viel zu tun, um eine IPsec Konfiguration für dynamische Adressen oder für
maskierte Zugänge zu konfigurieren. In der ike Konfiguration ist es wichtig den
Parameter local-identity zu definieren. Mit diesem Namen kann der Gateway den Tunnel
zuordnen. Auch muss der Parameter mode aggressive konfiguriert werden.
Die IKE Konfiguration unterscheidet sich nicht stark von einer einfachen Site-to-Site Konfiguration. Wer einen Site-to-Site Tunnel zwischen einer SRX und einer Sophos SG UTM aufbauen möchte, bekommt Probleme mit der Sophos VPN-ID. In dem folgenden Beispiel werden die local-identity und die remote-identity in der gateway section definiert. Die VPN-ID's der Sophos UTM sollten auf Hostname und den entsprechenden Hostnamen stehen.
In etwas aufwändigeren JunOS Konfigurationen kann es notwendig sein mit routing-instances zu arbeiten. Dabei
kann es sehr schnell zur Verwirrung und Problemen kommen. In diesem Beispiel geht es darum, SNMP Abfragen an dem Interface
vlan.0 zu ermöglichen. Das Interface liegt in der routing-instanceniederlassung. Die
hier aufgeführten Konfigurationen sind nicht vollständig und sollen nur das Prinzip verdeutlichen.
Zum Verständnis hier die Interface Konfiguration.
interfaces {
interface-range interfaces-niederlassung {
member fe-0/0/2;
member fe-0/0/3;
member fe-0/0/4;
member fe-0/0/5;
member fe-0/0/6;
member fe-0/0/7;
unit 0 {
family ethernet-switching {
port-mode access;
vlan {
members vlan-trust;
}
}
}
}
vlan {
unit 0 {
family inet {
filter {
input source-route-filter;
}
address 192.168.1.1/24;
}
}
}
}
SNMP Konfiguration
Damit von einer routing-instance SNMP Abfragen möglich werden, muss der Parameter
routing-instance-access konfiguriert werden. Über den Parameter access-list
kann man den Zugriff noch auf bestimmte routing-instancen einschränken. Wichtig ist in diesem Fall
noch die Konfiguration der clients die zugreifen dürfen. Damit aus der routing-instance
niederlassung zugegriffen werden kann, werden explizit die clients in der routing-instance
konfiguriert.
Note: Die Juniper SRX110 unterstützt derzeit die DSL-Standards Annex-A und Annex-B.
Da die Deutsche Telekom vermehrt Anschlüsse auf IP-basierte Anschlüsse umstellt, können diese
Anschlüsse nicht mit einer SRX110 betrieben werden. Router die an einem IP-basierten
Anschluss betrieben werden, müssen den DSL-Standard Annex-J unterstützen. Oft fällt in diesem Zusammenhang auch
der Begriff DSL ohne Splitter. Bei Annex-J Anschlüssen entfällt der Splitter, da Telefonie und Internet über
die DSL-Datenleitung laufen. VDSL-25 und VDSL-50 können noch mit Annex-B betrieben werden. Für VDSL-100 gilt dies nicht mehr. Dort
muss ein Modem mit Unterstützung für Annex-J eingesetzt werden. Seitens der Telekom sollten Router die Standards 1TR112/U-R2
und Annex-J unterstützen. Alternativ kann man die SRX mit PPPOE und einem VDSL Modem
betreiben.
Warning: Der Router muss mit dem mitgelieferten "DSL-Kabel für den IP-basierten Anschluss" direkt an die Telefondose (TAE) angeschlossen werden. Ein DSL-Splitter darf nicht mehr angeschlossen werden.
Andere Router-Modelle der Telekom sind für DSL ohne Splitter derzeit nicht geeignet.
Geräte anderer Hersteller müssen den Standard 1TR112 unterstützen und explizit für Annex J geeignet sein. Kontaktieren Sie hierzu den Hersteller.
PulseSA—Pulse components required for Pulse Secure Access Service.
PulseUAC—Pulse components required for Pulse Access Control Service.
PulseSRX—Pulse components required for SRX Series Gateways.
PulseAppAccel—Pulse components required for Pulse Application Acceleration Service.
Optional sub-features:
Pulse8021x—Available with PulseUAC. Includes 802.1x connectivity components.
SAEndpointDefense—Available with PulseSA. Includes Enhanced Endpoint Security components for connections to Pulse Secure Access Service.
SAHostChecker—Available with PulseSA. Includes Host Checker components for connections to Pulse Secure Access Service.
UACEndpointDefense—Available with PulseUAC. Includes Enhanced Endpoint Security components for connections to Pulse Access Control Service.
UACHostChecker—Available with PulseUAC. Includes Host Checker components for connections to Pulse Access Control Service.
UACIPSec—Available with PulseUAC. Includes components required to connect to Pulse Access Control Service using IPSec from 32-bit Windows endpoints. This feature is available in the 32-bit MSI only.
UACIPSec64—Available with PulseUAC. Includes components required to connect to Pulse Access Control Service using IPSec from 64-bit Windows endpoints. This feature is available in the 64-bit MSI only.
Sample Output
When you use ADDLOCAL, you should append msiexec options /qn or /qb to the command line to suppress the installation program user interface. These examples use /qb.
To install PulseUAC with 802.1x and Enhanced Endpoint Security support on a Windows 32-bit endpoint using a configuration file, use the following command line:
To install PulseSA with Enhanced Endpoint Security and Host Checker on a 64-bit Windows endpoint using a configuration file, use the following command line:
Protected by SIEGNETZ.IT GmbH