Наличие уязвимости послужило выпуском новых версий Junos. Вспомнилось и сразу нашлось параноидальное RFC 6192, с которым следует внимательно ознакомиться. Там в конце есть примеры для Junos и для IOS.
До кучи узнал про команду:
В Vyatta все это не так удобно. Фильтры надо вешать на каждый интерфейс: До кучи узнал про команду:
router#show control-plane host open-ports
Active internet connections (servers and established)
Prot Local Address Foreign Address Service State
tcp *:20667 99.999.999.5:179 IOS host service ESTABLIS
tcp *:23 99.999.999.1:54743 Telnet ESTABLIS
tcp *:22 *:0 SSH-Server LISTEN
tcp *:23 *:0 Telnet LISTEN
tcp *:179 888.88.888.64:21459 BGP ESTABLIS
tcp *:179 *:0 BGP LISTEN
tcp *:179 *:0 BGP LISTEN
tcp *:179 *:0 BGP LISTEN
tcp *:179 *:0 BGP LISTEN
tcp *:179 5656.4.444.5656:57050 BGP ESTABLIS
udp *:123 *:0 NTP LISTEN
udp *:161 *:0 IP SNMP LISTEN
udp *:162 *:0 IP SNMP LISTEN
udp *:56693 *:0 IP SNMP LISTEN
interfaces {
ethernet eth0 {
address 999.999.999.1/30
duplex auto
firewall {
in {
name acl_in
}
local {
name control_plane
}
}
}
...
Многочисленные snmp-запросы могут влиять на загрузку CPU. Поэтому наиболее рьяные NMS необходимо ограничивать. Еще можно ввести ограничения по логированию сообщений: logging rate-limit all 10 except critical