Βίντεο: Using Juniper for the First Time | JunOS CLI 2024
Το Junos OS έχει διάφορες προεπιλεγμένες συμπεριφορές που συμβάλλουν στην ασφάλεια του δρομολογητή, συμπεριφορές που αρχίζουν να ισχύουν αμέσως μόλις εκτελέσετε την αρχική διαμόρφωση του δρομολογητή.
-
Πρόσβαση δρομολογητή: Από προεπιλογή, ο μόνος τρόπος πρόσβασης στον δρομολογητή είναι η φυσική σύνδεση με τη θύρα κονσόλας του δρομολογητή. Για να διαμορφώσετε αρχικά τον δρομολογητή, πρέπει να συνδέσετε έναν φορητό ή άλλο τερματικό απευθείας στη θύρα της κονσόλας. Όλα τα άλλα πρωτόκολλα πρόσβασης και διαχείρισης πρόσβασης απομακρυσμένης διαχείρισης, όπως το Telnet, το FTP και το SSH, είναι απενεργοποιημένα. (Σε δρομολογητές της σειράς J, η διεπαφή ιστού ενεργοποιείται για να βοηθήσει στην αρχική διαμόρφωση του συστήματος.)
Μόλις ολοκληρωθεί η αρχική διαμόρφωση, θα πρέπει να ενεργοποιήσετε έναν τρόπο απομακρυσμένης σύνδεσης στο δρομολογητή, ώστε να μην χρειάζεται να βρίσκεστε εκεί για να συνδεθείτε στη θύρα κονσόλας του δρομολογητή. Το SSH παρέχει την καλύτερη ασφάλεια και ρυθμίζετε τις παραμέτρους ως εξής:
[επεξεργασία] fred @ router # ορίζει τις υπηρεσίες συστήματος ssh
-
Διαμόρφωση του δρομολογητή με τις εντολές SNMP: Το Junos OS δεν υποστηρίζει τη δυνατότητα SNMP για επεξεργασία δεδομένων διαμόρφωσης, η οποία επιτρέπει σε ένα NMS να τροποποιεί τις διαμορφώσεις σε διαχειριζόμενες συσκευές δικτύου. Το Junos OS, από προεπιλογή, επιτρέπει στο SNMP να διερευνά την κατάσταση του δρομολογητή, αν και με αυτόν δεν συσχετίζονται οι γνωστοί κίνδυνοι ασφαλείας.
-
Μηνύματα κατευθυνόμενης εκπομπής: Το Junos OS δεν διαβιβάζει αυτά τα μηνύματα, τα οποία είναι datagrams με διεύθυνση προορισμού μιας διεύθυνσης εκπομπής υποδικτύου IP. Οι κατευθυνόμενες εκπομπές είναι εύκολο να spoof, η οποία είναι μια μέθοδος που χρησιμοποιείται στις επιθέσεις DoS.
-
Διευθύνσεις Martian: Το Junos OS αγνοεί τις διαδρομές για αρκετές δεσμευμένες διευθύνσεις (χωρίς όμως να συμπεριλαμβάνει τις ιδιωτικές διευθύνσεις που ορίζονται στο RFC 1918). Οι διευθύνσεις του Άρη δεν πρέπει ποτέ να εμφανίζονται στο Διαδίκτυο, αλλά οι διαδρομές για αυτές τις διευθύνσεις διαφημίζονται μερικούς από τους λανθασμένους ρυθμιζόμενους δρομολογητές. Μπορείτε να τροποποιήσετε τη λίστα των διευθύνσεων του Άρη, αν το επιθυμείτε.
Οι διευθύνσεις του Martian είναι διευθύνσεις κεντρικού υπολογιστή ή δικτύου για τις οποίες αγνοούνται όλες οι πληροφορίες δρομολόγησης. Συχνά αποστέλλονται από ακατάλληλα διαμορφωμένα συστήματα στο δίκτυο και έχουν διευθύνσεις προορισμού που είναι προφανώς άκυρες.
-
Κρυπτογράφηση κωδικού πρόσβασης: Κατά τη διαμόρφωση του δρομολογητή, πρέπει να εισαγάγετε κωδικούς πρόσβασης για διάφορες λειτουργίες. Όλοι αυτοί οι κωδικοί πρόσβασης είναι ασφαλείς - είτε με κρυπτογράφηση (μια χαρτογράφηση ενός προς ένα, που είναι δυνατό να αποκρυπτογραφηθεί) είτε με hashing (μια χαρτογράφηση πολλών προς πολλά, είναι αδύνατο να ξεκαθαρίσουμε), ή με αλγόριθμους - για να τους αποτρέψουμε από την ανακάλυψη.
Ακόμα και σε περιπτώσεις όπου το λειτουργικό σύστημα Junos σας ζητάει έναν κωδικό πρόσβασης απλού κειμένου, το λογισμικό το κρυπτογραφεί αμέσως μετά την πληκτρολόγηση.Όταν εμφανίζετε τον κωδικό πρόσβασης στο αρχείο ρυθμίσεων, βλέπετε μόνο την κρυπτογραφημένη έκδοση, η οποία έχει επισημανθεί ως SECRET-DATA. Για παράδειγμα, αν διαμορφώσετε έναν κωδικό πρόσβασης απλού κειμένου για λογαριασμό σύνδεσης χρήστη, το Junos το κρυπτογραφεί αμέσως χρησιμοποιώντας το SHA1.
-
Μερική επιβολή ισχυρών κωδικών πρόσβασης: Το λειτουργικό σύστημα Junos επιβάλλει τη χρήση ισχυρών κωδικών πρόσβασης σε ορισμένο βαθμό, απαιτώντας ότι όλοι οι κωδικοί πρόσβασης που έχετε διαμορφώσει να έχουν μήκος τουλάχιστον έξι χαρακτήρων, να έχουν αλλαγή θήκης και να περιέχουν είτε ψηφία είτε σημεία στίξης. Το λογισμικό απορρίπτει κωδικούς πρόσβασης που δεν πληρούν αυτά τα κριτήρια.
Μπορείτε να βελτιώσετε την επιβολή ισχυρών κωδικών πρόσβασης, ρυθμίζοντας ένα μεγαλύτερο ελάχιστο μήκος κωδικού πρόσβασης και αυξάνοντας τον ελάχιστο αριθμό αλλαγών κειμένου, ψηφίων και στίξης:
[επεξεργασία συστήματος] fred @ router # set password password ελάχιστο μήκος αριθμός [επεξεργασία συστήματος] fred @ router # set κωδικός πρόσβασης σύνδεσης ελάχιστες αλλαγές αριθμός
Κατά την αρχική ρύθμιση ενός νέου δρομολογητή, ορίζετε τον κωδικό πρόσβασης ως κωδικό πρόσβασης απλού κειμένου. Επειδή ο χρήστης ρίζας είναι σε θέση να εκτελέσει οποιεσδήποτε λειτουργίες στο δρομολογητή, η σφίξιμο του λογαριασμού root είναι μια καλή ιδέα. Ένας τρόπος για να γίνει αυτό είναι να ρυθμίσετε τον κωδικό πρόσβασης ρίζας χρησιμοποιώντας τον έλεγχο ταυτότητας κλειδιού SSH.