Junos Standard Security Settings - dummies

Junos OS har en rekke standardadferd som bidrar til rutersikkerhet, atferd som umiddelbart trer i kraft når du utfører den første ruterkonfigurasjonen.

• Rutetilgang: Som standard er den eneste måten å få tilgang til ruteren ved fysisk tilkobling til ruterenes konsollport. For å konfigurere ruteren i utgangspunktet må du koble en bærbar PC eller en annen terminal direkte til konsollporten. Alle andre eksterne administrasjonstilgang og protokoller for administrasjonstilgang, for eksempel Telnet, FTP og SSH, er deaktivert. (På J-seriens rutere, er webgrensesnittet aktivert for å hjelpe til i den første systemkonfigurasjonen.)

  Når førstegangskonfigurasjonen er fullført, må du aktivere en måte å eksternt logge på ruteren, slik at du ikke trenger å være fysisk tilkoblet ruterenes konsolport. SSH gir den beste sikkerheten, og du konfigurerer den som følger:

  [edit] fred @ router # sett systemtjenester ssh
  

• Konfigurere ruteren med SNMP-kommandoer: Junos OS støtter ikke SNMP-settet for redigering av konfigurasjonsdata, noe som gjør det mulig for et NMS å endre konfigurasjonene på administrerte nettverksenheter. Junos OS gjør som standard tillat SNMP å spørre statusen til ruteren, men ingen sikkerhetsrisiko er knyttet til dette.

• Direkte sendte kringkastingsmeldinger: Junos OS videresender ikke disse meldingene, som er datagrammer med en destinasjonsadresse til en IP-subnettverkssendingsadresse. Direkte sendinger er enkle å spoofe, som er en metode som brukes i DoS-angrep.

• Martian adresser: Junos OS ignorerer ruter for flere reserverte adresser (men ikke de private adressene som er definert i RFC 1918). Martian adresser skal aldri bli sett på Internett, men ruter for disse adressene blir noen ganger annonsert av feilkonfigurerte rutere. Du kan endre listen over Martian adresser, hvis du ønsker det.

  Martian-adresser er verts- eller nettverksadresser hvorfra alle rutingsinformasjon ignoreres. De sendes vanligvis av feilkonfigurerte systemer på nettverket og har destinasjonsadresser som åpenbart er ugyldige.

• Passordkryptering: Når du konfigurerer ruteren, må du angi passord for ulike funksjoner. Alle disse passordene er sikret - enten ved kryptering (en en-til-en kartlegging, som er mulig å dekryptere), eller ved hashing (en mange til mange kartlegging som er umulig å avdekke), eller av algoritmer - for å hindre dem i å bli oppdaget.

  Selv om Junos OS ber deg om et enkelt tekstpassord, krypterer programvaren umiddelbart etter at du har skrevet det.Når du viser passordet i konfigurasjonsfilen, ser du bare den krypterte versjonen, merket som SECRET-DATA. Hvis du for eksempel konfigurerer et vanlig tekstpassord for en brukerkonto, krypterer Junos det med en gang ved å bruke SHA1.

• Delvis håndheving av sterke passord: Junos OS håndhever bruk av sterke passord til en viss grad, og krever at alle passordene du konfigurerer, skal være minst seks tegn lange, ha en endring i saken og inneholde enten siffer eller tegnsetting. Programvaren avviser passord som ikke oppfyller disse kriteriene.

  Du kan forbedre håndhevelsen av sterke passord ved å konfigurere en lengre lengre passordlengde og ved å øke minimum antall tilfeller, siffer og tegnsetting endringer:

  [rediger system] fred @ router # sett inn passord minimumslengde nummer [rediger system] fred @ router # sett inn passord minimumsendringer tall
  

Under den innledende konfigurasjonen av en ny ruteren, angir du root-passordet som et vanlig tekstpassord. Fordi roten brukeren er i stand til å utføre alle operasjoner på ruteren, er det en god ide å stramme tilgangen til root login-kontoen. En måte å gjøre det på er å konfigurere root-passordet ved hjelp av SSH-nøkkelautentisering.