Video: Using Juniper for the First Time | JunOS CLI 2024
Junos OS heeft een aantal standaardgedragingen die bijdragen aan de routerbeveiliging, gedrag dat onmiddellijk van kracht wordt zodra u de initiële routerconfiguratie uitvoert.
-
Routertoegang: Standaard is de enige manier om toegang te krijgen tot de router, door fysiek verbinding te maken met de consolepoort van de router. Om de router in eerste instantie te configureren, moet u een laptop of andere terminal rechtstreeks op de consolepoort aansluiten. Alle andere protocollen voor beheer van toegang op afstand en beheerstoegang, zoals Telnet, FTP en SSH, zijn uitgeschakeld. (Op routers uit de J-serie wordt de webinterface ingeschakeld om te helpen bij de initiële systeemconfiguratie.)
Nadat de initiële configuratie is voltooid, moet u een manier inschakelen om op afstand in te loggen op de router, zodat u niet fysiek aanwezig hoeft te zijn om verbinding te maken met de consolepoort van de router. SSH biedt de beste beveiliging, en u configureert het als volgt:
[bewerken] fred @ router # set systeemdiensten ssh
-
De router configureren met SNMP-setopdrachten: Junos OS ondersteunt de SNMP-set-mogelijkheid niet voor het bewerken van configuratiegegevens, waardoor een NMS de configuraties op beheerde netwerkapparaten kan wijzigen. Junos OS staat SNMP standaard toe om de status van de router te controleren, hoewel hieraan geen bekende beveiligingsrisico's zijn verbonden.
-
Gerichte broadcast-berichten: Junos OS stuurt deze berichten niet door, dit zijn datagrammen met een bestemmingsadres van een IP-subnetwerk broadcast-adres. Gerichte uitzendingen zijn eenvoudig te spoofen, wat een methode is die wordt gebruikt in DoS-aanvallen.
-
Marsadressen: Junos OS negeert routes voor verschillende gereserveerde adressen (maar exclusief de privéadressen die zijn gedefinieerd in RFC 1918). Mars-adressen mogen nooit op internet worden gezien, maar routes voor deze adressen worden soms geadverteerd door verkeerd geconfigureerde routers. Je kunt de lijst met Martiaanse adressen wijzigen als je dat wilt.
Martiaanse adressen zijn host- of netwerkadressen waarover alle routeringsinformatie wordt genegeerd. Ze worden meestal verzonden door onjuist geconfigureerde systemen op het netwerk en hebben bestemmingsadressen die duidelijk ongeldig zijn.
-
Wachtwoordversleuteling: Bij het configureren van de router moet u wachtwoorden invoeren voor verschillende functies. Al deze wachtwoorden zijn beveiligd - door codering (een één-op-één toewijzing, die kan worden ontsleuteld), of door hashing (een veel-op-veel-toewijzing, die is onmogelijk om te onthouden), of door algoritmen - om te voorkomen dat ze worden ontdekt.
Zelfs in gevallen waarin het Junos-besturingssysteem u vraagt om een wachtwoord voor platte tekst, codeert het de codering onmiddellijk nadat u het hebt getypt.Wanneer u het wachtwoord in het configuratiebestand weergeeft, ziet u alleen de gecodeerde versie, gemarkeerd als SECRET-DATA. Als u bijvoorbeeld een wachtwoord voor platte tekst configureert voor een gebruikersaanmeldaccount, codeert Junos het meteen met SHA1.
-
Gedeeltelijke handhaving van sterke wachtwoorden: Junos OS dwingt tot op zekere hoogte het gebruik van sterke wachtwoorden af, waarbij alle wachtwoorden die u configureert ten minste zes tekens lang zijn, een wijziging van het hoofdlettergebruik hebben en ofwel cijfers of interpunctie bevatten. De software weigert wachtwoorden die niet aan deze criteria voldoen.
U kunt de handhaving van sterke wachtwoorden verbeteren door een langere minimale wachtwoordlengte in te stellen en door het minimumaantal hoofdletters, cijfers en leestekens te wijzigen:
[bewerkingssysteem] fred @ router # ingesteld inlogwachtwoord minimale lengte nummer [bewerkingssysteem] fred @ router # ingesteld inlogwachtwoord minimum-wijzigingen nummer
Tijdens de initiële configuratie van een nieuwe router, stelt u het root-wachtwoord in als een wachtwoord voor platte tekst. Omdat de rootgebruiker alle bewerkingen op de router kan uitvoeren, is het een goed idee om de toegang tot de rootaanmeldingsaccount aan te halen. Een manier om dit te doen is om het root-wachtwoord te configureren met behulp van SSH-sleutelauthenticatie.