Junos Standard-Sicherheitseinstellungen
Junos OS verfügt über eine Reihe von Standard-Verhaltensweisen, die zu dem Router Sicherheit, Verhaltensweisen beitragen, die sofort wirksam, sobald Sie die anfängliche Konfiguration des Routers durchführen.
Router-Zugang: Standardmäßig ist die einzige Möglichkeit, den Router zugreifen, indem er auf die Router-Konsolenanschluss physisch zu verbinden. Um den Router so konfigurieren, zunächst müssen Sie einen Laptop oder ein anderes Terminal direkt an den Konsolenanschluss verbinden. Alle anderen Remote-Management-Zugriff und Verwaltung Zugriffsprotokolle wie Telnet, FTP und SSH, sind deaktiviert. (Bei der J-Serie Routern, die Web-Oberfläche aktiviert ist in die Konfiguration des Systems zu unterstützen.)
Sobald die erste Konfiguration abgeschlossen ist, müssen Sie einen Weg, damit der Ferne an den Router anzumelden, so dass Sie müssen nicht sein dort physisch an die Router-Konsolenanschluss zu verbinden. SSH bietet die beste Sicherheit, und konfigurieren Sie es wie folgt:
[Bearbeiten] fred @ Router # set Systemdienste ssh
Konfigurieren des Routers mit SNMP-Set-Befehle: Junos OS nicht die SNMP-Set-Fähigkeit für das Bearbeiten von Konfigurationsdaten unterstützen, die eine NMS, die Konfigurationen auf den verwalteten Netzwerkgeräten ändern können. JUNOS ist standardmäßig erlauben SNMP den Status des Routers abfragen, obwohl keine bekannten Sicherheitsrisiken damit verbunden sind.
Regie Broadcast-Nachrichten: Junos OS weiterleiten nicht über diese Nachrichten, die Datagramme mit einer Zieladresse eines IP-Subnetz-Broadcast-Adresse sind. Broadcasts sind leicht zu fälschen, die eine Methode, bei DoS-Angriffen verwendet wird.
Mars Adressen: Junos OS ignoriert Routen für mehrere reservierten Adressen (aber nicht einschließlich der privaten definiert in RFC-Adressen 1918). Mars Adressen sollten nicht auf das Internet gesehen werden, sondern Routen für diese Adressen werden manchmal durch falsch konfigurierte Router beworben. Sie können die Liste der Mars Adressen ändern, wenn Sie dies wünschen.
Martian Adressen sind Host oder Netzwerkadressen, über die alle Routing-Informationen ignoriert. Sie werden üblicherweise durch fehlerhaft konfigurierte Systeme im Netzwerk und haben Zieladressen gesendet, die offensichtlich ungültig sind.
Passwort-Verschlüsselung: Wenn Sie den Router konfigurieren, müssen Sie Passwörter für verschiedene Funktionen aufzurufen. Alle diese Passwörter gesichert sind - entweder durch Verschlüsselung (Eine Eins-zu-Eins-Abbildung, die möglich ist, zu entschlüsseln) oder durch Hashing (A Many-to-many-Mapping, was unmöglich ist zu unhash) oder durch Algorithmen -, damit sie nicht entdeckt zu werden.
Selbst in Fällen, in denen die JUNOS Sie für einen Klartext-Passwort fragt, verschlüsselt die Software sofort, nachdem Sie es eingeben. Wenn Sie das Kennwort in der Konfigurationsdatei angezeigt werden, sehen Sie nur die verschlüsselte Version, gekennzeichnet als SECRET-DATA. Zum Beispiel, wenn Sie ein Klartext-Passwort für einen Benutzer-Login-Konto konfiguriert werden, verschlüsselt Junos es sofort SHA1.
Teil Durchsetzung von starken Passwörtern: Junos OS erzwingt die Verwendung starker Passwörter zu einem gewissen Grad, zu verlangen, dass alle Passwörter, die Sie konfigurieren mindestens sechs Zeichen lang sein, haben eine Änderung der Fall ist, und entweder Ziffern oder Satzzeichen enthalten. Die Software weist Passwörter, die diese Kriterien nicht erfüllen.
Sie können die Durchsetzung von starken Passwörter verbessern, indem sie eine längere Mindestlänge der Konfiguration und durch die Mindestanzahl der Fall, Ziffer und Satzänderungen zu erhöhen:
[Bearbeiten System] fred @ Router # set Login-Passwort minimaler Länge Nummer[Bearbeiten System] fred @ Router # set Login-Passwort Minimum-Änderungen Nummer
Während der ersten Konfiguration eines neuen Router, setzen Sie das root-Passwort als Klartext-Passwort. Da der Root-Benutzer jegliche und alle Operationen auf dem Router, die Verschärfung Zugriff durchzuführen, um die Root-Login-Konto ist in der Lage ist eine gute Idee. Eine Möglichkeit, dies zu tun, ist das root-Passwort mit SSH-Key-Authentifizierung zu konfigurieren.