Junos Standard säkerhetsinställningar - dummies

Junos OS har ett antal standardbeteenden som bidrar till routersäkerhet, beteenden som omedelbart träder i kraft när du utför den ursprungliga routerkonfigurationen.

• Routeråtkomst: Som standard är det enda sättet att komma åt routern genom att fysiskt ansluta till routerns konsolport. För att konfigurera routern i början måste du ansluta en bärbar dator eller annan terminal direkt till konsolporten. Alla andra fjärråtkomståtkomst och protokoll för hantering, t.ex. Telnet, FTP och SSH, är inaktiverade. (På J-seriens routrar är webgränssnittet aktiverat för att hjälpa till vid första systemkonfigurationen.)

  När den ursprungliga konfigurationen är klar måste du aktivera ett sätt att fjärrlogga in på routern så att du inte behöver vara fysiskt ansluten till routerns konsolport. SSH ger bästa säkerhet, och du konfigurerar det enligt följande:

  [redigera] fred @ router # set systemtjänster ssh
  

• Konfigurera routern med SNMP-inställningskommandon: Junos OS stöder inte SNMP-inställningsfunktionen för att redigera konfigurationsdata, vilket gör att en NMS kan ändra konfigurationerna på hanterade nätverksenheter. Junos OS tillåter som standard SNMP att fråga om routerns status, även om inga kända säkerhetsrisker är associerade med detta.

• Direktsändningsmeddelanden: Junos OS vidarebefordrar inte dessa meddelanden, som är datagram med en destinationsadress för en IP-nätverkssändningsadress. Direktsändningar är lätta att spoofa, vilket är en metod som används i DoS-attacker.

• Marsadresser: Junos OS ignorerar rutter för flera reserverade adresser (men inte de privata adresserna som definieras i RFC 1918). Marsadresser bör aldrig ses på Internet, men rutter för dessa adresser annonseras ibland av felkonfigurerade routrar. Du kan ändra listan över Martian adresser, om du så önskar.

  Martianadresser är värd- eller nätverksadresser, varav all routinginformation ignoreras. De skickas vanligtvis av felaktigt konfigurerade system i nätverket och har destinationsadresser som uppenbarligen är ogiltiga.

• Lösenords kryptering: När du konfigurerar routern måste du ange lösenord för olika funktioner. Alla dessa lösenord är säkrade - antingen via kryptering (en kartläggning från en till en, som kan dekrypteras) eller av hashing (en många till många kartläggningar som är omöjligt att häva), eller genom algoritmer - för att hindra dem från att upptäckas.

  Även i fall där Junos OS ber dig om ett lösenord med enkel text, krypterar programmet den omedelbart efter att du har skrivit den.När du visar lösenordet i konfigurationsfilen ser du bara den krypterade versionen, markerad som SECRET-DATA. Om du till exempel konfigurerar ett vanligt lösenord för ett användarnamnskonto, krypterar Junos det genast med SHA1.

• Delvis tillämpning av starka lösenord: Junos OS verkställer användningen av starka lösenord i viss utsträckning, vilket kräver att alla lösenord du konfigurerar ska vara minst sex tecken långa, ha en ändring av fallet och innehålla antingen siffror eller skiljetecken. Programvaran avvisar lösenord som inte uppfyller dessa kriterier.

  Du kan förbättra efterlevnaden av starka lösenord genom att konfigurera en längre minsta lösenordslängd och genom att öka minsta antal fall, siffror och skiljetecken ändras:

  [redigera system] fred @ router # Ange lösenordets minsta längd nummer [redigeringssystem] fred @ router # Ange inloggnings lösenord minsta ändringar nummer
  

Under den ursprungliga konfigurationen av en ny router ställer du in root-lösenordet som ett lösenord med vanligt text. Eftersom rootanvändaren kan utföra alla operationer på routern är åtkomst till root-inloggningskontot en bra idé. Ett sätt att göra det är att konfigurera root-lösenordet med SSH-nyckelautentisering.