Video: Quick Configs Juniper - Firewall Zones & Host Inbound Traffic 2024
Junos OS har en række standardadfærd, der bidrager til routerens sikkerhed, adfærd, der straks træder i kraft, når du udfører den oprindelige router konfiguration.
-
Routeradgang: Som standard er den eneste måde at få adgang til routeren ved at forbinde fysisk til routerens konsolport. For at konfigurere routeren oprindeligt skal du tilslutte en bærbar computer eller en anden terminal direkte til konsolporten. Alle andre fjernadgangsadgangs- og administrationsadgangsprotokoller, som f.eks. Telnet, FTP og SSH, er deaktiveret. (På J-seriens routere er webgrænsefladen aktiveret til at hjælpe i første systemkonfiguration.)
Når først den oprindelige konfiguration er færdig, skal du aktivere en måde at logge ind på routeren eksternt, så du ikke behøver at være fysisk forbundet til routers konsolport. SSH giver den bedste sikkerhed, og du konfigurerer den som følger:
[edit] fred @ router # sæt systemtjenester ssh
-
Konfiguration af routeren med SNMP-sæt kommandoer: Junos OS understøtter ikke SNMP sæt til redigering af konfigurationsdata, hvilket gør det muligt for et NMS at ændre konfigurationerne på administrerede netværksenheder. Junos OS tillader som standard SNMP at forespørge om routerens status, selvom der ikke er nogen sikkerhedsrisici forbundet med dette.
-
Direkte udsendte meddelelser: Junos OS videresender ikke disse meddelelser, som er datagrammer med en destinationsadresse for en IP-subnetwork-udsendelsesadresse. Direkte udsendelser er nemme at spoofe, hvilket er en metode, der bruges i DoS-angreb.
-
Martian adresser: Junos OS ignorerer ruter for flere reserverede adresser (men ikke de private adresser defineret i RFC 1918). Martian adresser skal aldrig ses på internettet, men ruter til disse adresser bliver undertiden annonceret af fejlkonfigurerede routere. Du kan ændre listen over Martian adresser, hvis du ønsker det.
Martian-adresser er værts- eller netværksadresser, hvorfra alle routingsoplysninger ignoreres. De sendes almindeligvis af ukorrekt konfigurerede systemer på netværket og har destinationsadresser, der naturligvis er ugyldige.
-
Kodeordkode: Når du konfigurerer routeren, skal du indtaste adgangskoder til forskellige funktioner. Alle disse adgangskoder er sikret - enten ved kryptering (en en-til-en kortlægning, som kan dekrypteres) eller ved hashing (en mange til mange kortlægninger, som er umuligt at fjerne) eller ved algoritmer - for at forhindre dem i at blive opdaget.
Selv i tilfælde, hvor Junos OS beder dig om et plain-text-kodeord, krypterer softwaren det straks efter at du har indtastet det.Når du viser adgangskoden i konfigurationsfilen, ser du kun den krypterede version, der er markeret som SECRET-DATA. For eksempel, hvis du konfigurerer en almindelig tekstadgangskode til en bruger login konto, krypterer Junos det med det samme ved hjælp af SHA1.
-
Delvis håndhævelse af stærke adgangskoder: Junos OS håndhæver brugen af stærke adgangskoder i et vist omfang, hvilket kræver at alle adgangskoder, du konfigurerer, er mindst seks tegn lange, har en ændring af sagen og indeholder enten cifre eller tegnsætning. Softwaren afviser adgangskoder, der ikke opfylder disse kriterier.
Du kan forbedre håndhævelsen af stærke adgangskoder ved at konfigurere en længere mindste adgangskode længde og ved at øge det mindste antal tilfælde, cifre og tegnsætning ændringer:
[rediger system] fred @ router # sæt login password minimum længde nummer [rediger system] fred @ router # sæt login-adgangskode mindste ændringer nummer
Under den oprindelige konfiguration af en ny router indstiller du root-adgangskoden som en almindelig tekstadgangskode. Fordi roden brugeren er i stand til at udføre alle operationer på routeren, er tiltrækningen af adgangskoden til root login en god ide. En måde at gøre det på er at konfigurere root-adgangskoden ved hjælp af SSH-nøgleautentificering.
