Configuración de seguridad predeterminada Junos

Junos OS tiene una serie de comportamientos predeterminados que contribuyen al router de seguridad, los comportamientos que tienen efecto inmediato una vez que se realice la configuración inicial del router.

  • Acceso Router: Por defecto, la única manera de acceder al router está conectando físicamente al puerto de consola del router. Para configurar el router inicialmente, debe conectar un ordenador portátil u otro terminal directamente al puerto de consola. Todos los demás de acceso de administración remota y acceso a la gestión de protocolos, como Telnet, FTP y SSH, se desactivan. (En los routers J-series, la interfaz web está habilitada para ayudar en la configuración inicial del sistema.)

    Una vez que la configuración inicial se haya completado, es necesario tener una manera de conectarse de forma remota en el router para que usted no tiene que estar allí físicamente para conectarse al puerto de consola del router. SSH proporciona la mejor seguridad, y se configura de la siguiente manera:

    [editar] fred @ enrutador # set servicios del sistema ssh
  • Configuración del router con comandos de configuración de SNMP: Junos OS no es compatible con la capacidad de conjunto SNMP para los datos de configuración de edición, lo que permite que un NMS para modificar las configuraciones de los dispositivos de red gestionados. Junos OS no, por defecto, permite SNMP para consultar el estado del router, aunque existen riesgos de seguridad conocidos están asociados con esto.

  • Mensajes de difusión dirigidas: Junos OS no transmita estos mensajes, que son datagramas con una dirección de destino de una dirección de difusión de subred IP. Transmisiones dirigidas son fáciles de falsificar, que es un método utilizado en ataques de denegación de servicio.

  • Direcciones marcianas: Junos OS ignora rutas para varias direcciones reservadas (pero sin incluir las direcciones privadas definido en el RFC 1918). Direcciones marcianas nunca deben ser vistos en Internet, pero las rutas de estas direcciones a veces se anuncian por los routers mal configurados. Puede modificar la lista de direcciones de Marte, si así lo desea.

    Direcciones marcianas son direcciones de host o de red de la que se ignora toda la información de enrutamiento. Ellos son comúnmente enviado por los sistemas configurados incorrectamente en la red y tener direcciones de destino que son obviamente inválidas.

  • Contraseña de cifrado: Al configurar el router, deberá introducir contraseñas para varias funciones. Todas estas contraseñas están asegurados - ya sea por cifrado (un mapeo uno a uno, que es posible descifrar), o hash (a-muchos-a-muchos mapas, que es imposible unhash), o por medio de algoritmos - para mantenerlos de ser descubierto.

    Incluso en los casos en que el sistema operativo Junos le solicita una contraseña de texto sin formato, el software encripta inmediatamente después de escribir la misma. Al mostrar la contraseña en el archivo de configuración, sólo se ve la versión cifrada, marcado como SECRETO A-DATA. Por ejemplo, si configura una contraseña de texto sin formato para una cuenta de inicio de sesión de usuario, Junos encripta inmediato utilizando SHA1.

  • La aplicación parcial de contraseñas seguras: SO Junos hace cumplir el uso de contraseñas seguras, hasta cierto punto, lo que requiere que todas las contraseñas que configure al menos seis caracteres de longitud, tener un cambio de caso, y contienen cualquiera de dígitos o puntuacion. El software rechaza contraseñas que no cumplan con estos criterios.

    Puede mejorar la aplicación de las contraseñas seguras mediante la configuración de una mayor longitud mínima de la contraseña y aumentando el número mínimo de casos, cambios de dígitos, y de puntuación:

    [sistema de editar] fred @ enrutador # set contraseña de acceso mínimo de longitud número[sistema de editar] fred @ Router # conjunto entrada de contraseña mínima de cambios número

Durante la configuración inicial de un nuevo router, se establece la contraseña de root como una contraseña de texto sin formato. Debido a que el usuario root es capaz de realizar cualquier y todas las operaciones en el router, el endurecimiento de acceso a la cuenta root ingreso es una buena idea. Una forma de hacerlo es configurar la contraseña de root utilizando SSH autenticación de clave.




» » » » Configuración de seguridad predeterminada Junos