Configurações de Segurança Padrão Junos
Junos OS tem uma série de comportamentos padrão que contribuem para o roteador de segurança, comportamentos que levam em vigor imediatamente depois de executar a configuração do roteador inicial.
Acesso Router: Por padrão, a única maneira de acessar o roteador é de conectar fisicamente à porta do console do roteador. Para configurar o roteador, inicialmente, é necessário conectar um laptop ou outro terminal diretamente à porta do console. Todos os outros protocolos de acesso de gerenciamento remoto e de acesso de gestão, tais como Telnet, FTP e SSH, estão desativados. (Em roteadores série J, a interface web está habilitado para auxiliar na configuração inicial do sistema.)
Uma vez que a configuração inicial está completa, você precisa habilitar uma maneira de acessar remotamente no roteador para que você não tem que estar lá fisicamente para se conectar à porta do console do roteador. SSH fornece a melhor segurança, e configurá-lo como segue:
ssh [editar] fred @ router # conjunto de serviços do sistema
Configurando o roteador com comandos do conjunto SNMP: O Junos OS não suporta a capacidade conjunto SNMP para os dados de configuração de edição, que permite que um NMS para modificar as configurações dos dispositivos de rede gerenciados. Junos OS que, por padrão, permitem SNMP para consultar o status do roteador, embora há riscos de segurança conhecidos estão associados a esta.
mensagens de difusão dirigidas: O Junos OS não encaminhar essas mensagens, que são datagramas com um endereço de destino de um endereço de sub-rede IP broadcast. difusões direcionadas são fáceis de falsificar, que é um método utilizado em ataques DoS.
endereços de Marte: Junos OS ignora rotas para vários endereços reservados (mas não incluindo os endereços privados definidos na RFC 1918). endereços de Marte nunca deve ser visto na Internet, mas rotas para estes endereços são muitas vezes anunciados por roteadores mal configurados. Você pode modificar a lista de endereços de Marte, se assim o desejarem.
endereços marcianas são endereços de host ou de rede sobre a qual todas as informações de roteamento é ignorado. Eles geralmente são enviados por sistemas configurados inadequadamente na rede e ter endereços de destino que são obviamente inválido.
criptografia de senha: Ao configurar o roteador, você precisa digitar senhas para vários recursos. Todas estas senhas são garantidos - por criptografia (Um mapeamento um-para-um, o que é possível para descriptografar), ou pela hashing (Um mapeamento muitos-para-muitos, o que é impossível para unhash), ou por algoritmos - para mantê-los de serem descobertos.
Mesmo nos casos em que o sistema operacional Junos solicitará uma senha de texto simples, o software criptografa-lo imediatamente após digitá-lo. Quando você exibir a senha no arquivo de configuração, você verá apenas a versão criptografada, marcado como SECRET-DATA. Por exemplo, se você configurar uma senha de texto simples para uma conta de login do usuário, Junos criptografa-lo imediatamente usando SHA1.
execução parcial de senhas fortes: Junos OS impõe o uso de senhas fortes, em certa medida, exigindo que todas as senhas configuradas ter pelo menos seis caracteres, ter uma mudança de caso, e conter dígitos ou pontuação. O software rejeita senhas que não atendam a esses critérios.
Você pode melhorar a execução de senhas fortes, configurando um maior comprimento mínimo de senha e aumentando o número mínimo de casos, mudanças de dígitos e de pontuação:
[Sistema de editar] fred @ router # set senha de login de tamanho mínimo número[Sistema de editar] fred @ router # senha set login mínimas-changes número
Durante a configuração inicial de um novo roteador, você definir a senha de root como uma senha de texto simples. Porque o usuário root é capaz de executar todas e quaisquer operações no roteador, apertando o acesso à conta de login de raiz é uma boa ideia. Uma maneira de fazer isso é configurar a senha de root usando SSH autenticação de chave.