Les paramètres de sécurité par défaut Junos

Junos OS dispose d'un certain nombre de comportements par défaut qui contribuent à la sécurité, le routeur comportements qui prennent effet immédiatement une fois que vous effectuez la configuration initiale du routeur.

  • Routeur d'accès: Par défaut, la seule façon d'accéder au routeur est de connecter physiquement au port console du routeur. Pour configurer le routeur d'abord, vous devez vous connecter un ordinateur portable ou autre terminal directement sur le port de la console. Tous les autres protocoles d'accès de gestion à distance et d'accès de gestion, tels que Telnet, FTP et SSH, sont désactivées. (Sur les routeurs J-series, l'interface web est activé pour aider à la configuration initiale du système.)

    Une fois la configuration initiale terminée, vous devez activer un moyen de se connecter à distance au routeur de sorte que vous ne devez pas y être physiquement pour se connecter au port console du routeur. SSH fournit la meilleure sécurité, et que vous configurez comme suit:

    [modifier] fred @ services système routeur # set ssh
  • Configuration du routeur avec SNMP commandes set: Junos OS ne supporte pas l'ensemble capacité SNMP pour les données de configuration de montage, qui permet à un NMS de modifier les configurations sur les dispositifs de gestion de réseau. Junos OS ne par défaut, permet, SNMP pour interroger le statut du routeur, même si aucun des risques de sécurité connus sont associés à cette.

  • Réalisé messages de diffusion: Junos OS ne pas transmettre ces messages, qui sont des datagrammes avec une adresse de destination d'une adresse sous-réseau IP de diffusion. Diffusions dirigées sont faciles à falsifier, qui est une méthode utilisée dans les attaques DoS.

  • Adresses martiennes: Junos OS ignore routes pour plusieurs adresses réservées (mais pas y compris les adresses privées défini dans la RFC 1918). Adresses martiennes ne devraient jamais être vus sur l'Internet, mais les routes pour ces adresses sont parfois annoncés par les routeurs mal configurés. Vous pouvez modifier la liste des adresses martiennes, si vous le désirez.

    Adresses martiennes sont des adresses hôte ou un réseau sur lequel toutes les informations de routage est ignoré. Ils sont généralement envoyés par les systèmes mal configurés sur le réseau et avoir des adresses de destination qui ne sont évidemment pas valide.

  • Cryptage du mot de passe: Lors de la configuration du routeur, vous devez entrer des mots de passe pour les différentes fonctions. Tous ces mots de passe sont sécurisés - soit par chiffrement (un mappage un-à-un, ce qui est possible pour déchiffrer), ou par hachage (un nombre-to-many, ce qui est impossible à unhash), ou par des algorithmes - pour les empêcher de d'être découvert.


    Même dans les cas où le système d'exploitation Junos vous invite à entrer un mot de passe en texte clair, le logiciel crypte immédiatement après que vous tapez. Lorsque vous affichez le mot de passe dans le fichier de configuration, vous ne voyez que la version cryptée, marqué comme SECRET-DATA. Par exemple, si vous configurez un mot de passe en texte clair pour un compte de connexion utilisateur, Junos crypte tout de suite en utilisant SHA1.

  • L'application partielle de mots de passe forts: Junos OS impose l'utilisation de mots de passe forts dans une certaine mesure, exigeant que tous les mots de passe que vous configurez au moins six caractères, avoir un changement de cas, et de contenir soit des chiffres ou des signes de ponctuation. Le logiciel rejette les mots de passe qui ne répondent pas à ces critères.

    Vous pouvez améliorer l'application des mots de passe forts en configurant une longueur de mot de passe plus minimum et en augmentant le nombre minimal de cas, des changements chiffres et signes de ponctuation:

    [système de modifier] fred @ routeur # set login mot de passe d'une longueur minimale nombre[système de modifier] fred @ routeur # set connexion passe-minimales changements nombre

Lors de la configuration initiale d'un nouveau routeur, vous définissez le mot de passe root comme un mot de passe en texte clair. Parce que l'utilisateur root est capable d'effectuer toutes opérations sur le routeur, restreignant l'accès au compte root de connexion est une bonne idée. Une façon de le faire est de configurer le mot de passe root en utilisant l'authentification par clé SSH.


» » » » Les paramètres de sécurité par défaut Junos