비디오: 네트워크전문가 따라잡기 정기 세미나 -주니퍼방화벽편 2024
Junos OS에는 초기 라우터 구성을 수행하면 즉시 적용되는 라우터 보안에 영향을주는 많은 기본 동작이 있습니다.
-
라우터 액세스: 기본적으로 라우터에 액세스하는 유일한 방법은 라우터의 콘솔 포트에 물리적으로 연결하는 것입니다. 라우터를 초기에 구성하려면 랩톱이나 다른 터미널을 콘솔 포트에 직접 연결해야합니다. 텔넷, FTP 및 SSH와 같은 다른 모든 원격 관리 액세스 및 관리 액세스 프로토콜은 비활성화됩니다. (J- 시리즈 라우터에서는 웹 인터페이스를 사용하여 초기 시스템 구성을 지원할 수 있습니다.)
초기 구성이 완료되면 라우터의 콘솔 포트에 실제로 연결할 필요가 없도록 라우터에 원격으로 로그인하는 방법을 활성화해야합니다.
fred @ router # 시스템 서비스 설정 ssh
-
SNMP set 명령으로 라우터 구성: Junos OS는 SNMP 세트 기능을 지원하지 않습니다. NMS가 관리되는 네트워크 장치의 구성을 수정할 수있게하는 구성 데이터 편집 용. Junos OS는 기본적으로 SNMP가 라우터의 상태를 쿼리 할 수 있도록 허용하지만 알려진 보안 위험은 없습니다.
-
직접 브로드 캐스트 메시지: Junos OS는 IP 서브 네트워크 브로드 캐스트 주소의 대상 주소가있는 데이터 그램 인 이러한 메시지를 전달하지 않습니다. 직접 방송은 스푸핑하기 쉽고 DoS 공격에 사용되는 방법입니다.
-
화성인 주소: Junos OS는 여러 예약 주소에 대한 경로를 무시합니다 (단, RFC 1918에 정의 된 개인 주소는 포함하지 않습니다). 화성의 주소는 절대로 인터넷에 나타나지 않아야하지만 잘못 설정된 라우터가이 주소의 경로를 알리는 경우가 있습니다. 원하는 경우 화성 주소 목록을 수정할 수 있습니다.
화성의 주소는 모든 경로 정보가 무시되는 호스트 또는 네트워크 주소입니다. 일반적으로 네트워크상의 부적절하게 구성된 시스템에 의해 보내지며 분명히 유효하지 않은 대상 주소가 있습니다.
-
비밀번호 암호화: 라우터를 구성 할 때 다양한 기능에 대한 비밀번호를 입력해야합니다. 이 모든 암호는 암호화 (해독이 가능한 일대일 매핑) 또는 해싱 (다 대다 매핑 unhash하는 것은 불가능합니다), 또는 알고리즘에 의해 - 발견되지 못하도록합니다.
Junos OS에서 일반 텍스트 암호를 요구하는 경우에도 소프트웨어는 사용자가 입력 한 암호를 즉시 암호화합니다.구성 파일에 암호를 표시하면 SECRET-DATA로 표시된 암호화 된 버전 만 표시됩니다. 예를 들어, 사용자 로그인 계정에 대해 일반 텍스트 암호를 구성하면 Junos는 SHA1을 사용하여 즉시 암호를 암호화합니다.
-
강력한 암호의 부분 시행: Junos OS는 강력한 암호를 어느 정도 사용하도록 강요하므로 구성한 모든 암호는 최소 6 자 이상이어야하며 대소 문자가 변경되며 숫자 또는 구두점이 포함되어야합니다. 소프트웨어는 이러한 기준을 충족하지 않는 암호를 거부합니다.
최소 암호 길이를 길게 설정하고 대 / 소문자, 숫자 및 구두점 변경의 최소 수를 늘림으로써 강력한 암호의 적용을 강화할 수 있습니다.
[edit system] fred @ router # set login password minimum-length number fred @ router # 로그인 암호 최소 설정 변경 number
새 라우터를 초기 구성하는 동안 루트 암호를 일반 텍스트 암호로 설정합니다. 루트 사용자는 라우터에서 모든 작업을 수행 할 수 있기 때문에 루트 로그인 계정에 대한 액세스를 강화하는 것이 좋습니다. 이렇게하는 한 가지 방법은 SSH 키 인증을 사용하여 루트 암호를 구성하는 것입니다.
