Video: Thiết lập tường lửa/Firewall 2025
Junos OS có một số hành vi mặc định góp phần bảo mật router, các hành vi ngay lập tức có hiệu lực khi bạn thực hiện cấu hình router ban đầu.
-
Truy cập Router: Theo mặc định, cách duy nhất để truy cập router là kết nối vật lý tới cổng console của router. Để cấu hình router ban đầu, bạn phải kết nối máy tính xách tay hoặc thiết bị đầu cuối khác trực tiếp vào cổng console. Tất cả các giao thức truy cập và quản lý quản lý từ xa khác như Telnet, FTP và SSH đều bị vô hiệu hóa. (Trên các bộ định tuyến J-series, giao diện web được kích hoạt để hỗ trợ cấu hình hệ thống ban đầu.)
[sửa] fred @ router # thiết lập hệ thống dịch vụ sshCấu hình router với lệnh thiết lập SNMP:
-
Junos OS không hỗ trợ khả năng thiết lập SNMP để chỉnh sửa dữ liệu cấu hình, cho phép một NMS sửa đổi các cấu hình trên các thiết bị mạng được quản lý. Theo mặc định, Junos OS cho phép SNMP truy vấn trạng thái của router mặc dù không có rủi ro bảo mật nào liên quan đến việc này.
-
Junos OS không chuyển tiếp các tin nhắn này, đó là các gói tin có địa chỉ đích của địa chỉ quảng bá mạng IP subnetwork. Các chương trình phát trực tiếp có thể dễ dàng giả mạo, đó là một phương pháp được sử dụng trong các cuộc tấn công DoS. địa chỉ của sao Hỏa:
-
Junos OS bỏ qua các tuyến đường cho một số địa chỉ dành riêng (nhưng không bao gồm các địa chỉ riêng được định nghĩa trong RFC 1918). Địa chỉ của sao Hỏa không bao giờ nên được nhìn thấy trên Internet, nhưng các tuyến đường cho các địa chỉ này đôi khi được quảng cáo bởi các router định cấu hình sai. Bạn có thể sửa đổi danh sách các địa chỉ Martian, nếu bạn mong muốn.
Mật khẩu mã hóa:
-
Khi cấu hình router, bạn cần phải nhập mật khẩu cho các tính năng khác nhau. Tất cả các mật khẩu này được bảo vệ - hoặc bằng cách mã hóa (một bản đồ một-một, có thể giải mã), hoặc bằng cách băm (một bản đồ nhiều đến nhiều, là không thể hắt hơi), hoặc bằng thuật toán - để giữ cho chúng khỏi bị phát hiện. Thậm chí trong trường hợp hệ điều hành Junos nhắc nhở bạn về một mật khẩu văn bản thuần, phần mềm sẽ mã hóa nó ngay sau khi bạn nhập nó.Khi bạn hiển thị mật khẩu trong tệp cấu hình, bạn chỉ thấy phiên bản được mật mã, được đánh dấu SECRET-DATA. Ví dụ: nếu bạn định cấu hình mật khẩu văn bản thuần cho một tài khoản đăng nhập người dùng, Junos mã hóa nó ngay bằng cách sử dụng SHA1. Thực thi một phần các mật khẩu mạnh:
Junos OS thực thi việc sử dụng mật khẩu mạnh ở một mức độ nhất định, yêu cầu tất cả mật khẩu bạn định cấu hình phải có ít nhất 6 ký tự, thay đổi trường hợp và chứa các chữ số hoặc chấm câu. Phần mềm loại bỏ các mật khẩu không đáp ứng các tiêu chí này.
-
Bạn có thể tăng cường việc thực thi mật khẩu mạnh bằng cách cấu hình mật khẩu dài hơn và bằng cách tăng số lượng trường hợp, chữ số và dấu chấm câu tối thiểu: [chỉnh sửa hệ thống] fred @ router # đặt mật khẩu đăng nhập tối thiểu
số
[chỉnh sửa hệ thống] fred @ router # thiết lập mật khẩu đăng nhập tối thiểu-thay đổi số Trong cấu hình ban đầu của một bộ định tuyến mới, bạn đặt mật khẩu gốc dưới dạng một mật khẩu văn bản thuần. Bởi vì người dùng root có thể thực hiện bất kỳ và tất cả các hoạt động trên router, thắt chặt truy cập vào tài khoản đăng nhập root là một ý tưởng tốt. Một cách để làm như vậy là cấu hình mật khẩu gốc bằng cách sử dụng xác thực khoá SSH.
