ビデオ: Port Forwarding Explained 2024
Junos OSには、ルータのセキュリティに貢献するいくつかのデフォルト動作があります。
-
ルータアクセス: デフォルトでは、ルータにアクセスする唯一の方法は、ルータのコンソールポートに物理的に接続することです。ルータを最初に設定するには、ラップトップまたは他の端末を直接コンソールポートに接続する必要があります。 Telnet、FTP、およびSSHなど、他のすべてのリモート管理アクセスおよび管理アクセスプロトコルは無効になっています。 (Jシリーズルータでは、Webインターフェイスを有効にして初期システム設定を支援します。)
<! - 1 - >初期設定が完了したら、ルータのコンソールポートに物理的に接続する必要がないように、ルータにリモートログインする方法を有効にする必要があります。
fred @ router#システムサービスの設定ssh
-
SNMP設定コマンドでルータを設定する: Junos OSはSNMP設定機能をサポートしていませんNMSが管理されたネットワークデバイス上の設定を変更することを可能にする設定データを編集するためのものです。 Junos OSはデフォルトでSNMPがルータのステータスを照会できるようにしますが、既知のセキュリティリスクはありません。
-
指定ブロードキャストメッセージ: Junos OSは、IPサブネットワークブロードキャストアドレスの宛先アドレスを持つデータグラムであるこれらのメッセージを転送しません。ディレクテッドブロードキャストは、スプーフィングするのが簡単です。これは、DoS攻撃で使用される方法です。
-
火星のアドレス: Junos OSは、いくつかの予約されたアドレスのルートを無視します(ただし、RFC 1918で定義されているプライベートアドレスは含みません)。火星のアドレスは決してインターネット上には見られませんが、誤って設定されたルータによってこれらのアドレスのルートが広告されることがあります。あなたが望むなら、火星のアドレスのリストを変更することができます。
<! - 3 - >火星のアドレスは、すべての経路情報が無視されるホストまたはネットワークアドレスです。それらは通常、ネットワーク上の不適切に構成されたシステムによって送信され、明らかに無効な宛先アドレスを持っています。
-
パスワードの暗号化: ルーターを設定するときは、さまざまな機能のパスワードを入力する必要があります。これらのパスワードはすべて、 暗号化 (解読可能な1対1マッピング)または ハッシュ化 (多対多マッピングunhashすることは不可能です)、またはアルゴリズムによって - それらが発見されないようにします。
Junos OSがプレーンテキストのパスワードを要求する場合でも、ソフトウェアは入力後すぐに暗号化します。構成ファイルにパスワードを表示すると、SECRET-DATAとマークされた暗号化されたバージョンのみが表示されます。たとえば、ユーザログインアカウントのプレーンテキストパスワードを設定すると、JunosはSHA1を使用してすぐに暗号化します。
-
強力なパスワードの部分的な強制: Junos OSは、強力なパスワードの使用をある程度制限しており、設定するすべてのパスワードは6文字以上で、大文字と小文字が変更され、数字または句読点。ソフトウェアは、これらの基準を満たさないパスワードを拒否します。
長いパスワードの長さを長く設定し、ケース、数字、句読点の変更の最小回数を増やすことで、強力なパスワードの適用を強化できます:
[edit system] fred @ router#set login password minimum-length number fred @ router#ログインパスワードの最小変更 number
新しいルータの初期設定時に、ルートパスワードをプレーンテキストのパスワードとして設定します。 rootユーザーはルータ上のすべての操作を実行できるため、rootログインアカウントへのアクセスを強化することをお勧めします。これを行う1つの方法は、SSH鍵認証を使用してルートパスワードを設定することです。
