Juniper SRX (Junos OS) 網路設備的安全配置和操作
Juniper SRX網路設備(JUNOS OS)的安全配置和操作
我們在這裡要先說明的是,以下所要敘述的內容並不只是侷限於套用在Juniper SRX的設備之上,大家除了能夠瞭解Juniper SRX設備的安全加固方式之外,更重要的是我們可以將這一套網路設備的安全配置之觀念和方法,加以應用到您身邊其他廠牌的設備之上。
網絡設備安全加固怎麼做?
常見的做法:
我相信很多朋友腦海裡面首先浮現的是採用類似ACL訪問控制列表的方法,只允許信任的管理員訪問管理設備,限制特定的協議等。
- 路由器或交換機介面配置ACL允許特定流量。
- 限制特定網段使用SSH、HTTPS等訪問設備。
這就夠了麼?
1.如何限制網絡設備的帶內帶外安全?
2.如何只允許特定源位址連接設備協議,如BGP等?
3.是否關閉了不必要的網絡服務?
4.是否正確配置了設備日誌記錄,記錄設備登陸記錄以及其他網絡管理痕跡,並將記錄同步到遠端系統日誌主機?
5.配置是否定期保存,以免意外故障發生?
我是土豪,找協力廠商安全公司做安全掃描。
或者,如果你是土財主,可以直接找協力廠商安全公司做安全掃描,並根據評估報告進行整頓。但是會花費一筆不小的費用。
我是動手族,自己幹,一把梭!
其實,除了花錢,我們還可以選擇自己動手解決問題,一方面節約了公司成本,也鍛鍊了個人技能。這麼好的事情,何樂而不為呢?
以下為小弟在Juniper SRX使用上的安全建議:
Juniper SRX (JUNOS OS)系列產品在遠端連線安全設定方面,並不建議大家使用http以及telnet的方式,因為這兩種連線資料傳輸過程並沒有經過加密手續,容易被駭客竊取訊息,所以在安全上建議直接禁止這兩種服務,並建議只用https和ssh這兩種傳輸過程有經過加密手續的服務為上策。
root帳戶只使用於近端登入,例如透過console連線登入,禁止使用遠端連線來登入root帳戶,因為root帳戶為Juniper SRX (JUNOS OS)設備以及linux或是UNIX系統等(Juniper SRX是建立在freeBSD之上的防火牆),為眾所皆知的最高權限帳戶,且無法更名,顯然攻擊目標明確,容易被遠端駭客使用暴力密碼破解的方式來取得設備的控制權,因此另外建立一個擁有完全權限的遠端登入用途的super-user帳戶(讓攻擊目標不明確),以及建立擁有部分權限的自訂登入類別(login class)的管理帳戶,並設定了高安全性的密碼,實屬必要。而我們平常只使用擁有部分權限的管理帳戶來管理設備,目的是為了降低帳號密碼被駭客竊取的風險,也因此就算是此帳號密碼被竊取了,駭客也無法取得設備管理的最大權限。
也因此強化帳號登入安全也是我們大家要關注的課題,我們可以分成兩個部分來敘述:強制執行密碼的複雜性
以及設定login retry-options。為root帳戶設定高安全性的密碼(包含大小寫字母、數字、符號等,且密碼長度大於16字元)可大大提高帳戶的安全性,login retry-options最主要是設定帳戶登入失敗後,其重試間隔、最大重試次數、帳號鎖死間隔等參數,若原本使用暴力密碼破解帳戶需要兩三天的時間,我們將時間間隔加大可以將其延長至10年或是100年,而若我們養成定期更換密碼的習慣,更是可以大大降低被暴力密碼破解帳戶的風險。
更改遠端管理服務的預設port,例如https,並限定只有特定的IP或是網段才能遠端管理Juniper
SRX設備,且在連接網際網路(Internet)的埠限制能夠連入的網路服務(host-inbound-traffic),例如https,也可大大降低被駭的風險。
在此我們要補充說明下,當您使用網頁瀏覽器(https)來登入設備時,記得設定網頁瀏覽器不要記憶任何的網頁登入帳號及密碼,此功能雖然方便,但是卻造成了網路安全上的隱患,若您有需要,建議在您的電腦上安裝兩種以上的網頁瀏覽器,將其中一種設定成不要記憶任何的網頁登入帳號及密碼,然後專門使用並只用它來登入Juniper SRX安全設備。
PS:也不要隨意下載免費的盜版破解軟體來使用,裡面藏有防毒軟體掃不出來的木馬程式的機率非常之大,雖然提供者拼命的宣導其乃是正版軟體破解而來,安全上無虞,但是您以為破解盜版軟體如此之容易,而別人大費手腳,冒著被員警抓的風險,就是為了將被其破解的軟體提供給社會大眾來使用,做做社會公益?天下沒有白吃的午餐啊! 本人就有使用過早期掃不出病毒的盜版軟體,在幾年之後,被防毒程式掃出病毒的經驗。因此我們在此呼籲,為了您身家財產的安全保障,還是使用合法的正版軟體為上策。
在Juniper SRX設備設定系統日誌(syslog),並設定將日誌訊息傳送到遠端的syslog Server,這樣我們才可在設備被駭或是設備故障時,查詢相關訊息。在此同時,我們還要為設備設定NTP(Network Time Protocol:網絡時間協定),讓設備能自動定時與遠端NTP Server來對時,這樣您的系統日誌的時間戳才會正確,才不會發生發現某時有人從某電腦登入更改設備,調攝影記錄時卻發現某時並無人在某電腦座位上之窘境。
關於ddos的防護,我們可以從幾個方面下手,網路設定方面,路由引擎保護方面,以及聯外介面的screen防護方面來討論。
關於從遠端管理Juniper SRX網路設備的補充
花了大把的力氣,好好的為了強化SSH安全性努力了一番,強化了SSH通信安全、帳戶登入安全、連線安全,並改變WAN介面的SSH預設port,難道這樣就真的安全了嗎?其實答案並非絕對的,還要根據您的需求而定(就軍方需求而言,其使用的是封閉的實體網路,完全不跟公眾網路Internet有任何連結的安全等級。)。
畢竟在WAN端多開一個遠端管理port,就會多增加一個風險因素,難保哪一天ssh被人破解了(就好像是無線網路的wpa2/psk協議被人破解一般),忽然之間變的不安全了,或是系統的Bug被駭客破解了,讓駭客可以輕易的從ssh入侵網路設備等,所以更安全的方式是不要在WAN端開啟任何能夠遠端管理網路設備的服務(就算有需要,也要使用權限較低的帳戶來遠端登入管理設備,從而降低被駭客入侵所造成得危害。)。
那我們又要如何在WAN端不開放遠端管理服務的情況下來遠端管理設備呢?我們可以利用VPN連線來達成這個需求。透過VPN連線來進入網路內部,然後再從網路內部來管理網路設備,畢竟加密良好的VPN,其安全性遠高於SSH連線。
關於這個部分的設定請參考下列之網路連結:
駭客是無所不在的,其能力也是無遠弗屆的,畢竟連美國白宮的網站都能被駭了,那還有什麼是駭客做不到的呢? 所以網路安全也是我們大家需要不斷去加強的課題,只是.....問題是......,若是只有3個人的小家庭,在家偶而上上網、打打網遊而已,我們還要這麼努力嗎? 嗯,還是看需求吧! 若您非常在意個人隱私,或是有意成為網路工程師,那您就有這個需求的。
基本功:確保設備軟體沒有重大bug並安裝廠商建議的OS作業系統
時時關注系統bug
這一步尤其重要,但是又極其容易被忽略。
蒼蠅不叮無縫蛋,網絡攻擊亦然。如果攻擊者只是盯著大家都會去關注的網絡安全,例如嘗試碰運氣telnet登錄設備等。那這個攻擊者水準就值得懷疑了。
所以真正的攻擊者,是攻擊那些他知道而你不知道的系統Bug漏洞。很顯然,實時掌握系統bug漏洞非常有必要,就拿我自己來說。我隔一小段時間就要 去看看當前Juniper設備運行的JUNOS軟體是否爆出重大bug,然後提出修補建議。(領導會覺得你很高瞻遠矚,漲工資哦!)
如何查看JUNOS系統漏洞
方法一:查看Juniper網站bug庫:
https://kb.juniper.net/InfoCenter/index?page=content&channel=SECURITY_ADVISORIES
方法二:查閱Juniper網站Problem
Search 軟體bug庫:https://prsearch.juniper.net
通過定期查閱你所使用的JUNOS系統Bug資訊並根據Juniper建議採取相關措施,從而大大避免因為系統bug從而導致網絡癱瘓的問題。
安裝廠商建議的OS作業系統
這一步非常好理解,一般情況網絡設備廠商會建議你使用某個版本的OS系統。它是根據廠商統計以及客戶反饋匯總後,廠商認為此版本系統相對較穩定,bug相對較少。
Juniper廠商建議OS系統匯總
https://kb.juniper.net/InfoCenter/index?page=content&id=KB21476&actp=METADATA
除此之外,為了怕下載的ScreenOS與JUNOS檔案是否損毀或是遭到竄改,我們還要根據原廠公佈的MD5與SHA1校驗碼來檢查您所下載的ScreenOS與JUNOS檔案是否正常,其說明請參考下列之網路連結:
由於內容繁多,整理成下列之網路連結好方便管理,也讓大家容易選擇及觀看。
本文參考下列文章截取部分或修改補充而完成的:
This Week: Hardening Junos Devices.pdf
關於JUNIPER SRX相關的問題可到下列網路連結去查詢:
