強化Juniper SRX (Junos OS) 設備物理安全


強化Juniper SRX (Junos OS) 設備物理安全

 什麼是物理設備安全,物理設備安全包含但不僅限於如下:
1.      設備物理環境安全。
2.      設備實際埠、介面安全。
3.      設備顯示屏安全。
設備物理環境安全
網絡設備一般都安裝於機房特定機架上。但是如果機房安全環境較差,隨時可以有人員進入機房挪動已經在線的網絡設備,或者實施斷電,插拔線纜等操作。那其他的一切安全問題都是浮雲。


強化console介面安全
Console介面作為設備的管理介面。為了怕帳號備鎖死而無法登入,因此具有忽略帳號鎖死的特性,也就是您可以無限次數的嚐試暴力密碼破解。root帳戶為Juniper SRX (JUNOS OS)設備以及linux或是UNIX系統等(Juniper SRX是建立在freeBSD之上的防火牆),為眾所皆知的最高權限帳戶,且無法更名,顯然攻擊目標明確,容易被遠端駭客使用暴力密碼破解的方式來取得設備的控制權
當工程師用console登陸設備以後,往往忘了logout登出系統。而是直接拔出 console線。其危害是,其他人員可以隨後插線通過console登陸設備無需任何驗證,直接使用前一位用戶的權限通過console對網絡設備執行 各種操作。
換而言之,假如前一位元工程師使用root帳戶登陸,那隨後的攻擊者同樣也處於root模式下,可以隨時對設備進行離線,重啟,關機等重大操作。

解決辦法
強調設備物理環境安全的重要性-給網路設備一個安全的置放環境。
最好的做法是打造一個牢不可破的電腦金庫?這並不實際,一般人也沒有這樣的安全需求。
一般的做法是建立一個電腦機房,嚴格管制人員進出。
最普遍的做法是設立電腦機櫃,將重要設備置於其中並上鎖,以防止閒雜人和有心人等,及避免因兒童或是寵物所造成的意外事件等。

設定CLI閒置時間(分鐘),超過設定的時限就自動登出。
set cli idle-timeout 10
root@srx100-a> set cli idle-timeout ?
Possible completions:
  <timeout>            Maximum idle time (0..100000 minutes)
root@srx100-a>
seroot@srx100> set cli idle-timeout 0
Idle timeout disabled
root@srx100> show cli
CLI complete-on-space set to on
CLI idle-timeout disabled
CLI restart-on-upgrade set to on
CLI screen-length set to 24
CLI screen-width set to 80
CLI terminal is 'vt100'
CLI is operating in enhanced mode
CLI timestamp disabled
CLI working directory is '/cf/root'

root@srx100>

開啟logout-on-disconnect功能,好讓console線拔除以後就能直接登出當前用戶。
root@srx100-a# set system ports console ?
Possible completions:
+ apply-groups         Groups from which to inherit configuration data
+ apply-groups-except  Don't inherit configuration data from these groups
  disable              Disable console
  insecure             Disallow superuser access
  log-out-on-disconnect  Log out the console session when cable is unplugged
  silent-with-modem    Make the console silent if modem is connected and no call is present on the modem
  type                 Terminal type
[edit]

root@srx100-a#

console ports設為不安全,來禁止在console介面上使用root帳戶登陸。
set system ports console insecure

設定login retry-options以降低暴力密碼破解帳戶的風險(我們在後面強化帳號登入會說明)


Auxiliary Port 輔助介面
輔助端口旨在與modem配合使用以提供在遠程位置撥入訪問設備值得一提的是,輔助端口也可以用作輔助控制台端口,在這種情況下,它會繼承一些控制台端口安全性
Auxiliary ports設為不安全
jweidley@MX240# set auxiliary insecure

輔助介面,一般情況下沒幾個人用,既然大家平時都不用,所以最好把它關閉。以Junos為例,Junos默認情況下是關閉了Auxiliary介面,雖然配置裡面看不出來。但是從安全角度出發,可以顯式配置關閉Auxiliary輔助介面。
顯式關閉輔助介面
jweidley@MX240# set system ports auxiliary disable


板卡診斷介面
對於高端路由器或者交換機而言,一般會存在兩個Routing Engine路由引擎卡,兩個交換矩陣板卡,多個業務板卡。
而就在交換矩陣板卡上,會存在一個類似於路由引擎的console介面的東西。其意義為若有一些故障需要從板卡層面診斷的話,可以通過連接交換板卡的診斷口來收集資訊。
從安全角度而言,診斷介面一般沒有密碼。對,您沒看錯,沒---碼。
Juniper為例,某些SCBSSBSFMFEB卡會存在此診斷介面。從安全角度,我們應該給他設置密碼驗證。
診斷介面設置密碼驗證
設置方法如下:
[edit system]
GingerBeer@Juniper# set diag-port-authentication plain-text-password
New password: <password>
Retype new password: <password>
[edit system]
GingerBeer@Juniper# set pic-console-authentication plain-text-password
New password: <password>
Retype new password: <password>
[edit system]
GingerBeer@Juniper#


設備顯示屏安全
這一點很有趣,在某些交換機上,會有一個小小的LCD的單色螢幕,旁邊一般會有幾個小小的按鈕。可別小看了這個LCD顯示屏。通過這個螢幕可以執行一些基本的系統維護和控制功能,例如離線板卡,重置系統配置等。所以若不常用其功能,我們可以選擇關閉LCD螢幕的操作功能。
鎖掉LCD螢幕操作功能,只許看,不許摸!
[edit]
GingerBeer@Juniper# set chassis craft-lockout

USB介面安全
USB提供了便捷的檔傳輸和儲存擴展,基於你的安全需求,你可以考慮關閉它。
set chassis usb storage disable
set system processes usb-control disable
set system autoinstallation usb disable

Reset Config 按鈕安全
重置配置按鈕的默認行為是:
按下並快速釋放按鈕加載並提交救援配置,前提是救援配置已經完成保存。
按住按鈕,直到STATUS LED閃爍紅色(〜15秒),刪除設備上的所有配置,包括備份和救援配置,且加載並提交出廠默認配置。

透過Reset Config按鈕將我們可以將設備設置為出廠默認配置並刪除所有其他配置,這在不安全的環境是非常危險的,所以我們要禁止它。
set chassis config-button no-clear no-rescue

您可以通過限制按鈕重置服務網關的方式來更改“Reset Config”按鈕的默認操作:
    要防止“Reset Config”按鈕將設備設置為出廠默認配置並刪除所有其他配置:
    admin @ host set chassis config-button no-clear
    您仍然可以按下並快速釋放該按鈕,將其重置為救援配置。

    要防止“Reset Config”按鈕將設備設置為救援配置:
    admin @ host set chassis config-button no-rescue
    您仍然可以按住按鈕15秒或更長時間以將網關重置為出廠默認配置。

    要禁用按鈕並阻止設備重置為任一配置:
    admin @ host set chassis config-button no-clear no-rescue

不清除選項可防止“Reset Config”按鈕刪除服務網關上的所有配置。無救援選項可防止“Reset Config”按鈕加載救援配置。
要將Reset Config按鈕的功能恢復為其默認行為,請從設備配置中刪除config-button語句。
    admin @ host delete chassis config-button no-clear no-rescue


禁止密碼恢復程序 Disable Password Recovery
有時候任何類型的密碼恢復都可能被認為是不必要的風險,例如Junos設備處於不安全的環境或是對安全性要求非常高的機構。
所以為了禁用密碼恢復,你必須disable root authentication。 這是通過使用encrypted-password命令選項完成的 - 在一組雙引號之間指定一個空格,您可以在CLI下達下列的命令:
root@srx100# set root-authentication encrypted-password " "
將加密密碼設置為空格並不意味著您的root密碼是空白鍵。 加密的密碼是散列hashedMD5SHA1)表示你的密碼。
請注意,上面的配置也是禁用從shell執行su - root命令的功能。
除非你確定你需要否則不要執行這個命令
注意 如果控制台端口配置為不安全且root帳戶被禁用,則唯一恢復設備的方法是在所有設備上進行低級別的安裝配置和日誌數據會丟失!




這個網誌中的熱門文章

如何測試網路連線--網路斷線了怎麼辦?

筆記電腦刷BIOS失敗無法開機—用CH341A編程器重刷BIOS教學!

查理王的電腦部落格-首頁