強化Juniper SRX (Junos OS) 設備物理安全

-

強化Juniper SRX (Junos OS) 設備物理安全

 什麼是物理設備安全,物理設備安全包含但不僅限於如下:
1.      設備物理環境安全。
2.      設備實際埠、介面安全。
3.      設備顯示屏安全。
設備物理環境安全
網絡設備一般都安裝於機房特定機架上。但是如果機房安全環境較差,隨時可以有人員進入機房挪動已經在線的網絡設備,或者實施斷電,插拔線纜等操作。那其他的一切安全問題都是浮雲。


強化console介面安全
Console介面作為設備的管理介面。為了怕帳號備鎖死而無法登入,因此具有忽略帳號鎖死的特性,也就是您可以無限次數的嚐試暴力密碼破解。root帳戶為Juniper SRX (JUNOS OS)設備以及linux或是UNIX系統等(Juniper SRX是建立在freeBSD之上的防火牆),為眾所皆知的最高權限帳戶,且無法更名,顯然攻擊目標明確,容易被遠端駭客使用暴力密碼破解的方式來取得設備的控制權
當工程師用console登陸設備以後,往往忘了logout登出系統。而是直接拔出 console線。其危害是,其他人員可以隨後插線通過console登陸設備無需任何驗證,直接使用前一位用戶的權限通過console對網絡設備執行 各種操作。
換而言之,假如前一位元工程師使用root帳戶登陸,那隨後的攻擊者同樣也處於root模式下,可以隨時對設備進行離線,重啟,關機等重大操作。

解決辦法
強調設備物理環境安全的重要性-給網路設備一個安全的置放環境。
最好的做法是打造一個牢不可破的電腦金庫?這並不實際,一般人也沒有這樣的安全需求。
一般的做法是建立一個電腦機房,嚴格管制人員進出。
最普遍的做法是設立電腦機櫃,將重要設備置於其中並上鎖,以防止閒雜人和有心人等,及避免因兒童或是寵物所造成的意外事件等。

設定CLI閒置時間(分鐘),超過設定的時限就自動登出。
set cli idle-timeout 10
root@srx100-a> set cli idle-timeout ?
Possible completions:
  <timeout>            Maximum idle time (0..100000 minutes)
root@srx100-a>
seroot@srx100> set cli idle-timeout 0
Idle timeout disabled
root@srx100> show cli
CLI complete-on-space set to on
CLI idle-timeout disabled
CLI restart-on-upgrade set to on
CLI screen-length set to 24
CLI screen-width set to 80
CLI terminal is 'vt100'
CLI is operating in enhanced mode
CLI timestamp disabled
CLI working directory is '/cf/root'

root@srx100>

開啟logout-on-disconnect功能,好讓console線拔除以後就能直接登出當前用戶。
root@srx100-a# set system ports console ?
Possible completions:
+ apply-groups         Groups from which to inherit configuration data
+ apply-groups-except  Don't inherit configuration data from these groups
  disable              Disable console
  insecure             Disallow superuser access
  log-out-on-disconnect  Log out the console session when cable is unplugged
  silent-with-modem    Make the console silent if modem is connected and no call is present on the modem
  type                 Terminal type
[edit]

root@srx100-a#

console ports設為不安全,來禁止在console介面上使用root帳戶登陸。
set system ports console insecure

設定login retry-options以降低暴力密碼破解帳戶的風險(我們在後面強化帳號登入會說明)


Auxiliary Port 輔助介面
輔助端口旨在與modem配合使用以提供在遠程位置撥入訪問設備值得一提的是,輔助端口也可以用作輔助控制台端口,在這種情況下,它會繼承一些控制台端口安全性
Auxiliary ports設為不安全
jweidley@MX240# set auxiliary insecure

輔助介面,一般情況下沒幾個人用,既然大家平時都不用,所以最好把它關閉。以Junos為例,Junos默認情況下是關閉了Auxiliary介面,雖然配置裡面看不出來。但是從安全角度出發,可以顯式配置關閉Auxiliary輔助介面。
顯式關閉輔助介面
jweidley@MX240# set system ports auxiliary disable


板卡診斷介面
對於高端路由器或者交換機而言,一般會存在兩個Routing Engine路由引擎卡,兩個交換矩陣板卡,多個業務板卡。
而就在交換矩陣板卡上,會存在一個類似於路由引擎的console介面的東西。其意義為若有一些故障需要從板卡層面診斷的話,可以通過連接交換板卡的診斷口來收集資訊。
從安全角度而言,診斷介面一般沒有密碼。對,您沒看錯,沒---碼。
Juniper為例,某些SCBSSBSFMFEB卡會存在此診斷介面。從安全角度,我們應該給他設置密碼驗證。
診斷介面設置密碼驗證
設置方法如下:
[edit system]
GingerBeer@Juniper# set diag-port-authentication plain-text-password
New password: <password>
Retype new password: <password>
[edit system]
GingerBeer@Juniper# set pic-console-authentication plain-text-password
New password: <password>
Retype new password: <password>
[edit system]
GingerBeer@Juniper#


設備顯示屏安全
這一點很有趣,在某些交換機上,會有一個小小的LCD的單色螢幕,旁邊一般會有幾個小小的按鈕。可別小看了這個LCD顯示屏。通過這個螢幕可以執行一些基本的系統維護和控制功能,例如離線板卡,重置系統配置等。所以若不常用其功能,我們可以選擇關閉LCD螢幕的操作功能。
鎖掉LCD螢幕操作功能,只許看,不許摸!
[edit]
GingerBeer@Juniper# set chassis craft-lockout

USB介面安全
USB提供了便捷的檔傳輸和儲存擴展,基於你的安全需求,你可以考慮關閉它。
set chassis usb storage disable
set system processes usb-control disable
set system autoinstallation usb disable

Reset Config 按鈕安全
重置配置按鈕的默認行為是:
按下並快速釋放按鈕加載並提交救援配置,前提是救援配置已經完成保存。
按住按鈕,直到STATUS LED閃爍紅色(〜15秒),刪除設備上的所有配置,包括備份和救援配置,且加載並提交出廠默認配置。

透過Reset Config按鈕將我們可以將設備設置為出廠默認配置並刪除所有其他配置,這在不安全的環境是非常危險的,所以我們要禁止它。
set chassis config-button no-clear no-rescue

您可以通過限制按鈕重置服務網關的方式來更改“Reset Config”按鈕的默認操作:
    要防止“Reset Config”按鈕將設備設置為出廠默認配置並刪除所有其他配置:
    admin @ host set chassis config-button no-clear
    您仍然可以按下並快速釋放該按鈕,將其重置為救援配置。

    要防止“Reset Config”按鈕將設備設置為救援配置:
    admin @ host set chassis config-button no-rescue
    您仍然可以按住按鈕15秒或更長時間以將網關重置為出廠默認配置。

    要禁用按鈕並阻止設備重置為任一配置:
    admin @ host set chassis config-button no-clear no-rescue

不清除選項可防止“Reset Config”按鈕刪除服務網關上的所有配置。無救援選項可防止“Reset Config”按鈕加載救援配置。
要將Reset Config按鈕的功能恢復為其默認行為,請從設備配置中刪除config-button語句。
    admin @ host delete chassis config-button no-clear no-rescue


禁止密碼恢復程序 Disable Password Recovery
有時候任何類型的密碼恢復都可能被認為是不必要的風險,例如Junos設備處於不安全的環境或是對安全性要求非常高的機構。
所以為了禁用密碼恢復,你必須disable root authentication。 這是通過使用encrypted-password命令選項完成的 - 在一組雙引號之間指定一個空格,您可以在CLI下達下列的命令:
root@srx100# set root-authentication encrypted-password " "
將加密密碼設置為空格並不意味著您的root密碼是空白鍵。 加密的密碼是散列hashedMD5SHA1)表示你的密碼。
請注意,上面的配置也是禁用從shell執行su - root命令的功能。
除非你確定你需要否則不要執行這個命令
注意 如果控制台端口配置為不安全且root帳戶被禁用,則唯一恢復設備的方法是在所有設備上進行低級別的安裝配置和日誌數據會丟失!




這個網誌中的熱門文章

如何測試網路連線--網路斷線了怎麼辦?

-
圖片
如何測試網路連線--網路斷線了怎麼辦? 如何測試網路連線 -- 網路不通了 DIY 自行檢測網路連線 當我們打開電腦,卻發現無法上網了,這時候我們該怎麼辦呢 ? 如果在公司的話,我們可以請電腦人員來處理,而若是在家裡,我們就必須 DIY 先自行檢查一遍,如果檢查後仍然不能上網的話,我們也只能請朋友或是廠商來維修了。 而我們又要如何 DIY 先自行檢查呢 ? 請您依照下列步驟來進行: 第一步:進入 DOS 命令列模式。 按 " 視窗鍵 +R 鍵 " ,開啟執行視窗並輸入 " cmd " 後按 enter 鍵來進入 DOS 命令列模式。 第二步:檢查 ip 是否正常。 請輸入 " ipconfig " 來 檢查有無取得正常 IP 或是 IP 設定是否正確。 若電腦要上網,則每台電腦 一 定都要配有一個 IP 位址才行,本例的 IP 位址為 192.168.1.11 。 而 IP 位址分成 公共 IP 與 私有 IP 兩種, 只有公共 IP 才能上網 ( 網際網路 ) ,私有 IP 是無法直接上網的,私有 IP 只能在區域網路中使用 。而因為公共 IP 太少,所以要搭配私有 IP 來上網才行,這樣就可以達到以 100 台電腦,或是以 10000 台電腦,使用私有 IP 經過網路設備的轉換而達成只需使用 1 個公共 IP 就能讓大家一起上網的目的了。 私有 IP 無法直接連接網際網路,需要使用 網絡地址轉換( Network Address Translator , NAT ) 或者 代理伺服器   ( proxy server ) 來實現。與公網 IP 相比,私有 IP 是免費的,同時節省了 IP 位址資源,適合在區域網使用。私有 IP 常被用於家庭,學校和企業的區域網。 私有 IP 的範圍: 192.168.XX. XX 172.16. XX.XX – - 172.31. XX.XX 10. XX.XX.XX 我們只要看到 IP 位址開頭為上述範圍的 IP ,就表示您的 IP 為私有 IP 。 還有一種 ip 位址為 169.254. X.X , 這種
閱讀完整內容

筆記電腦刷BIOS失敗無法開機—用CH341A編程器重刷BIOS教學!

-
圖片
ASUS 筆記電腦更新 BIOS 失敗無法開機 —用 CH341A 編程 器重刷 BIOS 教學! 前一陣子買了一台新的筆記電腦 (∩_∩) ,因此讓跟了我多年的 ASUS A42JA 筆電因此就被束之高閣沒有再被使用了 ヽ (´ ー ` )┌ ,後來想說反正放著不用也是浪費,乾脆就整理一下拿到拍賣網站給便宜賣掉算了 (¬ ‿ ¬) ,於是便動手開始移除個人的資料, 把 WINDOWS 7 系統還原到出廠狀態,順便一起更新 BIOS 的版本 ,而更新的過程很順利,在寫入 100% 後便自行重開機,重開機後小弟發現電源燈與硬碟燈皆恆亮,且螢幕沒有畫面,但小弟當然得等著它繼續開機更新 BIOS ,可是 2 分鐘 .. , 5 分鐘過了 .. ,情況還是一樣,此時心中不禁起了疑惑   (• ิ _• ิ )? ,不會吧 ! 會不會更新失敗了 ? 難道這麼倒楣的事都讓小弟我給碰上了 ? 一直等到十分鐘過後,小弟我終於失去耐性了,便下定決心長按電源鍵來讓筆記電腦強行關機   ( ╯‵ □′) ╯ ︵ ╧═╧ ,然後再開機,結果依然還是沒有畫面,電源燈與硬碟燈都恆亮的情況,小弟仍不死心的又重試了幾次,問題最後終於明朗化了,他媽的 BIOS 真的更新失敗了,對小弟來說一直是傳說中的問題竟被我給遇上了 !!!   。゜゜ (´ O `) ゜゜。 因為這台 ASUS A42JA 筆電已購置多年,早就過保固了,因此小弟先上網 GOOGLE 下,發現這類問題 ASUS 原廠通常是換主機板(這是在論壇上討論的內容),且一片要價 $5000 元   ( ⊙ _ ⊙ ) ,所以送回原廠維修的方案小弟就不考慮了(超出了筆電的價值沒有維修的必要),小弟接著再努力的 GOOGLE 幾下,終於發現 BIOS 更新失敗後似乎可以自行使用燒錄器來重刷 BIOS  (¬_¬;) ,於是這便成為小弟唯一可行的解決方案了。 從網路上找到的刷 BIOS 案例中,發現大多是使用 ”CH341A 編程器 ( 燒錄器 ) ” 來進行燒錄作業,其基本作法是用烙鐵將主機板上的 BIOS 晶片( 芯片 ) 拆下,再用 CH341A 燒錄器將原廠下載的 BIOS 檔案燒入芯片中,最後再將 BIOS 芯片焊接回筆電主機板上。而因為小弟也是電子相關科系出身,也曾拿烙鐵來焊接電子零件,所以
閱讀完整內容

INTEL XTU使用教學以及對筆電應具備的XTU設定概念

-
圖片
INTEL XTU 使用教學以及對筆電應具備的 XTU 設定概念 這篇文章除了教您如何使用 Intel XTU 之外,還告訴您許多 XTU 設定上的觀念,以及如何使用 XTU 來優化您的筆電等,在文中還有新、舊版本的 Intel XTU 開機自啟動相關的設定方法提供給大家來參考看看。 本篇文章主要是從初學者的角度出發來撰寫的,所以內容較為初淺,且繁雜,尚請各位大大多多體諒 ! 內容多為網路上蒐集而來,由小弟加以整理並加入個人的看法,若有校稿不力或是觀念錯誤的地方,尚請各位大大不吝指正,小弟必盡速更正 ! 在此先萬分感謝各位大大的愛護與支持,感謝您 !   內文開始   Intel 原廠網站是這樣說明的: Intel® 極致調整公用程式( Intel ® Extreme Tuning Utility - Intel® XTU )是一種簡易的 Windows 效能調整應用程式,可讓新手和經驗豐富的愛好者超頻、監控和壓力系統。軟體介面有一系列強大的功能,在大部分玩家平臺中都很常見。這種介面在新的 Intel® 處理器和主機板上也有特殊功能。 PS:上面這段話的意思是 -- Intel XTU 是 Intel 所推出的 一種簡易的 Windows 效能調整應用程式,透過對 CPU 電壓與功耗限制等的調整,可讓新手和經驗豐富的愛好者來對 Intel CPU 進行 超頻 、 監控 和 做壓力測試 。以小弟的電腦來說, CPU 經過 XTU 適當的調教之後,可以憑空增加約 30% 左右的效能,這可是得多花好幾千塊錢買更好的電腦才辦的到的事哦 ! 適用於下列產品。     Intel® Core™ i3-7350K 處理器 ( 4M 快取記憶體, 4.20 GHz)     Intel® Core™ i3-8350K 處理器( 8M 快取記憶體, 4.00 GHz )     Intel® Core™ i3-9350K 處理器( 8M 快取記憶體,最高 4.60 GHz )     Intel® Core™ i3-9350KF 處理器( 8M 快取記憶體,最高 4.60 GHz )     Intel® Core™ i5-3570K 處理器 ( 6M 快取記憶體,最高 3.80 GHz)     I
閱讀完整內容