強化Juniper SRX系統安全 - 關閉不必要以及不安全的服務
強化Juniper SRX系統安全–關閉不必要以及不安全的服務
總的來說,類似於路由器,交換機甚至防火牆等設備。其安全性要高於伺服器,原因在於網絡設備一般默認開啟的服務遠遠少於伺服器。
既然做安全加固,就需要一種雞蛋裡面挑骨頭的精神,讓我們來看看在網絡設備上還能關閉什麼不必要的服務。
關閉自動安裝配置服務
刪除用不到和不安全的服務 (Disable unused and unsafe
services)
delete
system services rsh
delete
system services rlogin
delete
system services ftp
delete
system services finger
delete
system services telnet
delete
system services web-management http
delete
system services xnm-clear-text
delete snmp v1
delete snmp v2c
delete set
system services ssh protocol-version v1
delete
system autoinstallation
set system
autoinstallation usb disable
關閉自動安裝配置服務
很多Juniper設備初始環境下,為了迎合自動化需求,例如大批量配置設備。默認是開啟了自動安裝配置功能。從安全角度來說,如果你不需要此功能,可以選擇關閉它。
關閉自動安裝
[edit]
GingerBeer@Juniper# delete system autoinstallation
僅限Juniper SRX,關閉從USB自動安裝
[edit]
GingerBeer@Juniper# set system autoinstallation usb disable
Juniper SRX (JUNOS OS)系列產品在遠端連線安全設定方面,並不建議大家使用http以及telnet的方式,因為這兩種連線資料傳輸過程並沒有經過加密手續,容易被駭客竊取訊息,所以在安全上建議直接禁止這兩種服務,並建議只用https和ssh這兩種傳輸過程有經過加密手續的服務為上策。
在SRX系列業務網關上,xnm-clear-text欄位在出廠默認配置中啟用。此設置可在設備使用出廠默認設置進行操作時,在設備的信任區域中啟用傳入Junos XML協議流量。 我們建議您使用用戶定義的配置替換出廠默認設置,以便在配置該框後提供額外的安全性。 您必須使用CLI命令delete system services xnm-clear-text手動刪除xnm-clear-text欄位。
關閉不安全的系統服務
所謂的不安全系統服務,是指那些在傳輸過程中是以明文傳輸,例如telnet、http等。因此極其容易被中間人截獲從而獲取系統登錄權限等。
當與設備的通信未加密時,接入服務被視為不安全。 明文通信易受嗅探和數據包捕獲攻擊。 另一個安全風險是IP欺騙,攻擊者為了執行命令可能冒充可信的IP地址。
絕大多數Junos設備平台沒有啟用任何遠程訪問服務,但可使用本節中的命令禁用部署設備上的不安全訪問服務。
有些服務系統預設是關閉的,但是因為我們採用的是-顯式配置,所以無論其服務是否開啟,我們一律在配置檔中明確的關閉這些用不到以及不安全的服務。
例如如下服務:
1.關閉 Berkeley 「r」
禁用Berkeley“r”命令。 這些命令用於提供方便的訪問而不需要密碼。 這兩個命令都沒有記錄和隱藏,但公共來源提供瞭如何啟用這些服務的信息。
GingerBeer@Juniper# delete system services rsh
GingerBeer@Juniper# delete system services rlogin
2.關閉 FTP:
GingerBeer@Juniper# delete system services ftp
3.關閉 Finger:
GingerBeer@Juniper# delete system services finger
4.關閉 Telnet:
GingerBeer@Juniper# delete system services telnet
5.關閉 通過HTTP登錄的J-web:
GingerBeer@Juniper# delete system services web-management http
6.關閉 Reverse Telnet:
GingerBeer@Juniper# delete system services reverse telnet
7.關閉 clear-text Junoscript access:
GingerBeer@Juniper# delete system services xnm-clear-text
8.關閉 TFTP server:
GingerBeer@Juniper# delete system services tftp-server
如果您嘗試禁用當前未啟用的訪問服務,Junos會向您發出以下錯誤消息:
jweidley@ex3200#
delete system services finger
warning:
statement not found
這是一條警告消息,並不影響系統正常運作,相反的這代表您的設定是安全的。
當然,在禁用不安全的訪問服務後,沒有任何東西可以阻止授權工程師再次重新啟用其中一項不安全的服務。 但是,您可以使用Junos
Automation腳本來監視設備的訪問服務配置。 可以創建並安裝提交腳本,檢查這些不安全的服務,並顯示警告或不允許提交這些配置。
請訪問瞻博網絡的配置自動化庫以獲取示例腳本範例:http://www.juniper.net/us/en/community/junos/script-automation/library/configuration/
關閉用不到的介面並為其說明
這是為了要防止有人從沒有用到的端口接入電腦設備從而入侵系統的緣故,而我們也可以將端口設定成只接受特定的MAC地址才能上網。以下為關閉介面之設定。
set
interfaces ge-0/0/1 description "---unused---" disable