Visão geral do Junos OS
O Junos OS é o único sistema operacional que alimenta o amplo portfólio de produtos de segurança e redes físicas e virtuais da Juniper.
Visão geral do Junos OS
A Juniper Networks fornece dispositivos de rede de alto desempenho que criam um ambiente responsivo e confiável para acelerar a implantação de serviços e aplicativos em uma única rede. O sistema operacional Junos® (Junos OS) é a base dessas redes de alto desempenho.
O Junos OS inclui as seguintes variações de arquitetura:
-
Junos OS FreeBSD 10 ou posterior em bare metal. Este é o Junos OS baseado em um kernel FreeBSD atualizado. A maioria das plataformas de hardware baseadas no Junos OS executa o Junos OS com o FreeBSD atualizado. O Junos OS com FreeBSD atualizado pode ser executado também como uma máquina virtual (VM) convidada em um host de VM Linux. Para saber mais sobre quais plataformas executam o Junos OS com FreeBSD atualizado, procure por atualização do kernel do Junos para o FreeBSD 10+ no Explorador de recursos: Atualização do kernel do Junos para o FreeBSD 10+.
-
Junos OS Evolved. Veja a introdução do Junos® OS Evolved e o guia de instalação e atualização do software Junos® OS Evolved para obter mais informações sobre o Junos OS Evolved.
Ao contrário de outras arquiteturas de software complexas e monolíticas, o Junos OS incorpora diferenças importantes de design e desenvolvimento para oferecer maior disponibilidade de rede, eficiência operacional e flexibilidade. A seguir estão as principais vantagens dessa abordagem:
- Um sistema operacional
- Uma arquitetura de software modular
- Inicialização segura e carregador de inicialização
- Raiz de confiança do hardware
- Conformidade de Segurança FIPS 140-2
Um sistema operacional
Ao contrário de outros sistemas operacionais de rede que compartilham um nome comum, mas se dividem em muitos programas diferentes, o Junos OS é um sistema operacional único e coeso que é compartilhado por todos os dispositivos de rede e linhas de produtos. Isso permite que os engenheiros da Juniper Networks desenvolvam recursos de software uma vez e compartilhem esses recursos em todas as linhas de produtos simultaneamente. Como os recursos são comuns a uma única fonte, eles geralmente são implementados da mesma maneira para todas as linhas de produtos, reduzindo assim o treinamento necessário para aprender diferentes ferramentas e métodos para cada produto. Como todos os produtos da Juniper Networks usam a mesma base de código, a interoperabilidade entre os produtos não é um problema.
Uma arquitetura de software modular
Embora os módulos individuais do Junos OS se comuniquem por meio de interfaces bem definidas, cada módulo é executado em seu próprio espaço de memória protegido, impedindo que um módulo interrompa o outro. Essa separação permite a reinicialização independente de cada módulo, conforme necessário. Isso contrasta com os sistemas operacionais monolíticos, onde um mau funcionamento em um módulo pode se espalhar para outros módulos e causar uma falha ou reinicialização completa do sistema. Essa arquitetura modular fornece alto desempenho, alta disponibilidade, segurança e escalabilidade de dispositivos não encontrados em outros sistemas operacionais.
O Junos OS é pré-instalado em seu dispositivo da Juniper Networks quando você o recebe da fábrica. Assim, quando você liga o dispositivo pela primeira vez, todo o software é iniciado automaticamente. Você só precisa configurar o software para que o dispositivo possa participar da rede.
Você pode atualizar o software do dispositivo à medida que novos recursos são adicionados ou problemas de software são corrigidos. Normalmente, você obtém um novo software baixando os pacotes de instalação de software da página da web de suporte da Juniper Networks em seu dispositivo ou em outro sistema em sua rede local. Em seguida, você instala a atualização de software no dispositivo.
As plataformas de roteamento da Juniper Networks executam apenas binários fornecidos pela Juniper Networks e atualmente não oferecem suporte a binários de terceiros. Cada imagem do Junos OS inclui um manifesto assinado digitalmente de executáveis que são registrados no sistema somente se a assinatura puder ser validada. O Junos OS não executará nenhum binário sem uma assinatura registrada. Esse recurso protege o sistema contra software e atividades não autorizadas que possam comprometer a integridade do seu dispositivo.
Inicialização segura e carregador de inicialização
O processo de inicialização do sistema envolve vários estágios, começando com a ativação da CPU como processador de inicialização, comunicando-se com o PCH para ativar o sistema. A CPU salta para a rotina do BIOS armazenada no flash SPI primário. Em caso de falha do flash primário, o FPGA de inicialização muda para o flash secundário para recuperação, mas não carrega o carregador de inicialização.
O bootloader desempenha um papel crítico no processo de inicialização do sistema, garantindo a execução segura e ordenada do sistema operacional. A ordem de inicialização e mecanismos como inicialização segura, USB, SSD e PXE fornecem flexibilidade e resiliência ao procedimento de inicialização do sistema. Além disso, as configurações do GRUB permitem que os usuários personalizem e solucionem problemas do processo de inicialização conforme necessário
A Inicialização Segura é um aprimoramento significativo da segurança do sistema com base no padrão UEFI (consulte o site do Fórum de Interface de Firmware Extensível Unificada ). Ele funciona protegendo o próprio BIOS contra adulteração ou modificação e, em seguida, mantendo essa proteção durante todo o processo de inicialização.
O processo de inicialização segura começa com o Secure Flash, que garante que alterações não autorizadas não possam ser feitas no firmware. As versões autorizadas do Junos OS possuem uma assinatura digital produzida diretamente pela Juniper Networks ou por um de seus parceiros autorizados. Em cada ponto do processo de inicialização, cada componente verifica se o próximo link está sólido, verificando a assinatura para garantir que os binários não tenham sido modificados. O processo de inicialização não pode continuar a menos que a assinatura esteja correta. Essa "cadeia de confiança" continua até que o sistema operacional assuma o controle. Dessa forma, a segurança geral do sistema é aprimorada, aumentando a resistência a algumas ameaças persistentes baseadas em firmware.
A Figura 1 mostra uma versão simplificada dessa "cadeia de confiança".
A Inicialização Segura não requer nenhuma ação de sua parte para ser implementada. Ele é implementado em hardware compatível por padrão.
Para obter informações sobre quais versões do Junos OS e suporte de hardware Secure Boot, consulte Explorador de recursos e digite Secure Boot.
Raiz de confiança do hardware
A raiz de confiança de hardware (HRoT) é um recurso de segurança baseado em hardware integrado ao sistema, que atua como uma base confiável para verificar a integridade do firmware e garantir sua operação segura. Esse recurso fornece uma raiz de confiança inalterável a partir do hardware, protegendo contra possíveis vulnerabilidades de segurança no sistema. O HRoT atua como um componente crítico para garantir a autenticidade do firmware e da configuração do sistema.
Ao contrário dos mecanismos de confiança baseados em software, o HRoT é implementado diretamente no hardware, tornando-o altamente resistente a adulterações. A principal função do HRoT é verificar a integridade do firmware, garantindo que ele não tenha sido comprometido ou modificado de forma não autorizada. Esse recurso é usado para implementar um processo de inicialização seguro em que apenas firmware verificado e confiável pode ser carregado.
Certifique-se de que a mensagem a seguir seja exibida durante a inicialização inicial do dispositivo para saber se o HRoT e a inicialização segura são aplicados.
JUNIPER HARDWARE ROOT OF TRUST WITH SECURE BOOT ENFORCED
Conformidade de Segurança FIPS 140-2
Para uma segurança de rede avançada, uma versão especial do Junos OS, chamada Junos-FIPS 140-2, está disponível. O Junos-FIPS 140-2 oferece aos clientes ferramentas de software para configurar uma rede de dispositivos da Juniper Networks em um ambiente FIPS. O suporte ao FIPS inclui:
Pacote de atualização para converter o Junos OS em Junos-FIPS 140-2
Procedimentos de instalação e configuração revisados
Segurança reforçada para acesso remoto
Funções de usuário FIPS (Crypto Officer, User e Maintenance)
Mensagens de erro e registro do sistema específico do FIPS
Configuração de IPsec para comunicação do Mecanismo de Roteamento para o Mecanismo de Roteamento
Criação e criptografia de senha aprimoradas
O Junos-FIPS é empacotado apenas em uma imagem doméstica: uma única imagem do Junos OS oferece suporte a recursos domésticos e FIPS. Os usuários que têm as credenciais FIPS e permissão para fazer login podem alternar entre uma imagem normal do Junos e uma imagem FIPS.
O Junos-FIPS tem requisitos especiais de senha. As senhas FIPS devem ter entre 10 e 20 caracteres. As senhas devem usar pelo menos três dos cinco conjuntos de caracteres definidos (letras maiúsculas, letras minúsculas, dígitos, sinais de pontuação e outros caracteres especiais). Se o Junos-FIPS estiver instalado no dispositivo, você não poderá configurar senhas, a menos que elas atendam a esse padrão.