Junos OS – Überblick

Ein Betriebssystem

Im Gegensatz zu anderen Netzwerkbetriebssystemen, die einen gemeinsamen Namen haben, aber in viele verschiedene Programme aufgeteilt sind, ist Junos OS ein einziges, zusammenhängendes Betriebssystem, das von allen Netzwerkgeräten und Produktlinien gemeinsam genutzt wird. Auf diese Weise können die Ingenieure von Juniper Networks Softwarefunktionen einmal entwickeln und diese Funktionen für alle Produktlinien gleichzeitig bereitstellen. Da die Funktionen einer einzigen Quelle gemeinsam sind, werden sie in der Regel für alle Produktlinien auf die gleiche Weise implementiert, wodurch der Schulungsaufwand für das Erlernen verschiedener Tools und Methoden für jedes Produkt reduziert wird. Da alle Produkte von Juniper Networks dieselbe Codebasis verwenden, ist die Interoperabilität zwischen den Produkten kein Problem.

Eine modulare Softwarearchitektur

Obwohl einzelne Module von Junos OS über genau definierte Schnittstellen kommunizieren, wird jedes Modul in einem eigenen geschützten Speicherbereich ausgeführt, sodass verhindert wird, dass ein Modul ein anderes stört. Diese Trennung ermöglicht bei Bedarf den unabhängigen Neustart jedes Moduls. Dies steht im Gegensatz zu monolithischen Betriebssystemen, bei denen eine Fehlfunktion in einem Modul auf andere Module übergreifen und einen vollständigen Systemabsturz oder Neustart verursachen kann. Diese modulare Architektur bietet dann hohe Leistung, hohe Verfügbarkeit, Sicherheit und Geräteskalierbarkeit, die in anderen Betriebssystemen nicht zu finden sind.

Das Junos OS ist auf Ihrem Juniper Networks-Gerät vorinstalliert, wenn Sie es ab Werk erhalten. Wenn Sie das Gerät zum ersten Mal einschalten, wird die gesamte Software automatisch gestartet. Sie müssen lediglich die Software so konfigurieren, dass das Gerät am Netzwerk teilnehmen kann.

Sie können die Gerätesoftware aktualisieren, wenn neue Funktionen hinzugefügt oder Softwareprobleme behoben werden. Normalerweise erhalten Sie neue Software, indem Sie die Software-Installationspakete von der Support-Webseite von Juniper Networks auf Ihr Gerät oder auf ein anderes System in Ihrem lokalen Netzwerk herunterladen. Anschließend installieren Sie das Softwareupgrade auf dem Gerät.

Routing-Plattformen von Juniper Networks führen nur Binärdateien aus, die von Juniper Networks bereitgestellt werden, und unterstützen derzeit keine Binärdateien von Drittanbietern. Jedes Junos OS-Image enthält ein digital signiertes Manifest ausführbarer Dateien, die nur dann beim System registriert werden, wenn die Signatur validiert werden kann. Junos OS führt keine Binärdateien ohne eine registrierte Signatur aus. Diese Funktion schützt das System vor nicht autorisierter Software und Aktivitäten, die die Integrität Ihres Geräts gefährden könnten.

Secure Boot und Bootloader

Der Bootvorgang des Systems umfasst mehrere Phasen, beginnend mit der Aktivierung der CPU als Boot-Prozessor und der Kommunikation mit dem PCH, um das System hochzufahren. Die CPU springt zur BIOS-Routine, die im primären SPI-Flash gespeichert ist. Im Falle eines Ausfalls des Primär-Flashs schaltet der Boot-FPGA zur Wiederherstellung auf den Sekundär-Flash um, lädt den Bootloader jedoch nicht.

Der Bootloader spielt eine entscheidende Rolle beim Bootvorgang des Systems und sorgt für eine sichere und ordnungsgemäße Ausführung des Betriebssystems. Die Startreihenfolge und Mechanismen wie Secure Boot, USB, SSD und PXE-Boot bieten Flexibilität und Ausfallsicherheit beim Systemstart. Darüber hinaus ermöglichen GRUB-Konfigurationen den Benutzern, den Bootvorgang nach Bedarf anzupassen und Fehler zu beheben

Secure Boot ist eine wesentliche Verbesserung der Systemsicherheit, die auf dem UEFI-Standard basiert (siehe www.uefi.org). Es funktioniert, indem es das BIOS selbst vor Manipulationen oder Änderungen schützt und diesen Schutz dann während des gesamten Bootvorgangs aufrechterhält.

Der Secure Boot-Vorgang beginnt mit Secure Flash, wodurch sichergestellt wird, dass keine unbefugten Änderungen an der Firmware vorgenommen werden können. Autorisierte Versionen von Junos OS tragen eine digitale Signatur, die entweder direkt von Juniper Networks oder einem seiner autorisierten Partner erstellt wurde. An jedem Punkt des Startvorgangs überprüft jede Komponente, ob der nächste Link einwandfrei ist, indem sie die Signatur überprüft, um sicherzustellen, dass die Binärdateien nicht geändert wurden. Der Startvorgang kann nur fortgesetzt werden, wenn die Signatur korrekt ist. Diese "Vertrauenskette" wird so lange fortgesetzt, bis das Betriebssystem die Kontrolle übernimmt. Auf diese Weise wird die allgemeine Systemsicherheit verbessert und die Widerstandsfähigkeit gegen einige firmwarebasierte, persistente Bedrohungen erhöht.

Abbildung 1 zeigt eine vereinfachte Version dieser "Vertrauenskette".

Für die Implementierung von Secure Boot sind keine Aktionen Ihrerseits erforderlich. Es ist standardmäßig auf unterstützter Hardware implementiert.

Secure Boot für SRX-Geräte ist ein wichtiger Sicherheitsmechanismus, der die Hardware von Juniper schützen und die Ausführung von nicht autorisiertem Code oder Daten verhindern soll. Nicht autorisierte Unternehmen sind definiert als Personen, die nicht über eine ordnungsgemäße digitale Signatur von Juniper oder seinen autorisierten verbundenen Unternehmen verfügen.

Im Folgenden finden Sie eine kurze Aufschlüsselung, wie Secure Boot speziell für SRX1600-, SRX2300-, SRX4300- und SRX4700 Geräte funktioniert:

• Einschalt-Sequenz: Beim Einschalten startet die CPU die Ausführung mit dem UEFI-BIOS.

• Bootloader: Das UEFI-BIOS lädt die signierte ausführbare PE/COFF32+-Datei \EFI\BOOT\BOOTX64. EFI. Diese ausführbare Datei enthält ein modifiziertes GRUB2, das nur Dateilese-E/A für Dateien mit ordnungsgemäßen getrennten Signaturen zulässt.

• Getrennte Signaturen: Getrennte GRUB2-Signaturen werden als ${object}.psig gespeichert, wobei ein binäres (nicht gepanzertes) OpenPGP-Format verwendet wird.

• GPG-Schlüsselspeicher: Zusätzliche GPG-Schlüssel können in Verbindung mit dem vertrauenswürdigen öffentlichen GPG-Schlüssel, der in GRUB2 kompiliert wurde, in \EFI\BOOT\grub-trusted.gpg gespeichert werden.

• Treuhandgründung: Die Vertrauenswürdigkeit in \EFI\BOOT\grub-trusted.gpg wird hergestellt, indem \EFI\BOOT\grub-trusted.gpg.psig mit dem in \EFI\BOOT\BOOTX64 eingebetteten grub-root-Schlüssel überprüft wird. EFI.

• GRUB2-Konfiguration: Die GRUB2-Startkonfiguration, die sich in \EFI\BOOT\grub-startup.cfg befindet, ist für das Laden des signierten Linux-Kernels und optional eines signierten initrd-Images verantwortlich.

• Einschränkungen beim Laden von Dateien: BOOTX64. EFI besteht konsequent auf ordnungsgemäß signierten Dateien und lädt keine unsignierten Dateien, mit Ausnahme von GRUB-Konfigurations- oder GRUB-Umgebungsdateien.

Installation und Aktivierung

Um den sicheren Start für SRX2300 Geräte zu aktivieren, navigieren Sie zum BIOS-Menü, und wählen Sie im Menü "Sicheren Start verwalten" die Option "Sicheren Start auf Werkseinstellungen wiederherstellen" aus.

Anmerkung:

Sobald Secure Boot aktiviert ist, kann es nicht mehr deaktiviert werden.

Informationen dazu, welche Junos OS-Versionen und Hardware Secure Boot unterstützen, finden Sie unter Funktions-Explorer und geben Sie ein Secure Boot.

Hardware als "Root of Trust"

Hardware-Root-of-Trust (HRoT) ist eine in das System integrierte hardwarebasierte Sicherheitsfunktion, die als vertrauenswürdige Grundlage dient, um die Integrität der Firmware zu überprüfen und ihren sicheren Betrieb zu gewährleisten. Diese Funktion bietet einen unveränderlichen Vertrauensanker, der bei der Hardware beginnt und vor potenziellen Sicherheitslücken innerhalb des Systems schützt. HRoT fungiert als kritische Komponente, um die Authentizität der System-Firmware und -Konfiguration zu garantieren.

Im Gegensatz zu softwarebasierten Vertrauensmechanismen ist HRoT direkt in der Hardware implementiert und damit sehr widerstandsfähig gegen Manipulationen. Die Hauptfunktion von HRoT besteht darin, die Integrität der Firmware zu überprüfen und sicherzustellen, dass sie nicht unbefugt kompromittiert oder verändert wurde. Diese Funktion wird verwendet, um einen sicheren Startvorgang zu implementieren, bei dem nur verifizierte und vertrauenswürdige Firmware geladen werden kann.

Booten über das Netzwerk

Beim Netzwerkstart (Netboot) wird das Gerät von einem Netzwerkspeicherort aus anstelle eines lokalen Speichergeräts wie einer Festplatte oder eines USB-Laufwerks gestartet. Netboot ermöglicht es dem Gerät, von einem zentralen Server zu starten und das Junos OS über das Netzwerk zu laden.

Administratoren können die Geräte-Firmware im gesamten Netzwerk über einen zentralen Server effizient aktualisieren oder aktualisieren und so sicherstellen, dass alle Geräte mit den neuesten Funktionen und Sicherheitspatches ausgestattet sind. Da die Firmware direkt von einem zentralen Server abgeleitet wird, wird das Risiko einer Manipulation oder Ausnutzung erheblich reduziert. Darüber hinaus bietet die zentralisierte Protokollierung und Überwachung von Firmware- und Konfigurationsänderungen einen zuverlässigen Audit-Trail, der die Erkennung nicht autorisierter Änderungen erleichtert.

Das Gerät ist so konfiguriert, dass es zunächst versucht, Boot-Dateien von der lokalen Festplatte zu laden, andernfalls versucht es, die Dateien von der UBS zu laden. Falls der USB-Stick nicht verfügbar ist, versucht das System einen Netboot. Netboot sollte fortfahren dürfen, indem es auf der Konsole zugelassen wird, wenn das System es versucht.

Der Netboot-Prozess ist unten aufgeführt:

1. Das BIOS des Geräts ist so konfiguriert, dass es nach einem bootfähigen Image im Netzwerk sucht, nachdem es nicht von Festplatte und USB gestartet werden konnte.

2. Das Gerät bietet die Option BOOT0001 NET00 im Startmenü, um mit dem Netboot auf der Konsole fortzufahren.

3. Das Gerät sendet eine Anfrage an einen DHCP-Server, um eine IP-Adresse und andere Netzwerkkonfigurationsinformationen abzurufen.

4. Der DHCP-Server antwortet mit der IP-Adresse des Netzwerk-Boot-Servers, der das Boot-Image enthält.

5. Das Gerät stellt dann eine Verbindung zum Netzwerk-Boot-Server her und lädt die erforderlichen Dateien über TFTP herunter, um den Loader zu starten und das Image sicher zu installieren.

FIPS 140-2 – Sicherheitskonformität

Für erweiterte Netzwerksicherheit steht eine spezielle Version von Junos OS mit der Bezeichnung Junos-FIPS 140-2 zur Verfügung. Junos-FIPS 140-2 stellt Kunden Softwaretools zur Verfügung, mit denen sie ein Netzwerk von Geräten von Juniper Networks in einer FIPS-Umgebung konfigurieren können. Die FIPS-Unterstützung umfasst:

• Upgrade-Paket zur Konvertierung von Junos OS in Junos-FIPS 140-2

• Überarbeitete Installations- und Konfigurationsverfahren

• Erzwungene Sicherheit für den Remote-Zugriff

• FIPS-Benutzerrollen (Crypto Officer, Benutzer und Wartung)

• FIPS-spezifische Systemprotokollierung und Fehlermeldungen

• IPsec-Konfiguration für die Kommunikation zwischen Routing-Engine und Routing-Engine

• Verbesserte Passworterstellung und -verschlüsselung

Ab Junos OS Version 15.1 ist Junos-FIPS nur in einem inländischen Image enthalten: Ein einziges Junos OS-Image unterstützt sowohl nationale als auch FIPS-Funktionen. Benutzer, die über die FIPS-Anmeldeinformationen und die Berechtigung zur Anmeldung verfügen, können zwischen einem normalen Junos-Image und einem FIPS-Image wechseln.

Anmerkung:

Für Junos-FIPS gelten spezielle Kennwortanforderungen. FIPS-Kennwörter müssen zwischen 10 und 20 Zeichen lang sein. Passwörter müssen mindestens drei der fünf definierten Zeichensätze (Großbuchstaben, Kleinbuchstaben, Ziffern, Satzzeichen und andere Sonderzeichen) enthalten. Wenn Junos-FIPS auf dem Gerät installiert ist, können Sie Kennwörter nur konfigurieren, wenn sie diesem Standard entsprechen.