Junos OS-Funktionen für die Gerätesicherheit

Methoden des Fernzugriffs für die Geräteverwaltung

Bei der Erstinstallation von Junos OS wird der gesamte Remotezugriff auf das Gerät deaktiviert, wodurch sichergestellt wird, dass der Remotezugriff nur möglich ist, wenn er von einem autorisierten Benutzer absichtlich aktiviert wurde. Sie können die Remotekommunikation mit einem Gerät auf eine der folgenden Arten herstellen:

• Out-of-Band-Verwaltung: Ermöglicht die Verbindung zum Gerät über eine Schnittstelle für die Geräteverwaltung. Geräte von Juniper Networks unterstützen Out-of-Band-Management mit einer dedizierten Management-Ethernet-Schnittstelle sowie EIA-232-Konsolen- und AUX-Ports. Auf allen Geräten mit Ausnahme der TX Matrix Plus-, T1600-, T1600- oder T4000-Geräte, die mit einem TX Matrix Plus-Gerät in einer Routing-Matrix verbunden sind, und der Paketübertragungsrouter der PTX-Serie ist die Verwaltungsschnittstelle fxp0. Bei TX Matrix Plus-, T1600-, T1600- oder T4000-Geräten in einer Routing-Matrix und Paketübertragungsroutern der PTX-Serie ist die Management-Ethernet-Schnittstelle mit em0 gekennzeichnet. Die Management-Ethernet-Schnittstelle stellt eine direkte Verbindung zur Routing-Engine her. Über diese Schnittstelle ist kein Transitverkehr zulässig, wodurch eine vollständige Trennung von Kunden- und Verwaltungsdatenverkehr gewährleistet wird und sichergestellt wird, dass Überlastungen oder Ausfälle im Transitnetzwerk die Verwaltung des Geräts nicht beeinträchtigen.

• Inband-Verwaltung: Ermöglicht die Verbindung zu den Geräten über dieselben Schnittstellen, über die der Kundendatenverkehr fließt. Obwohl dieser Ansatz einfach ist und keine dedizierten Verwaltungsressourcen erfordert, hat er zwei Nachteile:

  • Verwaltungsflüsse und Transitdatenströme werden miteinander vermischt. Jeder Angriffsdatenverkehr, der mit dem normalen Datenverkehr vermischt ist, kann die Kommunikation mit dem Gerät beeinträchtigen.

  • Die Verbindungen zwischen den Gerätekomponenten sind möglicherweise nicht absolut vertrauenswürdig, was zu Abhör- und Replay-Angriffen führen kann.

Für den Verwaltungszugriff auf das Gerät sind die Standardmethoden für die Kommunikation mit dem Gerät von einer Remotekonsole aus Telnet und SSH. SSH bietet eine sichere, verschlüsselte Kommunikation und ist daher für die In-Band-Geräteverwaltung nützlich. Telnet ermöglicht einen unverschlüsselten und daher weniger sicheren Zugriff auf das Gerät.

Von Junos OS unterstützte Protokolle und Methoden zur Benutzerauthentifizierung

Auf einem Gerät können Sie lokale Benutzeranmeldekonten erstellen, um zu steuern, wer sich am Gerät anmelden kann und welche Zugriffsrechte er hat. Jedem Anmeldekonto ist ein Kennwort zugeordnet, entweder ein SSH-Schlüssel oder ein MD5-Kennwort (Message Digest 5). Um Zugriffsrechte zu definieren, legen Sie Anmeldeklassen an, in die Sie Benutzer mit ähnlichen Jobs oder Jobfunktionen gruppieren. Sie verwenden diese Klassen, um explizit zu definieren, welche Befehle ihre Benutzer ausführen dürfen und welche nicht, während sie am Gerät angemeldet sind.

Die Verwaltung mehrerer Geräte durch viele verschiedene Mitarbeiter kann zu einem Problem bei der Verwaltung von Benutzerkonten führen. Eine Lösung besteht darin, einen zentralen Authentifizierungsdienst zu verwenden, um die Kontoverwaltung zu vereinfachen, indem Benutzerkonten nur auf einem einzigen, zentralen Server erstellt und gelöscht werden. Ein zentrales Authentifizierungssystem vereinfacht auch den Einsatz von Einmalpasswortsystemen wie SecureID, die Schutz vor Passwort-Sniffing- und Passwort-Replay-Angriffen bieten (Angriffe, bei denen sich jemand mit einem erbeuteten Passwort als Geräteadministrator ausgibt).

Junos OS unterstützt zwei Protokolle für die zentrale Authentifizierung von Benutzern auf mehreren Geräten:

• Terminal Access Controller Access Control System Plus (TACACS+).

• Remote Authentication Dial-In User Service (RADIUS), ein herstellerübergreifender IETF-Standard, dessen Funktionen weithin akzeptiert sind als die von TACACS+ oder anderen proprietären Systemen. Alle Systemanbieter mit Einmalpasswort unterstützen RADIUS.

Junos OS unterstützt auch die folgenden Authentifizierungsmethoden:

• Internet Protocol Security (IPsec). Die IPsec-Architektur bietet eine Sicherheitssuite für die IPv4- und IPv6-Netzwerkschichten. Die Suite bietet Funktionen wie Ursprungsauthentifizierung, Datenintegrität, Vertraulichkeit, Wiedergabeschutz und Nichtleugnung der Quelle. Zusätzlich zu IPsec unterstützt Junos OS den Internet Key Exchange (IKE), der Mechanismen für die Schlüsselgenerierung und den Schlüsselaustausch definiert und Sicherheitszuordnungen (Security Associations, SAs) verwaltet.

• MD5-Authentifizierung von MSDP-Peering-Sitzungen. Diese Authentifizierung bietet Schutz vor gefälschten Paketen, die in eine Peering-Sitzung eingeschleust werden.

• SNMPv3-Authentifizierung und -Verschlüsselung. SNMPv3 verwendet das benutzerbasierte Sicherheitsmodell (USM) für die Nachrichtensicherheit und das ansichtsbasierte Zugriffssteuerungsmodell (VACM) für die Zugriffssteuerung. USM spezifiziert Authentifizierung und Verschlüsselung. VACM gibt Zugriffssteuerungsregeln an.

Anforderungen für Junos OS-Klartext-Passwörter

Junos OS hat besondere Anforderungen beim Erstellen von Nur-Text-Kennwörtern auf einem Gerät. Die Standardanforderungen für Nur-Text-Kennwörter lauten wie folgt:

• Das Passwort muss zwischen 6 und 128 Zeichen lang sein.

• Sie können Großbuchstaben, Kleinbuchstaben, Zahlen, Satzzeichen und eines der folgenden Sonderzeichen einfügen: ! @ # $ % ^ & * , + = < > : ; Steuerzeichen werden nicht empfohlen.

• Das Kennwort muss mindestens eine Änderung der Groß-/Kleinschreibung oder Zeichenklasse enthalten.

Sie können die Anforderungen für Nur-Text-Kennwörter ändern.

Sie können die plain-text-password Anweisung auf den folgenden Hierarchieebenen einbinden:

• [edit system diag-port-authentication]

• [edit system pic-console-authentication]

• [edit system root-authentication]

• [edit system login user username authentication]

Junos OS-Unterstützung für Routing-Protokoll-Sicherheitsfunktionen und IPsec

Die Hauptaufgabe eines Geräts besteht darin, den Benutzerdatenverkehr basierend auf den Informationen in den Routing- und Weiterleitungstabellen des Geräts an das beabsichtigte Ziel weiterzuleiten. Sie können Routing-Richtlinien konfigurieren, die die Routing-Informationsflüsse durch das Netzwerk definieren und steuern, welche Routen von den Routing-Protokollen in den Routing-Tabellen platziert werden und welche Routen von den Tabellen angekündigt werden. Sie können Routing-Richtlinien auch verwenden, um bestimmte Routeneigenschaften zu ändern, die BGP-Route-Flapping-Dämpfungswerte zu ändern, einen Lastausgleich pro Paket durchzuführen und Class of Service (CoS) zu aktivieren.

Angreifer können gefälschte Protokollpakete an ein Gerät senden, um den Inhalt der Routing-Tabelle oder anderer Datenbanken zu ändern oder zu beschädigen, wodurch die Funktionalität des Geräts beeinträchtigt werden kann. Um solche Angriffe zu verhindern, müssen Sie sicherstellen, dass Geräte Routingprotokoll-Peering oder benachbarte Beziehungen zu vertrauenswürdigen Peers aufbauen. Eine Möglichkeit, dies zu tun, ist die Authentifizierung von Routingprotokollnachrichten. Die Protokolle Junos OS BGP, IS-IS, OSPF, RIP und RSVP unterstützen alle die HMAC-MD5-Authentifizierung, bei der ein geheimer Schlüssel in Kombination mit den zu schützenden Daten zur Berechnung eines Hashs verwendet wird. Wenn die Protokolle Nachrichten senden, wird der berechnete Hash mit den Daten übertragen. Der Empfänger verwendet den übereinstimmenden Schlüssel, um den Nachrichtenhash zu überprüfen.

Junos OS unterstützt die IPsec-Sicherheitssuite für die IPv4- und IPv6-Netzwerkschichten. Die Suite bietet Funktionen wie Ursprungsauthentifizierung, Datenintegrität, Vertraulichkeit, Wiedergabeschutz und Nichtleugnung der Quelle. Junos OS unterstützt auch IKE, das Mechanismen für die Schlüsselgenerierung und den Schlüsselaustausch definiert und Sicherheitszuordnungen verwaltet.

Junos OS-Unterstützung für Firewall-Filter

Mit Firewall-Filtern können Sie Pakete steuern, die das Gerät an ein Netzwerkziel übertragen, sowie Pakete, die für das Gerät bestimmt sind und von diesem gesendet werden. Sie können Firewallfilter konfigurieren, um zu steuern, welche Datenpakete von den physischen Schnittstellen akzeptiert und übertragen werden und welche lokalen Pakete von den physischen Schnittstellen und der Routing-Engine übertragen werden. Firewall-Filter bieten eine Möglichkeit, Ihr Gerät vor übermäßigem Datenverkehr zu schützen. Firewall-Filter, die lokale Pakete kontrollieren, können Ihr Gerät auch vor externen Angriffen wie DoS-Angriffen schützen.

Um die Routing-Engine zu schützen, können Sie einen Firewall-Filter nur auf der Loopback-Schnittstelle des Geräts konfigurieren. Das Hinzufügen oder Ändern von Filtern für jede Schnittstelle auf dem Gerät ist nicht erforderlich. Sie können Firewall-Filter entwerfen, um vor ICMP- und TCP-SYN-Floods (Transmission Control Protocol) Verbindungsanfragen zu schützen und die Rate des an die Routing-Engine gesendeten Datenverkehrs zu begrenzen.

Junos OS-Unterstützung Verteilter Denial-of-Service-Schutz

Ein Denial-of-Service-Angriff ist jeder Versuch, gültigen Benutzern den Zugriff auf Netzwerk- oder Serverressourcen zu verweigern, indem alle Ressourcen des Netzwerkelements oder Servers verbraucht werden. Bei Distributed-Denial-of-Service-Angriffen handelt es sich um einen Angriff aus mehreren Quellen, wodurch eine viel größere Menge an Datenverkehr das Netzwerk angreifen kann. Bei den Angriffen werden in der Regel Netzwerkprotokoll-Kontrollpakete verwendet, um eine große Anzahl von Ausnahmen für die Steuerungsebene des Geräts auszulösen. Dies führt zu einer übermäßigen Verarbeitungslast, die den normalen Netzwerkbetrieb stört.

Der DDoS-Schutz von Junos OS sorgt dafür, dass das Gerät während eines Angriffs weiterhin funktioniert. Es identifiziert und unterdrückt bösartige Kontrollpakete und ermöglicht gleichzeitig die Verarbeitung von legitimem Kontrolldatenverkehr. Ein zentraler Punkt für die Verwaltung des DDoS-Schutzes ermöglicht es Netzwerkadministratoren, Profile für ihren Netzwerksteuerungsverkehr anzupassen. Der Schutz und die Überwachung bleiben auch bei ordnungsgemäßen GRES- (Routing Engine Switchover) und ISSU-Switchovern (Unified In-Service-Software-Upgrade) bestehen. Der Schutz wird mit steigender Abonnentenzahl nicht verringert.

Zum Schutz vor DDoS-Angriffen können Sie Policer für hostgebundenen Ausnahmedatenverkehr konfigurieren. Die Policer geben Ratenbegrenzungen für einzelne Typen von Protokollsteuerpaketen oder für alle Steuerpakettypen für ein Protokoll an. Sie können Policeraktionen für Pakettypen und Protokollgruppen auf der Ebene des Geräts, der Routing-Engine und der Linecards überwachen. Sie können auch die Protokollierung von Polizeiereignissen steuern.

Die Datenstromerkennung ist eine Erweiterung des DDoS-Schutzes, die die DDoS-Policer-Hierarchien ergänzt, indem eine begrenzte Anzahl von Hardwareressourcen verwendet wird, um die Ankunftsrate von hostgebundenen Datenströmen des Kontrolldatenverkehrs zu überwachen. Die Strömungserkennung ist viel skalierbarer als eine Lösung, die auf Filterpolicen basiert. Filterpolikatoren verfolgen alle Ströme, was eine beträchtliche Menge an Ressourcen verbraucht. Im Gegensatz dazu verfolgt die Datenstromerkennung nur Datenströme, die sie als verdächtig identifiziert, und verbraucht dafür weitaus weniger Ressourcen.

Die Anwendung zur Strömungserkennung besteht aus zwei miteinander verbundenen Komponenten: Erkennung und Verfolgung. Bei der Erkennung handelt es sich um den Prozess, bei dem Datenströme, bei denen der Verdacht besteht, dass sie nicht ordnungsgemäß sind, identifiziert und anschließend kontrolliert werden. Tracking ist der Prozess, bei dem Datenströme nachverfolgt werden, um festzustellen, ob sie wirklich feindlich sind und wann sich diese Datenströme innerhalb akzeptabler Grenzen erholen.

Junos OS Auditing-Unterstützung für Sicherheit

Junos OS protokolliert wichtige Ereignisse, die auf dem Gerät und innerhalb des Netzwerks auftreten. Obwohl die Protokollierung selbst die Sicherheit nicht erhöht, können Sie die Systemprotokolle verwenden, um die Wirksamkeit Ihrer Sicherheitsrichtlinien und Gerätekonfigurationen zu überwachen. Sie können die Protokolle auch verwenden, wenn Sie auf einen fortgesetzten und vorsätzlichen Angriff reagieren, um die Quelladresse, das Gerät oder den Port des Datenverkehrs des Angreifers zu identifizieren. Sie können die Protokollierung verschiedener Ereignisebenen konfigurieren, von nur kritischen Ereignissen bis hin zu allen Ereignissen, einschließlich Informationsereignissen. Sie können dann den Inhalt der Systemprotokolldateien entweder in Echtzeit oder zu einem späteren Zeitpunkt überprüfen.

Das Debuggen und die Fehlerbehebung sind viel einfacher, wenn die Zeitstempel in den Systemprotokolldateien aller Geräte synchronisiert werden, da Ereignisse, die sich über das gesamte Netzwerk erstrecken, mit synchronen Einträgen in mehreren Protokollen korreliert werden können. Junos OS unterstützt das Network Time Protocol (NTP), das Sie auf dem Gerät aktivieren können, um die Systemuhren von Geräten und anderen Netzwerkgeräten zu synchronisieren. Standardmäßig wird NTP in einem nicht authentifizierten Modus ausgeführt. Sie können verschiedene Arten der Authentifizierung konfigurieren, einschließlich eines HMAC-MD5-Schemas.