Junos OS-Standardeinstellungen für Gerätesicherheit

Junos OS schützt mit den folgenden Standardeinstellungen vor häufigen Schwachstellen bei Netzwerkgeräten:

• Junos OS leitet keine gerichteten Broadcast-Nachrichten weiter. Gezielte Broadcast-Services senden Ping-Anfragen von einer gefälschten Quelladresse an eine Broadcast-Adresse und können für Angriffe auf andere Internetbenutzer verwendet werden. Wenn beispielsweise Broadcast-Ping-Nachrichten auf dem 200.0.0.0/24-Netzwerk zulässig waren, könnte eine einzelne Ping-Anfrage bis zu 254 Antworten an die vermeintliche Quelle des Pings führen. Die Quelle würde tatsächlich Opfer eines Denial-of-Service -Angriffs (DoS) werden.

• Im Allgemeinen ist standardmäßig nur der Konsolenzugriff auf das Gerät aktiviert. Der Remote-Verwaltungszugriff auf das Gerät und alle Verwaltungszugriffsprotokolle, einschließlich Telnet, FTP und SSH (Secure Shell), sind standardmäßig deaktiviert, es sei denn, die Geräteeinrichtung umfasst speziell eine werkseitig installierte DHCP-Konfiguration.

• Junos OS unterstützt die SNMP-Set-Funktion zum Bearbeiten von Konfigurationsdaten nicht. Obwohl die Software die SNMP-Set-Funktion zur Überwachung und Fehlerbehebung des Netzwerks unterstützt, deckt diese Unterstützung keine bekannten Sicherheitsprobleme auf. (Sie können die Software so konfigurieren, dass diese SNMP-Set-Funktion deaktiviert wird.)

• Junos OS ignoriert marsianische (absichtlich nicht routingfähige) IP-Adressen, die die folgenden Präfixe enthalten: 0.0.0.0/8, 127.0.0.0/8, 128.0.0.0/16, 191.255.0.0/16, 192.0.0.0/24, 223.255.55.0/24 und 240.0.0.0/4. Marsadressen sind reservierte Host- oder Netzwerkadressen, bei denen alle Routing-Informationen ignoriert werden sollten.