Présentation de Junos OS

Un seul système d’exploitation

Contrairement à d’autres systèmes d’exploitation réseau qui partagent un nom commun mais se scindent en de nombreux programmes différents, Junos OS est un système d’exploitation unique et cohérent qui est partagé par tous les équipements réseau et toutes les gammes de produits. Les ingénieurs de Juniper Networks peuvent ainsi développer des fonctionnalités logicielles une seule fois et les partager simultanément sur toutes les gammes de produits. Parce que les fonctionnalités sont communes à une source unique, elles sont généralement implémentées de la même manière pour toutes les gammes de produits, réduisant ainsi la formation nécessaire pour apprendre différents outils et méthodes pour chaque produit. Étant donné que tous les produits Juniper Networks utilisent la même base de code, l’interopérabilité entre les produits n’est pas un problème.

Une architecture logicielle modulaire

Bien que les modules individuels de Junos OS communiquent via des interfaces bien définies, chaque module s’exécute dans son propre espace mémoire protégé, ce qui empêche un module de perturber un autre. Cette séparation permet le redémarrage indépendant de chaque module si nécessaire. Contrairement aux systèmes d’exploitation monolithiques où un dysfonctionnement dans un module peut se répercuter sur d’autres modules et provoquer un plantage ou un redémarrage complet du système. Cette architecture modulaire offre alors des performances, une disponibilité élevées, une sécurité et une évolutivité des appareils que l’on ne trouve pas dans d’autres systèmes d’exploitation.

Le système d’exploitation Junos OS est préinstallé sur votre équipement Juniper Networks lorsque vous le recevez de l’usine. Ainsi, lorsque vous allumez l’appareil pour la première fois, tous les logiciels démarrent automatiquement. Il vous suffit de configurer le logiciel pour que l’appareil puisse participer au réseau.

Vous pouvez mettre à niveau le logiciel de l’appareil à mesure que de nouvelles fonctionnalités sont ajoutées ou que des problèmes logiciels sont résolus. Vous pouvez normalement obtenir un nouveau logiciel en téléchargeant les packages d’installation sur votre appareil ou sur un autre système de votre réseau local à partir de la page Web d’assistance de Juniper Networks. Vous installez ensuite la mise à niveau logicielle sur l’appareil.

Les plates-formes de routage Juniper Networks exécutent uniquement les fichiers binaires fournis par Juniper Networks et ne prennent actuellement pas en charge les fichiers binaires tiers. Chaque image Junos OS comprend un manifeste signé numériquement des exécutables qui ne sont enregistrés auprès du système que si la signature peut être validée. Junos OS n’exécutera aucun binaire sans signature enregistrée. Cette fonctionnalité protège le système contre les logiciels et activités non autorisés susceptibles de compromettre l’intégrité de votre appareil.

Démarrage sécurisé et chargeur de démarrage

Le processus de démarrage du système comprend plusieurs étapes, en commençant par l'activation du processeur en tant que processeur de démarrage, en communiquant avec le PCH pour faire fonctionner le système. Le processeur passe à la routine BIOS stockée dans la mémoire flash SPI principale. En cas de défaillance de la mémoire flash primaire, le FPGA de démarrage passe à la mémoire flash secondaire pour la récupération, mais il ne charge pas le chargeur de démarrage.

Le chargeur de démarrage joue un rôle essentiel dans le processus de démarrage du système, garantissant une exécution sûre et ordonnée du système d'exploitation. L'ordre de démarrage et des mécanismes tels que Secure Boot, USB, SSD et PXE boot offrent flexibilité et résilience à la procédure de démarrage du système. De plus, les configurations GRUB permettent aux utilisateurs de personnaliser et de dépanner le processus de démarrage selon les besoins

Le démarrage sécurisé est une amélioration significative de la sécurité du système basée sur la norme UEFI (voir le site Web Unified Extensible Firmware Interface Forum ). Il fonctionne en protégeant le BIOS lui-même contre la falsification ou la modification, puis en maintenant cette protection tout au long du processus de démarrage.

Le processus de démarrage sécurisé commence par Secure Flash, qui garantit que les modifications non autorisées ne peuvent pas être apportées au micrologiciel. Les versions autorisées de Junos OS portent une signature numérique produite directement par Juniper Networks ou par l’un de ses partenaires autorisés. À chaque étape du processus de démarrage, chaque composant vérifie que le lien suivant est bien valide en vérifiant la signature pour s’assurer que les fichiers binaires n’ont pas été modifiés. Le processus de démarrage ne peut pas continuer tant que la signature n’est pas correcte. Cette « chaîne de confiance » se poursuit jusqu’à ce que le système d’exploitation prenne le contrôle. De cette manière, la sécurité globale du système est améliorée, ce qui augmente la résistance à certaines menaces persistantes basées sur le firmware.

La figure 1 présente une version simplifiée de cette « chaîne de confiance ».

La mise en œuvre de Secure Boot ne nécessite aucune action de votre part. Elle est implémentée par défaut sur le matériel pris en charge.

Pour plus d’informations sur les versions de Junos OS et le matériel prenant en charge le démarrage sécurisé, reportez-vous à l’Explorateur de fonctionnalités et entrez Secure Boot.

Racine de confiance matérielle

La racine de confiance matérielle (HRoT) est une fonctionnalité de sécurité matérielle intégrée au système, qui agit comme une base fiable pour vérifier l’intégrité du firmware et garantir son fonctionnement sécurisé. Cette fonctionnalité fournit une racine de confiance inaltérable à partir du matériel, protégeant contre les vulnérabilités de sécurité potentielles au sein du système. Le HRoT agit comme un composant essentiel pour garantir l’authenticité du firmware et de la configuration du système.

Contrairement aux mécanismes de confiance basés sur des logiciels, le HRoT est implémenté directement dans le matériel, ce qui le rend très résistant aux falsifications. La fonction principale du HRoT est de vérifier l'intégrité du firmware, en s'assurant qu'il n'a pas été compromis ou modifié sans autorisation. Cette fonctionnalité est utilisée pour implémenter un processus de démarrage sécurisé où seul un micrologiciel vérifié et fiable peut être chargé.

Conformité à la norme de sécurité FIPS 140-2

Pour une sécurité réseau avancée, une version spéciale de Junos OS, appelée Junos-FIPS 140-2, est disponible. Junos-FIPS 140-2 fournit aux clients des outils logiciels pour configurer un réseau d’appareils Juniper Networks dans un environnement FIPS. La prise en charge FIPS comprend :

• Package de mise à niveau pour convertir Junos OS vers Junos-FIPS 140-2

• Procédures d’installation et de configuration révisées

• Sécurité renforcée pour l’accès à distance

• Rôles des utilisateurs FIPS (responsable de la cryptographie, utilisateur et maintenance)

• Journalisation système spécifique à la norme FIPS et messages d’erreur

• Configuration IPsec pour la communication entre moteur de routage et moteur de routage

• Création et chiffrement améliorés des mots de passe

Junos-FIPS est regroupé dans une image domestique uniquement : une seule image Junos OS prend en charge les fonctionnalités nationales et FIPS. Les utilisateurs disposant des informations d’identification FIPS et de l’autorisation de connexion peuvent basculer entre une image Junos standard et une image FIPS.