Fonctionnalités Junos OS pour la sécurité des équipements

Méthodes d’accès distant pour la gestion des équipements

Lorsque vous installez Junos OS pour la première fois, tous les accès distants à l’équipement sont désactivés, garantissant ainsi que l’accès à distance n’est possible que s’il est activé délibérément par un utilisateur autorisé. Vous pouvez établir une communication à distance avec un équipement de l’une des façons suivantes :

• Gestion hors bande : permet la connexion à l’équipement via une interface dédiée à la gestion des équipements. Les équipements Juniper Networks prennent en charge la gestion hors bande avec une interface Ethernet de gestion dédiée, ainsi que la console EIA-232 et les ports auxiliaires. Sur tous les équipements autres que les équipements TX Matrix Plus, T1600, T1600 ou T4000 connectés à un équipement TX Matrix Plus dans une matrice de routage et aux routeurs de transport de paquets PTX Series, l’interface de gestion est fxp0. Sur les équipements TX Matrix Plus, T1600, T1600 ou T4000 dans une matrice de routage et les routeurs de transport de paquets PTX Series, l’interface Ethernet de gestion est étiquetée em0. L’interface Ethernet de gestion se connecte directement au moteur de routage. Aucun trafic de transit n’est autorisé via cette interface, ce qui permet de séparer complètement le trafic du client et de la gestion et de s’assurer que la congestion ou les défaillances du réseau de transit n’affectent pas la gestion de l’équipement.

• Gestion inband : permet de connecter les équipements à l’aide des mêmes interfaces à travers lesquelles le trafic client circule. Bien que cette approche soit simple et ne nécessite aucune ressource de gestion dédiée, elle présente deux inconvénients :

  • Les flux de gestion et les flux de trafic de transit sont mixtes. Tout trafic d’attaque mélangé au trafic normal peut affecter la communication avec l’équipement.

  • Les liaisons entre les composants de l’équipement peuvent ne pas être totalement fiables, ce qui entraîne la possibilité d’écoutes et d’attaques par rejeu.

Pour l’accès de gestion à l’équipement, les moyens standard de communiquer avec l’équipement à partir d’une console distante sont avec Telnet et SSH. SSH fournit des communications chiffrées sécurisées et est donc utile pour la gestion des équipements en bande. Telnet fournit un accès non chiffré et donc moins sécurisé à l’équipement.

Protocoles et méthodes d’authentification utilisateur pris en charge par Junos OS

Sur un équipement, vous pouvez créer des comptes d’identification d’utilisateur locaux pour contrôler qui peut se connecter à l’équipement et les privilèges d’accès dont ils disposent. Un mot de passe, soit une clé SSH ou un mot de passe Message Digest 5 (MD5), est associé à chaque compte d’identification. Pour définir des privilèges d’accès, vous créez des classes de connexion dans lesquelles vous regroupez les utilisateurs avec des tâches ou des fonctions similaires. Vous utilisez ces classes pour définir explicitement les commandes de leurs utilisateurs et les commandes qu’ils ne sont pas autorisés à émettre lorsqu’ils sont connectés à l’équipement.

La gestion de plusieurs équipements par un grand nombre de collaborateurs différents peut créer un problème de gestion de compte utilisateur. Une solution consiste à utiliser un service d’authentification central pour simplifier la gestion des comptes, en créant et en supprimant des comptes utilisateur uniquement sur un seul serveur central. Un système d’authentification central simplifie également l’utilisation de systèmes de mot de passe à usage unique tels que SecureID, qui offrent une protection contre le reniflement de mot de passe et les attaques par rejouation de mot de passe (attaques dans lesquelles une personne utilise un mot de passe capturé pour se faire passer pour un administrateur d’équipement).

Junos OS prend en charge deux protocoles pour l’authentification centralisée des utilisateurs sur plusieurs équipements :

• Contrôleur d’accès terminal Système de contrôle d’accès Plus (TACACS+).

• Radius (Remote Authentication Dial-In User Service), une norme IETF multifournisseur dont les fonctionnalités sont plus largement acceptées que celles de TACACS+ ou d’autres systèmes propriétaires. Tous les fournisseurs de systèmes de mot de passe à temps unique prennent en charge RADIUS.

Junos OS prend également en charge les méthodes d’authentification suivantes :

• Internet Protocol Security (IPsec). L’architecture IPsec fournit une suite de sécurité pour les couches réseau IPv4 et IPv6. La suite fournit des fonctionnalités telles que l’authentification de l’origine, l’intégrité des données, la confidentialité, la protection contre les replays et la non-répudiation de la source. En plus de l’IPsec, Junos OS prend en charge l’Internet Key Exchange (IKE), qui définit les mécanismes de génération et d’échange de clés, et gère les associations de sécurité (AS).

• Authentification MD5 des sessions d’appairage MSDP. Cette authentification offre une protection contre l’introduction de paquets usurpés dans une session d’appairage.

• Authentification et chiffrement SNMPv3. SNMPv3 utilise le modèle de sécurité basé sur l’utilisateur (USM) pour la sécurité des messages et le modèle de contrôle d’accès basé sur la vue (VACM) pour le contrôle d’accès. USM spécifie l’authentification et le chiffrement. VACM spécifie des règles de contrôle d’accès.

Exigences de mot de passe en texte clair Junos OS

Junos OS a des exigences particulières lorsque vous créez des mots de passe en texte brut sur un équipement. Les exigences par défaut pour les mots de passe en texte clair sont les suivantes :

• Le mot de passe doit comporter entre 6 et 128 caractères.

• Vous pouvez inclure des majuscules, des minuscules, des chiffres, des marques de ponctuation et l’un des caractères spéciaux suivants : ! @ # $ % ^ & * , + = < > : ; Les caractères de contrôle ne sont pas recommandés.

• Le mot de passe doit contenir au moins un changement de case ou de classe de caractères.

Vous pouvez modifier les exigences pour les mots de passe en texte clair.

Vous pouvez inclure l’instruction plain-text-password aux niveaux hiérarchiques suivants :

• [edit system diag-port-authentication]

• [edit system pic-console-authentication]

• [edit system root-authentication]

• [edit system login user username authentication]

Prise en charge de Junos OS pour les fonctionnalités de sécurité du protocole de routage et IPsec

La tâche principale d’un équipement est de transférer le trafic utilisateur vers sa destination prévue en fonction des informations contenues dans les tables de routage et de transfert de l’équipement. Vous pouvez configurer des stratégies de routage qui définissent les flux d’informations de routage à travers le réseau, en contrôlant les routes que les protocoles de routage placent dans les tables de routage et les routes qu’ils annoncent à partir des tables. Vous pouvez également utiliser des stratégies de routage pour modifier les caractéristiques de route spécifiques, modifier les valeurs d’amortissement des volets de route BGP, effectuer l’équilibrage de charge par paquet et activer la classe de service (CoS).

Les attaquants peuvent envoyer des paquets de protocole falsifiés à un équipement dans l’intention de modifier ou de corrompre le contenu de sa table de routage ou d’autres bases de données, ce qui peut dégrader les fonctionnalités de l’équipement. Pour éviter de telles attaques, vous devez vous assurer que les équipements forment des relations d’appairage de protocole de routage ou de voisinage avec des pairs de confiance. L’un des moyens d’y parvenir consiste à authentifier les messages du protocole de routage. Les protocoles Junos OS BGP, IS-IS, OSPF, RIP et RSVP prennent tous en charge l’authentification HMAC-MD5, qui utilise une clé secrète associée aux données protégées pour calculer un hachage. Lorsque les protocoles envoient des messages, le hachage calculé est transmis avec les données. Le destinataire utilise la clé correspondante pour valider le hachage du message.

Junos OS prend en charge la suite de sécurité IPsec pour les couches réseau IPv4 et IPv6. La suite fournit des fonctionnalités telles que l’authentification de l’origine, l’intégrité des données, la confidentialité, la protection contre les replays et la non-répudiation de la source. Junos OS prend également en charge l’IKE, qui définit les mécanismes de génération et d’échange de clés, et gère les SAs.

Prise en charge de Junos OS pour les filtres de pare-feu

Les filtres de pare-feu vous permettent de contrôler les paquets transitant par l’équipement vers une destination réseau et les paquets destinés et envoyés par l’équipement. Vous pouvez configurer des filtres de pare-feu pour contrôler les paquets de données acceptés et transmis à partir des interfaces physiques, ainsi que les paquets locaux transmis à partir des interfaces physiques et du moteur de routage. Les filtres de pare-feu permettent de protéger votre équipement contre un trafic excessif. Les filtres de pare-feu qui contrôlent les paquets locaux peuvent également protéger votre équipement contre les agressions externes, telles que les attaques DoS.

Pour protéger le moteur de routage, vous pouvez configurer un filtre de pare-feu uniquement sur l’interface de bouclage de l’équipement. Il n’est pas nécessaire d’ajouter ou de modifier des filtres pour chaque interface sur l’équipement. Vous pouvez concevoir des filtres de pare-feu pour vous protéger contre les inondations SYN (Transmission Control Protocol et ICMP) et pour limiter le trafic envoyé au moteur de routage.

Junos OS prend en charge la protection par déni de service distribué

Une attaque par déni de service est une tentative visant à refuser aux utilisateurs valides l’accès aux ressources du réseau ou du serveur en utilisant toutes les ressources de l’élément ou du serveur réseau. Les attaques par déni de service distribuées impliquent une attaque provenant de sources multiples, ce qui permet d’attaquer le réseau en quantité beaucoup plus importante. Les attaques utilisent généralement des paquets de contrôle de protocole réseau pour déclencher un grand nombre d’exceptions au plan de contrôle de l’équipement. Il en résulte une charge de traitement excessive qui perturbe les opérations réseau normales.

La protection DDoS de Junos OS permet à l’équipement de continuer à fonctionner en cas d’attaque. Il identifie et supprime les paquets de contrôle malveillants tout en permettant de traiter le trafic de contrôle légitime. Un point unique de gestion de la protection DDoS permet aux administrateurs réseau de personnaliser les profils pour leur trafic de contrôle réseau. La protection et la surveillance persistent dans les commutateurs GRES (Graceful Routing Engine Switchover) et issu (Unified In-Service Software-Upgrade). La protection n’est pas diminuée à mesure que le nombre d’abonnés augmente.

Pour vous protéger contre les attaques DDoS, vous pouvez configurer des polices pour le trafic d’exception lié à l’hôte. Les contrôles spécifient des limites de débit pour chaque type de paquets de contrôle de protocole ou pour tous les types de paquets de contrôle d’un protocole. Vous pouvez surveiller les actions de police pour les types de paquets et les groupes de protocoles au niveau de l’équipement, du moteur de routage et des cartes d’interface. Vous pouvez également contrôler la journalisation des événements de police.

La détection des flux est une amélioration de la protection DDoS qui complète les hiérarchies de police DDoS en utilisant une quantité limitée de ressources matérielles pour surveiller le taux d’arrivée des flux de trafic de contrôle liés à l’hôte. La détection de flux est beaucoup plus évolutive qu’une solution basée sur des filtres de contrôle. Les filtrages surveillent tous les flux, ce qui consomme une quantité considérable de ressources. En revanche, la détection de flux ne fait que suivre les flux qu’elle identifie comme suspects, en utilisant beaucoup moins de ressources pour le faire.

L’application de détection de flux a deux composants interdépendants, la détection et le suivi. La détection est le processus par lequel les flux suspects d’être inappropriés sont identifiés et contrôlés par la suite. Le suivi est le processus par lequel les flux sont suivis pour déterminer s’ils sont réellement hostiles et quand ces flux se rétablissent dans les limites acceptables.

Prise en charge de l’audit Junos OS pour la sécurité

Junos OS enregistre les événements importants qui se produisent sur l’équipement et au sein du réseau. Bien que la journalisation elle-même n’augmente pas la sécurité, vous pouvez utiliser les journaux système pour surveiller l’efficacité de vos stratégies de sécurité et des configurations d’équipements. Vous pouvez également utiliser les journaux lorsque vous réagissez à une attaque continue et délibérée pour identifier l’adresse source, l’équipement ou le port du trafic de l’attaquant. Vous pouvez configurer la journalisation de différents niveaux d’événements, des événements critiques uniquement à tous les événements, y compris les événements informationnels. Vous pouvez ensuite inspecter le contenu des fichiers journaux système en temps réel ou ultérieurement.

Le débogage et le dépannage sont beaucoup plus faciles lorsque les horodatages des fichiers journaux du système de tous les équipements sont synchronisés, car les événements qui couvrent le réseau peuvent être corrélés avec des entrées synchrones dans plusieurs journaux. Junos OS prend en charge le protocole NTP (Network Time Protocol), que vous pouvez activer sur l’équipement pour synchroniser les horloges système des équipements et d’autres équipements réseau. Par défaut, NTP fonctionne en mode non authentifié. Vous pouvez configurer différents types d’authentification, y compris un schéma HMAC-MD5.