Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

デバイス セキュリティ向け Junos OS 機能

デバイスセキュリティは、ハードウェアの物理的なセキュリティ、オペレーティングシステムのセキュリティ、設定によって影響を受ける可能性のあるセキュリティの3つの主要な要素で構成されています。

物理的なセキュリティでは、デバイスへのアクセスを制限します。遠隔地から簡単に防御できる悪用は、攻撃者がデバイスの管理ポートまたはコンソールにアクセスできるかどうかを防ぐのは非常に困難または不可能です。Junos OS 固有のセキュリティは、ルーターのセキュリティにも重要な役割を果たします。Junos OS は非常に安定性と堅牢性に優れ、攻撃から保護する機能を備えており、脆弱性を最小限に抑えるようにデバイスを設定できます。

デバイスのセキュリティを向上させる Junos OS 機能を以下に示します。

デバイス管理のリモート アクセス方法

Junos OS を初めてインストールすると、デバイスへのすべてのリモート アクセスが無効になります。これにより、承認されたユーザーが意図的に有効にしている場合にのみリモート アクセスが可能になります。デバイスとのリモート通信は、次のいずれかの方法で確立できます。

  • アウトオブバンド管理:デバイス管理専用のインターフェイスを介してデバイスに接続できます。ジュニパーネットワークスのデバイスは、専用の管理イーサネット インターフェイスのほか、EIA-232 コンソールポートと補助ポートを使用してアウトオブバンド管理をサポートします。TX Matrix Plus、T1600、T1600、T4000 デバイス以外のすべてのデバイスで、ルーティング マトリクス内の TX Matrix Plus デバイスと PTX シリーズ パケット トランスポート ルーターに接続された場合、管理インターフェイスは fxp0 です。TX マトリクス プラス、ルーティング マトリクス内の T1600、T1600、T4000 デバイス、PTX シリーズ パケット トランスポート ルーターでは、管理イーサネット インターフェイスには em0 とラベル付けされます。管理イーサネット インターフェイスは、ルーティング エンジンに直接接続します。このインターフェイスを介してトランジットトラフィックを許可されないため、顧客と管理トラフィックを完全に分離し、トランジットネットワークの輻輳や障害がデバイスの管理に影響を与えないことを保証します。

  • 帯域内管理:顧客のトラフィックが流れるのと同じインターフェイスを使用して、デバイスへの接続を有効にします。このアプローチはシンプルで、専用の管理リソースは必要ありませんが、2 つのデメリットがあります。

    • 管理フローとトランジット トラフィック フローが混在しています。通常のトラフィックと混在する攻撃トラフィックは、デバイスとの通信に影響を与える可能性があります。

    • デバイス コンポーネント間のリンクは完全に信頼できない可能性があり、盗聴攻撃やリプレイ攻撃の可能性が生じる可能性があります。

デバイスへの管理アクセスの場合、リモートコンソールからデバイスと通信する標準的な方法はTelnetおよびSSHです。SSHはセキュアな暗号化通信を提供するため、帯域内デバイス管理に役立ちます。Telnet は暗号化されていない状態でデバイスへのアクセスを提供するため、安全性が低下します。

Junos OS でサポートされるユーザー認証用のプロトコルと方法

デバイス上でローカル ユーザー ログイン アカウントを作成して、デバイスにログインできるユーザーと、そのユーザーが持つアクセス権限を制御できます。パスワード(SSHキーまたはMD5(Message Digest 5)パスワードのいずれか)は、各ログインアカウントに関連付けられています。アクセス権限を定義するには、類似のジョブまたはジョブ機能でユーザーをグループ化するログインクラスを作成します。これらのクラスを使用して、ユーザーがどのようなコマンドを明示的に定義し、デバイスにログインしている間に発行することは許可されません。

多数の異なる人によって複数のデバイスを管理すると、ユーザー アカウント管理の問題が発生する可能性があります。1 つのソリューションは、一元的な認証サービスを使用してアカウント管理を簡素化し、1 つの中央サーバーでのみユーザー アカウントを作成および削除することです。また、中央認証システムは、SecureIDなどのワンタイムパスワードシステムの使用を簡素化します。このシステムは、パスワードスニッフィング攻撃やパスワードリプレイ攻撃(キャプチャされたパスワードを使用してデバイス管理者を装う攻撃)に対する保護を提供します。

Junos OSは、複数のデバイス上のユーザーを一元的に認証するための2つのプロトコルをサポートしています。

  • Terminal Access Controller Access Control System Plus(TACACS+)。

  • リモート認証ダイヤルインユーザーサービス(RADIUS)は、TACACS+やその他の独自システムよりも広く受け入れられているマルチベンダーIETF標準です。すべてのワンタイムパスワード システム ベンダーは、RADIUS をサポートしています。

Junos OS は、以下の認証方法もサポートしています。

  • IPsec(インターネット プロトコル セキュリティ)。IPsecアーキテクチャは、IPv4およびIPv6ネットワークレイヤーにセキュリティスイートを提供します。このスイートは、送信元の認証、データ整合性、機密性、リプレイ保護、送信元否否防止などの機能を提供します。Junos OS は、IPsec に加え、鍵の生成と交換のメカニズムを定義する IKE(インターネット鍵交換)をサポートし、SA(セキュリティ アソシエーション)を管理します。

  • MSDPピアリングセッションのMD5認証。この認証は、ピアリング セッションに導入されたスプーフィングされたパケットに対する保護を提供します。

  • SNMPv3 認証と暗号化。SNMPv3では、メッセージセキュリティにUSM(ユーザーベースのセキュリティモデル)を使用し、アクセス制御にはビューベースのアクセス制御モデル(VACM)を使用します。USM は、認証と暗号化を指定します。VACM は、アクセス制御ルールを指定します。

Junos OS プレーンテキスト パスワード要件

デバイス上でプレーンテキストパスワードを作成する場合、Junos OSには特別な要件があります。プレーンテキスト パスワードのデフォルト要件は次のとおりです。

  • パスワードの長さは6~128文字にする必要があります。

  • 大文字、小文字、数字、句読点、および以下の特殊文字のいずれかを使用できます。 ! @ # $ % ^ & * 、 + = < >: 制御文字は推奨されません。

  • パスワードには、大文字/小文字または文字クラスを1つ以上変更する必要があります。

プレーンテキスト パスワードの要件を変更できます。

以下の plain-text-password 階層レベルで ステートメントを含めることができます。

  • [edit system diag-port-authentication]

  • [edit system pic-console-authentication]

  • [edit system root-authentication]

  • [edit system login user username authentication]

ルーティング プロトコル セキュリティ機能と IPsec に対応した Junos OS のサポート

デバイスの主なタスクは、デバイスのルーティングテーブルと転送テーブル内の情報に基づいて、ユーザートラフィックを意図した宛先に転送することです。ネットワークを介したルーティング情報のフローを定義するルーティングポリシーを設定し、ルーティングプロトコルがルーティングテーブルに配置するルートと、それらがテーブルからアドバタイズするルートを制御することができます。また、ルーティングポリシーを使用して、特定のルート特性の変更、BGPルートのフラップダンピング値の変更、パケット単位のロードバランシングの実行、 サービスクラス (CoS)の有効化を行うことができます。

攻撃者は、ルーティング テーブルやその他のデータベースの内容を変更または破損させる意図で、鍛造プロトコル パケットをデバイスに送信でき、デバイスの機能が低下する可能性があります。このような攻撃を防ぐには、デバイスがルーティング プロトコル ピアリングまたは信頼できるピアとの隣接関係を形成していることを確認する必要があります。これを行う方法の1つは、ルーティングプロトコルメッセージを認証することです。Junos OS BGP、IS-IS、OSPF、RIP、RSVPプロトコルはすべてHMAC-MD5認証をサポートしており、秘密鍵と保護されているデータを組み合わせてハッシュを計算します。プロトコルがメッセージを送信すると、計算されたハッシュがデータとともに送信されます。受信側は、一致するキーを使用してメッセージハッシュを検証します。

Junos OSは、IPv4およびIPv6ネットワーク層向けのIPsecセキュリティスイートをサポートしています。このスイートは、送信元の認証、データ整合性、機密性、リプレイ保護、送信元否否防止などの機能を提供します。Junos OSは、鍵の生成と交換のメカニズムを定義し、SAを管理するIKEもサポートしています。

ファイアウォールフィルター向けJunos OSサポート

ファイアウォールフィルターでは、デバイスをネットワークの宛先に転送するパケットと、デバイス宛てに送信されるパケットとデバイスによって送信されるパケットを制御できます。ファイアウォールフィルターを設定して、物理インターフェイスで受け入れられ、物理インターフェイスから送信されるデータパケットと、物理インターフェイスとルーティングエンジンから送信されるローカルパケットを制御できます。ファイアウォール フィルターは、デバイスを過剰なトラフィックから保護する手段を提供します。ローカルパケットを制御するファイアウォールフィルターは、DoS攻撃などの外部の攻撃からデバイスを保護することもできます。

ルーティングエンジンを保護するために、デバイスのループバックインターフェイスでのみ ファイアウォールフィルター を設定できます。デバイス上の各インターフェイスのフィルターを追加または変更する必要はありません。ICMP および TCP(Transmission Control Protocol)接続要求(SYN)フラッドから保護し、ルーティング エンジンに送信されるトラフィックをレート制限するために、ファイアウォール フィルターを設計できます。

Junos OSは分散型サービス拒否防御をサポート

サービス拒否攻撃とは、ネットワーク要素またはサーバーのすべてのリソースを使用して、有効なユーザーがネットワークまたはサーバーリソースへのアクセスを拒否しようとする試みです。分散型サービス拒否攻撃は、複数のソースからの攻撃を伴い、ネットワークを攻撃するトラフィック量を大幅に増やすことができます。この攻撃は通常、ネットワーク プロトコル制御パケットを使用して、デバイスの制御プレーンに対する多数の例外をトリガーします。その結果、処理負荷が過度に高くなり、通常のネットワーク運用が中断します。

Junos OS DDoS 攻撃を受けている間もデバイスは機能し続けることができます。悪意のある制御パケットを特定して抑制すると同時に、正当な制御トラフィックの処理を可能にします。ネットワーク管理者は、DDoS防御を一元管理することで、ネットワーク制御トラフィックのプロファイルをカスタマイズできます。グレースフル ルーティング エンジン スイッチオーバー(GRES)と統合型 ISSU(インサービス ソフトウェア アップグレード)スイッチオーバーでは、保護と監視が持続します。加入者数が増えるにつれて保護は減少しません。

DDoS攻撃から保護するために、ホストバウンド例外トラフィックにポリサーを設定できます。ポリサーは、個々のプロトコル制御パケットのタイプまたはプロトコルのすべての制御パケットタイプにレート制限を指定します。パケット タイプとプロトコル グループのポリサー アクションは、デバイス、ルーティング エンジン、ライン カードのレベルで監視できます。また、ポリサー イベントのログ記録を制御することもできます。

フロー検出は、DDoS 防御の強化です。限られた量のハードウェア リソースを使用して、制御トラフィックのホストバウンド フローの到着レートを監視することで、DDoS ポリサー階層を補完します。フロー検出は、フィルター ポリサーをベースにしたソリューションよりもはるかに拡張性に優れています。フィルター ポリサーはすべてのフローを追跡し、大量のリソースを消費します。対照的に、フロー検出では疑わしいと識別されたフローのみを追跡します。そのためのリソースははるかに少なくてすみます。

フロー検出アプリケーションには、検知と追跡という 2 つの相互に関連するコンポーネントがあります。検知とは、不適切であると疑われるフローを特定し、その後制御するプロセスです。追跡とは、フローが本当に敵対的かどうかを判断し、それらのフローが許容可能な制限内に回復するタイミングを決定するプロセスです。

セキュリティのためのJunos OS監査サポート

Junos OSは、デバイスとネットワーク内で発生する重要なイベントをログに記録します。ロギング自体はセキュリティを向上させるものではありませんが、システムログを使用して、セキュリティポリシーとデバイス設定の有効性を監視できます。また、攻撃者のトラフィックの送信元アドレス、デバイス、ポートを特定する手段として、継続的かつ慎重な攻撃に対応する際にログを使用することもできます。重要なイベントのみから、情報イベントを含むすべてのイベントまで、異なるレベルのイベントのロギングを設定できます。その後、リアルタイムまたはそれ以降でシステム ログ ファイルの内容を検査できます。

すべてのデバイスのシステム ログ ファイルのタイムスタンプを同期すると、ネットワークをまたがるイベントが複数のログの同期エントリと関連付けされる可能性があるため、デバッグとトラブルシューティングがはるかに簡単になります。Junos OSはNTP(Network Time Protocol)をサポートしており、デバイス上でデバイスやその他のネットワーク機器のシステムクロックを同期させることができます。デフォルトでは、NTP は非認証モードで動作します。HMAC-MD5 スキームなど、さまざまなタイプの認証を設定できます。