デバイスセキュリティのためのJunos OSデフォルト設定

Junos OSは、以下のデフォルト設定で、一般的なネットワークデバイスのセキュリティの弱点から保護します。

• Junos OS は、ダイレクト ブロードキャスト メッセージを転送しません。ダイレクトブロードキャストサービスは、なりすましの送信元アドレスからブロードキャストアドレスにpingリクエストを送信し、他のインターネットユーザーを攻撃するために使用される可能性があります。たとえば、200.0.0.0/24 ネットワークでブロードキャスト ping メッセージが許可されている場合、1 つの ping 要求で、想定される ping の送信元に対して最大 254 の応答が返される可能性があります。ソースは実際にサービス拒否(DoS)攻撃の犠牲者になります。

• 通常、デフォルトでは、デバイスへのコンソール アクセスのみが有効になっています。デバイスのセットアップに工場出荷時のDHCP設定が特に含まれていない限り、デバイスおよびTelnet、FTP、SSH(セキュアシェル)を含むすべての管理アクセスプロトコルへのリモート管理アクセスはデフォルトで無効になっています。

• Junos OS は、設定データを編集するための SNMP セット機能をサポートしていません。本ソフトウェアは、ネットワークの監視とトラブルシューティングのための SNMP セット機能をサポートしていますが、このサポートによって既知のセキュリティ上の問題は発生しません。(ソフトウェアを設定して、このSNMPセット機能を無効にすることができます)。

• Junos OS は、0.0.0.0/8、127.0.0.0/8、128.0.0.0/16、191.255.0.0/16、192.0.0.0/24、223.255.55.0/24、240.0.0.0/4 のプレフィックスを含む martian (意図的にルーティングできない) IP アドレスを無視します。Martian アドレスは、すべてのルーティング情報を無視する必要がある予約済みのホストまたはネットワークアドレスです。