Junos Space의 디바이스 인증 개요

자격 증명 기반 디바이스 인증

Junos Space 설정에서 자격 증명 기반 인증을 구성하려면 관리자 권한이 있는 디바이스 로그인 자격 증명이 디바이스에 구성되어 있는지 확인해야 합니다. 디바이스에 연결할 수 있고 자격 증명이 인증된 경우, 이러한 자격 증명은 Junos Space 플랫폼 데이터베이스에 저장됩니다. Junos Space 플랫폼은 이러한 자격 증명을 사용하여 디바이스에 연결합니다. Junos Space 설정에서 키 기반 인증을 구성한 경우, 디바이스에 액세스하려면 사용자 이름만 입력하면 됩니다.

키 기반 디바이스 인증

Junos Space 네트워크 관리 플랫폼 릴리스 16.1R1부터 Junos Space 플랫폼은 4096비트 RSA(Rivest-Shamir-Adleman) 알고리즘, DSS(Digital Signature Standard) 및 ECDSA(Elliptic Curve Digital Signature Algorithm) 공개 키 암호화 원칙을 지원하여 키 기반 인증을 통해 Junos OS를 실행하는 디바이스를 인증합니다. Junos Space 플랫폼은 2048비트 RSA 알고리즘을 계속 지원합니다. 디바이스 자격 증명을 Junos Space 플랫폼 데이터베이스에 저장할 필요가 없기 때문에 키 기반 인증은 자격 증명 기반 인증보다 더 안전합니다.

RSA는 수학적으로 관련된 두 개의 키를 사용하는 비대칭 키 또는 공개 키 알고리즘입니다. Junos Space 플랫폼에는 기본 공개 및 개인 키 쌍 세트가 포함되어 있습니다. 공개 키는 매니지드 디바이스에 업로드할 수 있습니다. 개인 키는 암호화되어 Junos Space 플랫폼이 설치된 시스템에 저장됩니다. 보안을 강화하려면 암호를 사용하여 고유한 공개 및 개인 키 쌍을 생성하는 것이 좋습니다. 패스프레이즈는 Junos Space 서버의 프라이빗 키를 보호합니다. 긴 암호를 만드는 것은 짧은 암호보다 무차별 암호 대입 공격으로 해독하기가 더 어려울 수 있습니다. 암호는 공격자가 Junos Space 설정을 제어하고 관리되는 네트워크 디바이스에 로그인을 시도하는 것을 방지하는 데 도움이 됩니다. 새 키 쌍을 생성하면 Junos Space 키 기반 인증을 사용하는 모든 활성 디바이스(즉, 연결 상태가 업인 디바이스)에 키가 자동으로 업로드됩니다.

Junos Space 네트워크 관리 플랫폼 릴리스 16.1R1부터는 Junos Space 플랫폼에서 디바이스로 키를 업로드할 필요 없이 Junos Space 서버에 사용자 지정 프라이빗 키를 업로드하고 디바이스를 인증할 수도 있습니다. 사용자 지정 키 기반 인증 방법을 사용하면 암호가 포함된 프라이빗 키를 Junos Space 서버에 업로드할 수 있습니다. 디바이스는 디바이스의 기존 공개 키 세트, Junos Space 서버에 업로드된 프라이빗 키 및 적절한 공개 키 알고리즘(즉, RSA, ECDSA 또는 DSS)을 사용하여 인증됩니다. 이 인증 방법은 장치 검색 중 및 나중에 장치 관리 중에 장치를 인증하는 데 사용할 수 있습니다.

키가 수정되면 디바이스에 연결할 수 없게 되고 인증 상태가 키 충돌로 변경됩니다. 키 충돌 해결 워크플로를 사용하여 이러한 디바이스에 새 키를 업로드하는 프로세스를 수동으로 트리거할 수 있습니다. 디바이스를 인증하기 위해 Junos Space 플랫폼에서 생성된 새 키를 업로드하거나 사용자 지정 키를 사용하도록 선택할 수 있습니다. Junos Space 키 기반 또는 사용자 지정 키 기반 인증이 실패하면 자격 증명 기반 인증이 자동으로 트리거됩니다.

키 기반 또는 사용자 지정 키 기반 인증이 활성화된 후, 디바이스와의 모든 추가 통신은 암호 없이 Junos Space 키 기반 또는 사용자 지정 키 기반 인증을 통해 이루어집니다. 관리 중인 디바이스의 인증 모드를 자격 증명 기반에서 키 기반 또는 사용자 지정 키 기반으로 변경할 수도 있습니다. 자세한 내용은 디바이스의 인증 모드 수정을 참조하십시오.

Junos Space 플랫폼에서 키 기반 인증을 사용하려면 다음 사항을 확인해야 합니다.

• 인증 키는 관리 작업 영역에서 생성됩니다. 키를 생성하고 장치에 업로드하는 방법에 대한 자세한 내용은 인증 키 생성 및 장치에 업로드를 참조하십시오. 작업 결과는 키가 디바이스에 성공적으로 업로드되었는지 여부를 나타냅니다. 다중 노드 설정에서는 모든 기존 클러스터 노드에서 인증 키를 사용할 수 있습니다. 인증 키는 설정에 추가된 모든 후속 노드에서도 사용할 수 있습니다.

• 디바이스의 관리자 자격 증명과 Junos Space 어플라이언스에 연결하여 디바이스에 키를 업로드하는 사용자의 이름을 사용할 수 있습니다.

SSH 지문 기반 디바이스 인증

Junos Space 플랫폼은 Junos Space 플랫폼과 디바이스 간의 메시지 가로채기(man-in-the-middle) 공격 또는 프록시 SSH 연결을 방지하기 위해 디바이스의 SSH 지문을 Junos Space 플랫폼 데이터베이스에 저장하고 디바이스와의 후속 연결 중에 지문을 검증할 수 있습니다. 지문은 콜론으로 구분된 16개의 16진수 옥텟 시퀀스입니다. 예를 들어 c1:b1:30:29:d7:b8:de:6c:97:77:10:d7:46:41:63:83과 같습니다. 디바이스 검색 중에 주니퍼 네트웍스 디바이스의 지문을 지정하고 디바이스가 Junos Space 플랫폼에 처음 연결될 때 지문을 검증할 수 있습니다. 장치 검색 워크플로에서 최대 1024개의 장치에 대한 지문을 동시에 지정할 수 있습니다. 지문을 지정하지 않으면 Junos Space 플랫폼은 디바이스에 처음 연결할 때 지문 세부 정보를 얻습니다. 자세한 내용은 관리되는 장치 보기를 참조하십시오.

Junos Space 플랫폼은 디바이스와의 활성 개방형 연결 중에 디바이스에서 SSH 지문 변경을 인식하지 못합니다. SSH 지문 변경은 디바이스가 Junos Space 플랫폼에 다시 연결될 때만 인식됩니다. Device Management(디바이스 관리) 페이지의 Authentication Status(인증 상태) 열에 충돌 또는 확인되지 않은 인증 상태가 표시됩니다.

Junos Space 플랫폼 데이터베이스에 저장된 SSH 지문과 디바이스에 저장된 SSH 지문 간의 충돌은 Junos Space 사용자 인터페이스에서 수동으로 해결할 수 있습니다. 또는 Junos Space 플랫폼이 지문 변경 사항을 자동으로 업데이트하도록 허용할 수 있습니다. Junos Space 플랫폼이 SSH 지문을 자동으로 업데이트하도록 허용하려면 관리 작업 공간의 애플리케이션 설정 수정 페이지에서 수동으로 지문 충돌 해결 확인란을 비활성화합니다. 이 확인란을 활성화하면 디바이스의 지문이 변경되면 인증 상태 열에 지문 충돌이 표시됩니다. 지문 충돌을 수동으로 해결해야 합니다. 자세한 내용은 디바이스에서 SSH 지문 확인을 참조하십시오.

Junos Space 플랫폼은 다음 작업을 수행할 때 디바이스의 지문이 데이터베이스의 지문과 일치하는지 확인합니다.

• 장치에서 스크립트 준비

• 장치에서 장치 이미지 준비

• 장치에 장치 이미지 배포

• 교체 장치 활성화

• 장치에서 스크립트 실행

• SSH를 사용하여 디바이스에 연결

디바이스의 지문이 Junos Space 플랫폼 데이터베이스에 저장된 지문과 일치하지 않으면 디바이스에 대한 연결이 끊어집니다. 디바이스 관리 페이지에서 연결 상태는 다운으로 표시되고 인증 상태는 지문 충돌로 표시됩니다.

Junos Space SSH에 지원되는 알고리즘

표 1 에는 Junos Space SSH에 대해 지원되는 알고리즘이 나와 있습니다.