Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Junos Space의 장비 인증 개요

Junos Space 네트워크 관리 플랫폼은 자격 증명(사용자 이름 및 암호), 키(공용 키 암호화 원리 사용), 디바이스의 SSH 지문을 사용하여 디바이스를 인증할 수 있습니다. 매니지드 디바이스에 필요한 보안 수준을 기준으로 인증 모드를 선택할 수 있습니다. 인증 모드는 장비 관리 페이지의 Authentication Status 열에 표시됩니다. 인증 모드도 변경할 수 있습니다.

다음 섹션에서는 Junos Space 플랫폼의 인증 모드에 대해 설명합니다.

자격 증명 기반 장비 인증

Junos Space 설정에서 자격 증명 기반 인증을 구성하려면 장치에서 관리 권한이 있는 장비 로그인 인증 정보를 구성해야 합니다. 장비에 도달하고 자격 증명이 인증되면 이러한 자격 증명이 Junos Space 플랫폼 데이터베이스에 저장됩니다. Junos Space 플랫폼은 이러한 자격 증명을 사용하여 디바이스에 연결합니다. Junos Space 설정에서 키 기반 인증을 구성한 경우 장비에 액세스하려면 사용자 이름만 입력해야 합니다.

키 기반 장비 인증

Junos Space 네트워크 관리 플랫폼 릴리스 16.1R1 이후부터 Junos Space Platform은 4096비트 RSA(Rivest-Shamir-Adleman) 알고리즘, DSS(Digital Signature Standard) 및 ECDSA(Elliptic Curve Digital Signature Algorithm) 공개 키 암호화 원칙을 지원하여 키 기반 인증을 통해 Junos OS를 실행하는 디바이스를 인증합니다. Junos Space 플랫폼은 2048비트 RSA 알고리즘을 계속 지원합니다. 장비 자격 증명을 Junos Space 플랫폼 데이터베이스에 저장할 필요가 없기 때문에 키 기반 인증은 자격 증명 기반 인증보다 더 안전합니다.

RSA는 수학적으로 관련된 두 개의 키를 사용하는 비대칭 키 또는 퍼블릭 키 알고리즘입니다. Junos Space 플랫폼에는 기본 퍼블릭 및 프라이빗 키 쌍 세트가 포함되어 있습니다. 공용 키를 매니지드 디바이스에 업로드할 수 있습니다. 전용 키는 암호화되어 Junos Space 플랫폼이 설치된 시스템에 저장됩니다. 추가적인 보안을 위해 패스프레이즈가 포함된 고유의 퍼블릭 및 프라이빗 키 쌍을 생성하는 것이 좋습니다. 패스프레이즈는 Junos Space 서버의 전용 키를 보호합니다. 긴 패스프레이스를 생성하는 것은 짧은 패스프레임보다 무차별적인 공격으로 돌파하기가 더 어려울 수 있습니다. 패스프레이즈는 공격자가 Junos Space 설정을 제어하고 매니지드 네트워크 디바이스에 로그인하는 것을 방지하는 데 도움이 됩니다. 새 키 쌍을 생성하면 Junos Space 키 기반 인증을 사용하는 모든 활성 디바이스(즉, 연결 상태가 상향 상태인 디바이스)에 키가 자동으로 업로드됩니다.

Junos Space 네트워크 관리 플랫폼 릴리스 16.1R1 이후부터 Junos Space 서버에 사용자 지정 전용 키를 업로드하고 Junos Space 플랫폼에서 장비에 키를 업로드할 필요 없이 디바이스를 인증할 수도 있습니다. 사용자 지정 키 기반 인증 방법을 사용하면 패스프레이즈가 포함된 전용 키를 Junos Space 서버에 업로드할 수 있습니다. 디바이스는 디바이스의 기존 공용 키 세트, Junos Space 서버에 업로드된 전용 키 및 적절한 공개 키 알고리즘(즉, RSA, ECDSA 또는 DSS)을 사용하여 인증됩니다. 이 인증 방법은 디바이스 검색 중 및 나중에 디바이스 관리 중에 디바이스를 인증하는 데 사용할 수 있습니다.

키가 수정되면 디바이스에 연결할 수 없게 되며 인증 상태가 키 충돌(Key Conflict)으로 변경됩니다. Resolve Key Conflicts 워크플로우를 사용하여 디바이스에 새 키를 업로드하는 프로세스를 수동으로 트리거할 수 있습니다. 디바이스를 인증하려면 Junos Space 플랫폼에서 생성된 새 키를 업로드하거나 사용자 지정 키를 사용할 수 있습니다. Junos Space 키 기반 또는 사용자 지정 키 기반 인증에 실패하면 자격 증명 기반 인증이 자동으로 트리거됩니다.

키 기반 또는 사용자 지정 키 기반 인증이 활성화된 후에는 암호 없이 Junos Space 키 기반 또는 사용자 지정 키 기반 인증을 통해 장치와 더욱 통신할 수 있습니다. 인증 모드를 자격 증명 기반에서 키 기반 또는 맞춤형 키 기반 매니지드 디바이스로 변경할 수도 있습니다. 자세한 내용은 디바이스의 인증 모드 수정을 참조하십시오.

Junos Space 플랫폼에서 키 기반 인증을 사용하려면 다음을 확인해야 합니다.

  • 인증 키는 관리 작업 공간에서 생성됩니다. 디바이스의 키 생성 및 업로드에 대한 자세한 내용은 장비에 대한 인증 키 생성 및 업로드를 참조하십시오. 작업 결과는 키가 디바이스에 성공적으로 업로드되었는지 여부를 나타냅니다. 멀티노드 설정에서 인증 키는 모든 기존 클러스터 노드에서 사용할 수 있습니다. 인증 키는 또한 설정에 추가된 모든 후속 노드에서 사용할 수 있습니다.

  • 장비의 관리자 인증 정보와 장치에 키를 업로드하기 위해 Junos Space Appliance에 연결하는 사용자의 이름을 사용할 수 있습니다.

SSH 지문 기반 장치 인증

Junos Space 플랫폼과 장비 간의 MAN-in-the-Middle 공격이나 프록시 SSH 연결을 방지하기 위해 Junos Space Platform은 장치의 SSH 핑거프린트(SSH Fingerprint)를 Junos Space 플랫폼 데이터베이스에 저장하고 후속 장치 연결 시 핑거프린트의 유효성을 검증할 수 있습니다. 지문은 결장으로 분리 된 16 16 진수 옥텟의 순서입니다. 예를 들어 c1:b1:30:29:d7:b8:de:6c:97:77:10:d7:46:41:63:83 디바이스 검색 중에 주니퍼 네트웍스 디바이스의 지문을 지정하고 디바이스가 처음으로 Junos Space 플랫폼에 연결할 때 지문을 검증할 수 있습니다. 디바이스 Discovery 워크플로에서 최대 1024개의 디바이스에 대한 지문을 동시에 지정할 수 있습니다. 지문을 지정하지 않으면 Junos Space 플랫폼이 처음으로 디바이스에 연결할 때 핑거프린트 세부 정보를 입수합니다. 자세한 내용은 매니지드 디바이스 보기에서 확인하십시오.

Junos Space 플랫폼은 디바이스에 대한 활성 개방형 연결 중에 장비에서 SSH 지문 변경을 인식하지 못합니다. SSH 핑거프린트 변경은 디바이스가 Junos Space 플랫폼에 다시 연결되는 경우에만 인식됩니다. 장비 관리 페이지의 Authentication Status 열은 모든 충돌 또는 확인되지 않은 인증 상태를 표시합니다.

Junos Space 플랫폼 데이터베이스에 저장된 SSH 핑거프린트와 장치상의 핑거프린트 간의 충돌은 Junos Space 사용자 인터페이스에서 수동으로 해결될 수 있습니다. 또는 Junos Space 플랫폼이 지문 변경 사항을 자동으로 업데이트하도록 허용할 수 있습니다. Junos Space Platform이 SSH 핑거프린트 업데이트를 자동으로 허용하려면 관리 작업 공간의 애플리케이션 설정 수정 페이지의 핑거프린트 수동 해결 확인란을 비활성화합니다. 이 확인란을 활성화하면 디바이스의 지문이 변경되면 Authentication Status 열이 지문 충돌을 표시합니다. 지문 충돌을 수동으로 해결해야 합니다. 자세한 내용은 디바이스의 SSH 핑거프린트의 인식(Acknowledging SSH Fingerprints)을 참조하십시오.

참고:

Junos OS 장치에서 키 기반 및 지문 기반 인증 모드는 지원되지 않습니다.

참고:

재난 복구의 임의 장치는 암호 기반 인증을 사용해야 합니다.

Junos Space Platform은 다음과 같은 작업을 수행할 때 디바이스의 지문이 데이터베이스의 지문과 일치하는지 확인합니다.

  • 디바이스에서 스크립트 스테이징

  • 디바이스 이미지 스테이징

  • 디바이스 이미지 구축

  • 대체 장비 활성화

  • 디바이스에서 스크립트 실행

  • SSH를 사용하여 디바이스 연결

장치의 지문이 Junos Space 플랫폼 데이터베이스에 저장된 지문과 일치하지 않으면 장치에 대한 연결이 끊어지게 됩니다. 연결 상태가 다운으로 표시되고 인증 상태가 장비 관리 페이지에서 지문 충돌(Fingerprint Conflict)으로 표시됩니다.

Junos Space SSH를 위한 지원 알고리즘

표 1 에는 Junos Space SSH:

표 1: Junos Space SSH를 위한 지원 알고리즘

알고리즘 유형

FIPS 디바이스

FIPS가 아닌 디바이스

주요 교환 알고리즘

ecdh-sha2-nistp256, ecdh-sha2-nistp384, diffie-hellman-group14-sha1

ecdh-sha2-nistp256, ecdh-sha2-nistp384, diffie-hellman-group14-sha1, diffie-hellman-group1-sha1

호스트 키 알고리즘

ecdsa-sha2-nistp256, ecdsa-sha2-nistp384

ecdsa-sha2-nistp256, ecdsa-sha2-nistp384, ssh-rsa, ssh-dss

암호화 알고리즘(클라이언트에서 서버로)

aes128-ctr, aes192-ctr, aes256-ctr, aes128-cbc, aes192-cbc, aes256-cbc

aes128-ctr, aes192-ctr, aes256-ctr, aes128-cbc, aes192-cbc, aes256-cbc, 3des-ctr, blowfish-cbc, 3des-cbc

암호화 알고리즘(서버에서 클라이언트로)

aes128-ctr, aes192-ctr, aes256-ctr, aes128-cbc, aes192-cbc, aes256-cbc

aes128-ctr, aes192-ctr, aes256-ctr, aes128-cbc, aes192-cbc, aes256-cbc, 3des-ctr, blowfish-cbc, 3des-cbc

MAC 알고리즘

hmac-sha1-96, hmac-sha2-256, hmac-sha256@ssh.com

hmac-sha1-96, hmac-sha2-256, hmac-sha256@ssh.com, hmac-sha1, hmac-md5, hmac-md5-96, hmac-sha256

압축 알고리즘

zlib@openssh.com

zlib@openssh.com, 없음, zlib

릴리스 히스토리 테이블
릴리스
설명
16.1R1
Junos Space 네트워크 관리 플랫폼 릴리스 16.1R1 이후부터 Junos Space Platform은 4096비트 RSA(Rivest-Shamir-Adleman) 알고리즘, DSS(Digital Signature Standard) 및 ECDSA(Elliptic Curve Digital Signature Algorithm) 공개 키 암호화 원칙을 지원하여 키 기반 인증을 통해 Junos OS를 실행하는 디바이스를 인증합니다.
16.1R1
Junos Space 네트워크 관리 플랫폼 릴리스 16.1R1 이후부터 Junos Space 서버에 사용자 지정 전용 키를 업로드하고 Junos Space 플랫폼에서 장비에 키를 업로드할 필요 없이 디바이스를 인증할 수도 있습니다.