Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Junos OS 개요

Junos OS는 주니퍼의 광범위한 물리적 및 가상 네트워킹 및 보안 제품 포트폴리오를 지원하는 단일 운영 체제입니다.

Junos OS 개요

주니퍼 네트웍스는 단일 네트워크를 통해 서비스 및 애플리케이션의 구축을 가속화하기 위해 응답성이 뛰어나고 신뢰할 수 있는 환경을 조성하는 고성능 네트워크 디바이스를 제공합니다. Junos® 운영체제(Junos OS)는 이러한 고성능 네트워크의 기반입니다.

Junos OS는 다음과 같은 아키텍처 변형을 포함합니다.

  • 베어메탈 기반의 Junos OS FreeBSD 6. FreeBSD 6 커널을 기반으로 하는 Junos OS입니다.

  • 베어메탈의 Junos OS FreeBSD 10 이상. 업그레이드된 FreeBSD 커널을 기반으로 하는 Junos OS입니다. Junos OS 릴리스 15.1부터 특정 하드웨어 플랫폼은 업그레이드된 FreeBSD로 Junos OS를 실행합니다. Junos OS 릴리스 16.1부터 업그레이드된 FreeBSD를 사용하는 Junos OS는 Linux VM 호스트에서 게스트 VM(가상 머신)으로 실행할 수 있습니다. 업그레이드된 FreeBSD로 Junos OS를 실행하는 플랫폼에 대한 자세한 내용을 보려면 기능 탐색기: FreeBSD 10+로 Junos 커널 업그레이드에서 FreeBSD 10+로 Junos 커널 업그레이드를 검색하십시오.

  • Junos OS Evolved. Junos OS Evolved에 대한 자세한 내용은 Junos OS Evolved 소개® Junos® OS Evolved 소프트웨어 설치 및 업그레이드 가이드를 참조하십시오.

다른 복잡한 모놀리식 소프트웨어 아키텍처와 달리 Junos OS는 주요 설계 및 개발 차이점을 통합하여 향상된 네트워크 가용성, 운영 효율성 및 유연성을 제공합니다. 이 방법의 주요 장점은 다음과 같습니다.

하나의 운영 체제

공통 이름을 공유하지만 여러 프로그램으로 분할되는 다른 네트워크 운영 체제와 달리 Junos OS는 모든 네트워크 디바이스 및 제품 라인에서 공유되는 통합력 있는 단일 운영 체제입니다. 따라서 주니퍼 네트웍스 엔지니어가 소프트웨어 기능을 한 번 개발하면 모든 제품군에서 동시에 이러한 기능을 공유할 수 있습니다. 기능은 단일 소스에 공통적이기 때문에 일반적으로 모든 제품 라인에 대해 동일한 방식으로 구현되므로 각 제품에 대해 서로 다른 도구와 방법을 배우는 데 필요한 교육이 줄어듭니다. 모든 주니퍼 네트웍스 제품이 동일한 코드 베이스를 사용하기 때문에 제품 간 상호 운용성은 문제가 되지 않습니다.

단일 모듈형 소프트웨어 아키텍처

Junos OS의 개별 모듈은 잘 정의된 인터페이스를 통해 통신하지만, 각 모듈은 보호된 자체 메모리 공간에서 실행되므로 한 모듈이 다른 모듈과 충돌하지 않습니다. 이러한 분리를 통해 필요에 따라 각 모듈을 독립적으로 다시 시작할 수 있습니다. 이는 한 모듈의 오작동이 다른 모듈로 파급되어 전체 시스템 충돌 또는 재시작을 유발할 수 있는 모놀리식 운영 체제와 대조적입니다. 이 모듈식 아키텍처는 다른 운영 체제에서는 찾을 수 없는 고성능, 고가용성, 보안 및 장치 확장성을 제공합니다.

Junos OS는 공장에서 수령할 때 주니퍼 네트웍스 디바이스에 사전 설치되어 있습니다. 따라서 장치의 전원을 처음 켜면 모든 소프트웨어가 자동으로 시작됩니다. 디바이스가 네트워크에 참여할 수 있도록 소프트웨어를 구성하기만 하면 됩니다.

새로운 기능이 추가되거나 소프트웨어 문제가 해결되면 디바이스 소프트웨어를 업그레이드할 수 있습니다. 일반적으로 주니퍼 네트웍스 지원 웹 페이지에서 디바이스 또는 로컬 네트워크의 다른 시스템에 소프트웨어 설치 패키지를 다운로드하여 새 소프트웨어를 얻습니다. 그런 다음 디바이스에 소프트웨어 업그레이드를 설치합니다.

주니퍼 네트웍스 라우팅 플랫폼은 주니퍼 네트웍스에서 제공하는 바이너리만 실행하며 현재 타사 바이너리는 지원하지 않습니다. 각 Junos OS 이미지에는 서명의 유효성을 검사할 수 있는 경우에만 시스템에 등록되는 실행 파일의 디지털 서명 매니페스트가 포함되어 있습니다. Junos OS는 등록된 서명 없이는 바이너리를 실행하지 않습니다. 이 기능은 장치의 무결성을 손상시킬 수 있는 승인되지 않은 소프트웨어 및 활동으로부터 시스템을 보호합니다.

보안 부팅 및 부트로더

시스템의 부팅 프로세스에는 CPU를 부팅 프로세서로 활성화하는 것부터 시작하여 PCH와 통신하여 시스템을 불러오는 여러 단계가 포함됩니다. CPU는 기본 SPI 플래시에 저장된 BIOS 루틴으로 이동합니다. Primary flash failure의 경우 부팅 FPGA는 복구를 위해 Secondary flash로 전환되지만 부트로더는 로드되지 않습니다.

부트로더는 시스템의 부팅 프로세스에서 중요한 역할을 하여 운영 체제의 안전하고 질서 있는 실행을 보장합니다. 보안 부팅, USB, SSD 및 PXE 부팅과 같은 부팅 순서 및 메커니즘은 시스템 시작 절차에 대한 유연성과 복원력을 제공합니다. 또한 GRUB 구성을 통해 사용자는 필요에 따라 부팅 프로세스를 사용자 지정하고 문제를 해결할 수 있습니다

보안 부팅은 UEFI 표준을 기반으로 하는 중요한 시스템 보안 향상 기능입니다( www.uefi.org 참조). BIOS 자체를 변조 또는 수정으로부터 보호한 다음 부팅 프로세스 전반에 걸쳐 해당 보호 기능을 유지하여 작동합니다.

보안 부팅 프로세스는 펌웨어를 무단으로 변경할 수 없도록 하는 보안 플래시로 시작됩니다. Junos OS의 승인된 릴리스에는 주니퍼 네트웍스가 직접 생성하거나 인증한 파트너 중 하나가 생성한 디지털 서명이 적용됩니다. 부팅 프로세스의 각 지점에서 각 구성 요소는 서명을 검사하여 이진 파일이 수정되지 않았는지 확인하여 다음 링크가 정상인지 확인합니다. 서명이 올바르지 않으면 부팅 프로세스를 계속할 수 없습니다. 이 "신뢰 체인"은 운영 체제가 제어할 때까지 계속됩니다. 이러한 방식으로 전체 시스템 보안이 향상되어 일부 펌웨어 기반 지속 위협에 대한 저항력이 증가합니다.

그림 1은 이 "신뢰 체인"의 단순화된 버전을 보여 줍니다.

보안 부팅을 구현하기 위해 사용자가 수행해야 하는 작업이 필요하지 않습니다. 기본적으로 지원되는 하드웨어에서 구현됩니다.

SRX 디바이스용 보안 부팅은 주니퍼 하드웨어를 보호하고 승인되지 않은 코드나 데이터의 실행을 차단하도록 설계된 중요한 보안 메커니즘 역할을 합니다. 승인되지 않은 엔터티는 적절한 주니퍼 디지털 서명이 없거나 승인된 계열사의 디지털 서명이 없는 엔터티로 정의됩니다.

다음은 보안 부팅이 SRX1600, SRX2300, SRX4120, SRX4300 및 SRX4700 디바이스에 대해 구체적으로 작동하는 방식에 대한 간략한 분석입니다.

  • 전원 켜기 순서: 전원을 켜면 CPU가 UEFI BIOS로 실행을 시작합니다.

  • 부트로더: UEFI BIOS는 서명된 PE/COFF32+ 실행 파일 \EFI\BOOT\BOOTX64를 로드합니다. EFI입니다. 이 실행 파일에는 적절한 분리 서명이 있는 파일에 대한 파일 읽기 I/O만 허용하는 수정된 GRUB2가 포함되어 있습니다.

  • 분리된 서명: GRUB2 분리된 서명은 바이너리(비아머드) OpenPGP 형식을 활용하여 ${object}.psig로 저장됩니다.

  • GPG 키 스토리지: GRUB2로 컴파일된 신뢰할 수 있는 GPG 공개 키와 함께 추가 GPG 키를 \EFI\BOOT\grub-trusted.gpg에 저장할 수 있습니다.

  • 신탁 설립: \EFI\BOOT\grub-trusted.gpg의 신뢰는 \EFI\BOOT\BOOTX64에 포함된 grub-root 키를 사용하여 \EFI\BOOT\grub-trusted.gpg.psig를 확인하여 설정됩니다. EFI입니다.

  • GRUB2 설정: \EFI\BOOT\grub-startup.cfg에 있는 GRUB2 시작 설정은 서명된 Linux 커널과 선택적으로 서명된 initrd 이미지를 로드하는 역할을 합니다.

  • 파일 로딩 제한: BOOTX64. EFI는 일관되게 올바르게 서명된 파일을 고집하며 GRUB 구성 또는 GRUB 환경 파일을 제외한 서명되지 않은 파일을 로드하지 않습니다.

설치 및 활성화

SRX2300 및 SRX4120 디바이스에 대해 보안 부팅을 사용하도록 설정하려면 BIOS 메뉴로 이동하여 보안 부팅 관리 메뉴에서 보안 부팅을 공장 설정으로 복원을 선택합니다.

메모:

보안 부팅을 사용하도록 설정한 후에는 사용하지 않도록 설정할 수 없습니다.

보안 부팅을 지원하는 Junos OS 릴리스 및 하드웨어에 대한 자세한 내용은 기능 탐색기 를 참조하고 을 입력합니다 Secure Boot.

하드웨어 RoT(Hardware root of trust)

HRoT(하드웨어 루트 오브 트러스트)는 시스템에 통합된 하드웨어 기반 보안 기능으로, 펌웨어의 무결성을 확인하고 안전한 작동을 보장하는 신뢰할 수 있는 기반 역할을 합니다. 이 기능은 하드웨어에서 시작하여 변경할 수 없는 신뢰 루트를 제공하여 시스템 내의 잠재적인 보안 취약성으로부터 보호합니다. HRoT는 시스템 펌웨어 및 구성의 신뢰성을 보장하기 위한 중요한 구성 요소 역할을 합니다.

소프트웨어 기반 신뢰 메커니즘과 달리 HRoT는 하드웨어에서 직접 구현되므로 변조에 대한 저항성이 매우 높습니다. HRoT의 주요 기능은 펌웨어의 무결성을 확인하여 펌웨어가 손상되거나 무단으로 수정되지 않았는지 확인하는 것입니다. 이 기능은 검증되고 신뢰할 수 있는 펌웨어만 로드할 수 있는 보안 부팅 프로세스를 구현하는 데 사용됩니다.

메모:

디바이스의 초기 부트스트랩 중에 다음 메시지가 표시되어 HRoT 및 보안 부팅이 적용되는지 확인합니다.

JUNIPER HARDWARE ROOT OF TRUST WITH SECURE BOOT ENFORCED

FIPS 140-2 보안 준수

고급 네트워크 보안을 위해 Junos-FIPS 140-2라는 특별한 버전의 Junos OS를 사용할 수 있습니다. Junos-FIPS 140-2는 FIPS 환경에서 주니퍼 네트웍스 디바이스의 네트워크를 구성할 수 있는 소프트웨어 도구를 고객에게 제공합니다. FIPS 지원에는 다음이 포함됩니다.

  • Junos OS를 Junos-FIPS 140-2로 변환하기 위한 업그레이드 패키지

  • 수정된 설치 및 구성 절차

  • 원격 액세스를 위한 보안 강화

  • FIPS 사용자 역할(암호화 담당자, 사용자 및 유지보수)

  • FIPS 관련 시스템 로깅 및 오류 메시지

  • 라우팅 엔진-라우팅 엔진 간 통신을 위한 IPsec 구성

  • 향상된 비밀번호 생성 및 암호화

Junos OS 릴리스 15.1부터 Junos-FIPS는 국내 이미지에만 패키징됩니다. 단일 Junos OS 이미지는 국내 및 FIPS 기능을 모두 지원합니다. FIPS 자격 증명과 로그인 권한이 있는 사용자는 일반 Junos 이미지와 FIPS 이미지 간에 전환할 수 있습니다.

메모:

Junos-FIPS에는 특별한 암호 요구 사항이 있습니다. FIPS 암호의 길이는 10자에서 20자 사이여야 합니다. 암호는 5개의 정의된 문자 모음(대문자, 소문자, 자릿수, 구두점 및 특수 문자) 중 적어도 3개를 사용해야 합니다. 디바이스에 Junos-FIPS가 설치된 경우, 이 표준을 충족하지 않는 한 암호를 구성할 수 없습니다.