Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

디바이스 보안을 위한 Junos OS 기능

디바이스 보안은 세 가지 주요 요소로 구성됩니다. 하드웨어의 물리적 보안, 운영 체제 보안 및 구성을 통해 영향을 받을 수 있는 보안.

물리적 보안에는 디바이스에 대한 액세스를 제한하는 것이 포함됩니다. 공격자가 디바이스의 관리 포트 또는 콘솔에 액세스할 수 있는 경우 원격 위치에서 쉽게 방지할 수 있는 익스플로잇은 극히 어렵거나 불가능합니다. Junos OS 내재된 보안 또한 라우터 보안에 중요한 역할을 합니다. Junos OS 매우 안정적이며 강력하며 공격으로부터 보호하는 기능을 제공하여 취약점을 최소화하도록 디바이스를 구성할 수 있습니다.

다음은 디바이스 보안을 개선하는 데 사용할 수 있는 Junos OS 기능입니다.

디바이스 관리를 위한 원격 액세스 방법

Junos OS 처음 설치할 때 디바이스에 대한 모든 원격 액세스가 비활성화되어 승인된 사용자가 의도적으로 활성화한 경우에만 원격 액세스가 가능합니다. 다음 방법 중 하나로 디바이스와 원격 통신을 설정할 수 있습니다.

  • 대역 외 관리: 디바이스 관리 전용 인터페이스를 통해 디바이스에 대한 연결을 활성화합니다. 주니퍼 네트웍스 디바이스는 전용 관리 이더넷 인터페이스와 EIA-232 콘솔 및 보조 포트를 통해 대역 외 관리를 지원합니다. TX Matrix Plus, T1600, T1600 또는 T4000 디바이스가 라우팅 매트릭스에서 TX Matrix Plus 디바이스에 연결되고 PTX 시리즈 패킷 전송 라우터 이외의 모든 디바이스에서 관리 인터페이스는 fxp0입니다. 라우팅 매트릭스의 TX Matrix Plus, T1600, T1600 또는 T4000 디바이스와 PTX 시리즈 패킷 전송 라우터 관리 이더넷 인터페이스는 em0으로 레이블됩니다. 관리 이더넷 인터페이스는 라우팅 엔진 직접 연결됩니다. 이 인터페이스를 통해 전송 트래픽이 허용되지 않으므로 고객 및 관리 트래픽을 완전히 분리하고 전송 네트워크의 혼잡 또는 실패가 디바이스 관리에 영향을 미치지 않도록 보장합니다.

  • 대역 내 관리: 고객 트래픽이 흐르는 동일한 인터페이스를 사용하여 디바이스에 대한 연결을 활성화합니다. 이 접근 방식은 단순하며 전용 관리 리소스가 필요하지 않지만 두 가지 단점이 있습니다.

    • 관리 플로우와 전송 트래픽 플로우는 함께 혼합됩니다. 일반 트래픽과 혼합된 모든 공격 트래픽은 디바이스와의 통신에 영향을 미칠 수 있습니다.

    • 디바이스 구성 요소 간의 링크는 완전히 신뢰할 수 없으시기 때문에 도청 및 재생 공격의 가능성이 있습니다.

디바이스에 대한 관리 액세스의 경우 원격 콘솔에서 디바이스와 통신하는 표준 방법은 Telnet 및 SSH입니다. SSH는 안전한 암호화된 통신을 제공하므로 대역 내 디바이스 관리에 유용합니다. Telnet은 암호화되지 않으므로 디바이스에 대한 액세스를 덜 보호합니다.

Junos OS 지원되는 프로토콜 및 사용자 인증 방법

디바이스에서 로컬 사용자 로그인 계정을 생성하여 디바이스에 로그인할 수 있는 사용자와 해당 사용자가 있는 액세스 권한을 제어할 수 있습니다. SSH 키 또는 메시지 다이제스트 5(MD5) 암호 중 하나 인 암호는 각 로그인 계정과 연결됩니다. 액세스 권한을 정의하기 위해 유사한 작업 또는 작업 기능으로 사용자를 그룹화할 수 있는 로그인 클래스를 생성합니다. 이러한 클래스를 사용하여 디바이스에 로그인하는 동안 사용자가 있는 명령과 실행할 수 없는 명령을 명시적으로 정의할 수 있습니다.

다양한 담당자가 여러 디바이스를 관리하면 사용자 계정 관리 문제가 발생할 수 있습니다. 한 가지 솔루션은 중앙 인증 서비스를 사용하여 계정 관리를 단순화하고 단일 중앙 서버에서만 사용자 계정을 생성 및 삭제하는 것입니다. 중앙 인증 시스템은 또한 SecureID와 같은 일회성 암호 시스템의 사용을 간소화하여 암호 스니핑 및 암호 재생 공격(누군가가 캡처한 암호를 사용하여 디바이스 관리자로 포즈를 취하는 공격)에 대한 보호를 제공합니다.

Junos OS 여러 디바이스에서 사용자의 중앙 인증을 위한 두 가지 프로토콜을 지원합니다.

  • TACACS+(Terminal Access Controller Access 제어 시스템 Plus).

  • TACACS+ 또는 기타 독점 시스템보다 기능이 더 널리 수용되는 멀티벤더 IETF 표준인 원격 인증 전화 접속 사용자 서비스(RADIUS). 모든 일회성 비밀번호 시스템 벤더는 RADIUS 지원합니다.

Junos OS 다음 인증 방법도 지원합니다.

  • 인터넷 프로토콜 보안(IPsec). IPsec 아키텍처는 IPv4 및 IPv6 네트워크 레이어를 위한 보안 제품군을 제공합니다. 이 제품군은 원본 인증, 데이터 무결성, 기밀성, 재생 보호 및 소스 반박과 같은 기능을 제공합니다. IPsec 외에도 Junos OS 키 생성 및 교환을 위한 메커니즘을 정의하고 보안 연결(SA)을 관리하는 Internet Key Exchange(IKE)를 지원합니다.

  • MSDP 피어링 세션의 MD5 인증. 이 인증은 피어링 세션에 도입되는 스푸핑 패킷에 대한 보호를 제공합니다.

  • - SNMPv3 인증 및 암호화입니다. SNMPv3는 메시지 보안을 위해 USM(사용자 기반 보안 모델)을 사용하고 액세스 제어를 위해 VACM(뷰 기반 액세스 제어 모델)을 사용합니다. USM은 인증 및 암호화를 지정합니다. VACM은 액세스 제어 규칙을 지정합니다.

Junos OS 일반 문구 비밀번호 요구 사항

Junos OS 디바이스에서 일반 문구 비밀번호를 생성할 때 특별한 요구 사항을 가지고 있습니다. 일반 문구 비밀번호에 대한 기본 요구 사항은 다음과 같습니다.

  • 암호 길이는 6~128자 사이여야 합니다.

  • 대문자, 소문자, 숫자, 구두점 및 다음 특수 문자를 포함할 수 있습니다 < >. 제어 문자는 권장되지 않습니다.

  • 암호에는 적어도 하나의 대소문자 또는 문자 클래스 변경이 포함되어야 합니다.

일반 문구 비밀번호에 대한 요구 사항을 변경할 수 있습니다.

다음 계층 수준에서 문을 포함할 plain-text-password 수 있습니다.

  • [edit system diag-port-authentication]

  • [edit system pic-console-authentication]

  • [edit system root-authentication]

  • [edit system login user username authentication]

Junos OS 라우팅 프로토콜 보안 기능 및 IPsec 지원

디바이스의 주요 작업은 디바이스의 라우팅 및 포워딩 테이블 정보를 기반으로 사용자 트래픽을 의도된 대상으로 전달하는 것입니다. 네트워크를 통해 라우팅 정보 플로우를 정의하는 라우팅 정책을 구성하여 라우팅 프로토콜이 라우팅 테이블에 어떤 라우팅을 배치하고 어떤 경로를 테이블에서 보급하는지 제어할 수 있습니다. 또한 라우팅 정책을 사용하여 특정 경로 특성을 변경하고, BGP 경로 플랩 댐핑 값을 변경하고, 패킷당 로드 밸런싱을 수행하고, CoS( Class of Service)를 활성화할 수 있습니다.

공격자는 라우팅 테이블 또는 기타 데이터베이스의 내용을 변경하거나 손상하려는 의도로 위조 프로토콜 패킷을 디바이스로 전송할 수 있으며, 이는 디바이스의 기능을 저하시킬 수 있습니다. 이러한 공격을 방지하려면 디바이스가 신뢰할 수 있는 피어와 라우팅 프로토콜 피어링 또는 인접 관계를 형성하도록 해야 합니다. 이를 위한 한 가지 방법은 라우팅 프로토콜 메시지를 인증하는 것입니다. Junos OS BGP, IS-IS, OSPF, RIP 및 RSVP 프로토콜은 모두 해시를 계산하기 위해 보호되는 데이터와 결합된 비밀 키를 사용하는 HMAC-MD5 인증을 지원합니다. 프로토콜이 메시지를 전송하면 계산된 해시가 데이터와 함께 전송됩니다. 수신자가 일치하는 키를 사용하여 메시지 해시를 검증합니다.

Junos OS IPv4 및 IPv6 네트워크 레이어를 위한 IPsec 보안 제품군을 지원합니다. 이 제품군은 원본 인증, 데이터 무결성, 기밀성, 재생 보호 및 소스 반박과 같은 기능을 제공합니다. Junos OS 키 생성 및 교환을 위한 메커니즘을 정의하고 SA를 관리하는 IKE(Internet Key Exchange)도 지원합니다.

방화벽 필터 Junos OS 지원

방화벽 필터를 사용하면 디바이스를 네트워크 대상으로 전송하는 패킷과 디바이스가 목적지로 전송하는 패킷을 제어할 수 있습니다. 방화벽 필터를 구성하여 물리적 인터페이스에서 허용 및 전송되는 데이터 패킷과 물리적 인터페이스 및 라우팅 엔진 전송되는 로컬 패킷을 제어할 수 있습니다. 방화벽 필터는 과도한 트래픽으로부터 디바이스를 보호하는 수단을 제공합니다. 로컬 패킷을 제어하는 방화벽 필터는 DoS 공격과 같은 외부 공격으로부터 디바이스를 보호할 수도 있습니다.

라우팅 엔진 보호하기 위해 디바이스의 루프백 인터페이스에서만 방화벽 필터 를 구성할 수 있습니다. 디바이스의 각 인터페이스에 대한 필터를 추가하거나 수정할 필요는 없습니다. 방화벽 필터를 설계하여 ICMP 및 TCP(Transmission Control Protocol) 연결 요청(SYN) 플러딩으로부터 보호하고 라우팅 엔진 전송되는 트래픽을 속도 제한할 수 있습니다.

Junos OS 분산 서비스 거부 보호 지원

서비스 거부 공격은 네트워크 요소 또는 서버의 모든 리소스를 사용함으로써 유효한 사용자가 네트워크 또는 서버 리소스에 액세스하는 것을 거부하려는 시도입니다. 분산 서비스 거부 공격에는 여러 소스의 공격이 포함되므로 훨씬 더 많은 양의 트래픽이 네트워크를 공격할 수 있습니다. 이 공격은 일반적으로 네트워크 프로토콜 제어 패킷을 사용하여 디바이스의 컨트롤 플레인에 많은 예외를 트리거합니다. 이로 인해 과도한 처리 부하가 발생하여 정상적인 네트워크 운영이 중단됩니다.

Junos OS 디도스(DDoS) 공격 보호 기능을 통해 디바이스는 공격 중에도 계속 작동할 수 있습니다. 악성 제어 패킷을 식별하고 억제하면서 합법적인 제어 트래픽 처리가 가능합니다. 디도스(DDoS) 공격 방어 관리의 단일 지점을 통해 네트워크 관리자는 네트워크 제어 트래픽에 대한 프로필을 사용자 지정할 수 있습니다. GRES(Graceful 라우팅 엔진 Switchover) 및 통합 ISSU(in-service-software-upgrade) 스위치오버에서 보호 및 모니터링이 지속됩니다. 가입자 수가 증가함에 따라 보호 기능은 줄어들지 않습니다.

디도스(DDoS) 공격으로부터 보호하기 위해 호스트 바인딩 예외 트래픽에 대한 폴리서를 구성할 수 있습니다. 폴리서는 개별 프로토콜 제어 패킷 유형 또는 프로토콜의 모든 제어 패킷 유형에 대해 속도 제한을 지정합니다. 디바이스, 라우팅 엔진 및 라인 카드 수준에서 패킷 유형 및 프로토콜 그룹에 대한 폴리서 작업을 모니터링할 수 있습니다. 또한 폴리서 이벤트의 로깅을 제어할 수 있습니다.

플로우 탐지는 제한된 양의 하드웨어 리소스를 사용하여 호스트 바인딩 제어 트래픽 플로우의 도착 속도를 모니터링함으로써 디도스(DDoS) 공격 차단 기능을 강화합니다. 플로우 감지는 필터 폴리서를 기반으로 하는 솔루션보다 훨씬 확장 가능합니다. 필터 폴리서는 상당한 양의 리소스를 소비하는 모든 플로우를 추적합니다. 반면 플로우 탐지는 의심스러운 것으로 식별되는 플로우만 추적하며, 이를 위한 리소스는 훨씬 적습니다.

플로우 탐지 애플리케이션에는 두 개의 상호 연결된 구성 요소인 탐지 및 추적이 있습니다. 탐지는 부적절한 것으로 의심되는 플로우를 식별하고 이후에 제어하는 프로세스입니다. 추적은 플로우가 추적되어 해당 플로우가 진정으로 적대적인지, 이러한 플로우가 허용 가능한 제한 범위 내에서 복구되는지를 결정하는 프로세스입니다.

Junos OS 보안에 대한 감사 지원

Junos OS 디바이스와 네트워크 내에서 발생하는 중요한 이벤트를 기록합니다. 로깅 자체가 보안을 강화하지는 않지만 시스템 로그를 사용하여 보안 정책 및 디바이스 구성의 효과를 모니터링할 수 있습니다. 또한 지속적이고 고의적인 공격에 대응할 때 공격자 트래픽의 소스 주소, 디바이스 또는 포트를 식별하는 수단으로 로그를 사용할 수도 있습니다. 중요한 이벤트부터 정보 이벤트를 포함한 모든 이벤트에 이르기까지 다양한 수준의 이벤트 로깅을 구성할 수 있습니다. 그런 다음 시스템 로그 파일의 내용을 실시간으로 또는 나중에 검사할 수 있습니다.

네트워크를 아우르는 이벤트는 여러 로그의 동기식 항목과 상관관계가 있기 때문에 모든 디바이스의 시스템 로그 파일의 타임스탬프가 동기화될 때 디버깅 및 문제 해결이 훨씬 쉽습니다. Junos OS 디바이스에서 디바이스 및 기타 네트워킹 장비의 시스템 클럭을 동기화할 수 있는 NTP(Network Time Protocol)를 지원합니다. 기본적으로 NTP는 인증되지 않은 모드에서 작동합니다. HMAC-MD5 체계를 포함하여 다양한 유형의 인증을 구성할 수 있습니다.