Descripción general de Veriexec
Verified Exec (también conocido como veriexec) es un esquema de firma y verificación de archivos que protege el sistema operativo (SO) de Junos contra software y actividad no autorizados que podrían comprometer la integridad de su dispositivo. Originalmente desarrollado para NetBSD OS, veriexec se adaptó para Junos OS y se habilitó de forma predeterminada desde junos OS versión 7.5 en adelante.
Los archivos autorizados, es decir, ciertos archivos que se envían con Junos OS, tienen una huella digital asociada que veriexec comprueba para determinar si el archivo se puede usar (ejecutar o incluso abrir). Cualquier archivo que no tenga una huella digital válida no puede ser ejecutado o leído por aplicaciones que requieren una entrada verificada.
Tenga en cuenta que /bin/sh no requiere entrada verificada. Se puede utilizar para ejecutar scripts arbitrarios porque, desde una perspectiva de riesgo, son los mismos que los comandos interactivos, lo que ya se controla mediante la autenticación y los permisos del usuario. Sin embargo, si una secuencia de comandos de shell verificada contiene instrucciones para ejecutar una secuencia de comandos arbitraria, es decir, un archivo que no tiene una firma en el manifiesto, se impedirá la ejecución de ese archivo.
Cómo funciona Veriexec
Veriexec proporciona al kernel un manifiesto firmado digitalmente que consta de un conjunto de huellas digitales para todos los ejecutables y otros archivos que deberían permanecer inmutables. El cargador veriexec alimenta el contenido del manifiesto al núcleo solo si la firma digital del manifiesto se verifica correctamente. Luego, el kernel puede verificar si un archivo coincide con su huella digital. Si se aplica veriexec, solo se ejecutarán ejecutables con una huella digital verificada. Los archivos protegidos no se pueden escribir, modificar ni cambiar.
Cada imagen de instalación contiene un manifiesto. El manifiesto es de solo lectura. Contiene entradas como las siguientes:
etc/rc sha1=478eeda6750c455fbfc18eeb06093e32a341911b uid=0 gid=0 mode=644 etc/rc.verify sha1=15566bb2731abee890fabd0ae8799e02071e006c uid=0 gid=0 mode=644 usr/libexec/veriexec-ext.so.1 sha1=8929292d008d12cd5beb2b9d9537458d4974dd22 uid=0 gid=0 mode=550 no_fips sbin/verify-sig sha1=cd3ffd45f30f1f9441e1d4a366955d8e2c284834 uid=0 gid=0 mode=555 no_ptrace sbin/veriexec sha1=7b40c1eae9658f4a450eb1aa3df74506be701baf uid=0 gid=0 mode=555 no_ptrace jail/usr/bin/php sha1=c444144fef5d65f7bbc376dc3ebb24373f1433a2 uid=0 gid=0 mode=555 indirect no_fips usr/sbin/chassisd sha1=61b82b36da9c6fb7eeb413d809ae2764a8a3cebc uid=0 gid=0 mode=555 trusted
Si se ha modificado un archivo y la huella digital resultante difiere de la del manifiesto, verá un mensaje de registro, como el siguiente ejemplo:
/kernel:veriexec:fingerprintfordev100728577,file70750 64ea873ed0ca43b113f87fa25fb30f9f60030cec!= 0d9457c041bb3646eb4b9708ba605facb84a2cd0
El mensaje de registro tiene el formato siguiente:
/kernel:veriexec:fingerprintfordev<deviceid>,file<fileid><calculatedfingerprint>!= <fingerprintinthemanifest>
La discordancia de huella digital indica que el archivo se ha modificado. No intente ejecutar el archivo. Podría contener código dañado. Comuníquese con JTAC.
La importancia de Veriexec
Veriexec es una herramienta eficaz e importante para proteger contra aquellos que buscan vulnerar la seguridad del sistema de los enrutadores, conmutadores y firewalls de Juniper Networks. Esto frustra a los actores de amenazas que podrían querer establecer un punto de apoyo en el sistema, obtener acceso no autorizado persistente o, de otro modo, hacer la transición del sistema a un estado de falla. Si estos actores pueden ejecutar binarios arbitrarios sin firmar, pueden hacer modificaciones no autorizadas y ejecutar malware u otro código que infrinja la política de seguridad.
Los clientes pueden agregar código firmado y autorizado con veriexec aplicado a Junos OS mediante el uso de JET SDK. Para obtener más información sobre la solución SDK, consulte Desarrollo de aplicaciones JET en el dispositivo en la Guía para desarrolladores del kit de herramientas de extensión de Juniper.
Cómo verificar si Se aplica Veriexec en un dispositivo que ejecuta Junos OS
Las siguientes subsecciones ofrecen procedimientos sobre cómo comprobar si se aplica o no veriexec.
Algunas plataformas de Junos OS ofrecen una versión opcional de Junos OS con la aplicación veriexec deshabilitada (conocida como Junos Enhanced Automation o Junos Flex). Para obtener más información acerca de la automatización mejorada de Junos, consulte Descripción general de las mejoras de automatización de Junos en dispositivos que ejecutan Junos OS con automatización mejorada.
- Utilice el comando sysctl security.mac.veriexec.state para Junos OS versión 15.1 y posteriores
- Otra forma de comprobar si Veriexec está funcionando
- Resultados
Utilice el comando sysctl security.mac.veriexec.state para Junos OS versión 15.1 y posteriores
Los administradores pueden comprobar si veriexec se cumple ejecutando los siguientes comandos desde el shell de CLI de Junos OS:
Inicie el shell.
username@hostname> start shell %
Utilice el
sysctl security.mac.veriexec.statecomando.% sysctl security.mac.veriexec.state security.mac.veriexec.state: loaded active enforce %
Si se aplica veriexec, el resultado es
security.mac.veriexec.state: loaded active enforce. Si no se aplica veriexec, el resultado essecurity.mac.veriexec.state: loaded active.
El security.mac.veriexec.state comando solo es válido en Junos OS versión 15.1 y posteriores.
Otra forma de comprobar si Veriexec está funcionando
Puede confirmar si veriexec está funcionando copiando un archivo autorizado (aquí, /usr/bin/id), a una nueva ubicación, como se muestra a continuación. Veriexec impide la operación porque, aunque hay una huella digital válida para /usr/bin/id, no hay huella digital para /tmp/id aunque el archivo sea idéntico. Lo que está sucediendo es que veriexec evalúa las propiedades subyacentes de Linux del archivo, que no son idénticas después de ser copiado, en lugar del archivo en sí.
Inicie el shell.
username@hostname> start shell #
Cambie los directorios y, a continuación, copie el archivo de ejemplo , /usr/bin/id a una nueva ubicación.
# /usr/bin/id uid=928(username) gid=20 groups=20,0(wheel),10(field) # cp /usr/bin/id /tmp
Resultados
Si se aplica veriexec, aparecerá un error de autenticación. Si no es así, el archivo se ejecutará con normalidad.
Salida cuando se aplica veriexec (el archivo está bloqueado):
# /tmp/id /bin/sh: /tmp/id: Authentication error #
Salida cuando no se aplica veriexec (el archivo se copia):
# /tmp/id #
Cargador compatible con Veriexec para dispositivos de la serie SRX
El cargador compatible con veriexec instala una imagen de Junos OS mediante el install comando desde un servidor TFTP o un dispositivo de almacenamiento USB.
Instale la imagen de Junos OS desde un servidor tftp mediante el
install tftp://[host]/comando de instalación.loader> install tftp://[host]/package
Instale la imagen de Junos OS desde un dispositivo de almacenamiento USB mediante el
install file:///comando install.loader> install file:///package
El cargador compatible con veriexec valida la imagen de Junos OS. El cargador compatible con Veriexec solo inicia una nueva imagen de Junos OS con huellas digitales y no arranca la imagen existente de Junos OS sin huellas digitales o kernel. Puede usar la nextboot función para comprobar el dispositivo de arranque actual.
username@hostname# nextboot
Platform: srx-sword
eUSB
usb
current bootdev is: eUSB
Bootupgrade es una herramienta disponible en el paquete Junos OS para admitir la actualización del firmware del BIOS. Puede usar el bootupgrade comando para actualizar, comprobar uboot, cargar manualmente e instalar el cargador compatible con Veriexec de mayor tamaño. El bootupgrade -c loader comando imprime la cadena de versión para el cargador actual.
Antes de instalar el cargador compatible con veriexec en la imagen de Junos OS, se lleva a cabo una identificación de huellas digitales de Junos OS en ambas particiones de raíz dual. Solo cuando ambas particiones de raíz dual tienen Junos OS con huellas digitales, se permite la instalación del cargador compatible con veriexec.
Instale el cargador compatible con veriexec desde el shell de CLI de Junos OS:
Inicie el shell.
username@hostname> start shell %
-
Utilice el
bootupgrade -l /boot/veloadercomando para instalar el cargador compatible con veriexec.% bootupgrade -l /boot/veloader Checking Loader CRC... veloader size 1251641 OK
Puede ver diferentes escenarios aquí:
Para Junos OS versión 20.3R1 y posteriores, use
request system software add /var/tmp/xxx.tgz no-copy no-validateel comando para instalar Junos OS con huellas digitales normalmente.username@hostname> request system software add /var/tmp/junos-srxsme-20.4I-20200810_dev_common.0.0833.tgz no-copy no-validate Formatting alternate root (/dev/ad0s2a)... /dev/ad0s2a: 600.0MB (1228732 sectors) block size 16384, fragment size 2048 using 4 cylinder groups of 150.00MB, 9600 blks, 19200 inodes. super-block backups (for fsck -b #) at: 32, 307232, 614432, 921632 Installing package '/altroot/cf/packages/install-tmp/junos-20.4I-20200810_dev_common.0.0833' ... Verified junos-boot-srxsme.tgz signed by PackageDevelopmentECP256_2020 method ECDSA256+SHA256 Verified junos-srxsme-domestic signed by PackageDevelopmentECP256_2020 method ECDSA256+SHA256 Verified manifest signed by PackageDevelopmentECP256_2020 method ECDSA256+SHA256 WARNING: The software that is being installed has limited support. WARNING: Run 'file show /etc/notices/unsupported.txt' for details. JUNOS 20.4I-20200810_dev_common.0.0833 will become active at next reboot WARNING: A reboot is required to load this software correctly WARNING: Use the 'request system reboot' command WARNING: when software installation is complete Saving state for rollback ...-
Para las versiones de Junos OS anteriores a 20.3R1, si el cargador compatible con veriexec está en uso y la imagen de Junos OS de destino de las versiones anteriores no es compatible con el cargador compatible con veriexec, use el
request system software add /var/tmp/xxx.tgz no-copy no-validatecomando para degradar automáticamente al cargador antiguo desde el cargador compatible con veriexec.username@hostname> request system software add /var/tmp/junos-srxsme-19.4R1.3.tgz no-copy no-validate WARNING: Package junos-19.4R1.3 version 19.4R1.3 is not compatible with current loader WARNING: Automatic recovering loader, please wait ... Upgrading Loader... ##################################### Verifying the loader image... OK WARNING: The new boot firmware will take effect when the system is rebooted. WARNING: Loader recover finish. Formatting alternate root (/dev/ad0s1a)... /dev/ad0s1a: 598.5MB (1225692 sectors) block size 16384, fragment size 2048 using 4 cylinder groups of 149.62MB, 9576 blks, 19200 inodes. super-block backups (for fsck -b #) at: 32, 306464, 612896, 919328 Installing package '/altroot/cf/packages/install-tmp/junos-19.4R1.3' ... Verified junos-boot-srxsme-19.4R1.3.tgz signed by PackageProductionEc_2019 method ECDSA256+SHA256 Verified junos-srxsme-19.4R1.3-domestic signed by PackageProductionEc_2019 method ECDSA256+SHA256 Verified junos-boot-srxsme-19.4R1.3.tgz signed by PackageProductionEc_2019 method ECDSA256+SHA256 V erified junos-srxsme-19.4R1.3-domestic signed by PackageProductionEc_2019 method ECDSA256+SHA256 JUNOS 19.4R1.3 will become active at next reboot WARNING: A reboot is required to load this software correctly WARNING: Use the 'request system reboot' command WARNING: when software installation is complete Saving state for rollback ... -
Utilice el
request system software add /var/tmp/xxxcomando para comprobar si el paquete de Junos OS es compatible para la instalación.username@hostname> request system software add /var/tmp/junos-srxsme-19.4R2.3.tgz WARNING: Package junos-19.4R2.3 version 19.4R2.3 is not compatible with this system. WARNING: Please install a package with veloadr support, 20.3 or higher.
La instalación termina porque el cargador compatible con veriexec no es compatible con las versiones de Junos OS anteriores a 20.3R1.