EN ESTA PÁGINA
Funciones de Junos OS para seguridad de dispositivos
La seguridad del dispositivo se compone de tres elementos principales: seguridad física del hardware, seguridad del sistema operativo y seguridad que puede verse afectada mediante la configuración.
La seguridad física implica restringir el acceso al dispositivo. Las vulnerabilidades que se pueden evitar fácilmente en ubicaciones remotas son extremadamente difíciles o imposibles de evitar si un atacante puede obtener acceso al puerto o la consola de administración del dispositivo. La seguridad inherente de Junos OS también desempeña un papel importante en la seguridad del enrutador. Junos OS es extremadamente estable y robusto, y ofrece funciones para proteger contra ataques, lo que le permite configurar el dispositivo para minimizar las vulnerabilidades.
Las siguientes son funciones de Junos OS disponibles para mejorar la seguridad del dispositivo:
Métodos de acceso remoto para la administración de dispositivos
Cuando instala Junos OS por primera vez, se deshabilita todo el acceso remoto al dispositivo, lo que garantiza que el acceso remoto solo sea posible si un usuario autorizado lo habilita deliberadamente. Puede establecer comunicación remota con un dispositivo de una de las siguientes maneras:
Administración fuera de banda: permite la conexión con el dispositivo a través de una interfaz dedicada a la administración de dispositivos. Los dispositivos Juniper Networks admiten la administración fuera de banda con una interfaz Ethernet de administración exclusiva, así como puertos auxiliares y consola EIA-232. En todos los dispositivos, excepto tx Matrix Plus, T1600, T1600 o T4000 conectados a un dispositivo TX Matrix Plus en una matriz de enrutamiento y enrutadores de transporte de paquetes serie PTX, la interfaz de administración es fxp0. En dispositivos de transmisión Matrix Plus, T1600, T1600 o T4000 en una matriz de enrutamiento y enrutadores de transporte de paquetes serie PTX, la interfaz Ethernet de administración se denomina em0. La interfaz Ethernet de administración se conecta directamente al motor de enrutamiento. No se permite ningún tráfico de tránsito a través de esta interfaz, lo que proporciona una separación completa del tráfico de clientes y de administración, y garantiza que la congestión o las fallas en la red de tránsito no afecten la administración del dispositivo.
Administración en banda: Permite la conexión a los dispositivos mediante las mismas interfaces a través de las cuales fluye el tráfico del cliente. Aunque este enfoque es simple y no requiere recursos de administración dedicados, tiene dos desventajas:
Los flujos de administración y el tráfico de tránsito se mezclan. Cualquier tráfico de ataque que se mezcla con el tráfico normal puede afectar la comunicación con el dispositivo.
Es posible que los vínculos entre los componentes del dispositivo no sean del todo confiables, lo que lleva a la posibilidad de ataques de escucha telefónica y repetición.
Para el acceso de administración al dispositivo, las formas estándar de comunicarse con el dispositivo desde una consola remota son con Telnet y SSH. SSH proporciona comunicaciones cifradas seguras y, por lo tanto, es útil para la administración de dispositivos de banda. Telnet ofrece acceso no cifrado y, por lo tanto, menos seguro, al dispositivo.
Protocolos y métodos compatibles con Junos OS para la autenticación de usuario
En un dispositivo, puede crear cuentas de inicio de sesión de usuario local para controlar quién puede iniciar sesión en el dispositivo y los privilegios de acceso que tiene. Una contraseña, ya sea una clave SSH o una contraseña del resumen del mensaje 5 (MD5), se asocia con cada cuenta de inicio de sesión. Para definir privilegios de acceso, cree clases de inicio de sesión en las que se agrupan usuarios con trabajos o funciones similares. Estas clases se utilizan para definir explícitamente qué comandos tienen y qué no se les permite emitir a sus usuarios mientras inician sesión en el dispositivo.
La administración de varios dispositivos por parte de muchos personal diferentes puede crear un problema de administración de cuentas de usuario. Una solución es usar un servicio de autenticación central para simplificar la administración de cuentas, creando y eliminando cuentas de usuario solo en un único servidor central. Un sistema de autenticación central también simplifica el uso de sistemas de contraseñas únicas, como SecureID, que ofrecen protección contra la detección de contraseñas y los ataques de reproducción de contraseñas (ataques en los que alguien usa una contraseña capturada para hacerse pasar por administrador de dispositivos).
Junos OS admite dos protocolos para la autenticación central de los usuarios en varios dispositivos:
Terminal Access Controller Access Control System Plus (TACACS+).
Servicio de usuario de marcado de autenticación remota (RADIUS), un estándar IETF de múltiples proveedores cuyas funciones son más aceptadas que las de TACACS+ u otros sistemas patentados. Todos los proveedores de sistemas de contraseña única son compatibles con RADIUS.
Junos OS también admite los siguientes métodos de autenticación:
Seguridad de protocolo de Internet (IPsec). La arquitectura IPsec proporciona un conjunto de seguridad para las capas de red IPv4 e IPv6. El conjunto ofrece funciones como autenticación de origen, integridad de datos, confidencialidad, protección de reproducción y no rechazo de origen. Además de IPsec, Junos OS admite el intercambio de claves por internet (IKE), que define mecanismos para la generación y el intercambio de claves, y administra las asociaciones de seguridad (SA).
Autenticación MD5 de sesiones de emparejamiento MSDP. Esta autenticación proporciona protección contra paquetes falsificados que se introducen en una sesión de emparejamiento.
Autenticación y cifrado SNMPv3. SNMPv3 usa el modelo de seguridad basado en el usuario (USM) para la seguridad de mensajes y el modelo de control de acceso basado en vistas (VACM) para el control de acceso. USM especifica la autenticación y el cifrado. VACM especifica las reglas de control de acceso.
Requisitos de contraseña de texto sin formato de Junos OS
Junos OS tiene requisitos especiales cuando crea contraseñas de texto sin formato en un dispositivo. Los requisitos predeterminados para contraseñas de texto sin formato son los siguientes:
La contraseña debe tener entre 6 y 128 caracteres.
Puede incluir letras mayúsculas, minúsculas, números, signos de puntuación y cualquiera de los siguientes caracteres especiales: ! @ # $ % ^ & * , + = < >: ; No se recomiendan los caracteres de control.
La contraseña debe contener al menos un cambio de clase de caso o carácter.
Puede cambiar los requisitos para contraseñas de texto sin formato.
Puede incluir la plain-text-password
instrucción en los siguientes niveles de jerarquía:
[edit system diag-port-authentication]
[edit system pic-console-authentication]
[edit system root-authentication]
[edit system login user username authentication]
Soporte de Junos OS para funciones de seguridad de protocolo de enrutamiento e IPsec
La tarea principal de un dispositivo es reenviar el tráfico del usuario hacia su destino previsto según la información en las tablas de enrutamiento y reenvío del dispositivo. Puede configurar políticas de enrutamiento que definan los flujos de información de enrutamiento a través de la red, controlando qué rutas colocan los protocolos de enrutamiento en las tablas de enrutamiento y qué rutas anuncian en las tablas. También puede usar políticas de enrutamiento para cambiar características de ruta específicas, cambiar los valores de atenuación de flap de ruta del BGP, realizar equilibrio de carga por paquete y habilitar clase de servicio (CoS).
Los atacantes pueden enviar paquetes de protocolo falsificados a un dispositivo con la intención de cambiar o dañar el contenido de su tabla de enrutamiento u otras bases de datos, lo que puede degradar la funcionalidad del dispositivo. Para evitar estos ataques, debe asegurarse de que los dispositivos forman un emparejamiento de protocolo de enrutamiento o relaciones vecinas con pares de confianza. Una forma de hacerlo es autenticando los mensajes de protocolo de enrutamiento. Los protocolos BGP, IS-IS, OSPF, RIP y RSVP de Junos OS admiten la autenticación HMAC-MD5, la cual usa una clave secreta combinada con los datos que se protegen para calcular un hash. Cuando los protocolos envían mensajes, el hash calculado se transmite con los datos. El receptor usa la clave correspondiente para validar el hash del mensaje.
Junos OS admite el conjunto de seguridad IPsec para las capas de red IPv4 e IPv6. El conjunto ofrece funciones como autenticación de origen, integridad de datos, confidencialidad, protección de reproducción y no rechazo de origen. Junos OS también es compatible con IKE, que define mecanismos para la generación y el intercambio de claves, y administra las SA.
Soporte de Junos OS para filtros de firewall
Los filtros de firewall le permiten controlar los paquetes que transitan por el dispositivo a un destino de red y los paquetes destinados y enviados por el dispositivo. Puede configurar filtros de firewall para controlar qué paquetes de datos se aceptan en las interfaces físicas y qué paquetes locales se transmiten desde las interfaces físicas y el motor de enrutamiento. Los filtros de firewall proporcionan un medio para proteger su dispositivo del tráfico excesivo. Los filtros de firewall que controlan paquetes locales también pueden proteger su dispositivo de agresiones externas, como ataques DoS.
Para proteger el motor de enrutamiento, puede configurar un filtro de firewall solo en la interfaz de circuito cerrado del dispositivo. No es necesario agregar o modificar filtros para cada interfaz en el dispositivo. Puede diseñar filtros de firewall para proteger contra las inundaciones de la solicitud de conexión (SYN) del ICMP y del Protocolo de control de transmisión (TCP) y para limitar la velocidad de envío del tráfico al motor de enrutamiento.
Junos OS admite protección distribuida de denegación de servicio
Un ataque de denegación de servicio es cualquier intento de negar a los usuarios válidos el acceso a recursos de red o servidor mediante el uso de todos los recursos del elemento o servidor de red. Los ataques distribuidos de denegación de servicio implican un ataque de varias fuentes, lo que permite que una mayor cantidad de tráfico ataque a la red. Los ataques suelen usar paquetes de control de protocolo de red para activar una gran cantidad de excepciones en el plano de control del dispositivo. Esto resulta en una carga de procesamiento excesiva que interrumpe las operaciones normales de red.
La protección DDoS de Junos OS permite que el dispositivo siga funcionando mientras está bajo un ataque. Identifica y suprime paquetes de control maliciosos a la vez que permite procesar el tráfico de control legítimo. Un único punto de administración de protección contra DDoS permite a los administradores de red personalizar perfiles para su tráfico de control de red. La protección y la supervisión persisten en los conmutadores de motor de enrutamiento (GRES) y en los conmutadores unificados de actualización de software en servicio (ISSU). La protección no disminuye a medida que aumenta el número de suscriptores.
Para protegerse contra ataques DDoS, puede configurar agentes de políticas para el tráfico de excepciones vinculados al host. Los policiadores especifican límites de velocidad para tipos individuales de paquetes de control de protocolo o para todos los tipos de paquetes de control para un protocolo. Puede supervisar acciones de policía para tipos de paquetes y grupos de protocolos en el nivel del dispositivo, el motor de enrutamiento y las tarjetas de línea. También puede controlar el registro de eventos de policía.
La detección de flujo es una mejora de la protección de DDoS que complementa las jerarquías de los policiadores de DDoS mediante el uso de una cantidad limitada de recursos de hardware para supervisar la velocidad de llegada de flujos de tráfico de control vinculados al host. La detección de flujo es mucho más escalable que una solución basada en políticas de filtro. Los policías de filtro rastrean todos los flujos, lo que consume una cantidad considerable de recursos. Por el contrario, la detección de flujo solo rastrea los flujos que identifica como sospechosos, utilizando muchos menos recursos para hacerlo.
La aplicación de detección de flujo tiene dos componentes interrelacionados, la detección y el seguimiento. La detección es el proceso en el que se identifican y, posteriormente, se controlan los flujos sospechosos de ser incorrectos. El seguimiento es el proceso en el que se rastrean los flujos para determinar si son realmente hostiles y cuando estos flujos se recuperan dentro de límites aceptables.
Soporte de auditoría de Junos OS para seguridad
Junos OS registra eventos significativos que ocurren en el dispositivo y dentro de la red. Aunque el registro en sí no aumenta la seguridad, puede usar los registros del sistema para supervisar la efectividad de sus políticas de seguridad y configuraciones de dispositivo. También puede usar los registros cuando reaccione a un ataque continuo y deliberado como un medio para identificar la dirección de origen, el dispositivo o el puerto del tráfico del atacante. Puede configurar el registro de diferentes niveles de eventos, desde solo eventos críticos hasta todos los eventos, incluidos los eventos informativos. A continuación, puede inspeccionar el contenido de los archivos de registro del sistema en tiempo real o posterior.
La depuración y la resolución de problemas son mucho más fáciles cuando se sincronizan las marcas de hora en los archivos de registro del sistema de todos los dispositivos, ya que los eventos que abarcan la red pueden correlacionarse con entradas sincrónicas en varios registros. Junos OS es compatible con el Protocolo de tiempo de red (NTP), que puede habilitar en el dispositivo para sincronizar los relojes del sistema de los dispositivos y otros equipos de red. De forma predeterminada, NTP funciona en modo no autenticado. Puede configurar varios tipos de autenticación, incluyendo un esquema HMAC-MD5.