Prevención del acceso no autorizado a conmutadores de la serie EX mediante el modo desatendido para el arranque en U

Junos OS le permite configurar un modo asistido para U-Boot para evitar el acceso no autorizado al conmutador durante el proceso de arranque. Cuando configure el modo desatendido, un usuario puede acceder a la CLI durante el proceso de arranque mediante el suministro de la contraseña del cargador de arranque. Esto impide el acceso no autorizado durante el proceso de arranque. Lea este tema para obtener más información.

Descripción del modo desatendido para U-Boot en conmutadores de la serie EX

El modo desatendido para U-Boot se puede configurar para evitar el acceso no autorizado al conmutador que puede ocurrir durante el proceso de arranque. Después de restablecer la CPU, hay varios métodos conocidos de acceso al sistema antes de que aparezca el indicador de inicio de sesión de JUNOS OS que no requieren que el usuario escriba las credenciales de autorización. Al obtener acceso no autorizado, el usuario puede ver, modificar o dañar la configuración del conmutador, o hacer que el conmutador no esté disponible en la red.

Cuando se configura el modo desatendido, el usuario puede acceder a la CLI durante el proceso de arranque solo presionando <Ctrl+c> e ingresando la contraseña correcta, que se conoce como contraseña del cargador de arranque. La contraseña del cargador de arranque debe haberse configurado anteriormente en el conmutador. Si introduce la contraseña correcta del cargador de arranque, el usuario estará en la CLI de U-Boot. Si la contraseña es incorrecta, o si no se introduce ninguna contraseña en un minuto, el acceso a la CLI de U-Boot se bloquea y el proceso de arranque continúa automáticamente.

El acceso al símbolo del sistema del cargador de arranque (loader>) se bloquea en modo desatendido, lo que impide el uso de los siguientes mecanismos de recuperación: recuperación de contraseña raíz mediante el modo de usuario único y el arranque del conmutador mediante un paquete de software almacenado en una unidad flash USB.

Nota:

Si la contraseña raíz se pierde mientras el conmutador está en modo desatendido, el conmutador debe restablecerse a la configuración predeterminada de fábrica mediante el panel LCD. Para obtener más información, consulte Revertir a la configuración de fábrica predeterminada para el conmutador de la serie EX.

Si el modo desatendido no está configurado, pero se configuró una contraseña de cargador de arranque, el usuario debe ingresar la contraseña correcta para acceder a la CLI de U-Boot. Si no se ha configurado una contraseña de cargador de arranque, el usuario puede acceder a la CLI de U-Boot sin introducir una contraseña. En cualquier caso, el usuario puede acceder al símbolo del sistema del cargador de arranque, que permite la recuperación de contraseña raíz mediante el modo de usuario único, así como el arranque desde una unidad flash USB.

El modo desatendido no está habilitado de forma predeterminada. Cuando se configura, el modo desatendido está activado y bloqueará el acceso no autorizado al conmutador. Tabla 1 resume los comportamientos del modo U-Boot.

Tabla 1: Comportamiento del modo desatendido
Modo desatendido	Contraseña del cargador de arranque	Comportamiento
En	Establecer	El acceso a la CLI de U-Boot solo se permite después de escribir la contraseña correcta. El acceso al símbolo del sistema del cargador está bloqueado. El arranque desde USB está bloqueado. Se bloquea la recuperación de contraseña raíz mediante el modo de usuario único.
En	No establecido	El acceso a la CLI de U-Boot está bloqueado. El acceso al símbolo del sistema del cargador está bloqueado. El arranque desde USB está bloqueado. Se bloquea la recuperación de contraseña raíz mediante el modo de usuario único.
Fuera	Establecer	El acceso a la CLI de U-Boot solo se permite después de escribir la contraseña correcta. Se permite el acceso al símbolo del sistema del cargador. Se permite el arranque desde USB. Se permite la recuperación de contraseña raíz mediante el modo de usuario único.
Fuera	No establecido	Se permite el acceso a la CLI de U-Boot. Se permite el acceso al símbolo del sistema del cargador. Se permite el arranque desde USB. Se permite la recuperación de contraseña raíz mediante el modo de usuario único.

Uso del modo desatendido para U-Boot para evitar el acceso no autorizado

El modo desatendido para U-Boot se puede utilizar para evitar el acceso no autorizado al conmutador que puede ocurrir durante el proceso de arranque. Cuando se configura el modo desatendido, el usuario puede acceder a la CLI durante el proceso de arranque solo ingresando la contraseña correcta, que se conoce como contraseña del cargador de arranque. La contraseña del cargador de arranque debe haberse configurado anteriormente en el conmutador.

Cuando se configura el modo desatendido, se bloquea el acceso al símbolo del sistema (loader>) del cargador de arranque, lo que impide el uso de los siguientes mecanismos de recuperación: recuperación de contraseña raíz mediante el modo de usuario único y el arranque del conmutador mediante un paquete de software almacenado en una unidad flash USB.

Aviso:

En los conmutadores EX2200, si la contraseña de modo raíz y desatendido se pierde mientras el conmutador está en modo desatendido, no hay ningún método de recuperación alternativo disponible. El conmutador debe devolverse a Juniper Networks. Para obtener más información, consulte Devolver un conmutador o componente EX2200 para reparación o reemplazo.

Para usar el modo desatendido, siga los siguientes procedimientos:

Configuración de la contraseña del cargador de arranque
Configuración del modo desatendido para U-Boot
Acceso a la CLI de U-Boot

Configuración de la contraseña del cargador de arranque

Para configurar la contraseña del cargador de arranque, puede usar una contraseña de texto sin formato que el sistema cifra por usted o una contraseña que ya se ha cifrado. Si usa una contraseña de texto sin formato, Junos OS muestra la contraseña como una cadena cifrada para que los usuarios que visualizan la configuración no puedan verla. A medida que ingresa la contraseña en texto sin formato, Junos OS la cifra inmediatamente. No es necesario configurar Junos OS para cifrar la contraseña. Las contraseñas de texto sin formato se ocultan y se marcan como ## SECRET-DATA en la configuración.

Para configurar la contraseña del cargador de arranque:

Escriba una contraseña de texto sin formato o una contraseña cifrada mediante el set system boot-loader authentication comando.
- Para escribir una contraseña de texto sin formato, utilice la plain-text-password opción y vuelva a ingresar la contraseña cuando se le solicite:
- Para introducir una contraseña que ya está cifrada, utilice la encrypted-password opción:
Confirme los cambios.
Para ver las entradas de contraseña cifradas, utilice el comando de modo show de configuración. Por ejemplo:

Configuración del modo desatendido para U-Boot

Antes de habilitar el modo desatendido para U-Boot, debe descargar e instalar el paquete /volume/build/junos/13.2/service/13.2X51-D20.2/ship/jloader-ex-2200-13.2X51-D20.2-signed.tgzde firmware jloader, como se describe en TSB16425.

El modo desatendido para U-Boot no está habilitado de forma predeterminada. Utilice el siguiente procedimiento para configurar el modo desatendido:

Configure el modo desatendido.

Confirme los cambios.

Acceso a la CLI de U-Boot

Cuando se configura el modo desatendido para U-Boot y se ha establecido la contraseña del cargador de arranque, puede acceder a la CLI de U-Boot durante el proceso de arranque presionando <Ctrl+c> e ingresando la contraseña en el símbolo:

La contraseña correcta debe ingresarse en un minuto después de que aparezca el indicador. Si la contraseña no se introduce en un minuto, o si la contraseña es incorrecta o no se ha configurado, el acceso a la CLI de U-Boot se bloqueará y el proceso de arranque continuará. Para obtener más información acerca del comportamiento del modo desatendido, consulte Descripción del modo desatendido para el arranque en U en conmutadores de la serie EX.

EN ESTA PÁGINA