Prevención del acceso no autorizado a conmutadores de la serie EX mediante el modo desatendido para U-Boot

Junos OS le permite configurar un modo adjunto para U-Boot para evitar el acceso no autorizado al conmutador durante el proceso de arranque. Cuando configura el modo desatendido, un usuario puede acceder a la CLI durante el proceso de arranque mediante el suministro de la contraseña del cargador de arranque. Esto evita el acceso no autorizado durante el proceso de arranque. Lea este tema para obtener más información.

Descripción del modo desatendido para U-Boot en conmutadores de la serie EX

El modo desatendido para U-Boot se puede configurar para evitar el acceso no autorizado al conmutador que puede ocurrir durante el proceso de arranque. Después de restablecer la CPU, hay varios métodos conocidos para acceder al sistema antes de que aparezca el indicador de inicio de sesión de JUNOS OS que no requieren que el usuario introduzca credenciales de autorización. Al obtener acceso no autorizado, el usuario puede ver, modificar o dañar la configuración del conmutador, o hacer que el conmutador no esté disponible en la red.

Cuando se configura el modo desatendido, el usuario puede acceder a la CLI durante el proceso de arranque solo presionando <Ctrl+c> e ingresando la contraseña correcta, que se conoce como contraseña de cargador de arranque. La contraseña del cargador de arranque debe haber sido configurada previamente en el conmutador. Al ingresar la contraseña correcta del cargador de arranque, el usuario se colocará en la CLI de U-Boot. Si la contraseña es incorrecta o si no se introduce ninguna contraseña en un minuto, el acceso a la CLI de U-Boot se bloquea y el proceso de arranque continúa automáticamente.

El acceso al símbolo del sistema del cargador de arranque (loader>) se bloquea en modo desatendido, lo que impide el uso de los siguientes mecanismos de recuperación: recuperación de contraseña raíz mediante el modo de usuario único y arranque del conmutador mediante un paquete de software almacenado en una unidad flash USB.

Nota:

Si se pierde la contraseña raíz mientras el conmutador está en modo desatendido, el conmutador debe restablecerse a la configuración predeterminada de fábrica mediante el panel LCD. Para obtener más información, consulte Revertir a la configuración predeterminada de fábrica para el conmutador de la serie EX.

Si el modo desatendido no está configurado, pero se configuró una contraseña de cargador de arranque, el usuario debe introducir la contraseña correcta para acceder a la CLI de U-Boot. Si no se ha configurado una contraseña de cargador de arranque, el usuario puede acceder a la CLI de U-Boot sin especificar una contraseña. En cualquier caso, el usuario puede acceder al símbolo del sistema del cargador de arranque, que permite la recuperación de contraseña de raíz mediante el uso del modo de usuario único, así como el arranque desde una unidad flash USB.

El modo desatendido no está habilitado de forma predeterminada. Cuando esté configurado, el modo desatendido está activado y bloqueará el acceso no autorizado al conmutador. Tabla 1 resume los comportamientos del modo U-Boot.

Tabla 1: Comportamiento del modo desatendido
Modo desatendido	Contraseña del cargador de arranque	Comportamiento
En	Establecer	El acceso a la CLI de U-Boot solo se permite después de ingresar la contraseña correcta. El acceso al símbolo del sistema del cargador está bloqueado. El arranque desde USB está bloqueado. La recuperación de contraseña raíz mediante el modo de usuario único se bloquea.
En	No establecido	El acceso a la CLI de U-Boot está bloqueado. El acceso al símbolo del sistema del cargador está bloqueado. El arranque desde USB está bloqueado. La recuperación de contraseña raíz mediante el modo de usuario único se bloquea.
Apagado	Establecer	El acceso a la CLI de U-Boot solo se permite después de ingresar la contraseña correcta. Se permite el acceso al símbolo del sistema del cargador. Se permite el arranque desde USB. Se permite la recuperación de contraseña raíz mediante el modo de usuario único.
Apagado	No establecido	Se permite el acceso a la CLI de U-Boot. Se permite el acceso al símbolo del sistema del cargador. Se permite el arranque desde USB. Se permite la recuperación de contraseña raíz mediante el modo de usuario único.

Uso del modo desatendido para el arranque automático para evitar el acceso no autorizado

El modo desatendido para U-Boot se puede utilizar para evitar el acceso no autorizado al conmutador que puede ocurrir durante el proceso de arranque. Cuando se configura el modo desatendido, el usuario puede acceder a la CLI durante el proceso de arranque solo ingresando la contraseña correcta, que se conoce como contraseña de cargador de arranque. La contraseña del cargador de arranque debe haber sido configurada previamente en el conmutador.

Cuando se configura el modo desatendido, el acceso al símbolo del sistema del cargador de arranque (loader>) se bloquea, lo que impide el uso de los siguientes mecanismos de recuperación: recuperación de contraseña raíz mediante el modo de usuario único y arranque del conmutador mediante un paquete de software almacenado en una unidad flash USB.

Advertencia:

En los conmutadores EX2200, si se pierde la contraseña del modo raíz y desatendido mientras el conmutador está en modo desatendido, no hay ningún método de recuperación alternativo disponible. El conmutador debe devolverse a Juniper Networks. Para obtener más información, consulte Devolver un componente o conmutador EX2200 para reparación o reemplazo.

Para usar el modo desatendido, siga los procedimientos siguientes:

Configuración de la contraseña del cargador de arranque
Configuración del modo desatendido para el arranque automático
Acceso a la CLI de U-Boot

Configuración de la contraseña del cargador de arranque

Para configurar la contraseña del cargador de arranque, puede usar una contraseña de texto sin formato que el sistema cifra por usted o una contraseña que ya se ha cifrado. Si utiliza una contraseña de texto sin formato, Junos OS muestra la contraseña como una cadena cifrada para que los usuarios que ven la configuración no puedan verla. A medida que ingresa la contraseña en texto sin formato, Junos OS la cifra de inmediato. No es necesario configurar Junos OS para cifrar la contraseña. Las contraseñas de texto sin formato se ocultan y se marcan como ## SECRET-DATA en la configuración.

Para configurar la contraseña del cargador de arranque:

Escriba una contraseña de texto sin formato o una contraseña cifrada mediante el set system boot-loader authentication comando.
- Para ingresar una contraseña de texto sin formato, utilice la plain-text-password opción y vuelva a ingresar la contraseña cuando se le solicite:
- Para introducir una contraseña que ya esté cifrada, utilice la encrypted-password opción:
Confirme los cambios.
Para ver las entradas de contraseña cifradas, utilice el comando del modo show de configuración. Por ejemplo:

Configuración del modo desatendido para el arranque automático

Antes de habilitar el modo desatendido para U-Boot, debe descargar e instalar el paquete /volume/build/junos/13.2/service/13.2X51-D20.2/ship/jloader-ex-2200-13.2X51-D20.2-signed.tgzde firmware jloader, como se describe en TSB16425.

El modo desatendido para el U-Boot no está habilitado de forma predeterminada. Utilice el siguiente procedimiento para configurar el modo desatendido:

Configure el modo desatendido.

Confirme los cambios.

Acceso a la CLI de U-Boot

Cuando el modo desatendido para U-Boot está configurado y la contraseña del cargador de arranque se ha establecido, puede acceder a la CLI de U-Boot durante el proceso de arranque presionando <Ctrl+c> e ingresando la contraseña en el indicador:

La contraseña correcta debe ingresarse en el plazo de un minuto después de que aparezca el indicador. Si la contraseña no se ingresa en un minuto, o si la contraseña es incorrecta o no se ha configurado, el acceso a la CLI de U-Boot se bloqueará y el proceso de arranque continuará. Para obtener más información acerca del comportamiento del modo desatendido, consulte Descripción del modo desatendido para U-Boot en conmutadores de la serie EX.

EN ESTA PÁGINA