Video: Using Juniper for the First Time | JunOS CLI 2025
Junos OS verfügt über eine Reihe von Standardverhalten, die zur Sicherheit des Routers beitragen. Diese Verhaltensweisen treten sofort in Kraft, wenn Sie die anfängliche Routerkonfiguration durchführen.
-
Routerzugriff: Standardmäßig ist der Zugriff auf den Router nur möglich, wenn eine physische Verbindung zum Konsolenport des Routers hergestellt wird. Um den Router zunächst zu konfigurieren, müssen Sie einen Laptop oder ein anderes Terminal direkt an den Konsolenanschluss anschließen. Alle anderen Remotezugriffs- und Verwaltungszugriffsprotokolle wie Telnet, FTP und SSH sind deaktiviert. (Bei Routern der J-Serie ist die Webschnittstelle aktiviert, um die anfängliche Systemkonfiguration zu unterstützen.)
Sobald die anfängliche Konfiguration abgeschlossen ist, müssen Sie eine Möglichkeit aktivieren, sich per Fernzugriff am Router anzumelden, damit Sie nicht physisch mit dem Konsolenanschluss des Routers verbunden sein müssen. SSH bietet die beste Sicherheit und Sie konfigurieren es wie folgt:
[Bearbeiten] Fred @ Router # Systemdienste einstellen ssh
-
Router mit SNMP-Set-Befehlen konfigurieren: Junos OS unterstützt die SNMP-Set-Fähigkeit nicht zum Bearbeiten von Konfigurationsdaten, wodurch ein NMS die Konfigurationen auf verwalteten Netzwerkgeräten ändern kann. Das Junos-Betriebssystem erlaubt SNMP standardmäßig, den Status des Routers abzufragen, obwohl damit keine bekannten Sicherheitsrisiken verbunden sind.
-
Directed Broadcast-Nachrichten: Junos OS leitet diese Nachrichten nicht weiter, bei denen es sich um Datagramme mit einer Zieladresse einer IP-Subnetz-Broadcast-Adresse handelt. Directed Broadcasts sind leicht zu spoofen, was bei DoS-Angriffen der Fall ist.
-
Mars-Adressen: Junos OS ignoriert Routen für mehrere reservierte Adressen (jedoch nicht die in RFC 1918 definierten privaten Adressen). Mars-Adressen sollten niemals im Internet gesehen werden, aber Routen für diese Adressen werden manchmal von falsch konfigurierten Routern angekündigt. Sie können die Liste der Marsadressen ändern, wenn Sie dies wünschen.
Mars-Adressen sind Host- oder Netzwerkadressen, über die alle Routing-Informationen ignoriert werden. Sie werden normalerweise von falsch konfigurierten Systemen im Netzwerk gesendet und haben offensichtlich ungültige Zieladressen.
-
Passwortverschlüsselung: Bei der Konfiguration des Routers müssen Sie Passwörter für verschiedene Funktionen eingeben. Alle diese Passwörter sind gesichert - entweder durch Verschlüsselung (eine Eins-zu-Eins-Zuordnung, die zu entschlüsseln ist) oder durch Hashing (ein Many-to-Many-Mapping, das ist unmöglich zu lschen) oder durch Algorithmen - um sie davor zu bewahren, entdeckt zu werden.
Selbst in Fällen, in denen Junos OS Sie zur Eingabe eines Klartextkennworts auffordert, verschlüsselt die Software diese sofort nach der Eingabe.Wenn Sie das Passwort in der Konfigurationsdatei anzeigen, sehen Sie nur die verschlüsselte Version, die als SECRET-DATA markiert ist. Wenn Sie beispielsweise ein Nur-Text-Kennwort für ein Benutzeranmeldekonto konfigurieren, verschlüsselt Junos es sofort mit SHA1.
-
Teilweise Durchsetzung starker Kennwörter: Das Junos-Betriebssystem erzwingt die Verwendung starker Kennwörter in gewissem Umfang, sodass alle Kennwörter, die Sie konfigurieren, mindestens sechs Zeichen lang sind, einen Fallwechsel aufweisen und entweder Ziffern oder Satzzeichen enthalten… Die Software lehnt Kennwörter ab, die diese Kriterien nicht erfüllen.
Sie können die Durchsetzung von starken Kennwörtern verbessern, indem Sie eine längere Mindest-Kennwortlänge konfigurieren und die Mindestanzahl von Satz-, Ziffern- und Satzzeichenänderungen erhöhen:
[System bearbeiten] fred @ router # Anmeldekennwort Mindestlänge festlegen Nummer [System bearbeiten] fred @ router # Anmeldepasswort festlegen Mindestanzahl der Änderungen Nummer
Bei der Erstkonfiguration eines neuen Routers legen Sie das Root-Passwort als Klartextpasswort fest. Da der Root-Benutzer in der Lage ist, alle Operationen auf dem Router auszuführen, empfiehlt es sich, den Zugriff auf das Root-Anmeldekonto zu verschärfen. Eine Möglichkeit besteht darin, das Root-Kennwort mithilfe der SSH-Schlüsselauthentifizierung zu konfigurieren.
