Video: What is a DMZ? (Demilitarized Zone) 2024
Junos OS memiliki sejumlah perilaku default yang berkontribusi terhadap keamanan router, perilaku yang segera berlaku begitu Anda melakukan konfigurasi router awal.
-
Akses router: Secara default, satu-satunya cara untuk mengakses router adalah dengan menghubungkan secara fisik ke port konsol router. Untuk mengkonfigurasi router awalnya, Anda harus menghubungkan laptop atau terminal lainnya langsung ke port konsol. Semua akses manajemen akses dan protokol akses manajemen lainnya, seperti Telnet, FTP, dan SSH, dinonaktifkan. (Pada router J-series, antarmuka web diaktifkan untuk membantu konfigurasi sistem awal.)
Setelah konfigurasi awal selesai, Anda harus mengaktifkan cara untuk masuk ke router jarak jauh sehingga Anda tidak perlu berada di sana secara fisik untuk terhubung ke port konsol router. SSH memberikan keamanan terbaik, dan Anda mengkonfigurasinya sebagai berikut:
[edit] fred @ router # set system services ssh
-
Mengkonfigurasi router dengan perintah set SNMP: Junos OS tidak mendukung kemampuan set SNMP untuk mengedit data konfigurasi, yang memungkinkan NMS memodifikasi konfigurasi pada perangkat jaringan terkelola. Junos OS tidak, secara default, memungkinkan SNMP untuk menanyakan status router, walaupun tidak diketahui risiko keamanan yang terkait dengan hal ini.
-
Pesan broadcast yang disutradarai: Junos OS tidak meneruskan pesan ini, yaitu datagrams dengan alamat tujuan dari alamat broadcast subnetwork IP. Siaran terarah mudah disalahgunakan, yang merupakan metode yang digunakan dalam serangan DoS.
-
alamat Mars: Junos OS mengabaikan rute untuk beberapa alamat yang dipesan (tapi tidak termasuk alamat pribadi yang ditentukan dalam RFC 1918). Alamat Mars tidak boleh terlihat di Internet, tapi rute untuk alamat ini kadang diiklankan oleh router yang salah dikonfigurasi. Anda bisa mengubah daftar alamat Mars, jika Anda menginginkannya.
Alamat Mars adalah alamat host atau jaringan yang memberitahukan semua informasi routing. Mereka umumnya dikirim oleh sistem yang tidak dikonfigurasi dengan benar pada jaringan dan memiliki alamat tujuan yang jelas tidak valid.
-
Enkripsi kata sandi: Saat mengkonfigurasi router, Anda perlu memasukkan kata sandi untuk berbagai fitur. Semua kata kunci ini diamankan - baik dengan enkripsi (pemetaan satu-ke-satu, yang mungkin untuk didekripsi), atau dengan hashing (pemetaan banyak-ke-banyak, yang tidak mungkin untuk dipecat), atau dengan algoritma - agar tidak ditemukan.
Bahkan dalam kasus di mana OS Junos meminta Anda untuk kata sandi teks biasa, perangkat lunak akan mengenkripsi segera setelah Anda mengetiknya.Saat Anda menampilkan kata sandi di file konfigurasi, Anda hanya melihat versi terenkripsi, yang ditandai sebagai RAHASIA-DATA. Misalnya, jika Anda mengonfigurasi kata sandi teks biasa untuk akun masuk pengguna, Junos mengenkripsi langsung menggunakan SHA1.
-
Sebagian penegakan kata kunci yang kuat: Junos OS memaksa penggunaan kata kunci yang kuat sampai batas tertentu, yang mengharuskan semua kata kunci yang Anda konfigurasikan minimal enam karakter, ada perubahan kasus, dan berisi angka atau tanda baca. Perangkat lunak ini menolak kata sandi yang tidak memenuhi kriteria ini.
Anda dapat meningkatkan penegakan kata kunci yang kuat dengan mengonfigurasikan panjang kata kunci minimum yang lebih panjang dan dengan meningkatkan jumlah minimum perubahan huruf, angka, dan tanda baca:
[edit system] fred @ router # set password login minimum-length nomor [edit system] fred @ router # set password login minimum-changes number
Selama konfigurasi awal router baru, Anda menetapkan kata kunci root sebagai kata kunci teks biasa. Karena pengguna root mampu melakukan setiap dan semua operasi di router, pengetatan akses ke akun root login adalah ide bagus. Salah satu cara untuk melakukannya adalah dengan mengkonfigurasi password root dengan menggunakan otentikasi kunci SSH.