Video: Dan Gibson intruduces "The Sacred City" #Full #HD #documentary about the real birth place of #Islam 2024
Junos OS mempunyai beberapa tingkah laku lalai yang menyumbang kepada keselamatan router, tingkah laku yang segera berkuat kuasa sebaik sahaja anda melakukan konfigurasi penghala awal.
-
Akses penghala: Secara lalai, satu-satunya cara untuk mengakses penghala adalah dengan menyambung secara fizikal ke port konsol penghala. Untuk mengkonfigurasi penghala pada mulanya, anda mesti menyambungkan komputer riba atau terminal lain terus ke port konsol. Semua akses pengurusan jauh dan protokol akses pengurusan, seperti Telnet, FTP, dan SSH, dilumpuhkan. (Pada penghantar rangkaian J, antara muka web diaktifkan untuk membantu konfigurasi sistem awal.)
Setelah konfigurasi awal selesai, anda perlu mendayakan cara untuk log masuk jauh ke penghala supaya anda tidak perlu berada di sana secara fizikal untuk menyambung ke port konsol penghala. SSH menyediakan keselamatan yang terbaik dan mengonfigurasinya sebagai berikut:
[edit] fred @ router # perkhidmatan sistem set ssh
-
Mengkonfigurasi penghala dengan arahan set SNMP: Junos OS tidak menyokong kemampuan set SNMP untuk menyunting data konfigurasi, yang membolehkan NMS mengubah suai konfigurasi pada peranti rangkaian terurus. Junos OS, secara lalai, membenarkan SNMP untuk menanyakan status penghala, walaupun tiada risiko keselamatan yang diketahui dikaitkan dengan ini.
-
Mesej siaran yang diarahkan: Junos OS tidak memajukan mesej ini, yang datagrams dengan alamat tujuan alamat penyiaran subnet jaringan IP. Siaran yang diarahkan mudah dibuang, yang merupakan kaedah yang digunakan dalam serangan DoS.
-
Alamat Martian: Junos OS mengabaikan laluan untuk beberapa alamat yang dikhaskan (tetapi tidak termasuk alamat peribadi yang ditakrifkan dalam RFC 1918). Alamat Martian tidak boleh dilihat di Internet, tetapi laluan untuk alamat ini kadang-kadang diiklankan oleh router yang salah konfigurasi. Anda boleh mengubah senarai alamat Martian, jika anda inginkan.
Alamat Martian adalah alamat hos atau rangkaian yang mana semua maklumat rutin diabaikan. Mereka biasanya dihantar oleh sistem yang tidak betul dikonfigurasikan pada rangkaian dan mempunyai alamat destinasi yang jelas tidak sah.
-
Penyulitan kata laluan: Apabila mengkonfigurasi penghala, anda perlu memasukkan kata laluan untuk pelbagai ciri. Semua kata laluan ini dijamin - sama ada dengan penyepaduan (pemetaan one-to-one, yang boleh disahsulit), atau hashing (pemetaan banyak-banyak adalah mustahil untuk membongkar), atau dengan algoritma - untuk memastikan mereka tidak dapat ditemui.
Walaupun dalam kes di mana OS Junos menggesa anda untuk kata laluan teks biasa, perisian itu menyulitkannya sebaik sahaja anda menaipnya.Apabila anda memaparkan kata laluan dalam fail konfigurasi, anda hanya melihat versi yang disulitkan, ditandakan sebagai SECRET-DATA. Sebagai contoh, jika anda mengkonfigurasi kata laluan teks biasa untuk akaun log pengguna, Junos menyulitkannya dengan segera menggunakan SHA1.
-
Penguatkuasaan separa kata laluan yang kuat: Junos OS menguatkuasakan penggunaan kata laluan yang kuat ke tahap yang tertentu, yang memerlukan semua kata laluan yang anda konfigurasikan sekurang-kurangnya enam aksara panjang, mempunyai perubahan kes, dan mengandungi sama ada angka atau tanda baca. Perisian ini menolak kata laluan yang tidak memenuhi kriteria ini.
Anda boleh meningkatkan penguatkuasaan kata laluan yang kuat dengan mengkonfigurasikan panjang kata laluan minimum yang lebih lama dan dengan meningkatkan jumlah minimum kes, digit, dan perubahan tanda baca:
[edit system] fred @ router # set password login minimum-panjang nombor [edit system] fred @ router # kata laluan login set minimum perubahan nombor
Semasa konfigurasi awal router baru, anda menetapkan kata laluan root sebagai kata laluan teks biasa. Kerana pengguna root dapat melakukan apa-apa dan semua operasi pada router, mengetatkan akses ke akaun login root adalah ide yang baik. Satu cara untuk melakukannya ialah mengkonfigurasi kata laluan root menggunakan pengesahan utama SSH.
