Junos OS 개요

하나의 운영 체제

공통된 이름을 공유하지만 여러 다른 프로그램으로 분할되는 다른 네트워크 운영 체제와 달리, Junos OS는 모든 네트워크 디바이스 및 제품군에서 공유되는 통합형 단일 운영 체제입니다. 이를 통해 주니퍼 네트웍스 엔지니어는 소프트웨어 기능을 한 번 개발하면 모든 제품군에서 이러한 기능을 동시에 공유할 수 있습니다. 기능은 단일 소스에 공통적이기 때문에 일반적으로 모든 제품 라인에 대해 동일한 방식으로 구현되므로 각 제품에 대해 서로 다른 도구와 방법을 배우는 데 필요한 교육이 줄어듭니다. 모든 주니퍼 네트웍스 제품이 동일한 코드 베이스를 사용하기 때문에 제품 간의 상호 운용성은 문제가 되지 않습니다.

단일 모듈형 소프트웨어 아키텍처

Junos OS의 개별 모듈은 잘 정의된 인터페이스를 통해 통신하지만, 각 모듈은 보호된 자체 메모리 공간에서 실행되므로 한 모듈이 다른 모듈을 방해하지 않습니다. 이러한 분리를 통해 필요에 따라 각 모듈을 독립적으로 다시 시작할 수 있습니다. 이는 한 모듈의 오작동이 다른 모듈에 파급되어 전체 시스템 충돌 또는 재시작을 유발할 수 있는 모놀리식 운영 체제와는 대조적입니다. 이 모듈형 아키텍처는 다른 운영 체제에서는 볼 수 없는 고성능, 고가용성, 보안 및 디바이스 확장성을 제공합니다.

Junos OS는 공장에서 받을 때 주니퍼 네트웍스 디바이스에 사전 설치되어 있습니다. 따라서 장치의 전원을 처음 켜면 모든 소프트웨어가 자동으로 시작됩니다. 장치가 네트워크에 참여할 수 있도록 소프트웨어를 구성하기만 하면 됩니다.

새로운 기능이 추가되거나 소프트웨어 문제가 해결되면 디바이스 소프트웨어를 업그레이드할 수 있습니다. 일반적으로 주니퍼 네트웍스 지원 웹 페이지에서 소프트웨어 설치 패키지를 디바이스나 로컬 네트워크의 다른 시스템으로 다운로드하여 새 소프트웨어를 얻습니다. 그런 다음 디바이스에 소프트웨어 업그레이드를 설치합니다.

주니퍼 네트웍스 라우팅 플랫폼은 주니퍼 네트웍스가 제공하는 바이너리만 실행하며, 현재 타사 바이너리를 지원하지 않습니다. 각 Junos OS 이미지에는 서명을 검증할 수 있는 경우에만 시스템에 등록된 실행 파일의 디지털 서명 매니페스트가 포함되어 있습니다. Junos OS는 등록된 서명 없이 바이너리를 실행하지 않습니다. 이 기능은 장치의 무결성을 손상시킬 수 있는 무단 소프트웨어 및 활동으로부터 시스템을 보호합니다.

보안 부팅

보안 부팅은 UEFI 표준을 기반으로 하는 중요한 시스템 보안 강화 기능입니다( www.uefi.org 참조). BIOS 자체를 변조 또는 수정으로부터 보호한 다음 부팅 프로세스 전반에 걸쳐 보호 기능을 유지하는 방식으로 작동합니다.

보안 부팅 프로세스는 펌웨어를 무단으로 변경할 수 없도록 하는 보안 플래시로 시작됩니다. Junos OS의 공인 릴리스에는 주니퍼 네트웍스가 직접 또는 공인 파트너 중 한 곳에서 생성한 디지털 서명이 포함됩니다. 부팅 프로세스의 각 지점에서 각 구성 요소는 바이너리가 수정되지 않았는지 확인하기 위해 서명을 확인하여 다음 링크가 건전한지 확인합니다. 서명이 올바르지 않으면 부팅 프로세스를 계속할 수 없습니다. 이 "신뢰 체인"은 운영 체제가 제어할 때까지 계속됩니다. 이러한 방식으로 전반적인 시스템 보안이 향상되어 일부 펌웨어 기반의 지속적인 위협에 대한 저항력이 향상됩니다.

그림 1은 이 "신뢰 체인"의 단순화된 버전을 보여줍니다.

보안 부팅을 구현하기 위해 사용자가 수행할 작업이 필요하지 않습니다. 기본적으로 지원되는 하드웨어에서 구현됩니다.

SRX2300 디바이스용 보안 부팅은 주니퍼 하드웨어를 보호하고 무단 코드 또는 데이터의 실행을 차단하도록 설계된 중요한 보안 메커니즘의 역할을 합니다. 승인되지 않은 법인은 적절한 주니퍼 디지털 서명 또는 승인된 계열사의 디지털 서명이 없는 법인으로 정의됩니다.

다음은 보안 부팅이 SRX2300 장치에 대해 구체적으로 작동하는 방식에 대한 간결한 분석입니다.

• 전원 켜기 시퀀스: 전원을 켜면 CPU가 UEFI BIOS로 실행을 시작합니다.

• 부트 로더 : UEFI BIOS는 서명된 PE/COFF32+ 실행 파일 \EFI\BOOT\BOOTX64를 로드합니다. Efi. 이 실행 파일에는 수정된 GRUB2가 포함되어 있어 적절한 분리된 서명이 있는 파일에 대한 파일 읽기 I/O만 허용합니다.

• 분리된 서명: GRUB2 분리 서명은 바이너리(비아머링) OpenPGP 형식을 사용하여 ${object}.psig로 저장됩니다.

• GPG 키 스토리지: GRUB2로 컴파일된 신뢰할 수 있는 GPG 공개 키와 함께 추가 GPG 키는 \EFI\BOOT\grub-trusted.gpg에 저장할 수 있습니다.

• 신탁 설립 : \EFI\BOOT\grub-trusted.gpg에 대한 신뢰는 \EFI\BOOT\BOOTX64에 포함된 grub-root 키를 사용하여 \EFI\BOOT\grub-trusted.gpg.psig를 확인하여 설정합니다. Efi.

• GRUB2 구성: \EFI\BOOT\grub-startup.cfg에 있는 GRUB2 시작 설정은 서명된 Linux 커널과 선택적으로 서명된 initrd 이미지를 로드하는 역할을 합니다.

• 파일 로딩 제한: BOOTX64. EFI는 일관되게 올바르게 서명된 파일을 고집하며 GRUB 구성 또는 GRUB 환경 파일을 제외하고 서명되지 않은 파일을 로드하지 않습니다.

설치 및 활성화

SRX2300 장치에 대해 보안 부팅을 사용하도록 설정하려면 BIOS 메뉴로 이동하여 보안 부팅 관리 메뉴에서 보안 부팅을 공장 설정으로 복원을 선택합니다.

참고:

보안 부팅을 사용하도록 설정한 후에는 사용하지 않도록 설정할 수 없습니다.

Secure Boot를 지원하는 Junos OS 릴리스 및 하드웨어에 대한 자세한 내용은 기능 탐색기 를 참조하여 을 입력합니다 Secure Boot.

FIPS 140-2 보안 준수

고급 네트워크 보안을 위해 Junos-FIPS 140-2라는 Junos OS의 특수 버전을 사용할 수 있습니다. Junos-FIPS 140-2는 FIPS 환경에서 주니퍼 네트웍스 디바이스의 네트워크를 구성할 수 있는 소프트웨어 도구를 고객에게 제공합니다. FIPS 지원에는 다음이 포함됩니다.

• Junos OS를 Junos-FIPS 140-2로 변환하기 위한 업그레이드 패키지

• 개정된 설치 및 구성 절차

• 원격 액세스를 위한 보안 강화

• FIPS 사용자 역할(암호화 책임자, 사용자 및 유지 관리)

• FIPS 관련 시스템 로깅 및 오류 메시지

• 라우팅 엔진 간 통신을 위한 IPsec 구성

• 향상된 암호 생성 및 암호화

Junos OS 릴리스 15.1부터 Junos-FIPS는 국내 이미지로만 패키징되며, 단일 Junos OS 이미지는 국내 및 FIPS 기능을 모두 지원합니다. FIPS 자격 증명과 로그인 권한이 있는 사용자는 일반 Junos 이미지와 FIPS 이미지 간에 전환할 수 있습니다.

참고:

Junos-FIPS에는 특별한 암호 요구 사항이 있습니다. FIPS 암호의 길이는 10자에서 20자 사이여야 합니다. 암호는 5개의 정의된 문자 집합(대문자, 소문자, 숫자, 구두점 및 기타 특수 문자) 중 3개 이상을 사용해야 합니다. 디바이스에 Junos-FIPS가 설치되어 있는 경우, 이 표준을 충족하지 않는 한 암호를 구성할 수 없습니다.