JUNIPER merkiEinfaldleiki verkfræði
Junos® stýrikerfi
FIPS metinn stillingarleiðbeiningar fyrir
MX960, MX480 og MX240 tæki

Innihald fela sig
1 JUNIPER NETWORKS Junos OS FIPS metin tæki
2 Yfirview
3 Stilla stjórnunarskilríki og réttindi
4 Stilla hlutverk og auðkenningaraðferðir
5 Stilla SSH og Console tengingu
6 Stillir MACsec
7 Stillir MACsec með lyklakippu fyrir Layer 2 Traffic
8 Stilla atburðaskráningu
9 Framkvæma sjálfspróf á tæki
10 Aðgerðarstjórnir
11 Skjöl / auðlindir
11.1 Heimildir

JUNIPER NETWORKS Junos OS FIPS metin tæki

JUNIPER NETWORKS Junos OS FIPS metin tæki 1LEGA ÚT
20.3X75-D30

Juniper Networks, Inc.
1133 Nýsköpunarleið
Sunnyvale, Kalifornía 94089
Bandaríkin
408-745-2000
www.juniper.net
Juniper Networks, Juniper Networks lógóið, Juniper og Junos eru skráð vörumerki Juniper Networks, Inc.
í Bandaríkjunum og öðrum löndum. Öll önnur vörumerki, þjónustumerki, skráð merki eða skráð þjónustumerki eru eign viðkomandi eigenda.
Juniper Networks tekur enga ábyrgð á ónákvæmni í þessu skjali. Juniper Networks áskilur sér rétt til að breyta, breyta, flytja eða á annan hátt endurskoða þessa útgáfu án fyrirvara.
Junos® OS FIPS metinn stillingarleiðbeiningar fyrir MX960, MX480 og MX240 tæki 20.3X75-D30
Höfundarréttur © 2023 Juniper Networks, Inc. Allur réttur áskilinn.
Upplýsingarnar í þessu skjali eru gildar frá og með dagsetningunni á titilsíðunni.
ÁR 2000 TILKYNNING
Juniper Networks vél- og hugbúnaðarvörur eru í samræmi við árið 2000. Junos OS hefur engar þekktar tímatengdar takmarkanir fram til ársins 2038. Hins vegar er vitað að NTP forritið á í einhverjum erfiðleikum árið 2036.
SAMNINGUR um LOKANOTA
Juniper Networks varan sem er viðfangsefni þessara tæknigagna samanstendur af (eða er ætluð til notkunar með) Juniper Networks hugbúnaði. Notkun slíks hugbúnaðar er háð skilmálum og skilyrðum notendaleyfissamningsins („EULA“) sem birtur er á https://support.juniper.net/support/eula/. Með því að hlaða niður, setja upp eða nota slíkan hugbúnað samþykkir þú skilmála og skilyrði þess ESBLA.

Um þessa handbók
Notaðu þessa handbók til að stjórna MX960, MX480 og MX240 tækjum í Federal Information Processing Standards (FIPS) 140-2 Level 1 umhverfi. FIPS 140-2 skilgreinir öryggisstig fyrir vélbúnað og hugbúnað sem framkvæma dulmálsaðgerðir.
SKJÁLSAKIÐ
Common Criteria og FIPS vottanir

Yfirview

Að skilja Junos OS í FIPS ham
Í ÞESSUM KAFLI

  • Stuðlaðir pallar og vélbúnaður | 2
  • Um dulmálsmörkin á tækinu þínu | 3
  • Hvernig FIPS hamur er frábrugðinn non-FIPS ham | 3
  • Staðfest útgáfa af Junos OS í FIPS ham | 3

Federal Information Processing Standards (FIPS) 140-2 skilgreinir öryggisstig fyrir vél- og hugbúnað sem framkvæma dulmálsaðgerðir. Þessi Juniper Networks bein sem keyrir Juniper Networks Junos stýrikerfið (Junos OS) í FIPS ham uppfyllir FIPS 140-2 Level 1 staðalinn.
Notkun þessa beins í FIPS 140-2 Level 1 umhverfi krefst þess að virkja og stilla FIPS ham á tækjunum frá Junos OS stjórnlínuviðmótinu (CLI).
Crypto Officer gerir FIPS ham í Junos OS og setur upp lykla og lykilorð fyrir kerfið og aðra FIPS notendur.
Stuðlaðir pallar og vélbúnaður
Fyrir þá eiginleika sem lýst er í þessu skjali eru eftirfarandi vettvangar notaðir til að uppfylla FIPS-vottun:

Um dulmálsmörkin á tækinu þínu
FIPS 140-2 samræmi krefst skilgreindra dulmálsmörka í kringum hverja dulmálseiningu í tæki. Junos OS í FIPS ham kemur í veg fyrir að dulmálseiningin geti keyrt hugbúnað sem er ekki hluti af FIPS-vottaðri dreifingu og gerir aðeins kleift að nota FIPS-samþykkt dulritunaralgrím. Engar mikilvægar öryggisbreytur (CSP), eins og lykilorð og lyklar, geta farið yfir dulmálsmörk einingarinnar á ódulkóðuðu sniði.
THE OUTDOOR PLUS TOP Series Fire Pit tengisett og innlegg - Tákn 1 VARÚÐ: Sýndarundirvagnareiginleikar eru ekki studdir í FIPS ham. Ekki stilla sýndarundirvagn í FIPS ham.

Hvernig FIPS hamur er frábrugðinn non-FIPS ham
Junos OS í FIPS ham er frábrugðið Junos OS í non-FIPS ham á eftirfarandi hátt:

  • Sjálfspróf á öllum dulritunaralgrímum eru framkvæmd við ræsingu.
  • Sjálfspróf á slembitölu og lyklamyndun eru gerðar stöðugt.
  • Veik dulritunaralgrím eins og Data Encryption Standard (DES) og MD5 eru óvirk.
  • Ekki má stilla veikar eða ódulkóðaðar stjórnunartengingar.
  • Lykilorð verða að vera dulkóðuð með sterkum einhliða reikniritum sem leyfa ekki afkóðun.
  • Lykilorð stjórnanda verða að vera að minnsta kosti 10 stafir að lengd.

Staðfest útgáfa af Junos OS í FIPS ham
Til að ákvarða hvort Junos OS útgáfa sé NIST-fullgild, sjáðu regluvarðarráðgjafasíðuna á Juniper Networks Web vefsvæði (https://apps.juniper.net/compliance/).
SKJÁLSAKIÐ
Að bera kennsl á örugga vöruafhendingu | 7

Skilningur á FIPS hugtakanotkun og studdum dulmálsreikniritum
Í ÞESSUM KAFLI
Hugtök | 4
Stuðningur dulritunar reiknirit | 5
Notaðu skilgreiningar á FIPS hugtökum og studd reiknirit til að hjálpa þér að skilja Junos OS í FIPS ham.

Hugtök
Critical security parameter (CSP)
Öryggistengdar upplýsingar - tdample, leyndarmál og einka dulmálslyklar og auðkenningargögn eins og lykilorð og persónunúmer (PIN-númer)— þar sem birting þeirra eða breyting getur teflt öryggi dulmálseiningarinnar eða upplýsinganna sem hún verndar. Fyrir frekari upplýsingar, sjá „Skilningur á rekstrarumhverfi Junos OS í FIPS ham“ á síðu 16.
Dulmálseining
Samstæða vélbúnaðar, hugbúnaðar og fastbúnaðar sem útfærir viðurkenndar öryggisaðgerðir (þar á meðal dulmálsreiknirit og lyklagerð) og er innan dulmálsmarkanna.
FIPS
Alríkisstaðlar fyrir vinnslu upplýsinga. FIPS 140-2 tilgreinir kröfur um öryggi og dulritunareiningar. Junos OS í FIPS-stillingu er í samræmi við FIPS 140-2 stig 1.
FIPS viðhaldshlutverk
Hlutverkið sem dulritunarstjórinn tekur að sér að sinna líkamlegu viðhaldi eða rökréttri viðhaldsþjónustu eins og vélbúnaðar- eða hugbúnaðargreiningu. Fyrir FIPS 140-2 samræmi, núllstillir Crypto Officer leiðarvélina við inngöngu í og ​​brottför úr FIPS viðhaldshlutverkinu til að eyða öllum leynilegum texta og einkalyklum og óvörðum CSP.
ATH: FIPS viðhaldshlutverkið er ekki stutt á Junos OS í FIPS ham.
KAT
Þekkt svarpróf. Kerfissjálfspróf sem sannreyna framleiðsla dulmálsreiknirita sem samþykkt eru fyrir FIPS og prófa heilleika sumra Junos OS eininga. Fyrir frekari upplýsingar, sjá „Skilningur á FIPS-sjálfsprófum“ á síðu 73.
SSH
Samskiptareglur sem notar sterka auðkenningu og dulkóðun fyrir fjaraðgang á óöruggu neti. SSH veitir ytri innskráningu, fjarframkvæmd forrita, file afrita og aðrar aðgerðir. Það er ætlað sem örugg skipti fyrir rlogin, rsh og rcp í UNIX umhverfi. Til að tryggja upplýsingarnar sem sendar eru yfir stjórnunartengingar skaltu nota SSHv2 fyrir CLI stillingar. Í Junos OS er SSHv2 sjálfgefið virkt og SSHv1, sem er ekki talið öruggt, er óvirkt. Núllvæðing
Eyðing á öllum CSP og öðrum notendasköpuðum gögnum á tæki áður en það er notað sem FIPS dulmálseining eða til undirbúnings að endurnýta tækin fyrir notkun án FIPS.
The Crypto Officer getur núllstillt kerfið með CLI rekstrarskipun.
Stuðningur dulritunar reiknirit
Tafla 1 á blaðsíðu 6 dregur saman stuðning við samskiptareglur á háu stigi.
Tafla 1: Samskiptareglur leyfðar í FIPS ham

Bókun  Lyklaskipti Auðkenning Dulmál Heiðarleiki
SSHv2 • dh-hópur14-sha1
• ECDH-sha2-nistp256
• ECDH-sha2-nistp384
• ECDH-sha2-nistp521		 Gestgjafi (eining):
• ECDSA P-256
• SSH-RSA
Viðskiptavinur (notandi):
• ECDSA P-256
• ECDSA P-384
• ECDSA P-521
• SSH-RSA		 • AES CTR 128
• AES CTR 192
• AES CTR 256
• AES CBC 128
• AES CBC 256		 • HMAC-SHA-1
• HMAC-SHA-256
• HMAC-SHA-512

Tafla 2 á síðu 6 sýnir MACsec LC studdar dulmál.
Tafla 2: MACsec LC Stuðlar dulmál
MACsec LC studd dulmál
AES-GCM-128
AES-GCM-256
Hver útfærsla á reiknirit er skoðuð með röð sjálfsprófa með þekktum svörum (KAT). Allar sjálfsprófunarbilanir leiða til FIPS-villuástands.
BESTA AÐFERÐ: Fyrir FIPS 140-2 samræmi, notaðu aðeins FIPS-samþykkt dulritunaralgrím í Junos OS í FIPS ham.
Eftirfarandi dulmálsreiknirit eru studd í FIPS ham. Samhverfar aðferðir nota sama lykil fyrir dulkóðun og afkóðun, en ósamhverfar aðferðir nota mismunandi lykla fyrir dulkóðun og afkóðun.
AES
Advanced Encryption Standard (AES), skilgreindur í FIPS PUB 197. AES reikniritið notar lykla upp á 128, 192 eða 256 bita til að dulkóða og afkóða gögn í 128 bita blokkum.
ECDH
Sporöskjulaga ferill Diffie-Hellman. Afbrigði af Diffie-Hellman lyklaskipta reikniritinu sem notar dulmál sem byggir á algebrufræðilegri uppbyggingu sporöskjulaga ferla yfir endanlegt svið. ECDH gerir tveimur aðilum, sem hvor um sig hafa sporöskjulaga feril, opinber-einkalyklapar, að koma á sameiginlegu leyndarmáli yfir óörugga rás. Sameiginlega leyndarmálið er hægt að nota annað hvort sem lykil eða til að fá annan lykil til að dulkóða síðari samskipti með samhverfu lykli.
ECDSA
Sporöskjulaga feril stafræn undirskriftaralgrím. Afbrigði af Digital Signature Algorithm (DSA) sem notar dulritun byggt á algebrufræðilegri uppbyggingu sporöskjulaga ferla yfir endanlegt svið. Bitastærð sporöskjulaga ferilsins ákvarðar erfiðleikana við að afkóða lykilinn. Almenningslykillinn sem talinn er nauðsynlegur fyrir ECDSA er um það bil tvöfalt stærri en öryggisstigið, í bitum. ECDSA með P-256, P-384 og P-521 ferilunum er hægt að stilla undir OpenSSH.
HMAC
HMAC er skilgreint sem „Keyed-Hashing fyrir sannvottun skilaboða“ í RFC 2104 og sameinar hashing reiknirit með dulmálslyklum fyrir auðkenningu skilaboða. Fyrir Junos OS í FIPS-stillingu notar HMAC endurteknar dulritunar kjötkássaaðgerðir SHA-1, SHA-256 og SHA-512 ásamt leynilykli.
SHA-256 og SHA-512
Öruggur kjötkássa reiknirit (SHA) sem tilheyra SHA-2 staðlinum sem skilgreindur er í FIPS PUB 180-2. Hannað af NIST, SHA-256 framleiðir 256 bita kjötkássasamsetningu og SHA-512 framleiðir 512 bita kjötkássasamsetningu.
SKJÁLSAKIÐ
Skilningur á FIPS sjálfsprófum | 73
Skilningur á núllstillingu til að hreinsa kerfisgögn fyrir FIPS ham | 25
Að bera kennsl á örugga vöruafhendingu
Það eru nokkrir aðferðir í afhendingarferlinu til að tryggja að viðskiptavinur fái vöru sem hefur ekki verið tamperuð með. Viðskiptavinurinn ætti að framkvæma eftirfarandi athuganir við móttöku tækis til að sannreyna heilleika pallsins.

  • Sendingarmiði—Gakktu úr skugga um að sendingarmiðinn auðkenni rétt nafn viðskiptavinar og heimilisfang sem og tækið.
  • Ytri umbúðir — Skoðaðu flutningskassa að utan og límband. Gakktu úr skugga um að flutningsbandið hafi ekki verið skorið eða á annan hátt komið í veg fyrir. Gakktu úr skugga um að kassinn hafi ekki verið skorinn eða skemmdur til að leyfa aðgang að tækinu.
  • Inni umbúðir — Skoðaðu plastpokann og innsiglið. Gakktu úr skugga um að pokinn sé ekki skorinn eða fjarlægður. Gakktu úr skugga um að innsiglið sé ósnortið.

Ef viðskiptavinur greinir vandamál við skoðun skal hann eða hún strax hafa samband við birgjann. Gefðu birgjanum pöntunarnúmer, rakningarnúmer og lýsingu á tilgreindu vandamáli.
Að auki eru nokkrar athuganir sem hægt er að framkvæma til að tryggja að viðskiptavinurinn hafi fengið kassa sendur af Juniper Networks en ekki öðru fyrirtæki sem líkist Juniper Networks. Viðskiptavinur ætti að framkvæma eftirfarandi athuganir við móttöku tækis til að sannreyna áreiðanleika tækisins:

  • Staðfestu að tækið hafi verið pantað með innkaupapöntun. Juniper Networks tæki eru aldrei send án innkaupapöntunar.
  • Þegar tæki er sent út er sendingartilkynning send á netfangið sem viðskiptavinur gefur upp þegar pöntun er tekin. Staðfestu að þessi tölvupósttilkynning hafi borist. Staðfestu að tölvupósturinn inniheldur eftirfarandi upplýsingar:
  • Innkaupapöntunarnúmer
  • Juniper Networks pöntunarnúmer notað til að fylgjast með sendingunni
  • Rakningarnúmer flutningsaðila notað til að fylgjast með sendingunni
  • Listi yfir vörur sem sendar eru með raðnúmerum
  • Heimilisfang og tengiliðir bæði birgja og viðskiptavinar
  • Staðfestu að sendingin hafi verið hafin af Juniper Networks. Til að staðfesta að sending hafi verið hafin af Juniper Networks ættir þú að framkvæma eftirfarandi verkefni:
  • Berðu saman rakningarnúmer flutningsaðila Juniper Networks pöntunarnúmersins sem skráð er í Juniper Networks sendingartilkynningunni við rakningarnúmerið á pakkanum sem þú fékkst.
  • Skráðu þig inn á þjónustugátt Juniper Networks á netinu á https://support.juniper.net/support/ til view stöðu pöntunarinnar. Berðu saman rakningarnúmer símafyrirtækisins eða Juniper Networks pöntunarnúmerið sem skráð er í Juniper Networks sendingartilkynningunni við rakningarnúmerið á mótteknum pakka.

Að skilja stjórnunarviðmót
Hægt er að nota eftirfarandi stjórnunarviðmót í metinni uppsetningu:

  • Staðbundið stjórnunarviðmót—RJ-45 stjórnborðstengi tækisins er stillt sem RS-232 gagnaendabúnaður (DTE). Þú getur notað stjórnlínuviðmótið (CLI) yfir þessa tengi til að stilla tækið frá útstöð.
  • Fjarstjórnunarsamskiptareglur—Tækið er hægt að fjarstýra yfir hvaða Ethernet tengi sem er. SSHv2 er eina leyfilega fjarstjórnunarferlið sem hægt er að nota í metinni uppsetningu. Fjarstjórnunarsamskiptareglur J-Web og Telnet eru ekki tiltæk til notkunar í tækinu.

Stilla stjórnunarskilríki og réttindi

Að skilja tengdar lykilorðsreglur fyrir viðurkenndan stjórnanda
Viðurkenndur stjórnandi er tengdur skilgreindum innskráningarflokki og stjórnandanum er úthlutað öllum heimildum. Gögn eru geymd á staðnum fyrir fasta auðkenningu lykilorðs.
ATH: Ekki nota stjórnstafi í lykilorðum.
Notaðu eftirfarandi leiðbeiningar og stillingarvalkosti fyrir lykilorð og þegar þú velur lykilorð fyrir viðurkennda stjórnandareikninga. Lykilorð ættu að vera:

  • Auðvelt að muna svo að notendur freistast ekki til að skrifa það niður.
  • Breytt reglulega.
  • Einkamál og ekki deilt með neinum.
  • Inniheldur að lágmarki 10 stafi. Lágmarkslengd lykilorðs er 10 stafir.
    [breyta] administrator@host# stilltu innskráningarorð kerfis lágmarkslengd 10
  • Hafa bæði tölustafi og greinarmerkjastafi, samsett úr hvaða samsetningu sem er af hástöfum og lágstöfum, tölustöfum og sérstöfum eins og "!", "@", "#", "$", "%", "^", " &“, „*“, „(“ og „)“.
    Það ætti að vera að minnsta kosti breyting á einu falli, einum eða fleiri tölustöfum og einu eða fleiri greinarmerkjum.
  • Inniheldur stafasett. Gild stafasett innihalda hástafi, lágstafi, tölustafi, greinarmerki og aðra sérstafi.
    [breyta] administrator@host# stilltu innskráningarlykilorð kerfisbreytinga-tegundar stafasettum
  • Inniheldur lágmarksfjölda stafasetta eða breytingar á stafasettum. Lágmarksfjöldi stafasetta sem krafist er í lykilorðum með einföldum texta í Junos FIPS er 3.
    [breyta] administrator@host# stilla innskráningarorð kerfisins lágmarksbreytingar 3
  • Kjötkássa reiknirit fyrir lykilorð notenda getur verið annað hvort SHA256 eða SHA512 (SHA512 er sjálfgefið kjötkássa reiknirit).
    [breyta] administrator@host# stilltu kerfi innskráningarlykilorðssniðs sha512
    ATH: Tækið styður ECDSA (P-256, P-384 og P-521) og RSA (2048, 3072 og 4092 stuðull bitalengd) lyklategundir.
    Veik lykilorð eru:
  • Orð sem gætu fundist í eða verið til sem umbreytt form í kerfi file eins og /etc/passwd.
  • Hýsingarheiti kerfisins (alltaf fyrsta giska).
  • Öll orð sem koma fyrir í orðabók. Þetta felur í sér aðrar orðabækur en ensku og orð sem finnast í verkum eins og Shakespeare, Lewis Carroll, Samheitaorðabók Rogets og svo framvegis. Þetta bann inniheldur algeng orð og orðasambönd úr íþróttum, orðatiltækjum, kvikmyndum og sjónvarpsþáttum.
  • Breytingar á einhverju af ofangreindu. Til dæmisample, orðabók orð með sérhljóðum skipt út fyrir tölustafi (tdample f00t) eða með tölustöfum bætt við í lokin.
  • Hvaða lykilorð sem eru framleidd af vél. Reiknirit draga úr leitarrými forrita sem giska á lykilorð og ætti því ekki að nota.
    Sterk endurnotanleg lykilorð geta verið byggð á stöfum úr uppáhalds setningu eða orði, og síðan tengd öðrum, óskyldum orðum, ásamt viðbótarstöfum og greinarmerkjum.

SKJÁLSAKIÐ
Að bera kennsl á örugga vöruafhendingu | 7

Stilla hlutverk og auðkenningaraðferðir

Skilningur á hlutverkum og þjónustu fyrir Junos OS
Í ÞESSUM KAFLI
Hlutverk og skyldur dulritunarstjóra | 15
FIPS Hlutverk og ábyrgð notenda | 15
Til hvers er ætlast af öllum FIPS notendum | 16
Öryggisstjórinn er tengdur skilgreindum innskráningarflokki security-admin, sem hefur nauðsynlegar heimildir til að leyfa stjórnandanum að framkvæma öll verkefni sem nauðsynleg eru til að stjórna Junos OS. Stjórnunarnotendur (öryggisstjórnandi) verða að leggja fram einstök auðkenningar- og auðkenningargögn áður en stjórnunaraðgangur að kerfinu er veittur.
Hlutverk og skyldur öryggisstjóra eru sem hér segir:

  1. Öryggisstjóri getur stjórnað staðbundið og fjarstýrt.
  2. Búðu til, breyttu, eyddu stjórnandareikningum, þar með talið uppsetningu á auðkenningarbilunarfæribreytum.
  3. Virkjaðu aftur stjórnandareikning.
  4. Ber ábyrgð á uppsetningu og viðhaldi dulritunarþátta sem tengjast stofnun öruggra tenginga til og frá metinni vöru.

Juniper Networks Junos stýrikerfið (Junos OS) sem keyrir í ekki-FIPS ham gerir notendum kleift að nota fjölbreytt úrval af möguleikum og auðkenningin byggist á auðkenni. Aftur á móti skilgreinir FIPS 140-2 staðallinn tvö notendahlutverk: Crypto Officer og FIPS notandi. Þessi hlutverk eru skilgreind með tilliti til getu Junos OS notenda.
Allar aðrar notendategundir sem eru skilgreindar fyrir Junos OS í FIPS ham (rekstraraðili, stjórnunarnotandi, og svo framvegis) verða að falla í einn af tveimur flokkum: Crypto Officer eða FIPS notandi. Af þessum sökum er auðkenning notenda í FIPS ham hlutverkamiðuð frekar en auðkenni.
Crypto Officer framkvæmir öll FIPS-ham tengdar stillingarverkefni og gefur út allar yfirlýsingar og skipanir fyrir Junos OS í FIPS ham. Crypto Officer og FIPS notendastillingar verða að fylgja leiðbeiningunum fyrir Junos OS í FIPS ham.
Hlutverk og ábyrgð dulritunarstjóra
Crypto Officer er sá sem ber ábyrgð á að virkja, stilla, fylgjast með og viðhalda Junos OS í FIPS ham á tæki. Dulritunarstjórinn setur Junos OS upp á öruggan hátt á tækinu, gerir FIPS-stillingu kleift, setur lykla og lykilorð fyrir aðra notendur og hugbúnaðareining og frumstillir tækið fyrir nettengingu.
BESTA ÆFINGIN: Við mælum með því að dulritunarstjórinn stjórni kerfinu á öruggan hátt með því að halda lykilorðum öruggum og athuga endurskoðun files.
Heimildirnar sem aðgreina Crypto Officer frá öðrum FIPS notendum eru leyndarmál, öryggi, viðhald og eftirlit. Fyrir FIPS samræmi, úthlutaðu dulritunarstjóranum í innskráningarflokk sem inniheldur allar þessar heimildir. Notandi með Junos OS viðhaldsheimild getur lesið files sem inniheldur mikilvægar öryggisbreytur (CSP).
ATH: Junos OS í FIPS ham styður ekki FIPS 140-2 viðhaldshlutverkið, sem er frábrugðið Junos OS viðhaldsheimildinni.
Meðal verkefna sem tengjast Junos OS í FIPS ham er gert ráð fyrir að dulritunarstjórinn:

  • Stilltu upphaflega rót lykilorðið. Lengd lykilorðsins ætti að vera að minnsta kosti 10 stafir.
  • Endurstilltu lykilorð notenda með FIPS-samþykktum reikniritum.
  • Skoðaðu dagbók og endurskoðun files fyrir atburði sem vekja áhuga.
  • Eyða notandagerðum files, lykla og gögn með því að núllstilla tækið.

FIPS notendahlutverk og ábyrgð
Allir FIPS notendur, þar á meðal Crypto Officer, geta view uppsetninguna. Aðeins notandinn sem er úthlutað sem dulritunarstjóri getur breytt stillingunum.
Heimildirnar sem aðgreina Crypto Officers frá öðrum FIPS notendum eru leyndarmál, öryggi, viðhald og eftirlit. Til að uppfylla FIPS-samræmi, úthlutaðu FIPS notandanum í flokk sem inniheldur engar af þessum heimildum.
FIPS notandi getur view stöðuúttak en getur ekki endurræst eða núllstillt tækið.
Til hvers er ætlast af öllum FIPS notendum
Allir FIPS notendur, þar á meðal Crypto Officer, verða að virða öryggisleiðbeiningar á öllum tímum.
Allir FIPS notendur verða að:

  • Hafðu öll lykilorð trúnaðarmál.
  • Geymdu tæki og skjöl á öruggu svæði.
  • Settu tæki upp á öruggum svæðum.
  • Athugaðu endurskoðun files reglulega.
  • Samræmdu öllum öðrum FIPS 140-2 öryggisreglum.
  • Fylgdu þessum leiðbeiningum:
    • Notendum er treyst.
    • Notendur fara eftir öllum öryggisleiðbeiningum.
    • Notendur skerða ekki öryggi vísvitandi
    • Notendur hegða sér á ábyrgan hátt á hverjum tíma.

SKJÁLSAKIÐ
Juniper Networks tæki sem keyrir Juniper Networks Junos stýrikerfið (Junos OS) í FIPS ham myndar sérstaka gerð vélbúnaðar og hugbúnaðar rekstrarumhverfis sem er frábrugðið umhverfi tækis í non-FIPS ham:

Vélbúnaðarumhverfi fyrir Junos OS í FIPS ham
Junos OS í FIPS ham setur dulmálsmörk í tækinu sem engar mikilvægar öryggisbreytur (CSP) geta farið yfir með því að nota venjulegan texta. Hver vélbúnaðarhluti tækisins sem krefst dulritunarmörka fyrir FIPS 140-2 samræmi er sérstakt dulmálseining. Það eru tvær tegundir af vélbúnaði með dulmálsmörk í Junos OS í FIPS ham: ein fyrir hverja leiðarvél og ein fyrir allan undirvagninn sem inniheldur LC MPC7E-10G kort. Hver hluti myndar sérstaka dulmálseiningu. Samskipti sem fela í sér CSP á milli þessara öruggu umhverfi verða að fara fram með dulkóðun.
Dulmálsaðferðir koma ekki í staðinn fyrir líkamlegt öryggi. Vélbúnaðurinn verður að vera staðsettur í öruggu líkamlegu umhverfi. Notendur hvers kyns mega ekki birta lykla eða lykilorð, eða leyfa skriflegum gögnum eða athugasemdum að sjá af óviðkomandi starfsfólki.
Hugbúnaðarumhverfi fyrir Junos OS í FIPS ham
Juniper Networks tæki sem keyrir Junos OS í FIPS ham myndar sérstaka gerð óbreytanlegs rekstrarumhverfis. Til að ná þessu umhverfi á tækinu kemur kerfið í veg fyrir framkvæmd allra tvíliða file sem var ekki hluti af löggiltu Junos OS í FIPS ham dreifingu. Þegar tæki er í FIPS-stillingu getur það aðeins keyrt Junos OS.
Junos OS í FIPS ham hugbúnaðarumhverfi er komið á fót eftir að Crypto Officer hefur virkjað FIPS ham á tæki. Junos OS myndin sem inniheldur FIPS-stillingu er fáanleg á Juniper Networks websíðu og hægt er að setja það upp á virkt tæki.
Fyrir FIPS 140-2 samræmi, mælum við með að þú eyðir öllum notendum búið til files og gögn með því að núllstilla tækið áður en FIPS ham er virkjað.
Notkun tækisins þíns á FIPS stigi 1 krefst þess að þú notir tamperu augljós merki til að innsigla leiðarvélarnar inn í undirvagninn.
Að virkja FIPS-stillingu slekkur á mörgum af venjulegum Junos OS samskiptareglum og þjónustu. Sérstaklega geturðu ekki stillt eftirfarandi þjónustu í Junos OS í FIPS ham:

  • fingur
  • ftp
  • rlogin
  • telnet
  • tftp
  • xnm-skýr-texti

Tilraunir til að stilla þessar þjónustur, eða hlaða stillingar með þessar þjónustur uppstilltar, leiða til villu í setningafræði stillinga.
Þú getur aðeins notað SSH sem fjaraðgangsþjónustu.
Öll lykilorð sem sett eru upp fyrir notendur eftir uppfærslu í Junos OS í FIPS ham verða að vera í samræmi við Junos OS í FIPS ham forskriftum. Lykilorð verða að vera á milli 10 og 20 stafir að lengd og krefjast þess að nota að minnsta kosti þrjú af fimm skilgreindum stafasettum (hástafir og lágstafir, tölustafir, greinarmerki og lyklaborðsstafi, eins og % og &, ekki innifalin í hinum. fjórir flokkar).
Tilraunir til að stilla lykilorð sem eru ekki í samræmi við þessar reglur leiða til villu. Öll lykilorð og lyklar sem notaðir eru til að auðkenna jafningja verða að vera að minnsta kosti 10 stafir að lengd og í sumum tilfellum verður lengdin að passa við samdráttarstærð.
ATH: Ekki tengja tækið við netkerfi fyrr en dulritunarstjórinn lýkur uppsetningu frá staðbundinni stjórnborðstengingu.
Til að uppfylla strangar kröfur skaltu ekki skoða upplýsingar um kjarna og hrunupplýsingar á staðbundinni stjórnborði í Junos OS í FIPS ham vegna þess að sumir CSPs gætu verið sýndir í einföldum texta.
Mikilvægar öryggisfæribreytur
Mikilvægar öryggisbreytur (CSPs) eru öryggistengdar upplýsingar eins og dulmálslyklar og lykilorð sem geta komið í veg fyrir öryggi dulmálseiningarinnar eða öryggi upplýsinga sem einingin verndar ef þeim er birt eða breytt.
Núllstilling kerfisins eyðir öllum ummerkjum CSPs til að undirbúa rekstur tækisins eða leiðarvélarinnar sem dulmálseining.
Tafla 3 á síðu 19 sýnir CSP á tækjum sem keyra Junos OS.
Tafla 3: Mikilvægar öryggisfæribreytur

CSP Lýsing Núllstilla

Notaðu
SSHv2 einkahýsingarlykill ECDSA / RSA lykill notaður til að auðkenna hýsilinn, myndaður í fyrsta skipti sem SSH er stillt. Núllstilla skipun. Notað til að bera kennsl á gestgjafann.
SSHv2 lotulyklar Setulykill notaður með SSHv2 og sem Diffie-Hellman einkalykill. Dulkóðun: AES-128, AES-192, AES-256. MAC: HMAC-SHA-1, HMAC-SHA-2-256, HMAC-SHA2-512. Lyklaskipti: dh-hópur14-sha1, ECDH-sha2-nistp-256, ECDH-sha2-nistp-384 og ECDH-sha2-nistp-521. Power cycle og slíta lotu. Samhverfur lykill notaður til að dulkóða gögn milli hýsils og viðskiptavinar.
Auðkenningarlykill notanda Hash lykilorðs notanda: SHA256, SHA512. Núllstilla skipun. Notað til að auðkenna notanda við dulmálseininguna.
Crypto Officer auðkenningarlykill Hash lykilorðs dulritunarstjórans: SHA256, SHA512. Núllstilla skipun. Notað til að auðkenna dulritunarstjórann við dulmálseininguna.
HMAC DRBG fræ Fræ fyrir deterministic randon bit rafall (DRBG). Fræ er ekki geymt af dulmálseiningunni. Notað til að sá DRBG.
HMAC DRBG V gildi Gildi (V) úttaksblokkarlengdar (outlen) í bitum, sem er uppfært í hvert sinn sem aðrir útgangsbitar af framleiðslu eru framleiddir. Power hringrás. Mikilvægt gildi innra ástands DRBG.
CSP Lýsing Núllstilla

Notaðu
HMAC DRBG lykilgildi Núverandi gildi outlen-bita lykilsins, sem er uppfært að minnsta kosti einu sinni í hvert sinn sem DRBG vélbúnaðurinn býr til gervitilviljanakennda bita. Power hringrás. Mikilvægt gildi innra ástands DRBG.
NDRNG óreiðu Notað sem óreiðuinntaksstrengur í HMAC DRBG. Power hringrás. Mikilvægt gildi innra ástands DRBG.

Í Junos OS í FIPS ham verða allir CSPs að slá inn og yfirgefa dulmálseininguna á dulkóðuðu formi.
Sérhver CSP sem er dulkóðuð með ósamþykktu reikniriti er álitinn venjulegur texti af FIPS.
BESTU AÐFERÐ: Fyrir FIPS samræmi skaltu stilla tækið yfir SSH tengingar vegna þess að þær eru dulkóðaðar tengingar.
Staðbundin lykilorð eru hashed með SHA256 eða SHA512 reikniritinu. Endurheimt lykilorðs er ekki möguleg í Junos OS í FIPS ham. Junos OS í FIPS ham getur ekki ræst í eins notendaham án rétts rótarlykilorðs.
Skilningur á lykilorðaforskriftum og leiðbeiningum fyrir Junos OS í FIPS ham
Öll lykilorð sem dulritunarstjórinn stofnar fyrir notendur verða að vera í samræmi við eftirfarandi Junos OS í FIPS ham kröfum. Tilraunir til að stilla lykilorð sem eru ekki í samræmi við eftirfarandi forskriftir leiða til villu.

  • Lengd. Lykilorð verða að innihalda á milli 10 og 20 stafi.
  • Persónusett kröfur. Lykilorð verða að innihalda að minnsta kosti þrjú af eftirfarandi fimm skilgreindum stafasettum:
  • Stórir stafir
  • Lágstafir
  • Tölur
  • Greinarmerki
  • Lyklaborðsstafir sem eru ekki með í hinum fjórum settunum — eins og prósentutáknið (%) og ampersand (&)
  • Auðkenningarkröfur. Öll lykilorð og lyklar sem notaðir eru til að auðkenna jafningja verða að innihalda að minnsta kosti 10 stafi og í sumum tilfellum verður fjöldi stafa að samsvara stærð samantektarinnar.
  • Lykilorð dulkóðun. Til að breyta sjálfgefna dulkóðunaraðferðinni (SHA512) skaltu fylgja með sniðyfirlýsingu á stigveldisstigi [breyta lykilorði fyrir innskráningu kerfis].

Leiðbeiningar um sterk lykilorð. Sterk, endurnýtanleg lykilorð geta verið byggð á stöfum úr uppáhalds setningu eða orði og síðan tengd öðrum óskyldum orðum, ásamt viðbættum tölustöfum og greinarmerkjum. Almennt séð er sterkt lykilorð:

  • Auðvelt að muna svo að notendur freistast ekki til að skrifa það niður.
  • Samsett úr blönduðum bókstöfum og greinarmerkjum. Fyrir FIPS-samræmi skaltu innihalda að minnsta kosti eina breytingu á hástöfum, einn eða fleiri tölustafi og eitt eða fleiri greinarmerki.
  • Breytt reglulega.
  • Ekki opinberað neinum.
    Einkenni veikburða lykilorða. Ekki nota eftirfarandi veik lykilorð:
  • Orð sem gætu fundist í eða verið til sem umbreytt form í kerfi files eins og /etc/passwd.
  • Hýsingarheiti kerfisins (alltaf fyrsta giska).
  • Sérhvert orð eða orðasambönd sem koma fyrir í orðabók eða öðrum vel þekktum heimildum, þ.mt orðabækur og samheitaorðabók á öðrum tungumálum en ensku; verk eftir klassíska eða vinsæla rithöfunda; eða algeng orð og orðasambönd úr íþróttum, orðatiltækjum, kvikmyndum eða sjónvarpsþáttum.
  • Breytingar á einhverju af ofangreindu - tdample, orðabókarorð þar sem stöfum er skipt út fyrir tölustöfum ( r00t) eða með tölustöfum sem bætt er við í lokin.
  • Hvaða lykilorð sem er búið til í vél. Reiknirit draga úr leitarrými forrita sem giska á lykilorð og má því ekki nota.

Að hlaða niður hugbúnaðarpakka frá Juniper Networks
Þú getur halað niður Junos OS hugbúnaðarpakkanum fyrir tækið þitt frá Juniper Networks websíða.
Áður en þú byrjar að hlaða niður hugbúnaðinum skaltu ganga úr skugga um að þú sért með Juniper Networks Web reikning og gildan stuðningssamning. Til að fá reikning skaltu fylla út skráningareyðublaðið hjá Juniper Networks websíða: https://userregistration.juniper.net/.
Til að hlaða niður hugbúnaðarpakka frá Juniper Networks:

  1. Með því að nota a Web vafra, fylgdu krækjunum á niðurhalið URL á Juniper Networks websíðu. https://support.juniper.net/support/downloads/
  2. Skráðu þig inn á Juniper Networks auðkenningarkerfið með því að nota notendanafnið (almennt netfangið þitt) og lykilorð sem fulltrúar Juniper Networks gefa upp.
  3. Sækja hugbúnaðinn. Sjáðu Að sækja hugbúnað.

SKJÁLSAKIÐ
Leiðbeiningar um uppsetningu og uppfærslu
Uppsetning hugbúnaðar á tæki með einni leiðarvél
Þú getur notað þessa aðferð til að uppfæra Junos OS á tæki með einni leiðarvél.
Til að setja upp hugbúnaðaruppfærslur á tæki með einni leiðarvél:

  1. Sæktu hugbúnaðarpakkann eins og lýst er í Að hlaða niður hugbúnaðarpakka frá Juniper Networks.
  2. Ef þú hefur ekki þegar gert það, tengdu við stjórnborðstengi tækisins úr stjórnunartækinu þínu og skráðu þig inn á Junos OS CLI.
  3. (Valfrjálst) Taktu öryggisafrit af núverandi hugbúnaðarstillingu í annan geymsluvalkost. Sjáðu Leiðbeiningar um uppsetningu og uppfærslu hugbúnaðar fyrir leiðbeiningar um framkvæmd þessa verkefnis.
  4. (Valfrjálst) Afritaðu hugbúnaðarpakkann yfir í tækið. Við mælum með að þú notir FTP til að afrita file í /var/tmp/ möppuna.
    Þetta skref er valfrjálst vegna þess að Junos OS er einnig hægt að uppfæra þegar hugbúnaðarmyndin er geymd á afskekktum stað. Þessar leiðbeiningar lýsa hugbúnaðaruppfærsluferlinu fyrir báðar aðstæður.
  5. Settu upp nýja pakkann á tækinu: Fyrir REMX2K-X8: user@host> biðja um vmhost hugbúnað bæta við
    Fyrir RE1800: user@host> biðja um kerfishugbúnað bæta við
    Skiptu um pakka fyrir eina af eftirfarandi slóðum:
    • Fyrir hugbúnaðarpakka í staðbundinni möppu á tækinu, notaðu /var/tmp/package.tgz.
    • Fyrir hugbúnaðarpakka á ytri miðlara, notaðu eina af eftirfarandi slóðum og skiptu út breytilegum valkostapakka fyrir heiti hugbúnaðarpakkans.
    ftp://hostname/pathname/package.tgz
    • ftp://hostname/pathname/package.tgz
  6. Endurræstu tækið til að hlaða uppsetningunni:
    Fyrir REMX2K-X8:
    user@host> biðja um endurræsingu vmhost
    Fyrir RE1800:
    user@host> biðja um endurræsingu kerfisins
  7. Eftir að endurræsingu er lokið skaltu skrá þig inn og nota skipunina sýna útgáfu til að staðfesta að nýja útgáfan af hugbúnaðinum hafi verið sett upp.
    user@host> sýna útgáfu
    Gerð: mx960
    Junos: 20.3X75-D30.1
    JUNOS OS Kernel 64-bita [20210722.b0da34e0_builder_stable_11-204ab] JUNOS OS libs [20210722.b0da34e0_builder_stable_11-204ab] JUNOS OS keyrslutími [20210722_0ild_34_0ild_11_204] UNOS OS tímabeltisupplýsingar [20210722.b0da34e0_builder_stable_11-204ab] JUNOS netstafla og tól [20210812.200100_builder_junos_203_x75_d30] JUNOS libs [20210812.200100_builder_junos_203_x75_d30] JUNOS OS libs compat32 [20210722 OS OS 0-bita eindrægni [34.b0da11e204_builder_stable_32-20210722ab] JUNOS libs compat0 [34_builder_junos_0_x11_d204] JUNOS libs compat32 [20210812.200100_builder_junos_203_x75_d30] JUNOS hlaupatími_20210812.200100_júní_203_75 _d30] JUNOS sflow mx [20210812.200100_builder_junos_203_x75_d30] JUNOS py extensions2 [20210812.200100_builder_junos_203_x75_d30] JUNOS py viðbætur [20210812.200100]Jbuild_203. UNOS py base75 [30_builder_junos_2_x20210812.200100_d203] JUNOS py base [75_builder_junos_30_x20210812.200100_d203] JUNOS OS crypto [75_30bilda20210722]builda_0bilda34-0_11bilda204] UNOS OS boot-ve files [20210722.b0da34e0_builder_stable_11-204ab] JUNOS með fjarmælingu [20.3X75-D30.1] JUNOS Security Intelligence [20210812.200100_builder_junos_203_x75_junos_30_x32_20210812.200100x203 75] 30_builder_junos_20210812.200100_x203_d75] JUNOS mx keyrslutími [30_builder_junos_20.3_x75_d30.1] JUNOS RPD fjarmælingarforrit [20210812.200100X203-D75 .30] Redis [20210812.200100_builder_junos_203_x75_d30] JUNOS rannsaka tól [20210812.200100_builder_junos_203_x75_d30] JUNOS sameiginlegur vettvangur stuðningur [20.3_75d_30.1_20210812.200100d_203_75d_30_20210812.200100d_203_75d 30] JUNOS Openconfig [20210812.200100X203-D75] JUNOS mtx netkerfiseiningar [30_builder_junos_20210812.200100_x203_d75] JUNOS einingar [30_smiður_junxos20210812.200100_203d75_30_mUNOS20210812.200100d [203_builder_junos_75_x30_d20210812.200100] JUNOS mx libs [203_builder_junos_75_x30_d20210812.200100] JUNOS SQL Sync Daemon [203_builder_junos_75_x30_d20210812.200100] JUNOS SQL Sync Daemon [203_builder_junos_75_x30_dXNUMX] JUNOS SQL Sync Daemon [XNUMX_builder_junos_XNUMX_xXNUMX_dXNUMX], ] JUNOS mtx Data Plane Crypto Stuðningur [XNUMX_builder_junos_XNUMX_xXNUMX_dXNUMX] JUNOS púkar [XNUMX_builder_junos_XNUMX_xXNUMX_dXNUMX] JUNOS mxXNUMX_XNUMX_XNUMX _xXNUMX_dXNUMX] JUNOS appidd-mx forritaauðkenningarpúki [XNUMX_builder_junos_XNUMX_xXNUMX_dXNUMX] JUNOS þjónusta URL Síupakki [20210812.200100_builder_junos_203_x75_d30] JUNOS Services TLB Service PIC pakki [20210812.200100_builder_junos_203_x75_d30] JUNOS Services Telemetry [20210812.200100 d203] JUNOS Services TCP-LOG [75_builder_junos_30_x20210812.200100_d203] JUNOS Services SSL [75_builder_junos_30_x20210812.200100_d203] JUNOS [75_builder_junos_30_x20210812.200100_d203] JUNOS_75RE [30_jun_20210812.200100RE _x203_d75] JUNOS Services Stateful Firewall [30_builder_junos_20210812.200100_x203_d75] JUNOS Services RTCOM [30_builder_junos_20210812.200100_x203_d75] JUNOS Services RPM [30_20210812.200100_builder_junos_203_x75_d30] JUNOS Services Þjónusta PCEF pakki [20210812.200100_builder_junos_203_x75_d30] JUNOS Services NAT [XNUMX_builder_junos_XNUMX_xXNUMX_dXNUMX] JUNOS Services Mobile Subscriber Service Container pakki
    [20210812.200100_builder_junos_203_x75_d30] JUNOS Services MobileNext hugbúnaðarpakki [20210812.200100_builder_junos_203_x75_d30] JUNOS Services Logging Report Framework Package [20210812.200100_203_junOS Services _d75] JUNOS Services LL-PDF gámapakki [30_builder_junos_20210812.200100_x203_d75] JUNOS Services Jflow gámapakki [30_builder_junos_20210812.200100_x203_d75] pakki JUNOS Inspection] 30_builder_junos_20210812.200100_x203_d75] JUNOS Services IPSec [30_builder_junos_20210812.200100_x203_d75] JUNOS Services IDS [30] IDP Services [20210812.200100_builder_junos_203_x75_d30] JUNOS Services HTTP efnisstjórnunarpakki [20210812.200100_builder_junos_203_x75_d30] JUNOS Services Crypto [20210812.200100ilder203_builder75_30ilder20210812.200100_203ilder75] JUNOS UNOS Services Captive Portal og Content Delivery Container pakki
    [20210812.200100_builder_junos_203_x75_d30] JUNOS Services COS [20210812.200100_builder_junos_203_x75_d30] JUNOS AppId Services [20210812.200100_builder_junos_203_x75_d30] JUNOS AppId Services [20210812.200100builder_203_75_30_20210812.200100_junos_203. Services Application Level Gateways [75_builder_junos_30_x20210812.200100_d203] JUNOS Services AACL gámapakki [75_builder_junos_30_x20210812.200100_d203] JUNOS SDN_builder_75 Software Suite [30_9 Software Suite 20210812.200100_juner_203_junos_75 _d30] JUNOS Extension Toolkit [20210812.200100_builder_junos_203_x75_d30 ] JUNOS Packet Forwarding Engine Support (wrlinux3) [20.3_builder_junos_75_x30.1_d2000] JUNOS Packet Forwarding Engine Support (ulc) [20210812.200100_builder_junos_203_x75_d30] .20.3X75-D30.1] JUNOS Packet Forwarding Engine Support (XXNUMX) [ XNUMX_builder_junos_XNUMX_xXNUMX_dXNUMX] JUNOS Packet Forwarding Engine FIPS stuðningur [XNUMXXXNUMX-DXNUMX] JUNOS Packet Forwarding Engine Support (M/T Common)
    [20210812.200100_builder_junos_203_x75_d30] JUNOS Packet Forwarding Engine Support (aftur)

Skilningur á núllstillingu til að hreinsa kerfisgögn fyrir FIPS ham
Í ÞESSUM KAFLI
Af hverju núllsetja? | 26
Hvenær á að núllstilla? | 26
Núllstilling eyðir algjörlega öllum stillingarupplýsingum á leiðarvélunum, þar á meðal öll einföld textalykilorð, leyndarmál og einkalykla fyrir SSH, staðbundna dulkóðun, staðbundna auðkenningu og IPsec.
Crypto Officer byrjar núllstillingarferlið með því að slá inn rekstrarskipunarbeiðni vmhost zeroize no-forwarding fyrir REMX2K-X8 og biðja um núllstillingu kerfis fyrir RE1800.
SHEARWATER 17001 Air Integration Pressure Sender - tákn 3 VARÚÐ: Framkvæmdu núllstillingu kerfisins með varúð. Eftir að núllstillingarferlinu er lokið eru engin gögn eftir á leiðarvélinni. Tækið er sett aftur í sjálfgefið verksmiðjuástand, án nokkurra stilltra notenda eða stillinga files.
Núllvæðing getur verið tímafrekt. Þó allar stillingar séu fjarlægðar á nokkrum sekúndum heldur núllstillingarferlið áfram að skrifa yfir alla miðla, sem getur tekið töluverðan tíma eftir stærð miðilsins.
Af hverju núllsetja?
Tækið þitt er ekki talið gild FIPS dulmálseining fyrr en allar mikilvægar öryggisfæribreytur (CSP) hafa verið færðar inn – eða aftur slegnar inn – á meðan tækið er í FIPS ham.
Fyrir FIPS 140-2 samræmi verður þú að núllstilla kerfið til að fjarlægja viðkvæmar upplýsingar áður en þú slekkur á FIPS-stillingu á tækinu.
Hvenær á að núllstilla?
Sem dulritunarstjóri, framkvæma núllstillingu í eftirfarandi aðstæðum:

  • Áður en FIPS-aðgerð er virkjaður: Til að undirbúa tækið þitt fyrir notkun sem FIPS dulmálseining skaltu framkvæma núllstillingu áður en FIPS-stillingin er virkjuð.
  • Áður en FIPS-aðgerð er óvirkt: Til að byrja að endurnota tækið þitt fyrir notkun sem ekki er FIPS skaltu núllstilla áður en þú slökktir á FIPS-stillingu á tækinu.
    ATH: Juniper Networks styður ekki uppsetningu hugbúnaðar sem ekki er FIPS í FIPS umhverfi, en það gæti verið nauðsynlegt í ákveðnum prófunarumhverfi. Vertu viss um að núllstilla kerfið fyrst.

Núllstilla kerfið
Til að núllstilla tækið þitt skaltu fylgja eftirfarandi aðferð:

  1. Skráðu þig inn á tækið sem Crypto Officer og frá CLI, sláðu inn eftirfarandi skipun.
    Fyrir REMX2K-X8:
    crypto-officer@host> biðja um vmhost núllstilla án áframsendingar VMHost núllstilling: Eyddu öllum gögnum, þar á meðal stillingum og skráningu files ? [já, nei] (nei) já
    re0:
    Fyrir REMX2K-X8:
    crypto-officer@host> biðja um núllstillingu kerfis
    Kerfisnúllstilling: Eyddu öllum gögnum, þar á meðal stillingum og skráningu files ?
    [já, nei] (nei) já
    re0:
  2. Til að hefja núllstillingarferlið skaltu slá inn já við hvetja:
    Eyddu öllum gögnum, þar á meðal stillingum og log files? [já, nei] (nei) já Eyddu öllum gögnum, þar á meðal uppsetningu og skráningu files? [já, nei] (nei) já
    re0: ————————viðvörun: núllstilling
    re0 … …
    Öll aðgerðin getur tekið töluverðan tíma eftir stærð miðilsins, en allar mikilvægar öryggisbreytur (CSP) eru fjarlægðar innan nokkurra sekúndna. Líkamlega umhverfið verður að vera öruggt þar til núllvæðingarferlinu er lokið.

Virkjar FIPS ham
Þegar Junos OS er sett upp á tæki og kveikt er á tækinu er það tilbúið til að stilla það.
Upphaflega skráir þú þig inn sem notandarót án lykilorðs. Þegar þú skráir þig inn sem rót er SSH tengingin þín sjálfkrafa virkjuð.
Sem dulritunarstjóri verður þú að koma á fót lykilorði fyrir rót sem samræmist kröfum um FIPS lykilorð í "Skilningur lykilorðaforskrifta og leiðbeiningar fyrir Junos OS í FIPS ham" á síðu 20. Þegar þú virkjar FIPS ham í Junos OS á tækinu geturðu ekki stillt lykilorð nema þeir standist þennan staðal.
Staðbundin lykilorð eru dulkóðuð með öruggu kjötkássa reikniritinu SHA256 eða SHA512. Endurheimt lykilorðs er ekki möguleg í Junos OS í FIPS ham. Junos OS í FIPS ham getur ekki ræst í eins notendaham án rétts rótarlykilorðs.
Til að virkja FIPS ham í Junos OS á tækinu:

  1. Núllstilltu tækið til að eyða öllum CSP áður en þú ferð í FIPS ham. Sjá „Skilning á núllstillingu til að hreinsa kerfisgögn fyrir FIPS-stillingu“ á blaðsíðu 25 kafla fyrir nánari upplýsingar.
  2. Eftir að tækið kemur upp í 'minnisleysisham' skaltu skrá þig inn með notandanafni rót og lykilorði "" (autt).
    FreeBSD/amd64 (minnisleysi) (ttyu0) innskráning: rót
    — JUNOS 20.3X75-D30.1 Kernel 64-bita JNPR-11.0-20190701.269d466_buil root@:~ # cli root>
  3. Stilltu rótarvottun með lykilorði að minnsta kosti 10 stöfum eða meira.
    root> edit Farið í stillingarham [breyta] root# set system root-authentication plain-text-password
    Nýtt lykilorð:
    Endursláðu nýtt lykilorð: [breyta] root# commit commit lokið
  4. Hladdu stillingum á tækið og framkvæmdu nýja stillingu. Stilltu dulritunarstjóra og skráðu þig inn með skilríkjum dulritunarstjóra.
  5. Settu upp fips-ham pakka sem þarf fyrir Routing Engine KATS.
    root@hostname> biðja um kerfishugbúnað bæta við valfrjálst://fips-mode.tgz
    Staðfest fips-hamur undirritaður af PackageDevelopmentEc_2017 aðferð ECDSA256+SHA256
  6. Fyrir MX Series tæki,
    • Stilltu undirvagnsmörkum með því að stilla kerfisfips undirvagnsstig 1 og skuldbinda.
    • Stilltu RE boundary fips með því að stilla set systems fips stig 1 og commit.
    Tækið gæti birt dulkóðað lykilorðið verður að endurstilla til að nota FIPS samhæfða kjötkássaviðvörun til að eyða eldri CSP í hlaðinni uppsetningu.
  7. Eftir að CSP hefur verið eytt og endurstillt, fer commit í gegn og tækið þarf að endurræsa til að fara í FIPS ham. [breyta] crypto-officer@hostname# skuldbinda sig
    Býr til RSA lykil /etc/ssh/fips_ssh_host_key
    Býr til RSA2 lykil /etc/ssh/fips_ssh_host_rsa_key
    Býr til ECDSA lykil /etc/ssh/fips_ssh_host_ecdsa_key
    [breyta] kerfi
    endurræsa þarf til að skipta yfir í FIPS stig 1 skuldbinda lokið [breyta] crypto-officer@hostname# keyra beiðni vmhost endurræsa
  8. Eftir að tækið hefur verið endurræst munu FIPS-sjálfsprófanir keyra og tækið fer í FIPS-stillingu. crypto-officer@hostname: fips>

SKJÁLSAKIÐ
Skilningur á lykilorðaforskriftum og leiðbeiningum fyrir Junos OS í FIPS ham | 20
Stilla Crypto Officer og FIPS notendaauðkenning og aðgangur
Í ÞESSUM KAFLI
Stilla aðgang dulritunarstjóra | 30
Stilla FIPS notandainnskráningaraðgang | 32
Crypto Officer virkjar FIPS ham á tækinu þínu og framkvæmir öll stillingarverkefni fyrir Junos OS í FIPS ham og gefur út allt Junos OS í FIPS ham yfirlýsingar og skipanir. Crypto Officer og FIPS notendastillingar verða að fylgja Junos OS í FIPS ham leiðbeiningum.
Stilla Crypto Officer Access
Junos OS í FIPS-stillingu býður upp á nákvæmari notendaheimildir en þær sem FIPS 140-2 býður upp á.
Fyrir FIPS 140-2 samræmi er sérhver FIPS notandi með leyndarmál, öryggi, viðhald og eftirlitsheimildir sem eru dulmálsforingi. Í flestum tilfellum dugar ofurnotendaflokkurinn fyrir Crypto Officer.
Til að stilla innskráningaraðgang fyrir dulritunarstjóra:

  1. Skráðu þig inn á tækið með rótarlykilorðinu ef þú hefur ekki þegar gert það, og farðu í stillingarham: root@hostname> edit Farið inn í stillingarham [edit] root@hostname#
  2. Nefndu dulritunarstjóra notandans og úthlutaðu dulritunarstjóra notandaauðkenni (tdample, 6400, sem verður að vera einstakt númer sem tengist innskráningarreikningnum á bilinu 100 til 64000) og flokkur (tdample, ofurnotandi). Þegar þú úthlutar bekknum úthlutarðu heimildunum - tdample, leyndarmál, öryggi, viðhald og eftirlit.
    Fyrir lista yfir heimildir, sjá Skilningur Junos OS Access Privilege Levels.
    [breyta] rót@hýsingarnafn# stilltu innskráningu notandanafns notandanafns uid gildi flokks flokksnafn
    Til dæmisample:
    [breyta] root@hostname# stilltu innskráningu notanda dulritunarstjóra uid 6400 class ofurnotandi
  3. Fylgdu leiðbeiningunum í „Að skilja lykilorðaforskriftir og leiðbeiningar fyrir Junos OS í FIPS-ham“ á síðu 20, úthlutaðu dulritunarstjóra lykilorði með einföldum texta til að staðfesta innskráningu. Stilltu lykilorðið með því að slá inn lykilorð á eftir leiðbeiningunum Nýtt lykilorð og Sláðu inn nýtt lykilorð aftur.
    [breyta] rót@hýsingarnafn# stilltu innskráningu kerfis notandanafn notandanafn flokks nafns auðkenningar (plain-test password |
    dulkóðað lykilorð)
    Til dæmisample:
    [breyta] rót@hýsingarnafn# stilltu innskráningu kerfisnotanda dulritunarforingjaflokks ofurnotenda auðkenningu látlaus textalykilorð
  4. Sýna stillingarnar valfrjálst:
    [breyta] root@hostname# breyta kerfi
    [breyta kerfi] root@hostname# sýna
    skrá inn {
    dulritunarstjóri notanda {
    uid 6400;
    auðkenning {
    dulkóðað lykilorð “ ”; ## LEYNDIN-GÖGN
    }
    flokki ofurnotandi;
    }
    }
  5. Ef þú ert búinn að stilla tækið skaltu framkvæma stillinguna og hætta:
    [breyta] root@hostname# commit commit lokið
    root@hostname# hætta

Stilla FIPS notandainnskráningaraðgang
Fips-notandi er skilgreindur sem sérhver FIPS-notandi sem er ekki með leyni-, öryggis-, viðhalds- og stjórnheimildarbitana stillta.
Sem Crypto Officer seturðu FIPS notendur. Ekki er hægt að veita FIPS notendum heimildir sem venjulega eru fráteknar fyrir dulritunarstjórann - tdample, leyfi til að núllstilla kerfið.
Til að stilla innskráningaraðgang fyrir FIPS notanda:

  1. Skráðu þig inn á tækið með lykilorði Crypto Officer ef þú hefur ekki þegar gert það og farðu í stillingarham:
    crypto-officer@hostname:fips> breyta
    Farið í stillingarham
    [breyta] crypto-officer@hostname:fips#
  2. Gefðu notandanum notandanafn og úthlutaðu notandanum notandaauðkenni (tdample, 6401, sem verður að vera einkvæm tala á bilinu 1 til 64000) og flokkur. Þegar þú úthlutar bekknum úthlutarðu heimildunum - tdample, hreinsa, net, endurstillaview, og view-stillingar.
    [breyta] crypto-officer@hostname:fips# stilltu innskráningu kerfis notandanafn notandanafn uid gildi class class-nafn Til dæmisample:
    [breyta] crypto-officer@hostname:fips# stilla kerfisskráning notanda fips-user1 uid 6401 class read-only
  3. Fylgdu leiðbeiningunum í „Að skilja lykilorðaforskriftir og leiðbeiningar fyrir Junos OS í
    FIPS Mode“ á síðu 20, úthlutaðu FIPS notandanum látlausu lykilorði fyrir innskráningu. Stilltu lykilorðið með því að slá inn lykilorð á eftir leiðbeiningunum Nýtt lykilorð og Sláðu inn nýtt lykilorð aftur.
    [breyta] crypto-officer@hostname:fips# stilltu innskráningu notandanafns notandanafns flokks flokksnafn auðkenningu (látlaus textalykilorð | dulkóðað lykilorð)
    Til dæmisample:
    [breyta] crypto-officer@hostname:fips# stilla innskráningarnotanda kerfis fips-user1 class skrifvarinn auðkenningu látlaus textalykilorð
  4. Sýna stillingarnar valfrjálst:
    [breyta] crypto-officer@hostname:fips# breyta kerfi [breyta kerfi] crypto-officer@hostname:fips# sýna
    skrá inn {
    notandi fips-user1 {
    uid 6401;
    auðkenning {
    dulkóðað lykilorð “ ”; ## LEYNDIN-GÖGN
    }
    bekk skrifvarinn;
    }
    }
  5. Ef þú ert búinn að stilla tækið skaltu framkvæma stillinguna og hætta:
    [breyta] crypto-officer@hostname:fips# skuldbinda sig
    crypto-officer@hostname:fips# hætta

Stilla SSH og Console tengingu

Stillir SSH á metinni stillingu fyrir FIPS
SSH í gegnum fjarstjórnunarviðmót leyft í metinni uppsetningu. Þetta efni lýsir því hvernig á að stilla SSH með fjarstýringu.
Eftirfarandi reiknirit sem þarf að stilla til að staðfesta SSH fyrir FIPS.
Til að stilla SSH á DUT:

  1. Tilgreindu leyfileg SSH hýsillykilsalgrím fyrir kerfisþjónustuna.
    [breyta] notandi@gestgjafi# setja kerfisþjónustur ssh hostkey-algorithm ssh-ecdsa
    user@host# stilltu kerfisþjónustu ssh hostkey-algorithm no-ssh-dss
    notandi@gestgjafi# stilltu kerfisþjónustu ssh hostkey-algorithm ssh-rsa
  2. Tilgreindu SSH lyklaskipti fyrir Diffie-Hellman lykla fyrir kerfisþjónustuna.
    [breyta] notandi@gestgjafi# stilltu kerfisþjónustur ssh key-exchange dh-group14-sha1
    notandi@gestgjafi# stilltu kerfisþjónustur ssh lykil-skipti ecdh-sha2-nistp256
    notandi@gestgjafi# stilltu kerfisþjónustur ssh lykil-skipti ecdh-sha2-nistp384
    notandi@gestgjafi# stilltu kerfisþjónustur ssh lykil-skipti ecdh-sha2-nistp521
  3. Tilgreindu öll leyfileg skilaboðaauðkenningarkóða reiknirit fyrir SSHv2
    [breyta] user@host# setja kerfisþjónustur ssh macs hmac-sha1
    user@host# stilltu kerfisþjónustur ssh macs hmac-sha2-256
    user@host# stilltu kerfisþjónustur ssh macs hmac-sha2-512
  4. Tilgreindu leyfðar dulmál fyrir samskiptareglur útgáfu 2.
    [breyta] user@host# stilltu kerfisþjónustur ssh dulmál aes128-cbc
    user@host# stilltu kerfisþjónustu ssh dulmál aes256-cbc
    user@host# stilltu kerfisþjónustur ssh dulmál aes128-ctr
    user@host# stilltu kerfisþjónustur ssh dulmál aes256-ctr
    user@host# stilltu kerfisþjónustu ssh dulmál aes192-cbc
    user@host# stilltu kerfisþjónustur ssh dulmál aes192-ctr
    Styður SSH hýsillyklaalgrím:
    ssh-ecdsa Leyfa myndun ECDSA hýsillykils
    ssh-rsa Leyfa myndun RSA hýsillykils
    Styður SSH lyklaskipti reiknirit:
    ecdh-sha2-nistp256 EC Diffie-Hellman á nistp256 með SHA2-256
    ecdh-sha2-nistp384 EC Diffie-Hellman á nistp384 með SHA2-384
    ecdh-sha2-nistp521 EC Diffie-Hellman á nistp521 með SHA2-512
    Styður MAC reiknirit:
    hmac-sha1 Hash-undirstaða MAC sem notar Secure Hash Algorithm (SHA1)
    hmac-sha2-256 Hash-undirstaða MAC sem notar Secure Hash Algorithm (SHA2)
    hmac-sha2-512 Hash-undirstaða MAC sem notar Secure Hash Algorithm (SHA2)
    Stuðningur SSH dulmáls reiknirit:
    aes128-cbc 128-bita AES með Cipher Block Chaining
    aes128-ctr 128-bita AES með Counter Mode
    aes192-cbc 192-bita AES með Cipher Block Chaining
    aes192-ctr 192-bita AES með Counter Mode
    aes256-cbc 256-bita AES með Cipher Block Chaining
    aes256-ctr 256-bita AES með Counter Mode

Stillir MACsec

Skilningur á Media Access Control Security (MACsec) í FIPS ham
Media Access Control Security (MACsec) er 802.1AE IEEE iðnaðarstaðlað öryggistækni sem veitir örugg samskipti fyrir alla umferð um Ethernet-tengla. MACsec veitir punkt-til-punkt öryggi á Ethernet tengingum milli beintengdra hnúta og er fær um að bera kennsl á og koma í veg fyrir flestar öryggisógnir, þar á meðal afneitun á þjónustu, afskipti, mann-í-miðju, grímugerð, óvirkar símhleranir og spilunarárásir.
MACsec gerir þér kleift að tryggja punkt til punkts Ethernet tengil fyrir næstum alla umferð, þar á meðal ramma frá Link Layer Discovery Protocol (LLDP), Link Aggregation Control Protocol (LACP), Dynamic Host Configuration Protocol (DHCP), Address Resolution Protocol (ARP), og aðrar samskiptareglur sem eru venjulega ekki tryggðar á Ethernet tengil vegna takmarkana með öðrum öryggislausnum. MACsec er hægt að nota ásamt öðrum öryggissamskiptareglum eins og IP Security (IPsec) og Secure Sockets Layer (SSL) til að veita netöryggi frá enda til enda.
MACsec er staðlað í IEEE 802.1AE. IEEE 802.1AE staðalinn má sjá á IEEE stofnuninni websíða á IEEE 802.1: BRÚÐ OG STJÓRN.
Hver útfærsla á reiknirit er skoðuð með röð þekktra svaraprófa (KAT) sjálfsprófa og staðfestingar á dulritunaralgrími (CAV). Eftirfarandi dulmálsreikniritum er bætt við sérstaklega fyrir MACsec.

  • Advanced Encryption Standard (AES)-Cipher Message Authentication Code (CMAC)
  • Advanced Encryption Standard (AES) lyklaumbúðir
    Fyrir MACsec, í stillingarham, notaðu hvetjaskipunina til að slá inn leynilykilgildi upp á 64 sextánda stafi til auðkenningar.
    [breyta] crypto-officer@hostname:fips# hvetja öryggi macsec connectivity-association pre-shared-key kaka
    Ný kaka (leyndarmál):
    Sláðu aftur inn nýja köku (leyndarmál):

Aðlaga tíma
Til að sérsníða tíma skaltu slökkva á NTP og stilla dagsetninguna.

  1. Slökktu á NTP.
    [breyta] crypto-officer@hostname:fips# slökkva á hópum alþjóðlegt kerfi ntp
    crypto-officer@hostname:fips# slökkva á kerfi ntp
    crypto-officer@hostname:fips# skuldbinda sig
    crypto-officer@hostname:fips# hætta
  2. Stilla dagsetningu og tíma. Snið dagsetningar og tíma er ÁÁÁÁMMDDHHMM.ss
    [breyta] crypto-officer@hostname:fips# sett dagsetning 201803202034.00
    crypto-officer@hostname:fips# stilltu kli tímaamp
  3. Stilltu MACsec Key Agreement (MKA) upplýsingar um örugga rás.
    [breyta] crypto-officer@hostname:fips# stilla öryggi macsec tenging-tenging tenging tenging tengsl-heiti örugg rás örugg rás-nafn stefna (á heimleið | útleið) crypto-officer@hostname:fips# stilla öryggi macsec tenging-tenging tenging tenging tenging -nafn öruggur rás öruggur rásarnafn dulkóðun (MACsec) dulritunarstjóri@hýsingarnafn:fips# stilltu öryggi macsec tengingarsamband tengitengingarheiti öruggt rás öruggt rásarheiti auðkenni mac-address /”mac-address dulmáls- liðsforingi@hýsingarnafn:fips# stilltu öryggi macsec tengingar-tenging tengitengingarheiti öruggt rás öruggt rásarheiti auðkenni gátt-auðkenni gátt-auðkennisnúmer dulrita-þjónn@hýsingarnafn:fips# stillt öryggi macsec tenging-tenging tenging tengitengingarheiti öruggt -channel safe-channel-name offset “(0|30|50) crypto-officer@hostname:fips# set security macsec connectivity-association connectivityassociation-name safe-channel safe-channel-name security-association security-association number key- strengur
  4. Stilltu MKA á öryggisstillingu.
    [breyta] crypto-officer@hostname:fips# stilla öryggi macsec tengingar-tenging tengitengingarheiti öryggisstillingu öryggisstillingu
  5. Úthlutaðu stilltu tengingunni við tiltekið MACsec viðmót.
    [breyta] crypto-officer@hostname:fips# stilla öryggi macsec tengi tengi-nafn tengitenging tengitenging tengi-félagsheiti

Stillir Static MACsec með ICMP Traffic
Til að stilla Static MACsec með ICMP umferð milli tækis R0 og tækis R1:
Í R0:

  1. Búðu til forsamnýtta lykilinn með því að stilla heiti tengilykils (CKN) og tengilykils (CAK)
    [breyta] crypto-officer@hostname:fips# stilla öryggi macsec tengingar-samband CA1 fyrirfram deilt lykill ckn 2345678922334455667788992223334445556667778889992222333344445555
    crypto-officer@hostname:fips# stilla öryggi macsec connectivity-association CA1 pre-sharedkey cak 23456789223344556677889922233344 crypto-officer@hostname:fips# set security macsec connectivity-association CA1 offset
  2. Stilltu gildi rekningsvalkosta.
    [breyta] crypto-officer@hostname:fips# stilltu öryggi macsec rekja valkosti file MACsec.log
    crypto-officer@hostname:fips# stilltu öryggi macsec rekja valkosti file stærð 4000000000
    crypto-officer@hostname:fips# stilltu öryggi macsec traceoptions flagga allt
  3. Úthlutaðu rekstrinum til viðmóts.
    [breyta] crypto-officer@hostname:fips# stilla öryggi macsec tengi viðmótsnafn rekjavalkosti file mka_xe stærð 1g crypto-officer@hostname:fips# stilla öryggi macsec tengi tengi-nafn rekjavalkostir flagga allt
  4. Stilltu MACsec öryggisham sem static-cak fyrir tengitenginguna. [breyta] crypto-officer@hostname:fips# stilla öryggi macsec tengingar-samband CA1 öryggisstillingu static-cak
  5. Stilltu forgang MKA lykilþjónsins.
    [breyta] crypto-officer@hostname:fips# stilla öryggi macsec tengingar-samband CA1 mka lykil-þjónnforgangur 1
  6. Stilltu MKA sendingarbilið.
    [breyta] crypto-officer@hostname:fips# stilltu öryggi macsec tengingar-samband CA1 mka sendibil 3000
  7. Virkjaðu MKA öruggt.
    [breyta] crypto-officer@hostname:fips# stilla öryggi macsec tengingar-samband CA1 mka ætti að tryggja
    crypto-officer@hostname:fips# setja öryggi macsec tengingar-samband CA1 include-sci
  8. Úthlutaðu tengitengingunni við viðmót.
    [breyta] crypto-officer@hostname:fips# stilla öryggi macsec tengi tengi-nafn tengitenging
    CA1
    crypto-officer@hostname:fips# sett tengiviðmótsheiti eining 0 fjölskyldu inet heimilisfang 10.1.1.1/24

Í R1:

  1. Búðu til forsamnýtta lykilinn með því að stilla heiti tengilykils (CKN) og tengilykils (CAK)
    [breyta] crypto-officer@hostname:fips# stilla öryggi macsec connectivity-association CA1 pre-sharedkey ckn 2345678922334455667788992223334445556667778889992222333344445555 cryptooffic1 öryggi ec tengingarsamband CA23456789223344556677889922233344 fyrirfram deilt lykill kaka 1 dulritunarstjóri@hýsingarheiti:fips # stilltu öryggi macsec tengingarsamband CA30 móti XNUMX
  2. Stilltu gildi rekningsvalkosta.
    [breyta] crypto-officer@hostname:fips# stilltu öryggi macsec rekja valkosti file MACsec.log crypto-officer@hostname:fips# stilltu öryggi macsec rekja valkosti file stærð 4000000000 crypto-officer@hostname:fips# stilla öryggi macsec rekjavalkostir flagga allt
  3. Úthlutaðu rekstrinum til viðmóts. [breyta] crypto-officer@hostname:fips# stilla öryggi macsec tengi viðmótsnafn rekjavalkosti file mka_xe stærð 1g crypto-officer@hostname:fips# stilla öryggi macsec tengi tengi-nafn rekjavalkostir flagga allt
  4. Stilltu MACsec öryggisham sem static-cak fyrir tengitenginguna. [breyta] crypto-officer@hostname:fips# stilla öryggi macsec tengingar-samband CA1 öryggisstillingu static-cak
  5. Stilltu MKA sendingarbilið.
    [breyta] crypto-officer@hostname:fips# stilltu öryggi macsec tengingar-samband CA1 mka sendibil 3000
  6. Virkjaðu MKA öruggt. [breyta] crypto-officer@hostname:fips# stilla öryggi macsec connectivity-association CA1 mka shouldsecure crypto-officer@hostname:fips# stilla öryggi macsec connectivity-association CA1 include-sci
  7. Úthlutaðu tengitengingunni við viðmót. [breyta] crypto-officer@hostname:fips# stillt öryggi macsec tengi tengi-heiti tengitenging CA1 crypto-officer@hostname:fips# stillt viðmót tengi-heiti eining 0 fjölskyldu inet heimilisfang 10.1.1.2/24

Stillir MACsec með lyklakippu með því að nota ICMP Traffic
Til að stilla MACsec með lyklakippu með því að nota ICMP umferð milli tækis R0 og tækis R1:
Í R0:

  1. Gefðu auðkenningarlyklakeðju vikmarksgildi. [breyta] crypto-officer@hostname:fips# stilla öryggisauðkenning-lyklakeðjur lyklakeðju macsec-kc1 umburðarlyndi 20
  2. Búðu til leynilegt lykilorð til að nota. Það er strengur sextánda tölustafa allt að 64 stafir að lengd. Lykilorðið getur innihaldið bil ef stafastrengurinn er innan gæsalappa. Leynigögn lyklakippunnar eru notuð sem CAK.
    [breyta] crypto-officer@hostname:fips# stilla öryggisvottun-lyklakeðjur lykilkeðju macsec-kc1 lykill 0 lykilnafn 2345678922334455667788992223334445556667778889992222333344445551offic ps# stilltu öryggisauðkenningu-lyklakeðjur lyklakeðju macsec- KC1 Lykill 0 Start-Time 2018-03-20.20: 35 Crypto-Officer@Hostname: FIPS# Set Security Authentication-Key-Chains Key-Chain MACSEC-KC1 Key 1 Key-Name 2345678922334455667788992223334445556667778889992222333344445552 Crypto-Officer@Hostname: FIPS# Setja öryggi Auðkenning-Key-keðja Key-keðja MacSec-Kc1 lykill 1 Upphafstími 2018-03-20.20: 37 Crypto-Officer@Hostname: FIPS# Set Security Authentication-Key-Chains Key-Chain MacSec-Kc1 Key 2 Key-Name 2345678922334455667788992223334445556667778889992222333344445553 1 crypto-officer@hostname:fips# stilla öryggisvottun-lyklakeðjur lykla-keðju macsec-kc2 lykill 2018 upphafstími 03-20.20-39:1 crypto-officer@hostname:fips# stilla öryggisauthentication-key-chains key- keðja macsec-kc3 lykill 2345678922334455667788992223334445556667778889992222333344445554 lykilnafn 1 dulkóðunarforingi@hýsingarnafn:fips # lykill-keychain öryggi 3mac-keychain-keychain-keychain-keychain 2018 03-20.20-41:1 crypto-officer@hostname:fips # stilla öryggisauðkenning-lyklakeðjur lykla-keðju macsec-kc4 lykill 2345678922334455667788992223334445556667778889992222333344445555 lykilnafn 1 lykilkeðju-keychain-öryggi macsec-kc4 lykill 2018 upphafstími 03-20.20- 43:1 crypto-officer@hostname:fips# stilla öryggisvottun-lyklakeðjur lykilkeðju macsec-kc5 lykill 2345678922334455667788992223334445556667778889992222333344445556 lykilnafn 1 5offer-2018offer @hýsingarnafn:fips# stilltu öryggisauðkenning-lyklakeðjur lyklakeðju macsec- KC03 Lykill 20.20 Start-Time 45-1-6: 2345678922334455667788992223334445556667778889992222333344445557 Crypto-Officer@Hostname: FIPS# Set Security Authentication-Key-Chains Key-Chain MacSec-Kc1 Key 6 Key-Name 2018 Crypto-Officer@Hostname: FIPS# Setja öryggi Auðkenning-Key-keðja Key-keðja MacSec-Kc03 lykill 20.20 Upphafstími 47-1-7: 2345678922334455667788992223334445556667778889992222333344445558 Crypto-officer@Hostname: FIPS# Set Security Authentication-Key-Chains Key-Chain MacSec-Kc1 Key 7 Key-Name 2018 03 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc20.20 key 49 upphafstími XNUMX-XNUMX-XNUMX:XNUMX Notaðu hvetja skipunina til að slá inn gildi leynilykils. Til dæmisample, gildi leynilykilsins er 2345678922334455667788992223334123456789223344556677889922233341. [breyta] crypto-officer@hostname:fips# prompt keychain-keychain-öryggislykill-maccresec t): Endursláðu nýja kaka (leyndarmál): dulmálsforingi @hostname:fips# hvetja öryggisvottun-lyklakeðjur lykilkeðju macseckc1 lykill 0 leyndarmál Nýtt kaka (leyndarmál):
    Sláðu aftur inn nýja kaka (leyndarmál): crypto-officer@hostname:fips# hvetja öryggisauðkenning-lyklakeðjur lyklakippa macseckc1 lykill 2 leyndarmál Ný kaka (leyndarmál):
    Sláðu aftur inn nýja kaka (leyndarmál): crypto-officer@hostname:fips# hvetja öryggisvottun-key-chains key-chain macseckc1 lykill 3 leyndarmál Ný kaka (leyndarmál): Endursláðu nýja kaka (leyndarmál): crypto-officer@hostname:fips# hvetja öryggisauðkenning-lyklakeðjur lykilkeðju macseckc1 lykill 4 leyndarmál Nýtt kaka (leyndarmál): Sláðu aftur inn nýtt kaka (leyndarmál): crypto-officer@hostname:fips# hvetja öryggisauðkenning-lyklakeðjur lykilkeðju macseckc1 lykill 5 leyndarmál Nýtt cak (leyndarmál): Endursláðu nýja kaka (leyndarmál): crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macseckc1 key 6 secret New kaka (leyndarmál): Endursláðu nýja kaka (leyndarmál): crypto-officer @hostname:fips# hvetja öryggisauðkenning-lyklakeðjur lykilkeðju macseckc1 lykill 7 leyndarmál Ný kaka (leyndarmál): Endursláðu nýja kaka (leyndarmál):
  3. Tengdu forsamnýtta lyklakippuheitið við tengingarsambandið.
    [breyta] crypto-officer@hostname:fips# stilla öryggi macsec connectivity-association CA1 pre-sharedkey-chain macsec-kc1 crypto-officer@hostname:fips# set security macsec connectivity-association CA1 offset 50 crypto-officer@hostname:fips # stilltu öryggi macsec tengingar-samband CA1 dulmálssvíta gcm-aes-256
    ATH: Dulmálsgildið er einnig hægt að stilla sem cipher-suite gcm-aes-128.
  4. Stilltu gildi rekningsvalkosta.
    [breyta] crypto-officer@hostname:fips# stilltu öryggi macsec rekja valkosti file MACsec.log crypto-officer@hostname:fips# stilltu öryggi macsec rekja valkosti file stærð 4000000000 crypto-officer@hostname:fips# stilla öryggi macsec rekjavalkostir flagga allt
  5. Úthlutaðu rekstrinum til viðmóts. [breyta] crypto-officer@hostname:fips# stilla öryggi macsec tengi viðmótsnafn rekjavalkosti file mka_xe stærð 1g crypto-officer@hostname:fips# stilla öryggi macsec tengi tengi-nafn rekjavalkostir flagga allt
  6. Stilltu MACsec öryggisham sem static-cak fyrir tengitenginguna. [breyta] crypto-officer@hostname:fips# stilla öryggi macsec connectivity-association CA1 securitymode static-cak
  7. Stilltu forgang MKA lykilþjónsins.
    [breyta] crypto-officer@hostname:fips# stilla öryggi macsec tengingar-samband CA1 mka lykilþjónn-forgangur 1
  8. Stilltu MKA sendingarbilið.
    [breyta] crypto-officer@hostname:fips# stilltu öryggi macsec tengingar-samband CA1 mka sendibil 3000
  9. Virkjaðu MKA öruggt.
    [breyta] crypto-officer@hostname:fips# setja öryggi macsec tengingar-samband CA1 include-sci
  10. Úthlutaðu tengitengingunni við viðmót.
    [breyta] crypto-officer@hostname:fips# stilla öryggi macsec tengi tengi-heiti tengitenging CA1
    crypto-officer@hostname:fips#
    stilla viðmót tengi-heiti eining 0 fjölskyldu inet heimilisfang 10.1.1.1/24

Til að stilla MACsec með lyklakippu fyrir ICMP umferð:
Í R1:

  1. Gefðu auðkenningarlyklakeðju vikmarksgildi.
    [breyta] crypto-officer@hostname:fips# stilla öryggisauðkenning-lyklakeðjur lyklakeðju macsec-kc1 umburðarlyndi 20
  2. Búðu til leynilegt lykilorð til að nota. Það er strengur sextánda tölustafa allt að 64 stafir að lengd. Lykilorðið getur innihaldið bil ef stafastrengurinn er innan gæsalappa. Leynigögn lyklakippunnar eru notuð sem CAK.
    [breyta] crypto-officer@hostname:fips# stilla öryggisvottun-lyklakeðjur lykilkeðju macsec-kc1 lykill 0 lykilnafn 2345678922334455667788992223334445556667778889992222333344445551offic ps# stilltu öryggisauðkenningu-lyklakeðjur lyklakeðju macsec- KC1 Lykill 0 Start-Time 2018-03-20.20: 35 Crypto-Officer@Hostname: FIPS# Set Security Authentication-Key-Chains Key-Chain MACSEC-KC1 Key 1 Key-Name 2345678922334455667788992223334445556667778889992222333344445552 Crypto-Officer@Hostname: FIPS# Setja öryggi Auðkenning-Key-keðja Key-keðja MacSec-Kc1 lykill 1 Upphafstími 2018-03-20.20: 37 Crypto-Officer@Hostname: FIPS# Set Security Authentication-Key-Chains Key-Chain MacSec-Kc1 Key 2 Key-Name 2345678922334455667788992223334445556667778889992222333344445553 1 crypto-officer@hostname:fips# stilla öryggisvottun-lyklakeðjur lykla-keðju macsec-kc2 lykill 2018 upphafstími 03-20.20-39:1 crypto-officer@hostname:fips# stilla öryggisauthentication-key-chains key- keðja macsec-kc3 lykill 2345678922334455667788992223334445556667778889992222333344445554 lykilnafn 1 dulkóðunarforingi@hýsingarnafn:fips # lykill-keychain öryggi 3mac-keychain-keychain-keychain-keychain 2018 03-20.20-41:1 crypto-officer@hostname:fips # stilla öryggisauðkenning-lyklakeðjur lykla-keðju macsec-kc4 lykill 2345678922334455667788992223334445556667778889992222333344445555 lykilnafn 1 lykilkeðju-keychain-öryggi macsec-kc4 lykill 2018 upphafstími 03-20.20- 43:1 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc5 key 345678922334455667788992223334445556667778889992222333344445556 key-name 1crypter-5off hýsingarnafn:fips# stilltu öryggisvottun-lyklakeðjur lykilkeðju macsec- KC2018 Lykill 03 Start-Time 20.20-45-1: 6 Crypto-Officer@Hostname: FIPS# Set Security Authentication-Key-Chains Key-Chain MacSec-Kc2345678922334455667788992223334445556667778889992222333344445557 Key 1 Key-Name 6 Crypto-Officer@Hostname: FIPS# Setja öryggi Auðkenning-Key-keðja Key-keðja MacSec-Kc2018 lykill 03 Upphafstími 20.20-47-1: 7 Crypto-officer@Hostname: FIPS# Set Security Authentication-Key-Chains Key-Chain MacSec-Kc2345678922334455667788992223334445556667778889992222333344445558 Key 1 Key-Name 7 2018 crypto-officer@hostname:fips# setja öryggisauðkenning-lyklakeðjur lyklakeðju macsec-kc03 lykill 20.20 upphafstími 49-XNUMX-XNUMX:XNUMX
    Notaðu hvetja skipunina til að slá inn gildi leynilykils. Til dæmisample, gildi leynilykilsins er 2345678922334455667788992223334123456789223344556677889922233341.
    [breyta] crypto-officer@hostname:fips# hvetja öryggisauðkenning-lyklakeðjur lykilkeðju macseckc1 lykill 0 leyndarmál
    Ný kaka (leyndarmál):
    Sláðu aftur inn nýja kaka (leyndarmál): crypto-officer@hostname:fips# hvetja öryggisauðkenning-key-chains key-chain macseckc1 lykill 1 leyndarmál Ný kaka (leyndarmál): Endursláðu nýja kaka (leyndarmál): crypto-officer@hostname:fips# hvetja öryggisauðkenning-lyklakeðjur lykilkeðju macseckc1 lykill 2 leyndarmál Nýtt kaka (leyndarmál): Sláðu aftur inn nýtt kaka (leyndarmál): crypto-officer@hostname:fips# hvetja öryggisauðkenning-lyklakeðjur lykilkeðju macseckc1 lykill 3 leyndarmál Nýtt cak (leyndarmál): Endursláðu nýja kaka (leyndarmál): crypto-officer@hostname:fips# hvetja öryggisvottun-lyklakeðjur lyklakippa macseckc1 lykill 4 leyndarmál Ný kaka (leyndarmál): Endursláðu nýja kaka
    (leyndarmál):
    crypto-officer@hostname:fips# hvetja öryggisauðkenning-lyklakeðjur lykilkeðju macseckc1 lykill 5 leyndarmál Ný kaka (leyndarmál): Endursláðu nýja kaka (leyndarmál):
    crypto-officer@hostname:fips# hvetja öryggisauðkenning-lyklakeðjur lykilkeðju macseckc1 lykill 6 leyndarmál Ný kaka (leyndarmál):
    Sláðu aftur inn nýja köku (leyndarmál):
    crypto-officer@hostname:fips# hvetja öryggisauðkenning-lyklakeðjur lykilkeðju macseckc1 lykill 7 leyndarmál Ný kaka (leyndarmál):
    Sláðu aftur inn nýja köku (leyndarmál):
  3. Tengdu forsamnýtta lyklakippuheitið við tengingarsambandið.
    [breyta] crypto-officer@hostname:fips# stilla öryggi macsec tengingar-samband CA1 fyrirfram deilt- lykilkeðju macsec-kc1
    crypto-officer@hostname:fips# stilla öryggi macsec tengingar-samband CA1 offset 50 crypto-officer@hostname:fips# stilla öryggi macsec tengingar-samband CA1 cipher-suite gcm-aes-256
  4. Stilltu gildi rekningsvalkosta.
    [breyta] crypto-officer@hostname:fips# stilltu öryggi macsec rekja valkosti file MACsec.log crypto-officer@hostname:fips# stilltu öryggi macsec rekja valkosti file stærð 4000000000 crypto-officer@hostname:fips# stilla öryggi macsec rekjavalkostir flagga allt
  5. Úthlutaðu rekstrinum til viðmóts.
    [breyta] crypto-officer@hostname:fips# stilla öryggi macsec tengi viðmótsnafn rekjavalkosti file mka_xe stærð 1g crypto-officer@hostname:fips# stilla öryggi macsec tengi tengi-nafn rekjavalkostir flagga allt
  6. Stilltu MACsec öryggisham sem static-cak fyrir tengitenginguna.
    [breyta] crypto-officer@hostname:fips# stilla öryggi macsec connectivity-association CA1 securitymode static-cak
  7. Stilltu forgang MKA lykilþjónsins.
    [breyta] crypto-officer@hostname:fips# stilla öryggi macsec tengingar-samband CA1 mka lykilþjónn-forgangur 1
  8. Stilltu MKA sendingarbilið.
    [breyta] crypto-officer@hostname:fips# stilltu öryggi macsec tengingar-samband CA1 mka sendibil 3000
  9. Virkjaðu MKA öruggt.
    [breyta] crypto-officer@hostname:fips# setja öryggi macsec tengingar-samband CA1 include-sci
  10. Úthlutaðu tengitengingunni við viðmót.
    [breyta] crypto-officer@hostname:fips# stilla öryggi macsec tengi tengi-nafn tengitenging
    CA1
    crypto-officer@hostname:fips# sett tengiviðmótsheiti eining 0 fjölskyldu inet heimilisfang 10.1.1.2/24

Stillir Static MACsec fyrir Layer 2 Traffic
Til að stilla fasta MACsec fyrir Layer 2 umferð milli tækis R0 og tækis R1:
Í R0:

  1. Stilltu forgang MKA lykilþjónsins.
    [breyta] crypto-officer@hostname:fips# stilla öryggi macsec tengingar-samband CA1 mka lykill miðlara-forgangur 1
  2. Búðu til leynilegt lykilorð til að nota. Það er strengur sextánda tölustafa allt að 64 stafir að lengd. Lykilorðið getur innihaldið bil ef stafastrengurinn er innan gæsalappa. Leynigögn lyklakippunnar eru notuð sem CAK.
    [breyta] crypto-officer@hostname:fips# hvetja öryggisauðkenning-lyklakeðjur lykilkeðju macseckc1 lykill 0 leyndarmál Nýtt kaka (leyndarmál):
    Sláðu aftur inn nýja köku (leyndarmál):
    Til dæmisample, gildi leynilykilsins er 2345678922334455667788992223334123456789223344556677889922233341.
  3. Tengdu forsamnýtta lyklakippuheitið við tengingarsambandið. [breyta] crypto-officer@hostname:fips# stilla öryggi macsec connectivity-association CA1 pre-sharedkey-chain macsec-kc1 crypto-officer@hostname:fips# set security macsec connectivity-association CA1 offset 50 crypto-officer@hostname:fips # stilltu öryggi macsec tengingar-samband CA1 dulmálssvíta gcm-aes-256
  4. Stilltu gildi rekningsvalkosta. [breyta] crypto-officer@hostname:fips# stilltu öryggi macsec rekja valkosti file MACsec.log crypto-officer@hostname:fips# stilltu öryggi macsec rekja valkosti file stærð 4000000000 crypto-officer@hostname:fips# stilla öryggi macsec rekjavalkostir flagga allt
  5. Úthlutaðu rekstrinum til viðmóts. [breyta] crypto-officer@hostname:fips# stilla öryggi macsec tengi viðmótsnafn rekjavalkosti file mka_xe stærð 1g crypto-officer@hostname:fips# stilla öryggi macsec tengi tengi-nafn rekjavalkostir flagga allt
  6. Stilltu MACsec öryggisham sem static-cak fyrir tengitenginguna.
    [breyta] crypto-officer@hostname:fips# stilla öryggi macsec connectivity-association CA1 securitymode static-cak
  7. Stilltu forgang MKA lykilþjónsins. [breyta] crypto-officer@hostname:fips# stilla öryggi macsec tengingar-samband CA1 mka lykill miðlara-forgangur 1
  8. Stilltu MKA sendingarbilið.
    [breyta] crypto-officer@hostname:fips# stilltu öryggi macsec tengingar-samband CA1 mka sendibil 3000
  9. Virkjaðu MKA öruggt.
    [breyta] crypto-officer@hostname:fips# setja öryggi macsec tengingar-samband CA1 include-sci
  10. Úthlutaðu tengitengingunni við viðmót.
    [breyta] crypto-officer@hostname:fips# stilla öryggi macsec tengi tengi-nafn tengitenging
    CA1
  11. Stilla VLAN tagfór.
    [breyta] crypto-officer@hostname:fips# stilltu viðmót interface-name1 flexible-vlan-tagging
    crypto-officer@hostname:fips# stillt tengi interface-name1 encapsulation sveigjanleg Ethernet-þjónusta
    crypto-officer@hostname:fips#
    setja tengi tengi-name1 eining 100 encapsulation vlanbridge
    crypto-officer@hostname:fips#
    stilla tengi interface-name1 unit 100 vlan-id 100
    crypto-officer@hostname:fips# stillt viðmót tengi-nafn2 sveigjanlegt-vlan-tagging
    crypto-officer@hostname:fips# stillt tengi interface-name2 encapsulation sveigjanleg Ethernet-þjónusta
    crypto-officer@hostname:fips#
    setja tengi tengi-name2 eining 100 encapsulation vlanbridge
    crypto-officer@hostname:fips#
    stilla tengi interface-name2 unit 100 vlan-id 100
  12. Stilla brúarlén.
    [breyta] crypto-officer@hostname:fips# set bridge-domains BD-110 domain-type bridge
    crypto-officer@hostname:fips# set bridge-domains BD-110 vlan-id 100
    crypto-officer@hostname:fips# set bridge-domains BD-110 interface interface-name1 100
    crypto-officer@hostname:fips# set bridge-domains BD-110 interface interface-name2 100

Í R1:

  1. Búðu til leynilegt lykilorð til að nota. Það er strengur sextánda tölustafa allt að 64 stafir að lengd. The
    lykilorð getur innihaldið bil ef stafastrengurinn er innan gæsalappa. Lyklakippan er
    secret-data eru notuð sem CAK.
    [breyta] crypto-officer@hostname:fips# hvetja öryggisauðkenning-lyklakeðjur lykilkeðju macseckc1 lykill 0 leyndarmál
    Ný kaka
    (leyndarmál):
    Skrifaðu nýja köku aftur
    (leyndarmál):
    Til dæmisample, leynilykilgildið er
    2345678922334455667788992223334123456789223344556677889922233341.
  2. Tengdu forsamnýtta lyklakippuheitið við tengingarsambandið.
    [breyta] crypto-officer@hostname:fips# stilla öryggi macsec tengingar-samband CA1 fyrirfram deilt lykilkeðju
    macsec-kc1 crypto-officer@hostname:fips#
    stilla öryggi macsec tengingar-samband CA1 móti 50
    crypto-officer@hostname:fips# stilla öryggi macsec connectivity-association CA1 cipher-suite gcm-aes-256
  3. Stilltu gildi rekningsvalkosta.
    [breyta] crypto-officer@hostname:fips# stilltu öryggi macsec rekja valkosti file MACsec.log
    crypto-officer@hostname:fips# stilltu öryggi macsec rekja valkosti file stærð 4000000000
    crypto-officer@hostname:fips# stilltu öryggi macsec traceoptions flagga allt
  4. Úthlutaðu rekstrinum til viðmóts.
    [breyta] crypto-officer@hostname:fips# stilla öryggi macsec tengi viðmótsnafn rekjavalkosti file mka_xe stærð 1g
    crypto-officer@hostname:fips# stilla öryggi macsec tengi viðmótsnafn rekjavalkosti
    flagga allt
  5. Stilltu MACsec öryggisham sem static-cak fyrir tengitenginguna.
    [breyta] crypto-officer@hostname:fips# stilla öryggi macsec tengingar-samband CA1 öryggisstillingu
    static-kaka
  6. Stilltu forgang MKA lykilþjónsins.
    [breyta] crypto-officer@hostname:fips# stilla öryggi macsec tengingar-samband CA1 mka lykill miðlara-forgangur 1
  7. Stilltu MKA sendingarbilið.
    [breyta] crypto-officer@hostname:fips# stilla öryggi macsec tengingar-samband CA1 mka sendingarbil
    3000
  8. Virkjaðu MKA öruggt.
    [breyta] crypto-officer@hostname:fips# setja öryggi macsec tengingar-samband CA1 include-sci
  9. Úthlutaðu tengitengingunni við viðmót.
    [breyta] crypto-officer@hostname:fips# stilla öryggi macsec tengi tengi-heiti tengitenging CA1
  10. Stilla VLAN tagfór.
    [breyta] crypto-officer@hostname:fips# stilltu viðmót interface-name1 flexible-vlan-tagging
    crypto-officer@hostname:fips# stillt tengi interface-name1 encapsulation sveigjanleg Ethernet-þjónusta
    crypto-officer@hostname:fips# sett viðmót tengi-nafn1 eining 100 encapsulation vlanbridge
    crypto-officer@hostname:fips#
    stilla tengi interface-name1 unit 100 vlan-id 100
    crypto-officer@hostname:fips# stillt viðmót tengi-nafn2 sveigjanlegt-vlan-tagging
    crypto-officer@hostname:fips# stillt tengi interface-name2 encapsulation sveigjanleg Ethernet-þjónusta
    crypto-officer@hostname:fips#
    setja tengi tengi-name2 eining 100 encapsulation vlanbridge
    crypto-officer@hostname:fips#
    stilla tengi interface-name2 unit 100 vlan-id 100
  11. Stilla brúarlén.
    [breyta] crypto-officer@hostname:fips# set bridge-domains BD-110 domain-type bridge
    crypto-officer@hostname:fips# set bridge-domains BD-110 vlan-id 100
    crypto-officer@hostname:fips# set bridge-domains BD-110 interface interface-name1 100
    crypto-officer@hostname:fips# set bridge-domains BD-110 interface interface-name2 100

Stillir MACsec með lyklakippu fyrir Layer 2 Traffic

Til að stilla MACsec með lyklakippu fyrir ICMP umferð milli tækis R0 og tækis R1:
Í R0:

  1. Gefðu auðkenningarlyklakeðju vikmarksgildi.
    [breyta] crypto-officer@hostname:fips# stilla öryggisauðkenning-lyklakeðjur lyklakeðju macsec-kc1 umburðarlyndi 20
  2. Búðu til leynilegt lykilorð til að nota. Það er strengur sextánda tölustafa allt að 64 stafir að lengd. Lykilorðið getur innihaldið bil ef stafastrengurinn er innan gæsalappa. Leynigögn lyklakippunnar eru notuð sem CAK.
    [breyta] crypto-officer@hostname:fips# setja öryggisvottun-lyklakeðjur lyklakeðju macsec-kc1
    lykill 0 lykilnafn 2345678922334455667788992223334445556667778889992222333344445551
    crypto-officer@hostname:fips# stilla öryggisvottun-lyklakeðjur lykilkeðju macsec-kc1
    lykill 0 upphafstími 2018-03-20.20:35
    crypto-officer@hostname:fips# stilla öryggisvottun-lyklakeðjur lykilkeðju macsec-kc1
    lykill 1 lykilnafn 2345678922334455667788992223334445556667778889992222333344445552
    crypto-officer@hostname:fips# stilla öryggisvottun-lyklakeðjur lykilkeðju macsec-kc1
    lykill 1 upphafstími 2018-03-20.20:37
    crypto-officer@hostname:fips# stilla öryggisvottun-lyklakeðjur lykilkeðju macsec-kc1
    lykill 2 lykilnafn 2345678922334455667788992223334445556667778889992222333344445553
    crypto-officer@hostname:fips# stilla öryggisvottun-lyklakeðjur lykilkeðju macsec-kc1
    lykill 2 upphafstími 2018-03-20.20:39
    crypto-officer@hostname:fips# stilla öryggisvottun-lyklakeðjur lykilkeðju macsec-kc1
    lykill 3 lykilnafn 2345678922334455667788992223334445556667778889992222333344445554
    crypto-officer@hostname:fips# stilla öryggisvottun-lyklakeðjur lykilkeðju macsec-kc1
    lykill 3 upphafstími 2018-03-20.20:41
    crypto-officer@hostname:fips# stilla öryggisvottun-lyklakeðjur lykilkeðju macsec-kc1
    lykill 4 lykilnafn 2345678922334455667788992223334445556667778889992222333344445555
    crypto-officer@hostname:fips# stilla öryggisvottun-lyklakeðjur lykilkeðju macsec-kc1
    lykill 4 upphafstími 2018-03-20.20:43
    crypto-officer@hostname:fips# stilla öryggisvottun-lyklakeðjur lykilkeðju macsec-kc1
    lykill 5 lykilnafn 2345678922334455667788992223334445556667778889992222333344445556
    crypto-officer@hostname:fips# stilla öryggisvottun-lyklakeðjur lykilkeðju macsec-kc1
    lykill 5 upphafstími 2018-03-20.20:45
    crypto-officer@hostname:fips# stilla öryggisvottun-lyklakeðjur lykilkeðju macsec-kc1
    lykill 6 lykilnafn 2345678922334455667788992223334445556667778889992222333344445557
    crypto-officer@hostname:fips# stilla öryggisvottun-lyklakeðjur lykilkeðju macsec-kc1
    lykill 6 upphafstími 2018-03-20.20:47
    crypto-officer@hostname:fips# stilla öryggisvottun-lyklakeðjur lykilkeðju macsec-kc1
    lykill 7 lykilnafn 2345678922334455667788992223334445556667778889992222333344445558
    crypto-officer@hostname:fips# stilla öryggisvottun-lyklakeðjur lykilkeðju macsec-kc1
    lykill 7 upphafstími 2018-03-20.20:49
    Notaðu hvetja skipunina til að slá inn gildi leynilykils. Til dæmisample, leynilykilgildið er
    2345678922334455667788992223334123456789223344556677889922233341.
    [breyta] crypto-officer@hostname:fips# hvetja öryggisauðkenning-lyklakeðjur lykilkeðju macseckc1 lykill 0 leyndarmál
    Ný kaka
    (leyndarmál):
    Skrifaðu nýja köku aftur
    (leyndarmál):
    crypto-officer@hostname:fips#
    hvetja öryggisauðkenning-lyklakeðjur lykilkeðju macseckc1 lykill 1 leyndarmál
    Ný kaka
    (leyndarmál):
    Skrifaðu nýja köku aftur
    (leyndarmál):
    crypto-officer@hostname:fips# hvetja öryggisvottun-lyklakeðjur lykilkeðju macseckc1 lykill 2 leyndarmál
    Ný kaka
    (leyndarmál):
    Skrifaðu nýja köku aftur
    (leyndarmál):
    crypto-officer@hostname:fips#
    hvetja öryggisauðkenning-lyklakeðjur lykilkeðju macseckc1 lykill 3 leyndarmál
    Ný kaka
    (leyndarmál):
    Skrifaðu nýja köku aftur
    (leyndarmál):
    crypto-officer@hostname:fips#
    hvetja öryggisauðkenning-lyklakeðjur lykilkeðju macseckc1 lykill 4 leyndarmál
    Ný kaka
    (leyndarmál):
    Skrifaðu nýja köku aftur
    (leyndarmál):
    crypto-officer@hostname:fips#
    hvetja öryggisauðkenning-lyklakeðjur lykilkeðju macseckc1 lykill 5 leyndarmál
    Ný kaka
    (leyndarmál):
    Skrifaðu nýja köku aftur
    (leyndarmál):
    crypto-officer@hostname:fips#
    hvetja öryggisauðkenning-lyklakeðjur lykilkeðju macseckc1 lykill 6 leyndarmál
    Ný kaka
    (leyndarmál):
    Skrifaðu nýja köku aftur
    (leyndarmál):
    crypto-officer@hostname:fips#
    hvetja öryggisauðkenning-lyklakeðjur lykilkeðju macseckc1 lykill 7 leyndarmál
    Ný kaka
    (leyndarmál):
    Skrifaðu nýja köku aftur
    (leyndarmál):
  3. Tengdu forsamnýtta lyklakippuheitið við tengingarsambandið.
    [breyta] crypto-officer@hostname:fips# stilla öryggi macsec tengingar-samband CA1 fyrirfram deilt lykilkeðju
    macsec-kc1
    crypto-officer@hostname:fips#
    stilla öryggi macsec tengingar-samband CA1 dulmáls-svíta
    gcm-aes-256
  4. Stilltu gildi rekningsvalkosta.
    [breyta] crypto-officer@hostname:fips# stilltu öryggi macsec rekja valkosti file MACsec.log
    crypto-officer@hostname:fips# stilltu öryggi macsec rekja valkosti file stærð 4000000000
    crypto-officer@hostname:fips# stilltu öryggi macsec traceoptions flagga allt
  5.  Úthlutaðu rekstrinum til viðmóts.
    [breyta] crypto-officer@hostname:fips# stilla öryggi macsec tengi viðmótsnafn rekjavalkosti
    file mka_xe stærð 1g
    crypto-officer@hostname:fips# stilla öryggi macsec tengi viðmótsnafn rekjavalkosti
    flagga allt
  6. Stilltu MACsec öryggisham sem static-cak fyrir tengitenginguna.
    [breyta] crypto-officer@hostname:fips# stilla öryggi macsec tengingar-samband CA1 öryggisstillingu
    static-kaka
  7. Stilltu forgang MKA lykilþjónsins.
    [breyta] crypto-officer@hostname:fips# stilla öryggi macsec tengingar-samband CA1 mka lykill miðlara-forgangur 1
  8. Stilltu MKA sendingarbilið.
    [breyta] crypto-officer@hostname:fips# stilla öryggi macsec tengingar-samband CA1 mka sendingarbil
    3000
  9. Virkjaðu MKA öruggt.
    [breyta] crypto-officer@hostname:fips# setja öryggi macsec tengingar-samband CA1 include-sci
  10. Úthlutaðu tengitengingunni við viðmót.
    [breyta] crypto-officer@hostname:fips# stilla öryggi macsec tengi tengi-nafn tengitenging
    CA1
  11. Stilla VLAN tagfór.
    [breyta] crypto-officer@hostname:fips# stilltu viðmót interface-name1 flexible-vlan-tagging
    crypto-officer@hostname:fips# stillt viðmót interface-name1 encapsulation flexibleethernet-services
    crypto-officer@hostname:fips#
    setja tengi tengi-name1 eining 100 encapsulation vlanbridge
    crypto-officer@hostname:fips#
    stilla tengi interface-name1 unit 100 vlan-id 100
    crypto-officer@hostname:fips# stillt viðmót tengi-nafn2 sveigjanlegt-vlan-tagging
    crypto-officer@hostname:fips# stillt viðmót interface-name2 encapsulation flexibleethernet-services
    crypto-officer@hostname:fips#
    setja tengi tengi-name2 eining 100 encapsulation vlanbridge
    crypto-officer@hostname:fips#
    stilla tengi interface-name2 unit 100 vlan-id 100
  12.  Stilla brúarlén.
    [breyta] crypto-officer@hostname:fips# set bridge-domains BD-110 domain-type bridge
    crypto-officer@hostname:fips# set bridge-domains BD-110 vlan-id 100
    crypto-officer@hostname:fips# set bridge-domains BD-110 interface interface-name1 100
    crypto-officer@hostname:fips# set bridge-domains BD-110 interface interface-name2 100

Í R1:

  1. Gefðu auðkenningarlyklakeðju vikmarksgildi.
    [breyta] crypto-officer@hostname:fips# stilla öryggisauðkenning-lyklakeðjur lyklakeðju macsec-kc1 umburðarlyndi 20
  2. Búðu til leynilegt lykilorð til að nota. Það er strengur sextánda tölustafa allt að 64 stafir að lengd. Lykilorðið getur innihaldið bil ef stafastrengurinn er innan gæsalappa. Leynigögn lyklakippunnar eru notuð sem CAK.
    [breyta] crypto-officer@hostname:fips# setja öryggisvottun-lyklakeðjur lyklakeðju macsec-kc1
    lykill 0 lykilnafn 2345678922334455667788992223334445556667778889992222333344445551
    crypto-officer@hostname:fips# stilla öryggisvottun-lyklakeðjur lykilkeðju macsec-kc1
    lykill 0 upphafstími 2018-03-20.20:35
    crypto-officer@hostname:fips# stilla öryggisvottun-lyklakeðjur lykilkeðju macsec-kc1
    lykill 1 lykilnafn 2345678922334455667788992223334445556667778889992222333344445552
    crypto-officer@hostname:fips# stilla öryggisvottun-lyklakeðjur lykilkeðju macsec-kc1
    lykill 1 upphafstími 2018-03-20.20:37
    crypto-officer@hostname:fips# stilla öryggisvottun-lyklakeðjur lykilkeðju macsec-kc1
    lykill 2 lykilnafn 2345678922334455667788992223334445556667778889992222333344445553
    crypto-officer@hostname:fips# stilla öryggisvottun-lyklakeðjur lykilkeðju macsec-kc1
    lykill 2 upphafstími 2018-03-20.20:39
    crypto-officer@hostname:fips# stilla öryggisvottun-lyklakeðjur lykilkeðju macsec-kc1
    lykill 3 lykilnafn 2345678922334455667788992223334445556667778889992222333344445554
    crypto-officer@hostname:fips# stilla öryggisvottun-lyklakeðjur lykilkeðju macsec-kc1
    lykill 3 upphafstími 2018-03-20.20:41
    crypto-officer@hostname:fips# stilla öryggisvottun-lyklakeðjur lykilkeðju macsec-kc1
    lykill 4 lykilnafn 2345678922334455667788992223334445556667778889992222333344445555
    crypto-officer@hostname:fips# stilla öryggisvottun-lyklakeðjur lykilkeðju macsec-kc1
    lykill 4 upphafstími 2018-03-20.20:43
    crypto-officer@hostname:fips# stilla öryggisvottun-lyklakeðjur lykilkeðju macsec-kc1
    lykill 5 lykilnafn 2345678922334455667788992223334445556667778889992222333344445556
    crypto-officer@hostname:fips# stilla öryggisvottun-lyklakeðjur lykilkeðju macsec-kc1
    lykill 5 upphafstími 2018-03-20.20:45
    crypto-officer@hostname:fips# stilla öryggisvottun-lyklakeðjur lykilkeðju macsec-kc1
    lykill 6 lykilnafn 2345678922334455667788992223334445556667778889992222333344445557
    crypto-officer@hostname:fips# stilla öryggisvottun-lyklakeðjur lykilkeðju macsec-kc1
    lykill 6 upphafstími 2018-03-20.20:47
    crypto-officer@hostname:fips# stilla öryggisvottun-lyklakeðjur lykilkeðju macsec-kc1
    lykill 7 lykilnafn 2345678922334455667788992223334445556667778889992222333344445558
    crypto-officer@hostname:fips# stilla öryggisvottun-lyklakeðjur lykilkeðju macsec-kc1
    lykill 7 upphafstími 2018-03-20.20:49
    Notaðu hvetja skipunina til að slá inn gildi leynilykils. Til dæmisample, leynilykilgildið er
    2345678922334455667788992223334123456789223344556677889922233341.
    [breyta] crypto-officer@hostname:fips# hvetja öryggisauðkenning-lyklakeðjur lykilkeðju macseckc1 lykill 0 leyndarmál
    Ný kaka
    (leyndarmál):
    Skrifaðu nýja köku aftur
    (leyndarmál):
    crypto-officer@hostname:fips#
    hvetja öryggisauðkenning-lyklakeðjur lykilkeðju macseckc1 lykill 1 leyndarmál
    Ný kaka
    (leyndarmál):
    Sláðu aftur inn nýja köku (leyndarmál):
    crypto-officer@hostname:fips# hvetja öryggisvottun-lyklakeðjur lykilkeðju macseckc1 lykill 2 leyndarmál
    Ný kaka
    (leyndarmál):
    Skrifaðu nýja köku aftur
    (leyndarmál):
    crypto-officer@hostname:fips#
    hvetja öryggisauðkenning-lyklakeðjur lykilkeðju macseckc1 lykill 3 leyndarmál
    Ný kaka
    (leyndarmál):
    Skrifaðu nýja köku aftur
    (leyndarmál):
    crypto-officer@hostname:fips#
    hvetja öryggisauðkenning-lyklakeðjur lykilkeðju macseckc1 lykill 4 leyndarmál
    Ný kaka
    (leyndarmál):
    Skrifaðu nýja köku aftur
    (leyndarmál):
    crypto-officer@hostname:fips#
    hvetja öryggisauðkenning-lyklakeðjur lykilkeðju macseckc1 lykill 5 leyndarmál
    Ný kaka
    (leyndarmál):
    Skrifaðu nýja köku aftur
    (leyndarmál):
    crypto-officer@hostname:fips#
    hvetja öryggisauðkenning-lyklakeðjur lykilkeðju macseckc1 lykill 6 leyndarmál
    Ný kaka
    (leyndarmál):
    Skrifaðu nýja köku aftur
    (leyndarmál):
    crypto-officer@hostname:fips#
    hvetja öryggisauðkenning-lyklakeðjur lykilkeðju macseckc1 lykill 7 leyndarmál
    Ný kaka
    (leyndarmál):
    Sláðu aftur inn nýja köku (leyndarmál):
  3. Tengdu forsamnýtta lyklakippuheitið við tengingarsambandið.
    [breyta] crypto-officer@hostname:fips# stilla öryggi macsec tengingar-samband CA1 fyrirfram deilt lykilkeðju
    macsec-kc1
    crypto-officer@hostname:fips#
    stilla öryggi macsec tengingar-samband CA1 dulmáls-svíta
    gcm-aes-256
  4. Stilltu gildi rekningsvalkosta.
    [breyta] crypto-officer@hostname:fips# stilltu öryggi macsec rekja valkosti file MACsec.log
    crypto-officer@hostname:fips# stilltu öryggi macsec rekja valkosti file stærð 4000000000
    crypto-officer@hostname:fips# stilltu öryggi macsec traceoptions flagga allt
  5. Úthlutaðu rekstrinum til viðmóts.
    [breyta] crypto-officer@hostname:fips# stilla öryggi macsec tengi viðmótsnafn rekjavalkosti
    file mka_xe stærð 1g
    crypto-officer@hostname:fips# stilla öryggi macsec tengi viðmótsnafn rekjavalkosti
    flagga allt
  6. Stilltu MACsec öryggisham sem static-cak fyrir tengitenginguna.
    [breyta] crypto-officer@hostname:fips# stilla öryggi macsec tengingar-samband CA1 öryggisstillingu
    static-kaka
  7. Stilltu forgang MKA lykilþjónsins.
    [breyta] crypto-officer@hostname:fips# stilla öryggi macsec tengingar-samband CA1 mka lykilþjónn-forgang
  8. Stilltu MKA sendingarbilið.
    [breyta] crypto-officer@hostname:fips# stilla öryggi macsec tengingar-samband CA1 mka sendingarbil
    3000
  9. Virkjaðu MKA öruggt.
    [breyta] crypto-officer@hostname:fips# setja öryggi macsec tengingar-samband CA1 include-sci
  10. Úthlutaðu tengitengingunni við viðmót.
    [breyta] crypto-officer@hostname:fips# stilla öryggi macsec tengi tengi-nafn tengitenging
    CA1
  11. Stilla VLAN tagfór.
    [breyta] crypto-officer@hostname:fips# stilltu viðmót interface-name1 flexible-vlan-tagging
    crypto-officer@hostname:fips# stillt viðmót interface-name1 encapsulation flexibleethernet-services
    crypto-officer@hostname:fips#
    setja tengi tengi-name1 eining 100 encapsulation vlanbridge
    crypto-officer@hostname:fips#
    stilla tengi interface-name1 unit 100 vlan-id 100
    crypto-officer@hostname:fips# stillt viðmót tengi-nafn2 sveigjanlegt-vlan-tagging
    crypto-officer@hostname:fips# stillt tengi interface-name2 encapsulation sveigjanleg Ethernet-þjónusta
    crypto-officer@hostname:fips#
    setja tengi tengi-name2 eining 100 encapsulation vlanbridge
    crypto-officer@hostname:fips#
    stilla tengi interface-name2 unit 100 vlan-id 100
  12. Stilla brúarlén.
    [breyta] crypto-officer@hostname:fips# set bridge-domains BD-110 domain-type bridge
    crypto-officer@hostname:fips# set bridge-domains BD-110 vlan-id 100
    crypto-officer@hostname:fips# set bridge-domains BD-110 interface interface-name1 100
    crypto-officer@hostname:fips# set bridge-domains BD-110 interface interface-name2 100

Stilla atburðaskráningu

Viðburðarskráningview
Metin uppsetning krefst endurskoðunar á stillingarbreytingum í gegnum kerfisskrána.
Að auki getur Junos OS:

  • Sendu sjálfvirk svör við endurskoðunarviðburðum (stofnun syslog-færslu).
  • Leyfa viðurkenndum stjórnendum að skoða endurskoðunarskrár.
  • Sendu úttekt files til ytri netþjóna.
  • Leyfa viðurkenndum stjórnendum að koma kerfinu aftur í þekkt ástand.

Skráningin fyrir metna uppsetningu verður að fanga eftirfarandi atburði:

  • Breytingar á leynilyklagögnum í uppsetningunni.
  • Ákveðnar breytingar.
  • Innskráning/útskráning notenda.
  • Kerfi gangsetning.
  • Misbrestur á að koma á SSH fundi.
  • Stofnun/slit SSH fundur.
  • Breytingar á (kerfis)tímanum.
  • Lok fjarlægrar lotu með lotulæsingarbúnaði.
  • Lok gagnvirkrar lotu.

Að auki mælir Juniper Networks með því að skrá þig líka:

  • Fangaðu allar breytingar á uppsetningunni.
  • Geymdu skráningarupplýsingar lítillega.

Stilla atburðaskráningu á staðbundið File
Þú getur stillt geymslu endurskoðunarupplýsinga á staðbundið file með syslog yfirlýsingunni. Þetta frvample geymir logs í a file nefnd endurskoðun-File:
[breyta kerfi] syslog {
file Endurskoðun-File;
}
Túlka atburðaskilaboð
Eftirfarandi framleiðsla sýnir semample atburðarskilaboð.
27. feb 02:33:04 bm-a mgd[6520]: UI_LOGIN_EVENT: Innskráning „öryggisfulltrúa“ notanda, flokkur „j-ofurnotandi“
[6520],
ssh-tenging ”, biðlarastilling
'cli'
27. feb 02:33:49 bm-a mgd[6520]: UI_DBASE_LOGIN_EVENT: „Security-officer“ notandi fer inn í stillingar
ham
27. feb 02:38:29 bm-a mgd[6520]: UI_CMDLINE_READ_LINE: Notandi 'öryggisfulltrúi', skipunin 'keyra sýningu
log
Endurskoðunarskrá | grep LOGIN
Tafla 4 á bls lýsir reitunum fyrir viðburðarskilaboð. Ef kerfisskráningarforritið getur ekki ákvarðað gildið í tilteknum reit birtist bandstrik ( – ) í staðinn.
Tafla 4: Reitir í atburðaskilaboðum

Field Lýsing Examples
tíminnamp Tími þegar skilaboðin voru mynduð, í annarri af tveimur framsetningum:
• MMM-DD HH:MM:SS.MS+/-HH:MM, er mánuður, dagur, klukkustund, mínúta, sekúnda og millisekúnda á staðartíma. Klukkustundin og mínútan sem koma á eftir plúsmerkinu (+) eða mínusmerkinu (-) er frávik staðbundins tímabeltis frá samræmdum alheimstíma (UTC).
• ÁÁÁÁ-MM-DDTHH:MM:SS.MSZ er árið, mánuðurinn, dagur, klukkustund, mínúta, sekúnda og millisekúnda í UTC.		  27. febrúar 02:33:04 er sá tímiamp gefið upp sem staðartíma í Bandaríkjunum.

2012-02-27T03:17:15.713Z is

2:33 UTC þann 27. feb

2012.
hýsingarheiti Nafn gestgjafans sem upphaflega bjó til skilaboðin.  leið 1
ferli Heiti Junos OS ferlisins sem bjó til skilaboðin.  mgd
processID UNIX ferli ID (PID) Junos OS ferlisins sem bjó til skilaboðin.  4153
TAG Junos OS kerfisskráningarskilaboð tag, sem auðkennir skilaboðin einstaklega.  UI_DBASE_LOGOUT_EVENT
notendanafn Notandanafn notandans sem hóf viðburðinn.  "admin"
skilaboð-texti Lýsing á viðburðinum á ensku.  sett: [kerfisradíus-þjónn 1.2.3.4 leyndarmál]

Skráir breytingar á leynilegum gögnum
Eftirfarandi eru tdamples af endurskoðunarskrám um atburði sem breyta leynigögnunum. Alltaf þegar það er breyting á uppsetningu tdample, syslog atburðurinn ætti að fanga eftirfarandi annála:
24. júlí 17:43:28 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: 'admin' notanda sett:
[kerfisradíusþjónn 1.2.3.4 leyndarmál] 24. júlí 17:43:28 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: 'admin' notanda sett:
[kerfisinnskráning notandi admin auðkenning dulkóðað-lykilorð] 24. júlí 17:43:28 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: Notandi 'admin' sett:
[kerfisinnskráning notandi admin2 auðkenning dulkóðað lykilorð] Í hvert skipti sem stillingum er uppfært eða breytt ætti kerfisskráin að fanga þessar annálar:
24. júlí 18:29:09 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: „admin“ notanda skipta út:
[kerfisradíusþjónn 1.2.3.4 leyndarmál] 24. júlí 18:29:09 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: „admin“ notanda skipta út:
[kerfisinnskráning notandi admin auðkenning dulkóðað-lykilorð] 24. júlí 18:29:09 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: Notandi 'admin' skipta út:
[kerfisinnskráning notandi stjórnanda auðkenningu dulkóðað lykilorð] Fyrir frekari upplýsingar um stillingar færibreytur og stjórnun log files, sjá Junos OS System
Tilvísun í logskilaboð.
Innskráningar- og útskráningarviðburðir með SSH
Kerfisskráaskilaboð eru búin til þegar notandi reynir SSH aðgang með góðum árangri eða árangurslaust. Útskráningarviðburðir eru einnig skráðir. Til dæmisample, eftirfarandi annálar eru afleiðing af tveimur misheppnuðum auðkenningartilraunum, síðan árangursríkri og loks útskráningu:
20. des 23:17:35 bilbo sshd[16645]: Misheppnað lykilorð fyrir op frá 172.17.58.45 port 1673 ssh2
20. des 23:17:42 bilbo sshd[16645]: Misheppnað lykilorð fyrir op frá 172.17.58.45 port 1673 ssh2
20. des 23:17:53 bilbo sshd[16645]: Samþykkt lykilorð fyrir op frá 172.17.58.45 port 1673 ssh2
20. des 23:17:53 bilbo mgd[16648]: UI_AUTH_EVENT: Staðfestur notandi 'op' á leyfisstigi
'j-operator'
Des 20 23:17:53 bilbo mgd[16648]: UI_LOGIN_EVENT: User 'op' login, class 'j-operator' [16648] Des 20 23:17:56 bilbo mgd[16648]: UI_CMDLINE_READ'_LINE: Notandi 'op' skipunin 'hætta'
20. des 23:17:56 bilbo mgd[16648]: UI_LOGOUT_EVENT: Notandi 'op' skráir sig út
Skráning á ræsingu endurskoðunar
Endurskoðunarupplýsingarnar sem skráðar eru innihalda ræsingar á Junos OS. Þetta auðkennir aftur ræsingaratburði endurskoðunarkerfisins, sem ekki er hægt að slökkva á sjálfstætt eða virkja. Til dæmisample, ef Junos OS er endurræst inniheldur endurskoðunarskráin eftirfarandi upplýsingar:
20. des 23:17:35 bilbo syslogd: fer út á merki 14
20. des 23:17:35 bilbo syslogd: endurræsa
20. des. 23:17:35 bilbo syslogd /kernel: 20. des. 23:17:35 init: syslogd (PID 19128) hætt með
staða=1
20. des 23:17:42 bilbo /kernel:
20. des 23:17:53 init: syslogd (PID 19200) byrjað

Framkvæma sjálfspróf á tæki

Skilningur á FIPS-sjálfsprófum
Dulmálseiningin framfylgir öryggisreglum til að tryggja að Juniper Networks Junos starfi
kerfi (Junos OS) í FIPS-stillingu uppfyllir öryggiskröfur FIPS 140-2 stigs 1. Til að sannreyna
framleiðsla dulmáls reiknirit samþykkt fyrir FIPS og prófa heilleika sumra kerfiseininga,
tækið framkvæmir eftirfarandi röð sjálfsprófa með þekktum svörum (KAT):

  • kernel_kats—KAT fyrir kjarna dulritunarvenjur
  • md_kats—KAT fyrir limm og libc
  • openssl_kats—KAT fyrir OpenSSL dulmálsútfærslu
  • quicksec_kats—KAT fyrir QuickSec Toolkit dulmálsútfærslu
  •  ssh_ipsec_kats—KAT fyrir SSH IPsec Toolkit dulritunarútfærslu
  • macsec_kats—KAT fyrir MACsec dulritunarútfærslu

KAT sjálfsprófin eru framkvæmd sjálfkrafa við ræsingu. Skilyrt sjálfspróf eru einnig gerðar sjálfkrafa til að sannreyna stafrænt undirritaða hugbúnaðarpakka, útbúnar handahófskenndar tölur, RSA og ECDSA lykilpör og handvirkt innslátna lykla.
Ef KAT er lokið með góðum árangri, kerfisskráin (syslog) file er uppfært til að sýna prófin sem voru framkvæmd.
Ef það er KAT bilun skrifar tækið upplýsingarnar í kerfisskrá file, fer í FIPS villustöðu (læti) og endurræsir.
The file show /var/log/messages skipunin sýnir kerfisskrána.
Þú getur líka keyrt FIPS sjálfspróf með því að gefa út beiðni vmhost endurræsa skipunina. Þú getur séð FIPS sjálfsprófunarskrárnar á stjórnborðinu þegar kerfið er að koma upp.
Example: Stilla FIPS sjálfspróf
Þetta frvampLe sýnir hvernig á að stilla FIPS-sjálfspróf til að keyra reglulega.
Kröfur um vélbúnað og hugbúnað

  • Þú verður að hafa stjórnunarréttindi til að stilla FIPS sjálfspróf.
  • Tækið verður að keyra metna útgáfu af Junos OS í FIPS ham hugbúnaði.

Yfirview
FIPS sjálfsprófið samanstendur af eftirfarandi svítum af þekktum svarprófum (KAT):

  • kernel_kats—KAT fyrir kjarna dulritunarvenjur
  • md_kats—KAT fyrir libmd og libc
  • quicksec_kats—KAT fyrir QuickSec Toolkit dulmálsútfærslu
  • openssl_kats—KAT fyrir OpenSSL dulmálsútfærslu
  • ssh_ipsec_kats—KAT fyrir SSH IPsec Toolkit dulritunarútfærslu
  • macsec_kats—KAT fyrir MACsec dulritunarútfærslu
    Í þessu frvample, FIPS-sjálfsprófið er framkvæmt klukkan 9:00 í New York borg, Bandaríkjunum, alla miðvikudaga.

ATH: Í stað vikulegra prófana geturðu stillt mánaðarleg próf með því að taka með mánaðar- og mánaðaruppgjöri.
Þegar KAT sjálfspróf mistekst eru notendaskilaboð skrifuð í kerfisskráningarskilaboðin file með upplýsingum um prófunarbilunina. Síðan skelfur kerfið og endurræsir sig.
CLI Quick Configuration
Til að stilla þetta tdample, afritaðu eftirfarandi skipanir, límdu þær inn í texta file, fjarlægðu allar línuskil, breyttu nauðsynlegum upplýsingum til að passa við netstillingar þínar og afritaðu og límdu svo skipanirnar inn í CLI á [breyta] stigveldisstigi.
stilltu kerfi fips sjálfspróf reglubundinn upphafstími 09:00
stilltu kerfisfips sjálfspróf reglubundið vikudag 3
Skref fyrir skref málsmeðferð
Til að stilla FIPS sjálfsprófið skaltu skrá þig inn í tækið með skilríki dulritunarstjóra:

  1. Stilltu FIPS-sjálfsprófið til að framkvæma klukkan 9:00 alla miðvikudaga.
    [breyta sjálfsprófi kerfis] crypto-officer@hostname:fips# stillt reglulega upphafstíma 09:00
    crypto-officer@hostname:fips# stillti reglulegan vikudag 3
  2. Ef þú ert búinn að stilla tækið skaltu nota stillingarnar.
    [breyta kerfi fips sjálfspróf] crypto-officer@hostname:fips# skuldbinda sig

Niðurstöður
Frá stillingarham, staðfestu stillinguna þína með því að gefa út sýningarkerfisskipunina. Ef úttakið sýnir ekki fyrirhugaða uppsetningu, endurtaktu leiðbeiningarnar í þessu tdample til að leiðrétta stillinguna.
crypto-officer@hostname:fips# sýna kerfi
fips {
sjálfspróf {
tímabil {
upphafstími "09:00";
vikudagur 3;
}
}
}

Staðfesting

Staðfestu að uppsetningin virki rétt.
Staðfestir FIPS sjálfsprófið

Tilgangur
Staðfestu að FIPS-sjálfsprófið sé virkt.
Aðgerð
Keyrðu FIPS-sjálfsprófið handvirkt með því að gefa út beiðnikerfi fips sjálfsprófunarskipunarinnar eða endurræstu tækið.
Eftir að hafa gefið út beiðni kerfis fips sjálfsprófunarskipun eða endurræstu tækið, kerfisskráin file er uppfært til að sýna KAT sem eru keyrð. Til view kerfisskránni file, gefa út file sýna /var/log/ skilaboðaskipun.
notandi@gestgjafi# file sýna /var/log/messages
RE KATS:
mgd: Keyrir FIPS sjálfspróf
mgd: Prófa kjarna KATS:
mgd: NIST 800-90 HMAC DRBG þekkt svarpróf: staðist
mgd: DES3-CBC Þekkt svarpróf: Standist
mgd: HMAC-SHA1 Þekkt svarpróf: staðist
mgd: HMAC-SHA2-256 Þekkt svarpróf: staðist
mgd: SHA-2-384 Þekkt svarpróf: staðist
mgd: SHA-2-512 Þekkt svarpróf: staðist
mgd: AES128-CMAC Þekkt svarpróf: staðist
mgd: AES-CBC þekkt svarpróf: staðist
mgd: Prófa MACSec KATS:
mgd: AES128-CMAC Þekkt svarpróf: staðist
mgd: AES256-CMAC Þekkt svarpróf: staðist
mgd: AES-ECB þekkt svarpróf: Standist
mgd: AES-KEYWRAP Þekkt svarpróf: staðist
mgd: KBKDF Þekkt svarpróf: staðist
mgd: Prófar libmd KATS:
mgd: HMAC-SHA1 Þekkt svarpróf: staðist
mgd: HMAC-SHA2-256 Þekkt svarpróf: staðist
mgd: SHA-2-512 Þekkt svarpróf: staðist
mgd: Prófaðu OpenSSL KATS:
mgd: NIST 800-90 HMAC DRBG þekkt svarpróf: staðist
mgd: FIPS ECDSA Known Answer Test: Standist
mgd: FIPS ECDH þekkt svarpróf: staðist
mgd: FIPS RSA Þekkt svarpróf: Standist
mgd: DES3-CBC Þekkt svarpróf: Standist
mgd: HMAC-SHA1 Þekkt svarpróf: staðist
mgd: HMAC-SHA2-224 Þekkt svarpróf: staðist
mgd: HMAC-SHA2-256 Þekkt svarpróf: staðist
mgd: HMAC-SHA2-384 Þekkt svarpróf: staðist
mgd: HMAC-SHA2-512 Þekkt svarpróf: staðist
mgd: AES-CBC þekkt svarpróf: staðist
mgd: AES-GCM þekkt svarpróf: staðist
mgd: ECDSA-SIGN Þekkt svarpróf: staðist
mgd: KDF-IKE-V1 Þekkt svarpróf: staðist
mgd: KDF-SSH-SHA256 Þekkt svarpróf: staðist
mgd: KAS-ECC-EPHEM-UNIFIED-NOKC Þekkt svarpróf: staðist
mgd: KAS-FFC-EPHEM-NOKC Þekkt svarpróf: Standist
mgd: Prófa QuickSec 7.0 KATS:
mgd: NIST 800-90 HMAC DRBG þekkt svarpróf: staðist
mgd: DES3-CBC Þekkt svarpróf: Standist
mgd: HMAC-SHA1 Þekkt svarpróf: staðist
mgd: HMAC-SHA2-224 Þekkt svarpróf: staðist
mgd: HMAC-SHA2-256 Þekkt svarpróf: staðist
mgd: HMAC-SHA2-384 Þekkt svarpróf: staðist
mgd: HMAC-SHA2-512 Þekkt svarpróf: staðist
mgd: AES-CBC þekkt svarpróf: staðist
mgd: AES-GCM þekkt svarpróf: staðist
mgd: SSH-RSA-ENC Þekkt svarpróf: staðist
mgd: SSH-RSA-SIGN Þekkt svarpróf: staðist
mgd: SSH-ECDSA-SIGN Þekkt svarpróf: staðist
mgd: KDF-IKE-V1 Þekkt svarpróf: staðist
mgd: KDF-IKE-V2 Þekkt svarpróf: staðist
mgd: Prófar QuickSec KATS:
mgd: NIST 800-90 HMAC DRBG þekkt svarpróf: staðist
mgd: DES3-CBC Þekkt svarpróf: Standist
mgd: HMAC-SHA1 Þekkt svarpróf: staðist
mgd: HMAC-SHA2-224 Þekkt svarpróf: staðist
mgd: HMAC-SHA2-256 Þekkt svarpróf: staðist
mgd: HMAC-SHA2-384 Þekkt svarpróf: staðist
mgd: HMAC-SHA2-512 Þekkt svarpróf: staðist
mgd: AES-CBC þekkt svarpróf: staðist
mgd: AES-GCM þekkt svarpróf: staðist
mgd: SSH-RSA-ENC Þekkt svarpróf: staðist
mgd: SSH-RSA-SIGN Þekkt svarpróf: staðist
mgd: KDF-IKE-V1 Þekkt svarpróf: staðist
mgd: KDF-IKE-V2 Þekkt svarpróf: staðist
mgd: Prófar SSH IPsec KATS:
mgd: NIST 800-90 HMAC DRBG þekkt svarpróf: staðist
mgd: DES3-CBC Þekkt svarpróf: Standist
mgd: HMAC-SHA1 Þekkt svarpróf: staðist
mgd: HMAC-SHA2-256 Þekkt svarpróf: staðist
mgd: AES-CBC þekkt svarpróf: staðist
mgd: SSH-RSA-ENC Þekkt svarpróf: staðist
mgd: SSH-RSA-SIGN Þekkt svarpróf: staðist
mgd: KDF-IKE-V1 Þekkt svarpróf: staðist
mgd: Próf file heilindi:
mgd: File heilindi Þekkt svarpróf: Standist
mgd: Prófa dulritunarheilleika:
mgd: Dulritunarheiðarleiki Þekkt svarpróf: staðist
mgd: Búast við stjórnanda AuthenticatiMAC/veriexec: ekkert fingrafar (file=/sbin/kats/cannot-exec
fsid=246 fileid=49356 gen=1 uid=0 pid=9384 ppid=9354 gppid=9352) við villu…
mgd: /sbin/kats/run-tests: /sbin/kats/cannot-exec: Auðkenningarvilla
mgd: FIPS Sjálfspróf staðist
LC KATS:
12. sept 10:50:44 network_macsec_kats_input xe- /0/0:0:
no> mynd:0 port:0 chan:0 FIPS AES-256-GCM MACsec KATS dulkóðun samþykkt
12. sept 10:50:50 network_macsec_kats_input xe- /0/1:0:
no> mynd:0 port:1 chan:0 FIPS AES-256-GCM MACsec KATS dulkóðun samþykkt
12. sept 10:50:55 network_macsec_kats_input xe- /0/0:0:
nei> mynd:0 port:0 chan:0 FIPS AES-256-GCM MACsec KATS afkóðun samþykkt
12. sept 10:50:56 network_macsec_kats_input xe- /0/2:0:
no> mynd:0 port:2 chan:0 FIPS AES-256-GCM MACsec KATS dulkóðun samþykkt
12. sept 10:51:01 network_macsec_kats_input xe- /0/1:0:
nei> mynd:0 port:1 chan:0 FIPS AES-256-GCM MACsec KATS afkóðun samþykkt
12. sept 10:51:02 network_macsec_kats_input xe- /0/2:0:
nei> mynd:0 port:2 chan:0 FIPS AES-256-GCM MACsec KATS afkóðun samþykkt
12. sept 10:51:06 network_macsec_kats_input xe- /0/3:0:
no> mynd:0 port:3 chan:0 FIPS AES-256-GCM MACsec KATS dulkóðun samþykkt
12. sept 10:51:12 network_macsec_kats_input xe- /0/3:0:
nei> mynd:0 port:3 chan:0 FIPS AES-256-GCM MACsec KATS afkóðun samþykkt
12. sept 10:51:17 network_macsec_kats_input xe- /0/4:0:
no> mynd:0 port:4 chan:0 FIPS AES-256-GCM MACsec KATS dulkóðun samþykkt
12. sept 10:51:17 network_macsec_kats_input xe- /0/4:0:
nei> mynd:0 port:4 chan:0 FIPS AES-256-GCM MACsec KATS afkóðun samþykkt
12. sept 10:51:26 network_macsec_kats_input xe- /0/5:0:
no> mynd:0 port:5 chan:0 FIPS AES-256-GCM MACsec KATS dulkóðun samþykkt
12. sept 10:51:27 network_macsec_kats_input xe- /0/5:0:
nei> mynd:0 port:5 chan:0 FIPS AES-256-GCM MACsec KATS afkóðun samþykkt
12. sept 10:51:36 network_macsec_kats_input xe- /0/6:0:
no> mynd:0 port:6 chan:0 FIPS AES-256-GCM MACsec KATS dulkóðun samþykkt
12. sept 10:51:36 network_macsec_kats_input xe- /0/6:0:
nei> mynd:0 port:6 chan:0 FIPS AES-256-GCM MACsec KATS afkóðun samþykkt
12. sept 10:51:44 network_macsec_kats_input xe- /0/7:0:
no> mynd:0 port:7 chan:0 FIPS AES-256-GCM MACsec KATS dulkóðun samþykkt
12. sept 10:51:44 network_macsec_kats_input xe- /0/7:0:
nei> mynd:0 port:7 chan:0 FIPS AES-256-GCM MACsec KATS afkóðun samþykkt
12. sept 10:51:51 network_macsec_kats_input xe- /0/8:0:
no> mynd:0 port:8 chan:0 FIPS AES-256-GCM MACsec KATS dulkóðun samþykkt
12. sept 10:51:51 network_macsec_kats_input xe- /0/8:0:
nei> mynd:0 port:8 chan:0 FIPS AES-256-GCM MACsec KATS afkóðun samþykkt
12. sept 10:51:58 network_macsec_kats_input xe- /0/9:0:
no> mynd:0 port:9 chan:0 FIPS AES-256-GCM MACsec KATS dulkóðun samþykkt
12. sept 10:51:58 network_macsec_kats_input xe- /0/9:0:
nei> mynd:0 port:9 chan:0 FIPS AES-256-GCM MACsec KATS afkóðun samþykkt
12. sept 10:52:05 network_macsec_kats_input xe- /0/10:0:
Rauf nr> mynd:0 port:10 chan:0 FIPS AES-256-GCM MACsec KATS dulkóðun samþykkt
12. sept 10:52:05 network_macsec_kats_input xe- /0/10:0:
Rauf nr> mynd:0 port:10 chan:0 FIPS AES-256-GCM MACsec KATS afkóðun samþykkt
12. sept 10:52:12 network_macsec_kats_input xe- /0/11:0:
Rauf nr> mynd:0 port:11 chan:0 FIPS AES-256-GCM MACsec KATS dulkóðun samþykkt
12. sept 10:52:12 network_macsec_kats_input xe- /0/11:0:
Rauf nr> mynd:0 port:11 chan:0 FIPS AES-256-GCM MACsec KATS afkóðun samþykkt
12. sept 10:52:20 network_macsec_kats_input xe- /1/0:0:
no> mynd:1 port:0 chan:0 FIPS AES-256-GCM MACsec KATS dulkóðun samþykkt
12. sept 10:52:20 network_macsec_kats_input xe- /1/0:0:
nei> mynd:1 port:0 chan:0 FIPS AES-256-GCM MACsec KATS afkóðun samþykkt
12. sept 10:52:27 network_macsec_kats_input xe- /1/1:0:
no> mynd:1 port:1 chan:0 FIPS AES-256-GCM MACsec KATS dulkóðun samþykkt
12. sept 10:52:28 network_macsec_kats_input xe- /1/1:0:
nei> mynd:1 port:1 chan:0 FIPS AES-256-GCM MACsec KATS afkóðun samþykkt
12. sept 10:52:34 network_macsec_kats_input xe- /1/2:0:
no> mynd:1 port:2 chan:0 FIPS AES-256-GCM MACsec KATS dulkóðun samþykkt
Merking
Kerfisskráin file sýnir dagsetningu og tíma þegar KAT voru framkvæmd og stöðu þeirra.

Aðgerðarstjórnir

Setningafræði
biðja um núllsetningu kerfisins
Lýsing
Fyrir RE1800, fjarlægðu allar stillingarupplýsingar á leiðarvélunum og endurstilltu öll lykilgildi. Ef tækið er með tvöfalda leiðarvélar er skipunin send út til allra leiðarvéla tækisins. Skipunin fjarlægir öll gögn  files, þar á meðal sérsniðnar stillingar og log files, með því að aftengja files úr möppum þeirra. Skipunin fjarlægir allt sem notandi hefur búið til files úr kerfinu þar á meðal öll einföld textalykilorð, leyndarmál og einkalykla fyrir SSH, staðbundna dulkóðun, staðbundna auðkenningu, IPsec, RADIUS, TACACS+ og SNMP.
Þessi skipun endurræsir tækið og stillir það á sjálfgefna verksmiðjustillingu. Eftir endurræsingu geturðu ekki fengið aðgang að tækinu í gegnum Ethernet stjórnunarviðmótið. Skráðu þig inn í gegnum stjórnborðið sem rót og ræstu Junos OS CLI með því að slá inn cli við hvetja.
Áskilið forréttindastig
viðhald
biðja um vmhost zeroize enga framsendingu
Setningafræði
biðja um vmhost zeroize enga framsendingu
Lýsing
Fyrir REMX2K-X8, fjarlægðu allar stillingarupplýsingar á leiðarvélunum og endurstilltu öll lykilgildi. Ef tækið er með tvöfalda leiðarvélar er skipunin send út til beggja leiðarvéla tækisins.
Skipunin fjarlægir öll gögn files, þar á meðal sérsniðnar stillingar og log files, með því að aftengja files úr möppum þeirra. Skipunin fjarlægir allt sem notandi hefur búið til files úr kerfinu þar á meðal öll einföld textalykilorð, leyndarmál og einkalykla fyrir SSH, staðbundna dulkóðun, staðbundna auðkenningu, IPsec, RADIUS, TACACS+ og SNMP.
Þessi skipun endurræsir tækið og setur það á sjálfgefnar verksmiðjustillingar. Eftir endurræsingu geturðu ekki fengið aðgang að tækinu í gegnum Ethernet stjórnunarviðmótið. Skráðu þig inn í gegnum stjórnborðið sem rótnotandi og ræstu Junos OS CLI með því að slá inn cli við hvetja.
Sample Framleiðsla
biðja um vmhost zeroize enga framsendingu
user@host> biðja um vmhost zeroize no-forwarding
VMHost núllstilling: Eyddu öllum gögnum, þar á meðal stillingum og log files ?
[já, nei] (nei) já
re0:
viðvörun: Vmhost mun endurræsa og gæti ekki ræst án
uppsetningu
viðvörun: Heldur áfram með vmhost
núllstilla
Núllstilla auka innri disk
Haldið áfram með núllstillingu á aukahluta
diskur
Festingartæki í undirbúningi fyrir
núllstilla…
Hreinsar upp markdiskinn fyrir zeroize
Núllsetning gert á markmiði
diskur.
Núllstilla aukadisk
lokið
Núllstilla aðal innri disk
Haldið áfram með núllstillingu á prófkjöri
diskur
/etc/ssh/ssh_host_ecdsa_key.pub
/etc/ssh/ssh_host_rsa_key
/etc/ssh/ssh_host_dsa_key.pub
/etc/ssh/ssh_host_rsa_key.pub
/etc/ssh/ssh_host_ecdsa_key
/etc/ssh/ssh_host_dsa_key
Festingartæki í undirbúningi fyrir
núllstilla…
Hreinsar upp markdiskinn fyrir zeroize
Núllsetning gert á markmiði
diskur.
Núllstilla aðaldisk
lokið
Núllstilla
búið
—(meira)— Hætta
cron.
Bíð eftir PIDS:
6135.
.
16. feb 14:59:33 jlaunchd: periodic-packet-services (PID 6181) lokamerki 15 sent
16. feb 14:59:33 jlaunchd: smg-þjónusta (PID 6234) stöðva merki 15 sent
16. feb 14:59:33 jlaunchd: auðkenning forrits (PID 6236) lokamerki 15 sent
16. feb 14:59:33 jlaunchd: ifstate-tracing-process (PID 6241) lokamerki 15 sent
16. feb 14:59:33 jlaunchd: auðlindastjórnun (PID 6243) stöðva merki 15 sent
16. feb 14:59:33 jlaunchd: hlaðið (PID 6246) lokamerki 15 sent
16. feb 14:59:33 jlaunchd: leyfisþjónusta (PID 6255) lokamerki 15 sent
16. feb 14:59:33 jlaunchd: ntp (PID 6620) terminate merki 15 sent
16. feb 14:59:33 jlaunchd: gkd-undirvagn (PID 6621) lokamerki 15 sent
16. feb 14:59:33 jlaunchd: gkd-lchassis (PID 6622) lokamerki 15 sent
16. feb 14:59:33 jlaunchd: leið (PID 6625) stöðva merki 15 sent
16. feb 14:59:33 jlaunchd: sonet-aps (PID 6626) stöðva merki 15 sent
16. feb 14:59:33 jlaunchd: fjarstýringar (PID 6627) stöðva merki 15 sent
16. feb 14:59:33 jlaunchd: þjónustuflokkur
……..
99JUNIPER merki

Skjöl / auðlindir

JUNIPER NETWORKS Junos OS FIPS metin tæki [pdfNotendahandbók
Junos OS FIPS metin tæki, Junos OS, FIPS metin tæki, metin tæki, tæki

Heimildir

Skildu eftir athugasemd

Netfangið þitt verður ekki birt. Nauðsynlegir reitir eru merktir *