Juniper EX4400 Common Criteria Evaluated Configuration
Tæknilýsing
- Gerð: EX4400-24MP, EX4400-24P, EX4400-24T, EX4400-48F, EX4400-48MP, EX4400-48P, EX4400-48T
- Birt: 2024-04-30
- Útgáfa: 22.3R1
- Framleiðandi: Juniper Networks, Inc.
Upplýsingar um vöru
EX4400 röð tækja frá Juniper Networks er hönnuð fyrir örugga og skilvirka netstjórnun. Þessi tæki styðja Common Criteria og FIPS staðla til að tryggja gagnaöryggi og heilleika.
Yfirview
Skilningur á sameiginlegum viðmiðum metnum uppsetningu:
- Lestu í gegnum handbókina til að skilja stillingarkröfur fyrir mat á Common Criteria.
Stilla hlutverk og auðkenningaraðferðir
Skilningur á hlutverkum og þjónustu fyrir Junos OS í Common Criteria og FIPS:
- Kynntu þér hlutverk og þjónustu sem er í boði í Junos OS til að uppfylla Common Criteria og FIPS staðla.
Setur upp Junos OS hugbúnaðarpakka
- Sæktu nauðsynlega hugbúnaðarpakka frá Juniper Networks.
- Fylgdu uppsetningarleiðbeiningunum í handbókinni.
Virkjar FIPS ham
- Fylgdu skrefunum til að virkja FIPS-stillingu á tækinu til að auka
öryggi.
Stilla stjórnunarskilríki og réttindi
Skilningur á tengdum lykilorðareglum fyrir viðurkenndan stjórnanda:
- Review lykilorðareglurnar fyrir viðurkennda stjórnendur til að tryggja öruggan aðgang.
Auðkenningaraðferðir í FIPS-aðgerð:
- Kannaðu auðkenningaraðferðirnar sem eru tiltækar fyrir FIPS-stillingu.
Algengar spurningar
Sp.: Hvernig sæki ég niður hugbúnaðarpakka frá Juniper Networks?
A: Þú getur halað niður hugbúnaðarpakka frá Juniper Networks með því að heimsækja opinbera þeirra websíðuna og fá aðgang að viðeigandi niðurhalshluta fyrir tækið þitt.
Sp.: Hvað er FIPS ham og hvers vegna er það mikilvægt?
A: FIPS-stilling er öryggisstaðall sem tryggir að dulmálsreiknirit séu innleidd á réttan hátt fyrir örugga meðhöndlun gagna. Það er mikilvægt til að viðhalda heilindum og trúnaði gagna.
1. KAFLI
Yfirview
Skilningur á sameiginlegum viðmiðum metnum stillingum | 2 Skilningur á Junos OS í FIPS ham | 3 Skilningur á algengum viðmiðum og FIPS hugtakafræði og studdum dulmálsreikniritum | 5 Að bera kennsl á örugga vöruafhendingu | 9 Skilningur á stjórnunarviðmótum | 11
2
Skilningur á Common Criteria Evaluated Configuration
Í ÞESSUM HLUTI Skilningur á algengum viðmiðum | 2 studdir pallar | 3
Þetta skjal lýsir þeim skrefum sem þarf til að afrita uppsetningu tækisins sem keyrir Junos OS þegar tækið er metið. Þetta er vísað til sem metin uppsetning. Eftirfarandi listi lýsir stöðlum sem tækið hefur verið metið til: · NDcPP v2.2e–https://www.niap-ccevs.org/MMO/PP/CPP_ND_V2.2E.pdf The Archived Protection Profiles skjöl eru fáanleg á https://www.niap-ccevs.org/Profile/PP.cfm? í geymslu=1.
Skilningur á sameiginlegum viðmiðum
Sameiginleg viðmið fyrir upplýsingatækni er alþjóðlegur samningur undirritaður af nokkrum löndum sem heimilar mat á öryggisvörum í samræmi við sameiginlegt sett af stöðlum. Í Common Criteria Recognition Arrangement (CCRA) á https://www.commoncriteriaportal.org/ccra/ eru þátttakendur sammála um að viðurkenna gagnkvæmt mat á vörum sem framkvæmt er í öðrum löndum. Allt mat er framkvæmt með sameiginlegri aðferðafræði fyrir öryggismat upplýsingatækni. Fyrir frekari upplýsingar um Common Criteria, sjá https://www.commoncriteriaportal.org/. Target of Evaluation (TOE) er tæki eða kerfi sem er háð mati byggt á Collaborative Protection Profile (cPP).
3
Stuðlaðir pallar
Fyrir þá eiginleika sem lýst er í þessu skjali eru eftirfarandi vettvangar studdir til að uppfylla skilyrði NDcPPv2.2e: · EX4400 Series tæki (https://www.juniper.net/us/en/products/switches/ex-series.html).
SKJÁLSAGN Til að bera kennsl á örugga vöruafhendingu | 9
Að skilja Junos OS í FIPS ham
Í ÞESSUM HLUTA Um dulmálsmörkin á tækinu þínu | 4 Hvernig FIPS hamur er frábrugðinn non-FIPS ham | 4 Staðfest útgáfa af Junos OS í FIPS ham | 4
Federal Information Processing Standards (FIPS) 140-3 skilgreina öryggisstig fyrir vél- og hugbúnað sem framkvæma dulmálsaðgerðir. Að nota tækið þitt í FIPS 140-3 Level 1 umhverfi krefst þess að virkja og stilla FIPS ham á tækinu frá Junos OS CLI. Öryggisstjórinn virkjar FIPS ham í Junos OS og setur upp lykla og lykilorð fyrir kerfið og aðra FIPS notendur sem geta view uppsetninguna. Bæði öryggisstjóri og notandi geta framkvæmt venjuleg stillingarverkefni á tækinu (svo sem að breyta gerðum viðmóts) eins og einstök notendastilling leyfir.
4
Um dulmálsmörkin á tækinu þínu
FIPS 140-3 samræmi krefst skilgreindra dulmálsmörka í kringum hverja dulmálseiningu í tæki. Junos OS í FIPS ham kemur í veg fyrir að dulmálseiningin geti keyrt hugbúnað sem er ekki hluti af FIPS-vottaðri dreifingu og gerir aðeins kleift að nota FIPS-samþykkt dulritunaralgrím. Engar mikilvægar öryggisbreytur (CSP), eins og lykilorð og lyklar, geta farið yfir dulmálsmörk einingarinnar á ódulkóðuðu sniði.
VARÚÐ: Sýndarundirvagnseiginleikar eru ekki studdir í FIPS ham. Ekki stilla sýndarundirvagn í FIPS ham.
Hvernig FIPS hamur er frábrugðinn non-FIPS ham
Ólíkt Junos OS í non-FIPS ham, er Junos OS í FIPS ham óbreytanlegt rekstrarumhverfi. Að auki er Junos OS í FIPS ham frábrugðið Junos OS í nonFIPS ham: · Sjálfspróf á öllum dulmáls reikniritum eru framkvæmd við ræsingu. · Sjálfspróf á slembitölu og lyklamyndun eru gerðar stöðugt. · Veik dulritunaralgrím eins og Data Encryption Standard (DES) og Message Digest 5 (MD5)
eru fatlaðir. · Ekki má stilla veikar eða ódulkóðaðar stjórnunartengingar. Hins vegar leyfir TOE staðbundið
og ódulkóðaðan stjórnborðsaðgang í öllum aðgerðum. · Lykilorð verða að vera dulkóðuð með sterkum einhliða reikniritum sem leyfa ekki afkóðun. · Junos-FIPS stjórnanda lykilorð verða að vera að minnsta kosti 10 stafir að lengd. · Dulritunarlyklar verða að vera dulkóðaðir fyrir sendingu.
Staðfest útgáfa af Junos OS í FIPS ham
Til að ákvarða hvort Junos OS útgáfa sé NIST-fullgilt, sjáðu samræmissíðuna á Juniper Networks Web síða (https://apps.juniper.net/compliance/).
5
SKJÁLSAGN Til að bera kennsl á örugga vöruafhendingu | 9
Skilningur á algengum viðmiðum og FIPS hugtakanotkun og studdum dulritunaralgrímum
Í ÞESSUM HLUTA Orðfræði | 5 studdir dulmálsreiknirit | 7
Notaðu skilgreiningar á Common Criteria og FIPS hugtökum, og studd reiknirit til að hjálpa þér að skilja Junos OS.
Hugtök
Algengar viðmiðanir
Öryggisstjóri
NDcPPv2.2e
Sameiginleg viðmið fyrir upplýsingatækni er alþjóðlegur samningur undirritaður af nokkrum löndum sem heimilar mat á öryggisvörum í samræmi við sameiginlegt sett af stöðlum.
Fyrir Common Criteria hafa notendareikningar í TOE eftirfarandi eiginleika: auðkenni notanda (notandanafn), auðkenningargögn (lykilorð) og hlutverk (réttindi). Öryggisstjórinn er tengdur skilgreindum innskráningarflokki "security-admin", sem hefur nauðsynlegar heimildir til að leyfa stjórnandanum að framkvæma öll verkefni sem nauðsynleg eru til að stjórna Junos OS.
Samvinnuvernd Profile fyrir nettæki, útgáfu 2.2e, dagsett 23. mars 2020.
6
Critical security parameter (CSP)
Öryggistengdar upplýsingar - tdample, leyndarmál og einka dulmálslyklar og auðkenningargögn eins og lykilorð og persónunúmer (PIN-númer) – þar sem birting þeirra eða breyting getur teflt öryggi dulmálseiningarinnar eða upplýsinganna sem hún verndar. Fyrir frekari upplýsingar, sjá „Skilningur á rekstrarumhverfi Junos OS í FIPS ham“ á síðu 15.
Dulmálseining
Samstæðan af vélbúnaði, hugbúnaði og fastbúnaði sem útfærir viðurkenndar öryggisaðgerðir (þar á meðal dulmálsreiknirit og lyklagerð) og er innan dulmálsmarkanna. Fyrir tæki með föstum stillingum er dulmálseiningin tækið. Fyrir einingatæki er dulmálseiningin leiðarvélin.
ESP
Encapsulating Security Payload (ESP) samskiptareglur. Sá hluti IPsec samskiptareglunnar sem
tryggir trúnað pakka með dulkóðun. Bókunin tryggir
að ef ESP pakki hefur tekist að afkóða, og enginn annar aðili veit leyndarmálið
lykla sem jafningjar deila, pakkinn var ekki hleraður í flutningi.
FIPS
Alríkisstaðlar fyrir vinnslu upplýsinga. FIPS 140-3 tilgreinir kröfur um
öryggis- og dulmálseiningum. Junos OS í FIPS ham er í samræmi við FIPS
140-3 Stig 1.
FIPS viðhaldshlutverk
Hlutverkið sem öryggisstjórinn tekur að sér að sinna líkamlegu viðhaldi eða rökréttri viðhaldsþjónustu eins og vélbúnaðar- eða hugbúnaðargreiningu. Fyrir FIPS 140-3 samræmi, núllstillir öryggisstjórnandinn leiðarvélina við inngöngu í og brottför úr FIPS viðhaldshlutverkinu til að eyða öllum leyndum texta og einkalyklum og óvörðum CSP.
ATHUGIÐ: FIPS viðhaldshlutverkið er ekki stutt á Junos OS í FIPS ham.
Hashing KATs SA
Skilaboðaauðkenningaraðferð sem beitir dulmálstækni endurtekið á skilaboð af handahófskenndri lengd og framleiðir kjötkássaskilaboð eða undirskrift með fastri lengd sem er bætt við skilaboðin þegar þau eru send.
Þekkt svarpróf. Kerfissjálfspróf sem sannreyna framleiðsla dulmálsreiknirita sem samþykkt eru fyrir FIPS og prófa heilleika sumra Junos OS eininga. Fyrir frekari upplýsingar, sjá „Skilningur á FIPS-sjálfsprófum“ á síðu 118.
Öryggissamtök (SA). Tenging milli gestgjafa sem gerir þeim kleift að hafa samskipti á öruggan hátt með því að skilgreina, tdample, hvernig þeir skiptast á einkalyklum. Sem öryggisstjóri verður þú að stilla innri SA handvirkt á tækjum
7
SSH núllstilling
keyra Junos OS í FIPS ham. Öll gildi, þar með talið lyklana, verða að vera tilgreind með kyrrstöðu í uppsetningunni. Á tækjum sem eru með fleiri en eina leiðarvél, verður stillingin að passa á báðum endum tengingarinnar milli leiðarvélanna. Til að samskipti geti átt sér stað verður hver leiðarvél að hafa sömu stillingu valkostina, sem þarfnast ekki samningaviðræðna og renna ekki út. .
Samskiptareglur sem notar sterka auðkenningu og dulkóðun fyrir fjaraðgang á óöruggu neti. SSH veitir ytri innskráningu, fjarframkvæmd forrita, file afrita og aðrar aðgerðir. Það er ætlað sem örugg skipti fyrir rlogin, rsh og rcp í UNIX umhverfi. Til að tryggja upplýsingarnar sem sendar eru yfir stjórnunartengingar skaltu nota SSHv2 fyrir CLI stillingar. Í Junos OS er SSHv2 sjálfgefið virkt og SSHv1, sem er ekki talið öruggt, er óvirkt.
Eyða öllum CSP og öðrum notendabúnum gögnum á tæki áður en það er notað sem FIPS dulmálseining – eða til undirbúnings að endurnýta tækið fyrir notkun án FIPS. Öryggisstjórinn getur núllstillt kerfið með CLI rekstrarskipun. Fyrir frekari upplýsingar, sjá „Skilning á núllstillingu til að hreinsa kerfisgögn fyrir FIPS-stillingu“ á síðu 23.
Stuðningur dulritunar reiknirit
Tafla 1 á blaðsíðu 8 dregur saman stuðning við samskiptareglur á háu stigi.
8
Tafla 1: Samskiptareglur leyfðar í FIPS ham
Samskiptalyklaskipti
Auðkenning
Dulmál
Heiðarleiki
SSHv2
· dh-hópur14-sha1 · ECDH-sha2-nistp256 · ECDH-sha2-nistp384 · ECDH-sha2-nistp521
Gestgjafi (eining): · ECDSA P-256 · SSH-RSA Viðskiptavinur (notandi): · ECDSA P-256 · ECDSA P-384 · ECDSA P-521 · SSH-RSA · RSA-SHA2-256 · RSA-SHA2-512
· AES CTR 128 · AES CTR 256 · AES CBC 128 · AES CBC 256
· HMAC-SHA-1 · HMAC-SHA-256 · HMAC-SHA-512
Eftirfarandi dulmálsreiknirit eru studd í FIPS ham. Samhverfar aðferðir nota sama lykil fyrir dulkóðun og afkóðun, en ósamhverfar aðferðir nota mismunandi lykla fyrir dulkóðun og afkóðun.
AES
Advanced Encryption Standard (AES), skilgreindur í FIPS PUB 197. AES reikniritið
notar 128 eða 256 bita lykla til að dulkóða og afkóða gögn í 128 bita blokkum.
Diffie Hellman
Aðferð til að skiptast á lyklum yfir óöruggt umhverfi (eins og internetið). Diffie-Hellman reikniritið semur um lotulykil án þess að senda lykilinn sjálfan yfir netið með því að leyfa hverjum aðila að velja hlutalykil sjálfstætt og senda hluta af þeim lykli til hins. Hvor hlið reiknar síðan sameiginlegt lykilgildi. Þetta er samhverf aðferð - lyklar eru venjulega aðeins notaðir í stuttan tíma, fleygt og endurnýjaðir.
ECDH
Sporöskjulaga ferill Diffie-Hellman. Afbrigði af Diffie-Hellman lyklaskipta reikniritinu sem notar dulmál sem byggir á algebrufræðilegri uppbyggingu sporöskjulaga ferla yfir endanlegt svið. ECDH gerir tveimur aðilum, sem hvor um sig hafa sporöskjulaga feril, opinber-einkalyklapar, að koma á sameiginlegu leyndarmáli yfir óörugga rás. Sameiginlega leyndarmálið er hægt að nota annað hvort sem lykil eða til að fá annan lykil til að dulkóða síðari samskipti með samhverfu lykli.
9
ECDSA
Sporöskjulaga feril stafræn undirskriftaralgrím. Afbrigði af Digital Signature Algorithm (DSA) sem notar dulritun byggt á algebrufræðilegri uppbyggingu sporöskjulaga ferla yfir endanlegt svið. Bitastærð sporöskjulaga ferilsins ákvarðar erfiðleikana við að afkóða lykilinn. Almenningslykillinn sem talinn er nauðsynlegur fyrir ECDSA er um það bil tvöfalt stærri en öryggisstyrkurinn, í bitum. ECDSA notar P-256, P-384 og P-521 línurnar sem hægt er að stilla undir OpenSSH.
HMAC
HMAC er skilgreint sem „Keyed-Hashing fyrir sannvottun skilaboða“ í RFC 2104 og sameinar hashing reiknirit með dulmálslyklum fyrir auðkenningu skilaboða.
SHA-256, SHA-384 og SHA-512
Öruggur kjötkássa reiknirit (SHA) sem tilheyra SHA-2 staðlinum sem skilgreindur er í FIPS PUB 180-2. Þróað af NIST, SHA-256 framleiðir 256 bita kjötkássasamdrátt, SHA-384 framleiðir 384 bita kjötkássasamsetningu og SHA-512 framleiðir 512 bita kjötkássasamsetningu.
AES-CMAC
AES-CMAC veitir sterkari fullvissu um gagnaheilleika en eftirlitsummu eða villugreiningarkóða. Sannprófun á athugunarsummu eða villugreiningarkóða greinir aðeins breytingar á gögnunum fyrir slysni, en CMAC er hannað til að greina viljandi, óheimilar breytingar á gögnunum, sem og breytingar fyrir slysni.
Tengd skjöl Skilningur á FIPS-sjálfsprófum | 118 Skilningur á núllstillingu til að hreinsa kerfisgögn fyrir FIPS ham | 23
Að bera kennsl á örugga vöruafhendingu
Það eru nokkrir aðferðir í afhendingarferlinu til að tryggja að viðskiptavinur fái vöru sem hefur ekki verið tamperuð með. Viðskiptavinurinn ætti að framkvæma eftirfarandi athuganir við móttöku tækis til að sannreyna heilleika pallsins. · Sendingarmiði–Gakktu úr skugga um að sendingarmiðinn auðkenni rétt nafn viðskiptavinar og
heimilisfang sem og tækið. · Ytri umbúðir – Skoðaðu flutningskassa að utan og límband. Gakktu úr skugga um að sendingarbandið hafi ekki gert það
verið skorið niður eða á annan hátt í hættu. Gakktu úr skugga um að kassinn hafi ekki verið skorinn eða skemmdur til að leyfa aðgang að tækinu. · Inni umbúðir – Skoðaðu plastpokann og innsiglið. Gakktu úr skugga um að pokinn sé ekki skorinn eða fjarlægður. Gakktu úr skugga um að innsiglið sé ósnortið.
10
Ef viðskiptavinur greinir vandamál við skoðun skal hann eða hún strax hafa samband við birgjann. Gefðu birgjanum pöntunarnúmer, rakningarnúmer og lýsingu á tilgreindu vandamáli. Að auki eru nokkrar athuganir sem hægt er að framkvæma til að tryggja að viðskiptavinurinn hafi fengið kassa sendur af Juniper Networks en ekki öðru fyrirtæki sem líkist Juniper Networks. Viðskiptavinur ætti að framkvæma eftirfarandi athuganir við móttöku tækis til að sannreyna áreiðanleika tækisins: · Staðfesta að tækið hafi verið pantað með innkaupapöntun. Juniper Networks tæki eru það aldrei
send án innkaupapöntunar.
· Þegar tæki er sent út er sendingartilkynning send á netfangið sem viðskiptavinur gefur upp þegar pöntun er tekin. Staðfestu að þessi tölvupósttilkynning hafi borist. Staðfestu að tölvupósturinn innihaldi eftirfarandi upplýsingar: · Innkaupapöntunarnúmer
· Juniper Networks pöntunarnúmer notað til að fylgjast með sendingunni
· Rakningarnúmer flutningsaðila notað til að fylgjast með sendingunni
· Listi yfir vörur sem sendar eru með raðnúmerum
· Heimilisfang og tengiliði bæði birgja og viðskiptavinar
· Staðfestu að sendingin hafi verið hafin af Juniper Networks. Til að ganga úr skugga um að sending hafi verið hafin af Juniper Networks, ættir þú að framkvæma eftirfarandi verkefni: · Berðu saman rakningarnúmer flutningsfyrirtækisins á Juniper Networks pöntunarnúmerinu sem skráð er í Juniper Networks sendingartilkynningunni við rakningarnúmerið á pakkanum sem berast.
· Skráðu þig inn á þjónustugátt Juniper Networks á netinu á https://support.juniper.net/ support/ til að view stöðu pöntunarinnar. Berðu saman rakningarnúmer símafyrirtækisins eða Juniper Networks pöntunarnúmerið sem skráð er í Juniper Networks sendingartilkynningunni við rakningarnúmerið á mótteknum pakka.
Tengd skjöl Skilningur á sameiginlegum viðmiðum metnum stillingum | 2
11
Að skilja stjórnunarviðmót
Hægt er að nota eftirfarandi stjórnunarviðmót í metinni uppsetningu: · Staðbundin stjórnunarviðmót – RJ-45 stjórnborðstengi á bakhlið tækis er stillt sem
RS-232 gagnaendabúnaður (DTE). Þú getur notað stjórnlínuviðmótið (CLI) yfir þessa tengi til að stilla tækið frá útstöð. · Fjarstjórnunarsamskiptareglur - Hægt er að fjarstýra tækinu yfir hvaða Ethernet tengi sem er. SSHv2 er eina leyfilega fjarstjórnunarferlið sem hægt er að nota í metinni uppsetningu. Fjarstjórnunarsamskiptareglur J-Web og Telnet eru ekki tiltæk til notkunar í tækinu.
Tengd skjöl Skilningur á sameiginlegum viðmiðum metnum stillingum | 2
2. KAFLI
Stilla hlutverk og auðkenningaraðferðir
Skilningur á hlutverkum og þjónustu fyrir Junos OS í Common Criteria og FIPS | 13
Skilningur á rekstrarumhverfi Junos OS í FIPS ham | 15 Skilningur á lykilorðaforskriftum og leiðbeiningum fyrir Junos OS í FIPS ham | 19 Að hala niður hugbúnaðarpökkum frá Juniper Networks | 21 Settu upp Junos OS hugbúnaðarpakka | 21 Skilningur á núllstillingu til að hreinsa kerfisgögn fyrir FIPS ham | 23 Núllstilla kerfið | 25 Virkja FIPS ham | 26 Stilling öryggisstjóra og FIPS notandaauðkenningar og aðgangur | 30
13
Skilningur á hlutverkum og þjónustu fyrir Junos OS í Common Criteria og FIPS
Í ÞESSUM HLUTA Öryggisstjórnanda Hlutverk og ábyrgð | 13 FIPS Hlutverk og ábyrgð notenda | 14 Til hvers er ætlast af öllum FIPS notendum | 14
Öryggisstjórinn er tengdur skilgreindum innskráningarflokki „security-admin“, sem hefur nauðsynlegar heimildir til að leyfa stjórnandanum að framkvæma öll verkefni sem nauðsynleg eru til að stjórna Junos OS. Stjórnunarnotendur (öryggisstjórnandi) verða að leggja fram einstök auðkenningar- og auðkenningargögn áður en stjórnunaraðgangur að kerfinu er veittur. Hlutverk og skyldur öryggisstjóra eru sem hér segir: 1. Öryggisstjórnandi getur stjórnað staðbundið og fjarstýrt. 2. Búðu til, breyttu og eyddu stjórnandareikningum, þar með talið uppsetningu á auðkenningarbilun
breytur. 3. Virkjaðu aftur stjórnandareikning. 4. Ábyrgur fyrir uppsetningu og viðhaldi dulmálsþátta sem tengjast
koma á öruggum tengingum til og frá metinni vöru. Juniper Networks Junos stýrikerfið (Junos OS) sem keyrir í ekki-FIPS ham gerir notendum kleift að nota fjölbreytt úrval af möguleikum og auðkenningin byggist á auðkenni. Öryggisstjóri framkvæmir öll FIPS-ham tengdar uppsetningarverkefni og gefur út allar yfirlýsingar og skipanir fyrir Junos OS í FIPS ham.
Hlutverk og ábyrgð öryggisstjóra
Öryggisstjórinn er sá sem ber ábyrgð á að virkja, stilla, fylgjast með og viðhalda Junos OS í FIPS ham á tæki. Öryggisstjórinn setur upp Junos OS á öruggan hátt
14
á tækinu, virkjar FIPS-stillingu, setur lykla og lykilorð fyrir aðra notendur og hugbúnaðareiningar og frumstillir tækið fyrir nettengingu.
BESTU starfsvenjur: Við mælum með því að öryggisstjóri stjórni kerfinu á öruggan hátt með því að halda lykilorðum öruggum og athuga endurskoðun files.
Heimildirnar sem aðgreina öryggisstjórann frá öðrum FIPS notendum eru leyndarmál, öryggi, viðhald og eftirlit. Fyrir FIPS samræmi, úthlutaðu öryggisstjóranum innskráningarflokki sem inniheldur allar þessar heimildir. Notandi með Junos OS viðhaldsheimild getur lesið files sem inniheldur mikilvægar öryggisbreytur (CSP). Meðal verkefna sem tengjast Junos OS í FIPS-ham, er gert ráð fyrir að öryggisstjórinn: · Stilli upphaflegt rótarlykilorð. Lengd lykilorðsins ætti að vera að minnsta kosti 10 stafir. · Endurstilltu lykilorð notenda með FIPS-samþykktum reikniritum. · Skoða dagbók og endurskoðun files fyrir atburði sem vekja áhuga. · Eyða notendagerðum files, lykla og gögn með því að núllstilla tækið.
FIPS notendahlutverk og ábyrgð
Allir FIPS notendur, þar á meðal öryggisstjórinn, geta það view uppsetninguna. Aðeins notandinn sem er úthlutað sem öryggisstjóri getur breytt stillingunum. FIPS notandi getur view stöðuúttak en getur ekki endurræst eða núllstillt tækið.
Til hvers er ætlast af öllum FIPS notendum
Allir FIPS notendur, þar á meðal öryggisstjórinn, verða að virða öryggisleiðbeiningar á hverjum tíma. Allir FIPS notendur verða að: · Halda trúnaði um öll lykilorð. · Geymdu tæki og skjöl á öruggu svæði. · Dreifðu tækjum á öruggum svæðum. · Athugaðu endurskoðun files reglulega.
15
· Samræmdu öllum öðrum FIPS 140-3 öryggisreglum. · Fylgdu þessum leiðbeiningum:
· Notendum er treyst. · Notendur fara eftir öllum öryggisleiðbeiningum. · Notendur skerða ekki öryggi vísvitandi. · Notendur hegða sér á ábyrgan hátt á hverjum tíma.
Tengd skjöl Núllstilla kerfið | 25 Stilling öryggisstjóra og FIPS notendaauðkenningar og aðgangur | 30
Skilningur á rekstrarumhverfi Junos OS í FIPS ham
Í ÞESSUM HLUTA Vélbúnaðarumhverfi fyrir Junos OS í FIPS ham | 16 Hugbúnaðarumhverfi fyrir Junos OS í FIPS ham | 16 mikilvægar öryggisfæribreytur | 17
Juniper Networks tæki sem keyrir Junos stýrikerfið (Junos OS) í FIPS ham myndar sérstaka gerð vélbúnaðar og hugbúnaðar rekstrarumhverfis sem er frábrugðið umhverfi tækis í non-FIPS ham:
16
Vélbúnaðarumhverfi fyrir Junos OS í FIPS ham
Junos OS í FIPS ham setur dulmálsmörk í tækinu sem engar mikilvægar öryggisbreytur (CSP) geta farið yfir með því að nota venjulegan texta. Hver vélbúnaðarhluti tækisins sem krefst dulmálsmörk fyrir FIPS 140-3 samræmi er sérstakt dulmálseining. Það eru tvær tegundir af vélbúnaði með dulmálsmörk í Junos OS í FIPS ham: ein fyrir hverja leiðarvél og ein fyrir allan undirvagninn. Dulmálsaðferðir koma ekki í staðinn fyrir líkamlegt öryggi. Vélbúnaðurinn verður að vera staðsettur í öruggu líkamlegu umhverfi. Notendur hvers kyns mega ekki birta lykla eða lykilorð, eða leyfa skriflegum gögnum eða athugasemdum að sjá af óviðkomandi starfsfólki.
Hugbúnaðarumhverfi fyrir Junos OS í FIPS ham
Juniper Networks tæki sem keyrir Junos OS í FIPS ham myndar sérstaka tegund rekstrarumhverfis sem ekki er hægt að breyta. Til að ná þessu umhverfi á tækinu kemur kerfið í veg fyrir framkvæmd allra tvíliða file sem var ekki hluti af löggiltri Junos OS dreifingu. Þegar tæki er í FIPS-stillingu getur það aðeins keyrt Junos OS. Junos OS í FIPS ham hugbúnaðarumhverfi er komið á fót eftir að öryggisstjórinn hefur virkjað FIPS ham á tæki. Junos OS myndin sem inniheldur FIPS-stillingu er fáanleg á Juniper Networks websíðu og hægt er að setja það upp á virkt tæki. Fyrir FIPS 140-3 samræmi mælum við með því að eyða öllum notendum sem búið er til files og gögn frá (núllstilla) kerfið strax eftir að hafa virkjað FIPS ham. Að virkja FIPS-stillingu slekkur á mörgum af venjulegum Junos OS samskiptareglum og þjónustu. Sérstaklega er ekki hægt að stilla eftirfarandi þjónustu í Junos OS í FIPS-ham: · fingur · ftp · rlogin · telnet · tftp · xnm-clear-text Tilraunir til að stilla þessar þjónustur, eða hlaða stillingar með þessar þjónustur uppstilltar, leiða til uppsetningar setningafræðivilla.
17
Þú getur aðeins notað SSH sem fjaraðgangsþjónustu. Öll lykilorð sem sett eru upp fyrir notendur eftir uppfærslu í Junos OS í FIPS ham verða að vera í samræmi við Junos OS í FIPS ham forskriftum. Lykilorð verða að vera á milli 10 og 20 stafir að lengd og krefjast þess að nota að minnsta kosti þrjú af fimm skilgreindum stafasettum (hástafir og lágstafir, tölustafir, greinarmerki og lyklaborðsstafi, eins og % og &, ekki innifalin í hinum. fjórir flokkar). Tilraunir til að stilla lykilorð sem eru ekki í samræmi við þessar reglur leiða til villu. Öll lykilorð og lyklar sem notaðir eru til að auðkenna jafningja verða að vera að minnsta kosti 10 stafir að lengd og í sumum tilfellum verður lengdin að passa við samdráttarstærð.
ATHUGIÐ: Ekki tengja tækið við netkerfi fyrr en þú, öryggisstjórinn, lýkur uppsetningunni frá staðbundinni stjórnborðstengingu.
Til að uppfylla strangar kröfur skaltu ekki skoða upplýsingar um kjarna og hrunupplýsingar á staðbundinni stjórnborði í Junos OS í FIPS ham vegna þess að sumir CSPs gætu verið sýndir í einföldum texta.
Mikilvægar öryggisfæribreytur
Mikilvægar öryggisbreytur (CSPs) eru öryggistengdar upplýsingar eins og dulmálslyklar og lykilorð sem geta komið í veg fyrir öryggi dulmálseiningarinnar eða öryggi upplýsinga sem einingin verndar ef þeim er birt eða breytt.
Núllstilling kerfisins eyðir öllum ummerkjum CSPs til undirbúnings fyrir notkun tækisins eða leiðarvélarinnar sem dulmálseining.
Tafla 2 á síðu 17 sýnir CSP á tækinu sem keyrir Junos OS.
Tafla 2: Mikilvægar öryggisfæribreytur
CSP
Lýsing
Núllvæðing
Notaðu
aðferð
SSH-2 einkahýsillykill
ECDSA / RSA lykill notaður til að auðkenna hýsilinn, myndaður í fyrsta skipti sem SSH er stillt.
Núllstilla skipun. Notað til að bera kennsl á gestgjafann.
18
Tafla 2: Mikilvægar öryggisfæribreytur (Framhald)
CSP
Lýsing
Núllvæðing
Notaðu
aðferð
SSH-2 lotulykill
Setulykill notaður með SSHv2 og sem Diffie-Hellman einkalykill.
Dulkóðun: AES-128, AES-256.
Power cycle og slíta lotu.
Samhverfur lykill notaður til að dulkóða gögn milli hýsils og viðskiptavinar.
MACs: HMAC-SHA-1, HMACSHA-2-256,HMAC-SHA2-512.
Lyklaskipti: dh-hópur14-sha1, ECDHsha2-nistp256, ECDH-sha2-nistp384 og ECDH-sha2-nistp521.
Auðkenning notenda Hash lykilorðs notandans: SHA-256,
lykill
SHA-512.
Núllstilla skipun.
Notað til að auðkenna notanda við dulmálseininguna.
Auðkenningarlykill öryggisstjóra
Hash lykilorðs öryggisstjórans: SHA-256, SHA-512.
Núllstilla skipun.
Notað til að auðkenna öryggisstjórann fyrir dulmálseiningunni.
HMAC DRBG fræ Fræ fyrir deterministic randon bit rafall (DRBG).
Fræ er ekki geymt af dulmálseiningunni.
Notað til að sá DRBG.
HMAC DRBG V gildi
Gildi (V) úttaksblokkarlengdar (outlen) í bitum, sem er uppfært í hvert sinn sem aðrir útgangsbitar af framleiðslu eru framleiddir.
Power hringrás.
Mikilvægt gildi innra ástands DRBG.
HMAC DRBG lykilgildi
Núverandi gildi outlen-bita lykilsins, sem er uppfært að minnsta kosti einu sinni í hvert sinn sem DRBG vélbúnaðurinn býr til gervitilviljanakennda bita.
Power hringrás.
Mikilvægt gildi innra ástands DRBG.
19
Tafla 2: Mikilvægar öryggisfæribreytur (Framhald)
CSP
Lýsing
NDRNG óreiðu
Notað sem óreiðuinntaksstrengur í HMAC DRBG.
Núllstillingaraðferð
Power hringrás.
Notaðu
Mikilvægt gildi innra ástands DRBG.
Í Junos OS í FIPS ham verða allir CSPs að slá inn og yfirgefa dulmálseininguna á dulkóðuðu formi. Sérhver CSP sem er dulkóðuð með ósamþykktu reikniriti er álitinn venjulegur texti af FIPS.
Staðbundin lykilorð eru þvottuð með öruggu kjötkássa reikniritinu SHA-256, eða SHA-512. Endurheimt lykilorðs er ekki möguleg í Junos OS í FIPS ham. Junos OS í FIPS ham getur ekki ræst í eins notendaham án rétts rótarlykilorðs.
Tengd skjöl Skilningur á lykilorðaforskriftum og leiðbeiningum fyrir Junos OS í FIPS ham | 19 Skilningur á núllstillingu til að hreinsa kerfisgögn fyrir FIPS ham | 23
Skilningur á lykilorðaforskriftum og leiðbeiningum fyrir Junos OS í FIPS ham
Gakktu úr skugga um að tækið sé í FIPS-stillingu áður en þú stillir öryggisstjórann eða aðra notendur. Öll lykilorð sem öryggisstjórinn hefur stofnað fyrir notendur verða að vera í samræmi við eftirfarandi Junos OS í FIPS ham kröfum. Tilraunir til að stilla lykilorð sem eru ekki í samræmi við eftirfarandi forskriftir leiða til villu. · Lengd. Lykilorðin verða að innihalda að minnsta kosti 10 stafi. · Persónusettar kröfur. Lykilorð verða að innihalda að minnsta kosti þrjú af eftirfarandi fimm skilgreindum
stafasett: · Stórir stafir · Lítil stafir · Tölur
20
· Greinarmerki · Lyklaborðsstafir eru ekki með í hinum fjórum settunum – eins og prósentutáknið (%) og
ampersand (&) · Auðkenningarkröfur. Öll lykilorð og lyklar sem notaðir eru til að auðkenna jafningja verða að innihalda kl
að minnsta kosti 10 stafir, og í sumum tilfellum verður fjöldi stafa að passa við samantektarstærðina. · Dulkóðun lykilorðs: Til að breyta sjálfgefna dulkóðunaraðferðinni (SHA512) skaltu fylgja sniðinu
yfirlýsingu á stigveldisstigi [breyta lykilorði fyrir innskráningu kerfis]. Leiðbeiningar um sterk lykilorð. Sterk, endurnotanleg lykilorð geta verið byggð á bókstöfum úr uppáhalds setningu eða orði og síðan tengd öðrum óskyldum orðum, ásamt viðbættum tölustöfum og greinarmerkjum. Almennt séð er sterkt lykilorð: · Auðvelt að muna svo að notendur freistist ekki til að skrifa það niður. · Samsett úr blönduðum bókstöfum og greinarmerkjum. Fyrir FIPS samræmi innihalda amk
ein skipti á hástöfum, einn eða fleiri tölustafir og eitt eða fleiri greinarmerki. · Breytist reglulega. · Ekki opinberað neinum. Einkenni veikburða lykilorða. Ekki nota eftirfarandi veik lykilorð: · Orð sem gætu fundist í eða verið til sem umbreytt form í kerfi files eins og /etc/passwd. · Hýsingarheiti kerfisins (alltaf fyrsta giska). · Sérhvert orð eða orðasambönd sem koma fyrir í orðabók eða öðrum vel þekktum heimildum, þ.mt orðabækur
og samheitaorðabók á öðrum tungumálum en ensku; verk eftir klassíska eða vinsæla rithöfunda; eða algeng orð og orðasambönd úr íþróttum, orðatiltækjum, kvikmyndum eða sjónvarpsþáttum. · Breytingar á einhverju af ofangreindu - til dæmisample, orðabókarorð þar sem stöfum er skipt út fyrir tölustafi (rót) eða með tölustöfum bætt við endann. · Hvaða vélrænu lykilorð sem er. Reiknirit draga úr leitarrými forrita sem giska á lykilorð og má því ekki nota.
Tengd skjöl Skilningur á rekstrarumhverfi Junos OS í FIPS ham | 15
21
Að hlaða niður hugbúnaðarpakka frá Juniper Networks
Þú getur halað niður Junos OS hugbúnaðarpakkanum frá Juniper Networks websíða. Áður en þú byrjar að hlaða niður hugbúnaðinum skaltu ganga úr skugga um að þú sért með Juniper Networks Web reikning og gildan stuðningssamning. Til að fá reikning skaltu fylla út skráningareyðublaðið hjá Juniper Networks websíða: https://userregistration.juniper.net/. Til að hlaða niður hugbúnaðarpakka frá Juniper Networks: 1. Notaðu a Web vafra, fylgdu krækjunum á niðurhalið URL á Juniper Networks websíðu.
https://support.juniper.net/support/downloads/ 2. Log in to the Juniper Networks authentication system using the username (generally your e-mail
heimilisfang) og lykilorð frá fulltrúa Juniper Networks. 3. Sæktu hugbúnaðinn. Sjá Hugbúnað niðurhal.
Tengd skjöl Settu upp Junos OS hugbúnaðarpakka | 21
Settu upp Junos OS hugbúnaðarpakka
Þú getur notað þessa aðferð til að uppfæra Junos OS á tækinu með einni leiðarvél.
ATHUGIÐ: Junos OS er afhent í undirrituðum pökkum sem innihalda stafrænar undirskriftir til að tryggja að Juniper Networks hugbúnaðurinn sé í gangi. Þegar hugbúnaðarpakkarnir eru settir upp, staðfestir Junos OS undirskriftirnar og opinber lykilskírteini sem notuð eru til að undirrita hugbúnaðarpakkana stafrænt. Ef undirskriftin eða vottorðið reynist ógilt (tdample, þegar gildistími vottorðsins er útrunninn eða ekki er hægt að sannreyna það gegn rót CA sem er geymt í innri geymslu Junos OS), mistekst uppsetningarferlið.
Til að setja upp hugbúnaðaruppfærslur á tækinu þínu með einni leiðarvél: 1. Sæktu hugbúnaðarpakkann eins og lýst er í „Hlaðið niður hugbúnaðarpakka frá Juniper
Netkerfi ” á síðu 21.
22
2. Ef þú hefur ekki þegar gert það, tengdu við stjórnborðstengi tækisins úr stjórnunartækinu þínu og skráðu þig inn á Junos OS CLI.
3. (Valfrjálst) Taktu öryggisafrit af núverandi hugbúnaðarstillingu í annan geymsluvalkost. Sjá Junos OS uppsetningar- og uppfærsluleiðbeiningar fyrir leiðbeiningar um hvernig á að framkvæma þetta verkefni.
4. (Valfrjálst) Afritaðu hugbúnaðarpakkann yfir í tækið. Við mælum með að þú notir FTP til að afrita file í /var/tmp/ möppuna. Þetta skref er valfrjálst vegna þess að Junos OS er einnig hægt að uppfæra þegar hugbúnaðarmyndin er geymd á afskekktum stað. Þessar leiðbeiningar lýsa hugbúnaðaruppfærsluferlinu fyrir báðar aðstæður.
5. Settu upp nýja pakkann á tækinu:
user@host> biðja um viðbótarpakka fyrir kerfishugbúnað
Skiptu um pakkann með einni af eftirfarandi slóðum: · Fyrir hugbúnaðarpakka í staðbundinni möppu á tækinu, notaðu /var/tmp/package.tgz.
· Fyrir hugbúnaðarpakka á ytri miðlara, notaðu eina af eftirfarandi slóðum og skiptu út pakkanum fyrir heiti hugbúnaðarpakkans. · ftp://hostname/pathname/package.tgz
· http://hostname/pathname/package.tgz
ATHUGIÐ: Ef þú þarft að slíta uppsetningunni skaltu ekki endurræsa tækið; í staðinn skaltu klára uppsetninguna og gefa síðan út beiðni kerfishugbúnaðar eyða package.tgz skipuninni. Þetta er síðasta tækifærið þitt til að stöðva uppsetninguna.
6. Endurræstu tækið til að hlaða uppsetningunni og ræstu nýja hugbúnaðinn:
user@host> biðja um endurræsingu kerfisins
7. Eftir að endurræsingu er lokið skaltu skrá þig inn og nota skipunina show version til að staðfesta að nýja útgáfan af hugbúnaðinum hafi verið sett upp.
notandi@gestgjafi> sýna útgáfu Hýsingarheiti: hýsingarheiti Gerð: ex4400-24t Junos: 22.3R3.5 JUNOS OS Kernel 64-bita [20220603.3f9a7bb_builder_stable_12_214] JUNOS OS libs [20220603.3filder]
23
JUNOS OS keyrslutími [20220603.3f9a7bb_builder_stable_12_214] Upplýsingar um JUNOS OS tímabelti [20220603.3f9a7bb_builder_stable_12_214] JUNOS OS libs compat32 [20220603.3f9a7bb_builder_stable_12_214] JUNOS OS libs compat32 [20220603.3. 9-bita eindrægni [7f12a214bb_builder_stable_20220719.195034_214] JUNOS py viðbætur [3_builder_junos_20220719.195034_r214] JUNOS py base [3] JUNROs_junros_20220719.195034. ex config [214_builder_junos_3_r20220603.3] JUNOS OS EFI keyrslutími [9f7a12bb_builder_stable_214_20220603.3] JUNOS OS crypto [9filder_7stve] JUNOS OS 12filder_214stve files [20220603.3f9a7bb_builder_stable_12_214] JUNOS OS EFI ræsingu files [20220603.3f9a7bb_builder_stable_12_214] JUNOS netstafla og tól [20220719.195034_builder_junos_214_r3] JUNOS libs [20220719.195034_builder 214_3_32_20220719.195034_214 3_builder_junos_20220719.195034_r214] JUNOS keyrslutími [3_builder_junos_22.3_r3.5] JUNOS með fjarmælingu [XNUMXRXNUMX] JUNOS Web Stjórnunarvettvangspakki [20220719.195034_builder_junos_214_r3] JUNOS fyrrverandi keyrsla [20220719.195034_builder_junos_214_r3] Skilningur á núllstillingu til að hreinsa kerfisgögn fyrir FIPS ham
Í ÞESSUM KAFLI
Af hverju núllsetja? | 24 Hvenær á að núllstilla? | 24
Núllstilling eyðir algjörlega öllum stillingarupplýsingum á leiðarvélunum, þar á meðal öll einföld textalykilorð, leyndarmál og einkalykla fyrir SSH, staðbundna dulkóðun, staðbundna auðkenningu og IPsec.
Öryggisstjórinn byrjar núllstillingarferlið með því að slá inn beiðnikerfi núllstillingaraðgerða frá CLI eftir að hafa virkjað FIPS-stillingu. Notkun þessarar skipunar er takmörkuð við öryggisstjórann.
24
VARÚÐ: Framkvæmdu núllstillingu kerfisins með varúð. Eftir að núllstillingarferlinu er lokið eru engin gögn eftir á leiðarvélinni. Tækið er sett aftur í sjálfgefið verksmiðjuástand, án nokkurra stilltra notenda eða stillinga files. Núllvæðing getur verið tímafrekt. Þó allar stillingar séu fjarlægðar á nokkrum sekúndum heldur núllstillingarferlið áfram að skrifa yfir alla miðla, sem getur tekið töluverðan tíma eftir stærð miðilsins.
Af hverju núllsetja?
Tækið þitt er ekki talið gild FIPS dulmálseining fyrr en allar mikilvægar öryggisfæribreytur (CSP) hafa verið færðar inn – eða aftur slegið inn – á meðan tækið er í FIPS ham. Fyrir FIPS 140-3 samræmi er eina leiðin til að fara úr FIPS ham að núllstilla TOE.
Hvenær á að núllstilla?
Sem öryggisstjóri skaltu núllstilla í eftirfarandi tilvikum: · Áður en FIPS-aðgerð er virkjaður: Til að undirbúa tækið þitt fyrir notkun sem FIPS
dulmálseining, framkvæma núllstillingu áður en FIPS ham er virkjað. · Áður en þú endurnýtir í notkunarham sem ekki er FIPS: Til að byrja að endurnota tækið þitt fyrir ekki FIPS
vinnumáti, framkvæma núllstillingu á tækinu.
ATHUGIÐ: Juniper Networks styður ekki uppsetningu hugbúnaðar sem ekki er FIPS í FIPS umhverfi, en það gæti verið nauðsynlegt í ákveðnum prófunarumhverfi. Vertu viss um að núllstilla kerfið fyrst.
Tengd SKJÁLFUN Gerir FIPS-stillingu virkt | 26
25
Núllstilla kerfið
Tækið þitt er ekki talið gild FIPS dulmálseining fyrr en allar mikilvægar öryggisfæribreytur (CSP) hafa verið færðar inn – eða aftur slegið inn – á meðan tækið er í FIPS ham. Fyrir FIPS 140-3 samræmi verður þú að núllstilla kerfið til að fjarlægja viðkvæmar upplýsingar áður en þú slekkur á FIPS-stillingu á tækinu. Sem öryggisstjóri keyrir þú beiðnikerfið zeroize skipunina til að fjarlægja allt sem notandi hefur búið til files úr tæki og skiptu notendagögnum út fyrir núll. Þessi skipun eyðir algjörlega öllum stillingarupplýsingum á leiðarvélunum, þar með talið öllum stillingum til baka files og látlaus texta lykilorð, leyndarmál og einkalykla fyrir SSH, staðbundna dulkóðun, staðbundna auðkenningu og IPsec. Til að núllstilla tækið þitt:
VARÚÐ: Framkvæmdu núllstillingu kerfisins með varúð. Eftir að núllstillingarferlinu er lokið eru engin gögn eftir á leiðarvélinni. Tækið er sett aftur í sjálfgefið verksmiðjuástand, án nokkurra stilltra notenda eða stillinga files.
1. Frá CLI, sláðu inn
root@host> biðja um núllstillingarviðvörun: Kerfið verður endurræst og gæti ekki ræst án stillingar Eyða öllum gögnum, þar á meðal stillingum og skráningu files? [já, nei] (nei) 2. Til að hefja núllstillingarferlið skaltu slá inn já við hvetjandi leiðbeiningar:
Eyddu öllum gögnum, þar á meðal stillingum og log files? [já, nei] (nei) já viðvörun: núllstilling staðbundinnar
Öll aðgerðin getur tekið töluverðan tíma eftir stærð miðilsins, en allar mikilvægar öryggisbreytur (CSP) eru fjarlægðar innan nokkurra sekúndna. Líkamlega umhverfið verður að vera öruggt þar til núllvæðingarferlinu er lokið.
TNYTT SKJÁLFUN Kveikir á FIPS-stillingu | 26 Skilningur á núllstillingu til að hreinsa kerfisgögn fyrir FIPS ham | 23
26
Virkjar FIPS ham
FIPS-stilling er ekki sjálfkrafa virkjuð þegar þú setur upp Junos OS á tækið. Sem öryggisstjóri verður þú sérstaklega að virkja FIPS-stillingu á tækinu með því að stilla FIPS-stigið á 1 (eitt), FIPS 140-3 stigið sem tækin eru vottuð á. Tæki þar sem FIPS-stilling er ekki virkjuð hefur FIPS-stigið 0 (núll).
ATHUGIÐ: Til að skipta yfir í FIPS-stillingu verða lykilorð að vera dulkóðuð með FIPS-samhæfum hash-algrími. Dulkóðunarsniðið verður að vera SHA-256 eða hærra. Lykilorð sem uppfylla ekki þessa kröfu, eins og lykilorð sem eru hashed með MD5, verður að endurstilla eða fjarlægja úr stillingunum áður en hægt er að virkja FIPS-stillingu.
Til að virkja FIPS-stillingu í Junos OS á tækinu: 1. Farðu í stillingarham:
root@host> stilla Fer í stillingarham [breyta] root@host#
2. Virkjaðu FIPS-stillingu á tækinu með því að stilla FIPS-stigið á 1 og staðfestu stigið:
[breyta] root@host# stilltu system fips stig 1
[breyta] root@host#show system fips {
stig 1; }
3. Framkvæmdu stillingarnar:
27
ATHUGIÐ: Ef útstöð tækisins birtir villuskilaboð um tilvist mikilvægra öryggisbreyta (CSPs) skaltu eyða þeim CSP og framkvæma síðan stillinguna.
root@host# skuldbinda stillingarathugun heppnast [breyta] 'kerfi' endurræsa þarf til að skipta yfir í FIPS stig 1
skuldbinda lokið
4. Endurræstu tækið:
[breyta] root@host# keyra beiðni um endurræsingu kerfisins Endurræsa kerfið? [já, nei] (nei) já
Meðan á endurræsingu stendur keyrir tækið þekkt svarpróf (KATS). Það skilar innskráningarskyni:
ATH: Nýja kjötkássa reikniritið hefur aðeins áhrif á þau lykilorð sem eru búin til eftir commit.
@ 1556787428 mgd byrjun Býr til upphafsstillingar: … mgd: Keyrir FIPS sjálfsprófanir mgd: Prófunarkjarna KATS: mgd: NIST 800-90 HMAC DRBG Þekkt svarpróf: mgd: DES3-CBC Þekkt svarpróf: mgd: HMACn-SHA1 Próf: mgd: HMAC-SHA2-256 Þekkt svarpróf: mgd: SHA-2-384 Þekkt svarpróf: mgd: SHA-2-512 Þekkt svarpróf: mgd: AES128-CMAC Þekkt svarpróf: mgd: AES-CBC þekkt Svarpróf: mgd: Próf MACSec KATS: mgd: AES128-CMAC Þekkt svarpróf: mgd: AES256-CMAC Known Answer Test: mgd: AES-ECB Þekkt svarpróf: mgd: AES-KEYWRAP Þekkt svarpróf:
Samþykkt Samþykkt Samþykkt Staðkað Staðkað Staðst Staðst Stóð
Samþykkt Samþykkt Samþykkt
28
mgd: KBKDF Known Answer Test: mgd: Testing libmd KATS: mgd: HMAC-SHA1 Known Answer Test: mgd: HMAC-SHA2-256 Known Answer Test: mgd: SHA-2-512 Known Answer Test: mgd: Testing OpenSSL v1.0.2. 800 KATS: mgd: NIST 90-3 HMAC DRBG Þekkt svarpróf: mgd: FIPS ECDSA þekkt svarpróf: mgd: FIPS ECDH þekkt svarpróf: mgd: FIPS RSA þekkt svarpróf: mgd: DES1-CBC þekkt svarpróf: mgd: HMAC-SHA2 Þekkt svarpróf: mgd: HMAC-SHA224-2 Þekkt svarpróf: mgd: HMAC-SHA256-2 Þekkt svarpróf: mgd: HMAC-SHA384-2 Þekkt svarpróf: mgd: HMAC-SHA512-1 Known Answer Test : mgd: AES-CBC Known Answer Test: mgd: AES-GCM Known Answer Test: mgd: ECDSA-SIGN Known Answer Test: mgd: KDF-IKE-V256 Known Answer Test: mgd: KDF-SSH-SHA800 Known Answer Test: mgd: KAS-ECC-EPHEM-UNIFIED-NOKC Known Answer Test: mgd: KAS-FFC-EPHEM-NOKC Known Answer Test: mgd: Testing OpenSSL KATS: mgd: NIST 90-3 HMAC DRBG Known Answer Test: mgd: FIPS ECDSA Þekkt svarpróf: mgd: FIPS ECDH Þekkt svarpróf: mgd: FIPS RSA Þekkt svarpróf: mgd: DES1-CBC Þekkt svarpróf: mgd: HMAC-SHA2 Þekkt svarpróf: mgd: HMAC-SHA224-2 Þekkt svarpróf: mgd : HMAC-SHA256-2 Þekkt svarpróf: mgd: HMAC-SHA384-2 Þekkt svarpróf: mgd: HMAC-SHA512-1 Þekkt svarpróf: mgd: AES-CBC Þekkt svarpróf: mgd: AES-GCM þekkt svarpróf: mgd: ECDSA-SIGN Known Answer Test: mgd: KDF-IKE-V256 Known Answer Test: mgd: KDF-SSH-SHA7.0 Known Answer Test: mgd: KAS-ECC-EPHEM-UNIFIED-NOKC Þekkt svarpróf: mgd: KAS- FFC-EPHEM-NOKC Þekkt svarpróf: mgd: Testing QuickSec 800 KATS: mgd: NIST 90-XNUMX HMAC DRBG Known Answer Test:
Samþykkt
Samþykkt Samþykkt Samþykkt
Samþykkt Samþykkt Samþykkt Samþykkt Samþykkt Samþykkt Stóð Stóð Stóð Stóð
Samþykkt Samþykkt Samþykkt Samþykkt Samþykkt Samþykkt Stóð Stóð Stóð Stóð
Samþykkt
29
mgd: DES3-CBC Þekkt svarpróf: mgd: HMAC-SHA1 Þekkt svarpróf: mgd: HMAC-SHA2-224 Þekkt svarpróf: mgd: HMAC-SHA2-256 Þekkt svarpróf: mgd: HMAC-SHA2-384 Þekkt svör : mgd: HMAC-SHA2-512 Þekkt svarpróf: mgd: AES-CBC Þekkt svarpróf: mgd: AES-GCM Þekkt svarpróf: mgd: SSH-RSA-ENC Þekkt svarpróf: mgd: SSH-RSA-SIGN Þekkt svar Próf: mgd: SSH-ECDSA-SIGN Þekkt svarpróf: mgd: KDF-IKE-V1 Þekkt svarpróf: mgd: KDF-IKE-V2 Þekkt svarpróf: mgd: Próf QuickSec KATS: mgd: NIST 800-90 HMAC DRBG þekkt Svarpróf: mgd: DES3-CBC Þekkt svarpróf: mgd: HMAC-SHA1 Þekkt svarpróf: mgd: HMAC-SHA2-224 Þekkt svarpróf: mgd: HMAC-SHA2-256 Þekkt svarpróf: mgd: HMAC-SHA2-384 Þekkt svarpróf: mgd: HMAC-SHA2-512 Þekkt svarpróf: mgd: AES-CBC Þekkt svarpróf: mgd: AES-GCM Þekkt svarpróf: mgd: SSH-RSA-ENC Þekkt svarpróf: mgd: SSH-RSA- SIGN Known Answer Test: mgd: KDF-IKE-V1 Known Answer Test: mgd: KDF-IKE-V2 Known Answer Test: mgd: Testing SSH IPsec KATS: mgd: NIST 800-90 HMAC DRBG Known Answer Test: mgd: DES3- CBC þekkt svarpróf: mgd: HMAC-SHA1 Þekkt svarpróf: mgd: HMAC-SHA2-256 Þekkt svarpróf: mgd: AES-CBC þekkt svarpróf: mgd: SSH-RSA-ENC Þekkt svarpróf: mgd: SSH-RSA -SIGN Known Answer Test: mgd: KDF-IKE-V1 Known Answer Test: mgd: Próf file heilindi: mgd: File heilindi Þekkt svarpróf: mgd: Prófa dulritunarheilleika: mgd: dulmálsheiðleika Þekkt svarpróf:
Samþykkt Samþykkt Staðkað Staðkað Stétt Stóð Stétt Stóð Stétt
Samþykkt Samþykkt Staðkað Staðkað Stétt Stóð Stétt Stóð Stétt
Samþykkt Samþykkt Samþykkt Staðkað Staðkað Staðst Staðst Stóð
Samþykkt
Samþykkt
30
Skráðu þig inn í tækið. CLI birtir borða sem er fylgt eftir með leiðbeiningum sem inniheldur „:fips“:
— JUNOS 22.3R1-20190716 smíðaður 2019-12-29 04:12:22 UTC root@host:fips> 5. Endurræstu tækið aftur til að endurheimta HMAC-DRBG sem virkan slembibreyti:
[breyta] root@host# keyra beiðni um endurræsingu kerfisins Endurræsa kerfið? [já,nei] (nei) já Við endurræsingu keyrir tækið þekkt svarpróf (KATS) eins og sýnt er í skrefi 4. Það skilar innskráningarbeiðni:
— JUNOS 22.3R1-20190716 smíðaður 2019-12-29 04:12:22 UTC root@host:fips> 6. Eftir að endurræsingu er lokið skaltu skrá þig inn og nota staðbundna skipun sýna útgáfu til að staðfesta.
ATHUGIÐ: Notaðu „staðbundið“ lykilorð fyrir aðgerðaskipanir í FIPS ham. Til dæmisample, sýna útgáfu staðbundna og sýna spennutíma kerfis staðbundinn.
Stillir öryggisstjóra og FIPS notandaauðkenningu og aðgang
Í ÞESSUM HLUTA Stilla innskráningaraðgang öryggisstjóra | 31 Stilla FIPS notandainnskráningaraðgang | 32
31
Öryggisstjórnandi og FIPS notendur framkvæma öll stillingarverkefni fyrir Junos OS í FIPS ham og gefa út öll Junos OS í FIPS ham yfirlýsingar og skipanir. Öryggisstjórnandi og FIPS notendastillingar verða að fylgja Junos OS í FIPS ham leiðbeiningum.
Stilla innskráningaraðgang öryggisstjóra
Junos OS í FIPS-stillingu býður upp á nákvæmari notendaheimildir en þær sem FIPS 140-3 býður upp á.
Fyrir FIPS 140-3 samræmi er sérhver FIPS notandi með leyndarmál, öryggi, viðhald og eftirlitsheimildir settar öryggisstjórar. Í flestum tilfellum dugar ofurnotendaflokkurinn fyrir öryggisstjórann.
Til að stilla innskráningaraðgang fyrir öryggisstjóra:
1. Skráðu þig inn á tækið með rót lykilorðinu ef þú hefur ekki þegar gert það og farðu í stillingarham:
root@host:fips> stilla Farið í stillingarham [breyta] root@host:fips#
2. Nefndu notandann „öryggisstjóra“ og úthlutaðu öryggisstjóranum notandaauðkenni (td.ample, 6400) og bekk (tdample, ofurnotandi). Þegar þú úthlutar bekknum úthlutarðu heimildunum - tdample, leyndarmál, öryggi, viðhald og eftirlit.
[breyta] root@host:fips# stilla innskráningarkerfi notanda dulritunarstjóra uid 6400 class ofurnotandi
3. Fylgdu leiðbeiningunum í „Að skilja lykilorðaforskriftir og leiðbeiningar fyrir Junos OS í FIPS-ham“ á síðu 19, úthlutaðu öryggisstjóranum látlausu lykilorði fyrir innskráningarstaðfestingu. Stilltu lykilorðið með því að slá inn lykilorð á eftir leiðbeiningunum Nýtt lykilorð og Sláðu inn nýtt lykilorð aftur.
[breyta] root@host:fips# stilltu innskráningu kerfisnotanda dulritunarstjóraflokks ofurnotenda auðkenningu látlaus textalykilorð
32
4. Sýna stillingarnar valfrjálst:
[breyta] root@host:fips# breyta kerfi [breyta kerfi] root@host:fips# sýna innskráningu {
dulritunarstjóri notanda { uid 6400; auðkenning { dulkóðað lykilorð “ ”; ## SECRET-DATA } flokkur ofurnotandi;
} }
5. Ef þú ert búinn að stilla tækið skaltu framkvæma stillinguna og hætta:
[breyta] root@host:fips# commit commit completeroot@host:fips# exit root@host:fips> exit
Annars skaltu fara í „Stilling FIPS notandainnskráningaraðgangs“ á síðu 32.
Stilla FIPS notandainnskráningaraðgang
Fips-notandi er skilgreindur sem sérhver FIPS-notandi sem er ekki með leyni-, öryggis-, viðhalds- og stjórnheimildarbitana stillta. Sem öryggisstjóri seturðu FIPS notendur upp.
Til að stilla innskráningaraðgang fyrir FIPS notanda:
1. Skráðu þig inn á tækið með lykilorði öryggisstjórans þíns ef þú hefur ekki þegar gert það og farðu í stillingarham:
crypto-officer@host:fips> stilla Fer í stillingarham
33
[breyta] crypto-officer@host:fips#
2. Gefðu notandanum notandanafn, gefðu FIPS notanda notandaauðkenni (tdample, 6401) og bekk (tdample , skrifvarinn). Þegar þú úthlutar bekknum úthlutarðu heimildunum - til dæmisample, hreinsa, stilla, net, endurstillaview, og view-stillingar.
[breyta] crypto-officer@host:fips# stilla kerfisskráning notanda fips-user1 uid 6401 class read-only
3. Fylgdu leiðbeiningunum í „Að skilja lykilorðaforskriftir og leiðbeiningar fyrir Junos OS í FIPS-ham“ á síðu 19, úthlutaðu FIPS látlausu lykilorði fyrir innskráningarvottun. Stilltu lykilorðið með því að slá inn lykilorð á eftir leiðbeiningunum Nýtt lykilorð og Sláðu inn nýtt lykilorð aftur.
[breyta] crypto-officer@host:fips# stilltu innskráningu notanda fyrir kerfi fips-user1 flokks rekstraraðila auðkenningu venjulegt-texta-lykilorð
4. Sýna stillingarnar valfrjálst:
[breyta] crypto-officer@host:fips# breyta kerfi [breyta kerfi] crypto-officer@host:fips# sýna innskráningu {
notandi fips-notandi1 {uid 6401; auðkenning { dulkóðað lykilorð “ ”; ## SECRET-DATA } skrifvarinn;
} }
5. Ef þú ert búinn að stilla tækið skaltu framkvæma stillinguna og hætta:
[breyta] crypto-officer@host:fips# commit crypto-officer@host:fips> hætta
34
Tengd skjöl Skilningur á hlutverkum og þjónustu fyrir Junos OS í Common Criteria og FIPS | 13
3. KAFLI
Stilla stjórnunarskilríki og réttindi
Skilningur á tengdum lykilorðareglum fyrir viðurkenndan stjórnanda | 36
Auðkenningaraðferðir í FIPS aðgerðaham | 38 Stilling nettækis samvinnuverndar Profile fyrir viðurkenndan stjórnanda | 39 Sérsníða tíma | 41 Stilling óvirknitímatímabils stillingar, og staðbundin og fjarlæg aðgerðalaus lota | 41
36
Að skilja tengdar lykilorðsreglur fyrir viðurkenndan stjórnanda
Viðurkenndur stjórnandi er tengdur skilgreindum innskráningarflokki og stjórnandanum er úthlutað öllum heimildum. Gögn eru geymd á staðnum fyrir fasta auðkenningu lykilorðs.
ATHUGIÐ: Við mælum með að þú notir ekki stjórnstafi í lykilorðum.
Notaðu eftirfarandi leiðbeiningar og stillingarvalkosti fyrir lykilorð og þegar þú velur lykilorð fyrir viðurkennda stjórnandareikninga. Lykilorð ættu að vera: · Auðvelt að muna svo að notendur freistist ekki til að skrifa þau niður. · Breytist reglulega. · Einkamál og ekki deilt með neinum. · Inniheldur að lágmarki 10 stafi. Lágmarkslengd lykilorðs er 10 stafir. · Hafa bæði tölustafi og greinarmerki, sem eru samsett úr hvaða samsetningu sem er af efri og greinarmerkjum
lágstafir, tölustafir og sérstafir eins og “!”, “@”, “#”, “$”, “%”, “^”, “&”, “*”, “(“ og “) “. Það ætti að vera að minnsta kosti breyting á einu falli, einum eða fleiri tölustöfum og einu eða fleiri greinarmerkjum. · Inniheldur stafasett. Gild stafasett innihalda hástafi, lágstafi, tölustafi, greinarmerki og aðra sérstafi.
[breyta] security-administrator@host# stilla innskráningarlykilorð kerfisbreytinga-gerð stafasetta
· Inniheldur lágmarksfjölda stafasetta eða breytingar á stafasettum. Lágmarksfjöldi stafasetta sem krafist er í lykilorðum með einföldum texta í Junos FIPS er 3.
[breyta] security-administrator@host# stilla innskráningarorð kerfisins lágmarksbreytingar 3
37
· Inniheldur lágmarksfjölda stafa sem þarf fyrir lykilorð. Sjálfgefið er að Junos OS lykilorð verða að vera að minnsta kosti 6 stafir að lengd. Gilt svið fyrir þennan valkost er 10 til 20 stafir.
[ breyta ] security-administrator@host:fips# stilltu innskráningarorð kerfisins lágmarkslengd 10
ATHUGIÐ: Tækið styður ECDSA (P-256, P-384 og P-521) og RSA (2048, 3072 og 4092 stuðull bitalengd) lyklategundir. [breyta] administrator@host# stilltu kerfi innskráningarlykilorðssniði sha256
Veik lykilorð eru: · Orð sem gætu fundist í eða verið til sem umbreytt form í kerfi file eins og /etc/passwd. · Hýsingarheiti kerfisins (alltaf fyrsta giska). · Öll orð sem koma fyrir í orðabók. Þetta felur í sér aðrar orðabækur en ensku og orð sem fundust
í verkum eins og Shakespeare, Lewis Carroll, Samheitaorðabók Rogets og svo framvegis. Þetta bann inniheldur algeng orð og orðasambönd úr íþróttum, orðatiltækjum, kvikmyndum og sjónvarpsþáttum. · Breytingar á einhverju af ofangreindu. Til dæmisample, orðabók orð með sérhljóðum skipt út fyrir tölustafi (tdample f00t) eða með tölustöfum bætt við í lokin. · Öll lykilorð sem myndast af vél. Reiknirit draga úr leitarrými forrita sem giska á lykilorð og ætti því ekki að nota. Sterk endurnotanleg lykilorð geta verið byggð á stöfum úr uppáhalds setningu eða orði, og síðan tengd öðrum, óskyldum orðum, ásamt viðbótarstöfum og greinarmerkjum.
ATH: Lykilorð ætti að breyta reglulega.
SKJÁLSAGN Til að bera kennsl á örugga vöruafhendingu | 9
38
Auðkenningaraðferðir í FIPS-aðgerð
Í ÞESSUM HLUTA Auðkenning notendanafns og lykilorðs yfir stjórnborðinu og SSH | 38 Notandanafn og auðkenningarlykil yfir SSH | 39
Juniper Networks Junos stýrikerfið (Junos OS) sem keyrir í FIPS-aðgerð gerir notendum kleift að nota fjölbreytta möguleika og auðkenningin byggist á auðkenni. Eftirfarandi gerðir auðkenningar sem byggjast á auðkenni eru studdar í FIPS-aðgerð:
Auðkenning notendanafns og lykilorðs yfir stjórnborðinu og SSH
Í þessari auðkenningaraðferð er notandinn beðinn um að slá inn notandanafn og lykilorð eftir að hafa skráð sig inn á TOE. Tækið þvingar notandann til að slá inn a.m.k. 10 stafa lykilorð sem er valið úr 96 ASCII stöfum sem hægt er að lesa af mönnum.
ATHUGIÐ: Hámarkslengd lykilorðs er 20 stafir.
Í þessari aðferð framfylgir tækinu tímasettu aðgangskerfi - til dæmisample, fyrstu tvær misheppnaðar tilraunir til að slá inn rétt lykilorð (miðað við 0 tíma til að vinna úr), engan tímasettan aðgang er framfylgt. Þegar notandi slær inn lykilorðið í þriðja sinn framfylgir einingin 5 sekúndna seinkun. Hver misheppnuð tilraun eftir það leiðir til viðbótar 5 sekúndna seinkun umfram fyrri misheppnaða tilraun. Til dæmisample, ef fjórða misheppnuð tilraun er 10 sekúndna seinkun, þá er fimmta misheppnuð tilraun 15 sekúndna seinkun, sjötta misheppnuð tilraun er 20 sekúndna töf og sjöunda misheppnuð tilraun er 25 sekúndna seinkun. Þess vegna leiðir þetta til að hámarki sjö mögulegar tilraunir á 1 mínútu tímabili fyrir hverja getty virka flugstöð. Þannig að besta aðferðin fyrir árásarmanninn væri að aftengjast eftir 4 misheppnaðar tilraunir og bíða eftir að ný getty myndist. Þetta myndi gera árásarmanninum kleift að framkvæma um það bil 9.6 tilraunir á mínútu (576 tilraunir á klukkustund eða 60 mínútur). Þetta væri námundað niður í 9 tilraunir á mínútu, því það er ekkert til sem heitir 0.6 tilraunir. Þannig eru líkurnar á árangursríkri slembitilraun 1/9610, sem er minna en 1/1 milljón. Líkurnar á árangri með mörgum tilraunum í röð á 1 mínútu tímabili eru 9/(9610), sem er minna en 1/100,000.
39
Notandanafn og auðkenning almenningslykils yfir SSH
Með SSH auðkenningu almenningslykils gefur notandinn upp notandanafnið og sannar eignarhald á einkalyklinum sem samsvarar opinbera lyklinum sem geymdur er á þjóninum. Tækið styður ECDSA (P-256, P-384 og P-521) og RSA (2048-bita eða hærra þar sem RSA útfærslan okkar er FIPS 186-4 samhæfður). Líkurnar á árangri með mörgum samfelldum tilraunum á 1 mínútu eru 5.6e7/(2128).
Tengd skjöl Stilling SSH á metinni stillingu | 47
Stilling á Network Device Collaborative Protection Profile fyrir viðurkenndan stjórnanda
Reikningur fyrir rót er alltaf til staðar í uppsetningu og er ekki ætlaður til notkunar í venjulegri notkun. Í metinni uppsetningu er rótarreikningurinn takmarkaður við upphaflega uppsetningu og uppsetningu á metnu tækinu. Viðurkenndur NDcPP útgáfa 2.2e stjórnandi verður að hafa allar heimildir, þar á meðal getu til að breyta stillingum beinisins. Til að stilla viðurkenndan stjórnanda: 1. Búðu til innskráningarflokk sem heitir security-admin með allar heimildir.
[breyta] root@host# stilltu innskráningarflokk kerfis öryggis-admin leyfi allt 2. Stilltu kjötkássa reiknirit sem notað er fyrir geymslu lykilorðs sem sha512.
root@host# stilltu innskráningarlykilorð kerfissniðs sha512
ATHUGIÐ: Fyrir öryggistæki þín er sjálfgefna lykilorðalgrímið sha512 og það er ekki nauðsynlegt að stilla einföld textalykilorð fyrir EX4650 rofa og QFX5120 rofa.
40
3. Skuldbinda breytingarnar.
[breyta] root@host# skuldbinda sig
4. Skilgreindu NDcPP útgáfu 2.2e viðurkenndan stjórnanda.
[breyta] root@host#set system innskráning notanda notandanafn flokkur öryggi-admin auðkenning dulkóðað lykilorð
5. Hladdu SSH lykil file sem áður var búið til með ssh-keygen. Þessi skipun hleður RSA (SSH útgáfa 2) eða ECDSA (SSH útgáfa 2).
[breyta] root@host# stilltu kerfisrótarvottun hleðslulykil-file url:filenafn
6. Stilltu log-key-changes stillingaryfirlýsinguna til að skrá þig þegar SSH auðkenningarlyklar eru bætt við eða fjarlægðir.
[breyta] root@host#set system services ssh log-key-changes
ATHUGIÐ: Þegar log-key-changes stillingaryfirlýsingin er virkjuð og virkjuð (með commit skipunina í stillingarham), skráir Junos OS breytingarnar á setti viðurkenndra SSH lykla fyrir hvern notanda (þar á meðal lyklana sem var bætt við eða fjarlægðir) . Junos OS skráir muninn frá því síðast þegar stillingaryfirlýsingin log-key-changes var virkjuð. Ef log-key-changes stillingaryfirlýsingin var aldrei virkjuð, skráir Junos OS alla viðurkennda SSH lykla.
7. Skuldbinda breytingarnar.
[breyta] root@host# skuldbinda sig
41
Tengd skjöl Skilningur á tengdum lykilorðareglum fyrir viðurkenndan stjórnanda | 36
Sérsníða tíma
Til að sérsníða tíma skaltu slökkva á NTP og stilla dagsetninguna. 1. Slökktu á NTP.
[breyta] security-administrator@hostname:fips# slökkva hópa alþjóðlegt kerfi ntp security-administrator@hostname:fips# slökkva á kerfinu ntp security-administrator@hostname:fips# commit security-administrator@hostname:fips# exit 2. Stilling dagsetning og tíma. Snið dagsetningar og tíma er ÁÁÁÁMMDDHHMM.ss.
security-administrator@hostname:fips> stilla dagsetningu 201803202034.00 security-administrator@hostname:fips> stilla cli timestamp
Stilla stillingar fyrir tímamörk fyrir óvirknitíma og loka staðbundinni og fjarlægri aðgerðalaus lotu
Í ÞESSUM HLUTI Stilla lokun lotu | 42 SampLe Framleiðsla fyrir lokun staðbundinna stjórnsýsluþings | 43 SampLe Framleiðsla fyrir lokun á fjarstjórnarlotum | 43 Sample Framleiðsla fyrir uppsögn notanda | 44
42
Stilla lotulok
Ljúktu lotunni eftir að öryggisstjórinn hefur tilgreint óvirkan tímamörk. 1. Stilltu aðgerðatímann.
[breyta] security-administrator@host:fips# set system login class security-admin idle-timeout 2 2. Stilltu innskráningaraðgangsréttindi.
[breyta] security-administrator@host:fips# setja innskráningarflokk kerfis öryggis-admin heimildir allar 3. Framkvæmdu stillingarnar.
[breyta] security-administrator@host:fips# skuldbinda sig
skuldbinda lokið 4. Stilltu lykilorðið.
[breyta] security-administrator@host:fips# stilla innskráningarnotanda kerfis NDcPPv2-notanda auðkenning plaintext-lykilorð Nýtt lykilorð: Endursláðu nýtt lykilorð: 5. Skilgreindu innskráningarflokk.
[breyta] security-administrator@host:fips# stilla kerfisinnskráningarnotanda NDcPPv2-user class security-admin
43
6. Framkvæmdu stillingarnar.
[breyta] security-administrator@host:fips# skuldbinda sig
skuldbinda lokið
SampLe Framleiðsla fyrir lokun staðbundinna stjórnsýsluþings
con host Reynir abcd... 'autologin': óþekkt rök ('setja?' fyrir hjálp). Tengdur tæki.tdample.com Escape karakter er '^]'. Sláðu inn flýtilykilinn til að stöðva tenginguna: Z FreeBSD/amd64 (gestgjafi) (ttyu0) innskráning: NDcPPv2-notandi Lykilorð: Síðasta innskráning: Sun 23. júní 22:42:27 frá 10.224.33.70 — JUNOS 22.3R1 Kernel 64-bita JNPR-12.1-20220628_2 @gestgjafi> Viðvörun: lotunni verður lokað eftir 1 mínútu ef það er engin virkni Viðvörun: lotunni verður lokað eftir 10 sekúndur ef það er engin virkni.
Sample Framleiðsla fyrir lokun á fjarstjórnarlotum
ssh NDcPPv2-user@host Lykilorð: Síðasta innskráning: Sun 23. júní 22:48:05 2019 — JUNOS 22.3R1 Kjarni 64-bita JNPR-12.1-20220628.HEAD__ci_fbs
44
NDcPPv2-user@host> hætta
Tenging við hýsil lokað. ssh NDcPPv2-user@host Lykilorð: Síðasta innskráning: Sun 23. júní 22:50:50 2019 frá 10.224.33.70 — JUNOS 22.3R1 Kjarni 64-bita JNPR-12.1-20220628.HEAD__cPP_fbs fundur verður-ND__cPP_fbs fundur: lokað eftir 2 mínútu ef engin virkni er Viðvörun: lotunni verður lokað eftir 1 sekúndur ef það er engin virkni Farið yfir aðgerðalausa tíma: lokunarlotu
Tenging við hýsil lokað.
Sample Framleiðsla fyrir uppsögn á frumkvæði notanda
ssh NDcPPv2-user@host Lykilorð: Síðasta innskráning: Sun 23. júní 22:48:05 2019 — JUNOS 22.3R1 Kjarni 64-bita JNPR-12.1-20220628.HEAD__ci_fbs NDcPPv2-user@host> hætta
Tenging við hýsil lokað.
4. KAFLI
Stilla SSH og Console tengingu
Stilling innskráningarskilaboða og tilkynningar um kerfi | 46 Stilling SSH á metinni stillingu | 47 Takmörkun á fjölda innskráningartilrauna notenda fyrir SSH lotur | 49
46
Stilling á innskráningarskilaboðum og tilkynningu um kerfi
Innskráningarskilaboð birtast áður en notandinn skráir sig inn og tilkynning birtist eftir að notandinn skráir sig inn. Sjálfgefið er að engin innskráningarskilaboð eða tilkynning birtast á tækinu. Til að stilla innskráningarskilaboð kerfis í gegnum stjórnborðið eða stjórnunarviðmótið, notaðu eftirfarandi skipun:
[breyta] notandi@gestgjafi# stilltu innskráningarskilaboð fyrir kerfi login-message-banner-text Til að stilla kerfistilkynningu, notaðu eftirfarandi skipun:
[breyta] notandi@gestgjafi# stilltu kerfisinnskráningartilkynningu kerfis-tilkynningar-texta
ATHUGIÐ: · Ef skilaboðatextinn inniheldur einhver bil skaltu setja hann innan gæsalappa. · Þú getur sniðið skilaboðin með því að nota eftirfarandi sértákn:
· n–Ný lína · t–Láréttur flipi · '–Einstök gæsalappir · “–Tvöföld gæsalappir · \–Afturhögg
Tengd skjöl Stilling SSH á metinni stillingu | 47
47
Stillir SSH á metinni stillingu
SSH er leyfilegt fjarstjórnunarviðmót í metinni uppsetningu. Þetta efni lýsir því hvernig á að stilla SSH á tækinu.
· Áður en þú byrjar skaltu skrá þig inn með rótarreikningnum þínum á tækinu.
Til að stilla SSH á tækinu:
1. Tilgreindu leyfileg SSH hýsillyklaalgrím fyrir kerfisþjónustuna.
[breyta] root@host# setja kerfisþjónustur ssh hostkey-algorithm ssh-ecdsa root@host# set system services ssh hostkey-algorithm no-ssh-dss root@host# set system services ssh hostkey-algorithm ssh-rsa root@host # stilltu kerfisþjónustu ssh hostkey-algorithm no-ssh-ed25519
2. Tilgreindu SSH lyklaskipti fyrir Diffie-Hellman lykla fyrir kerfisþjónustuna.
[breyta] root@host# setja kerfisþjónustur ssh lykil-skipti dh-group14-sha1 root@host# setja kerfisþjónustur ssh lykla-skipti ecdh-sha2-nistp256 root@host# setja kerfisþjónustur ssh lykil-skipti ecdh-sha2- nistp384 root@host# setja kerfisþjónustur ssh key-exchange ecdh-sha2-nistp521
3. Tilgreindu öll leyfileg skilaboðaauðkenningarkóða reiknirit fyrir SSHv2.
[breyta] root@host# setja kerfisþjónustur ssh macs hmac-sha1 root@host# setja kerfisþjónustur ssh macs hmac-sha2-256 root@host# setja kerfisþjónustur ssh macs hmac-sha2-512
4. Tilgreindu leyfðar dulmál fyrir útgáfu 2.
[breyta ] root@host# setja kerfisþjónustur ssh dulmál aes128-cbc root@host# setja kerfisþjónustur ssh dulmál aes256-cbc root@host# setja kerfisþjónustur ssh dulmál aes128-ctr root@host# setja kerfisþjónustur ssh dulmál aes256- ctr
48
ATHUGIÐ: Til að slökkva á SSH þjónustu geturðu slökkt á SSH stillingum: root@host# deactivate system services ssh
ATH: Til að slökkva á Netconf þjónustu geturðu slökkt á netconf stillingum: root@host# deactivate system services netconf ssh
Styður SSH hýsillyklaalgrím:
ssh-ecdsa ssh-rsa
Leyfa myndun ECDSA hýsillykils Leyfa myndun RSA hýsillykils
Styður SSH lyklaskipti reiknirit:
dh-group14-sha1 ecdh-sha2-nistp256 ecdh-sha2-nistp384 ecdh-sha2-nistp521
RFC 4253 umboðshópurinn14 með SHA1 kjötkássa EC Diffie-Hellman á nistp256 með SHA2-256 EC Diffie-Hellman á nistp384 með SHA2-384 EC Diffie-Hellman á nistp521 með SHA2-512
Styður MAC reiknirit:
hmac-sha1 hmac-sha2-256 hmac-sha2-512
Hash-undirstaða MAC sem notar Secure Hash Algorithm (SHA1) Hash-undirstaða MAC með Secure Hash Algorithm (SHA2) Hash-undirstaða MAC sem notar Secure Hash Algorithm (SHA2)
Stuðningur SSH dulmáls reiknirit:
aes128-cbc aes128-ctr
aes256-cbc aes256-ctr
128 bita AES með Cipher Block Chaining 128 bita AES með Counter Mode
256 bita AES með Cipher Block Chaining 256 bita AES með Counter Mode
49
TNYTT SKJÁLSETNING Takmörkun á fjölda innskráningartilrauna notenda fyrir SSH lotur | 49
Takmörkun á fjölda innskráningartilrauna notenda fyrir SSH lotur
Stjórnandi getur skráð sig fjarstýrt inn á tæki í gegnum SSH. Skilríki stjórnanda eru geymd á staðnum á tækinu. Ef stjórnandi sýnir gilt notendanafn og lykilorð er veittur aðgangur að matsmarkmiðinu (TOE). Ef skilríkin eru ógild, leyfir TOE að sannvottunin sé endurtekin eftir hlé sem byrjar eftir 1 sekúndu og eykst veldisvísis. Ef fjöldi auðkenningartilrauna fer yfir stillt hámark, eru engar auðkenningartilraunir samþykktar fyrir stillt tímabil. Þegar bilið rennur út eru auðkenningartilraunir aftur samþykktar.
Þú stillir þann tíma sem tækið læsist eftir misheppnaðar tilraunir. Tíminn í mínútum áður en notandinn getur reynt að skrá sig inn í tækið eftir að hafa verið læst úti vegna fjölda misheppnaðra innskráningartilrauna sem tilgreindur er í yfirlýsingunni reynir áður en aftengjast er. Þegar notandi tekst ekki að skrá sig rétt inn eftir fjölda leyfilegra tilrauna sem tilgreindur er í yfirlýsingunni um tilraunir áður en aftengjast er, verður notandinn að bíða í stilltan fjölda mínútna áður en hann reynir að skrá sig inn í tækið aftur. Á þessu lokunartímabili hefur fjarnotandi enn aðgang að TOE í gegnum stjórnborðið sem rótnotandi. Lokunartíminn verður að vera lengri en núll. Sviðið þar sem þú getur stillt læsingartímabilið er ein til 43,200 mínútur.
[breyta innskráningu kerfis] notandi@gestgjafi# stilltu endurreynsluvalkosta lokunartímabilsnúmer
Þú getur stillt tækið til að takmarka fjölda tilrauna til að slá inn lykilorð á meðan þú skráir þig í gegnum SSH. Með því að nota eftirfarandi skipun, tengingin.
[breyta innskráningu kerfis] notandi@gestgjafi# stilltu aftur-valkosti reynir-áður-aftengingarnúmer
Hér reynir-áður-aftenging er fjöldi skipta sem notandi getur reynt að slá inn lykilorð við innskráningu. Tengingin lokar ef notandi kemst ekki inn á eftir tilgreint númer. Sviðið er frá 2 til 10 og sjálfgefið gildi er 3.
50
Staðbundnum stjórnandaaðgangi verður viðhaldið jafnvel þótt fjarstýringin sé gerð varanlega eða tímabundið ófáanleg vegna margra misheppnaðra innskráningartilrauna. Innskráning stjórnborðsins fyrir staðbundna stjórnun verður aðgengileg notendum á læsingartímabilinu.
Þú getur líka stillt seinkun, í sekúndum, áður en notandi getur reynt að slá inn lykilorð eftir misheppnaða tilraun.
[breyta innskráningu kerfis] notandi@gestgjafi# stilltu endurreynsluvalkosta afturköllunarþröskuldsnúmer
Hér er backoff-threshold þröskuldurinn fyrir fjölda misheppnaðra innskráningartilrauna áður en notandinn verður fyrir töf á að geta slegið inn lykilorð aftur. Sviðið er frá 1 til 3 og sjálfgefið gildi er 2 sekúndur.
Að auki er hægt að stilla tækið til að tilgreina þröskuld fyrir fjölda misheppnaðra tilrauna áður en notandinn verður fyrir töf á að slá inn lykilorðið aftur.
[breyta innskráningu kerfis] notandi@gestgjafi# stilltu aftur-valkostir afturköllunarþáttanúmer
Hér er backoff-stuðull sá tími, í sekúndum, áður en notandi getur reynt að skrá sig inn eftir misheppnaða tilraun. Töfin eykst um gildið sem tilgreint er fyrir hverja síðari tilraun eftir þröskuldinn. Sviðið er frá 5 til 10 og sjálfgefið gildi er 5 sekúndur. Þú getur stjórnað aðgangi notenda í gegnum SSH. Með því að stilla ssh root-login deny geturðu tryggt að rótarreikningurinn haldist virkur og haldi áfram að hafa staðbundin stjórnunarréttindi gagnvart TOE jafnvel þótt aðrir fjarnotendur séu skráðir út.
[breyta kerfi] user@host# set services ssh root-login afneita
SSH2 samskiptareglan veitir örugga flugstöðvalotu sem notar örugga dulkóðunina. SSH2 samskiptareglur knýja fram keyrslu á lyklaskiptafasa og breyta dulkóðunar- og heilleikalyklum fyrir lotuna. Lyklaskipti eru gerð reglulega, eftir að tilgreindar sekúndur eða eftir að tilgreind bæti af gögnum hafa farið yfir tenginguna. Þú getur stillt þröskulda fyrir SSH endurlykla, FCS_SSHS_EXT.1.8 og FCS_SSHC_EXT.1.8. TSF tryggir að innan SSH tenginganna séu sömu lotulyklar notaðir
51
fyrir þröskuld sem er ekki lengri en ein klukkustund og ekki meira en eitt gígabæt af sendum gögnum. Þegar öðru hvoru viðmiðunarmörkunum er náð verður að framkvæma endurlykil.
[breyta kerfi] security-administrator@host:fips# set services ssh rekey time-limit number Tímamörk áður en endursamið er um lotulykla er 1 til 1440 mínútur.
[breyta kerfi] security-administrator@host:fips# set services ssh rekey data-limit number Gagnamörk áður en endursamið er um lotulykla er 51200 til 4294967295 bæti.
ATHUGIÐ: Til þess að SSH tenging sé óviljandi rofin, þurfum við að hefja SSH tenginguna aftur til að skrá þig aftur inn á TOE.
Tengd skjöl Stilling SSH á metinni stillingu | 47
5. KAFLI
Stilling á ytri Syslog Server
Stilling Syslog netþjóns á Linux kerfi | 53
Skjöl / auðlindir
 |
Juniper EX4400 Common Criteria Evaluated Configuration [pdfNotendahandbók 24MP, 24P, 24T, 48F, 48MP, 48P, 48T, EX4400 Common Criteria Evaluated Configuration, EX4400, Common Criteria Evaluated Configuration, Criteria Evaluated Configuration, Evaluated Configuration |