JUNIPER LogoIngenieurs Eenvoud
Junos® OS
FIPS geëvalueerde konfigurasiegids vir
MX960-, MX480- en MX240-toestelle

Inhoud wegsteek
1 JUNIPER NETWERKE Junos OS FIPS-geëvalueerde toestelle
2 verbyview
3 Opstel van administratiewe geloofsbriewe en voorregte
4 Opstel van rolle en verifikasiemetodes
5 Konfigureer SSH en Console Connection
6 Konfigureer MACsec
7 Konfigureer MACsec met sleutelhanger vir Laag 2 Traffic
8 Konfigureer gebeurtenislogboek
9 Selftoetse op 'n toestel uit te voer
10 Operasionele bevele
11 Dokumente / Hulpbronne
11.1 Verwysings

JUNIPER NETWERKE Junos OS FIPS-geëvalueerde toestelle

JUNIPER NETWERKE Junos OS FIPS-geëvalueerde toestelle 1VRYSTELLING
20.3X75-D30

Juniper Networks, Inc.
1133 Innovation Way
Sunnyvale, Kalifornië 94089
VSA
408-745-2000
www.juniper.net
Juniper Networks, die Juniper Networks-logo, Juniper en Junos is geregistreerde handelsmerke van Juniper Networks, Inc.
in die Verenigde State en ander lande. Alle ander handelsmerke, diensmerke, geregistreerde handelsmerke of geregistreerde diensmerke is die eiendom van hul onderskeie eienaars.
Juniper Networks aanvaar geen verantwoordelikheid vir enige onakkuraathede in hierdie dokument nie. Juniper Networks behou die reg voor om hierdie publikasie sonder kennisgewing te verander, te wysig, oor te dra of andersins te hersien.
Junos® OS FIPS geëvalueerde konfigurasiegids vir MX960-, MX480- en MX240-toestelle 20.3X75-D30
Kopiereg © 2023 Juniper Networks, Inc. Alle regte voorbehou.
Die inligting in hierdie dokument is geldig vanaf die datum op die titelblad.
JAAR 2000 KENNISGEWING
Juniper Networks hardeware en sagteware produkte voldoen aan Jaar 2000. Junos OS het geen bekende tydverwante beperkings deur die jaar 2038 nie. Dit is egter bekend dat die NTP-toepassing in die jaar 2036 probleme ondervind.
EINDGEBRUIKERS LISENSIE-OOREENKOMS
Die Juniper Networks-produk wat die onderwerp van hierdie tegniese dokumentasie is, bestaan ​​uit (of is bedoel vir gebruik met) Juniper Networks-sagteware. Die gebruik van sulke sagteware is onderhewig aan die bepalings en voorwaardes van die Eindgebruikerslisensie-ooreenkoms (“EULA”) geplaas by https://support.juniper.net/support/eula/. Deur sulke sagteware af te laai, te installeer of te gebruik, stem jy in tot die bepalings en voorwaardes van daardie EULA.

Oor hierdie gids
Gebruik hierdie gids om MX960-, MX480- en MX240-toestelle in Federal Information Processing Standards (FIPS) 140-2 Vlak 1-omgewing te gebruik. FIPS 140-2 definieer sekuriteitsvlakke vir hardeware en sagteware wat kriptografiese funksies verrig.
VERWANTE DOKUMENTASIE
Algemene kriteria en FIPS-sertifisering

verbyview

Verstaan ​​Junos OS in FIPS-modus
IN HIERDIE AFDELING

  • Ondersteunde platforms en hardeware | 2
  • Oor die kriptografiese grens op u toestel | 3
  • Hoe FIPS-modus verskil van nie-FIPS-modus | 3
  • Gevalideerde weergawe van Junos OS in FIPS-modus | 3

Federal Information Processing Standards (FIPS) 140-2 definieer sekuriteitsvlakke vir hardeware en sagteware wat kriptografiese funksies verrig. Hierdie Juniper Networks-roeteerder wat die Juniper Networks Junos-bedryfstelsel (Junos OS) in FIPS-modus gebruik, voldoen aan die FIPS 140-2 Vlak 1-standaard.
Om hierdie router in 'n FIPS 140-2 Vlak 1-omgewing te bedryf, vereis die aktivering en konfigurasie van FIPS-modus op die toestelle vanaf die Junos OS-opdraglynkoppelvlak (CLI).
Die Crypto Officer aktiveer FIPS-modus in Junos OS en stel sleutels en wagwoorde op vir die stelsel en ander FIPS-gebruikers.
Ondersteunde platforms en hardeware
Vir die kenmerke wat in hierdie dokument beskryf word, word die volgende platforms gebruik om FIPS-sertifisering te kwalifiseer:

Oor die kriptografiese grens op u toestel
FIPS 140-2-nakoming vereis 'n gedefinieerde kriptografiese grens rondom elke kriptografiese module op 'n toestel. Junos OS in FIPS-modus verhoed dat die kriptografiese module enige sagteware uitvoer wat nie deel is van die FIPS-gesertifiseerde verspreiding nie, en laat slegs FIPS-goedgekeurde kriptografiese algoritmes toe om te gebruik. Geen kritieke sekuriteitsparameters (CSP's), soos wagwoorde en sleutels, kan die kriptografiese grens van die module in ongeënkripteerde formaat oorsteek nie.
DIE BUITELUIS PLUS TOP-reeks vuurputverbindingsstelle en -insetsels - Ikoon 1 WAARSKUWING: Virtuele onderstelkenmerke word nie in FIPS-modus ondersteun nie. Moenie 'n virtuele onderstel in FIPS-modus opstel nie.

Hoe FIPS-modus verskil van nie-FIPS-modus
Junos OS in FIPS-modus verskil op die volgende maniere van Junos OS in nie-FIPS-modus:

  • Selftoetse van alle kriptografiese algoritmes word tydens die opstart uitgevoer.
  • Selftoetse van ewekansige getal en sleutelgenerering word deurlopend uitgevoer.
  • Swak kriptografiese algoritmes soos Data Encryption Standard (DES) en MD5 is gedeaktiveer.
  • Swak of ongeënkripteerde bestuursverbindings moet nie opgestel word nie.
  • Wagwoorde moet geïnkripteer word met sterk eenrigtingalgoritmes wat nie dekripsie toelaat nie.
  • Administrateurwagwoorde moet minstens 10 karakters lank wees.

Gevalideerde weergawe van Junos OS in FIPS-modus
Om te bepaal of 'n Junos OS-vrystelling NIST-gevalideer is, sien die nakomingsadviseur-bladsy op die Juniper Networks Web werf (https://apps.juniper.net/compliance/).
VERWANTE DOKUMENTASIE
Identifisering van veilige produkaflewering | 7

Verstaan ​​FIPS-terminologie en ondersteunde kriptografiese algoritmes
IN HIERDIE AFDELING
Terminologie | 4
Ondersteunde kriptografiese algoritmes | 5
Gebruik die definisies van FIPS-terme en ondersteunde algoritmes om jou te help om Junos OS in FIPS-modus te verstaan.

Terminologie
Kritiese sekuriteitsparameter (CSP)
Sekuriteitverwante inligting—bvample, geheime en private kriptografiese sleutels en stawingsdata soos wagwoorde en persoonlike identifikasienommers (PIN's) - waarvan die openbaarmaking of wysiging die sekuriteit van 'n kriptografiese module of die inligting wat dit beskerm, in gevaar kan stel. Vir besonderhede, sien "Verstaan ​​die operasionele omgewing vir Junos OS in FIPS-modus" op bladsy 16.
Kriptografiese module
Die stel hardeware, sagteware en firmware wat goedgekeurde sekuriteitsfunksies implementeer (insluitend kriptografiese algoritmes en sleutelgenerering) en is vervat binne die kriptografiese grens.
FIPS
Federale inligtingsverwerkingstandaarde. FIPS 140-2 spesifiseer vereistes vir sekuriteit en kriptografiese modules. Junos OS in FIPS-modus voldoen aan FIPS 140-2 Vlak 1.
FIPS onderhoud rol
Die rol wat die Crypto Officer aanneem om fisiese instandhouding of logiese instandhoudingsdienste soos hardeware of sagteware diagnostiek uit te voer. Vir FIPS 140-2-nakoming nulstel die Crypto Officer die Routing Engine by toegang tot en uitgang van die FIPS-instandhoudingsrol om alle gewone teks geheime en private sleutels en onbeskermde CSP's uit te vee.
LET WEL: Die FIPS-instandhoudingsrol word nie op Junos OS in FIPS-modus ondersteun nie.
KAT's
Bekende antwoordtoetse. Stelselselftoetse wat die uitvoer van kriptografiese algoritmes bekragtig wat vir FIPS goedgekeur is en die integriteit van sommige Junos OS-modules toets. Vir besonderhede, sien "Verstaan ​​FIPS-selftoetse" op bladsy 73.
SSH
'n Protokol wat sterk verifikasie en enkripsie gebruik vir afstandtoegang oor 'n nie-veilige netwerk. SSH bied afstandaanmelding, afgeleë programuitvoering, file kopie en ander funksies. Dit is bedoel as 'n veilige plaasvervanger vir rlogin, rsh en rcp in 'n UNIX-omgewing. Om die inligting wat oor administratiewe verbindings gestuur word te beveilig, gebruik SSHv2 vir CLI-konfigurasie. In Junos OS is SSHv2 by verstek geaktiveer, en SSHv1, wat nie as veilig beskou word nie, is gedeaktiveer. Nulisering
Uitvee van alle CSP's en ander gebruikergeskepte data op 'n toestel voor die werking daarvan as 'n FIPS-kriptografiese module of ter voorbereiding vir die hergebruik van die toestelle vir nieFIPS-werking.
Die Crypto Officer kan die stelsel nul maak met 'n CLI operasionele opdrag.
Ondersteunde kriptografiese algoritmes
Tabel 1 op bladsy 6 som die hoëvlak protokolalgoritme-ondersteuning op.
Tabel 1: Protokolle toegelaat in FIPS-modus

Protokol  Sleutel ruil Stawing Cipher Integriteit
SSHv2 • dh-groep14-sha1
• ECDH-sha2-nistp256
• ECDH-sha2-nistp384
• ECDH-sha2-nistp521		 Gasheer (module):
• ECDSA P-256
• SSH-RSA
Kliënt (gebruiker):
• ECDSA P-256
• ECDSA P-384
• ECDSA P-521
• SSH-RSA		 • AES CTR 128
• AES CTR 192
• AES CTR 256
• AES CBC 128
• AES CBC 256		 • HMAC-SHA-1
• HMAC-SHA-256
• HMAC-SHA-512

Tabel 2 op bladsy 6 lys die MACsec LC-gesteunde syfers.
Tabel 2: MACsec LC Ondersteunde syfers
MACsec LC Ondersteunde syfers
AES-GCM-128
AES-GCM-256
Elke implementering van 'n algoritme word nagegaan deur 'n reeks bekende antwoordtoets (KAT) selftoetse. Enige selftoetsmislukking lei tot 'n FIPS-fouttoestand.
BESTE PRAKTYK: Vir FIPS 140-2 voldoening, gebruik slegs FIPS-goedgekeurde kriptografiese algoritmes in Junos OS in FIPS-modus.
Die volgende kriptografiese algoritmes word in FIPS-modus ondersteun. Simmetriese metodes gebruik dieselfde sleutel vir enkripsie en dekripsie, terwyl asimmetriese metodes verskillende sleutels vir enkripsie en dekripsie gebruik.
AES
Die Advanced Encryption Standard (AES), gedefinieer in FIPS PUB 197. Die AES-algoritme gebruik sleutels van 128, 192 of 256 bisse om data in blokke van 128 bisse te enkripteer en te dekripteer.
ECDH
Elliptiese kromme Diffie-Hellman. 'n Variant van die Diffie-Hellman-sleuteluitruilalgoritme wat kriptografie gebruik gebaseer op die algebraïese struktuur van elliptiese krommes oor eindige velde. ECDH laat twee partye toe, wat elkeen 'n elliptiese kurwe publiek-privaat sleutelpaar het, om 'n gedeelde geheim oor 'n onveilige kanaal te vestig. Die gedeelde geheim kan óf as 'n sleutel gebruik word óf om 'n ander sleutel af te lei vir die enkripteer van daaropvolgende kommunikasie met 'n simmetriese sleutelkode.
ECDSA
Elliptiese Kromme Digitale Handtekening Algoritme. 'n Variant van die Digital Signature Algorithm (DSA) wat kriptografie gebruik gebaseer op die algebraïese struktuur van elliptiese krommes oor eindige velde. Die bisgrootte van die elliptiese kromme bepaal die moeilikheid om die sleutel te dekripteer. Die publieke sleutel wat vermoedelik nodig is vir ECDSA is ongeveer twee keer die grootte van die sekuriteitsvlak, in stukkies. ECDSA wat die P-256-, P-384- en P-521-krommes gebruik, kan onder OpenSSH gekonfigureer word.
HMAC
Gedefinieer as "Keyed-Hashing vir Boodskapverifikasie" in RFC 2104, kombineer HMAC hashing-algoritmes met kriptografiese sleutels vir boodskapverifikasie. Vir Junos OS in FIPS-modus, gebruik HMAC die herhaalde kriptografiese hash-funksies SHA-1, SHA-256 en SHA-512 saam met 'n geheime sleutel.
SHA-256 en SHA-512
Veilige hash-algoritmes (SHA) wat aan die SHA-2-standaard behoort wat in FIPS PUB 180-2 gedefinieer word. Ontwikkel deur NIST, SHA-256 produseer 'n 256-bis hash-samestelling, en SHA-512 produseer 'n 512-bis hash-samestelling.
VERWANTE DOKUMENTASIE
Verstaan ​​FIPS-selftoetse | 73
Verstaan ​​nulisering om stelseldata uit te vee vir FIPS-modus | 25
Identifisering van veilige produkaflewering
Daar is verskeie meganismes voorsien in die afleweringsproses om te verseker dat 'n kliënt 'n produk ontvang wat nie tampered met. Die kliënt moet die volgende kontrole uitvoer by ontvangs van 'n toestel om die integriteit van die platform te verifieer.

  • Versendingsetiket—Maak seker dat die versendingsetiket die korrekte kliëntnaam en -adres sowel as die toestel korrek identifiseer.
  • Buite verpakking—Inspekteer die buiteversendingskas en kleefband. Maak seker dat die versendingband nie gesny is of andersins gekompromitteer is nie. Maak seker dat die boks nie gesny of beskadig is nie om toegang tot die toestel te gee.
  • Binne-verpakking—Inspekteer die plastieksak en verseël. Maak seker dat die sak nie gesny of verwyder word nie. Maak seker dat die seël ongeskonde bly.

Indien die kliënt 'n probleem tydens die inspeksie identifiseer, moet hy of sy dadelik die verskaffer kontak. Verskaf die bestelnommer, opsporingsnommer en 'n beskrywing van die geïdentifiseerde probleem aan die verskaffer.
Daarbenewens is daar verskeie kontroles wat uitgevoer kan word om te verseker dat die kliënt 'n boks ontvang het wat deur Juniper Networks gestuur is en nie 'n ander maatskappy wat hom as Juniper Networks voordoen nie. Die kliënt moet die volgende kontrole uitvoer by ontvangs van 'n toestel om die egtheid van die toestel te verifieer:

  • Verifieer dat die toestel met 'n aankoopbestelling bestel is. Juniper Networks-toestelle word nooit sonder 'n aankoopbestelling gestuur nie.
  • Wanneer 'n toestel verskeep word, word 'n versendingkennisgewing gestuur na die e-posadres wat deur die kliënt verskaf is wanneer die bestelling geneem word. Verifieer dat hierdie e-poskennisgewing ontvang is. Verifieer dat die e-pos die volgende inligting bevat:
  • Aankoopbestellingnommer
  • Juniper Networks-bestelnommer wat gebruik word om die besending na te spoor
  • Draer-opsporingsnommer wat gebruik word om die versending na te spoor
  • Lys van items wat gestuur is, insluitend reeksnommers
  • Adres en kontakte van beide die verskaffer en die kliënt
  • Verifieer dat die versending deur Juniper Networks geïnisieer is. Om te verifieer dat 'n versending deur Juniper Networks geïnisieer is, moet jy die volgende take uitvoer:
  • Vergelyk die draer-nasporingsnommer van die Juniper Networks-bestelnommer wat in die Juniper Networks-versendingkennisgewing gelys is met die spoornommer op die pakket wat ontvang is.
  • Meld aan by die Juniper Networks aanlyn kliëntediensportaal by https://support.juniper.net/support/ aan view die bestellingstatus. Vergelyk die diensverskaffer-nasporingsnommer of die Juniper Networks-bestelnommer wat in die Juniper Networks-verskepingskennisgewing gelys is met die opsporingsnommer op die pakkie wat ontvang is.

Verstaan ​​bestuurskoppelvlakke
Die volgende bestuurskoppelvlakke kan in die geëvalueerde konfigurasie gebruik word:

  • Plaaslike bestuurskoppelvlakke—Die RJ-45-konsolepoort op die toestel is opgestel as RS-232-dataterminaltoerusting (DTE). U kan die opdraglyn-koppelvlak (CLI) oor hierdie poort gebruik om die toestel vanaf 'n terminaal te konfigureer.
  • Afstandbestuurprotokolle—Die toestel kan op afstand bestuur word oor enige Ethernet-koppelvlak. SSHv2 is die enigste toegelate afstandbestuurprotokol wat in die geëvalueerde konfigurasie gebruik kan word. Die afstandbestuurprotokolle J-Web en Telnet is nie beskikbaar vir gebruik op die toestel nie.

Opstel van administratiewe geloofsbriewe en voorregte

Verstaan ​​​​die geassosieerde wagwoordreëls vir 'n gemagtigde administrateur
Die gemagtigde administrateur word geassosieer met 'n gedefinieerde aanmeldklas, en die administrateur word met alle toestemmings toegeken. Data word plaaslik gestoor vir vaste wagwoordverifikasie.
LET WEL: Moenie beheerkarakters in wagwoorde gebruik nie.
Gebruik die volgende riglyne en konfigurasie-opsies vir wagwoorde en wanneer wagwoorde vir gemagtigde administrateurrekeninge gekies word. Wagwoorde moet wees:

  • Maklik om te onthou sodat gebruikers nie in die versoeking kom om dit neer te skryf nie.
  • Van tyd tot tyd verander.
  • Privaat en nie met iemand gedeel nie.
  • Bevat 'n minimum van 10 karakters. Die minimum wagwoordlengte is 10 karakters.
    [wysig] administrateur@gasheer# stel stelselaanmeldwagwoord minimum-lengte 10
  • Sluit beide alfanumeriese en leestekentekens in, saamgestel uit enige kombinasie van hoof- en kleinletters, syfers en spesiale karakters soos "!", "@", "#", "$", "%", "^", " &”, “*”, “(“, en “)”.
    Daar moet ten minste 'n verandering in een hoofletter, een of meer syfers en een of meer leestekens wees.
  • Bevat karakterstelle. Geldige karakterstelle sluit hoofletters, kleinletters, syfers, leestekens en ander spesiale karakters in.
    [wysig] administrateur@gasheer# stel stelsel aanmeldwagwoord verander-tipe karakterstelle
  • Bevat die minimum aantal karakterstelle of karakterstelveranderings. Die minimum aantal karakterstelle wat in gewone tekswagwoorde in Junos FIPS vereis word, is 3.
    [wysig] administrateur@gasheer# stel stelselaanmeldwagwoord minimum-veranderings 3
  • Die hashing-algoritme vir gebruikerswagwoorde kan óf SHA256 óf SHA512 wees (SHA512 is die verstek-hashing-algoritme).
    [wysig] administrateur@gasheer# stel stelselaanmeldwagwoordformaat sha512
    LET WEL: Die toestel ondersteun ECDSA (P-256, P-384 en P-521) en RSA (2048, 3072 en 4092 modulus bislengte) sleuteltipes.
    Swak wagwoorde is:
  • Woorde wat in 'n sisteem gevind kan word of bestaan ​​as 'n gepermuteerde vorm file soos /etc/passwd.
  • Die gasheernaam van die stelsel (altyd 'n eerste raaiskoot).
  • Enige woorde wat in 'n woordeboek voorkom. Dit sluit ander woordeboeke as Engels in, en woorde wat in werke soos Shakespeare, Lewis Carroll, Roget's Thesaurus, ensovoorts voorkom. Hierdie verbod sluit algemene woorde en frases uit sport, gesegdes, flieks en televisieprogramme in.
  • Permutasies op enige van die bogenoemde. Byvoorbeeldample, 'n woordeboekwoord met vokale wat met syfers vervang is (bvample f00t) of met syfers aan die einde bygevoeg.
  • Enige masjien-gegenereerde wagwoorde. Algoritmes verminder die soekruimte van wagwoordraaiprogramme en moet dus nie gebruik word nie.
    Sterk herbruikbare wagwoorde kan gebaseer word op letters van 'n gunsteling frase of woord, en dan aaneengeskakel word met ander, onverwante woorde, saam met bykomende syfers en leestekens.

VERWANTE DOKUMENTASIE
Identifisering van veilige produkaflewering | 7

Opstel van rolle en verifikasiemetodes

Verstaan ​​rolle en dienste vir Junos OS
IN HIERDIE AFDELING
Crypto Offisier Rol en Verantwoordelikhede | 15
FIPS Gebruikersrol en -verantwoordelikhede | 15
Wat word van alle FIPS-gebruikers verwag | 16
Die sekuriteitsadministrateur word geassosieer met die gedefinieerde aanmeldklas security-admin, wat die nodige toestemmingsstel het om die administrateur toe te laat om alle take uit te voer wat nodig is om Junos OS te bestuur. Administratiewe gebruikers (Sekuriteitsadministrateur) moet unieke identifikasie- en stawingdata verskaf voordat enige administratiewe toegang tot die stelsel verleen word.
Sekuriteitsadministrateur rolle en verantwoordelikhede is soos volg:

  1. Sekuriteitsadministrateur kan plaaslik en op afstand administreer.
  2. Skep, wysig, vee administrateurrekeninge uit, insluitend die konfigurasie van verifikasie-foutparameters.
  3. Heraktiveer 'n administrateurrekening.
  4. Verantwoordelik vir die konfigurasie en instandhouding van kriptografiese elemente wat verband hou met die vestiging van veilige verbindings na en van die geëvalueerde produk.

Die Juniper Networks Junos-bedryfstelsel (Junos OS) wat in nie-FIPS-modus loop, laat 'n wye reeks vermoëns vir gebruikers toe, en verifikasie is identiteitsgebaseer. In teenstelling hiermee definieer die FIPS 140-2-standaard twee gebruikersrolle: Crypto Officer en FIPS-gebruiker. Hierdie rolle word gedefinieer in terme van Junos OS-gebruikervermoëns.
Alle ander gebruikertipes wat vir Junos OS in FIPS-modus gedefinieer word (operateur, administratiewe gebruiker, ensovoorts) moet in een van die twee kategorieë val: Crypto Officer of FIPS-gebruiker. Om hierdie rede is gebruikersverifikasie in FIPS-modus rolgebaseerd eerder as identiteitsgebaseer.
Crypto Officer voer alle FIPS-modus-verwante konfigurasietake uit en reik alle stellings en opdragte vir Junos OS in FIPS-modus uit. Crypto Officer en FIPS-gebruikerkonfigurasies moet die riglyne vir Junos OS in FIPS-modus volg.
Crypto Offisier Rol en Verantwoordelikhede
Die Crypto Officer is die persoon wat verantwoordelik is vir die aktivering, konfigurasie, monitering en instandhouding van Junos OS in FIPS-modus op 'n toestel. Die Crypto Officer installeer Junos OS veilig op die toestel, aktiveer FIPS-modus, stel sleutels en wagwoorde vir ander gebruikers en sagtewaremodules vas, en inisialiseer die toestel voor netwerkverbinding.
BESTE PRAKTYK: Ons beveel aan dat die Crypto Officer die stelsel op 'n veilige manier administreer deur wagwoorde veilig te hou en oudit te kontroleer files.
Die toestemmings wat die Crypto Officer van ander FIPS-gebruikers onderskei, is geheim, sekuriteit, instandhouding en beheer. Vir FIPS-nakoming, ken die Crypto Officer toe aan 'n aanmeldklas wat al hierdie toestemmings bevat. 'n Gebruiker met die Junos OS-instandhoudingstoestemming kan lees files wat kritieke sekuriteitsparameters (CSP's) bevat.
LET WEL: Junos OS in FIPS-modus ondersteun nie die FIPS 140-2-instandhoudingsrol nie, wat verskil van die Junos OS-instandhoudingstoestemming.
Onder die take wat verband hou met Junos OS in FIPS-modus, word verwag dat die Crypto Officer:

  • Stel die aanvanklike wortelwagwoord in. Die lengte van die wagwoord moet ten minste 10 karakters wees.
  • Stel gebruikerwagwoorde terug met FIPS-goedgekeurde algoritmes.
  • Ondersoek log en oudit files vir gebeurtenisse van belang.
  • Vee gebruiker-gegenereerde uit files, sleutels en data deur die toestel nul te maak.

FIPS Gebruikersrol en -verantwoordelikhede
Alle FIPS-gebruikers, insluitend die Crypto Officer, kan view die konfigurasie. Slegs die gebruiker wat as die Crypto Officer toegewys is, kan die konfigurasie verander.
Die toestemmings wat Crypto-beamptes van ander FIPS-gebruikers onderskei, is geheim, sekuriteit, instandhouding en beheer. Vir FIPS-nakoming, ken die FIPS-gebruiker toe aan 'n klas wat nie een van hierdie toestemmings bevat nie.
FIPS-gebruiker kan view statusuitvoer, maar kan nie die toestel herlaai of nulstel nie.
Wat word van alle FIPS-gebruikers verwag
Alle FIPS-gebruikers, insluitend die Crypto Officer, moet te alle tye sekuriteitsriglyne nakom.
Alle FIPS-gebruikers moet:

  • Hou alle wagwoorde vertroulik.
  • Berg toestelle en dokumentasie in 'n veilige area.
  • Ontplooi toestelle in veilige gebiede.
  • Gaan oudit na files periodiek.
  • Voldoen aan alle ander FIPS 140-2 sekuriteitsreëls.
  • Volg hierdie riglyne:
    • Gebruikers word vertrou.
    • Gebruikers hou by alle sekuriteitsriglyne.
    • Gebruikers kompromitteer nie doelbewus sekuriteit nie
    • Gebruikers tree te alle tye verantwoordelik op.

VERWANTE DOKUMENTASIE
'n Juniper Networks-toestel wat die Juniper Networks Junos-bedryfstelsel (Junos OS) in FIPS-modus gebruik, vorm 'n spesiale tipe hardeware- en sagteware-bedryfsomgewing wat verskil van die omgewing van 'n toestel in nie-FIPS-modus:

Hardeware-omgewing vir Junos OS in FIPS-modus
Junos OS in FIPS-modus vestig 'n kriptografiese grens in die toestel wat geen kritieke sekuriteitsparameters (CSP's) kan oorsteek met gebruik van gewone teks nie. Elke hardeware komponent van die toestel wat 'n kriptografiese grens vereis vir FIPS 140-2 voldoening is 'n aparte kriptografiese module. Daar is twee tipes hardeware met kriptografiese grense in Junos OS in FIPS-modus: een vir elke Routing Engine en een vir die hele onderstel wat LC MPC7E-10G-kaart insluit. Elke komponent vorm 'n aparte kriptografiese module. Kommunikasie wat CSP's tussen hierdie veilige omgewings behels, moet met behulp van enkripsie plaasvind.
Kriptografiese metodes is nie 'n plaasvervanger vir fisiese sekuriteit nie. Die hardeware moet in 'n veilige fisiese omgewing geleë wees. Gebruikers van alle soorte mag nie sleutels of wagwoorde openbaar nie, of toelaat dat geskrewe rekords of notas deur ongemagtigde personeel gesien word nie.
Sagteware-omgewing vir Junos OS in FIPS-modus
'n Juniper Networks-toestel wat Junos OS in FIPS-modus gebruik, vorm 'n spesiale tipe nie-veranderbare bedryfsomgewing. Om hierdie omgewing op die toestel te bereik, verhoed die stelsel die uitvoering van enige binêre file wat nie deel was van die gesertifiseerde Junos-bedryfstelsel in FIPS-modusverspreiding nie. Wanneer 'n toestel in FIPS-modus is, kan dit slegs Junos OS laat loop.
Die Junos OS in FIPS-modus sagteware-omgewing word gevestig nadat die Crypto Officer FIPS-modus suksesvol op 'n toestel geaktiveer het. Die Junos OS-beeld wat FIPS-modus insluit, is beskikbaar op die Juniper Networks webwebwerf en kan op 'n werkende toestel geïnstalleer word.
Vir FIPS 140-2-nakoming, beveel ons aan dat jy alle gebruikers wat geskep is, uitvee files en data deur die toestel nul te maak voordat FIPS-modus geaktiveer word.
Om jou toestel op FIPS-vlak 1 te bedryf, vereis die gebruik van tampduidelike etikette om die Routing Engines in die onderstel te verseël.
Deur FIPS-modus te aktiveer, deaktiveer baie van die gewone Junos OS-protokolle en -dienste. U kan veral nie die volgende dienste in Junos OS in FIPS-modus opstel nie:

  • vinger
  • ftp
  • rlogin
  • telnet
  • tftp
  • xnm-duidelike teks

Pogings om hierdie dienste op te stel, of konfigurasies te laai met hierdie dienste opgestel, lei tot 'n konfigurasie-sintaksfout.
U kan slegs SSH as 'n afstandtoegangsdiens gebruik.
Alle wagwoorde wat vir gebruikers geskep is nadat hulle na Junos OS in FIPS-modus opgegradeer is, moet voldoen aan Junos OS in FIPS-modus spesifikasies. Wagwoorde moet tussen 10 en 20 karakters lank wees en vereis die gebruik van ten minste drie van die vyf gedefinieerde karakterstelle (hoofletters en kleinletters, syfers, leestekens en sleutelbordkarakters, soos % en &, nie by die ander ingesluit nie. vier kategorieë).
Pogings om wagwoorde op te stel wat nie aan hierdie reëls voldoen nie, lei tot 'n fout. Alle wagwoorde en sleutels wat gebruik word om eweknieë te staaf, moet minstens 10 karakters lank wees, en in sommige gevalle moet die lengte ooreenstem met die opsommingsgrootte.
LET WEL: Moenie die toestel aan 'n netwerk koppel voordat die Crypto Officer konfigurasie vanaf die plaaslike konsoleverbinding voltooi het nie.
Vir streng nakoming, moenie kern- en crash dump-inligting op die plaaslike konsole in Junos OS in FIPS-modus ondersoek nie, want sommige CSP's kan in gewone teks gewys word.
Kritieke sekuriteitsparameters
Kritiese sekuriteitsparameters (CSP's) is sekuriteitverwante inligting soos kriptografiese sleutels en wagwoorde wat die sekuriteit van die kriptografiese module of die sekuriteit van die inligting wat deur die module beskerm word, kan kompromitteer indien dit bekend gemaak of gewysig word.
Nulisering van die stelsel vee alle spore van CSP's uit ter voorbereiding vir die bedryf van die toestel of Routing Engine as 'n kriptografiese module.
Tabel 3 op bladsy 19 lys CSP's op toestelle met Junos OS.
Tabel 3: Kritieke sekuriteitsparameters

CSP Beskrywing Zeroize

Gebruik
SSHv2 privaat gasheersleutel ECDSA / RSA sleutel wat gebruik word om die gasheer te identifiseer, gegenereer die eerste keer dat SSH gekonfigureer word. Zeroize opdrag. Word gebruik om die gasheer te identifiseer.
SSHv2 sessie sleutels Sessiesleutel gebruik met SSHv2 en as 'n Diffie-Hellman-privaatsleutel. Enkripsie: AES-128, AES-192, AES-256. MAC's: HMAC-SHA-1, HMAC-SHA-2-256, HMAC-SHA2-512. Sleuteluitruiling: dh-groep14-sha1, ECDH-sha2-nistp-256, ECDH-sha2- nistp-384, en ECDH-sha2-nistp-521. Krag siklus en beëindig sessie. Simmetriese sleutel wat gebruik word om data tussen gasheer en kliënt te enkripteer.
Gebruikerstawingsleutel Hash van die gebruiker se wagwoord: SHA256, SHA512. Zeroize opdrag. Word gebruik om 'n gebruiker na die kriptografiese module te verifieer.
Crypto Officer-verifikasiesleutel Hash van die Crypto Officer se wagwoord: SHA256, SHA512. Zeroize opdrag. Word gebruik om die Crypto Officer te verifieer na die kriptografiese module.
HMAC DRBG saad Saad vir deterministiese randon-bisgenerator (DRBG). Saad word nie deur die kriptografiese module gestoor nie. Word gebruik om DRBG te saai.
HMAC DRBG V waarde Die waarde (V) van uitsetbloklengte (uitleen) in bisse, wat elke keer bygewerk word wanneer 'n ander uitsetstuk uitset geproduseer word. Krag siklus. 'n Kritiese waarde van die interne toestand van DRBG.
CSP Beskrywing Zeroize

Gebruik
HMAC DRBG-sleutelwaarde Die huidige waarde van die outlen-bis-sleutel, wat ten minste een keer opgedateer word elke keer dat die DRBG-meganisme pseudo-ewekansige bisse genereer. Krag siklus. 'n Kritiese waarde van die interne toestand van DRBG.
NDRNG entropie Word gebruik as entropie-invoerstring na die HMAC DRBG. Krag siklus. 'n Kritiese waarde van die interne toestand van DRBG.

In Junos OS in FIPS-modus moet alle CSP's die kriptografiese module in geënkripteerde vorm binnegaan en verlaat.
Enige CSP wat met 'n nie-goedgekeurde algoritme geïnkripteer is, word deur FIPS as gewone teks beskou.
BESTE PRAKTYK: Vir FIPS-nakoming, konfigureer die toestel oor SSH-verbindings omdat dit geënkripteerde verbindings is.
Plaaslike wagwoorde word gehash met die SHA256 of SHA512 algoritme. Wagwoordherwinning is nie moontlik in Junos OS in FIPS-modus nie. Junos OS in FIPS-modus kan nie in enkelgebruikermodus begin sonder die korrekte wortelwagwoord nie.
Verstaan ​​wagwoordspesifikasies en -riglyne vir Junos OS in FIPS-modus
Alle wagwoorde wat deur die Crypto Officer vir gebruikers geskep is, moet voldoen aan die volgende Junos OS in FIPS-modus vereistes. Pogings om wagwoorde op te stel wat nie aan die volgende spesifikasies voldoen nie, lei tot 'n fout.

  • Lengte. Wagwoorde moet tussen 10 en 20 karakters bevat.
  • Karakter stel vereistes. Wagwoorde moet ten minste drie van die volgende vyf gedefinieerde karakterstelle bevat:
  • Hoofletters
  • Kleinletters
  • Syfers
  • Leestekens
  • Sleutelbordkarakters wat nie by die ander vier stelle ingesluit is nie—soos die persentasieteken (%) en die ampersand (&)
  • Verifikasievereistes. Alle wagwoorde en sleutels wat gebruik word om eweknieë te staaf, moet ten minste 10 karakters bevat, en in sommige gevalle moet die aantal karakters ooreenstem met die bundelgrootte.
  • Wagwoordenkripsie. Om die verstekkoderingsmetode (SHA512) te verander, sluit die formaatstelling op die [wysig stelselaanmeldingwagwoord] hiërargievlak in.

Riglyne vir sterk wagwoorde. Sterk, herbruikbare wagwoorde kan gebaseer word op letters van 'n gunsteling frase of woord en dan aaneengeskakel word met ander onverwante woorde, saam met bygevoegde syfers en leestekens. Oor die algemeen is 'n sterk wagwoord:

  • Maklik om te onthou sodat gebruikers nie in die versoeking kom om dit neer te skryf nie.
  • Bestaan ​​uit gemengde alfanumeriese karakters en leestekens. Vir FIPS-nakoming sluit ten minste een verandering van hoofletters, een of meer syfers en een of meer leestekens in.
  • Van tyd tot tyd verander.
  • Nie aan enigiemand bekend gemaak nie.
    Eienskappe van swak wagwoorde. Moenie die volgende swak wagwoorde gebruik nie:
  • Woorde wat in 'n sisteem gevind kan word of bestaan ​​as 'n gepermuteerde vorm files soos /etc/passwd.
  • Die gasheernaam van die stelsel (altyd 'n eerste raaiskoot).
  • Enige woord of frase wat in 'n woordeboek of ander bekende bron voorkom, insluitend woordeboeke en tesourusse in ander tale as Engels; werke deur klassieke of populêre skrywers; of algemene woorde en frases uit sport, gesegdes, flieks of televisieprogramme.
  • Permutasies op enige van die bogenoemde - bvample, 'n woordeboekwoord met letters vervang met syfers ( r00t) of met syfers wat aan die einde bygevoeg is.
  • Enige masjien-gegenereerde wagwoord. Algoritmes verminder die soekruimte van wagwoordraaiprogramme en moet dus nie gebruik word nie.

Laai sagtewarepakkette van Juniper Networks af
Jy kan die Junos OS-sagtewarepakket vir jou toestel van die Juniper Networks aflaai webwebwerf.
Voordat jy begin om die sagteware af te laai, maak seker dat jy 'n Juniper Networks het Web rekening en 'n geldige ondersteuningskontrak. Om 'n rekening te bekom, voltooi die registrasievorm by die Juniper Networks webwebwerf: https://userregistration.juniper.net/.
Om sagtewarepakkette van Juniper Networks af te laai:

  1. Die gebruik van a Web blaaier, volg die skakels na die aflaai URL op die Juniper Networks webbladsy. https://support.juniper.net/support/downloads/
  2. Meld aan by die Juniper Networks-verifikasiestelsel deur die gebruikersnaam (gewoonlik jou e-posadres) en wagwoord verskaf deur Juniper Networks-verteenwoordigers.
  3. Laai die sagteware af. Sien Laai sagteware af.

VERWANTE DOKUMENTASIE
Installasie en Opgradering Gids
Die installering van sagteware op 'n toestel met 'n enkele roete-enjin
Jy kan hierdie prosedure gebruik om Junos OS op toestel met 'n enkele roeteenjin op te gradeer.
Om sagteware-opgraderings op 'n toestel met 'n enkele roeteenjin te installeer:

  1. Laai die sagtewarepakket af soos beskryf in Laai sagtewarepakkette van Juniper Networks af.
  2. As jy dit nog nie gedoen het nie, koppel aan die konsolepoort op die toestel vanaf jou bestuurstoestel, en meld aan by die Junos OS CLI.
  3. (Opsioneel) Rugsteun die huidige sagtewarekonfigurasie na 'n tweede bergingsopsie. Sien die Sagteware Installasie en Opgradering Gids vir instruksies oor die uitvoering van hierdie taak.
  4. (Opsioneel) Kopieer die sagtewarepakket na die toestel. Ons beveel aan dat jy FTP gebruik om die file na die /var/tmp/-gids.
    Hierdie stap is opsioneel omdat Junos OS ook opgegradeer kan word wanneer die sagtewarebeeld op 'n afgeleë plek gestoor word. Hierdie instruksies beskryf die sagteware-opgraderingsproses vir beide scenario's.
  5. Installeer die nuwe pakket op die toestel: Vir REMX2K-X8: gebruiker@gasheer> versoek vmhost sagteware byvoeg
    Vir RE1800: gebruiker@gasheer> versoek stelselsagteware byvoeg
    Vervang pakket met een van die volgende paaie:
    • Vir 'n sagtewarepakket in 'n plaaslike gids op die toestel, gebruik /var/tmp/package.tgz.
    • Vir 'n sagtewarepakket op 'n afgeleë bediener, gebruik een van die volgende paaie, en vervang die veranderlike opsiepakket met die sagtewarepakketnaam.
    ftp://gasheernaam/padnaam/pakket.tgz
    • ftp://gasheernaam/padnaam/pakket.tgz
  6. Herlaai die toestel om die installasie te laai:
    Vir REMX2K-X8:
    gebruiker@gasheer> versoek vmhost-herlaai
    Vir RE1800:
    gebruiker@gasheer> versoek stelselherlaai
  7. Nadat die herlaai voltooi is, meld aan en gebruik die wys weergawe-opdrag om te verifieer dat die nuwe weergawe van die sagteware suksesvol geïnstalleer is.
    gebruiker@gasheer> wys weergawe
    Model: mx960
    Junos: 20.3X75-D30.1
    JUNOS OS Kernel 64-bis [20210722.b0da34e0_builder_stable_11-204ab] JUNOS OS libs [20210722.b0da34e0_builder_stable_11-204ab] JUNOS OS looptyd [20210722.b0da34e0_builder_stable_11-204ab] JUNOS OS tydsone inligting [20210722.b0da34e0_builder_stable_11-204ab] JUNOS netwerk stapel en nutsprogramme [20210812.200100_builder_junos_203_x75_d30] JUNOS libs [20210812.200100_builder_junos_203_x75_d30] JUNOS OS libs compat32 [20210722.b0da34e0_builder_stable_11-204ab] JUNOS OS 32-bis verenigbaarheid [20210722.b0da34e0_builder_stable_11-204ab] JUNOS libs compat32 [20210812.200100_builder_junos_203_x75_d30] JUNOS-looptyd [20210812.200100_builder_junos_203_x75_d30] JUNOS sflow mx [20210812.200100_builder_junos_203_x75_d30] JUNOS py uitbreidings2 [20210812.200100_builder_junos_203_x75_d30] JUNOS py uitbreidings [20210812.200100_builder_junos_203_x75_d30] JUNOS py base2 [20210812.200100_builder_junos_203_x75_d30] JUNOS py basis [20210812.200100_builder_junos_203_x75_d30] JUNOS OS crypto [20210722.b0da34e0_builder_stable_11-204ab] JUNOS OS boot-ve files [20210722.b0da34e0_builder_stable_11-204ab] JUNOS met telemetrie [20.3X75-D30.1] JUNOS Sekuriteitsintelligensie [20210812.200100_builder_junos_203_x75_compatibel m30x32_UNOS20210812.200100 [203_builder_junos_75_x30_d20210812.200100] JUNOS mx runtime [203_builder_junos_75_x30_d20.3] JUNOS RPD Telemetrie-toepassing [75X.30.1] [20210812.200100_builder_junos_203_x75_d30] JUNOS-sondehulpmiddel [20210812.200100_builder_junos_203_x75_d30] JUNOS algemene platformondersteuning [20210812.200100_builder_junos_203_x75_d30] JUNOS Openconfig [20.3X75-D30.1] JUNOS mtx netwerkmodules [20210812.200100_builder_junos_203_x75 modules] [30_builder_junos_20210812.200100_x203_d75] JUNOS mx-modules [30_builder_junos_20210812.200100_x203_d75] JUNOS mx libs [30_builder_junos_20210812.200100_x203_d75] JUNOS SQL Sync Daemon [30_builder_junos_20210812.200100_x203_d75] JUNOS mtx Data Plane Crypto Support [30_builder_junos_20210812.200100_x203_d75] JUNOS-demone [30_builder_junos_20210812.200100_x203_d75] JUNOS mx-demone [30_builder_junos_20210812.200100_x203_d75] JUNOS appidd-mx aansoek-identifikasie daemon [30_builder_junos_20210812.200100_x203_d75] JUNOS Services URL Filterpakket [20210812.200100_builder_junos_203_x75_d30] JUNOS Services TLB Service PIC pakket [20210812.200100_builder_junos_203_x75_d30] JUNOS Services Telemetrie [20210812.200100_builder_junos_203_x75_d30] JUNOS Services TCP-LOG [20210812.200100_builder_junos_203_x75_d30] JUNOS Services SSL [20210812.200100_builder_junos_203_x75_d30] JUNOS Services SOFTWIRE [20210812.200100_builder_junos_203_x75_d30] JUNOS Services Stateful Firewall [20210812.200100_builder_junos_203_x75_d30] JUNOS Services RTCOM [20210812.200100_builder_junos_203_x75_d30] JUNOS Services RPM [20210812.200100_builder_junos_203_x75_d30] JUNOS Services PCEF-pakket [20210812.200100_builder_junos_203_x75_d30] JUNOS Services NAT [20210812.200100_builder_junos_203_x75_d30] JUNOS Services mobiele intekenaardienshouerpakket
    [20210812.200100_builder_junos_203_x75_d30] JUNOS Services MobileNext-sagtewarepakket [20210812.200100_builder_junos_203_x75_d30] JUNOS Services-logboekverslagraamwerkpakket [20210812.200100_builder_junos_203_x75_d30] JUNOS Services LL-PDF-houerpakket [20210812.200100_builder_junos_203_x75_d30] JUNOS Services Jflow-houerpakket [20210812.200100_builder_junos_203_x75_d30] JUNOS Services Deep Packet Inspection-pakket [20210812.200100_builder_junos_203_x75_d30] JUNOS Services IPSec [20210812.200100_builder_junos_203_x75_d30] JUNOS Services IDS [20210812.200100_builder_junos_203_x75_d30] JUNOS IDP Services [20210812.200100_builder_junos_203_x75_d30] JUNOS Services HTTP-inhoudbestuurpakket [20210812.200100_builder_junos_203_x75_d30] JUNOS Services Crypto [20210812.200100_builder_junos_203_x75_d30] JUNOS Services Captive Portal en inhoudafleweringshouerpakket
    [20210812.200100_builder_junos_203_x75_d30] JUNOS Services COS [20210812.200100_builder_junos_203_x75_d30] JUNOS AppId Services [20210812.200100_builder_junos_203_x75_d30] JUNOS Services Application Level Gateways [20210812.200100_builder_junos_203_x75_d30] JUNOS Services AACL Container pakket [20210812.200100_builder_junos_203_x75_d30] JUNOS SDN sagteware suite [20210812.200100_builder_junos_203_x75_d30] JUNOS Uitbreiding Toolkit [20210812.200100_builder_junos_203_x75_d30] JUNOS Pakkie Aanstuur-enjin-ondersteuning (wrlinux9) [20210812.200100_builder_junos_203_x75_d30] JUNOS-pakkie-aanstuur-enjin [20210812.200100_builder_junos_203_x75_d30] JUNOS-pakkie-aanstuur-enjin-ondersteuning (MXSPC3) [20.3X75-D30.1] JUNOS-pakkie-aanstuur-enjin-ondersteuning (X2000) [20210812.200100_builder_junos_203_x75_d30] JUNOS Pakkie Aanstuur-enjin FIPS-ondersteuning [20.3X75-D30.1] JUNOS Pakkie Aanstuur-enjin Ondersteuning (M/T Algemeen)
    [20210812.200100_builder_junos_203_x75_d30] JUNOS Pakkie Aanstuur-enjin-ondersteuning (agter)

Verstaan ​​nulisering om stelseldata uit te vee vir FIPS-modus
IN HIERDIE AFDELING
Hoekom Zeroize? | 26
Wanneer om nul te maak? | 26
Nulisering vee alle konfigurasie-inligting op die Routing-enjins heeltemal uit, insluitend alle gewone tekswagwoorde, geheime en private sleutels vir SSH, plaaslike enkripsie, plaaslike verifikasie en IPsec.
Crypto Officer begin die nuliseringsproses deur die operasionele opdragversoek vmhost zeroize no-forwarding vir REMX2K-X8 in te voer en versoek stelselnulstelling vir RE1800.
SHEARWATER 17001 Lugintegrasie-druksender - ikoon 3 WAARSKUWING: Voer stelsel nulisering met sorg uit. Nadat die nuliseringsproses voltooi is, word geen data op die Routing Engine gelaat nie. Die toestel word teruggekeer na die fabrieksstandaardtoestand, sonder enige gekonfigureerde gebruikers of konfigurasie files.
Nulisering kan tydrowend wees. Alhoewel alle konfigurasies binne 'n paar sekondes verwyder word, gaan die nuliseringsproses voort om alle media te oorskryf, wat aansienlike tyd kan neem afhangende van die grootte van die media.
Hoekom Zeroize?
Jou toestel word nie as 'n geldige FIPS-kriptografiese module beskou voordat alle kritieke sekuriteitsparameters (CSP's) ingevoer is—of weer ingevoer is—terwyl die toestel in FIPS-modus is.
Vir FIPS 140-2-nakoming moet jy die stelsel nulmaak om sensitiewe inligting te verwyder voordat jy FIPS-modus op die toestel deaktiveer.
Wanneer om nul te maak?
As Crypto Officer, voer nulisering uit in die volgende situasies:

  • Voordat FIPS-modus van werking aktiveer word: Om jou toestel voor te berei vir werking as 'n FIPS-kriptografiese module, voer nulisering uit voordat FIPS-modus aktiveer.
  • Voordat FIPS-modus van werking gedeaktiveer word: Om te begin om jou toestel vir nie-FIPS-werking te hergebruik, voer nulisering uit voordat FIPS-modus op die toestel deaktiveer.
    LET WEL: Juniper Networks ondersteun nie die installering van nie-FIPS-sagteware in 'n FIPS-omgewing nie, maar dit kan nodig wees in sekere toetsomgewings. Maak seker dat u die stelsel eers nul maak.

Nulstelling van die stelsel
Om jou toestel nul te maak, volg die onderstaande prosedure:

  1. Meld aan by die toestel as Crypto Officer en van CLI, voer die volgende opdrag in.
    Vir REMX2K-X8:
    crypto-officer@host> versoek vmhost zeroize no-forwarding VMHost Zeroization: Vee alle data uit, insluitend konfigurasie en logboek files ? [ja, nee] (nee) ja
    re0:
    Vir REMX2K-X8:
    crypto-officer@host> versoek stelsel zeroize
    Stelselnulstelling: Vee alle data uit, insluitend konfigurasie en logboek files ?
    [ja, nee] (nee) ja
    re0:
  2. Om die nuliseringsproses te begin, tik ja by die prompt:
    Vee alle data uit, insluitend konfigurasie en logboek files? [ja, nee] (nee) ja Vee alle data uit, insluitend konfigurasie en logboek files? [ja, nee] (nee) ja
    re0: ———————–waarskuwing: nulstelling
    re0 … …
    Die hele operasie kan aansienlike tyd neem, afhangende van die grootte van die media, maar alle kritieke sekuriteitsparameters (CSP's) word binne 'n paar sekondes verwyder. Die fisiese omgewing moet veilig bly totdat die nuliseringsproses voltooi is.

Aktiveer FIPS-modus
Wanneer Junos OS op 'n toestel geïnstalleer is en die toestel is aangeskakel, is dit gereed om gekonfigureer te word.
Aanvanklik meld u aan as die gebruikerwortel sonder 'n wagwoord. Wanneer jy as root aanmeld, is jou SSH-verbinding by verstek geaktiveer.
As Crypto Officer moet jy 'n root-wagwoord opstel wat voldoen aan die FIPS-wagwoordvereistes in "Verstaan ​​wagwoordspesifikasies en -riglyne vir Junos OS in FIPS-modus" op bladsy 20. Wanneer jy FIPS-modus in Junos OS op die toestel aktiveer, kan jy nie wagwoorde opstel nie tensy hulle aan hierdie standaard voldoen.
Plaaslike wagwoorde word geïnkripteer met die veilige hash-algoritme SHA256 of SHA512. Wagwoordherwinning is nie moontlik in Junos OS in FIPS-modus nie. Junos OS in FIPS-modus kan nie in enkelgebruikermodus begin sonder die korrekte wortelwagwoord nie.
Om FIPS-modus in Junos OS op die toestel te aktiveer:

  1. Nul die toestel om alle CSP's uit te vee voordat jy FIPS-modus betree. Verwys na "Verstaan ​​nulisering om stelseldata vir FIPS-modus uit te vee" op bladsy 25 afdeling vir besonderhede.
  2. Nadat die toestel in 'Amnesiac-modus' verskyn, teken aan met die gebruikersnaam se wortel en wagwoord "" (leeg).
    FreeBSD/amd64 (Amnesiac) (ttyu0) login: root
    — JUNOS 20.3X75-D30.1 Kernel 64-bis JNPR-11.0-20190701.269d466_buil root@:~ # cli root>
  3. Stel wortelstawing op met 'n wagwoord van minstens 10 karakters of meer.
    root> wysig Gaan in op konfigurasiemodus [wysig] root# stel stelsel wortel-verifikasie gewone-teks-wagwoord
    Nuwe wagwoord:
    Hertik nuwe wagwoord: [wysig] root# commit commit voltooi
  4. Laai konfigurasie op toestel en pleeg nuwe konfigurasie. Stel kripto-beampte op en meld aan met kripto-beampte geloofsbriewe.
  5. Installeer fips-modus pakket wat nodig is vir Routing Engine KATS.
    root@gasheernaam> versoek stelselsagteware byvoeg opsioneel://fips-mode.tgz
    Geverifieerde fips-modus onderteken deur PackageDevelopmentEc_2017 metode ECDSA256+SHA256
  6. Vir MX-reeks toestelle,
    • Stel onderstelgrensfips op deur stel stelselfips-onderstelvlak 1 in te stel en commit.
    • Konfigureer RE grens fips deur stel stelsel fips vlak 1 en commit.
    Toestel kan dalk die Geënkripteer-wagwoord vertoon, moet herkonfigureer word om FIPS-voldoende hash-waarskuwing te gebruik om die ouer CSP's in die gelaaide konfigurasie uit te vee.
  7. Nadat CSP's uitgevee en herkonfigureer is, sal commit deurgaan en toestel moet herlaai om FIPS-modus te betree. [wysig] crypto-officer@hostname# commit
    Genereer RSA-sleutel /etc/ssh/fips_ssh_host_key
    Genereer RSA2-sleutel /etc/ssh/fips_ssh_host_rsa_key
    Genereer ECDSA-sleutel /etc/ssh/fips_ssh_host_ecdsa_key
    [wysig] stelsel
    herlaai word vereis om oor te skakel na FIPS vlak 1 commit voltooi [wysig] crypto-officer@gasheernaam# hardloop versoek vmhost herlaai
  8. Nadat die toestel herlaai is, sal FIPS-selftoetse loop en toestel gaan in FIPS-modus in. kripto-beampte@gasheernaam: fips>

VERWANTE DOKUMENTASIE
Verstaan ​​wagwoordspesifikasies en -riglyne vir Junos OS in FIPS-modus | 20
Die opstel van Crypto Officer en FIPS-gebruikersidentifikasie en -toegang
IN HIERDIE AFDELING
Opstel van Crypto Officer Access | 30
Konfigureer FIPS-gebruikeraanmeldingtoegang | 32
Crypto Officer aktiveer FIPS-modus op jou toestel en voer alle konfigurasietake vir Junos OS in FIPS-modus uit en reik alle Junos-bedryfstelsel in FIPS-modus stellings en opdragte uit. Crypto Officer en FIPS-gebruikerkonfigurasies moet Junos OS in FIPS-modusriglyne volg.
Konfigureer Crypto Officer Access
Junos OS in FIPS-modus bied 'n fyner korreligheid van gebruikerstoestemmings as dié wat deur FIPS 140-2 opdrag gegee word.
Vir FIPS 140-2-nakoming is enige FIPS-gebruiker met die geheime-, sekuriteit-, instandhoudings- en beheertoestemmingsstelle 'n Crypto Officer. In die meeste gevalle is die supergebruikersklas voldoende vir die Crypto Officer.
Om aanmeldtoegang vir 'n Crypto Officer op te stel:

  1. Meld aan by die toestel met die wortelwagwoord as jy dit nog nie gedoen het nie, en gaan in op konfigurasiemodus: root@gasheernaam> wysig Gaan na konfigurasiemodus [wysig] root@gasheernaam#
  2. Noem die gebruiker se kripto-beampte en gee die kripto-beampte 'n gebruikers-ID (bvample, 6400, wat 'n unieke nommer moet wees wat geassosieer word met die aanmeldrekening in die reeks van 100 tot 64000) en 'n klas (bv.ample, supergebruiker). Wanneer jy die klas toewys, ken jy die toestemmings toe - bvample, geheim, sekuriteit, instandhouding en beheer.
    Vir 'n lys van toestemmings, sien Verstaan ​​Junos OS Access Privilege Levels.
    [wysig] root@gasheernaam# stel stelselaanmelding gebruiker gebruikersnaam uid waarde klas klasnaam
    Byvoorbeeldample:
    [wysig] root@gasheernaam# stel stelselaanmelding gebruiker kripto-beampte uid 6400 klas supergebruiker
  3. Na aanleiding van die riglyne in "Verstaan ​​wagwoordspesifikasies en -riglyne vir Junos OS in FIPS-modus" op bladsy 20, ken die Crypto Officer 'n gewone teks wagwoord toe vir aanmeldverifikasie. Stel die wagwoord in deur 'n wagwoord in te tik na die aanwysings Nuwe wagwoord en Hertik nuwe wagwoord.
    [wysig] root@gasheernaam# stel stelselaanmelding gebruiker gebruikersnaam klas klasnaam-verifikasie (plain-testpassword |
    geënkripteerde wagwoord)
    Byvoorbeeldample:
    [wysig] root@gasheernaam# stel stelselaanmelding gebruiker kripto-beampteklas supergebruiker-verifikasie gewone teks-wagwoord
  4. Opsioneel, vertoon die konfigurasie:
    [wysig] root@gasheernaam# wysig stelsel
    [wysig stelsel] root@gasheernaam# wys
    login {
    gebruiker kripto-beampte {
    uid 6400;
    verifikasie {
    geënkripteerde wagwoord " ”; ## GEHEIM DATA
    }
    klas supergebruiker;
    }
    }
  5. As jy klaar is met die opstelling van die toestel, voer die konfigurasie uit en gaan uit:
    [wysig] root@hostname# commit commit voltooi
    root@gasheernaam# uitgang

Konfigureer FIPS-gebruikeraanmeldingtoegang
'n Fips-gebruiker word gedefinieer as enige FIPS-gebruiker wat nie die geheime-, sekuriteit-, instandhoudings- en beheertoestemmingsstukke het nie.
As die Crypto Officer stel jy FIPS-gebruikers op. FIPS-gebruikers kan nie toestemmings gegee word wat normaalweg vir die Crypto Officer gereserveer is nie - bvample, toestemming om die stelsel nul te maak.
Om aanmeldtoegang vir 'n FIPS-gebruiker op te stel:

  1. Meld by die toestel aan met jou Crypto Officer-wagwoord as jy dit nog nie gedoen het nie, en gaan in op konfigurasiemodus:
    crypto-officer@gasheernaam:fips> wysig
    Gaan in op konfigurasiemodus
    [wysig] crypto-officer@gasheernaam:fips#
  2. Gee die gebruiker 'n gebruikersnaam en ken die gebruiker 'n gebruikers-ID toe (bvample, 6401, wat 'n unieke nommer in die reeks van 1 tot 64000) en 'n klas moet wees. Wanneer jy die klas toewys, ken jy die toestemmings toe - bvample, skoon, netwerk, herstelview, en view-konfigurasie.
    [wysig] crypto-officer@gasheernaam:fips# stel stelselaanmelding gebruiker gebruikersnaam uid waarde klas klasnaam Bv.ample:
    [wysig] crypto-officer@gasheernaam:fips# stel stelselaanmelding gebruiker fips-user1 uid 6401 klas leesalleen
  3. Volg die riglyne in "Verstaan ​​wagwoordspesifikasies en riglyne vir Junos OS in
    FIPS-modus” op bladsy 20, ken die FIPS-gebruiker 'n gewone tekswagwoord toe vir aanmeldverifikasie. Stel die wagwoord in deur 'n wagwoord in te tik na die aanwysings Nuwe wagwoord en Hertik nuwe wagwoord.
    [wysig] crypto-officer@gasheernaam:fips# stel stelselaanmelding gebruiker gebruikersnaam klas klasnaam-verifikasie (plain-text-password | geïnkripteer-wagwoord)
    Byvoorbeeldample:
    [wysig] crypto-officer@gasheernaam:fips# stel stelselaanmelding gebruiker fips-user1 klas leesalleen-verifikasie gewone-teks-wagwoord
  4. Opsioneel, vertoon die konfigurasie:
    [wysig] crypto-officer@gasheernaam:fips# wysig stelsel [wysig stelsel] crypto-officer@gasheernaam:fips# wys
    login {
    gebruiker fips-gebruiker1 {
    uid 6401;
    verifikasie {
    geënkripteerde wagwoord " ”; ## GEHEIM DATA
    }
    klas leesalleen;
    }
    }
  5. As jy klaar is met die opstelling van die toestel, voer die konfigurasie uit en gaan uit:
    [wysig] crypto-officer@hostname:fips# commit
    crypto-officer@gasheernaam:fips# uitgang

Konfigureer SSH en Console Connection

Konfigureer SSH op die geëvalueerde konfigurasie vir FIPS
SSH deur afstandbestuur-koppelvlak toegelaat in die geëvalueerde konfigurasie. Hierdie onderwerp beskryf hoe om SSH op te stel deur afstandbestuur.
Die volgende algoritmes wat gekonfigureer moet word om SSH vir FIPS te valideer.
Om SSH op die DUT op te stel:

  1. Spesifiseer die toelaatbare SSH-gasheersleutelalgoritmes vir die stelseldienste.
    [wysig] gebruiker@gasheer# stel stelseldienste ssh hostkey-algoritme ssh-ecdsa
    gebruiker@gasheer# stel stelseldienste ssh gasheersleutel-algoritme no-ssh-dss
    gebruiker@gasheer# stel stelseldienste ssh hostkey-algoritme ssh-rsa
  2. Spesifiseer die SSH-sleuteluitruiling vir Diffie-Hellman-sleutels vir die stelseldienste.
    [wysig] gebruiker@gasheer# stel stelseldienste ssh sleutel-uitruiling dh-group14-sha1
    gebruiker@gasheer# stel stelseldienste ssh sleutel-uitruil ecdh-sha2-nistp256
    gebruiker@gasheer# stel stelseldienste ssh sleutel-uitruil ecdh-sha2-nistp384
    gebruiker@gasheer# stel stelseldienste ssh sleutel-uitruil ecdh-sha2-nistp521
  3. Spesifiseer al die toelaatbare boodskap verifikasie kode algoritmes vir SSHv2
    [wysig] gebruiker@gasheer# stel stelseldienste ssh macs hmac-sha1
    gebruiker@gasheer# stel stelseldienste ssh macs hmac-sha2-256
    gebruiker@gasheer# stel stelseldienste ssh macs hmac-sha2-512
  4. Spesifiseer die syfers wat vir protokolweergawe 2 toegelaat word.
    [wysig] gebruiker@gasheer# stel stelseldienste ssh-syfers aes128-cbc
    gebruiker@gasheer# stel stelseldienste ssh-syfers aes256-cbc
    gebruiker@gasheer# stel stelseldienste ssh-syfers aes128-ctr
    gebruiker@gasheer# stel stelseldienste ssh-syfers aes256-ctr
    gebruiker@gasheer# stel stelseldienste ssh-syfers aes192-cbc
    gebruiker@gasheer# stel stelseldienste ssh-syfers aes192-ctr
    Ondersteunde SSH-gasheersleutelalgoritme:
    ssh-ecdsa Laat generering van ECDSA-gasheersleutel toe
    ssh-rsa Laat generering van RSA-gasheersleutel toe
    Ondersteunde SSH sleutel-uitruilalgoritme:
    ecdh-sha2-nistp256 Die EC Diffie-Hellman op nistp256 met SHA2-256
    ecdh-sha2-nistp384 Die EC Diffie-Hellman op nistp384 met SHA2-384
    ecdh-sha2-nistp521 Die EC Diffie-Hellman op nistp521 met SHA2-512
    Ondersteunde MAC-algoritme:
    hmac-sha1 Hash-gebaseerde MAC met behulp van Secure Hash Algorithm (SHA1)
    hmac-sha2-256 Hash-gebaseerde MAC met behulp van Secure Hash Algorithm (SHA2)
    hmac-sha2-512 Hash-gebaseerde MAC met behulp van Secure Hash Algorithm (SHA2)
    Ondersteunde SSH-syfers-algoritme:
    aes128-cbc 128-bis AES met Cipher Block Chaining
    aes128-ctr 128-bis AES met toonbankmodus
    aes192-cbc 192-bis AES met Cipher Block Chaining
    aes192-ctr 192-bis AES met toonbankmodus
    aes256-cbc 256-bis AES met Cipher Block Chaining
    aes256-ctr 256-bis AES met toonbankmodus

Konfigureer MACsec

Verstaan ​​Media Access Control Security (MACsec) in FIPS-modus
Media Access Control Security (MACsec) is 'n 802.1AE IEEE industriestandaard sekuriteitstegnologie wat veilige kommunikasie vir alle verkeer op Ethernet-skakels verskaf. MACsec verskaf punt-tot-punt-sekuriteit op Ethernet-skakels tussen direk gekoppelde nodusse en is in staat om die meeste sekuriteitsbedreigings te identifiseer en te voorkom, insluitend ontkenning van diens, inbraak, man-in-die-middel, maskering, passiewe afluistering en terugspeelaanvalle.
MACsec laat jou toe om punt-tot-punt Ethernet-skakel vir byna alle verkeer te beveilig, insluitend rame van die Link Layer Discovery Protocol (LLDP), Link Aggregation Control Protocol (LACP), Dynamic Host Configuration Protocol (DHCP), Address Resolution Protocol (ARP), en ander protokolle wat nie tipies op 'n Ethernet-skakel beveilig is nie as gevolg van beperkings met ander sekuriteitsoplossings. MACsec kan in kombinasie met ander sekuriteitsprotokolle soos IP-sekuriteit (IPsec) en Secure Sockets Layer (SSL) gebruik word om end-tot-end netwerksekuriteit te verskaf.
MACsec is gestandaardiseer in IEEE 802.1AE. Die IEEE 802.1AE-standaard kan op die IEEE-organisasie gesien word webwebwerf by IEEE 802.1: OORBRUIG EN BESTUUR.
Elke implementering van 'n algoritme word nagegaan deur 'n reeks bekende antwoordtoets (KAT) selftoetse en kripto algoritmes validerings (CAV). Die volgende kriptografiese algoritmes word spesifiek vir MACsec bygevoeg.

  • Gevorderde enkripsiestandaard (AES)-kodeerboodskapverifikasiekode (CMAC)
  • Gevorderde enkripsiestandaard (AES) sleutelomslag
    Vir MACsec, in konfigurasiemodus, gebruik die prompt-opdrag om 'n geheime sleutelwaarde van 64 heksadesimale karakters in te voer vir verifikasie.
    [wysig] crypto-officer@hostname:fips# prompt sekuriteit macsec connectivity-association pre-shared-key cak
    Nuwe koek (geheim):
    Tik nuwe koek oor (geheim):

Pasmaak tyd
Om tyd aan te pas, deaktiveer NTP en stel die datum in.

  1. Deaktiveer NTP.
    [wysig] crypto-officer@gasheernaam:fips# deaktiveer groepe globale stelsel ntp
    crypto-officer@gasheernaam:fips# deaktiveer stelsel ntp
    crypto-officer@gasheernaam:fips# pleeg
    crypto-officer@gasheernaam:fips# uitgang
  2. Stel datum en tyd in. Datum- en tydformaat is JJJJMMDDHMM.ss
    [wysig] crypto-officer@gasheernaam:fips# stel datum 201803202034.00
    crypto-officer@gasheernaam:fips# stel cli-tydamp
  3. Stel die MACsec Key Agreement (MKA) veilige kanaalbesonderhede.
    [wysig] crypto-officer@gasheernaam:fips# stel sekuriteit macsec-verbinding-assosiasie-konnektiwiteit-assosiasienaam veilige-kanaal veilige-kanaalnaam-rigting (inkomende | uitgaande) crypto-officer@gasheernaam:fips# stel sekuriteit macsec-verbinding-assosiasie konneksie-assosiasie -naam veilige kanaal veilige kanaalnaam enkripsie (MACsec) crypto-officer@gasheernaam:fips# stel sekuriteit macsec-verbinding-assosiasie konneksie-assosiasie-naam veilige kanaal veilige-kanaalnaam id mac-adres /”mac-adres crypto-officer@gasheernaam:fips# stel sekuriteit macsec-verbinding-assosiasie konneksie-assosiasie- naam veilige-kanaal veilige-kanaal-naam id poort-ID poort-ID-nommer kripto-beampte@gasheernaam:fips# stel sekuriteit macsec-verbinding-assosiasie konneksie-assosiasie-naam veilige-kanaal veilige-kanaalnaam-afset “(0|30|50) kripto-beampte@gasheernaam:fips# stel sekuriteit macsec-verbinding-assosiasie konneksie-assosiasie- naam veilige-kanaal veilige-kanaal-naam sekuriteit-assosiasie sekuriteit-assosiasienommer sleutel sleutelstring
  4. Stel die MKA op sekuriteitsmodus.
    [wysig] crypto-officer@gasheernaam:fips# stel sekuriteit macsec connectivity-association connectivityassociation-name sekuriteitsmodus sekuriteitsmodus
  5. Ken die gekonfigureerde verbindingsassosiasie met 'n gespesifiseerde MACsec-koppelvlak toe.
    [wysig] crypto-officer@gasheernaam:fips# stel sekuriteit macsec-koppelvlakke koppelvlak-naam konneksie-assosiasie konneksie-assosiasie-naam

Stel Static MACsec op met ICMP Traffic
Om Static MACsec op te stel deur ICMP-verkeer tussen toestel R0 en toestel R1 te gebruik:
In R0:

  1. Skep die voorafgedeelde sleutel deur die verbindingsassosiasiesleutelnaam (CKN) en verbindingsassosiasiesleutel (CAK) op te stel.
    [wysig] crypto-officer@hostname:fips# stel sekuriteit macsec connectivity-association CA1 pre-sharedkey ckn 2345678922334455667788992223334445556667778889992222333344445555
    crypto-officer@gasheernaam:fips# stel sekuriteit macsec-verbinding-assosiasie CA1 vooraf-gedeelde sleutel cak 23456789223344556677889922233344 crypto-officer@gasheernaam:fips# stel sekuriteit macsec-verbinding-assosiasie CA1 offset
  2. Stel die spoor opsie waardes.
    [wysig] crypto-officer@gasheernaam:fips# stel sekuriteit macsec-spooropsies file MACsec.log
    crypto-officer@gasheernaam:fips# stel sekuriteit macsec-spooropsies in file grootte 4000000000
    crypto-officer@gasheernaam:fips# stel sekuriteit macsec-spooropsies vlag almal
  3. Ken die spoor toe aan 'n koppelvlak.
    [wysig] crypto-officer@gasheernaam:fips# stel sekuriteit macsec-koppelvlakke koppelvlaknaam-spooropsies file mka_xe grootte 1g crypto-officer@gasheernaam:fips# stel sekuriteit macsec-koppelvlakke koppelvlak-naam spooropsies vlag alles
  4. Stel die MACsec-sekuriteitsmodus op as statiese koek vir die verbindingsassosiasie. [wysig] crypto-officer@hostname:fips# stel sekuriteit macsec connectivity-association CA1 security-mode static-cak
  5. Stel die MKA-sleutelbedienerprioriteit.
    [wysig] crypto-officer@gasheernaam:fips# stel sekuriteit macsec-verbinding-assosiasie CA1 mka sleutel-bedienerprioriteit 1
  6. Stel die MKA-sendinterval in.
    [wysig] crypto-officer@gasheernaam:fips# stel sekuriteit macsec-verbinding-assosiasie CA1 mka transmitinterval 3000
  7. Aktiveer die MKA veilig.
    [wysig] crypto-officer@gasheernaam:fips# stel sekuriteit macsec-verbinding-assosiasie CA1 mka shouldsecure
    crypto-officer@gasheernaam:fips# stel sekuriteit macsec-verbinding-assosiasie CA1 insluit-wetenskap
  8. Ken die verbindingsassosiasie aan 'n koppelvlak toe.
    [wysig] crypto-officer@gasheernaam:fips# stel sekuriteit macsec-koppelvlakke koppelvlak-naam konneksieassosiasie
    CA1
    crypto-officer@gasheernaam:fips# stel koppelvlakke koppelvlaknaam eenheid 0 familie inet adres 10.1.1.1/24

In R1:

  1. Skep die voorafgedeelde sleutel deur die verbindingsassosiasiesleutelnaam (CKN) en verbindingsassosiasiesleutel (CAK) op te stel.
    [wysig] crypto-officer@hostname:fips# stel sekuriteit macsec connectivity-association CA1 pre-sharedkey ckn 2345678922334455667788992223334445556667778889992222333344445555 crypto-officer@gasheernaam:fips# stel sekuriteit macsec-verbinding-assosiasie CA1 vooraf-gedeelde sleutel cak 23456789223344556677889922233344 crypto-officer@gasheernaam:fips# stel sekuriteit macsec-verbinding-assosiasie CA1 offset
  2. Stel die spoor opsie waardes.
    [wysig] crypto-officer@gasheernaam:fips# stel sekuriteit macsec-spooropsies file MACsec.log crypto-officer@gasheernaam:fips# stel sekuriteit macsec-spooropsies file grootte 4000000000 kripto-beampte@gasheernaam:fips# stel sekuriteit macsec-spooropsies vlag alles
  3. Ken die spoor toe aan 'n koppelvlak. [wysig] crypto-officer@gasheernaam:fips# stel sekuriteit macsec-koppelvlakke koppelvlaknaam-spooropsies file mka_xe grootte 1g crypto-officer@gasheernaam:fips# stel sekuriteit macsec-koppelvlakke koppelvlak-naam spooropsies vlag alles
  4. Stel die MACsec-sekuriteitsmodus op as statiese koek vir die verbindingsassosiasie. [wysig] crypto-officer@hostname:fips# stel sekuriteit macsec connectivity-association CA1 security-mode static-cak
  5. Stel die MKA-sendinterval in.
    [wysig] crypto-officer@gasheernaam:fips# stel sekuriteit macsec-verbinding-assosiasie CA1 mka transmitinterval 3000
  6. Aktiveer die MKA veilig. [wysig] crypto-officer@hostname:fips# stel sekuriteit macsec-verbinding-assosiasie CA1 mka shouldsecure crypto-officer@gasheernaam:fips# stel sekuriteit macsec-verbinding-assosiasie CA1 include-sci
  7. Ken die verbindingsassosiasie aan 'n koppelvlak toe. [wysig] crypto-officer@gasheernaam:fips# stel sekuriteit macsec-koppelvlakke koppelvlak-naam konneksie-assosiasie CA1 crypto-officer@gasheernaam:fips# stel koppelvlakke koppelvlak-naam eenheid 0 familie inet adres 10.1.1.2/24

Konfigureer MACsec met sleutelhanger met behulp van ICMP Traffic
Om MACsec met sleutelhanger te konfigureer deur ICMP-verkeer tussen toestel R0 en toestel R1 te gebruik:
In R0:

  1. Ken 'n toleransiewaarde aan die verifikasiesleutelketting toe. [wysig] crypto-officer@gasheernaam:fips# stel sekuriteitstawing-sleutelkettings sleutelketting macsec-kc1 toleransie 20
  2. Skep die geheime wagwoord om te gebruik. Dit is 'n string heksadesimale syfers tot 64 karakters lank. Die wagwoord kan spasies insluit as die karakterstring tussen aanhalingstekens ingesluit is. Die sleutelhanger se geheime data word as 'n CAK gebruik.
    [wysig] crypto-officer@gasheernaam:fips# stel sekuriteitstawing-sleutelkettings sleutelketting macsec-kc1 sleutel 0 sleutelnaam 2345678922334455667788992223334445556667778889992222333344445551 crypto-officer@gasheernaam:fips# stel sekuriteitstawing-sleutelkettings sleutelketting macsec-kc1 sleutel 0 begintyd 2018-03-20.20:35 crypto-officer@gasheernaam:fips# stel sekuriteitstawing-sleutelkettings sleutel- ketting macsec-kc1 sleutel 1 sleutelnaam 2345678922334455667788992223334445556667778889992222333344445552 crypto-officer@gasheernaam:fips# stel sekuriteitstawing-sleutelkettings sleutel-ketting-c1 macsec 1-2018-03:20.20 crypto-officer@gasheernaam:fips# stel sekuriteitstawing-sleutelkettings sleutelketting macsec-kc37 sleutel 1 sleutelnaam 2 crypto-officer@gasheernaam:fips# stel sekuriteitstawing-sleutelkettings sleutel-ketting-c2345678922334455667788992223334445556667778889992222333344445553 macsec sleutel-ketting-tyd macs 1-2-2018:03 crypto-officer@gasheernaam:fips# stel sekuriteitstawing-sleutelkettings sleutelketting macsec-kc20.20 sleutel 39 sleutelnaam 1 crypto-officer@gasheernaam:fips# stel sekuriteitstawing-sleutelkettings begin-k-sleutel-ketting-c3 macs 2345678922334455667788992223334445556667778889992222333344445554-1-3:2018 crypto-officer@gasheernaam:fips# stel sekuriteitstawing-sleutelkettings sleutelketting macsec-kc03 sleutel 20.20 sleutelnaam 41 crypto-officer@gasheernaam:fips# stel sekuriteitstawing-sleutelkettings begin-k-sleutel-ketting-c1-macs 4-2345678922334455667788992223334445556667778889992222333344445555-1:4 crypto-officer@gasheernaam:fips# stel sekuriteitstawing-sleutelkettings sleutelketting macsec-kc2018 sleutel 03 sleutelnaam 20.20 kripto-beampte@gasheernaam:fips# stel sekuriteitstawing-sleutelkettings 43 ​​sleutel-ketting-sleutel-ketting macsec 1-5-2345678922334455667788992223334445556667778889992222333344445556:1 crypto-officer@gasheernaam:fips# stel sekuriteitstawing-sleutelkettings sleutelketting macsec-kc5 sleutel 2018 sleutelnaam 03 crypto-officer@gasheernaam:fips# stel sekuriteitstawing-sleutelkettings begin sleutel-ketting-c20.20 macsec 45-1-6:2345678922334455667788992223334445556667778889992222333344445557 crypto-officer@gasheernaam:fips# stel sekuriteitstawing-sleutelkettings sleutelketting macsec-kc1 sleutel 6 sleutelnaam 2018 crypto-officer@gasheernaam:fips# stel sekuriteitstawing-sleutelkettings sleutel-ketting-c03 macsec 20.20-47-1:7 Gebruik die vinnige opdrag om 'n geheime sleutelwaarde in te voer. Byvoorbeeldample, die geheime sleutelwaarde is 2345678922334455667788992223334123456789223344556677889922233341. [wysig] crypto-officer@gasheernaam:fips# prompt sleutelhanger-sleutelketting-sleutelketting-sleutelketting 1 geheim Nuwe koek (geheim): Tik nuwe koek (geheim): crypto-officer@hostname:fips# prompt sekuriteitstawing-sleutelkettings sleutelketting macseckc0 sleutel 1 geheim Nuwe koek (geheim):
    Tik nuwe kak oor (geheim): crypto-officer@hostname:fips# prompt sekuriteitstawing-sleutelkettings sleutelketting macseckc1 sleutel 2 geheim Nuwe kak (geheim):
    Tik nuwe kak oor (geheim): kripto-beampte@gasheernaam:fips# vinnige sekuriteitstawing-sleutelkettings sleutelketting macseckc1 sleutel 3 geheim Nuwe koekie (geheim): Tik nuwe kak oor (geheim): kripto-beampte@gasheernaam:fips# vinnige sekuriteitstawing-sleutelkettings sleutelketting macseckc1 sleutel 4 geheim Nuwe koek (geheim): Tik nuwe kak oor (geheim): kripto-beampte@gasheernaam:fips# prompt sekuriteitstawing-sleutelkettings sleutelketting macseckc1 sleutel 5 geheim Nuwe kak (geheim): Tik nuwe koekie (geheim): kripto-beampte@ gasheernaam:fips# vinnige sekuriteitstawing-sleutelkettings sleutelketting macseckc1 sleutel 6 geheim Nuwe koek (geheim): Tik nuwe koek oor (geheim): crypto-officer@gasheernaam:fips# prompt sekuriteitstawing-sleutelkettings sleutelketting macseckc1 sleutel 7 geheim Nuwe koek (geheim): Tik nuwe koek oor (geheim):
  3. Assosieer die voorafgedeelde sleutelhouernaam met die verbindingsassosiasie.
    [wysig] crypto-officer@hostname:fips# stel sekuriteit macsec connectivity-association CA1 pre-sharedkey-chain macsec-kc1 crypto-officer@hostname:fips# stel sekuriteit macsec connectivity-association CA1 offset 50 crypto-officer@hostname:fips # stel sekuriteit macsec-verbinding-assosiasie CA1-syfer-suite gcm-aes-256
    LET WEL: Die syferwaarde kan ook gestel word as syferreeks gcm-aes-128.
  4. Stel die spoor opsie waardes.
    [wysig] crypto-officer@gasheernaam:fips# stel sekuriteit macsec-spooropsies file MACsec.log crypto-officer@gasheernaam:fips# stel sekuriteit macsec-spooropsies file grootte 4000000000 kripto-beampte@gasheernaam:fips# stel sekuriteit macsec-spooropsies vlag alles
  5. Ken die spoor toe aan 'n koppelvlak. [wysig] crypto-officer@gasheernaam:fips# stel sekuriteit macsec-koppelvlakke koppelvlaknaam-spooropsies file mka_xe grootte 1g crypto-officer@gasheernaam:fips# stel sekuriteit macsec-koppelvlakke koppelvlak-naam spooropsies vlag alles
  6. Stel die MACsec-sekuriteitsmodus op as statiese koek vir die verbindingsassosiasie. [wysig] crypto-officer@hostname:fips# stel sekuriteit macsec connectivity-association CA1 securitymode static-cak
  7. Stel die MKA-sleutelbedienerprioriteit.
    [wysig] crypto-officer@gasheernaam:fips# stel sekuriteit macsec-verbinding-assosiasie CA1 mka sleutelbediener-prioriteit 1
  8. Stel die MKA-sendinterval in.
    [wysig] crypto-officer@gasheernaam:fips# stel sekuriteit macsec-verbinding-assosiasie CA1 mka transmitinterval 3000
  9. Aktiveer die MKA veilig.
    [wysig] crypto-officer@hostname:fips# stel sekuriteit macsec connectivity-association CA1 include-sci
  10. Ken die verbindingsassosiasie aan 'n koppelvlak toe.
    [wysig] crypto-officer@gasheernaam:fips# stel sekuriteit macsec-koppelvlakke koppelvlak-naam verbindingsassosiasie CA1
    kripto-beampte@gasheernaam:fips#
    stel koppelvlakke koppelvlak-naam eenheid 0 familie inet adres 10.1.1.1/24

Om MACsec op te stel met sleutelhanger vir ICMP-verkeer:
In R1:

  1. Ken 'n toleransiewaarde aan die verifikasiesleutelketting toe.
    [wysig] crypto-officer@gasheernaam:fips# stel sekuriteitstawing-sleutelkettings sleutelketting macsec-kc1 toleransie 20
  2. Skep die geheime wagwoord om te gebruik. Dit is 'n string heksadesimale syfers tot 64 karakters lank. Die wagwoord kan spasies insluit as die karakterstring tussen aanhalingstekens ingesluit is. Die sleutelhanger se geheime data word as 'n CAK gebruik.
    [wysig] crypto-officer@gasheernaam:fips# stel sekuriteitstawing-sleutelkettings sleutelketting macsec-kc1 sleutel 0 sleutelnaam 2345678922334455667788992223334445556667778889992222333344445551 crypto-officer@gasheernaam:fips# stel sekuriteitstawing-sleutelkettings sleutelketting macsec-kc1 sleutel 0 begintyd 2018-03-20.20:35 crypto-officer@gasheernaam:fips# stel sekuriteitstawing-sleutelkettings sleutel- ketting macsec-kc1 sleutel 1 sleutelnaam 2345678922334455667788992223334445556667778889992222333344445552 crypto-officer@gasheernaam:fips# stel sekuriteitstawing-sleutelkettings sleutel-ketting-c1 macsec 1-2018-03:20.20 crypto-officer@gasheernaam:fips# stel sekuriteitstawing-sleutelkettings sleutelketting macsec-kc37 sleutel 1 sleutelnaam 2 crypto-officer@gasheernaam:fips# stel sekuriteitstawing-sleutelkettings sleutel-ketting-c2345678922334455667788992223334445556667778889992222333344445553 macsec sleutel-ketting-tyd macs 1-2-2018:03 crypto-officer@gasheernaam:fips# stel sekuriteitstawing-sleutelkettings sleutelketting macsec-kc20.20 sleutel 39 sleutelnaam 1 crypto-officer@gasheernaam:fips# stel sekuriteitstawing-sleutelkettings begin-k-sleutel-ketting-c3 macs 2345678922334455667788992223334445556667778889992222333344445554-1-3:2018 crypto-officer@gasheernaam:fips# stel sekuriteitstawing-sleutelkettings sleutelketting macsec-kc03 sleutel 20.20 sleutelnaam 41 crypto-officer@gasheernaam:fips# stel sekuriteitstawing-sleutelkettings sleutel-ketting-c1 macsec 4-2345678922334455667788992223334445556667778889992222333344445555-1:4 crypto-officer@gasheernaam:fips# stel sekuriteitstawing-sleutelkettings sleutelketting macsec-kc2018 sleutel 03 sleutelnaam 20.20 crypto-officer@gasheernaam:fips# stel sekuriteitstawing-sleutelkettings sleutel-kc-tyd macsec43 1-5-345678922334455667788992223334445556667778889992222333344445556:1 crypto-officer@gasheernaam:fips# stel sekuriteitstawing-sleutelkettings sleutelketting macsec-kc5 sleutel 2018 sleutelnaam 03 crypto-officer@gasheernaam:fips# stel sekuriteitstawing-sleutelkettings begin sleutel-ketting-c20.20 macsec 45-1-6:2345678922334455667788992223334445556667778889992222333344445557 crypto-officer@gasheernaam:fips# stel sekuriteitstawing-sleutelkettings sleutelketting macsec-kc1 sleutel 6 sleutelnaam 2018 crypto-officer@gasheernaam:fips# stel sekuriteitstawing-sleutelkettings sleutel-ketting-c03 macsec 20.20-47-1:7
    Gebruik die prompt-opdrag om 'n geheime sleutelwaarde in te voer. Byvoorbeeldample, die geheime sleutelwaarde is 2345678922334455667788992223334123456789223344556677889922233341.
    [wysig] crypto-officer@hostname:fips# prompt sekuriteitstawing-sleutelkettings sleutelketting macseckc1 sleutel 0 geheim
    Nuwe koek (geheim):
    Tik nuwe kak oor (geheim): kripto-beampte@gasheernaam:fips# vinnige sekuriteitstawing-sleutelkettings sleutelketting macseckc1 sleutel 1 geheim Nuwe kak (geheim): Tik nuwe koekie (geheim): kripto-beampte@gasheernaam:fips# vinnige sekuriteitstawing-sleutelkettings sleutelketting macseckc1 sleutel 2 geheim Nuwe koek (geheim): Tik nuwe kak oor (geheim): crypto-officer@gasheernaam:fips# prompt sekuriteitstawing-sleutelkettings sleutelketting macseckc1 sleutel 3 geheim Nuwe koek (geheim): Tik nuwe kak (geheim): crypto-officer@ gasheernaam:fips# vinnige sekuriteitstawing-sleutelkettings sleutelketting macseckc1 sleutel 4 geheim Nuwe koek (geheim): Tik nuwe koek oor
    (geheim):
    crypto-officer@hostname:fips# prompt sekuriteitstawing-sleutelkettings sleutelketting macseckc1 sleutel 5 geheim Nuwe koek (geheim): Tik nuwe koek oor (geheim):
    crypto-officer@hostname:fips# prompt sekuriteitstawing-sleutelkettings sleutelketting macseckc1 sleutel 6 geheim Nuwe koek (geheim):
    Tik nuwe koek oor (geheim):
    crypto-officer@hostname:fips# prompt sekuriteitstawing-sleutelkettings sleutelketting macseckc1 sleutel 7 geheim Nuwe koek (geheim):
    Tik nuwe koek oor (geheim):
  3. Assosieer die voorafgedeelde sleutelhouernaam met die verbindingsassosiasie.
    [wysig] crypto-officer@gasheernaam:fips# stel sekuriteit macsec-verbinding-assosiasie CA1 vooraf-gedeelde-sleutelketting macsec-kc1
    crypto-officer@gasheernaam:fips# stel sekuriteit macsec-verbinding-assosiasie CA1 offset 50 crypto-officer@gasheernaam:fips# stel sekuriteit macsec-verbinding-assosiasie CA1 cipher-suite gcm-aes-256
  4. Stel die spoor opsie waardes.
    [wysig] crypto-officer@gasheernaam:fips# stel sekuriteit macsec-spooropsies file MACsec.log crypto-officer@gasheernaam:fips# stel sekuriteit macsec-spooropsies file grootte 4000000000 kripto-beampte@gasheernaam:fips# stel sekuriteit macsec-spooropsies vlag alles
  5. Ken die spoor toe aan 'n koppelvlak.
    [wysig] crypto-officer@gasheernaam:fips# stel sekuriteit macsec-koppelvlakke koppelvlaknaam-spooropsies file mka_xe grootte 1g crypto-officer@gasheernaam:fips# stel sekuriteit macsec-koppelvlakke koppelvlak-naam spooropsies vlag alles
  6. Stel die MACsec-sekuriteitsmodus op as statiese koek vir die verbindingsassosiasie.
    [wysig] crypto-officer@hostname:fips# stel sekuriteit macsec connectivity-association CA1 securitymode static-cak
  7. Stel die MKA-sleutelbedienerprioriteit.
    [wysig] crypto-officer@gasheernaam:fips# stel sekuriteit macsec-verbinding-assosiasie CA1 mka sleutelbediener-prioriteit 1
  8. Stel die MKA-sendinterval in.
    [wysig] crypto-officer@gasheernaam:fips# stel sekuriteit macsec-verbinding-assosiasie CA1 mka transmitinterval 3000
  9. Aktiveer die MKA veilig.
    [wysig] crypto-officer@hostname:fips# stel sekuriteit macsec connectivity-association CA1 include-sci
  10. Ken die verbindingsassosiasie aan 'n koppelvlak toe.
    [wysig] crypto-officer@gasheernaam:fips# stel sekuriteit macsec-koppelvlakke koppelvlak-naam konneksieassosiasie
    CA1
    crypto-officer@gasheernaam:fips# stel koppelvlakke koppelvlaknaam eenheid 0 familie inet adres 10.1.1.2/24

Stel statiese MACsec op vir Laag 2-verkeer
Om statiese MACsec vir Laag 2-verkeer tussen toestel R0 en toestel R1 op te stel:
In R0:

  1. Stel die MKA-sleutelbedienerprioriteit.
    [wysig] crypto-officer@gasheernaam:fips# stel sekuriteit macsec-verbinding-assosiasie CA1 mka sleutel bediener-prioriteit 1
  2. Skep die geheime wagwoord om te gebruik. Dit is 'n string heksadesimale syfers tot 64 karakters lank. Die wagwoord kan spasies insluit as die karakterstring tussen aanhalingstekens ingesluit is. Die sleutelhanger se geheime data word as 'n CAK gebruik.
    [wysig] crypto-officer@hostname:fips# prompt sekuriteitstawing-sleutelkettings sleutelketting macseckc1 sleutel 0 geheim Nuwe koek (geheim):
    Tik nuwe koek oor (geheim):
    Byvoorbeeldample, die geheime sleutelwaarde is 2345678922334455667788992223334123456789223344556677889922233341.
  3. Assosieer die voorafgedeelde sleutelhouernaam met die verbindingsassosiasie. [wysig] crypto-officer@hostname:fips# stel sekuriteit macsec connectivity-association CA1 pre-sharedkey-chain macsec-kc1 crypto-officer@hostname:fips# stel sekuriteit macsec connectivity-association CA1 offset 50 crypto-officer@hostname:fips # stel sekuriteit macsec-verbinding-assosiasie CA1-syfer-suite gcm-aes-256
  4. Stel die spoor opsie waardes. [wysig] crypto-officer@gasheernaam:fips# stel sekuriteit macsec-spooropsies file MACsec.log crypto-officer@gasheernaam:fips# stel sekuriteit macsec-spooropsies file grootte 4000000000 kripto-beampte@gasheernaam:fips# stel sekuriteit macsec-spooropsies vlag alles
  5. Ken die spoor toe aan 'n koppelvlak. [wysig] crypto-officer@gasheernaam:fips# stel sekuriteit macsec-koppelvlakke koppelvlaknaam-spooropsies file mka_xe grootte 1g crypto-officer@gasheernaam:fips# stel sekuriteit macsec-koppelvlakke koppelvlak-naam spooropsies vlag alles
  6. Stel die MACsec-sekuriteitsmodus op as statiese koek vir die verbindingsassosiasie.
    [wysig] crypto-officer@hostname:fips# stel sekuriteit macsec connectivity-association CA1 securitymode static-cak
  7. Stel die MKA-sleutelbedienerprioriteit. [wysig] crypto-officer@gasheernaam:fips# stel sekuriteit macsec-verbinding-assosiasie CA1 mka sleutel bediener-prioriteit 1
  8. Stel die MKA-sendinterval in.
    [wysig] crypto-officer@gasheernaam:fips# stel sekuriteit macsec-verbinding-assosiasie CA1 mka transmitinterval 3000
  9. Aktiveer die MKA veilig.
    [wysig] crypto-officer@hostname:fips# stel sekuriteit macsec connectivity-association CA1 include-sci
  10. Ken die verbindingsassosiasie aan 'n koppelvlak toe.
    [wysig] crypto-officer@gasheernaam:fips# stel sekuriteit macsec-koppelvlakke koppelvlak-naam konneksieassosiasie
    CA1
  11. Konfigureer VLAN taggegaan.
    [wysig] crypto-officer@gasheernaam:fips# stel koppelvlakke koppelvlak-naam1 buigsame-vlan-tagging
    crypto-officer@gasheernaam:fips# stel koppelvlakke koppelvlak-naam1 inkapseling buigsame Ethernet-dienste
    kripto-beampte@gasheernaam:fips#
    stel koppelvlakke koppelvlak-naam1 eenheid 100 encapsulation vlanbridge
    kripto-beampte@gasheernaam:fips#
    stel koppelvlakke koppelvlak-naam1 eenheid 100 vlan-id 100
    kripto-beampte@gasheernaam:fips# stel koppelvlakke koppelvlak-naam2 buigsame-vlan-tagging
    crypto-officer@gasheernaam:fips# stel koppelvlakke koppelvlak-naam2 inkapseling buigsame Ethernet-dienste
    kripto-beampte@gasheernaam:fips#
    stel koppelvlakke koppelvlak-naam2 eenheid 100 encapsulation vlanbridge
    kripto-beampte@gasheernaam:fips#
    stel koppelvlakke koppelvlak-naam2 eenheid 100 vlan-id 100
  12. Stel brugdomein op.
    [wysig] crypto-officer@gasheernaam:fips# stel brug-domeine BD-110 domein-tipe brug
    kripto-beampte@gasheernaam:fips# stel brugdomeine BD-110 vlan-id 100
    kripto-beampte@gasheernaam:fips# stel brugdomeine BD-110-koppelvlak-koppelvlak-naam1 100
    kripto-beampte@gasheernaam:fips# stel brugdomeine BD-110-koppelvlak-koppelvlak-naam2 100

In R1:

  1. Skep die geheime wagwoord om te gebruik. Dit is 'n string heksadesimale syfers tot 64 karakters lank. Die
    wagwoord kan spasies insluit as die karakterstring tussen aanhalingstekens ingesluit is. Die sleutelhanger s'n
    geheime-data word as 'n CAK gebruik.
    [wysig] crypto-officer@hostname:fips# prompt sekuriteitstawing-sleutelkettings sleutelketting macseckc1 sleutel 0 geheim
    Nuwe koek
    (geheim):
    Tik nuwe koek oor
    (geheim):
    Byvoorbeeldample, die geheime sleutelwaarde is
    2345678922334455667788992223334123456789223344556677889922233341.
  2. Assosieer die voorafgedeelde sleutelhouernaam met die verbindingsassosiasie.
    [wysig] crypto-officer@gasheernaam:fips# stel sekuriteit macsec-verbinding-assosiasie CA1 vooraf-gedeelde sleutelketting
    macsec-kc1 crypto-officer@gasheernaam:fips#
    stel sekuriteit macsec-verbinding-assosiasie CA1 offset 50
    crypto-officer@gasheernaam:fips# stel sekuriteit macsec-verbinding-assosiasie CA1 cipher-suite gcm-aes-256
  3. Stel die spoor opsie waardes.
    [wysig] crypto-officer@gasheernaam:fips# stel sekuriteit macsec-spooropsies file MACsec.log
    crypto-officer@gasheernaam:fips# stel sekuriteit macsec-spooropsies in file grootte 4000000000
    crypto-officer@gasheernaam:fips# stel sekuriteit macsec-spooropsies vlag almal
  4. Ken die spoor toe aan 'n koppelvlak.
    [wysig] crypto-officer@gasheernaam:fips# stel sekuriteit macsec-koppelvlakke koppelvlaknaam-spooropsies file mka_xe grootte 1g
    crypto-officer@gasheernaam:fips# stel sekuriteit macsec-koppelvlakke koppelvlak-naam-spooropsies
    vlag almal
  5. Stel die MACsec-sekuriteitsmodus op as statiese koek vir die verbindingsassosiasie.
    [wysig] crypto-officer@gasheernaam:fips# stel sekuriteit macsec-verbinding-assosiasie CA1 sekuriteitsmodus
    statiese-koek
  6. Stel die MKA-sleutelbedienerprioriteit.
    [wysig] crypto-officer@gasheernaam:fips# stel sekuriteit macsec-verbinding-assosiasie CA1 mka sleutel bediener-prioriteit 1
  7. Stel die MKA-sendinterval in.
    [wysig] crypto-officer@gasheernaam:fips# stel sekuriteit macsec-verbinding-assosiasie CA1 mka-sendinterval
    3000
  8. Aktiveer die MKA veilig.
    [wysig] crypto-officer@hostname:fips# stel sekuriteit macsec connectivity-association CA1 include-sci
  9. Ken die verbindingsassosiasie aan 'n koppelvlak toe.
    [wysig] crypto-officer@gasheernaam:fips# stel sekuriteit macsec-koppelvlakke koppelvlak-naam verbindingsassosiasie CA1
  10. Konfigureer VLAN taggegaan.
    [wysig] crypto-officer@gasheernaam:fips# stel koppelvlakke koppelvlak-naam1 buigsame-vlan-tagging
    crypto-officer@gasheernaam:fips# stel koppelvlakke koppelvlak-naam1 inkapseling buigsame Ethernet-dienste
    crypto-officer@gasheernaam:fips# stel koppelvlakke koppelvlak-naam1 eenheid 100 encapsulation vlanbridge
    kripto-beampte@gasheernaam:fips#
    stel koppelvlakke koppelvlak-naam1 eenheid 100 vlan-id 100
    kripto-beampte@gasheernaam:fips# stel koppelvlakke koppelvlak-naam2 buigsame-vlan-tagging
    crypto-officer@gasheernaam:fips# stel koppelvlakke koppelvlak-naam2 inkapseling buigsame Ethernet-dienste
    kripto-beampte@gasheernaam:fips#
    stel koppelvlakke koppelvlak-naam2 eenheid 100 encapsulation vlanbridge
    kripto-beampte@gasheernaam:fips#
    stel koppelvlakke koppelvlak-naam2 eenheid 100 vlan-id 100
  11. Stel brugdomein op.
    [wysig] crypto-officer@gasheernaam:fips# stel brug-domeine BD-110 domein-tipe brug
    kripto-beampte@gasheernaam:fips# stel brugdomeine BD-110 vlan-id 100
    kripto-beampte@gasheernaam:fips# stel brugdomeine BD-110-koppelvlak-koppelvlak-naam1 100
    kripto-beampte@gasheernaam:fips# stel brugdomeine BD-110-koppelvlak-koppelvlak-naam2 100

Konfigureer MACsec met sleutelhanger vir Laag 2 Traffic

Om MACsec op te stel met sleutelhanger vir ICMP-verkeer tussen toestel R0 en toestel R1:
In R0:

  1. Ken 'n toleransiewaarde aan die verifikasiesleutelketting toe.
    [wysig] crypto-officer@gasheernaam:fips# stel sekuriteitstawing-sleutelkettings sleutelketting macsec-kc1 toleransie 20
  2. Skep die geheime wagwoord om te gebruik. Dit is 'n string heksadesimale syfers tot 64 karakters lank. Die wagwoord kan spasies insluit as die karakterstring tussen aanhalingstekens ingesluit is. Die sleutelhanger se geheime data word as 'n CAK gebruik.
    [wysig] crypto-officer@hostname:fips# stel sekuriteitstawing-sleutelkettings sleutelketting macsec-kc1
    sleutel 0 sleutelnaam 2345678922334455667788992223334445556667778889992222333344445551
    crypto-officer@gasheernaam:fips# stel sekuriteitstawing-sleutelkettings sleutelketting macsec-kc1
    sleutel 0 begintyd 2018-03-20.20:35
    crypto-officer@gasheernaam:fips# stel sekuriteitstawing-sleutelkettings sleutelketting macsec-kc1
    sleutel 1 sleutelnaam 2345678922334455667788992223334445556667778889992222333344445552
    crypto-officer@gasheernaam:fips# stel sekuriteitstawing-sleutelkettings sleutelketting macsec-kc1
    sleutel 1 begintyd 2018-03-20.20:37
    crypto-officer@gasheernaam:fips# stel sekuriteitstawing-sleutelkettings sleutelketting macsec-kc1
    sleutel 2 sleutelnaam 2345678922334455667788992223334445556667778889992222333344445553
    crypto-officer@gasheernaam:fips# stel sekuriteitstawing-sleutelkettings sleutelketting macsec-kc1
    sleutel 2 begintyd 2018-03-20.20:39
    crypto-officer@gasheernaam:fips# stel sekuriteitstawing-sleutelkettings sleutelketting macsec-kc1
    sleutel 3 sleutelnaam 2345678922334455667788992223334445556667778889992222333344445554
    crypto-officer@gasheernaam:fips# stel sekuriteitstawing-sleutelkettings sleutelketting macsec-kc1
    sleutel 3 begintyd 2018-03-20.20:41
    crypto-officer@gasheernaam:fips# stel sekuriteitstawing-sleutelkettings sleutelketting macsec-kc1
    sleutel 4 sleutelnaam 2345678922334455667788992223334445556667778889992222333344445555
    crypto-officer@gasheernaam:fips# stel sekuriteitstawing-sleutelkettings sleutelketting macsec-kc1
    sleutel 4 begintyd 2018-03-20.20:43
    crypto-officer@gasheernaam:fips# stel sekuriteitstawing-sleutelkettings sleutelketting macsec-kc1
    sleutel 5 sleutelnaam 2345678922334455667788992223334445556667778889992222333344445556
    crypto-officer@gasheernaam:fips# stel sekuriteitstawing-sleutelkettings sleutelketting macsec-kc1
    sleutel 5 begintyd 2018-03-20.20:45
    crypto-officer@gasheernaam:fips# stel sekuriteitstawing-sleutelkettings sleutelketting macsec-kc1
    sleutel 6 sleutelnaam 2345678922334455667788992223334445556667778889992222333344445557
    crypto-officer@gasheernaam:fips# stel sekuriteitstawing-sleutelkettings sleutelketting macsec-kc1
    sleutel 6 begintyd 2018-03-20.20:47
    crypto-officer@gasheernaam:fips# stel sekuriteitstawing-sleutelkettings sleutelketting macsec-kc1
    sleutel 7 sleutelnaam 2345678922334455667788992223334445556667778889992222333344445558
    crypto-officer@gasheernaam:fips# stel sekuriteitstawing-sleutelkettings sleutelketting macsec-kc1
    sleutel 7 begintyd 2018-03-20.20:49
    Gebruik die prompt-opdrag om 'n geheime sleutelwaarde in te voer. Byvoorbeeldample, die geheime sleutelwaarde is
    2345678922334455667788992223334123456789223344556677889922233341.
    [wysig] crypto-officer@hostname:fips# prompt sekuriteitstawing-sleutelkettings sleutelketting macseckc1 sleutel 0 geheim
    Nuwe koek
    (geheim):
    Tik nuwe koek oor
    (geheim):
    kripto-beampte@gasheernaam:fips#
    vinnige sekuriteitstawing-sleutelkettings sleutelketting macseckc1 sleutel 1 geheim
    Nuwe koek
    (geheim):
    Tik nuwe koek oor
    (geheim):
    crypto-officer@gasheernaam:fips# vinnige sekuriteitstawing-sleutelkettings sleutelketting macseckc1 sleutel 2 geheim
    Nuwe koek
    (geheim):
    Tik nuwe koek oor
    (geheim):
    kripto-beampte@gasheernaam:fips#
    vinnige sekuriteitstawing-sleutelkettings sleutelketting macseckc1 sleutel 3 geheim
    Nuwe koek
    (geheim):
    Tik nuwe koek oor
    (geheim):
    kripto-beampte@gasheernaam:fips#
    vinnige sekuriteitstawing-sleutelkettings sleutelketting macseckc1 sleutel 4 geheim
    Nuwe koek
    (geheim):
    Tik nuwe koek oor
    (geheim):
    kripto-beampte@gasheernaam:fips#
    vinnige sekuriteitstawing-sleutelkettings sleutelketting macseckc1 sleutel 5 geheim
    Nuwe koek
    (geheim):
    Tik nuwe koek oor
    (geheim):
    kripto-beampte@gasheernaam:fips#
    vinnige sekuriteitstawing-sleutelkettings sleutelketting macseckc1 sleutel 6 geheim
    Nuwe koek
    (geheim):
    Tik nuwe koek oor
    (geheim):
    kripto-beampte@gasheernaam:fips#
    vinnige sekuriteitstawing-sleutelkettings sleutelketting macseckc1 sleutel 7 geheim
    Nuwe koek
    (geheim):
    Tik nuwe koek oor
    (geheim):
  3. Assosieer die voorafgedeelde sleutelhouernaam met die verbindingsassosiasie.
    [wysig] crypto-officer@gasheernaam:fips# stel sekuriteit macsec-verbinding-assosiasie CA1 vooraf-gedeelde sleutelketting
    macsec-kc1
    kripto-beampte@gasheernaam:fips#
    stel sekuriteit macsec-verbinding-assosiasie CA1-syfer-suite
    gcm-aes-256
  4. Stel die spoor opsie waardes.
    [wysig] crypto-officer@gasheernaam:fips# stel sekuriteit macsec-spooropsies file MACsec.log
    crypto-officer@gasheernaam:fips# stel sekuriteit macsec-spooropsies in file grootte 4000000000
    crypto-officer@gasheernaam:fips# stel sekuriteit macsec-spooropsies vlag almal
  5.  Ken die spoor toe aan 'n koppelvlak.
    [wysig] crypto-officer@gasheernaam:fips# stel sekuriteit macsec-koppelvlakke koppelvlaknaam-spooropsies
    file mka_xe grootte 1g
    crypto-officer@gasheernaam:fips# stel sekuriteit macsec-koppelvlakke koppelvlak-naam-spooropsies
    vlag almal
  6. Stel die MACsec-sekuriteitsmodus op as statiese koek vir die verbindingsassosiasie.
    [wysig] crypto-officer@gasheernaam:fips# stel sekuriteit macsec-verbinding-assosiasie CA1 sekuriteitsmodus
    statiese-koek
  7. Stel die MKA-sleutelbedienerprioriteit.
    [wysig] crypto-officer@gasheernaam:fips# stel sekuriteit macsec-verbinding-assosiasie CA1 mka sleutel bediener-prioriteit 1
  8. Stel die MKA-sendinterval in.
    [wysig] crypto-officer@gasheernaam:fips# stel sekuriteit macsec-verbinding-assosiasie CA1 mka-sendinterval
    3000
  9. Aktiveer die MKA veilig.
    [wysig] crypto-officer@hostname:fips# stel sekuriteit macsec connectivity-association CA1 include-sci
  10. Ken die verbindingsassosiasie aan 'n koppelvlak toe.
    [wysig] crypto-officer@gasheernaam:fips# stel sekuriteit macsec-koppelvlakke koppelvlak-naam konneksieassosiasie
    CA1
  11. Konfigureer VLAN taggegaan.
    [wysig] crypto-officer@gasheernaam:fips# stel koppelvlakke koppelvlak-naam1 buigsame-vlan-tagging
    kripto-beampte@gasheernaam:fips# stel koppelvlakke koppelvlak-naam1 inkapseling buigsame eternetdienste
    kripto-beampte@gasheernaam:fips#
    stel koppelvlakke koppelvlak-naam1 eenheid 100 encapsulation vlanbridge
    kripto-beampte@gasheernaam:fips#
    stel koppelvlakke koppelvlak-naam1 eenheid 100 vlan-id 100
    kripto-beampte@gasheernaam:fips# stel koppelvlakke koppelvlak-naam2 buigsame-vlan-tagging
    kripto-beampte@gasheernaam:fips# stel koppelvlakke koppelvlak-naam2 inkapseling buigsame eternetdienste
    kripto-beampte@gasheernaam:fips#
    stel koppelvlakke koppelvlak-naam2 eenheid 100 encapsulation vlanbridge
    kripto-beampte@gasheernaam:fips#
    stel koppelvlakke koppelvlak-naam2 eenheid 100 vlan-id 100
  12.  Stel brugdomein op.
    [wysig] crypto-officer@gasheernaam:fips# stel brug-domeine BD-110 domein-tipe brug
    kripto-beampte@gasheernaam:fips# stel brugdomeine BD-110 vlan-id 100
    kripto-beampte@gasheernaam:fips# stel brugdomeine BD-110-koppelvlak-koppelvlak-naam1 100
    kripto-beampte@gasheernaam:fips# stel brugdomeine BD-110-koppelvlak-koppelvlak-naam2 100

In R1:

  1. Ken 'n toleransiewaarde aan die verifikasiesleutelketting toe.
    [wysig] crypto-officer@gasheernaam:fips# stel sekuriteitstawing-sleutelkettings sleutelketting macsec-kc1 toleransie 20
  2. Skep die geheime wagwoord om te gebruik. Dit is 'n string heksadesimale syfers tot 64 karakters lank. Die wagwoord kan spasies insluit as die karakterstring tussen aanhalingstekens ingesluit is. Die sleutelhanger se geheime data word as 'n CAK gebruik.
    [wysig] crypto-officer@hostname:fips# stel sekuriteitstawing-sleutelkettings sleutelketting macsec-kc1
    sleutel 0 sleutelnaam 2345678922334455667788992223334445556667778889992222333344445551
    crypto-officer@gasheernaam:fips# stel sekuriteitstawing-sleutelkettings sleutelketting macsec-kc1
    sleutel 0 begintyd 2018-03-20.20:35
    crypto-officer@gasheernaam:fips# stel sekuriteitstawing-sleutelkettings sleutelketting macsec-kc1
    sleutel 1 sleutelnaam 2345678922334455667788992223334445556667778889992222333344445552
    crypto-officer@gasheernaam:fips# stel sekuriteitstawing-sleutelkettings sleutelketting macsec-kc1
    sleutel 1 begintyd 2018-03-20.20:37
    crypto-officer@gasheernaam:fips# stel sekuriteitstawing-sleutelkettings sleutelketting macsec-kc1
    sleutel 2 sleutelnaam 2345678922334455667788992223334445556667778889992222333344445553
    crypto-officer@gasheernaam:fips# stel sekuriteitstawing-sleutelkettings sleutelketting macsec-kc1
    sleutel 2 begintyd 2018-03-20.20:39
    crypto-officer@gasheernaam:fips# stel sekuriteitstawing-sleutelkettings sleutelketting macsec-kc1
    sleutel 3 sleutelnaam 2345678922334455667788992223334445556667778889992222333344445554
    crypto-officer@gasheernaam:fips# stel sekuriteitstawing-sleutelkettings sleutelketting macsec-kc1
    sleutel 3 begintyd 2018-03-20.20:41
    crypto-officer@gasheernaam:fips# stel sekuriteitstawing-sleutelkettings sleutelketting macsec-kc1
    sleutel 4 sleutelnaam 2345678922334455667788992223334445556667778889992222333344445555
    crypto-officer@gasheernaam:fips# stel sekuriteitstawing-sleutelkettings sleutelketting macsec-kc1
    sleutel 4 begintyd 2018-03-20.20:43
    crypto-officer@gasheernaam:fips# stel sekuriteitstawing-sleutelkettings sleutelketting macsec-kc1
    sleutel 5 sleutelnaam 2345678922334455667788992223334445556667778889992222333344445556
    crypto-officer@gasheernaam:fips# stel sekuriteitstawing-sleutelkettings sleutelketting macsec-kc1
    sleutel 5 begintyd 2018-03-20.20:45
    crypto-officer@gasheernaam:fips# stel sekuriteitstawing-sleutelkettings sleutelketting macsec-kc1
    sleutel 6 sleutelnaam 2345678922334455667788992223334445556667778889992222333344445557
    crypto-officer@gasheernaam:fips# stel sekuriteitstawing-sleutelkettings sleutelketting macsec-kc1
    sleutel 6 begintyd 2018-03-20.20:47
    crypto-officer@gasheernaam:fips# stel sekuriteitstawing-sleutelkettings sleutelketting macsec-kc1
    sleutel 7 sleutelnaam 2345678922334455667788992223334445556667778889992222333344445558
    crypto-officer@gasheernaam:fips# stel sekuriteitstawing-sleutelkettings sleutelketting macsec-kc1
    sleutel 7 begintyd 2018-03-20.20:49
    Gebruik die prompt-opdrag om 'n geheime sleutelwaarde in te voer. Byvoorbeeldample, die geheime sleutelwaarde is
    2345678922334455667788992223334123456789223344556677889922233341.
    [wysig] crypto-officer@hostname:fips# prompt sekuriteitstawing-sleutelkettings sleutelketting macseckc1 sleutel 0 geheim
    Nuwe koek
    (geheim):
    Tik nuwe koek oor
    (geheim):
    kripto-beampte@gasheernaam:fips#
    vinnige sekuriteitstawing-sleutelkettings sleutelketting macseckc1 sleutel 1 geheim
    Nuwe koek
    (geheim):
    Tik nuwe koek oor (geheim):
    crypto-officer@gasheernaam:fips# vinnige sekuriteitstawing-sleutelkettings sleutelketting macseckc1 sleutel 2 geheim
    Nuwe koek
    (geheim):
    Tik nuwe koek oor
    (geheim):
    kripto-beampte@gasheernaam:fips#
    vinnige sekuriteitstawing-sleutelkettings sleutelketting macseckc1 sleutel 3 geheim
    Nuwe koek
    (geheim):
    Tik nuwe koek oor
    (geheim):
    kripto-beampte@gasheernaam:fips#
    vinnige sekuriteitstawing-sleutelkettings sleutelketting macseckc1 sleutel 4 geheim
    Nuwe koek
    (geheim):
    Tik nuwe koek oor
    (geheim):
    kripto-beampte@gasheernaam:fips#
    vinnige sekuriteitstawing-sleutelkettings sleutelketting macseckc1 sleutel 5 geheim
    Nuwe koek
    (geheim):
    Tik nuwe koek oor
    (geheim):
    kripto-beampte@gasheernaam:fips#
    vinnige sekuriteitstawing-sleutelkettings sleutelketting macseckc1 sleutel 6 geheim
    Nuwe koek
    (geheim):
    Tik nuwe koek oor
    (geheim):
    kripto-beampte@gasheernaam:fips#
    vinnige sekuriteitstawing-sleutelkettings sleutelketting macseckc1 sleutel 7 geheim
    Nuwe koek
    (geheim):
    Tik nuwe koek oor (geheim):
  3. Assosieer die voorafgedeelde sleutelhouernaam met die verbindingsassosiasie.
    [wysig] crypto-officer@gasheernaam:fips# stel sekuriteit macsec-verbinding-assosiasie CA1 vooraf-gedeelde sleutelketting
    macsec-kc1
    kripto-beampte@gasheernaam:fips#
    stel sekuriteit macsec-verbinding-assosiasie CA1-syfer-suite
    gcm-aes-256
  4. Stel die spoor opsie waardes.
    [wysig] crypto-officer@gasheernaam:fips# stel sekuriteit macsec-spooropsies file MACsec.log
    crypto-officer@gasheernaam:fips# stel sekuriteit macsec-spooropsies in file grootte 4000000000
    crypto-officer@gasheernaam:fips# stel sekuriteit macsec-spooropsies vlag almal
  5. Ken die spoor toe aan 'n koppelvlak.
    [wysig] crypto-officer@gasheernaam:fips# stel sekuriteit macsec-koppelvlakke koppelvlaknaam-spooropsies
    file mka_xe grootte 1g
    crypto-officer@gasheernaam:fips# stel sekuriteit macsec-koppelvlakke koppelvlak-naam-spooropsies
    vlag almal
  6. Stel die MACsec-sekuriteitsmodus op as statiese koek vir die verbindingsassosiasie.
    [wysig] crypto-officer@gasheernaam:fips# stel sekuriteit macsec-verbinding-assosiasie CA1 sekuriteitsmodus
    statiese-koek
  7. Stel die MKA-sleutelbedienerprioriteit.
    [wysig] crypto-officer@gasheernaam:fips# stel sekuriteit macsec-verbinding-assosiasie CA1 mka sleutelbediener-prioriteit
  8. Stel die MKA-sendinterval in.
    [wysig] crypto-officer@gasheernaam:fips# stel sekuriteit macsec-verbinding-assosiasie CA1 mka-sendinterval
    3000
  9. Aktiveer die MKA veilig.
    [wysig] crypto-officer@hostname:fips# stel sekuriteit macsec connectivity-association CA1 include-sci
  10. Ken die verbindingsassosiasie aan 'n koppelvlak toe.
    [wysig] crypto-officer@gasheernaam:fips# stel sekuriteit macsec-koppelvlakke koppelvlak-naam konneksieassosiasie
    CA1
  11. Konfigureer VLAN taggegaan.
    [wysig] crypto-officer@gasheernaam:fips# stel koppelvlakke koppelvlak-naam1 buigsame-vlan-tagging
    kripto-beampte@gasheernaam:fips# stel koppelvlakke koppelvlak-naam1 inkapseling buigsame eternetdienste
    kripto-beampte@gasheernaam:fips#
    stel koppelvlakke koppelvlak-naam1 eenheid 100 encapsulation vlanbridge
    kripto-beampte@gasheernaam:fips#
    stel koppelvlakke koppelvlak-naam1 eenheid 100 vlan-id 100
    kripto-beampte@gasheernaam:fips# stel koppelvlakke koppelvlak-naam2 buigsame-vlan-tagging
    crypto-officer@gasheernaam:fips# stel koppelvlakke koppelvlak-naam2 inkapseling buigsame Ethernet-dienste
    kripto-beampte@gasheernaam:fips#
    stel koppelvlakke koppelvlak-naam2 eenheid 100 encapsulation vlanbridge
    kripto-beampte@gasheernaam:fips#
    stel koppelvlakke koppelvlak-naam2 eenheid 100 vlan-id 100
  12. Stel brugdomein op.
    [wysig] crypto-officer@gasheernaam:fips# stel brug-domeine BD-110 domein-tipe brug
    kripto-beampte@gasheernaam:fips# stel brugdomeine BD-110 vlan-id 100
    kripto-beampte@gasheernaam:fips# stel brugdomeine BD-110-koppelvlak-koppelvlak-naam1 100
    kripto-beampte@gasheernaam:fips# stel brugdomeine BD-110-koppelvlak-koppelvlak-naam2 100

Konfigureer gebeurtenislogboek

Gebeurtenis aantekenview
Die geëvalueerde konfigurasie vereis die ouditering van konfigurasieveranderinge deur die stelsellogboek.
Boonop kan Junos OS:

  • Stuur outomatiese antwoorde op ouditgebeurtenisse (skepping van syslog-inskrywing).
  • Laat gemagtigde bestuurders toe om ouditlogboeke te ondersoek.
  • Stuur oudit files na eksterne bedieners.
  • Laat gemagtigde bestuurders toe om die stelsel terug te keer na 'n bekende toestand.

Die aantekening vir die geëvalueerde konfigurasie moet die volgende gebeure vaslê:

  • Veranderinge aan geheime sleuteldata in die opstelling.
  • Toegewyde veranderinge.
  • Gebruikers aanmeld/uitmeld.
  • Stelsel opstart.
  • Versuim om 'n SSH-sessie te vestig.
  • Stigting/beëindiging van 'n SSH-sessie.
  • Veranderinge aan die (stelsel) tyd.
  • Beëindiging van 'n afstandsessie deur die sessie-sluitmeganisme.
  • Beëindiging van 'n interaktiewe sessie.

Daarbenewens beveel Juniper Networks aan om ook aan te meld:

  • Vang alle veranderinge aan die konfigurasie vas.
  • Stoor loginligting op afstand.

Konfigureer gebeurtenislogboek na 'n plaaslike File
U kan die berging van ouditinligting na 'n plaaslike instel file met die syslog-verklaring. Hierdie example stoor logs in 'n file genaamd oudit-File:
[wysig stelsel] syslog {
file oudit-File;
}
Interpreteer gebeurtenisboodskappe
Die volgende uitset wys asampdie gebeurtenisboodskap.
27 Feb 02:33:04 bm-a mgd[6520]: UI_LOGIN_EVENT: Gebruiker 'sekuriteitsbeampte'-aanmelding, klas 'j-superuser'
[6520],
ssh-verbinding ”, kliënt-modus
'cli'
27 Feb 02:33:49 bm-a mgd[6520]: UI_DBASE_LOGIN_EVENT: Gebruiker 'sekuriteitsbeampte' gaan opstelling in
modus
27 Feb 02:38:29 bm-a mgd[6520]: UI_CMDLINE_READ_LINE: Gebruiker 'sekuriteitsbeampte', opdrag 'run show
log
Ouditlogboek | grep LOGIN
Tabel 4 op bladsy 69 beskryf die velde vir 'n gebeurtenisboodskap. As die stelsellogprogram nie die waarde in 'n spesifieke veld kan bepaal nie, verskyn 'n koppelteken ( – ) in plaas daarvan.
Tabel 4: Velde in Gebeurtenisboodskappe

Veld Beskrywing Examples
tyeamp Tyd wanneer die boodskap gegenereer is, in een van twee voorstellings:
• MMM-DD UU:MM:SS.MS+/-UU:MM, is die maand, dag, uur, minuut, sekonde en millisekonde in plaaslike tyd. Die uur en minuut wat op die plusteken (+) of minusteken (-) volg, is die afwyking van die plaaslike tydsone vanaf Gekoördineerde Universele Tyd (UTC).
• JJJJ-MM-DDTH:MM:SS.MSZ is die jaar, maand, dag, uur, minuut, sekonde en millisekonde in UTC.		  27 Feb 02:33:04 is die tydsteamp uitgedruk as plaaslike tyd in die Verenigde State.

2012-02-27T03:17:15.713Z is

2:33 UTC op 27 Feb

2012.
gasheernaam Naam van die gasheer wat oorspronklik die boodskap gegenereer het.  roeteerder 1
proses Naam van die Junos OS-proses wat die boodskap gegenereer het.  mgd
prosesID UNIX-proses-ID (PID) van die Junos OS-proses wat die boodskap gegenereer het.  4153
TAG Junos OS-stelsellogboodskap tag, wat die boodskap uniek identifiseer.  UI_DBASE_LOGOUT_EVENT
gebruikernaam Gebruikersnaam van die gebruiker wat die gebeurtenis begin.  "admin"
boodskap-teks Engelstalige beskrywing van die geleentheid.  stel: [stelsel radius-bediener 1.2.3.4 geheim]

Teken veranderinge aan geheime data aan
Die volgende is examples van ouditlogboeke van gebeure wat die geheime data verander. Wanneer daar 'n verandering in die konfigurasie is, bvample, die syslog-gebeurtenis moet die onderstaande logs vasvang:
24 Jul 17:43:28 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: Gebruiker 'admin' stel:
[stelsel radius-bediener 1.2.3.4 geheim] 24 Jul 17:43:28 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: Gebruiker 'admin' stel:
[stelselaanmelding gebruiker admin stawing geïnkripteer-wagwoord] Jul 24 17:43:28 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: Gebruiker 'admin' stel:
[stelselaanmelding gebruiker admin2-verifikasie geïnkripteer-wagwoord] Elke keer as 'n konfigurasie opgedateer of verander word, moet die syslog hierdie logs vasvang:
24 Jul 18:29:09 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: Gebruiker 'admin' vervang:
[stelsel radius-bediener 1.2.3.4 geheim] 24 Jul 18:29:09 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: Gebruiker 'admin' vervang:
[stelselaanmelding gebruiker admin stawing geïnkripteer-wagwoord] 24 Jul 18:29:09 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: Gebruiker 'admin' vervang:
[stelselaanmelding gebruiker admin stawing geïnkripteer-wagwoord] Vir meer inligting oor die opstel van parameters en die bestuur van logboek files, sien die Junos OS-stelsel
Log Boodskappe Verwysing.
Teken in en uitteken gebeurtenisse met behulp van SSH
Stelsellogboodskappe word gegenereer wanneer 'n gebruiker suksesvol of onsuksesvol SSH-toegang probeer. Afmeldgebeurtenisse word ook aangeteken. Byvoorbeeldample, die volgende logs is die resultaat van twee mislukte stawingspogings, dan 'n suksesvolle een en uiteindelik 'n uitteken:
20 Des 23:17:35 bilbo sshd[16645]: Mislukte wagwoord vir op vanaf 172.17.58.45 poort 1673 ssh2
20 Des 23:17:42 bilbo sshd[16645]: Mislukte wagwoord vir op vanaf 172.17.58.45 poort 1673 ssh2
20 Des 23:17:53 bilbo sshd[16645]: Aanvaarde wagwoord vir op vanaf 172.17.58.45 poort 1673 ssh2
20 Des 23:17:53 bilbo mgd[16648]: UI_AUTH_EVENT: Gewaarmerkte gebruiker 'op' op toestemmingsvlak
'j-operateur'
20 Des 23:17:53 bilbo mgd[16648]: UI_LOGIN_EVENT: Gebruiker 'op'-aanmelding, klas 'j-operator' [16648] Des 20 23:17:56 bilbo mgd[16648]: UI_CMDLINE_READ'_LINE: Gebruiker 'op' opdrag 'stop'
20 Des 23:17:56 bilbo mgd[16648]: UI_LOGOUT_EVENT: Gebruiker 'op' afmeld
Aantekening van ouditbegin
Die ouditinligting wat aangeteken is, sluit opstart van Junos OS in. Dit identifiseer op sy beurt die opstartgebeure van die ouditstelsel, wat nie onafhanklik gedeaktiveer of geaktiveer kan word nie. Byvoorbeeldample, as Junos OS herbegin word, bevat die ouditlogboek die volgende inligting:
20 Des 23:17:35 bilbo syslogd: gaan uit op sein 14
20 Des 23:17:35 bilbo syslogd: herbegin
20 Des 23:17:35 bilbo syslogd /kernel: 20 Des 23:17:35 init: syslogd (PID 19128) verlaat met
status=1
20 Des 23:17:42 bilbo /kern:
20 Des 23:17:53 init: syslogd (PID 19200) het begin

Selftoetse op 'n toestel uit te voer

Verstaan ​​FIPS-selftoetse
Die kriptografiese module dwing sekuriteitsreëls af om te verseker dat die Juniper Networks Junos werk
stelsel (Junos OS) in FIPS-modus voldoen aan die sekuriteitsvereistes van FIPS 140-2 Vlak 1. Om die
uitvoer van kriptografiese algoritmes wat vir FIPS goedgekeur is en die integriteit van sommige stelselmodules toets,
die toestel voer die volgende reeks bekende antwoordtoets (KAT) selftoetse uit:

  • kernel_kats—KAT vir kern kriptografiese roetines
  • md_kats—KAT vir ledemaat en libc
  • openssl_kats—KAT vir OpenSSL kriptografiese implementering
  • quicksec_kats—KAT vir QuickSec Toolkit kriptografiese implementering
  •  ssh_ipsec_kats—KAT vir SSH IPsec Toolkit kriptografiese implementering
  • macsec_kats—KAT vir MACsec kriptografiese implementering

Die KAT-selftoetse word outomaties uitgevoer by opstart. Voorwaardelike selftoetse word ook outomaties uitgevoer om digitaal ondertekende sagtewarepakkette, gegenereerde ewekansige nommers, RSA- en ECDSA-sleutelpare en handmatig ingevoerde sleutels te verifieer.
As die KAT's suksesvol voltooi is, sal die stelsellogboek (syslog) file word opgedateer om die toetse wat uitgevoer is, te vertoon.
As daar KAT-fout is, skryf die toestel die besonderhede na 'n stelsellogboek file, gaan FIPS-fouttoestand in (paniek) en herlaai.
Die file show /var/log/messages-opdrag vertoon die stelsellogboek.
U kan ook FIPS-selftoets uitvoer deur die versoek vmhost-herlaai-opdrag uit te reik. U kan die FIPS-selftoetslogboeke op die konsole sien wanneer die stelsel aan die kom is.
Example: Stel FIPS-selftoetse op
Hierdie example wys hoe om FIPS-selftoetse op te stel om periodiek te loop.
Hardeware en sagteware vereistes

  • Jy moet administratiewe voorregte hê om FIPS-selftoetse op te stel.
  • Die toestel moet die geëvalueerde weergawe van Junos OS in FIPS-modus sagteware gebruik.

verbyview
Die FIPS-selftoets bestaan ​​uit die volgende reeks bekende antwoordtoetse (KAT's):

  • kernel_kats—KAT vir kern kriptografiese roetines
  • md_kats—KAT vir libmd en libc
  • quicksec_kats—KAT vir QuickSec Toolkit kriptografiese implementering
  • openssl_kats—KAT vir OpenSSL kriptografiese implementering
  • ssh_ipsec_kats—KAT vir SSH IPsec Toolkit kriptografiese implementering
  • macsec_kats—KAT vir MACsec kriptografiese implementering
    In hierdie example, die FIPS-selftoets word elke Woensdag om 9:00 in New York Stad, VSA, uitgevoer.

LET WEL: In plaas van weeklikse toetse, kan jy maandelikse toetse opstel deur die maand- en dag-van-maand-state in te sluit.
Wanneer 'n KAT-selftoets misluk, word 'n logboodskap na die stelsellogboodskappe geskryf file met besonderhede van die toetsmislukking. Dan raak die stelsel paniekerig en herlaai.
CLI vinnige konfigurasie
Om hierdie example, kopieer die volgende opdragte, plak dit in 'n teks file, verwyder enige reëlbreuke, verander enige besonderhede wat nodig is om by jou netwerkopstelling te pas, en kopieer en plak dan die opdragte in die CLI op die [wysig] hiërargievlak.
stel stelsel fips selftoets periodieke begin-tyd 09:00
stel stelsel fips selftoets periodieke dag-van-week 3
Stap-vir-stap prosedure
Om die FIPS-selftoets op te stel, meld aan by die toestel met kripto-beampte geloofsbriewe:

  1. Stel die FIPS-selftoets op om elke Woensdag om 9:00 uit te voer.
    [wysig stelsel fips selftoets] crypto-officer@gasheernaam:fips# stel periodieke begintyd 09:00
    crypto-officer@hostname:fips# stel periodieke dag-van-week 3
  2. As jy klaar is met die konfigurasie van die toestel, verbind die konfigurasie.
    [wysig stelsel fips selftoets] crypto-officer@hostname:fips# commit

Resultate
Bevestig jou konfigurasie vanuit die konfigurasiemodus deur die wys stelselopdrag uit te reik. As die afvoer nie die beoogde konfigurasie vertoon nie, herhaal die instruksies in hierdie bvample om die konfigurasie reg te stel.
crypto-officer@gasheernaam:fips# wys stelsel
fips {
selftoets {
periodiek {
begintyd "09:00";
dag-van-week 3;
}
}
}

Verifikasie

Bevestig dat die konfigurasie behoorlik werk.
Verifieer die FIPS-selftoets

Doel
Verifieer dat die FIPS-selftoets geaktiveer is.
Aksie
Voer die FIPS-selftoets met die hand uit deur die versoekstelsel-fips-selftoetsopdrag uit te reik of die toestel te herlaai.
Nadat u die versoekstelselfips-selftoetsopdrag uitgereik het of die toestel herlaai, die stelsellogboek file word opgedateer om die KAT's wat uitgevoer word, te vertoon. Om view die stelsel log file, uitreik die file wys /var/log/ messages opdrag.
gebruiker@gasheer# file wys /var/log/boodskappe
RE KATS:
mgd: Voer FIPS-selftoetse uit
mgd: Toets kern KATS:
mgd: NIST 800-90 HMAC DRBG Bekende antwoordtoets: geslaag
mgd: DES3-CBC Bekende Antwoord Toets: Slaag
mgd: HMAC-SHA1 Bekende antwoordtoets: geslaag
mgd: HMAC-SHA2-256 Bekende antwoordtoets: geslaag
mgd: SHA-2-384 Bekende antwoordtoets: geslaag
mgd: SHA-2-512 Bekende antwoordtoets: geslaag
mgd: AES128-CMAC Bekende antwoordtoets: geslaag
mgd: AES-CBC Bekende Antwoord Toets: Slaag
mgd: Toets MACSec KATS:
mgd: AES128-CMAC Bekende antwoordtoets: geslaag
mgd: AES256-CMAC Bekende antwoordtoets: geslaag
mgd: AES-ECB Bekende Antwoord Toets: Slaag
mgd: AES-KEYWRAP Bekende antwoordtoets: geslaag
mgd: KBKDF Bekende Antwoord Toets: Slaag
mgd: Toets libmd KATS:
mgd: HMAC-SHA1 Bekende antwoordtoets: geslaag
mgd: HMAC-SHA2-256 Bekende antwoordtoets: geslaag
mgd: SHA-2-512 Bekende antwoordtoets: geslaag
mgd: Toets OpenSSL KATS:
mgd: NIST 800-90 HMAC DRBG Bekende antwoordtoets: geslaag
mgd: FIPS ECDSA Known Answer Toets: geslaag
mgd: FIPS ECDH Bekende antwoordtoets: geslaag
mgd: FIPS RSA Known Answer Toets: geslaag
mgd: DES3-CBC Bekende Antwoord Toets: Slaag
mgd: HMAC-SHA1 Bekende antwoordtoets: geslaag
mgd: HMAC-SHA2-224 Bekende antwoordtoets: geslaag
mgd: HMAC-SHA2-256 Bekende antwoordtoets: geslaag
mgd: HMAC-SHA2-384 Bekende antwoordtoets: geslaag
mgd: HMAC-SHA2-512 Bekende antwoordtoets: geslaag
mgd: AES-CBC Bekende Antwoord Toets: Slaag
mgd: AES-GCM Bekende antwoordtoets: geslaag
mgd: ECDSA-TEKEN Bekende Antwoord Toets: Slaag
mgd: KDF-IKE-V1 Bekende antwoordtoets: geslaag
mgd: KDF-SSH-SHA256 Bekende antwoordtoets: geslaag
mgd: KAS-ECC-EPHEM-UNIFIED-NOKC Bekende antwoordtoets: geslaag
mgd: KAS-FFC-EPHEM-NOKC Bekende Antwoord Toets: Slaag
mgd: Toets QuickSec 7.0 KATS:
mgd: NIST 800-90 HMAC DRBG Bekende antwoordtoets: geslaag
mgd: DES3-CBC Bekende Antwoord Toets: Slaag
mgd: HMAC-SHA1 Bekende antwoordtoets: geslaag
mgd: HMAC-SHA2-224 Bekende antwoordtoets: geslaag
mgd: HMAC-SHA2-256 Bekende antwoordtoets: geslaag
mgd: HMAC-SHA2-384 Bekende antwoordtoets: geslaag
mgd: HMAC-SHA2-512 Bekende antwoordtoets: geslaag
mgd: AES-CBC Bekende Antwoord Toets: Slaag
mgd: AES-GCM Bekende antwoordtoets: geslaag
mgd: SSH-RSA-ENC Bekende antwoordtoets: geslaag
mgd: SSH-RSA-TEKEN Bekende Antwoord Toets: Slaag
mgd: SSH-ECDSA-TEKEN Bekende Antwoord Toets: Slaag
mgd: KDF-IKE-V1 Bekende antwoordtoets: geslaag
mgd: KDF-IKE-V2 Bekende antwoordtoets: geslaag
mgd: Toets QuickSec KATS:
mgd: NIST 800-90 HMAC DRBG Bekende antwoordtoets: geslaag
mgd: DES3-CBC Bekende Antwoord Toets: Slaag
mgd: HMAC-SHA1 Bekende antwoordtoets: geslaag
mgd: HMAC-SHA2-224 Bekende antwoordtoets: geslaag
mgd: HMAC-SHA2-256 Bekende antwoordtoets: geslaag
mgd: HMAC-SHA2-384 Bekende antwoordtoets: geslaag
mgd: HMAC-SHA2-512 Bekende antwoordtoets: geslaag
mgd: AES-CBC Bekende Antwoord Toets: Slaag
mgd: AES-GCM Bekende antwoordtoets: geslaag
mgd: SSH-RSA-ENC Bekende antwoordtoets: geslaag
mgd: SSH-RSA-TEKEN Bekende Antwoord Toets: Slaag
mgd: KDF-IKE-V1 Bekende antwoordtoets: geslaag
mgd: KDF-IKE-V2 Bekende antwoordtoets: geslaag
mgd: Toets SSH IPsec KATS:
mgd: NIST 800-90 HMAC DRBG Bekende antwoordtoets: geslaag
mgd: DES3-CBC Bekende Antwoord Toets: Slaag
mgd: HMAC-SHA1 Bekende antwoordtoets: geslaag
mgd: HMAC-SHA2-256 Bekende antwoordtoets: geslaag
mgd: AES-CBC Bekende Antwoord Toets: Slaag
mgd: SSH-RSA-ENC Bekende antwoordtoets: geslaag
mgd: SSH-RSA-TEKEN Bekende Antwoord Toets: Slaag
mgd: KDF-IKE-V1 Bekende antwoordtoets: geslaag
mgd: Toets file integriteit:
mgd: File integriteit Bekende Antwoord Toets: Slaag
mgd: Toets kripto-integriteit:
mgd: Krypto-integriteit Bekende antwoordtoets: geslaag
mgd: Verwag 'n exec AuthenticatiMAC/veriexec: geen vingerafdruk (file=/sbin/kats/cannot-exec
fsid=246 fileid=49356 gen=1 uid=0 pid=9384 ppid=9354 gppid=9352) op fout ...
mgd: /sbin/kats/run-tests: /sbin/kats/cannot-exec: Stawingsfout
mgd: FIPS Selftoetse geslaag
LC KATS:
12 Sep 10:50:44 netwerk_macsec_kats_input xe- /0/0:0:
no> pic:0 poort:0 chan:0 FIPS AES-256-GCM MACsec KATS-enkripsie geslaag
12 Sep 10:50:50 netwerk_macsec_kats_input xe- /0/1:0:
no> pic:0 poort:1 chan:0 FIPS AES-256-GCM MACsec KATS-enkripsie geslaag
12 Sep 10:50:55 netwerk_macsec_kats_input xe- /0/0:0:
no> pic:0 poort:0 chan:0 FIPS AES-256-GCM MACsec KATS-dekripsie geslaag
12 Sep 10:50:56 netwerk_macsec_kats_input xe- /0/2:0:
no> pic:0 poort:2 chan:0 FIPS AES-256-GCM MACsec KATS-enkripsie geslaag
12 Sep 10:51:01 netwerk_macsec_kats_input xe- /0/1:0:
no> pic:0 poort:1 chan:0 FIPS AES-256-GCM MACsec KATS-dekripsie geslaag
12 Sep 10:51:02 netwerk_macsec_kats_input xe- /0/2:0:
no> pic:0 poort:2 chan:0 FIPS AES-256-GCM MACsec KATS-dekripsie geslaag
12 Sep 10:51:06 netwerk_macsec_kats_input xe- /0/3:0:
no> pic:0 poort:3 chan:0 FIPS AES-256-GCM MACsec KATS-enkripsie geslaag
12 Sep 10:51:12 netwerk_macsec_kats_input xe- /0/3:0:
no> pic:0 poort:3 chan:0 FIPS AES-256-GCM MACsec KATS-dekripsie geslaag
12 Sep 10:51:17 netwerk_macsec_kats_input xe- /0/4:0:
no> pic:0 poort:4 chan:0 FIPS AES-256-GCM MACsec KATS-enkripsie geslaag
12 Sep 10:51:17 netwerk_macsec_kats_input xe- /0/4:0:
no> pic:0 poort:4 chan:0 FIPS AES-256-GCM MACsec KATS-dekripsie geslaag
12 Sep 10:51:26 netwerk_macsec_kats_input xe- /0/5:0:
no> pic:0 poort:5 chan:0 FIPS AES-256-GCM MACsec KATS-enkripsie geslaag
12 Sep 10:51:27 netwerk_macsec_kats_input xe- /0/5:0:
no> pic:0 poort:5 chan:0 FIPS AES-256-GCM MACsec KATS-dekripsie geslaag
12 Sep 10:51:36 netwerk_macsec_kats_input xe- /0/6:0:
no> pic:0 poort:6 chan:0 FIPS AES-256-GCM MACsec KATS-enkripsie geslaag
12 Sep 10:51:36 netwerk_macsec_kats_input xe- /0/6:0:
no> pic:0 poort:6 chan:0 FIPS AES-256-GCM MACsec KATS-dekripsie geslaag
12 Sep 10:51:44 netwerk_macsec_kats_input xe- /0/7:0:
no> pic:0 poort:7 chan:0 FIPS AES-256-GCM MACsec KATS-enkripsie geslaag
12 Sep 10:51:44 netwerk_macsec_kats_input xe- /0/7:0:
no> pic:0 poort:7 chan:0 FIPS AES-256-GCM MACsec KATS-dekripsie geslaag
12 Sep 10:51:51 netwerk_macsec_kats_input xe- /0/8:0:
no> pic:0 poort:8 chan:0 FIPS AES-256-GCM MACsec KATS-enkripsie geslaag
12 Sep 10:51:51 netwerk_macsec_kats_input xe- /0/8:0:
no> pic:0 poort:8 chan:0 FIPS AES-256-GCM MACsec KATS-dekripsie geslaag
12 Sep 10:51:58 netwerk_macsec_kats_input xe- /0/9:0:
no> pic:0 poort:9 chan:0 FIPS AES-256-GCM MACsec KATS-enkripsie geslaag
12 Sep 10:51:58 netwerk_macsec_kats_input xe- /0/9:0:
no> pic:0 poort:9 chan:0 FIPS AES-256-GCM MACsec KATS-dekripsie geslaag
12 Sep 10:52:05 netwerk_macsec_kats_input xe- /0/10:0:
Slot no> pic:0 poort:10 chan:0 FIPS AES-256-GCM MACsec KATS-enkripsie geslaag
12 Sep 10:52:05 netwerk_macsec_kats_input xe- /0/10:0:
Slot no> pic:0 poort:10 chan:0 FIPS AES-256-GCM MACsec KATS-dekripsie geslaag
12 Sep 10:52:12 netwerk_macsec_kats_input xe- /0/11:0:
Slot no> pic:0 poort:11 chan:0 FIPS AES-256-GCM MACsec KATS-enkripsie geslaag
12 Sep 10:52:12 netwerk_macsec_kats_input xe- /0/11:0:
Slot no> pic:0 poort:11 chan:0 FIPS AES-256-GCM MACsec KATS-dekripsie geslaag
12 Sep 10:52:20 netwerk_macsec_kats_input xe- /1/0:0:
no> pic:1 poort:0 chan:0 FIPS AES-256-GCM MACsec KATS-enkripsie geslaag
12 Sep 10:52:20 netwerk_macsec_kats_input xe- /1/0:0:
no> pic:1 poort:0 chan:0 FIPS AES-256-GCM MACsec KATS-dekripsie geslaag
12 Sep 10:52:27 netwerk_macsec_kats_input xe- /1/1:0:
no> pic:1 poort:1 chan:0 FIPS AES-256-GCM MACsec KATS-enkripsie geslaag
12 Sep 10:52:28 netwerk_macsec_kats_input xe- /1/1:0:
no> pic:1 poort:1 chan:0 FIPS AES-256-GCM MACsec KATS-dekripsie geslaag
12 Sep 10:52:34 netwerk_macsec_kats_input xe- /1/2:0:
no> pic:1 poort:2 chan:0 FIPS AES-256-GCM MACsec KATS-enkripsie geslaag
Betekenis
Die stelsel log file vertoon die datum en tyd waarop die KAT's uitgevoer is en hul status.

Operasionele bevele

Sintaksis
versoek stelsel nulstelling
Beskrywing
Vir RE1800, verwyder alle konfigurasie-inligting op die Routing Engines en stel alle sleutelwaardes terug. As die toestel dubbele roete-enjins het, word die opdrag na alle roete-enjins op die toestel uitgesaai. Die opdrag verwyder alle data  files, insluitend pasgemaakte konfigurasie en logboek files, deur die ontkoppeling van die files uit hul dopgehou. Die opdrag verwyder alle gebruiker-geskepte files van die stelsel insluitend alle gewone teks wagwoorde, geheime en private sleutels vir SSH, plaaslike enkripsie, plaaslike verifikasie, IPsec, RADIUS, TACACS+ en SNMP.
Hierdie opdrag herlaai die toestel en stel dit op die fabrieksverstekopstelling. Na die herlaai kan jy nie toegang tot die toestel kry deur die bestuur-Ethernet-koppelvlak nie. Meld aan deur die konsole as root en begin die Junos OS CLI deur cli by die prompt te tik.
Vereiste voorregvlak
onderhoud
versoek vmhost zeroize geen-aanstuur
Sintaksis
versoek vmhost zeroize geen-aanstuur
Beskrywing
Vir REMX2K-X8, verwyder alle konfigurasie-inligting op die Routing Engines en stel alle sleutelwaardes terug. As die toestel dubbele roete-enjins het, word die opdrag na beide roete-enjins op die toestel uitgesaai.
Die opdrag verwyder alle data files, insluitend pasgemaakte konfigurasie en logboek files, deur die ontkoppeling van die files uit hul dopgehou. Die opdrag verwyder alle gebruiker-geskepte files van die stelsel insluitend alle gewone teks wagwoorde, geheime en private sleutels vir SSH, plaaslike enkripsie, plaaslike verifikasie, IPsec, RADIUS, TACACS+ en SNMP.
Hierdie opdrag herlaai die toestel en stel dit op die fabrieksverstekkonfigurasie. Na die herlaai kan jy nie toegang tot die toestel kry deur die bestuur-Ethernet-koppelvlak nie. Meld deur die konsole aan as die wortelgebruiker en begin die Junos OS CLI deur cli by die prompt in te tik.
Sample Uitset
versoek vmhost zeroize geen-aanstuur
gebruiker@gasheer> versoek vmhost zeroize geen-aanstuur
VMHost Zeroization: Vee alle data uit, insluitend konfigurasie en logboek files ?
[ja, nee] (nee) ja
re0:
waarskuwing: Vmhost sal herlaai en mag nie sonder selflaai nie
konfigurasie
waarskuwing: Gaan voort met vmhost
nul te maak
Zeroise sekondêre interne skyf
Gaan voort met nulstelling op sekondêr
skyf
Monteer toestel ter voorbereiding vir
nulmaak...
Maak teikenskyf skoon vir nulstelling
Zeroize gedoen op teiken
skyf.
Nulisering van sekondêre skyf
voltooi
Zeroize primêre interne skyf
Gaan voort met nulstelling op primêre
skyf
/etc/ssh/ssh_host_ecdsa_key.pub
/etc/ssh/ssh_host_rsa_key
/etc/ssh/ssh_host_dsa_key.pub
/etc/ssh/ssh_host_rsa_key.pub
/etc/ssh/ssh_host_ecdsa_key
/etc/ssh/ssh_host_dsa_key
Monteer toestel ter voorbereiding vir
nulmaak...
Maak teikenskyf skoon vir nulstelling
Zeroize gedoen op teiken
skyf.
Nulstelling van primêre skyf
voltooi
Zeroize
gedoen
—(meer)— Stop
cron.
Wag vir PIDS:
6135.
.
16 Feb 14:59:33 jlaunchd: periodic-packet-services (PID 6181) beëindig sein 15 gestuur
16 Feb 14:59:33 jlaunchd: smg-diens (PID 6234) beëindig sein 15 gestuur
16 Feb 14:59:33 jlaunchd: toepassing-identifikasie (PID 6236) beëindig sein 15 gestuur
16 Feb 14:59:33 jlaunchd: ifstate-tracing-process (PID 6241) beëindig sein 15 gestuur
16 Feb 14:59:33 jlaunchd: hulpbronbestuur (PID 6243) beëindig sein 15 gestuur
16 Feb 14:59:33 jlaunchd: gelaai (PID 6246) beëindig sein 15 gestuur
16 Feb 14:59:33 jlaunchd: lisensiediens (PID 6255) beëindig sein 15 gestuur
16 Feb 14:59:33 jlaunchd: ntp (PID 6620) beëindig sein 15 gestuur
16 Feb 14:59:33 jlaunchd: gkd-onderstel (PID 6621) beëindig sein 15 gestuur
16 Feb 14:59:33 jlaunchd: gkd-lchassis (PID 6622) beëindig sein 15 gestuur
16 Feb 14:59:33 jlaunchd: roetering (PID 6625) beëindig sein 15 gestuur
16 Feb 14:59:33 jlaunchd: sonet-aps (PID 6626) beëindig sein 15 gestuur
16 Feb 14:59:33 jlaunchd: afstandbedrywighede (PID 6627) beëindig sein 15 gestuur
16 Feb 14:59:33 jlansering: diensklas
……..
99JUNIPER Logo

Dokumente / Hulpbronne

JUNIPER NETWERKE Junos OS FIPS-geëvalueerde toestelle [pdf] Gebruikersgids
Junos OS FIPS geëvalueerde toestelle, Junos OS, FIPS geëvalueerde toestelle, geëvalueerde toestelle, toestelle

Verwysings

Los 'n opmerking

Jou e-posadres sal nie gepubliseer word nie. Vereiste velde is gemerk *