JUNIPER NETWORKS Junos OS FIPS Qiymətləndirilmiş Cihazlar İstifadəçi Təlimatı

Mühəndislik Sadəliyi
Junos® ƏS
FIPS Qiymətləndirilmiş Konfiqurasiya Bələdçisi
MX960, MX480 və MX240 Cihazları

İçindəkilər gizlətmək

1 JUNIPER NETWORKS Junos OS FIPS Qiymətləndirilmiş Cihazlar

2 Bitdiview

3 İnzibati etimadnamələrin və imtiyazların konfiqurasiyası

4 Rolların və Doğrulama Metodlarının Konfiqurasiyası

5 SSH və Konsol Bağlantısının konfiqurasiyası

6 MACsec konfiqurasiya edilir

7 Layer 2 Traffic üçün açarlıq ilə MACsec konfiqurasiyası

8 Hadisə qeydinin konfiqurasiyası

9 Cihazda Öz-özünə Testlərin aparılması

10 Əməliyyat əmrləri

11 Sənədlər / Resurslar

11.1 İstinadlar

JUNIPER NETWORKS Junos OS FIPS Qiymətləndirilmiş Cihazlar

AZAD ET
20.3X75-D30

Juniper Networks, Inc.
1133 İnnovasiya Yolu
Sunnyvale, Kaliforniya 94089
ABŞ
408-745-2000
www.juniper.net
Juniper Networks, Juniper Networks loqosu, Juniper və Junos Juniper Networks, Inc-in qeydiyyatdan keçmiş ticarət nişanlarıdır.
ABŞ və digər ölkələrdə. Bütün digər ticarət nişanları, xidmət nişanları, qeydiyyatdan keçmiş nişanlar və ya qeydə alınmış xidmət nişanları müvafiq sahiblərinin mülkiyyətidir.
Juniper Networks bu sənəddəki hər hansı qeyri-dəqiqliyə görə heç bir məsuliyyət daşımır. Juniper Networks xəbərdarlıq etmədən bu nəşri dəyişdirmək, dəyişdirmək, köçürmək və ya başqa şəkildə nəzərdən keçirmək hüququnu özündə saxlayır.
MX960, MX480 və MX240 Cihazları 20.3X75-D30 üçün Junos® ƏS FIPS Qiymətləndirilmiş Konfiqurasiya Bələdçisi
Copyright © 2023 Juniper Networks, Inc. Bütün hüquqlar qorunur.
Bu sənəddəki məlumatlar başlıq səhifəsindəki tarixə aiddir.
İL 2000 XƏBƏRDARLIQ
Juniper Networks aparat və proqram məhsulları 2000-ci ilə uyğundur. Junos OS-də 2038-ci ilə qədər vaxtla bağlı məlum məhdudiyyətlər yoxdur. Bununla belə, NTP tətbiqinin 2036-cı ildə müəyyən çətinliklərlə üzləşəcəyi məlumdur.
SON İSTİFADƏÇİ LİSENZİYASI MÜQAVİLƏSİ
Bu texniki sənədlərin mövzusu olan Juniper Networks məhsulu Juniper Networks proqram təminatından ibarətdir (və ya onunla istifadə üçün nəzərdə tutulub). Bu cür proqram təminatının istifadəsi aşağıdakı ünvanda dərc edilmiş Son İstifadəçi Lisenziya Müqaviləsi (“EULA”) şərtlərinə tabedir. https://support.juniper.net/support/eula/. Bu cür proqramı yükləmək, quraşdırmaq və ya istifadə etməklə siz həmin EULA-nın şərtləri və şərtləri ilə razılaşırsınız.

Bu təlimat haqqında
MX960, MX480 və MX240 cihazlarını Federal İnformasiya Emalı Standartları (FIPS) 140-2 Səviyyə 1 mühitində idarə etmək üçün bu təlimatdan istifadə edin. FIPS 140-2 kriptoqrafik funksiyaları yerinə yetirən aparat və proqram təminatı üçün təhlükəsizlik səviyyələrini müəyyən edir.
ƏLAQƏLİ SƏNƏDLƏR
Ümumi meyarlar və FIPS sertifikatları

Bitdiview

FIPS rejimində Junos OS-ni başa düşmək
BU BÖLMƏDƏ

Dəstəklənən Platformalar və Avadanlıqlar | 2
Cihazınızdakı Kriptoqrafik Sərhəd Haqqında | 3
FIPS Modu qeyri-FIPS rejimindən necə fərqlənir | 3
FIPS rejimində Junos ƏS-nin Təsdiqlənmiş Versiyası | 3

Federal İnformasiya Emalı Standartları (FIPS) 140-2 kriptoqrafik funksiyaları yerinə yetirən aparat və proqram təminatı üçün təhlükəsizlik səviyyələrini müəyyən edir. Juniper Networks Junos əməliyyat sistemini (Junos OS) FIPS rejimində işləyən bu Juniper Networks marşrutlaşdırıcısı FIPS 140-2 Level 1 standartına uyğundur.
Bu marşrutlaşdırıcının FIPS 140-2 Səviyyə 1 mühitində işləməsi Junos OS komanda xətti interfeysindən (CLI) olan cihazlarda FIPS rejiminin aktivləşdirilməsini və konfiqurasiyasını tələb edir.
Crypto Officer Junos OS-də FIPS rejimini işə salır və sistem və digər FIPS istifadəçiləri üçün açarlar və parollar təyin edir.
Dəstəklənən Platformalar və Avadanlıqlar
Bu sənəddə təsvir edilən xüsusiyyətlər üçün FIPS sertifikatına uyğun olmaq üçün aşağıdakı platformalar istifadə olunur:

RE-S-960X480 və LC MPC240E-1800G ilə quraşdırılmış MX4, MX7 və MX10 cihazları (https://www.juniper.net/us/en/products/routers/mx-series/mx960-universal-routing-platform.html,
https://www.juniper.net/us/en/products/routers/mx-series/mx480-universal-routing-platform.html, və
https://www.juniper.net/us/en/products/routers/mx-series/mx240-universal-routing-platform.html).
RE-S-X960 və LC MPC480E-240G ilə quraşdırılmış MX6, MX7 və MX10 cihazları (https://www.juniper.net/us/en/products/routers/mx-series/mx960-universal-routing-platform.html, https://www.juniper.net/us/en/products/routers/mx-series/mx480-universal-routing-platform.html, və
https://www.juniper.net/us/en/products/routers/mx-series/mx240-universal-routing-platform.html).

Cihazınızdakı Kriptoqrafik Sərhəd Haqqında
FIPS 140-2 uyğunluğu cihazdakı hər kriptoqrafik modul ətrafında müəyyən edilmiş kriptoqrafik sərhəd tələb edir. FIPS rejimində Junos ƏS kriptoqrafik modulun FIPS sertifikatlı paylamanın bir hissəsi olmayan hər hansı proqram təminatının icrasına mane olur və yalnız FIPS tərəfindən təsdiqlənmiş kriptoqrafik alqoritmlərdən istifadə etməyə imkan verir. Parollar və açarlar kimi heç bir kritik təhlükəsizlik parametrləri (CSP) şifrələnməmiş formatda modulun kriptoqrafik sərhəddini keçə bilməz.
DİQQƏT: Virtual Şassi xüsusiyyətləri FIPS rejimində dəstəklənmir. FIPS rejimində Virtual Şassi konfiqurasiya etməyin.

FIPS rejimi qeyri-FIPS rejimindən necə fərqlənir
FIPS rejimində Junos ƏS FIPS rejimində olmayan Junos ƏS-dən aşağıdakı üsullarla fərqlənir:

Başlanğıcda bütün kriptoqrafik alqoritmlərin özünü sınağı aparılır.
Təsadüfi ədədlərin və açarların yaradılmasının özünü sınağı davamlı olaraq həyata keçirilir.
Data Encryption Standard (DES) və MD5 kimi zəif kriptoqrafik alqoritmlər qeyri-aktivdir.

Zəif və ya şifrələnməmiş idarəetmə əlaqələri konfiqurasiya edilməməlidir.
Parollar şifrənin açılmasına icazə verməyən güclü birtərəfli alqoritmlərlə şifrələnməlidir.
Administrator parolları ən azı 10 simvol uzunluğunda olmalıdır.

FIPS rejimində Junos ƏS-nin Təsdiqlənmiş Versiyası
Junos OS buraxılışının NIST tərəfindən təsdiq edilib-edilmədiyini müəyyən etmək üçün Juniper Networks-də uyğunluq məsləhətçisi səhifəsinə baxın. Web Sayt (https://apps.juniper.net/compliance/).
ƏLAQƏLİ SƏNƏDLƏR
Təhlükəsiz Məhsul Çatdırılmanın Müəyyənləşdirilməsi | 7

FIPS Terminologiyası və Dəstəklənən Kriptoqrafik Alqoritmləri Anlamaq
BU BÖLMƏDƏ
Terminologiya | 4
Dəstəklənən Kriptoqrafik Alqoritmlər | 5
FIPS rejimində Junos ƏS-ni başa düşməyə kömək etmək üçün FIPS terminlərinin təriflərindən və dəstəklənən alqoritmlərdən istifadə edin.

Terminologiya
Kritik təhlükəsizlik parametri (CSP)
Təhlükəsizliklə bağlı məlumat—məsample, məxfi və şəxsi kriptoqrafik açarlar və parollar və şəxsi identifikasiya nömrələri (PIN) kimi autentifikasiya məlumatları – onların açıqlanması və ya dəyişdirilməsi kriptoqrafik modulun və ya onun qoruduğu məlumatın təhlükəsizliyinə xələl gətirə bilər. Təfərrüatlar üçün səhifə 16-dakı “FIPS rejimində Junos ƏS üçün Əməliyyat Mühitini Anlamaq”a baxın.
Kriptoqrafik modul
Təsdiq edilmiş təhlükəsizlik funksiyalarını (kriptoqrafik alqoritmlər və açarların yaradılması daxil olmaqla) həyata keçirən və kriptoqrafik sərhəd daxilində olan aparat, proqram təminatı və proqram təminatı dəsti.
FIPS
Federal İnformasiya Emalı Standartları. FIPS 140-2 təhlükəsizlik və kriptoqrafik modullar üçün tələbləri müəyyən edir. FIPS rejimində Junos ƏS FIPS 140-2 Level 1 ilə uyğun gəlir.
FIPS texniki xidmət rolu
Kripto Məmurun fiziki baxım və ya aparat və ya proqram diaqnostikası kimi məntiqi texniki xidmət xidmətlərini yerinə yetirmək üçün götürdüyü rol. FIPS 140-2 uyğunluğu üçün, Kripto Məmuru bütün düz mətn məxfi və şəxsi açarları və qorunmayan CSP-ləri silmək üçün FIPS baxım roluna giriş və çıxış zamanı Yönləndirmə Mühərrikini sıfırlayır.
QEYD: FIPS xidmət rolu Junos OS-də FIPS rejimində dəstəklənmir.
KAT
Məlum cavab testləri. FIPS üçün təsdiqlənmiş kriptoqrafik alqoritmlərin çıxışını təsdiqləyən və bəzi Junos OS modullarının bütövlüyünü yoxlayan sistemin özünü testləri. Təfərrüatlar üçün 73-cü səhifədəki “FIPS Öz-özünə Testləri Anlamaq”a baxın.
SSH
Güclü identifikasiya və şifrələmədən istifadə edərək təhlükəsiz olmayan şəbəkə üzərindən uzaqdan giriş üçün protokol. SSH uzaqdan giriş, proqramın uzaqdan icrasını təmin edir, file surəti və digər funksiyalar. O, UNIX mühitində rlogin, rsh və rcp üçün təhlükəsiz əvəz kimi nəzərdə tutulub. İnzibati bağlantılar üzərindən göndərilən məlumatın təhlükəsizliyini təmin etmək üçün CLI konfiqurasiyası üçün SSHv2 istifadə edin. Junos OS-də defolt olaraq SSHv2 aktivdir və təhlükəsiz hesab edilməyən SSHv1 isə qeyri-aktivdir. Sıfırlama
FIPS kriptoqrafik modul kimi işləmədən əvvəl və ya cihazların qeyri-FIPS əməliyyatı üçün təyinatının dəyişdirilməsinə hazırlıq zamanı cihazda bütün CSP-lərin və istifadəçi tərəfindən yaradılmış digər məlumatların silinməsi.
Crypto Officer CLI əməliyyat əmri ilə sistemi sıfırlaya bilər.
Dəstəklənən Kriptoqrafik Alqoritmlər
1-cı səhifədəki 6-ci Cədvəl yüksək səviyyəli protokol alqoritm dəstəyini ümumiləşdirir.
Cədvəl 1: FIPS rejimində icazə verilən protokollar

Protokol	Açar Birja	Doğrulama	Şifrə	Dürüstlük
SSHv2	• dh-qrup14-sha1 • ECDH-sha2-nistp256 • ECDH-sha2-nistp384 • ECDH-sha2-nistp521	Host (modul): • ECDSA P-256 • SSH-RSA Müştəri (istifadəçi): • ECDSA P-256 • ECDSA P-384 • ECDSA P-521 • SSH-RSA	• AES CTR 128 • AES CTR 192 • AES CTR 256 • AES CBC 128 • AES CBC 256	• HMAC-SHA-1 • HMAC-SHA-256 • HMAC-SHA-512

2-cı səhifədəki Cədvəl 6-də MACsec LC tərəfindən dəstəklənən şifrələr verilmişdir.
Cədvəl 2: MACsec LC tərəfindən dəstəklənən şifrələr
MACsec LC tərəfindən dəstəklənən şifrələr
AES-GCM-128
AES-GCM-256
Alqoritmin hər bir icrası bir sıra məlum cavab testləri (KAT) ilə yoxlanılır. Hər hansı bir özünü sınama uğursuzluğu FIPS xətası vəziyyəti ilə nəticələnir.
ƏN ƏN YAXŞI TƏCRÜBƏ: FIPS 140-2 uyğunluğu üçün FIPS rejimində Junos ƏS-də yalnız FIPS tərəfindən təsdiqlənmiş kriptoqrafik alqoritmlərdən istifadə edin.
Aşağıdakı kriptoqrafik alqoritmlər FIPS rejimində dəstəklənir. Simmetrik metodlar şifrələmə və deşifrə üçün eyni açardan, asimmetrik metodlar isə şifrələmə və deşifrə üçün müxtəlif açarlardan istifadə edir.
AES
FIPS PUB 197-də müəyyən edilmiş Qabaqcıl Şifrələmə Standartı (AES). AES alqoritmi 128 bitlik bloklardakı məlumatları şifrələmək və deşifrə etmək üçün 192, 256 və ya 128 bitlik açarlardan istifadə edir.
ECDH
Elliptik əyri Diffie-Hellman. Sonlu sahələr üzərində elliptik əyrilərin cəbri strukturuna əsaslanan kriptoqrafiyadan istifadə edən Diffie-Hellman açar mübadiləsi alqoritminin variantı. ECDH, hər biri elliptik əyri ictimai-özəl açar cütü olan iki tərəfə etibarlı olmayan kanal üzərində ortaq sirr yaratmağa imkan verir. Paylaşılan sirr ya açar kimi istifadə oluna bilər, ya da simmetrik açar şifrəsindən istifadə edərək sonrakı kommunikasiyaları şifrələmək üçün başqa açar əldə etmək üçün istifadə edilə bilər.
ECDSA
Elliptik Əyri Rəqəmsal İmza Alqoritmi. Sonlu sahələr üzərində elliptik əyrilərin cəbri strukturuna əsaslanan kriptoqrafiyadan istifadə edən Rəqəmsal İmza Alqoritminin (DSA) variantı. Elliptik əyrinin bit ölçüsü açarın şifrəsinin açılmasının çətinliyini müəyyən edir. ECDSA üçün lazım olduğu güman edilən açıq açar, bitlərdə təhlükəsizlik səviyyəsindən təxminən iki dəfə böyükdür. P-256, P-384 və P-521 əyrilərindən istifadə edən ECDSA OpenSSH altında konfiqurasiya edilə bilər.
HMAC
RFC 2104-də “Mesajın Doğrulanması üçün Açarlı Hashing” kimi təyin olunan HMAC mesajın autentifikasiyası üçün hashing alqoritmlərini kriptoqrafik açarlarla birləşdirir. FIPS rejimində Junos OS üçün HMAC gizli açarla birlikdə SHA-1, SHA-256 və SHA-512 təkrarlanan kriptoqrafik hash funksiyalarından istifadə edir.
SHA-256 və SHA-512
FIPS PUB 2-180-də müəyyən edilmiş SHA-2 standartına aid təhlükəsiz hash alqoritmləri (SHA). NIST tərəfindən hazırlanmış SHA-256 256 bitlik, SHA-512 isə 512 bitlik heş-dijest istehsal edir.
ƏLAQƏLİ SƏNƏDLƏR
FIPS Öz Testlərini Anlamaq | 73
FIPS Modu üçün Sistem Məlumatlarını Təmizləmək üçün Sıfırlamağı Anlamaq | 25
Məhsulun Təhlükəsiz Çatdırılmasının Müəyyənləşdirilməsi
Müştərinin çatdırılmamış məhsulu almasını təmin etmək üçün çatdırılma prosesində təmin edilən bir neçə mexanizm varampilə işlənmişdir. Müştəri platformanın bütövlüyünü yoxlamaq üçün cihazı aldıqdan sonra aşağıdakı yoxlamaları yerinə yetirməlidir.

Göndərmə etiketi - Göndərmə etiketinin düzgün müştəri adını və ünvanını, eləcə də cihazı düzgün müəyyən etdiyinə əmin olun.

Xarici qablaşdırma—Xarici göndərmə qutusunu və lentini yoxlayın. Göndərmə lentinin kəsilmədiyinə və ya başqa bir şəkildə zədələnməməsinə əmin olun. Cihaza daxil olmaq üçün qutunun kəsilmədiyinə və ya zədələnməməsinə əmin olun.
İçəridəki qablaşdırma—Plastik paketi və möhürü yoxlayın. Çantanın kəsilmədiyinə və ya çıxarılmadığına əmin olun. Möhürün toxunulmaz qaldığından əmin olun.

Müştəri yoxlama zamanı problem aşkar edərsə, dərhal təchizatçı ilə əlaqə saxlamalıdır. Sifariş nömrəsini, izləmə nömrəsini və müəyyən edilmiş problemin təsvirini təchizatçıya təqdim edin.
Əlavə olaraq, müştərinin Juniper Networks kimi maskalanan fərqli bir şirkət tərəfindən deyil, Juniper Networks tərəfindən göndərilən bir qutu aldığını təmin etmək üçün həyata keçirilə bilən bir neçə yoxlama var. Müştəri cihazı aldıqdan sonra cihazın həqiqiliyini yoxlamaq üçün aşağıdakı yoxlamaları həyata keçirməlidir:

Cihazın satınalma sifarişindən istifadə edərək sifariş edildiyini yoxlayın. Juniper Networks cihazları heç vaxt satınalma sifarişi olmadan göndərilmir.

Cihaz göndərildikdə, sifariş qəbul edilərkən müştərinin göstərdiyi e-poçt ünvanına göndərmə bildirişi göndərilir. Bu e-poçt bildirişinin alındığını yoxlayın. E-poçtun aşağıdakı məlumatları ehtiva etdiyini yoxlayın:
Sifariş nömrəsi
Juniper Networks sifariş nömrəsi göndərişi izləmək üçün istifadə olunur
Daşınmanı izləmək üçün istifadə edilən daşıyıcı izləmə nömrəsi
Serial nömrələri daxil olmaqla göndərilən məhsulların siyahısı
Həm təchizatçının, həm də müştərinin ünvanı və əlaqələri

Göndərmənin Juniper Networks tərəfindən həyata keçirildiyini yoxlayın. Daşınmanın Juniper Networks tərəfindən həyata keçirildiyini yoxlamaq üçün siz aşağıdakı vəzifələri yerinə yetirməlisiniz:
Juniper Networks göndərmə bildirişində sadalanan Juniper Networks sifariş nömrəsinin daşıyıcı izləmə nömrəsini alınan paketdəki izləmə nömrəsi ilə müqayisə edin.

Juniper Networks onlayn müştəri dəstəyi portalına daxil olun https://support.juniper.net/support/ üçün view sifariş statusu. Juniper Networks göndərmə bildirişində sadalanan daşıyıcı izləmə nömrəsini və ya Juniper Networks sifariş nömrəsini alınan paketdəki izləmə nömrəsi ilə müqayisə edin.

İdarəetmə İnterfeyslərini Anlamaq
Qiymətləndirilmiş konfiqurasiyada aşağıdakı idarəetmə interfeyslərindən istifadə edilə bilər:

Yerli İdarəetmə İnterfeysləri—Cihazdakı RJ-45 konsol portu RS-232 məlumat terminalı avadanlığı (DTE) kimi konfiqurasiya edilmişdir. Cihazı terminaldan konfiqurasiya etmək üçün bu port üzərindən komanda xətti interfeysindən (CLI) istifadə edə bilərsiniz.
Uzaqdan İdarəetmə Protokolları - Cihaz istənilən Ethernet interfeysi üzərindən uzaqdan idarə oluna bilər. SSHv2 qiymətləndirilmiş konfiqurasiyada istifadə edilə bilən yeganə icazə verilən uzaqdan idarəetmə protokoludur. Uzaqdan idarəetmə protokolları J-Web və Telnet cihazda istifadə üçün mövcud deyil.

İnzibati etimadnamələrin və imtiyazların konfiqurasiyası

Səlahiyyətli Administrator üçün Əlaqəli Parol Qaydalarını Anlamaq
Səlahiyyətli administrator müəyyən edilmiş giriş sinfi ilə əlaqələndirilir və administrator bütün icazələrlə təyin olunur. Məlumat sabit parol identifikasiyası üçün yerli olaraq saxlanılır.
QEYD: Parollarda nəzarət simvollarından istifadə etməyin.
Parollar üçün və səlahiyyətli administrator hesabları üçün parol seçərkən aşağıdakı təlimatlardan və konfiqurasiya seçimlərindən istifadə edin. Parollar olmalıdır:

Yadda saxlamaq asandır ki, istifadəçilər onu yazmağa həvəs göstərməsinlər.

Periyodik olaraq dəyişdirilir.
Şəxsi və heç kimlə paylaşılmır.
Ən azı 10 simvol ehtiva edir. Minimum parol uzunluğu 10 simvoldur.
[ redaktə ] administrator@host# sistemə giriş parolunu təyin edin minimum uzunluq 10
Böyük və kiçik hərflərin, rəqəmlərin və “!”, “@”, “#”, “$”, “%”, “^”, “ kimi xüsusi simvolların istənilən kombinasiyasından ibarət həm alfasayısal, həm də durğu işarələrini daxil edin. &”, “*”, “(“ və “)”.
Ən azı bir halda, bir və ya bir neçə rəqəmdə və bir və ya bir neçə durğu işarəsində dəyişiklik olmalıdır.
Simvol dəstlərini ehtiva edir. Etibarlı simvol dəstlərinə böyük hərflər, kiçik hərflər, rəqəmlər, durğu işarələri və digər xüsusi simvollar daxildir.
[ redaktə ] administrator@host# sistemə giriş parolunu dəyişdirmə tipli simvol dəstlərini təyin edin
Simvol dəsti və ya simvol dəsti dəyişikliklərinin minimum sayını ehtiva edir. Junos FIPS-də düz mətn parollarında tələb olunan simvol dəstlərinin minimum sayı 3-dür.
[ redaktə ] administrator@host# sistemə giriş parolunu təyin edin - minimum dəyişikliklər 3
İstifadəçi parolları üçün hashing alqoritmi SHA256 və ya SHA512 ola bilər (SHA512 standart hashing alqoritmidir).
[ redaktə ] administrator@host# sistemə giriş parolu formatı sha512 təyin edin
QEYD: Cihaz ECDSA (P-256, P-384 və P-521) və RSA (2048, 3072 və 4092 modul bit uzunluğu) açar növlərini dəstəkləyir.
Zəif parollar bunlardır:
Sistemdə mövcud və ya dəyişdirilmiş formada ola bilən sözlər file /etc/passwd kimi.
Sistemin host adı (həmişə ilk təxmindir).
Lüğətdə görünən hər hansı bir söz. Bura ingilis dilindən başqa lüğətlər və Şekspir, Lewis Kerroll, Roget tezauru və s. kimi əsərlərdə rast gəlinən sözlər daxildir. Bu qadağa idman, deyimlər, filmlər və televiziya şoularından ümumi söz və ifadələri əhatə edir.
Yuxarıdakıların hər hansı birində dəyişdirmə. məsələnample, rəqəmlərlə əvəz edilmiş saitləri olan lüğət sözü (məsample f00t) və ya rəqəmlərin sonuna əlavə olunmaqla.
Hər hansı bir maşın tərəfindən yaradılan parollar. Alqoritmlər parol təxmin edən proqramların axtarış yerini azaldır və buna görə də istifadə edilməməlidir.
Güclü təkrar istifadə edilə bilən parollar sevimli ifadə və ya sözdən gələn hərflərə əsaslana bilər və sonra əlavə rəqəmlər və durğu işarələri ilə yanaşı digər, əlaqəsi olmayan sözlərlə birləşdirilə bilər.

ƏLAQƏLİ SƏNƏDLƏR
Təhlükəsiz Məhsul Çatdırılmanın Müəyyənləşdirilməsi | 7

Rolların və Doğrulama Metodlarının Konfiqurasiyası

Junos OS üçün Rolları və Xidmətləri Anlamaq
BU BÖLMƏDƏ
Kripto Məmurun Rolu və Məsuliyyətləri | 15
FIPS İstifadəçisinin Rolu və Məsuliyyətləri | 15
Bütün FIPS İstifadəçilərindən Nə Gözlənilir | 16
Təhlükəsizlik Administratoru Junos ƏS-ni idarə etmək üçün lazım olan bütün tapşırıqları yerinə yetirmək üçün administratora icazə vermək üçün lazımi icazəyə malik olan müəyyən edilmiş təhlükəsizlik admin sinifi ilə əlaqələndirilir. İnzibati istifadəçilər (Təhlükəsizlik Administratoru) sistemə hər hansı inzibati giriş verilməzdən əvvəl unikal identifikasiya və autentifikasiya məlumatlarını təqdim etməlidirlər.
Təhlükəsizlik Administratorunun rolları və məsuliyyətləri aşağıdakılardır:

Təhlükəsizlik Administratoru yerli və uzaqdan idarə edə bilər.
Doğrulama uğursuzluğu parametrlərinin konfiqurasiyası daxil olmaqla, administrator hesablarını yaradın, dəyişdirin, silin.
Administrator hesabını yenidən aktivləşdirin.
Qiymətləndirilən məhsula və ondan təhlükəsiz əlaqələrin qurulması ilə bağlı kriptoqrafik elementlərin konfiqurasiyasına və saxlanmasına cavabdehdir.

Qeyri-FIPS rejimində işləyən Juniper Networks Junos əməliyyat sistemi (Junos OS) istifadəçilər üçün geniş imkanlar verir və autentifikasiya şəxsiyyətə əsaslanır. Bunun əksinə olaraq, FIPS 140-2 standartı iki istifadəçi rolunu müəyyənləşdirir: Kripto Məmuru və FIPS istifadəçisi. Bu rollar Junos OS istifadəçi imkanları baxımından müəyyən edilir.
FIPS rejimində Junos ƏS üçün müəyyən edilmiş bütün digər istifadəçi növləri (operator, inzibati istifadəçi və s.) iki kateqoriyadan birinə düşməlidir: Crypto Officer və ya FIPS istifadəçisi. Bu səbəbdən, FIPS rejimində istifadəçi identifikasiyası şəxsiyyət əsaslı deyil, rol əsaslıdır.
Crypto Officer FIPS rejimi ilə əlaqəli bütün konfiqurasiya tapşırıqlarını yerinə yetirir və FIPS rejimində Junos OS üçün bütün bəyanatlar və əmrlər verir. Crypto Officer və FIPS istifadəçi konfiqurasiyaları FIPS rejimində Junos OS üçün təlimatlara əməl etməlidir.
Kripto Mütəxəssisinin Rolu və Məsuliyyətləri
Kripto Məmuru cihazda FIPS rejimində Junos ƏS-ni işə salmaq, konfiqurasiya etmək, monitorinq etmək və saxlamaq üçün məsul şəxsdir. Crypto Officer cihazda Junos ƏS-ni təhlükəsiz şəkildə quraşdırır, FIPS rejimini işə salır, digər istifadəçilər və proqram modulları üçün açar və parollar təyin edir və şəbəkəyə qoşulmazdan əvvəl cihazı işə salır.
ƏN YAXŞI TƏCRÜBƏ: Biz Kripto Məmuruna parolları təhlükəsiz saxlamaq və auditi yoxlamaqla sistemi təhlükəsiz şəkildə idarə etməyi tövsiyə edirik. files.
Crypto Officer-i digər FIPS istifadəçilərindən fərqləndirən icazələr məxfi, təhlükəsizlik, texniki xidmət və nəzarətdir. FIPS uyğunluğu üçün Crypto Officer-i bu icazələrin hamısını ehtiva edən giriş sinfinə təyin edin. Junos OS texniki xidmət icazəsi olan istifadəçi oxuya bilər filekritik təhlükəsizlik parametrlərini (CSP) ehtiva edən s.
QEYD: FIPS rejimində Junos ƏS Junos ƏS texniki xidmət icazəsindən fərqli olan FIPS 140-2 texniki xidmət rolunu dəstəkləmir.
FIPS rejimində Junos OS ilə əlaqəli vəzifələr arasında Kripto Məmurun aşağıdakıları etməsi gözlənilir:

İlkin kök parolunu təyin edin. Parolun uzunluğu ən azı 10 simvol olmalıdır.
FIPS təsdiqlənmiş alqoritmlərlə istifadəçi parollarını sıfırlayın.
Jurnal və auditi yoxlayın files maraq doğuran hadisələr üçün.
İstifadəçi tərəfindən yaradılan silin files, açarları və məlumatları cihazı sıfırlayaraq.

FIPS İstifadəçisinin Rolu və Məsuliyyətləri
Bütün FIPS istifadəçiləri, o cümlədən Crypto Officer, edə bilərlər view konfiqurasiya. Yalnız Kripto Məmuru kimi təyin edilmiş istifadəçi konfiqurasiyanı dəyişə bilər.
Kripto Məmurlarını digər FIPS istifadəçilərindən fərqləndirən icazələr məxfi, təhlükəsizlik, texniki xidmət və nəzarətdir. FIPS uyğunluğu üçün FIPS istifadəçisini bu icazələrin heç birinə malik olmayan sinfə təyin edin.
FIPS istifadəçi edə bilər view status çıxışı, lakin cihazı yenidən işə sala və ya sıfırlaya bilməz.
Bütün FIPS İstifadəçilərindən Nə Gözlənilir
Bütün FIPS istifadəçiləri, o cümlədən Crypto Officer, hər zaman təhlükəsizlik qaydalarına riayət etməlidirlər.
Bütün FIPS istifadəçiləri:

Bütün parolları məxfi saxlayın.
Cihazları və sənədləri təhlükəsiz ərazidə saxlayın.
Təhlükəsiz ərazilərdə cihazları yerləşdirin.
Auditi yoxlayın files vaxtaşırı.
Bütün digər FIPS 140-2 təhlükəsizlik qaydalarına əməl edin.
Bu təlimatlara əməl edin:
• İstifadəçilər etibarlıdır.
• İstifadəçilər bütün təhlükəsizlik qaydalarına əməl edirlər.
• İstifadəçilər təhlükəsizliyə qəsdən güzəştə getmirlər
• İstifadəçilər hər zaman məsuliyyətlə davranırlar.

ƏLAQƏLİ SƏNƏDLƏR
Juniper Networks Junos əməliyyat sistemini (Junos OS) FIPS rejimində işləyən Juniper Networks cihazı FIPS rejimində olmayan cihazın mühitindən fərqli olan xüsusi tipli aparat və proqram təminatı əməliyyat mühiti formalaşdırır:

FIPS rejimində Junos OS üçün Avadanlıq Mühiti
FIPS rejimində Junos ƏS cihazda heç bir kritik təhlükəsizlik parametrlərinin (CSP) düz mətndən istifadə edə bilməyəcəyi kriptoqrafik sərhəd yaradır. FIPS 140-2 uyğunluğu üçün kriptoqrafik sərhəd tələb edən cihazın hər bir aparat komponenti ayrıca kriptoqrafik moduldur. FIPS rejimində Junos OS-də kriptoqrafik sərhədləri olan iki növ aparat var: biri hər Marşrutlama Mühərriki üçün və biri LC MPC7E-10G kartı daxil olan bütün şassi üçün. Hər bir komponent ayrıca kriptoqrafik modul təşkil edir. Bu təhlükəsiz mühitlər arasında CSP-ləri əhatə edən kommunikasiyalar şifrələmədən istifadə etməklə həyata keçirilməlidir.
Kriptoqrafik üsullar fiziki təhlükəsizliyi əvəz etmir. Avadanlıq təhlükəsiz fiziki mühitdə yerləşdirilməlidir. Bütün növ istifadəçilər açarları və ya parolları açıqlamamalı və ya yazılı qeydlərin və ya qeydlərin icazəsiz işçilər tərəfindən görülməsinə icazə verməməlidirlər.
FIPS rejimində Junos OS üçün proqram təminatı
FIPS rejimində Junos ƏS ilə işləyən Juniper Networks cihazı dəyişdirilə bilməyən əməliyyat mühitinin xüsusi növü təşkil edir. Cihazda bu mühitə nail olmaq üçün sistem hər hansı bir binarın icrasına mane olur file bu, FIPS rejimi paylanmasında sertifikatlaşdırılmış Junos ƏS-nin bir hissəsi deyildi. Cihaz FIPS rejimində olduqda, o, yalnız Junos OS ilə işləyə bilər.
FIPS rejimində proqram mühitində Junos ƏS Kripto Məmuru cihazda FIPS rejimini uğurla işə saldıqdan sonra qurulur. FIPS rejimini ehtiva edən Junos OS şəkli Juniper Networks-də mövcuddur websayt və işləyən cihazda quraşdırıla bilər.
FIPS 140-2 uyğunluğu üçün istifadəçi tərəfindən yaradılmış bütün məlumatları silməyinizi tövsiyə edirik fileFIPS rejimini işə salmadan əvvəl cihazı sıfırlayaraq s və data.
Cihazınızı FIPS Səviyyə 1-də idarə etmək t istifadəsini tələb edirampMarşrutlaşdırma Mühərriklərini şassiyə möhürləmək üçün aydın etiketlər.
FIPS rejiminin işə salınması adi Junos ƏS protokollarının və xidmətlərinin bir çoxunu deaktiv edir. Xüsusilə, Junos OS-də FIPS rejimində aşağıdakı xidmətləri konfiqurasiya edə bilməzsiniz:

barmaq
ftp
rlogin
telnet
tftp
xnm-aydın mətn

Bu xidmətləri konfiqurasiya etmək cəhdləri və ya konfiqurasiya edilmiş bu xidmətlərlə konfiqurasiyaları yükləmək konfiqurasiya sintaksisi xətası ilə nəticələnir.
Uzaqdan giriş xidməti kimi yalnız SSH-dən istifadə edə bilərsiniz.
FIPS rejimində Junos ƏS-ə yüksəldildikdən sonra istifadəçilər üçün müəyyən edilmiş bütün parollar FIPS rejimində Junos ƏS-ə uyğun olmalıdır. Parolların uzunluğu 10 ilə 20 simvol arasında olmalıdır və müəyyən edilmiş beş simvol dəstindən ən azı üçünün (böyük və kiçik hərflər, rəqəmlər, durğu işarələri və % və & kimi klaviatura simvollarından digərinə daxil edilməyən) istifadəsini tələb edir. dörd kateqoriya).
Bu qaydalara uyğun gəlməyən parolları konfiqurasiya etmək cəhdləri xəta ilə nəticələnir. Həmyaşıdların autentifikasiyası üçün istifadə olunan bütün parol və açarların uzunluğu ən azı 10 simvol olmalıdır və bəzi hallarda uzunluq həzm ölçüsünə uyğun olmalıdır.
QEYD: Crypto Officer yerli konsol bağlantısından konfiqurasiyanı tamamlayana qədər cihazı şəbəkəyə qoşmayın.
Ciddi uyğunluq üçün, FIPS rejimində Junos OS-də yerli konsolda əsas və qəza boşaltma məlumatlarını yoxlamayın, çünki bəzi CSP-lər düz mətndə göstərilə bilər.
Kritik Təhlükəsizlik Parametrləri
Kritik təhlükəsizlik parametrləri (CSP) kriptoqrafik modulun təhlükəsizliyini və ya açıqlandıqda və ya dəyişdirildikdə modul tərəfindən qorunan məlumatın təhlükəsizliyini poza bilən kriptoqrafik açarlar və parollar kimi təhlükəsizliklə əlaqəli məlumatlardır.
Sistemin sıfırlanması cihazın və ya Yönləndirmə Mühərrikinin kriptoqrafik modul kimi işləməsinə hazırlıq zamanı CSP-lərin bütün izlərini silir.
3-cu səhifədəki Cədvəl 19-də Junos OS ilə işləyən cihazlarda CSP-lərin siyahısı verilmişdir.
Cədvəl 3: Kritik Təhlükəsizlik Parametrləri

CSP	Təsvir	Sıfırla	istifadə edin
SSHv2 şəxsi host açarı	ECDSA / RSA açarı hostu müəyyən etmək üçün istifadə olunur, SSH ilk dəfə konfiqurasiya edildikdə yaradılır.	Sıfırla əmri.	Ev sahibini müəyyən etmək üçün istifadə olunur.
SSHv2 sessiya açarları	Sessiya açarı SSHv2 ilə və Diffie-Hellman şəxsi açarı kimi istifadə olunur. Şifrələmə: AES-128, AES-192, AES-256. MAC-lər: HMAC-SHA-1, HMAC- SHA-2-256, HMAC-SHA2-512. Açar mübadiləsi: dh-group14-sha1, ECDH-sha2-nistp-256, ECDH-sha2-nistp-384 və ECDH-sha2-nistp-521.	Güc dövrü və sessiyanı dayandırın.	Simmetrik açar host və müştəri arasında məlumatları şifrələmək üçün istifadə olunur.
İstifadəçi identifikasiyası açarı	İstifadəçi parolunun hashı: SHA256, SHA512.	Sıfırla əmri.	İstifadəçini kriptoqrafik modulda autentifikasiya etmək üçün istifadə olunur.
Crypto Officer autentifikasiya açarı	Kripto Məmur parolunun hashı: SHA256, SHA512.	Sıfırla əmri.	Crypto Officer-in kriptoqrafik modula autentifikasiyası üçün istifadə olunur.
HMAC DRBG toxumu	Deterministik randon bit generatoru (DRBG) üçün toxum.	Toxum kriptoqrafik modul tərəfindən saxlanılmır.	DRBG toxumu üçün istifadə olunur.
HMAC DRBG V dəyəri	Çıxış blokunun uzunluğunun (çıxış) bitlərdəki dəyəri (V), hər dəfə başqa çıxış bitləri istehsal edildikdə yenilənir.	Güc dövrü.	DRBG-nin daxili vəziyyətinin kritik dəyəri.

CSP	Təsvir	Sıfırla	istifadə edin
HMAC DRBG açar dəyəri	DRBG mexanizmi yalançı təsadüfi bitlər yaradan hər dəfə ən azı bir dəfə yenilənən outlen-bit açarının cari dəyəri.	Güc dövrü.	DRBG-nin daxili vəziyyətinin kritik dəyəri.
NDRNG entropiyası	HMAC DRBG-yə entropiya giriş sətri kimi istifadə olunur.	Güc dövrü.	DRBG-nin daxili vəziyyətinin kritik dəyəri.

FIPS rejimində Junos OS-də bütün CSP-lər kriptoqrafik modula şifrələnmiş formada daxil olub çıxmalıdırlar.
Təsdiqlənməmiş alqoritmlə şifrələnmiş istənilən CSP FIPS ilə düz mətn hesab olunur.
ƏN YAXŞI TƏCRÜBƏ: FIPS uyğunluğu üçün cihazı SSH bağlantıları üzərində konfiqurasiya edin, çünki onlar şifrələnmiş bağlantılardır.
Yerli parollar SHA256 və ya SHA512 alqoritmi ilə heşlənmişdir. FIPS rejimində Junos OS-də parolun bərpası mümkün deyil. FIPS rejimində Junos OS düzgün kök parolu olmadan tək istifadəçi rejiminə başlaya bilməz.
FIPS rejimində Junos ƏS üçün Parol Spesifikasiyalarını və Təlimatları Anlamaq
Kripto Mütəxəssisi tərəfindən istifadəçilər üçün müəyyən edilmiş bütün parollar FIPS rejimində aşağıdakı Junos OS tələblərinə uyğun olmalıdır. Aşağıdakı spesifikasiyalara uyğun olmayan parolları konfiqurasiya etmək cəhdləri xəta ilə nəticələnir.

Uzunluq. Parollar 10-20 simvoldan ibarət olmalıdır.
Xarakter dəsti tələbləri. Parollar aşağıdakı beş müəyyən edilmiş simvol dəstindən ən azı üçünü ehtiva etməlidir:
Böyük HƏRFLƏR
Kiçik hərflər
Rəqəmlər
Durğu işarələri
Digər dörd dəstəyə daxil edilməyən klaviatura simvolları, məsələn, faiz işarəsi (%) və ampersand (&)

Doğrulama tələbləri. Həmyaşıdların autentifikasiyası üçün istifadə olunan bütün parollar və açarlar ən azı 10 simvoldan ibarət olmalıdır və bəzi hallarda simvolların sayı həzm ölçüsünə uyğun olmalıdır.
Parolun şifrələnməsi. Standart şifrələmə metodunu (SHA512) dəyişdirmək üçün [sistemə giriş parolunu redaktə et] iyerarxiya səviyyəsində format bəyanatını daxil edin.

Güclü parollar üçün təlimatlar. Güclü, təkrar istifadə edilə bilən parollar sevimli ifadə və ya sözdən gələn hərflərə əsaslana bilər və sonra əlavə edilmiş rəqəmlər və durğu işarələri ilə yanaşı digər əlaqəsi olmayan sözlərlə birləşdirilə bilər. Ümumiyyətlə, güclü parol:

Yadda saxlamaq asandır ki, istifadəçilər onu yazmağa həvəs göstərməsinlər.
Qarışıq alfasayısal simvollardan və durğu işarələrindən ibarətdir. FIPS uyğunluğu üçün ən azı bir hərf dəyişikliyi, bir və ya daha çox rəqəm və bir və ya daha çox durğu işarəsi daxildir.
Periyodik olaraq dəyişdirilir.
Heç kimə açıqlanmayıb.
Zəif parolların xüsusiyyətləri. Aşağıdakı zəif parollardan istifadə etməyin:

Sistemdə mövcud və ya dəyişdirilmiş formada ola bilən sözlər file/etc/passwd kimi.
Sistemin host adı (həmişə ilk təxmindir).
Lüğətdə və ya digər tanınmış mənbədə, o cümlədən ingilis dilindən başqa dillərdə olan lüğətlər və tezauruslarda görünən hər hansı söz və ya ifadə; klassik və ya məşhur yazıçıların əsərləri; və ya idman, deyimlər, filmlər və ya televiziya şoularından ümumi sözlər və ifadələr.
Yuxarıdakıların hər hansı birinə dəyişdirmə - məsələnample, rəqəmlərlə əvəz olunan hərfləri olan lüğət sözü ( r00t) və ya sonuna rəqəmlər əlavə olunur.

Hər hansı bir maşın tərəfindən yaradılan parol. Alqoritmlər parol təxmin edən proqramların axtarış yerini azaldır və buna görə də istifadə edilməməlidir.

Juniper Networks-dən Proqram Paketləri Yüklənir
Siz Juniper Networks-dən cihazınız üçün Junos OS proqram paketini endirə bilərsiniz websayt.
Proqramı yükləməyə başlamazdan əvvəl Juniper Networks-ə sahib olduğunuzdan əmin olun Web hesabı və etibarlı dəstək müqaviləsi. Hesab əldə etmək üçün Juniper Networks-də qeydiyyat formasını doldurun websayt: https://userregistration.juniper.net/.
Juniper Networks-dən proqram paketlərini yükləmək üçün:

Istifadə a Web brauzerdə yükləmək üçün linkləri izləyin URL Juniper Networks-də websəhifə. https://support.juniper.net/support/downloads/

Juniper Networks nümayəndələri tərəfindən verilən istifadəçi adı (ümumiyyətlə e-poçt ünvanınız) və paroldan istifadə edərək Juniper Networks autentifikasiya sisteminə daxil olun.
Proqram təminatını yükləyin. Görmək Proqram Yüklənir.

ƏLAQƏLİ SƏNƏDLƏR
Quraşdırma və Təkmilləşdirmə Bələdçisi
Tək Marşrutlama Mühərriki olan Cihazda Proqram təminatının quraşdırılması
Siz Junos ƏS-ni tək Marşrutlaşdırma Mühərriki ilə cihazda təkmilləşdirmək üçün bu prosedurdan istifadə edə bilərsiniz.
Tək Marşrutlama Mühərriki olan bir cihazda proqram təkmilləşdirmələrini quraşdırmaq üçün:

Proqram paketini aşağıda təsvir olunduğu kimi endirin Juniper Networks-dən Proqram Paketləri Yüklənir.

Əgər bunu etməmisinizsə, idarəetmə cihazınızdan cihazdakı konsol portuna qoşulun və Junos OS CLI-yə daxil olun.
(İstəyə görə) Cari proqram konfiqurasiyasını ikinci yaddaş seçiminə yedəkləyin. baxın Proqram təminatının quraşdırılması və təkmilləşdirmə təlimatı bu tapşırığı yerinə yetirmək üçün təlimatlar üçün.
(İstəyə görə) Proqram paketini cihaza kopyalayın. Kopyalamaq üçün FTP istifadə etməyi tövsiyə edirik file /var/tmp/ qovluğuna.
Bu addım isteğe bağlıdır, çünki proqram şəkli uzaq yerdə saxlandıqda Junos OS də təkmilləşdirilə bilər. Bu təlimatlar hər iki ssenari üçün proqram təminatının təkmilləşdirilməsi prosesini təsvir edir.

Yeni paketi cihaza quraşdırın: REMX2K-X8 üçün: user@host> vmhost proqram təminatı əlavə edin
RE1800 üçün: user@host> sistem proqram təminatının əlavə edilməsini tələb edin
Paketi aşağıdakı yollardan biri ilə əvəz edin:
• Cihazdakı yerli kataloqda proqram paketi üçün /var/tmp/package.tgz istifadə edin.
• Uzaq serverdəki proqram paketi üçün dəyişən seçim paketini proqram paketinin adı ilə əvəz edərək aşağıdakı yollardan birini istifadə edin.
• ftp://hostname/pathname/package.tgz
• ftp://hostname/pathname/package.tgz
Quraşdırmanı yükləmək üçün cihazı yenidən başladın:
REMX2K-X8 üçün:
user@host> vmhost-un yenidən yüklənməsini tələb edin
RE1800 üçün:
user@host> sistemin yenidən başlamasını tələb edin
Yenidən yükləmə tamamlandıqdan sonra daxil olun və proqramın yeni versiyasının uğurla quraşdırıldığını yoxlamaq üçün versiyanı göstər əmrindən istifadə edin.
user@host> versiyanı göstər
Model: mx960
Junos: 20.3X75-D30.1
JUNOS OS Kernel 64-bit [20210722.b0da34e0_builder_stable_11-204ab] JUNOS OS libs [20210722.b0da34e0_builder_stable_11-204ab] JUNOS ƏS iş vaxtı [20210722.b0da34e0-11] ab] JUNOS OS saat qurşağı məlumatı [204.b20210722da0e34_builder_stable_0-11ab] JUNOS şəbəkə yığını və yardım proqramları [204_builder_junos_20210812.200100_x203_d75] JUNOS libs [30_builder_junos_20210812.200100_x203_d75] JUNOS OS libs compat30 [32] JUNOS libs uyğun [20210722] JUNOS libs [0] UNOS OS 34-bit uyğunluğu [0.b11da204e32_builder_stable_20210722-0ab] JUNOS libs compat34 [0_builder_junos_11_x204_d32] JUNOS20210812.200100.b203da75e30_builder_stable_20210812.200100-203ab 75_d30] JUNOS sflow mx [20210812.200100_builder_junos_203_x75_d30] JUNOS py uzantıları2 [20210812.200100_builder_junos_203_x75_d30] JUNOS py uzantıları [20210812.200100] JUNOS py uzantıları [203] JUNOS py uzantıları [75] UNOS py base30 [2_builder_junos_20210812.200100_x203_d75] JUNOS py bazası [30_builder_junos_20210812.200100_x203_d75] JUNOS OS kriptovalyutası [30_builder_junos_20210722_x0_d34] JUNOS OS yüklənir files [20210722.b0da34e0_builder_stable_11-204ab] JUNOS və telemetriya [20.3X75-D30.1] JUNOS Təhlükəsizlik Kəşfiyyatı [20210812.200100_builder_junos_203_x75m] 30_builder_junos_32_x20210812.200100_d203] JUNOS mx iş vaxtı [75_builder_junos_30_x20210812.200100_d203] JUNOS RPD Telemetriya Tətbiqi [75X30-D20.3 .75] Redis [30.1_builder_junos_20210812.200100_x203_d75] JUNOS prob yardım proqramı [30_builder_junos_20210812.200100_x203_d75] JUNOS ümumi platforma dəstəyi [30_junos20210812.200100_203_junos_75 d30] JUNOS Openconfig [20.3X75-D30.1] JUNOS mtx şəbəkə modulları [20210812.200100_builder_junos_203_x75_d30] JUNOS modulları [20210812.200100_junos_builder] JUNOS_x modules_203x75 [30_builder_junos_20210812.200100_x203_d75] JUNOS mx libs [30_builder_junos_20210812.200100_x203_d75] JUNOS SQL Sinxronizasiya Daemon [30] [20210812.200100] _d203] JUNOS mtx Data Plane Kripto Dəstəyi [75_builder_junos_30_x20210812.200100_d203] JUNOS demonları [75_builder_junos_30_x20210812.200100_em203]da75d [30_builder_junos_d20210812.200100] ilder_junos_203_x75_d30] JUNOS appidd-mx proqram identifikasiyası demonu [20210812.200100_builder_junos_203_x75_d30] JUNOS Xidmətləri URL Filtr paketi [20210812.200100_builder_junos_203_x75_d30] JUNOS Xidmətləri TLB Xidməti PIC paketi [20210812.200100_builder_junos_203_x75_d30] JUNOS Xidmətləri Telemetriyası [20210812.200100_203] 75_d30] JUNOS Xidmətləri TCP-LOG [20210812.200100_builder_junos_203_x75_d30] JUNOS Xidmətləri SSL [20210812.200100_builder_junos_203_x75_d30_20210812.200100_x203_d75_30_x20210812.200100UNOS Services [203_builder_junos_75_x30_d20210812.200100] _junos_203_x75_d30] JUNOS Services Statef Firewall [20210812.200100_builder_junos_203_x75_d30] JUNOS Xidmətləri RTCOM [20210812.200100_builder_junos_203_x75_d30] JUNOS Xidmətləri RPM [20210812.200100] JUNOS Xidmətləri RPM [203] JUNOS Xidmətləri [75. UNOS Xidmətləri PCEF paketi [30_builder_junos_XNUMX_xXNUMX_dXNUMX] JUNOS Xidmətləri NAT [XNUMX_builder_junos_XNUMX_xXNUMX_dXNUMX] JUNOS Xidməti Mobil Abunəçi paketini ehtiva edir
[20210812.200100_builder_junos_203_x75_d30] JUNOS Services MobileNext Proqram paketi [20210812.200100_builder_junos_203_x75_d30] JUNOS Xidmətlərinin Giriş Hesabatı Çərçivə paketi [20210812.200100_203] JUNOS Xidmətləri Giriş Hesabatı Çərçivə paketi [75_30] 20210812.200100_d203] JUNOS Xidmətləri LL-PDF Konteyner paketi [75_builder_junos_30_x20210812.200100_d203] JUNOS Xidmətləri Jflow Konteyner paketi [75_builder_junos_30_x20210812.200100] Inspection JUNOS Services_203_x75 30_builder_junos_20210812.200100_x203_d75] JUNOS Xidmətləri IPSec [30_builder_junos_20210812.200100_x203_d75] JUNOS Xidmətləri IDS [30] JUNOS Xidmətləri IDS [20210812.200100] JUNOS Xidmətləri [203] JUNOS Xidmətləri IPSec [75. UNOS IDP Xidmətləri [30_builder_junos_20210812.200100_x203_d75] JUNOS Xidmətləri HTTP Məzmun İdarəetmə paketi [30_builder_junos_20210812.200100_x203_d75] JUNOS Xidmətləri [30] _xXNUMX_dXNUMX] JUNOS Xidmətləri Əsir Portalı və Məzmun Çatdırılma Konteyner paketi
[20210812.200100_builder_junos_203_x75_d30] JUNOS Xidmətləri COS [20210812.200100_builder_junos_203_x75_d30] JUNOS AppId Xidmətləri [20210812.200100] JUNOS AppId Services [203] JUNOS Xidmətləri [75] UNOS Xidmətləri Tətbiq Səviyyəsi Şlüzləri [30_builder_junos_20210812.200100_x203_d75] JUNOS Xidmətlər AACL Konteyner paketi [30_builder_junos_20210812.200100_x203_d75] JUNOS_Junos_30_x20210812.200100_d203] [75_builder_junos_30_x20210812.200100_d203] os_75_x30_d9] JUNOS Artırma Alətlər dəsti [20210812.200100_builder_junos_203_x75_d30 ] JUNOS Paket Yönləndirmə Mühərriki Dəstəyi (wrlinux20210812.200100) [203_builder_junos_75_x30_d3] JUNOS Paket Yönləndirmə Mühərriki Dəstəyi (ulc) [20.3_builder_junos_75dX30.1M2000 üçün] 20210812.200100X203-D75] JUNOS Paket Yönləndirmə Mühərriki Dəstəyi (X30) [ 20.3_builder_junos_75_x30.1_dXNUMX] JUNOS Paket Yönləndirmə Mühərriki FIPS Dəstəyi [XNUMXXXNUMX-DXNUMX] JUNOS Paket Yönləndirmə Mühərriki Dəstəyi (M/T Ümumi)
[20210812.200100_builder_junos_203_x75_d30] JUNOS Paket Yönləndirmə Mühərriki Dəstəyi (arxa)

FIPS Modu üçün Sistem Məlumatlarını Təmizləmək üçün Sıfırlamağı Anlamaq
BU BÖLMƏDƏ
Niyə sıfırla? | 26
Nə vaxt sıfırlamalı? | 26
Sıfırlama bütün açıq mətn parolları, sirrlər və SSH, yerli şifrələmə, yerli autentifikasiya və IPsec üçün şəxsi açarlar daxil olmaqla, Yönləndirmə Mühərriklərindəki bütün konfiqurasiya məlumatlarını tamamilə silir.
Crypto Officer, REMX2K-X8 üçün vmhost zeroize no-forwarding və RE1800 üçün sorğu sistemini sıfırla əməliyyat əmrinə daxil olaraq sıfırlaşdırma prosesini başlatır.
DİQQƏT: Sistemin sıfırlanmasını ehtiyatla həyata keçirin. Sıfırlama prosesi başa çatdıqdan sonra Routing Engine-də heç bir məlumat qalmır. Cihaz konfiqurasiya edilmiş istifadəçilər və ya konfiqurasiya olmadan zavod standart vəziyyətinə qaytarılır files.
Sıfırlama çox vaxt apara bilər. Bütün konfiqurasiyaların bir neçə saniyə ərzində silinməsinə baxmayaraq, sıfırlama prosesi bütün medianın üzərinə yazılmağa davam edir və bu, medianın ölçüsündən asılı olaraq xeyli vaxt apara bilər.
Niyə sıfırla?
Cihaz FIPS rejimində olarkən bütün kritik təhlükəsizlik parametrləri (CSP) daxil edilənə və ya yenidən daxil edilənə qədər cihazınız etibarlı FIPS kriptoqrafik modul hesab edilmir.
FIPS 140-2 uyğunluğu üçün cihazda FIPS rejimini söndürməzdən əvvəl həssas məlumatları silmək üçün sistemi sıfırlamalısınız.
Nə vaxt sıfırlamalı?
Kripto Mütəxəssisi olaraq, aşağıdakı hallarda sıfırlama həyata keçirin:

FIPS iş rejimini aktivləşdirməzdən əvvəl: Cihazınızı FIPS kriptoqrafik modul kimi işləməyə hazırlamaq üçün FIPS rejimini işə salmazdan əvvəl sıfırlamasını həyata keçirin.
FIPS iş rejimini söndürməzdən əvvəl: Qeyri-FIPS əməliyyat üçün cihazınızın təyinatını dəyişdirməyə başlamaq üçün cihazda FIPS rejimini söndürməzdən əvvəl sıfırlamanı həyata keçirin.
QEYD: Juniper Networks FIPS mühitində FIPS olmayan proqram təminatının quraşdırılmasını dəstəkləmir, lakin müəyyən sınaq mühitlərində bunu etmək lazım ola bilər. Əvvəlcə sistemi sıfırladığınızdan əmin olun.

Sistemin sıfırlanması
Cihazınızı sıfırlamaq üçün aşağıdakı proseduru yerinə yetirin:

Cihaza Crypto Officer kimi və CLI-dən daxil olun, aşağıdakı əmri daxil edin.
REMX2K-X8 üçün:
crypto-officer@host> sorğu vmhost-u sıfırla yönləndirilməyən VMHost Sıfırla : Konfiqurasiya və jurnal daxil olmaqla bütün məlumatları silin files ? [bəli, yox] (yox) bəli
re0:
REMX2K-X8 üçün:
crypto-officer@host> sorğu sistemini sıfırlayın
Sistemin sıfırlanması: Konfiqurasiya və jurnal daxil olmaqla bütün məlumatları silin files ?
[bəli, yox] (yox) bəli
re0:
Sıfırlama prosesini başlatmaq üçün sorğuda bəli yazın:
Konfiqurasiya və jurnal daxil olmaqla bütün məlumatları silin files? [bəli, yox] (yox) bəli konfiqurasiya və jurnal daxil olmaqla bütün məlumatları silin files? [bəli, yox] (yox) bəli
re0: ———————–Xəbərdarlıq: sıfırlama
re0 ……
Bütün əməliyyat medianın ölçüsündən asılı olaraq xeyli vaxt apara bilər, lakin bütün kritik təhlükəsizlik parametrləri (CSP) bir neçə saniyə ərzində silinir. Sıfırlama prosesi başa çatana qədər fiziki mühit təhlükəsiz qalmalıdır.

FIPS rejiminin aktivləşdirilməsi
Junos ƏS cihazda quraşdırıldıqda və cihaz işə salındıqda, o, konfiqurasiyaya hazırdır.
Əvvəlcə parol olmadan istifadəçi kökü kimi daxil olursunuz. Kök kimi daxil olduqda, SSH bağlantınız standart olaraq aktivləşdirilir.
Crypto Officer olaraq siz “FIPS rejimində Junos OS üçün Parol Spesifikasiyalarının və Təlimatlarının Anlanması” səhifə 20-də FIPS parol tələblərinə uyğun kök parol yaratmalısınız. Cihazda Junos OS-də FIPS rejimini aktivləşdirdiyiniz zaman parolları konfiqurasiya edə bilməzsiniz. bu standarta cavab vermədikcə.
Yerli parollar SHA256 və ya SHA512 təhlükəsiz hash alqoritmi ilə şifrələnir. FIPS rejimində Junos OS-də parolun bərpası mümkün deyil. FIPS rejimində Junos OS düzgün kök parolu olmadan tək istifadəçi rejiminə başlaya bilməz.
Cihazda Junos OS-də FIPS rejimini aktivləşdirmək üçün:

FIPS rejiminə girməzdən əvvəl bütün CSP-ləri silmək üçün cihazı sıfırlayın. Təfərrüatlar üçün səhifə 25-dəki “FIPS Rejimi üçün Sistem Məlumatlarını Silmək üçün Sıfırlamağı Anlamaq” bölməsinə baxın.
Cihaz "Amnesiac rejimi"nə gəldikdən sonra istifadəçi adı root və paroldan istifadə edərək daxil olun "" (boş).
FreeBSD/amd64 (Amnesiac) (ttyu0) giriş: kök
— JUNOS 20.3X75-D30.1 Kernel 64-bit JNPR-11.0-20190701.269d466_buil root@:~ # cli root>

Ən azı 10 simvol və ya daha çox parol ilə kök identifikasiyasını konfiqurasiya edin.
kök> redaktə etmək Konfiqurasiya rejiminə daxil olmaq [redaktə etmək] root# set sistem kök identifikasiyası düz mətn parolu
Yeni parol:
Yeni parolu yenidən yazın: [redaktə] kök # öhdəliyi tamamlandı
Konfiqurasiyanı cihaza yükləyin və yeni konfiqurasiya edin. Kripto-məmuru konfiqurasiya edin və kripto-məmur etimadnaməsi ilə daxil olun.
Routing Engine KATS üçün lazım olan fips rejimi paketini quraşdırın.
root@hostname> sistem proqram təminatını istəyə bağlı əlavə edin: //fips-mode.tgz
PackageDevelopmentEc_2017 metodu ECDSA256+SHA256 ilə imzalanmış təsdiqlənmiş fips rejimi

MX Series cihazları üçün,
• Sistem fips şassi səviyyəsi 1-i təyin edərək şassi sərhədlərini konfiqurasiya edin və yerinə yetirin.
• 1-ci səviyyəli sistem fipslərini təyin edərək RE sərhəd fipslərini konfiqurasiya edin və yerinə yetirin.
Cihaz yüklənmiş konfiqurasiyada köhnə CSP-ləri silmək üçün FIPS uyğun heş xəbərdarlığından istifadə etmək üçün Şifrələnmiş parolu göstərə bilər.
CSP-ləri sildikdən və yenidən konfiqurasiya etdikdən sonra öhdəlik yerinə yetiriləcək və FIPS rejiminə daxil olmaq üçün cihazın yenidən işə salınması lazımdır. [redaktə] crypto-officer@hostname# öhdəliyi
RSA açarı yaradılır /etc/ssh/fips_ssh_host_key
RSA2 açarı yaradılır /etc/ssh/fips_ssh_host_rsa_key
ECDSA açarı yaradılır /etc/ssh/fips_ssh_host_ecdsa_key
[redaktə] sistemi
FIPS 1-ci səviyyəyə keçid üçün yenidən yükləmə tələb olunur öhdəliyi tamamlandı [redaktə] crypto-officer@hostname# icra sorğusu vmhost reboot
Cihazı yenidən işə saldıqdan sonra FIPS özünü sınayacaq və cihaz FIPS rejiminə keçir. kripto-officer@hostname: fips>

ƏLAQƏLİ SƏNƏDLƏR
FIPS Rejimində Junos OS üçün Parol Spesifikasiyalarını və Təlimatları Anlamaq | 20
Crypto Officer və FIPS İstifadəçi İdentifikasiyası və Girişinin konfiqurasiyası
BU BÖLMƏDƏ
Kripto Məmur Girişinin Konfiqurasiyası | 30
FIPS İstifadəçi Girişinin Konfiqurasiyası | 32
Crypto Officer cihazınızda FIPS rejimini işə salır və FIPS rejimində Junos ƏS üçün bütün konfiqurasiya tapşırıqlarını yerinə yetirir və bütün Junos ƏS-ni FIPS rejimində bəyanatlar və əmrlər verir. Crypto Officer və FIPS istifadəçi konfiqurasiyaları FIPS rejimi qaydalarında Junos OS-yə əməl etməlidir.
Kripto Məmur Girişinin Konfiqurasiyası
FIPS rejimində olan Junos OS FIPS 140-2 tərəfindən verilən icazələrdən daha incə istifadəçi icazələri təklif edir.
FIPS 140-2 uyğunluğu üçün sirr, təhlükəsizlik, texniki xidmət və nəzarət icazə bitləri dəstinə malik istənilən FIPS istifadəçisi Kripto Məmurdur. Əksər hallarda super istifadəçi sinfi Kripto Məmuru üçün kifayətdir.
Kripto Məmur üçün giriş girişini konfiqurasiya etmək üçün:

Artıq etməmisinizsə, kök parolu ilə cihaza daxil olun və konfiqurasiya rejiminə daxil olun: root@hostname> redaktə Konfiqurasiya rejiminə daxil edilir [redaktə] root@hostname#
İstifadəçi kripto-məmurunu adlandırın və Kripto Məmuruna istifadəçi ID-si təyin edin (məsample, 6400, 100-dən 64000-ə qədər olan giriş hesabı ilə əlaqəli unikal nömrə və sinif (məs.ample, super istifadəçi). Sinfi təyin edərkən, icazələri təyin edirsiniz - məsələnample, gizli, təhlükəsizlik, texniki xidmət və nəzarət.
İcazələrin siyahısı üçün Junos ƏS Giriş İmtiyaz Səviyyələrini Anlamaq bölməsinə baxın.
[redaktə] root@hostname# sistemə giriş istifadəçi istifadəçi adı uid dəyəri sinif sinif-adı təyin edin
məsələnample:
[redaktə] root@hostname# sistemə giriş istifadəçisi kripto-officer uid 6400 sinif super istifadəçi təyin edin

“FIPS Rejimində Junos ƏS üçün Parol Spesifikasiyalarını və Təlimatları Anlamaq” səhifə 20-dəki təlimatlara əməl edərək, Kripto Məmuruna giriş identifikasiyası üçün düz mətn parolu təyin edin. Yeni parol və Yeni parolu yenidən yazın sorğularından sonra parol yazaraq parolu təyin edin.
[redaktə] root@hostname# sistem girişini təyin edin istifadəçi istifadəçi adı sinif sinif adı autentifikasiyası (düz sınaq parolu |
şifrəli parol)
məsələnample:
[redaktə] root@hostname# sistemə giriş istifadəçisi kripto-məmur sinfi super istifadəçi autentifikasiyası düz mətn-parol
İsteğe bağlı olaraq, konfiqurasiyanı göstərin:
[redaktə] root@hostname# redaktə sistemi
[redaktə sistemi] root@hostname# göstərin
daxil ol {
istifadəçi kripto-məmuru {
uid 6400;
identifikasiyası {
şifrəli parol " ”; ## GİZLİ MƏLUMAT
}
sinif super istifadəçi;
}
}
Cihazı konfiqurasiya etməyi bitirmisinizsə, konfiqurasiyanı yerinə yetirin və çıxın:
[redaktə] root@hostname# öhdəliyi tamamlandı
root@hostname# çıxış

FIPS İstifadəçi Girişinin Konfiqurasiyası
Fips istifadəçisi sirr, təhlükəsizlik, texniki xidmət və nəzarət icazəsi bitləri təyin olunmayan hər hansı FIPS istifadəçisi kimi müəyyən edilir.
Crypto Officer olaraq siz FIPS istifadəçiləri təyin edirsiniz. FIPS istifadəçilərinə adətən Kripto Məmuru üçün ayrılmış icazələr verilə bilməz, məsələnample, sistemi sıfırlamaq üçün icazə.
FIPS istifadəçisi üçün giriş girişini konfiqurasiya etmək üçün:

Artıq etməmisinizsə, Crypto Officer parolunuzla cihaza daxil olun və konfiqurasiya rejiminə daxil olun:
kripto-officer@hostname:fips> redaktə edin
Konfiqurasiya rejiminə daxil edilir
[redaktə] crypto-officer@hostname:fips#
İstifadəçiyə istifadəçi adı verin və istifadəçiyə istifadəçi identifikatoru təyin edin (məsample, 6401, 1-dən 64000-ə qədər) və bir sinif arasında unikal nömrə olmalıdır. Sinfi təyin edərkən, icazələri təyin edirsiniz - məsələnample, sil, şəbəkə, sıfırlaview, və view-konfiqurasiya.
[redaktə] crypto-officer@hostname:fips# set sistemə giriş istifadəçi adı istifadəçi adı uid dəyəri sinif sinif adı Məsələnample:
[redaktə] crypto-officer@hostname:fips# set sistemə giriş istifadəçisi fips-user1 uid 6401 sinfi yalnız oxunur

Junos OS üçün “Parol Spesifikasiyalarını və Təlimatları Anlamaq” bölməsindəki təlimatlara əməl etməklə
FIPS Modu” səhifə 20-də, FIPS istifadəçisinə giriş identifikasiyası üçün düz mətn parolu təyin edin. Yeni parol və Yeni parolu yenidən yazın sorğularından sonra parol yazaraq parolu təyin edin.
[redaktə] crypto-officer@hostname:fips# müəyyən sistemə giriş istifadəçi istifadəçi adı sinif sinif adı autentifikasiyası (düz mətn-parol | şifrələnmiş parol)
məsələnample:
[redaktə] crypto-officer@hostname:fips# müəyyən sistemə giriş istifadəçisi fips-user1 sinfi yalnız oxunan autentifikasiya düz mətn-parol
İsteğe bağlı olaraq, konfiqurasiyanı göstərin:
[redaktə] crypto-officer@hostname:fips# redaktə sistemi [redaktə sistemi] kripto-officer@hostname:fips# şou
daxil ol {
istifadəçi fips-user1 {
uid 6401;
identifikasiyası {
şifrəli parol " ”; ## GİZLİ MƏLUMAT
}
sinif yalnız oxumaq üçün;
}
}
Cihazı konfiqurasiya etməyi bitirmisinizsə, konfiqurasiyanı yerinə yetirin və çıxın:
[redaktə] crypto-officer@hostname:fips# commit
kripto-officer@hostname:fips# çıxış

SSH və Konsol Bağlantısının konfiqurasiyası

FIPS üçün Qiymətləndirilmiş Konfiqurasiyada SSH konfiqurasiyası
Qiymətləndirilmiş konfiqurasiyada icazə verilən uzaqdan idarəetmə interfeysi vasitəsilə SSH. Bu mövzu uzaqdan idarəetmə vasitəsilə SSH-nin necə konfiqurasiya olunacağını təsvir edir.
FIPS üçün SSH-ni doğrulamaq üçün konfiqurasiya edilməli olan aşağıdakı alqoritmlər.
DUT-da SSH-ni konfiqurasiya etmək üçün:

Sistem xidmətləri üçün icazə verilən SSH host açarı alqoritmlərini göstərin.
[redaktə] user@host# set sistem xidmətləri ssh hostkey-alqoritmi ssh-ecdsa
user@host# sistem xidmətlərini təyin edin ssh hostkey-alqoritmi no-ssh-dss
user@host# sistem xidmətlərini təyin edin ssh hostkey-alqoritmi ssh-rsa
Sistem xidmətləri üçün Diffie-Hellman açarları üçün SSH açar mübadiləsini göstərin.
[redaktə] user@host# sistem xidmətlərini təyin edin ssh açar mübadiləsi dh-group14-sha1
user@host# sistem xidmətlərini təyin edin ssh açar mübadiləsi ecdh-sha2-nistp256
user@host# sistem xidmətlərini təyin edin ssh açar mübadiləsi ecdh-sha2-nistp384
user@host# sistem xidmətlərini təyin edin ssh açar mübadiləsi ecdh-sha2-nistp521

SSHv2 üçün icazə verilən bütün mesaj identifikasiyası kodu alqoritmlərini göstərin
[redaktə] user@host# sistem xidmətlərini təyin edin ssh macs hmac-sha1
user@host# sistem xidmətlərini təyin edin ssh macs hmac-sha2-256
user@host# sistem xidmətlərini təyin edin ssh macs hmac-sha2-512
Protokolun 2-ci versiyası üçün icazə verilən şifrələri göstərin.
[redaktə] user@host# set sistem xidmətləri ssh şifrələri aes128-cbc
user@host# sistem xidmətlərini təyin edin ssh şifrələri aes256-cbc
user@host# sistem xidmətlərini təyin edin ssh şifrələri aes128-ctr
user@host# sistem xidmətlərini təyin edin ssh şifrələri aes256-ctr
user@host# sistem xidmətlərini təyin edin ssh şifrələri aes192-cbc
user@host# sistem xidmətlərini təyin edin ssh şifrələri aes192-ctr
Dəstəklənən SSH host açarı alqoritmi:
ssh-ecdsa ECDSA host açarının yaradılmasına icazə verin
ssh-rsa RSA host açarının yaradılmasına icazə verin
Dəstəklənən SSH açar mübadiləsi alqoritmi:
ecdh-sha2-nistp256 SHA256-2 ilə nistp256-da EC Diffie-Hellman
ecdh-sha2-nistp384 SHA384-2 ilə nistp384-da EC Diffie-Hellman
ecdh-sha2-nistp521 SHA521-2 ilə nistp512-da EC Diffie-Hellman
Dəstəklənən MAC alqoritmi:
hmac-sha1 Təhlükəsiz Hash Alqoritmindən (SHA1) istifadə edən Hash-əsaslı MAC
hmac-sha2-256 Təhlükəsiz Hash Alqoritmindən (SHA2) istifadə edən Hash-əsaslı MAC
hmac-sha2-512 Təhlükəsiz Hash Alqoritmindən (SHA2) istifadə edən Hash-əsaslı MAC
Dəstəklənən SSH şifrələri alqoritmi:
Şifrə Blok Zəncirləmə ilə aes128-cbc 128-bit AES
Sayğac rejimi ilə aes128-ctr 128-bit AES
Şifrə Blok Zəncirləmə ilə aes192-cbc 192-bit AES
Sayğac rejimi ilə aes192-ctr 192-bit AES
Şifrə Blok Zəncirləmə ilə aes256-cbc 256-bit AES
Sayğac rejimi ilə aes256-ctr 256-bit AES

MACsec konfiqurasiya edilir

FIPS rejimində Media Girişinə Nəzarət Təhlükəsizliyini (MACsec) Anlamaq
Media Access Control Security (MACsec) Ethernet keçidlərində bütün trafik üçün təhlükəsiz rabitə təmin edən 802.1AE IEEE sənaye standartlı təhlükəsizlik texnologiyasıdır. MACsec birbaşa əlaqəli qovşaqlar arasında Ethernet bağlantılarında nöqtədən nöqtəyə təhlükəsizliyi təmin edir və xidmətdən imtina, müdaxilə, ortada adam, maskarad, passiv telefon dinləmə və oxutma hücumları da daxil olmaqla əksər təhlükəsizlik təhdidlərini müəyyən etməyə və qarşısını almağa qadirdir.
MACsec sizə Link Layer Discovery Protocol (LLDP), Link Aggregation Control Protocol (LACP), Dynamic Host Configuration Protocol (DHCP), Address Resolution Protocol (ARP), və digər təhlükəsizlik həlləri ilə məhdudiyyətlərə görə adətən Ethernet keçidində qorunmayan digər protokollar. MACsec şəbəkə təhlükəsizliyini təmin etmək üçün IP Təhlükəsizliyi (IPsec) və Secure Sockets Layer (SSL) kimi digər təhlükəsizlik protokolları ilə birlikdə istifadə edilə bilər.
MACsec IEEE 802.1AE-də standartlaşdırılıb. IEEE 802.1AE standartını IEEE təşkilatında görmək olar webIEEE 802.1-də sayt: KÖPRÜLƏMƏ VƏ İDARƏETMƏ.
Alqoritmin hər bir tətbiqi bir sıra məlum cavab testi (KAT) özünü testləri və kripto alqoritmlərinin yoxlanılması (CAV) ilə yoxlanılır. Aşağıdakı kriptoqrafik alqoritmlər MACsec üçün xüsusi olaraq əlavə edilmişdir.

Qabaqcıl Şifrələmə Standartı (AES) - Şifrə Mesajı Doğrulama Kodu (CMAC)
Təkmil Şifrələmə Standartı (AES) Açar Paketi
MACsec üçün konfiqurasiya rejimində identifikasiya üçün 64 hexadecimal simvoldan ibarət gizli açar dəyərini daxil etmək üçün əmr əmrindən istifadə edin.
[redaktə] crypto-officer@hostname:fips# tez təhlükəsizlik macsec əlaqə-assosiasiya əvvəlcədən paylaşılan açar cak
Yeni tort (gizli):
Yeni tortu yenidən yazın (gizli):

Vaxtı Fərdiləşdirmə
Vaxtı fərdiləşdirmək üçün NTP-ni söndürün və tarixi təyin edin.

NTP-ni söndürün.
[redaktə] crypto-officer@hostname:fips# qrupları deaktiv et qlobal sistem ntp
crypto-officer@hostname:fips# sistemi ntp-ni deaktiv edin
kripto-officer@hostname:fips# commit
kripto-officer@hostname:fips# çıxış

Tarix və vaxt təyin edilməsi. Tarix və vaxt formatı YYYYMMDDHHMM.ss
[redaktə] crypto-officer@hostname:fips# təyin tarixi 201803202034.00
kripto-officer@hostname:fips# cli timest təyin edinamp
MACsec Açar Müqaviləsi (MKA) təhlükəsiz kanal təfərrüatlarını təyin edin.
[redaktə] crypto-officer@hostname:fips# set security macsec connectivity-association connectivity association-name təhlükəsiz-kanal təhlükəsiz-kanal-ad istiqaməti (daxil | outbound) crypto-officer@hostname:fips# set security macsec connectivity-association connectivity association -ad təhlükəsiz-kanal təhlükəsiz-kanal-ad şifrələməsi (MACsec) kripto-officer@hostname:fips# set təhlükəsizlik macsec qoşulma-assosiasiya əlaqə-adı təhlükəsiz kanal təhlükəsiz-kanal-adı id mac-ünvanı /”mac-ünvan kripto- officer@hostname:fips# set security macsec connectivity-association connectivityassociation-name təhlükəsiz-kanal təhlükəsiz-kanal-ad id port-id port-id-number crypto-officer@hostname:fips# set security macsec connectivity-association connectivityassociation-name protect -kanal təhlükəsiz-kanal-adı ofset "(0|30|50) kripto-officer@hostname:fips# set təhlükəsizlik macsec əlaqə-assosiasiya əlaqə-adı təhlükəsiz-kanal təhlükəsiz-kanal-adı təhlükəsizlik birliyi təhlükəsizlik-assosiasiyanömrə açarı- simli
MKA-nı təhlükəsizlik rejiminə qoyun.
[redaktə] crypto-officer@hostname:fips# set security macsec connectivity-assosiation connectivityassociation-name security-rejim security-rejim

Konfiqurasiya edilmiş əlaqə assosiasiyasını müəyyən MACsec interfeysi ilə təyin edin.
[redaktə et] crypto-officer@hostname:fips# set təhlükəsizlik macsec interfeysləri interfeys-adı qoşulma birliyi əlaqə-assosiasiya-adı

Statik MACsec-in ICMP Traffic ilə konfiqurasiyası
R0 cihazı və R1 cihazı arasında ICMP trafikindən istifadə edərək Statik MACsec-i konfiqurasiya etmək üçün:
R0-da:

Bağlantı assosiasiya açarının adını (CKN) və əlaqə assosiasiya açarını (CAK) konfiqurasiya etməklə əvvəlcədən paylaşılan açarı yaradın.
[redaktə] crypto-officer@hostname:fips# set təhlükəsizlik macsec əlaqə-assosiasiya CA1 əvvəlcədən paylaşılan açar ckn 2345678922334455667788992223334445556667778889992222333344445555
crypto-officer@hostname:fips# set security macsec connectivity-association CA1 pre-sharedkey cak 23456789223344556677889922233344 crypto-officer@hostname:fips# set security macsec connectivity-associ1 CA30 offset

İz seçimi dəyərlərini təyin edin.
[redaktə] crypto-officer@hostname:fips# təhlükəsizlik macsec izləmə seçimlərini təyin edin file MACsec.log
kripto-officer@hostname:fips# təhlükəsizlik macsec izləmə seçimlərini təyin edin file ölçü 4000000000
kripto-officer@hostname:fips# set təhlükəsizlik macsec traceoptions hamısını qeyd edin
İzi interfeysə təyin edin.
[redaktə] crypto-officer@hostname:fips# set təhlükəsizlik macsec interfeysləri interfeys-ad traceoptions file mka_xe ölçüsü 1g kripto-officer@hostname:fips# set təhlükəsizlik macsec interfeysləri interfeys-ad traceoptions hamısını qeyd edin
MACsec təhlükəsizlik rejimini əlaqə birliyi üçün statik-cak kimi konfiqurasiya edin. [redaktə] crypto-officer@hostname:fips# set təhlükəsizlik macsec əlaqə-assosiasiya CA1 təhlükəsizlik rejimi static-cak

MKA əsas server prioritetini təyin edin.
[redaktə] crypto-officer@hostname:fips# set təhlükəsizlik macsec əlaqə-assosiasiya CA1 mka açar-server prioriteti 1
MKA ötürmə intervalını təyin edin.
[redaktə] crypto-officer@hostname:fips# set təhlükəsizlik macsec qoşulma-assosiasiya CA1 mka transmitinterval 3000
MKA təhlükəsizliyini aktivləşdirin.
[redaktə] crypto-officer@hostname:fips# set təhlükəsizlik macsec əlaqə-assosiasiya CA1 mka shouldsecure
kripto-officer@hostname:fips# set təhlükəsizlik macsec əlaqə-assosiasiya CA1 daxildir-sci

Bağlantı assosiasiyasını interfeysə təyin edin.
[redaktə] crypto-officer@hostname:fips# set təhlükəsizlik macsec interfeysləri interfeys-adı əlaqə assosiasiyası
CA1
crypto-officer@hostname:fips# interfeyslər dəsti interfeys-ad vahidi 0 ailə inet ünvanı 10.1.1.1/24

R1-da:

Bağlantı assosiasiya açarının adını (CKN) və əlaqə assosiasiya açarını (CAK) konfiqurasiya etməklə əvvəlcədən paylaşılan açarı yaradın.
[redaktə] crypto-officer@hostname:fips# set təhlükəsizlik macsec Connectivity-association CA1 pre-sharedkey ckn 2345678922334455667788992223334445556667778889992222333344445555psho#crypt1 setoff təhlükəsizlik macsec əlaqə-assosiasiyası CA23456789223344556677889922233344 əvvəlcədən paylaşılan açar cak 1 crypto-officer@hostname:fips # set təhlükəsizlik macsec əlaqə-assosiasiya CA30 ofset XNUMX
İz seçimi dəyərlərini təyin edin.
[redaktə] crypto-officer@hostname:fips# təhlükəsizlik macsec izləmə seçimlərini təyin edin file MACsec.log crypto-officer@hostname:fips# təhlükəsizlik macsec izləmə seçimlərini təyin edin file ölçüsü 4000000000 crypto-officer@hostname:fips# set təhlükəsizlik macsec traceoptions hamısını qeyd edin

İzi interfeysə təyin edin. [redaktə] crypto-officer@hostname:fips# set təhlükəsizlik macsec interfeysləri interfeys-ad traceoptions file mka_xe ölçüsü 1g kripto-officer@hostname:fips# set təhlükəsizlik macsec interfeysləri interfeys-ad traceoptions hamısını qeyd edin
MACsec təhlükəsizlik rejimini əlaqə birliyi üçün statik-cak kimi konfiqurasiya edin. [redaktə] crypto-officer@hostname:fips# set təhlükəsizlik macsec əlaqə-assosiasiya CA1 təhlükəsizlik rejimi static-cak
MKA ötürmə intervalını təyin edin.
[redaktə] crypto-officer@hostname:fips# set təhlükəsizlik macsec qoşulma-assosiasiya CA1 mka transmitinterval 3000

MKA təhlükəsizliyini aktivləşdirin. [redaktə] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 mka should secure crypto-officer@hostname:fips# set security macsec connectivity-association CA1 include-sci
Bağlantı assosiasiyasını interfeysə təyin edin. [redaktə] crypto-officer@hostname:fips# set təhlükəsizlik macsec interfeysləri interfeys-adı əlaqə assosiasiyası CA1 kripto-officer@hostname:fips# dəst interfeyslər interfeys-ad vahid 0 ailə inet ünvanı 10.1.1.2/24

MACsec-in ICMP Traffic istifadə edərək açarlıq ilə konfiqurasiyası
R0 cihazı ilə R1 cihazı arasında ICMP trafikindən istifadə edərək MACsec-i açar zəncirlə konfiqurasiya etmək üçün:
R0-da:

Doğrulama açar zəncirinə tolerantlıq dəyəri təyin edin. [redaktə] crypto-officer@hostname:fips# set təhlükəsizlik identifikasiyası-açar zəncirləri açar zənciri macsec-kc1 tolerantlığı 20
İstifadə etmək üçün gizli parol yaradın. Bu, uzunluğu 64 simvola qədər olan onaltılıq rəqəmlərdən ibarət sətirdir. Simvol sətri dırnaq içərisində olarsa, parol boşluqları ehtiva edə bilər. Anahtarlığın gizli məlumatları CAK kimi istifadə olunur.
[redaktə] crypto-officer@hostname:fips# set təhlükəsizlik identifikasiyası-açar zəncirləri açar zəncirləri macsec-kc1 açarı 0 açar adı 2345678922334455667788992223334445556667778889992222333344445551 ad:fips# set təhlükəsizlik identifikasiyası-açar zəncirləri açar zəncirləri macsec- kc1 açarı 0 başlama vaxtı 2018-03-20.20:35 crypto-officer@hostname:fips# set təhlükəsizlik identifikasiyası-açar zəncirləri açar zənciri macsec-kc1 açar 1 açar-adı 2345678922334455667788992223334445556667778889992222333344445552 1 crypto-officer@hostname:fips# təhlükəsizlik təyin edin autentifikasiya-açar zəncirləri açar zənciri macsec-kc1 açar 2018 başlanğıc vaxtı 03-20.20-37:1 crypto-officer@hostname:fips# set təhlükəsizlik identifikasiyası-açar zəncirləri açar zənciri macsec-kc2 açar 2345678922334455667788992223334445556667778889992222333344445553 açar-adı 1 2 crypto-officer@hostname:fips# set təhlükəsizlik identifikasiyası-açar zəncirləri açar zənciri macsec-kc2018 açar 03 başlanğıc vaxtı 20.20-39-1:3 crypto-officer@hostname:fips# set təhlükəsizlik identifikasiyası-açar zəncirləri açarı- zəncir macsec-kc2345678922334455667788992223334445556667778889992222333344445554 açar 1 açar-adı 3 crypto-officer@hostname a:fipshensc2018sc03setec-key-adı-a:fipshensc20.20setec-key-adı -zaman 41-1-4:2345678922334455667788992223334445556667778889992222333344445555 crypto-officer@hostname:fips # set təhlükəsizlik identifikasiyası-açar zəncirləri açar zənciri macsec-kc1 açar 4 açar adı 2018iceri security-key-adı aa-aaaaaaaaaaaaa. -zəncir macsec-kc03 açarı 20.20 başlanğıc vaxtı 43-1- 5:2345678922334455667788992223334445556667778889992222333344445556 crypto-officer@hostname:fips# set təhlükəsizlik identifikasiyası-açar zəncirləri açar zənciri macsec-kc1 açar 5 açar-adı 2018crypt03 icer@hostname:fips# set təhlükəsizlik identifikasiyası-açar zəncirləri açar zəncirinin macsec- kc20.20 açarı 45 başlama vaxtı 1-6-2345678922334455667788992223334445556667778889992222333344445557:1 crypto-officer@hostname:fips# set təhlükəsizlik identifikasiyası-açar zəncirləri açar zənciri macsec-kc6 açar 2018 açar-adı 03 20.20 crypto-officer@hostname:fips# təhlükəsizlik təyin edin autentifikasiya-açar zəncirləri açar zənciri macsec-kc47 açarı 1 başlanğıc vaxtı 7-2345678922334455667788992223334445556667778889992222333344445558-1:7 crypto-officer@hostname:fips# set təhlükəsizlik identifikasiyası-açar zəncirləri açar zənciri macsec-kc2018 açarı 03 açar-adı 20.20 49 crypto-officer@hostname:fips# set təhlükəsizlik identifikasiyası-açar zəncirləri açar zənciri macsec-kcXNUMX açarı XNUMX başlama vaxtı XNUMX-XNUMX-XNUMX:XNUMX Gizli açar dəyərini daxil etmək üçün sorğu əmrindən istifadə edin. məsələnample, məxfi açar dəyəri 2345678922334455667788992223334123456789223344556677889922233341. [redaktə] crypto-officer@hostname:fipsut#maccaincseck-securitykey1promptcseck t Yeni tort (gizli): Yeni tortu yenidən yazın (gizli): kripto-zabit @hostname:fips# operativ təhlükəsizlik identifikasiyası-açar zəncirləri açar zənciri macseckc0 açar 1 sirri Yeni cak (gizli):
Yeni tortu yenidən yazın (gizli): crypto-officer@hostname:fips# operativ təhlükəsizlik identifikasiyası-açar zəncirləri açar zənciri macseckc1 açar 2 gizli Yeni cak (gizli):
Yeni tortu yenidən yazın (gizli): crypto-officer@hostname:fips# operativ təhlükəsizlik identifikasiyası-açar zəncirləri açar zənciri macseckc1 açar 3 gizli Yeni cak (gizli): Yeni tortu yenidən yazın (gizli): kripto-officer@hostname:fips# operativ təhlükəsizlik autentifikasiyası-açar zəncirləri açar zənciri macseckc1 açarı 4 sirr Yeni cak (gizli): Yeni cak-ı yenidən yazın (gizli): crypto-officer@hostname:fips# operativ təhlükəsizlik autentifikasiyası-açar zəncirləri açar zənciri macseckc1 açar 5 məxfi Yeni cak (gizli): Yeni cak (gizli) yenidən yazın: crypto-officer@hostname:fips# operativ təhlükəsizlik autentifikasiyası-açar zəncirləri açar zəncirləri macseckc1 açar 6 gizli Yeni cak (gizli): Yeni cak (gizli): kripto-məmur @hostname:fips# operativ təhlükəsizlik identifikasiyası-açar zəncirləri açar zənciri macseckc1 açar 7 məxfi Yeni cak (gizli): Yeni tortu yenidən yazın (gizli):
Əvvəlcədən paylaşılmış açar zəncirinin adını əlaqə assosiasiyası ilə əlaqələndirin.
[redaktə] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 pre-shared key-chain macsec-kc1 crypto-officer@hostname:fips# set security macsec connectivity-association CA1 ofset 50 crypto-officer@hostname: # set təhlükəsizlik macsec əlaqə-assosiasiya CA1 cipher-suite gcm-aes-256
QEYD: Şifrə dəyəri həmçinin gcm-aes-128 şifrə paketi kimi təyin edilə bilər.

İz seçimi dəyərlərini təyin edin.
[redaktə] crypto-officer@hostname:fips# təhlükəsizlik macsec izləmə seçimlərini təyin edin file MACsec.log crypto-officer@hostname:fips# təhlükəsizlik macsec izləmə seçimlərini təyin edin file ölçüsü 4000000000 crypto-officer@hostname:fips# set təhlükəsizlik macsec traceoptions hamısını qeyd edin
İzi interfeysə təyin edin. [redaktə] crypto-officer@hostname:fips# set təhlükəsizlik macsec interfeysləri interfeys-ad traceoptions file mka_xe ölçüsü 1g kripto-officer@hostname:fips# set təhlükəsizlik macsec interfeysləri interfeys-ad traceoptions hamısını qeyd edin
MACsec təhlükəsizlik rejimini əlaqə birliyi üçün statik-cak kimi konfiqurasiya edin. [redaktə] crypto-officer@hostname:fips# set təhlükəsizlik macsec əlaqə-assosiasiya CA1 təhlükəsizlik rejimi static-cak

MKA əsas server prioritetini təyin edin.
[redaktə] crypto-officer@hostname:fips# set təhlükəsizlik macsec əlaqə-assosiasiya CA1 mka keyserver-priority 1
MKA ötürmə intervalını təyin edin.
[redaktə] crypto-officer@hostname:fips# set təhlükəsizlik macsec qoşulma-assosiasiya CA1 mka transmitinterval 3000
MKA təhlükəsizliyini aktivləşdirin.
[redaktə] crypto-officer@hostname:fips# set təhlükəsizlik macsec əlaqə-assosiasiya CA1 daxildir-sci

Bağlantı assosiasiyasını interfeysə təyin edin.
[redaktə] crypto-officer@hostname:fips# set təhlükəsizlik macsec interfeysləri interfeys-adı qoşulma assosiasiyası CA1
kripto-officer@hostname:fips#
set interfeysləri interfeys-ad vahid 0 ailə inet ünvanı 10.1.1.1/24

MACsec-i ICMP trafiki üçün açarlıq ilə konfiqurasiya etmək üçün:
R1-da:

Doğrulama açar zəncirinə tolerantlıq dəyəri təyin edin.
[redaktə] crypto-officer@hostname:fips# set təhlükəsizlik identifikasiyası-açar zəncirləri açar zənciri macsec-kc1 tolerantlığı 20

İstifadə etmək üçün gizli parol yaradın. Bu, uzunluğu 64 simvola qədər olan onaltılıq rəqəmlərdən ibarət sətirdir. Simvol sətri dırnaq içərisində olarsa, parol boşluqları ehtiva edə bilər. Anahtarlığın gizli məlumatları CAK kimi istifadə olunur.
[redaktə] crypto-officer@hostname:fips# set təhlükəsizlik identifikasiyası-açar zəncirləri açar zəncirləri macsec-kc1 açarı 0 açar adı 2345678922334455667788992223334445556667778889992222333344445551 ad:fips# set təhlükəsizlik identifikasiyası-açar zəncirləri açar zəncirləri macsec- kc1 açarı 0 başlama vaxtı 2018-03-20.20:35 crypto-officer@hostname:fips# set təhlükəsizlik identifikasiyası-açar zəncirləri açar zənciri macsec-kc1 açar 1 açar-adı 2345678922334455667788992223334445556667778889992222333344445552 1 crypto-officer@hostname:fips# təhlükəsizlik təyin edin autentifikasiya-açar zəncirləri açar zənciri macsec-kc1 açar 2018 başlanğıc vaxtı 03-20.20-37:1 crypto-officer@hostname:fips# set təhlükəsizlik identifikasiyası-açar zəncirləri açar zənciri macsec-kc2 açar 2345678922334455667788992223334445556667778889992222333344445553 açar-adı 1 2 crypto-officer@hostname:fips# set təhlükəsizlik identifikasiyası-açar zəncirləri açar zənciri macsec-kc2018 açar 03 başlanğıc vaxtı 20.20-39-1:3 crypto-officer@hostname:fips# set təhlükəsizlik identifikasiyası-açar zəncirləri açarı- zəncir macsec-kc2345678922334455667788992223334445556667778889992222333344445554 açar 1 açar-adı 3 crypto-officer@hostname a:fipshensc2018sc03 təhlükəsizlik açarı-mac-adı a:fipshensc20.20setec-setec-key-adı -zaman 41-1-4:2345678922334455667788992223334445556667778889992222333344445555 crypto-officer@hostname:fips # set təhlükəsizlik identifikasiyası-açar zəncirləri açar zənciri macsec-kc1 açar 4 açar adı 2018iceri security-key-adı aa-aaaaaaaaaaaaa. -zəncir macsec-kc03 açarı 20.20 başlama vaxtı 43-1- 5:345678922334455667788992223334445556667778889992222333344445556 crypto-officer@hostname:fips# set təhlükəsizlik identifikasiyası-açar zəncirləri açar zənciri macsec-kc1 açar 5 açar adı 2018crypt03 cer@hostname:fips# set təhlükəsizlik identifikasiyası-açar zəncirləri açar zəncirləri macsec- kc20.20 açarı 45 başlama vaxtı 1-6-2345678922334455667788992223334445556667778889992222333344445557:1 crypto-officer@hostname:fips# set təhlükəsizlik identifikasiyası-açar zəncirləri açar zənciri macsec-kc6 açar 2018 açar-adı 03 20.20 crypto-officer@hostname:fips# təhlükəsizlik təyin edin autentifikasiya-açar zəncirləri açar zənciri macsec-kc47 açarı 1 başlanğıc vaxtı 7-2345678922334455667788992223334445556667778889992222333344445558-1:7 crypto-officer@hostname:fips# set təhlükəsizlik identifikasiyası-açar zəncirləri açar zənciri macsec-kc2018 açarı 03 açar-adı 20.20 49 crypto-officer@hostname:fips# set təhlükəsizlik identifikasiyası-açar zəncirləri açar zənciri macsec-kcXNUMX açarı XNUMX başlanğıc vaxtı XNUMX-XNUMX-XNUMX:XNUMX
Gizli açar dəyərini daxil etmək üçün əmr əmrindən istifadə edin. məsələnample, gizli açar dəyəri 2345678922334455667788992223334123456789223344556677889922233341-dir.
[redaktə] crypto-officer@hostname:fips# operativ təhlükəsizlik identifikasiyası-açar zəncirləri açar zənciri macseckc1 açar 0 sirri
Yeni tort (gizli):
Yeni tortu yenidən yazın (gizli): crypto-officer@hostname:fips# operativ təhlükəsizlik identifikasiyası-açar zəncirləri açar zənciri macseckc1 açar 1 gizli Yeni cak (gizli): Yeni tortu yenidən yazın (gizli): kripto-officer@hostname:fips# operativ təhlükəsizlik identifikasiyası-açar zəncirləri açar zənciri macseckc1 açar 2 sirr Yeni cak (gizli): Yeni cak (gizli) yenidən yazın: crypto-officer@hostname:fips# operativ təhlükəsizlik autentifikasiyası-açar zəncirləri açar zənciri macseckc1 açar 3 sirri Yeni cak (gizli): Yeni cak (gizli) yenidən yazın: crypto-officer@hostname:fips# operativ təhlükəsizlik identifikasiyası-açar zəncirləri açar zəncirləri macseckc1 açar 4 gizli Yeni cak (gizli): Yeni cak-ı yenidən yazın
(gizli):
crypto-officer@hostname:fips# operativ təhlükəsizlik identifikasiyası-açar zəncirləri açar zəncirləri macseckc1 açar 5 məxfi Yeni cak (gizli): Yeni tortu yenidən yazın (gizli):
crypto-officer@hostname:fips# operativ təhlükəsizlik identifikasiyası-açar zəncirləri açar zənciri macseckc1 açar 6 gizli Yeni cak (gizli):
Yeni tortu yenidən yazın (gizli):
crypto-officer@hostname:fips# operativ təhlükəsizlik identifikasiyası-açar zəncirləri açar zənciri macseckc1 açar 7 gizli Yeni cak (gizli):
Yeni tortu yenidən yazın (gizli):
Əvvəlcədən paylaşılmış açar zəncirinin adını əlaqə assosiasiyası ilə əlaqələndirin.
[redaktə] crypto-officer@hostname:fips# set təhlükəsizlik macsec əlaqə-assosiasiya CA1 əvvəlcədən paylaşılan açar zəncir macsec-kc1
crypto-officer@hostname:fips# set security macsec connectivity-association CA1 ofset 50 crypto-officer@hostname:fips# set security macsec connectivity-association CA1 cipher-suite gcm-aes-256
İz seçimi dəyərlərini təyin edin.
[redaktə] crypto-officer@hostname:fips# təhlükəsizlik macsec izləmə seçimlərini təyin edin file MACsec.log crypto-officer@hostname:fips# təhlükəsizlik macsec izləmə seçimlərini təyin edin file ölçüsü 4000000000 crypto-officer@hostname:fips# set təhlükəsizlik macsec traceoptions hamısını qeyd edin

İzi interfeysə təyin edin.
[redaktə] crypto-officer@hostname:fips# set təhlükəsizlik macsec interfeysləri interfeys-ad traceoptions file mka_xe ölçüsü 1g kripto-officer@hostname:fips# set təhlükəsizlik macsec interfeysləri interfeys-ad traceoptions hamısını qeyd edin
MACsec təhlükəsizlik rejimini əlaqə birliyi üçün statik-cak kimi konfiqurasiya edin.
[redaktə] crypto-officer@hostname:fips# set təhlükəsizlik macsec əlaqə-assosiasiya CA1 təhlükəsizlik rejimi static-cak
MKA əsas server prioritetini təyin edin.
[redaktə] crypto-officer@hostname:fips# set təhlükəsizlik macsec əlaqə-assosiasiya CA1 mka keyserver-priority 1

MKA ötürmə intervalını təyin edin.
[redaktə] crypto-officer@hostname:fips# set təhlükəsizlik macsec qoşulma-assosiasiya CA1 mka transmitinterval 3000
MKA təhlükəsizliyini aktivləşdirin.
[redaktə] crypto-officer@hostname:fips# set təhlükəsizlik macsec əlaqə-assosiasiya CA1 daxildir-sci
Bağlantı assosiasiyasını interfeysə təyin edin.
[redaktə] crypto-officer@hostname:fips# set təhlükəsizlik macsec interfeysləri interfeys-adı əlaqə assosiasiyası
CA1
crypto-officer@hostname:fips# interfeyslər dəsti interfeys-ad vahidi 0 ailə inet ünvanı 10.1.1.2/24

Layer 2 Trafik üçün Statik MACsec konfiqurasiyası
R2 cihazı ilə R0 cihazı arasında Layer 1 trafiki üçün statik MACsec-i konfiqurasiya etmək üçün:
R0-da:

MKA əsas server prioritetini təyin edin.
[redaktə] crypto-officer@hostname:fips# set təhlükəsizlik macsec əlaqə-assosiasiya CA1 mka əsas server prioriteti 1
İstifadə etmək üçün gizli parol yaradın. Bu, uzunluğu 64 simvola qədər olan onaltılıq rəqəmlərdən ibarət sətirdir. Simvol sətri dırnaq içərisində olarsa, parol boşluqları ehtiva edə bilər. Anahtarlığın gizli məlumatları CAK kimi istifadə olunur.
[redaktə] crypto-officer@hostname:fips# operativ təhlükəsizlik identifikasiyası-açar zəncirləri açar zəncirləri macseckc1 açar 0 gizli Yeni cak (gizli):
Yeni tortu yenidən yazın (gizli):
məsələnample, gizli açar dəyəri 2345678922334455667788992223334123456789223344556677889922233341-dir.

Əvvəlcədən paylaşılmış açar zəncirinin adını əlaqə assosiasiyası ilə əlaqələndirin. [redaktə] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 pre-shared key-chain macsec-kc1 crypto-officer@hostname:fips# set security macsec connectivity-association CA1 ofset 50 crypto-officer@hostname: # set təhlükəsizlik macsec əlaqə-assosiasiya CA1 cipher-suite gcm-aes-256
İz seçimi dəyərlərini təyin edin. [redaktə] crypto-officer@hostname:fips# təhlükəsizlik macsec izləmə seçimlərini təyin edin file MACsec.log crypto-officer@hostname:fips# təhlükəsizlik macsec izləmə seçimlərini təyin edin file ölçüsü 4000000000 crypto-officer@hostname:fips# set təhlükəsizlik macsec traceoptions hamısını qeyd edin
İzi interfeysə təyin edin. [redaktə] crypto-officer@hostname:fips# set təhlükəsizlik macsec interfeysləri interfeys-ad traceoptions file mka_xe ölçüsü 1g kripto-officer@hostname:fips# set təhlükəsizlik macsec interfeysləri interfeys-ad traceoptions hamısını qeyd edin
MACsec təhlükəsizlik rejimini əlaqə birliyi üçün statik-cak kimi konfiqurasiya edin.
[redaktə] crypto-officer@hostname:fips# set təhlükəsizlik macsec əlaqə-assosiasiya CA1 təhlükəsizlik rejimi static-cak
MKA əsas server prioritetini təyin edin. [redaktə] crypto-officer@hostname:fips# set təhlükəsizlik macsec əlaqə-assosiasiya CA1 mka əsas server prioriteti 1
MKA ötürmə intervalını təyin edin.
[redaktə] crypto-officer@hostname:fips# set təhlükəsizlik macsec qoşulma-assosiasiya CA1 mka transmitinterval 3000
MKA təhlükəsizliyini aktivləşdirin.
[redaktə] crypto-officer@hostname:fips# set təhlükəsizlik macsec əlaqə-assosiasiya CA1 daxildir-sci
Bağlantı assosiasiyasını interfeysə təyin edin.
[redaktə] crypto-officer@hostname:fips# set təhlükəsizlik macsec interfeysləri interfeys-adı əlaqə assosiasiyası
CA1
VLAN-ı konfiqurasiya edin tagging.
[redaktə] kripto-officer@hostname:fips# interfeyslər dəsti interfeys-ad1 çevik-vlan-tagging
crypto-officer@hostname:fips# set interfeysləri interfeys-name1 inkapsulyasiya çevik Ethernet xidmətləri
kripto-officer@hostname:fips#
interfeysləri təyin edin interfeys-name1 vahid 100 encapsulation vlanbridge
kripto-officer@hostname:fips#
interfeysləri təyin edin interfeys-name1 vahid 100 vlan-id 100
kripto-officer@hostname:fips# interfeyslər dəsti interfeysi-name2 çevik-vlan-tagging
crypto-officer@hostname:fips# set interfeysləri interfeys-name2 inkapsulyasiya çevik Ethernet xidmətləri
kripto-officer@hostname:fips#
interfeysləri təyin edin interfeys-name2 vahid 100 encapsulation vlanbridge
kripto-officer@hostname:fips#
interfeysləri təyin edin interfeys-name2 vahid 100 vlan-id 100
Körpü domenini konfiqurasiya edin.
[redaktə] crypto-officer@hostname:fips# set körpü domenləri BD-110 domen tipli körpü
kripto-officer@hostname:fips# set körpü domenləri BD-110 vlan-id 100
kripto-officer@hostname:fips# set körpü domenləri BD-110 interfeys interfeysi-name1 100
kripto-officer@hostname:fips# set körpü domenləri BD-110 interfeys interfeysi-name2 100

R1-da:

İstifadə etmək üçün gizli parol yaradın. Bu, uzunluğu 64 simvola qədər olan onaltılıq rəqəmlərdən ibarət sətirdir. The
simvol sətri dırnaq işarələri içərisindədirsə, parol boşluqları ehtiva edə bilər. Anahtarlık
gizli məlumatlar CAK kimi istifadə olunur.
[redaktə] crypto-officer@hostname:fips# operativ təhlükəsizlik identifikasiyası-açar zəncirləri açar zənciri macseckc1 açar 0 sirri
Yeni tort
(gizli):
Yeni tortu yenidən yazın
(gizli):
məsələnample, gizli açar dəyəridir
2345678922334455667788992223334123456789223344556677889922233341.
Əvvəlcədən paylaşılmış açar zəncirinin adını əlaqə assosiasiyası ilə əlaqələndirin.
[redaktə] crypto-officer@hostname:fips# set təhlükəsizlik macsec əlaqə-assosiasiya CA1 əvvəlcədən paylaşılan açar zəncirini
macsec-kc1 crypto-officer@hostname:fips#
təhlükəsizlik macsec əlaqə-assosiasiyasını təyin edin CA1 ofset 50
crypto-officer@hostname:fips# set təhlükəsizlik macsec əlaqə-assosiasiya CA1 cipher-suite gcm-aes-256
İz seçimi dəyərlərini təyin edin.
[redaktə] crypto-officer@hostname:fips# təhlükəsizlik macsec izləmə seçimlərini təyin edin file MACsec.log
kripto-officer@hostname:fips# təhlükəsizlik macsec izləmə seçimlərini təyin edin file ölçü 4000000000
kripto-officer@hostname:fips# set təhlükəsizlik macsec traceoptions hamısını qeyd edin
İzi interfeysə təyin edin.
[redaktə] crypto-officer@hostname:fips# set təhlükəsizlik macsec interfeysləri interfeys-ad traceoptions file mka_xe ölçüsü 1g
kripto-officer@hostname:fips# set təhlükəsizlik macsec interfeysləri interfeys-ad traceoptions
hamısını bayraq
MACsec təhlükəsizlik rejimini əlaqə birliyi üçün statik-cak kimi konfiqurasiya edin.
[redaktə] crypto-officer@hostname:fips# təhlükəsizlik macsec əlaqə-assosiasiya CA1 təhlükəsizlik rejimini təyin edin
statik-cak
MKA əsas server prioritetini təyin edin.
[redaktə] crypto-officer@hostname:fips# set təhlükəsizlik macsec əlaqə-assosiasiya CA1 mka əsas server prioriteti 1
MKA ötürmə intervalını təyin edin.
[redaktə] crypto-officer@hostname:fips# set təhlükəsizlik macsec əlaqə-assosiasiya CA1 mka ötürücü interval
3000
MKA təhlükəsizliyini aktivləşdirin.
[redaktə] crypto-officer@hostname:fips# set təhlükəsizlik macsec əlaqə-assosiasiya CA1 daxildir-sci
Bağlantı assosiasiyasını interfeysə təyin edin.
[redaktə] crypto-officer@hostname:fips# set təhlükəsizlik macsec interfeysləri interfeys-adı qoşulma assosiasiyası CA1
VLAN-ı konfiqurasiya edin tagging.
[redaktə] kripto-officer@hostname:fips# interfeyslər dəsti interfeys-ad1 çevik-vlan-tagging
crypto-officer@hostname:fips# set interfeysləri interfeys-name1 inkapsulyasiya çevik Ethernet xidmətləri
crypto-officer@hostname:fips# interfeyslər dəsti interfeys-name1 vahid 100 encapsulation vlanbridge
kripto-officer@hostname:fips#
interfeysləri təyin edin interfeys-name1 vahid 100 vlan-id 100
kripto-officer@hostname:fips# interfeyslər dəsti interfeysi-name2 çevik-vlan-tagging
crypto-officer@hostname:fips# set interfeysləri interfeys-name2 inkapsulyasiya çevik Ethernet xidmətləri
kripto-officer@hostname:fips#
interfeysləri təyin edin interfeys-name2 vahid 100 encapsulation vlanbridge
kripto-officer@hostname:fips#
interfeysləri təyin edin interfeys-name2 vahid 100 vlan-id 100
Körpü domenini konfiqurasiya edin.
[redaktə] crypto-officer@hostname:fips# set körpü domenləri BD-110 domen tipli körpü
kripto-officer@hostname:fips# set körpü domenləri BD-110 vlan-id 100
kripto-officer@hostname:fips# set körpü domenləri BD-110 interfeys interfeysi-name1 100
kripto-officer@hostname:fips# set körpü domenləri BD-110 interfeys interfeysi-name2 100

Layer 2 Traffic üçün açarlıq ilə MACsec konfiqurasiyası

R0 cihazı və R1 cihazı arasında ICMP trafiki üçün MACsec-i açarlıq ilə konfiqurasiya etmək üçün:
R0-da:

Doğrulama açar zəncirinə tolerantlıq dəyəri təyin edin.
[redaktə] crypto-officer@hostname:fips# set təhlükəsizlik identifikasiyası-açar zəncirləri açar zənciri macsec-kc1 tolerantlığı 20
İstifadə etmək üçün gizli parol yaradın. Bu, uzunluğu 64 simvola qədər olan onaltılıq rəqəmlərdən ibarət sətirdir. Simvol sətri dırnaq içərisində olarsa, parol boşluqları ehtiva edə bilər. Anahtarlığın gizli məlumatları CAK kimi istifadə olunur.
[redaktə] crypto-officer@hostname:fips# set təhlükəsizlik identifikasiyası-açar zəncirləri açar zənciri macsec-kc1
açar 0 açar-adı 2345678922334455667788992223334445556667778889992222333344445551
kripto-officer@hostname:fips# set təhlükəsizlik identifikasiyası-açar zəncirləri açar zənciri macsec-kc1
əsas 0 başlama vaxtı 2018-03-20.20:35
kripto-officer@hostname:fips# set təhlükəsizlik identifikasiyası-açar zəncirləri açar zənciri macsec-kc1
açar 1 açar-adı 2345678922334455667788992223334445556667778889992222333344445552
kripto-officer@hostname:fips# set təhlükəsizlik identifikasiyası-açar zəncirləri açar zənciri macsec-kc1
əsas 1 başlama vaxtı 2018-03-20.20:37
kripto-officer@hostname:fips# set təhlükəsizlik identifikasiyası-açar zəncirləri açar zənciri macsec-kc1
açar 2 açar-adı 2345678922334455667788992223334445556667778889992222333344445553
kripto-officer@hostname:fips# set təhlükəsizlik identifikasiyası-açar zəncirləri açar zənciri macsec-kc1
əsas 2 başlama vaxtı 2018-03-20.20:39
kripto-officer@hostname:fips# set təhlükəsizlik identifikasiyası-açar zəncirləri açar zənciri macsec-kc1
açar 3 açar-adı 2345678922334455667788992223334445556667778889992222333344445554
kripto-officer@hostname:fips# set təhlükəsizlik identifikasiyası-açar zəncirləri açar zənciri macsec-kc1
əsas 3 başlama vaxtı 2018-03-20.20:41
kripto-officer@hostname:fips# set təhlükəsizlik identifikasiyası-açar zəncirləri açar zənciri macsec-kc1
açar 4 açar-adı 2345678922334455667788992223334445556667778889992222333344445555
kripto-officer@hostname:fips# set təhlükəsizlik identifikasiyası-açar zəncirləri açar zənciri macsec-kc1
əsas 4 başlama vaxtı 2018-03-20.20:43
kripto-officer@hostname:fips# set təhlükəsizlik identifikasiyası-açar zəncirləri açar zənciri macsec-kc1
açar 5 açar-adı 2345678922334455667788992223334445556667778889992222333344445556
kripto-officer@hostname:fips# set təhlükəsizlik identifikasiyası-açar zəncirləri açar zənciri macsec-kc1
əsas 5 başlama vaxtı 2018-03-20.20:45
kripto-officer@hostname:fips# set təhlükəsizlik identifikasiyası-açar zəncirləri açar zənciri macsec-kc1
açar 6 açar-adı 2345678922334455667788992223334445556667778889992222333344445557
kripto-officer@hostname:fips# set təhlükəsizlik identifikasiyası-açar zəncirləri açar zənciri macsec-kc1
əsas 6 başlama vaxtı 2018-03-20.20:47
kripto-officer@hostname:fips# set təhlükəsizlik identifikasiyası-açar zəncirləri açar zənciri macsec-kc1
açar 7 açar-adı 2345678922334455667788992223334445556667778889992222333344445558
kripto-officer@hostname:fips# set təhlükəsizlik identifikasiyası-açar zəncirləri açar zənciri macsec-kc1
əsas 7 başlama vaxtı 2018-03-20.20:49
Gizli açar dəyərini daxil etmək üçün əmr əmrindən istifadə edin. məsələnample, gizli açar dəyəridir
2345678922334455667788992223334123456789223344556677889922233341.
[redaktə] crypto-officer@hostname:fips# operativ təhlükəsizlik identifikasiyası-açar zəncirləri açar zənciri macseckc1 açar 0 sirri
Yeni tort
(gizli):
Yeni tortu yenidən yazın
(gizli):
kripto-officer@hostname:fips#
operativ təhlükəsizlik identifikasiyası-açar zəncirləri açar zənciri macseckc1 açar 1 sirri
Yeni tort
(gizli):
Yeni tortu yenidən yazın
(gizli):
crypto-officer@hostname:fips# operativ təhlükəsizlik identifikasiyası-açar zəncirləri açar zənciri macseckc1 açar 2 sirri
Yeni tort
(gizli):
Yeni tortu yenidən yazın
(gizli):
kripto-officer@hostname:fips#
operativ təhlükəsizlik identifikasiyası-açar zəncirləri açar zənciri macseckc1 açar 3 sirri
Yeni tort
(gizli):
Yeni tortu yenidən yazın
(gizli):
kripto-officer@hostname:fips#
operativ təhlükəsizlik identifikasiyası-açar zəncirləri açar zənciri macseckc1 açar 4 sirri
Yeni tort
(gizli):
Yeni tortu yenidən yazın
(gizli):
kripto-officer@hostname:fips#
operativ təhlükəsizlik identifikasiyası-açar zəncirləri açar zənciri macseckc1 açar 5 sirri
Yeni tort
(gizli):
Yeni tortu yenidən yazın
(gizli):
kripto-officer@hostname:fips#
operativ təhlükəsizlik identifikasiyası-açar zəncirləri açar zənciri macseckc1 açar 6 sirri
Yeni tort
(gizli):
Yeni tortu yenidən yazın
(gizli):
kripto-officer@hostname:fips#
operativ təhlükəsizlik identifikasiyası-açar zəncirləri açar zənciri macseckc1 açar 7 sirri
Yeni tort
(gizli):
Yeni tortu yenidən yazın
(gizli):
Əvvəlcədən paylaşılmış açar zəncirinin adını əlaqə assosiasiyası ilə əlaqələndirin.
[redaktə] crypto-officer@hostname:fips# set təhlükəsizlik macsec əlaqə-assosiasiya CA1 əvvəlcədən paylaşılan açar zəncirini
macsec-kc1
kripto-officer@hostname:fips#
təhlükəsizlik macsec əlaqə-assosiasiya CA1 şifrə paketini təyin edin
gcm-aes-256
İz seçimi dəyərlərini təyin edin.
[redaktə] crypto-officer@hostname:fips# təhlükəsizlik macsec izləmə seçimlərini təyin edin file MACsec.log
kripto-officer@hostname:fips# təhlükəsizlik macsec izləmə seçimlərini təyin edin file ölçü 4000000000
kripto-officer@hostname:fips# set təhlükəsizlik macsec traceoptions hamısını qeyd edin
İzi interfeysə təyin edin.
[redaktə] crypto-officer@hostname:fips# set təhlükəsizlik macsec interfeysləri interfeys-ad traceoptions
file mka_xe ölçüsü 1g
kripto-officer@hostname:fips# set təhlükəsizlik macsec interfeysləri interfeys-ad traceoptions
hamısını bayraq
MACsec təhlükəsizlik rejimini əlaqə birliyi üçün statik-cak kimi konfiqurasiya edin.
[redaktə] crypto-officer@hostname:fips# təhlükəsizlik macsec əlaqə-assosiasiya CA1 təhlükəsizlik rejimini təyin edin
statik-cak
MKA əsas server prioritetini təyin edin.
[redaktə] crypto-officer@hostname:fips# set təhlükəsizlik macsec əlaqə-assosiasiya CA1 mka əsas server prioriteti 1
MKA ötürmə intervalını təyin edin.
[redaktə] crypto-officer@hostname:fips# set təhlükəsizlik macsec əlaqə-assosiasiya CA1 mka ötürücü interval
3000
MKA təhlükəsizliyini aktivləşdirin.
[redaktə] crypto-officer@hostname:fips# set təhlükəsizlik macsec əlaqə-assosiasiya CA1 daxildir-sci
Bağlantı assosiasiyasını interfeysə təyin edin.
[redaktə] crypto-officer@hostname:fips# set təhlükəsizlik macsec interfeysləri interfeys-adı əlaqə assosiasiyası
CA1
VLAN-ı konfiqurasiya edin tagging.
[redaktə] kripto-officer@hostname:fips# interfeyslər dəsti interfeys-ad1 çevik-vlan-tagging
crypto-officer@hostname:fips# set interfeysləri interfeys-name1 encapsulation flexibleethernet-xidmətləri
kripto-officer@hostname:fips#
interfeysləri təyin edin interfeys-name1 vahid 100 encapsulation vlanbridge
kripto-officer@hostname:fips#
interfeysləri təyin edin interfeys-name1 vahid 100 vlan-id 100
kripto-officer@hostname:fips# interfeyslər dəsti interfeysi-name2 çevik-vlan-tagging
crypto-officer@hostname:fips# set interfeysləri interfeys-name2 encapsulation flexibleethernet-xidmətləri
kripto-officer@hostname:fips#
interfeysləri təyin edin interfeys-name2 vahid 100 encapsulation vlanbridge
kripto-officer@hostname:fips#
interfeysləri təyin edin interfeys-name2 vahid 100 vlan-id 100
Körpü domenini konfiqurasiya edin.
[redaktə] crypto-officer@hostname:fips# set körpü domenləri BD-110 domen tipli körpü
kripto-officer@hostname:fips# set körpü domenləri BD-110 vlan-id 100
kripto-officer@hostname:fips# set körpü domenləri BD-110 interfeys interfeysi-name1 100
kripto-officer@hostname:fips# set körpü domenləri BD-110 interfeys interfeysi-name2 100

R1-da:

Doğrulama açar zəncirinə tolerantlıq dəyəri təyin edin.
[redaktə] crypto-officer@hostname:fips# set təhlükəsizlik identifikasiyası-açar zəncirləri açar zənciri macsec-kc1 tolerantlığı 20
İstifadə etmək üçün gizli parol yaradın. Bu, uzunluğu 64 simvola qədər olan onaltılıq rəqəmlərdən ibarət sətirdir. Simvol sətri dırnaq içərisində olarsa, parol boşluqları ehtiva edə bilər. Anahtarlığın gizli məlumatları CAK kimi istifadə olunur.
[redaktə] crypto-officer@hostname:fips# set təhlükəsizlik identifikasiyası-açar zəncirləri açar zənciri macsec-kc1
açar 0 açar-adı 2345678922334455667788992223334445556667778889992222333344445551
kripto-officer@hostname:fips# set təhlükəsizlik identifikasiyası-açar zəncirləri açar zənciri macsec-kc1
əsas 0 başlama vaxtı 2018-03-20.20:35
kripto-officer@hostname:fips# set təhlükəsizlik identifikasiyası-açar zəncirləri açar zənciri macsec-kc1
açar 1 açar-adı 2345678922334455667788992223334445556667778889992222333344445552
kripto-officer@hostname:fips# set təhlükəsizlik identifikasiyası-açar zəncirləri açar zənciri macsec-kc1
əsas 1 başlama vaxtı 2018-03-20.20:37
kripto-officer@hostname:fips# set təhlükəsizlik identifikasiyası-açar zəncirləri açar zənciri macsec-kc1
açar 2 açar-adı 2345678922334455667788992223334445556667778889992222333344445553
kripto-officer@hostname:fips# set təhlükəsizlik identifikasiyası-açar zəncirləri açar zənciri macsec-kc1
əsas 2 başlama vaxtı 2018-03-20.20:39
kripto-officer@hostname:fips# set təhlükəsizlik identifikasiyası-açar zəncirləri açar zənciri macsec-kc1
açar 3 açar-adı 2345678922334455667788992223334445556667778889992222333344445554
kripto-officer@hostname:fips# set təhlükəsizlik identifikasiyası-açar zəncirləri açar zənciri macsec-kc1
əsas 3 başlama vaxtı 2018-03-20.20:41
kripto-officer@hostname:fips# set təhlükəsizlik identifikasiyası-açar zəncirləri açar zənciri macsec-kc1
açar 4 açar-adı 2345678922334455667788992223334445556667778889992222333344445555
kripto-officer@hostname:fips# set təhlükəsizlik identifikasiyası-açar zəncirləri açar zənciri macsec-kc1
əsas 4 başlama vaxtı 2018-03-20.20:43
kripto-officer@hostname:fips# set təhlükəsizlik identifikasiyası-açar zəncirləri açar zənciri macsec-kc1
açar 5 açar-adı 2345678922334455667788992223334445556667778889992222333344445556
kripto-officer@hostname:fips# set təhlükəsizlik identifikasiyası-açar zəncirləri açar zənciri macsec-kc1
əsas 5 başlama vaxtı 2018-03-20.20:45
kripto-officer@hostname:fips# set təhlükəsizlik identifikasiyası-açar zəncirləri açar zənciri macsec-kc1
açar 6 açar-adı 2345678922334455667788992223334445556667778889992222333344445557
kripto-officer@hostname:fips# set təhlükəsizlik identifikasiyası-açar zəncirləri açar zənciri macsec-kc1
əsas 6 başlama vaxtı 2018-03-20.20:47
kripto-officer@hostname:fips# set təhlükəsizlik identifikasiyası-açar zəncirləri açar zənciri macsec-kc1
açar 7 açar-adı 2345678922334455667788992223334445556667778889992222333344445558
kripto-officer@hostname:fips# set təhlükəsizlik identifikasiyası-açar zəncirləri açar zənciri macsec-kc1
əsas 7 başlama vaxtı 2018-03-20.20:49
Gizli açar dəyərini daxil etmək üçün əmr əmrindən istifadə edin. məsələnample, gizli açar dəyəridir
2345678922334455667788992223334123456789223344556677889922233341.
[redaktə] crypto-officer@hostname:fips# operativ təhlükəsizlik identifikasiyası-açar zəncirləri açar zənciri macseckc1 açar 0 sirri
Yeni tort
(gizli):
Yeni tortu yenidən yazın
(gizli):
kripto-officer@hostname:fips#
operativ təhlükəsizlik identifikasiyası-açar zəncirləri açar zənciri macseckc1 açar 1 sirri
Yeni tort
(gizli):
Yeni tortu yenidən yazın (gizli):
crypto-officer@hostname:fips# operativ təhlükəsizlik identifikasiyası-açar zəncirləri açar zənciri macseckc1 açar 2 sirri
Yeni tort
(gizli):
Yeni tortu yenidən yazın
(gizli):
kripto-officer@hostname:fips#
operativ təhlükəsizlik identifikasiyası-açar zəncirləri açar zənciri macseckc1 açar 3 sirri
Yeni tort
(gizli):
Yeni tortu yenidən yazın
(gizli):
kripto-officer@hostname:fips#
operativ təhlükəsizlik identifikasiyası-açar zəncirləri açar zənciri macseckc1 açar 4 sirri
Yeni tort
(gizli):
Yeni tortu yenidən yazın
(gizli):
kripto-officer@hostname:fips#
operativ təhlükəsizlik identifikasiyası-açar zəncirləri açar zənciri macseckc1 açar 5 sirri
Yeni tort
(gizli):
Yeni tortu yenidən yazın
(gizli):
kripto-officer@hostname:fips#
operativ təhlükəsizlik identifikasiyası-açar zəncirləri açar zənciri macseckc1 açar 6 sirri
Yeni tort
(gizli):
Yeni tortu yenidən yazın
(gizli):
kripto-officer@hostname:fips#
operativ təhlükəsizlik identifikasiyası-açar zəncirləri açar zənciri macseckc1 açar 7 sirri
Yeni tort
(gizli):
Yeni tortu yenidən yazın (gizli):
Əvvəlcədən paylaşılmış açar zəncirinin adını əlaqə assosiasiyası ilə əlaqələndirin.
[redaktə] crypto-officer@hostname:fips# set təhlükəsizlik macsec əlaqə-assosiasiya CA1 əvvəlcədən paylaşılan açar zəncirini
macsec-kc1
kripto-officer@hostname:fips#
təhlükəsizlik macsec əlaqə-assosiasiya CA1 şifrə paketini təyin edin
gcm-aes-256
İz seçimi dəyərlərini təyin edin.
[redaktə] crypto-officer@hostname:fips# təhlükəsizlik macsec izləmə seçimlərini təyin edin file MACsec.log
kripto-officer@hostname:fips# təhlükəsizlik macsec izləmə seçimlərini təyin edin file ölçü 4000000000
kripto-officer@hostname:fips# set təhlükəsizlik macsec traceoptions hamısını qeyd edin
İzi interfeysə təyin edin.
[redaktə] crypto-officer@hostname:fips# set təhlükəsizlik macsec interfeysləri interfeys-ad traceoptions
file mka_xe ölçüsü 1g
kripto-officer@hostname:fips# set təhlükəsizlik macsec interfeysləri interfeys-ad traceoptions
hamısını bayraq
MACsec təhlükəsizlik rejimini əlaqə birliyi üçün statik-cak kimi konfiqurasiya edin.
[redaktə] crypto-officer@hostname:fips# təhlükəsizlik macsec əlaqə-assosiasiya CA1 təhlükəsizlik rejimini təyin edin
statik-cak
MKA əsas server prioritetini təyin edin.
[redaktə] crypto-officer@hostname:fips# set təhlükəsizlik macsec əlaqə-assosiasiya CA1 mka açar server-prioritet
MKA ötürmə intervalını təyin edin.
[redaktə] crypto-officer@hostname:fips# set təhlükəsizlik macsec əlaqə-assosiasiya CA1 mka ötürücü interval
3000
MKA təhlükəsizliyini aktivləşdirin.
[redaktə] crypto-officer@hostname:fips# set təhlükəsizlik macsec əlaqə-assosiasiya CA1 daxildir-sci
Bağlantı assosiasiyasını interfeysə təyin edin.
[redaktə] crypto-officer@hostname:fips# set təhlükəsizlik macsec interfeysləri interfeys-adı əlaqə assosiasiyası
CA1
VLAN-ı konfiqurasiya edin tagging.
[redaktə] kripto-officer@hostname:fips# interfeyslər dəsti interfeys-ad1 çevik-vlan-tagging
crypto-officer@hostname:fips# set interfeysləri interfeys-name1 encapsulation flexibleethernet-xidmətləri
kripto-officer@hostname:fips#
interfeysləri təyin edin interfeys-name1 vahid 100 encapsulation vlanbridge
kripto-officer@hostname:fips#
interfeysləri təyin edin interfeys-name1 vahid 100 vlan-id 100
kripto-officer@hostname:fips# interfeyslər dəsti interfeysi-name2 çevik-vlan-tagging
crypto-officer@hostname:fips# set interfeysləri interfeys-name2 inkapsulyasiya çevik Ethernet xidmətləri
kripto-officer@hostname:fips#
interfeysləri təyin edin interfeys-name2 vahid 100 encapsulation vlanbridge
kripto-officer@hostname:fips#
interfeysləri təyin edin interfeys-name2 vahid 100 vlan-id 100
Körpü domenini konfiqurasiya edin.
[redaktə] crypto-officer@hostname:fips# set körpü domenləri BD-110 domen tipli körpü
kripto-officer@hostname:fips# set körpü domenləri BD-110 vlan-id 100
kripto-officer@hostname:fips# set körpü domenləri BD-110 interfeys interfeysi-name1 100
kripto-officer@hostname:fips# set körpü domenləri BD-110 interfeys interfeysi-name2 100

Hadisə qeydinin konfiqurasiyası

Hadisə qeydi bitdiview
Qiymətləndirilmiş konfiqurasiya sistem jurnalı vasitəsilə konfiqurasiya dəyişikliklərinin yoxlanılmasını tələb edir.
Bundan əlavə, Junos OS aşağıdakıları edə bilər:

Audit hadisələrinə avtomatlaşdırılmış cavablar göndərin (sistem qeydinin yaradılması).
Səlahiyyətli menecerlərə audit jurnallarını yoxlamağa icazə verin.
Audit göndərin files xarici serverlərə.
Səlahiyyətli menecerlərə sistemi məlum vəziyyətə qaytarmağa icazə verin.

Qiymətləndirilmiş konfiqurasiya üçün qeyd aşağıdakı hadisələri qeyd etməlidir:

Konfiqurasiyada gizli əsas məlumatlara dəyişikliklər.
Təhlükəli dəyişikliklər.
İstifadəçilərin daxil olması/çıxması.
Sistemin işə salınması.
SSH sessiyasının qurulmasında uğursuzluq.
SSH sessiyasının qurulması/xitam verilməsi.
(Sistem) vaxtına dəyişikliklər.
Sessiya kilidləmə mexanizmi ilə uzaq sessiyanın dayandırılması.
İnteraktiv sessiyanın dayandırılması.

Bundan əlavə, Juniper Networks aşağıdakıları da qeyd etməyi tövsiyə edir:

Konfiqurasiyadakı bütün dəyişiklikləri qeyd edin.
Giriş məlumatlarını uzaqdan saxlayın.

Lokal üçün Hadisə Girişinin Konfiqurasiyası File
Siz audit məlumatının yerli olaraq saxlanmasını konfiqurasiya edə bilərsiniz file syslog bəyanatı ilə. Bu keçmişample logları a-da saxlayır file adlı audit-File:
[sistemi redaktə et] syslog {
file Audit-File;
}
Hadisə Mesajlarının Tərcüməsi
Aşağıdakı çıxış kimi göstəriramphadisə mesajı.
27 fevral 02:33:04 bm-a mgd[6520]: UI_LOGIN_EVENT: İstifadəçi 'təhlükəsizlik məmuru' girişi, sinif 'j-superuser'
[6520],
ssh-bağlantı ”, müştəri rejimi
'cli'
27 fevral 02:33:49 bm-a mgd[6520]: UI_DBASE_LOGIN_EVENT: İstifadəçi "təhlükəsizlik məmuru" konfiqurasiyaya daxil olur
rejimi
27 fevral 02:38:29 bm-a mgd[6520]: UI_CMDLINE_READ_LINE: İstifadəçi 'təhlükəsizlik məmuru', 'şou icra et' əmri
log
Audit jurnalı | grep GİRİŞ
Cədvəl 4, səhifə 69 hadisə mesajı üçün sahələri təsvir edir. Sistem qeydi yardım proqramı müəyyən bir sahədə dəyəri müəyyən edə bilmirsə, bunun əvəzinə defis ( – ) görünür.
Cədvəl 4: Hadisə Mesajlarındakı Sahələr

Sahə	Təsvir	Examples
vaxtamp	Mesajın iki təqdimatdan birində yaradıldığı vaxt: • AMM-GG HH:MM:SS.MS+/-HH:MM, yerli vaxtla ay, gün, saat, dəqiqə, saniyə və millisaniyədir. Artı işarəsindən (+) və ya mənfi işarədən (-) sonra gələn saat və dəqiqə yerli vaxt qurşağının Koordinasiya edilmiş Universal Saatdan (UTC) ofsetidir. • YYYY-AA-GGTH:MM:SS.MSZ UTC-də il, ay, gün, saat, dəqiqə, saniyə və millisaniyədir.	27 fevral 02:33:04 ən yaxşı vaxtdıramp ABŞ-da yerli vaxt kimi ifadə edilmişdir. 2012-02-27T03:17:15.713Z is 2 Fevral, 33:27 UTC 2012.
host adı	Mesajı ilkin olaraq yaradan hostun adı.	marşrutlaşdırıcı 1
proses	Mesajı yaradan Junos OS prosesinin adı.	mgd
proses ID	Mesajı yaradan Junos OS prosesinin UNIX proses identifikatoru (PID).	4153
TAG	Junos OS sistem qeyd mesajı tag, mesajı unikal şəkildə müəyyən edir.	UI_DBASE_LOGOUT_EVENT
istifadəçi adı	Tədbiri başlatan istifadəçinin istifadəçi adı.	"admin"
mesaj mətni	Tədbirin ingilis dilində təsviri.	set: [sistem radius-server 1.2.3.4 sirri]

Gizli Məlumatlara Dəyişikliklərin Qeydiyyatı
Aşağıdakılar keçmişdirampməxfi məlumatları dəyişdirən hadisələrin audit jurnalları. Hər dəfə konfiqurasiyada dəyişiklik olduqda, məsələnample, syslog hadisəsi aşağıdakı qeydləri tutmalıdır:
24 iyul 17:43:28 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: İstifadəçi "admin" dəsti:
[sistem radius-server 1.2.3.4 məxfi] 24 iyul 17:43:28 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: İstifadəçi "admin" dəsti:
[sistem giriş istifadəçi admin identifikasiyası şifrlənmiş-parol] 24 iyul 17:43:28 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: İstifadəçi "admin" dəsti:
[sistem giriş istifadəçisi admin2 autentifikasiyası şifrələnmiş-parol] Hər dəfə konfiqurasiya yeniləndikdə və ya dəyişdirildikdə, syslog bu qeydləri tutmalıdır:
24 iyul 18:29:09 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: İstifadəçi 'admin' dəyişdirin:
[sistem radius-server 1.2.3.4 məxfi] 24 iyul 18:29:09 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: İstifadəçi 'admin' dəyişdirin:
[sistem girişi istifadəçi admin identifikasiyası şifrələnmiş-parol] 24 iyul 18:29:09 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: İstifadəçi "admin" dəyişdirin:
[sistem giriş istifadəçi admin identifikasiyası şifrlənmiş-parol] Parametrlərin konfiqurasiyası və jurnalın idarə edilməsi haqqında ətraflı məlumat üçün files, Junos OS sisteminə baxın
Qeyd Mesajları Referansı.
SSH istifadə edərək Giriş və Çıxış Hadisələri
Sistem jurnalı mesajları istifadəçi SSH girişinə müvəffəqiyyətlə və ya uğursuz cəhd etdikdə yaradılır. Çıxış hadisələri də qeydə alınır. məsələnample, aşağıdakı qeydlər iki uğursuz autentifikasiya cəhdinin, sonra uğurlu birinin və nəhayət, çıxışın nəticəsidir:
20 dekabr 23:17:35 bilbo sshd[16645]: 172.17.58.45 port 1673 ssh2-dən əməliyyat üçün uğursuz parol
20 dekabr 23:17:42 bilbo sshd[16645]: 172.17.58.45 port 1673 ssh2-dən əməliyyat üçün uğursuz parol
20 dekabr 23:17:53 bilbo sshd[16645]: 172.17.58.45 port 1673 ssh2-dən əməliyyat üçün qəbul edilmiş parol
20 dekabr 23:17:53 bilbo mgd[16648]: UI_AUTH_EVENT: İcazə səviyyəsində təsdiqlənmiş istifadəçi "op"
'j-operator'
20 dekabr 23:17:53 bilbo mgd[16648]: UI_LOGIN_EVENT: İstifadəçi 'op' girişi, sinif 'j-operator' [16648] 20 dekabr 23:17:56 bilbo mgd[16648]: UI_CMDLINE_READ_LINE, "çıx" əmri
20 dekabr 23:17:56 bilbo mgd[16648]: UI_LOGOUT_EVENT: İstifadəçinin çıxışı
Auditin işə salınmasının qeydiyyatı
Daxil edilmiş audit məlumatlarına Junos OS startapları daxildir. Bu, öz növbəsində, müstəqil olaraq söndürülə və ya aktivləşdirilə bilməyən audit sisteminin başlanğıc hadisələrini müəyyən edir. məsələnampJunos OS yenidən işə salınarsa, audit jurnalı aşağıdakı məlumatları ehtiva edir:
20 dekabr 23:17:35 bilbo syslogd: siqnal 14-də çıxır
20 dekabr 23:17:35 syslogd: yenidən başladın
20 dekabr 23:17:35 bilbo syslogd /kernel: 20 dekabr 23:17:35 başlanğıc: syslogd (PID 19128) ilə çıxdı
status=1
20 dekabr 23:17:42 bilbo /kernel:
20 dekabr 23:17:53 başlanğıc: syslogd (PID 19200) başladı

Cihazda Öz-özünə Testlərin aparılması

FIPS Özünü Testlərini Anlamaq
Kriptoqrafik modul Juniper Networks Junos-un işləməsini təmin etmək üçün təhlükəsizlik qaydalarını tətbiq edir
FIPS rejimində sistem (Junos OS) FIPS 140-2 Səviyyə 1-in təhlükəsizlik tələblərinə cavab verir.
FIPS üçün təsdiqlənmiş kriptoqrafik alqoritmlərin çıxışı və bəzi sistem modullarının bütövlüyünü yoxlamaq,
cihaz aşağıdakı məlum cavab testləri seriyasını (KAT) həyata keçirir:

kernel_kats—kernel kriptoqrafik rutinlər üçün KAT
md_kats—limb və libc üçün KAT
openssl_kats — OpenSSL kriptoqrafik tətbiqi üçün KAT
quicksec_kats—QuickSec Toolkit kriptoqrafik tətbiqi üçün KAT
ssh_ipsec_kats—SSH IPsec Toolbar dəstinin kriptoqrafik tətbiqi üçün KAT
macsec_kats — MACsec kriptoqrafik tətbiqi üçün KAT

KAT özünü testləri işə salındıqda avtomatik olaraq həyata keçirilir. Rəqəmsal imzalanmış proqram paketlərini, yaradılan təsadüfi nömrələri, RSA və ECDSA açar cütlərini və əl ilə daxil edilmiş açarları yoxlamaq üçün şərti özünü testlər də avtomatik həyata keçirilir.
KAT-lar uğurla tamamlanarsa, sistem jurnalı (syslog) file yerinə yetirilən testləri göstərmək üçün yenilənir.
KAT nasazlığı varsa, cihaz detalları sistem jurnalına yazır file, FIPS xətası vəziyyətinə daxil olur (çaxnaşma) və yenidən başlayır.
The file show /var/log/messages əmri sistem jurnalını göstərir.
Siz həmçinin sorğu vmhost reboot əmrini verməklə FIPS özünü sınağı həyata keçirə bilərsiniz. Sistem işə salındıqda konsolda FIPS özünü sınama qeydlərini görə bilərsiniz.
Example: FIPS Self-Testləri konfiqurasiya edin
Bu keçmişample FIPS özünü testlərinin vaxtaşırı işləməsi üçün necə konfiqurasiya olunacağını göstərir.
Aparat və Proqram Tələbləri

FIPS özünü testlərini konfiqurasiya etmək üçün inzibati imtiyazlarınız olmalıdır.
Cihaz FIPS rejimində proqram təminatında Junos ƏS-nin qiymətləndirilmiş versiyası ilə işləməlidir.

Bitdiview
FIPS özünü testi aşağıdakı məlum cavab testlərindən (KAT) ibarətdir:

kernel_kats—kernel kriptoqrafik rutinlər üçün KAT
md_kats—libmd və libc üçün KAT
quicksec_kats—QuickSec Toolkit kriptoqrafik tətbiqi üçün KAT
openssl_kats — OpenSSL kriptoqrafik tətbiqi üçün KAT
ssh_ipsec_kats—SSH IPsec Toolbar dəstinin kriptoqrafik tətbiqi üçün KAT
macsec_kats — MACsec kriptoqrafik tətbiqi üçün KAT
Bu keçmişdəample, FIPS özünü sınağı hər çərşənbə günü ABŞ-ın Nyu-York şəhərində səhər saat 9:00-da həyata keçirilir.

QEYD: Həftəlik testlər əvəzinə, ay və ayın gün hesabatlarını daxil etməklə aylıq testləri konfiqurasiya edə bilərsiniz.
KAT özünü sınağı uğursuz olduqda, sistem jurnalının mesajlarına bir jurnal mesajı yazılır file sınaq uğursuzluğunun təfərrüatları ilə. Sonra sistem panikaya düşür və yenidən başlayır.
CLI Tez Konfiqurasiyası
Tez bu ex konfiqurasiya etmək üçünample, aşağıdakı əmrləri kopyalayın, mətnə yapışdırın file, hər hansı sətir fasilələrini aradan qaldırın, şəbəkə konfiqurasiyanıza uyğunlaşdırmaq üçün lazım olan hər hansı təfərrüatı dəyişdirin və sonra [redaktə] iyerarxiya səviyyəsində əmrləri kopyalayıb CLI-yə yapışdırın.
sistem fips özünü test dövri başlanğıc vaxtını 09:00 təyin edin
sistem fips özünü sınayın dövri həftənin günü 3
Addım-addım Prosedur
FIPS özünü testini konfiqurasiya etmək üçün kripto-məmur etimadnaməsi ilə cihaza daxil olun:

FIPS özünü testini hər çərşənbə günü səhər saat 9:00-da yerinə yetirmək üçün konfiqurasiya edin.
[redaktə sistemi fips özünü sınayın] crypto-officer@hostname:fips# müəyyən dövri başlama vaxtı 09:00
crypto-officer@hostname:fips# həftənin 3-cü dövrünü təyin edin
Cihazı konfiqurasiya etməyi bitirmisinizsə, konfiqurasiyanı yerinə yetirin.
[redaktə sistemi fips özünü test] crypto-officer@hostname:fips# commit

Nəticələr
Konfiqurasiya rejimindən, show system əmrini verməklə konfiqurasiyanızı təsdiqləyin. Çıxış nəzərdə tutulan konfiqurasiyanı göstərmirsə, bu misaldakı təlimatları təkrarlayınampkonfiqurasiyanı düzəltmək üçün.
kripto-officer@hostname:fips# şou sistemi
fis {
özünü sınamaq {
dövri {
başlama vaxtı “09:00”;
həftənin 3-cü günü;
}
}
}

Doğrulama

Konfiqurasiyanın düzgün işlədiyini təsdiqləyin.
FIPS Self-Test təsdiqlənir

Məqsəd
FIPS özünü testinin aktiv olduğunu yoxlayın.
Fəaliyyət
Sorğu sistemi fips özünü test əmrini verməklə FIPS özünü sınağı əl ilə işə salın və ya cihazı yenidən başladın.
Sorğu sistemi fips özünü test əmrini verdikdən sonra və ya cihazı yenidən başladın, sistem jurnalı file icra olunan KAT-ları göstərmək üçün yenilənir. Kimə view sistem qeydləri file, buraxın file /var/log/ messages əmrini göstərin.
user@host# file /var/log/messages göstərin
RE KATS:
mgd: FIPS Öz-özünə testləri yerinə yetirmək
mgd: KATS nüvəsinin sınaqdan keçirilməsi:
mgd: NIST 800-90 HMAC DRBG Məlum Cavab Testi: Keçildi
mgd: DES3-CBC Məlum Cavab Testi: Keçildi
mgd: HMAC-SHA1 Məlum Cavab Testi: Keçildi
mgd: HMAC-SHA2-256 Məlum Cavab Testi: Keçildi
mgd: SHA-2-384 Məlum Cavab Testi: Keçildi
mgd: SHA-2-512 Məlum Cavab Testi: Keçildi
mgd: AES128-CMAC Məlum Cavab Testi: Keçildi
mgd: AES-CBC Məlum Cavab Testi: Keçildi
mgd: MACSec KATS sınağı:
mgd: AES128-CMAC Məlum Cavab Testi: Keçildi
mgd: AES256-CMAC Məlum Cavab Testi: Keçildi
mgd: AES-ECB Məlum Cavab Testi: Keçildi
mgd: AES-KEYWRAP Məlum Cavab Testi: Keçildi
mgd: KBKDF Məlum Cavab Testi: Keçildi
mgd: libmd KATS sınaqdan keçirilir:
mgd: HMAC-SHA1 Məlum Cavab Testi: Keçildi
mgd: HMAC-SHA2-256 Məlum Cavab Testi: Keçildi
mgd: SHA-2-512 Məlum Cavab Testi: Keçildi
mgd: OpenSSL KATS sınağı:
mgd: NIST 800-90 HMAC DRBG Məlum Cavab Testi: Keçildi
mgd: FIPS ECDSA Məlum Cavab Testi: Keçildi
mgd: FIPS ECDH Məlum Cavab Testi: Keçildi
mgd: FIPS RSA Məlum Cavab Testi: Keçildi
mgd: DES3-CBC Məlum Cavab Testi: Keçildi
mgd: HMAC-SHA1 Məlum Cavab Testi: Keçildi
mgd: HMAC-SHA2-224 Məlum Cavab Testi: Keçildi
mgd: HMAC-SHA2-256 Məlum Cavab Testi: Keçildi
mgd: HMAC-SHA2-384 Məlum Cavab Testi: Keçildi
mgd: HMAC-SHA2-512 Məlum Cavab Testi: Keçildi
mgd: AES-CBC Məlum Cavab Testi: Keçildi
mgd: AES-GCM Məlum Cavab Testi: Keçildi
mgd: ECDSA-SIGN Məlum Cavab Testi: Keçildi
mgd: KDF-IKE-V1 Məlum Cavab Testi: Keçildi
mgd: KDF-SSH-SHA256 Məlum Cavab Testi: Keçildi
mgd: KAS-ECC-EPHEM-UNIFIED-NOKC Məlum Cavab Testi: Keçildi
mgd: KAS-FFC-EPHEM-NOKC Məlum Cavab Testi: Keçdi
mgd: QuickSec 7.0 KATS sınağı:
mgd: NIST 800-90 HMAC DRBG Məlum Cavab Testi: Keçildi
mgd: DES3-CBC Məlum Cavab Testi: Keçildi
mgd: HMAC-SHA1 Məlum Cavab Testi: Keçildi
mgd: HMAC-SHA2-224 Məlum Cavab Testi: Keçildi
mgd: HMAC-SHA2-256 Məlum Cavab Testi: Keçildi
mgd: HMAC-SHA2-384 Məlum Cavab Testi: Keçildi
mgd: HMAC-SHA2-512 Məlum Cavab Testi: Keçildi
mgd: AES-CBC Məlum Cavab Testi: Keçildi
mgd: AES-GCM Məlum Cavab Testi: Keçildi
mgd: SSH-RSA-ENC Məlum Cavab Testi: Keçildi
mgd: SSH-RSA-SIGN Məlum Cavab Testi: Keçildi
mgd: SSH-ECDSA-SIGN Məlum Cavab Testi: Keçdi
mgd: KDF-IKE-V1 Məlum Cavab Testi: Keçildi
mgd: KDF-IKE-V2 Məlum Cavab Testi: Keçildi
mgd: QuickSec KATS sınağı:
mgd: NIST 800-90 HMAC DRBG Məlum Cavab Testi: Keçildi
mgd: DES3-CBC Məlum Cavab Testi: Keçildi
mgd: HMAC-SHA1 Məlum Cavab Testi: Keçildi
mgd: HMAC-SHA2-224 Məlum Cavab Testi: Keçildi
mgd: HMAC-SHA2-256 Məlum Cavab Testi: Keçildi
mgd: HMAC-SHA2-384 Məlum Cavab Testi: Keçildi
mgd: HMAC-SHA2-512 Məlum Cavab Testi: Keçildi
mgd: AES-CBC Məlum Cavab Testi: Keçildi
mgd: AES-GCM Məlum Cavab Testi: Keçildi
mgd: SSH-RSA-ENC Məlum Cavab Testi: Keçildi
mgd: SSH-RSA-SIGN Məlum Cavab Testi: Keçildi
mgd: KDF-IKE-V1 Məlum Cavab Testi: Keçildi
mgd: KDF-IKE-V2 Məlum Cavab Testi: Keçildi
mgd: SSH IPsec KATS sınağı:
mgd: NIST 800-90 HMAC DRBG Məlum Cavab Testi: Keçildi
mgd: DES3-CBC Məlum Cavab Testi: Keçildi
mgd: HMAC-SHA1 Məlum Cavab Testi: Keçildi
mgd: HMAC-SHA2-256 Məlum Cavab Testi: Keçildi
mgd: AES-CBC Məlum Cavab Testi: Keçildi
mgd: SSH-RSA-ENC Məlum Cavab Testi: Keçildi
mgd: SSH-RSA-SIGN Məlum Cavab Testi: Keçildi
mgd: KDF-IKE-V1 Məlum Cavab Testi: Keçildi
mgd: Test file bütövlük:
mgd: File dürüstlük Məlum Cavab Testi: Keçdi
mgd: Kripto bütövlüyünün sınaqdan keçirilməsi:
mgd: Kripto bütövlüyü Məlum Cavab Testi: Keçildi
mgd: İcraçı AuthenticatiMAC/veriexec gözləyin: barmaq izi yoxdur (file=/sbin/kats/cannot-exec
fsid=246 fileid=49356 gen=1 uid=0 pid=9384 ppid=9354 gppid=9352) xətada…
mgd: /sbin/kats/run-tests: /sbin/kats/cannot-exec: Doğrulama xətası
mgd: FIPS Öz-özünə testlərdən keçdi
LC KATS:
12 sentyabr 10:50:44 network_macsec_kats_input xe- /0/0:0:
no> pic:0 port:0 chan:0 FIPS AES-256-GCM MACsec KATS şifrələməsi keçdi
12 sentyabr 10:50:50 network_macsec_kats_input xe- /0/1:0:
no> pic:0 port:1 chan:0 FIPS AES-256-GCM MACsec KATS şifrələməsi keçdi
12 sentyabr 10:50:55 network_macsec_kats_input xe- /0/0:0:
no> pic:0 port:0 chan:0 FIPS AES-256-GCM MACsec KATS deşifrəsi keçdi
12 sentyabr 10:50:56 network_macsec_kats_input xe- /0/2:0:
no> pic:0 port:2 chan:0 FIPS AES-256-GCM MACsec KATS şifrələməsi keçdi
12 sentyabr 10:51:01 network_macsec_kats_input xe- /0/1:0:
no> pic:0 port:1 chan:0 FIPS AES-256-GCM MACsec KATS deşifrəsi keçdi
12 sentyabr 10:51:02 network_macsec_kats_input xe- /0/2:0:
no> pic:0 port:2 chan:0 FIPS AES-256-GCM MACsec KATS deşifrəsi keçdi
12 sentyabr 10:51:06 network_macsec_kats_input xe- /0/3:0:
no> pic:0 port:3 chan:0 FIPS AES-256-GCM MACsec KATS şifrələməsi keçdi
12 sentyabr 10:51:12 network_macsec_kats_input xe- /0/3:0:
no> pic:0 port:3 chan:0 FIPS AES-256-GCM MACsec KATS deşifrəsi keçdi
12 sentyabr 10:51:17 network_macsec_kats_input xe- /0/4:0:
no> pic:0 port:4 chan:0 FIPS AES-256-GCM MACsec KATS şifrələməsi keçdi
12 sentyabr 10:51:17 network_macsec_kats_input xe- /0/4:0:
no> pic:0 port:4 chan:0 FIPS AES-256-GCM MACsec KATS deşifrəsi keçdi
12 sentyabr 10:51:26 network_macsec_kats_input xe- /0/5:0:
no> pic:0 port:5 chan:0 FIPS AES-256-GCM MACsec KATS şifrələməsi keçdi
12 sentyabr 10:51:27 network_macsec_kats_input xe- /0/5:0:
no> pic:0 port:5 chan:0 FIPS AES-256-GCM MACsec KATS deşifrəsi keçdi
12 sentyabr 10:51:36 network_macsec_kats_input xe- /0/6:0:
no> pic:0 port:6 chan:0 FIPS AES-256-GCM MACsec KATS şifrələməsi keçdi
12 sentyabr 10:51:36 network_macsec_kats_input xe- /0/6:0:
no> pic:0 port:6 chan:0 FIPS AES-256-GCM MACsec KATS deşifrəsi keçdi
12 sentyabr 10:51:44 network_macsec_kats_input xe- /0/7:0:
no> pic:0 port:7 chan:0 FIPS AES-256-GCM MACsec KATS şifrələməsi keçdi
12 sentyabr 10:51:44 network_macsec_kats_input xe- /0/7:0:
no> pic:0 port:7 chan:0 FIPS AES-256-GCM MACsec KATS deşifrəsi keçdi
12 sentyabr 10:51:51 network_macsec_kats_input xe- /0/8:0:
no> pic:0 port:8 chan:0 FIPS AES-256-GCM MACsec KATS şifrələməsi keçdi
12 sentyabr 10:51:51 network_macsec_kats_input xe- /0/8:0:
no> pic:0 port:8 chan:0 FIPS AES-256-GCM MACsec KATS deşifrəsi keçdi
12 sentyabr 10:51:58 network_macsec_kats_input xe- /0/9:0:
no> pic:0 port:9 chan:0 FIPS AES-256-GCM MACsec KATS şifrələməsi keçdi
12 sentyabr 10:51:58 network_macsec_kats_input xe- /0/9:0:
no> pic:0 port:9 chan:0 FIPS AES-256-GCM MACsec KATS deşifrəsi keçdi
12 sentyabr 10:52:05 network_macsec_kats_input xe- /0/10:0:
Slot no> pic:0 port:10 chan:0 FIPS AES-256-GCM MACsec KATS şifrələməsi keçdi
12 sentyabr 10:52:05 network_macsec_kats_input xe- /0/10:0:
Slot no> pic:0 port:10 chan:0 FIPS AES-256-GCM MACsec KATS deşifrəsi keçdi
12 sentyabr 10:52:12 network_macsec_kats_input xe- /0/11:0:
Slot no> pic:0 port:11 chan:0 FIPS AES-256-GCM MACsec KATS şifrələməsi keçdi
12 sentyabr 10:52:12 network_macsec_kats_input xe- /0/11:0:
Slot no> pic:0 port:11 chan:0 FIPS AES-256-GCM MACsec KATS deşifrəsi keçdi
12 sentyabr 10:52:20 network_macsec_kats_input xe- /1/0:0:
no> pic:1 port:0 chan:0 FIPS AES-256-GCM MACsec KATS şifrələməsi keçdi
12 sentyabr 10:52:20 network_macsec_kats_input xe- /1/0:0:
no> pic:1 port:0 chan:0 FIPS AES-256-GCM MACsec KATS deşifrəsi keçdi
12 sentyabr 10:52:27 network_macsec_kats_input xe- /1/1:0:
no> pic:1 port:1 chan:0 FIPS AES-256-GCM MACsec KATS şifrələməsi keçdi
12 sentyabr 10:52:28 network_macsec_kats_input xe- /1/1:0:
no> pic:1 port:1 chan:0 FIPS AES-256-GCM MACsec KATS deşifrəsi keçdi
12 sentyabr 10:52:34 network_macsec_kats_input xe- /1/2:0:
no> pic:1 port:2 chan:0 FIPS AES-256-GCM MACsec KATS şifrələməsi keçdi
Mənası
Sistem jurnalı file KAT-ların icra olunduğu tarix və vaxtı və onların statusunu göstərir.

Əməliyyat əmrləri

Sintaksis
sorğu sistemini sıfırlayın
Təsvir
RE1800 üçün Marşrutlaşdırma Mühərriklərindəki bütün konfiqurasiya məlumatlarını silin və bütün əsas dəyərləri sıfırlayın. Cihazda ikili Routing Engines varsa, əmr cihazdakı bütün Routing Engines üçün yayımlanır. Komanda bütün məlumatları silir files, o cümlədən fərdiləşdirilmiş konfiqurasiya və jurnal files, əlaqəni kəsərək files öz kataloqlarından. Komanda istifadəçi tərəfindən yaradılan bütün məlumatları silir fileSSH, yerli şifrələmə, yerli autentifikasiya, IPsec, RADIUS, TACACS+ və SNMP üçün bütün açıq mətn parolları, sirrlər və şəxsi açarlar daxil olmaqla sistemdən.
Bu əmr cihazı yenidən işə salır və onu zavod standart konfiqurasiyasına qoyur. Yenidən başladıqdan sonra siz idarəetmə Ethernet interfeysi vasitəsilə cihaza daxil ola bilməzsiniz. Konsol vasitəsilə root olaraq daxil olun və əmrdə cli yazaraq Junos OS CLI-ni işə salın.
Tələb olunan İmtiyaz Səviyyəsi
texniki qulluq
vmhost-un yönləndirilməsini sıfırlamasını tələb edin
Sintaksis
vmhost-un yönləndirilməsini sıfırlamasını tələb edin
Təsvir
REMX2K-X8 üçün Marşrutlaşdırma Mühərriklərindəki bütün konfiqurasiya məlumatlarını silin və bütün əsas dəyərləri sıfırlayın. Cihazda ikili Routing Engines varsa, əmr cihazdakı hər iki Routing Engines üçün yayımlanır.
Komanda bütün məlumatları silir files, o cümlədən fərdiləşdirilmiş konfiqurasiya və jurnal files, əlaqəni kəsərək files öz kataloqlarından. Komanda istifadəçi tərəfindən yaradılan bütün məlumatları silir fileSSH, yerli şifrələmə, yerli autentifikasiya, IPsec, RADIUS, TACACS+ və SNMP üçün bütün düz mətn parolları, sirləri və şəxsi açarları daxil olmaqla sistemdən.
Bu əmr cihazı yenidən işə salır və onu standart zavod konfiqurasiyasına qoyur. Yenidən başladıqdan sonra siz idarəetmə Ethernet interfeysi vasitəsilə cihaza daxil ola bilməzsiniz. Kök istifadəçi kimi konsol vasitəsilə daxil olun və əmrdə cli yazaraq Junos OS CLI-ni işə salın.
SampÇıxış
vmhost-un yönləndirilməsini sıfırlamasını tələb edin
user@host> vmhost-a yönləndirməni sıfırla sorğulayın
VMHost Sıfırlama: Konfiqurasiya və qeyd daxil olmaqla bütün məlumatları silin files ?
[bəli, yox] (yox) bəli
re0:
xəbərdarlıq: Vmhost yenidən başlayacaq və onsuz yüklənə bilməz
konfiqurasiya
xəbərdarlıq: vmhost ilə davam edir
sıfırlamaq
İkinci dərəcəli daxili diski sıfırlayın
İkinci dərəcəli sıfırlama ilə davam edir
disk
Quraşdırma cihazı hazırlanır
sıfırlamaq...
Hədəf diskin sıfırlanması üçün təmizlənməsi
Sıfırla hədəfə çatdı
disk.
İkinci dərəcəli diskin sıfırlanması
tamamlandı
Əsas daxili diski sıfırlayın
Birincildə sıfırla davam edir
disk
/etc/ssh/ssh_host_ecdsa_key.pub
/etc/ssh/ssh_host_rsa_key
/etc/ssh/ssh_host_dsa_key.pub
/etc/ssh/ssh_host_rsa_key.pub
/etc/ssh/ssh_host_ecdsa_key
/etc/ssh/ssh_host_dsa_key
Quraşdırma cihazı hazırlanır
sıfırlamaq...
Hədəf diskin sıfırlanması üçün təmizlənməsi
Sıfırla hədəfə çatdı
disk.
Əsas diskin sıfırlanması
tamamlandı
Sıfırla
edildi
—(daha çox)— Dayanmaq
cron.
PIDS gözləyir:
6135.
.
16 fevral 14:59:33 işə salındı: dövri paket xidmətləri (PID 6181) son siqnalı 15 göndərildi
16 fevral 14:59:33 işə salındı: smg-service (PID 6234) son siqnalı 15 göndərildi
16 fevral 14:59:33 işə salındı: proqram identifikasiyası (PID 6236) son siqnalı 15 göndərildi
16 fevral 14:59:33 işə salındı: ifstate-tracing-process (PID 6241) son siqnalı 15 göndərildi
16 fevral 14:59:33 işə salındı: resurs idarəetməsi (PID 6243) son siqnalı 15 göndərildi
16 fevral 14:59:33 işə salındı: yükləndi (PID 6246) son siqnalı 15 göndərildi
16 fevral 14:59:33 işə salındı: lisenziya xidməti (PID 6255) son siqnalı 15 göndərildi
16 fevral 14:59:33 işə salındı: ntp (PID 6620) son siqnalı 15 göndərildi
16 fevral 14:59:33 işə salındı: gkd-şassi (PID 6621) son siqnalı 15 göndərildi
16 fevral 14:59:33 işə salındı: gkd-lchassis (PID 6622) son siqnalı 15 göndərildi
16 fevral 14:59:33 işə salındı: marşrutlaşdırma (PID 6625) son siqnalı 15 göndərildi
16 fevral 14:59:33 işə salındı: sonet-aps (PID 6626) son siqnalı 15 göndərildi
16 fevral 14:59:33 işə salındı: uzaqdan əməliyyatlar (PID 6627) son siqnalı 15 göndərildi
16 fevral 14:59:33 işə başladı: xidmət sinfi
……..
99

Sənədlər / Resurslar

JUNIPER NETWORKS Junos OS FIPS Qiymətləndirilmiş Cihazlar [pdf] İstifadəçi təlimatı
Junos OS FIPS Qiymətləndirilmiş Cihazlar, Junos OS, FIPS Qiymətləndirilmiş Cihazlar, Qiymətləndirilmiş Cihazlar, Cihazlar

İstinadlar

İstifadəçi təlimatı

JUNIPER NETWORKS Junos OS FIPS Qiymətləndirilmiş Cihazlar

Bitdiview

İnzibati etimadnamələrin və imtiyazların konfiqurasiyası

Rolların və Doğrulama Metodlarının Konfiqurasiyası

SSH və Konsol Bağlantısının konfiqurasiyası

MACsec konfiqurasiya edilir

Layer 2 Traffic üçün açarlıq ilə MACsec konfiqurasiyası

Hadisə qeydinin konfiqurasiyası

Cihazda Öz-özünə Testlərin aparılması

Əməliyyat əmrləri

Sənədlər / Resurslar

İstinadlar

Şərh buraxın

Cavabı ləğv edin