Лагатып JUNIPERІнжынерная прастата
АС Junos®
Кіраўніцтва па канфігурацыі з ацэнкай FIPS
Прылады MX960, MX480 і MX240

Змест схаваць
1 JUNIPER NETWORKS Ацэненыя прылады Junos OS FIPS
2 Скончанаview
3 Настройка адміністрацыйных уліковых дадзеных і прывілеяў
4 Налада роляў і метадаў аўтэнтыфікацыі
5 Настройка SSH і кансольнага злучэння
6 Налада MACsec
7 Налада MACsec з бірулькай для трафіку ўзроўню 2
8 Настройка запісу падзей
9 Выкананне самаправеркі на прыладзе
10 Аператыўныя каманды
11 Дакументы / Рэсурсы
11.1 Спасылкі

JUNIPER NETWORKS Ацэненыя прылады Junos OS FIPS

JUNIPER NETWORKS Ацэненыя прылады Junos OS FIPS 1ВЫЗВАЛЕННЕ
20.3X75-D30

Кампанія Juniper Networks, Inc.
1133 Інавацыйны шлях
Саннівейл, Каліфорнія 94089
ЗША
408-745-2000
www.juniper.net
Juniper Networks, лагатып Juniper Networks, Juniper і Junos з'яўляюцца зарэгістраванымі гандлёвымі маркамі Juniper Networks, Inc.
у ЗША і іншых краінах. Усе іншыя гандлёвыя маркі, знакі абслугоўвання, зарэгістраваныя знакі або зарэгістраваныя знакі абслугоўвання з'яўляюцца ўласнасцю іх адпаведных уладальнікаў.
Juniper Networks не нясе адказнасці за любыя недакладнасці ў гэтым дакуменце. Juniper Networks пакідае за сабой права змяняць, мадыфікаваць, перадаваць або іншым чынам пераглядаць гэтую публікацыю без папярэдняга паведамлення.
Кіраўніцтва па канфігурацыі Junos® OS з ацэнкай FIPS для прылад MX960, MX480 і MX240 20.3X75-D30
Аўтарскае права © Juniper Networks, Inc., 2023. Усе правы абаронены.
Інфармацыя ў гэтым дакуменце актуальная на дату, указаную на тытульным лісце.
УВАГА 2000 ГОД
Апаратныя і праграмныя прадукты Juniper Networks адпавядаюць патрабаванням 2000 года. Junos OS не мае вядомых абмежаванняў, звязаных з часам, да 2038 года. Аднак вядома, што ў 2036 годзе прылажэнне NTP будзе мець некаторыя цяжкасці.
ЛІЦЭНЗІЙНАЕ ПАГАДНЕННЕ КАНЕЧНАГА КАРЫСТАЛЬНІКА
Прадукт Juniper Networks, які з'яўляецца прадметам гэтай тэхнічнай дакументацыі, складаецца з (або прызначаны для выкарыстання з) праграмным забеспячэннем Juniper Networks. Выкарыстанне такога праграмнага забеспячэння рэгулюецца ўмовамі Ліцэнзійнага пагаднення канчатковага карыстальніка («EULA»), размешчаных на https://support.juniper.net/support/eula/. Спампоўваючы, усталёўваючы або выкарыстоўваючы такое праграмнае забеспячэнне, вы згаджаецеся з умовамі гэтага EULA.

Аб гэтым кіраўніцтве
Выкарыстоўвайце гэта кіраўніцтва для працы з прыладамі MX960, MX480 і MX240 у асяроддзі Федэральных стандартаў апрацоўкі інфармацыі (FIPS) 140-2, узровень 1. FIPS 140-2 вызначае ўзроўні бяспекі апаратнага і праграмнага забеспячэння, якое выконвае крыптаграфічныя функцыі.
ЗВЯЗАНАЯ ДАКУМЕНТАЦЫЯ
Агульныя крытэрыі і сертыфікаты FIPS

Скончанаview

Разуменне АС Junos у рэжыме FIPS
У ГЭТЫМ РАЗДЗЕЛЕ

  • Падтрымоўваныя платформы і абсталяванне | 2
  • Аб крыптаграфічнай мяжы на вашай прыладзе | 3
  • Чым рэжым FIPS адрозніваецца ад рэжыму не-FIPS | 3
  • Правераная версія АС Junos у рэжыме FIPS | 3

Федэральныя стандарты апрацоўкі інфармацыі (FIPS) 140-2 вызначаюць узровень бяспекі апаратнага і праграмнага забеспячэння, якое выконвае крыптаграфічныя функцыі. Гэты маршрутызатар Juniper Networks пад кіраваннем аперацыйнай сістэмы Juniper Networks Junos (Junos OS) у рэжыме FIPS адпавядае стандарту FIPS 140-2 Узровень 1.
Праца гэтага маршрутызатара ў асяроддзі FIPS 140-2 Узровень 1 патрабуе ўключэння і канфігурацыі рэжыму FIPS на прыладах з інтэрфейсу каманднага радка (CLI) Junos OS.
Crypto Officer уключае рэжым FIPS у АС Junos і ўсталёўвае ключы і паролі для сістэмы і іншых карыстальнікаў FIPS.
Падтрымоўваныя платформы і абсталяванне
Для функцый, апісаных у гэтым дакуменце, для сертыфікацыі FIPS выкарыстоўваюцца наступныя платформы:

Аб крыптаграфічнай мяжы на вашай прыладзе
Адпаведнасць FIPS 140-2 патрабуе вызначанай крыптаграфічнай мяжы вакол кожнага крыптаграфічнага модуля на прыладзе. Junos OS у рэжыме FIPS не дазваляе крыптаграфічнаму модулю выконваць любое праграмнае забеспячэнне, якое не з'яўляецца часткай дыстрыбутыва, сертыфікаванага FIPS, і дазваляе выкарыстоўваць толькі зацверджаныя FIPS крыптаграфічныя алгарытмы. Ніякія крытычныя параметры бяспекі (CSP), такія як паролі і ключы, не могуць перасякаць крыптаграфічную мяжу модуля ў незашыфраваным фармаце.
Камплекты і ўстаўкі для злучэння фаеркі серыі THE OUTDOOR PLUS TOP - Icon 1 УВАГА: Функцыі віртуальнага шасі не падтрымліваюцца ў рэжыме FIPS. Не наладжвайце віртуальнае шасі ў рэжыме FIPS.

Чым рэжым FIPS адрозніваецца ад рэжыму Non-FIPS
АС Junos у рэжыме FIPS адрозніваецца ад АС Junos у рэжыме не-FIPS наступным чынам:

  • Саматэсты ўсіх крыптаграфічных алгарытмаў выконваюцца пры запуску.
  • Саматэсты генерацыі выпадковых лікаў і ключоў выконваюцца пастаянна.
  • Слабыя крыптаграфічныя алгарытмы, такія як Data Encryption Standard (DES) і MD5, адключаны.
  • Нельга наладжваць слабыя або незашыфраваныя злучэнні кіравання.
  • Паролі павінны быць зашыфраваны надзейнымі аднабаковымі алгарытмамі, якія не дазваляюць дэшыфраваць.
  • Паролі адміністратара павінны быць не менш за 10 сімвалаў.

Правераная версія АС Junos у рэжыме FIPS
Каб вызначыць, ці пацверджаны выпуск АС Junos NIST, глядзіце старонку дарадцы па адпаведнасці на Juniper Networks Web сайт (https://apps.juniper.net/compliance/).
ЗВЯЗАНАЯ ДАКУМЕНТАЦЫЯ
Вызначэнне бяспечнай дастаўкі прадукту | 7

Разуменне тэрміналогіі FIPS і падтрымоўваных крыптаграфічных алгарытмаў
У ГЭТЫМ РАЗДЗЕЛЕ
Тэрміналогія | 4
Падтрымліваюцца крыптаграфічныя алгарытмы | 5
Выкарыстоўвайце азначэнні тэрмінаў FIPS і падтрымоўваныя алгарытмы, каб дапамагчы вам зразумець Junos OS у рэжыме FIPS.

Тэрміналогія
Крытычны параметр бяспекі (CSP)
Інфармацыя, звязаная з бяспекай, напрыкладample, сакрэтныя і прыватныя крыптаграфічныя ключы і даныя аўтэнтыфікацыі, такія як паролі і персанальныя ідэнтыфікацыйныя нумары (PIN-коды), раскрыццё або змяненне якіх можа паставіць пад пагрозу бяспеку крыптаграфічнага модуля або інфармацыі, якую ён абараняе. Для атрымання дадатковай інфармацыі гл. «Разуменне аперацыйнага асяроддзя для АС Junos у рэжыме FIPS» на старонцы 16.
Крыптаграфічны модуль
Набор апаратнага, праграмнага і ўбудаванага праграмнага забеспячэння, які рэалізуе зацверджаныя функцыі бяспекі (уключаючы крыптаграфічныя алгарытмы і генерацыю ключоў) і знаходзіцца ў межах крыптаграфічнай мяжы.
FIPS
Федэральныя стандарты апрацоўкі інфармацыі. FIPS 140-2 вызначае патрабаванні да модуляў бяспекі і крыптаграфіі. Junos OS у рэжыме FIPS адпавядае FIPS 140-2 Level 1.
Роля абслугоўвання FIPS
Роля Crypto Officer выконвае паслугі фізічнага або лагічнага абслугоўвання, такія як апаратная або праграмная дыягностыка. Для адпаведнасці FIPS 140-2 Crypto Officer абнуляе механізм маршрутызацыі пры ўваходзе і выхадзе з ролі абслугоўвання FIPS, каб сцерці ўсе адкрытыя тэкставыя сакрэтныя і закрытыя ключы і неабароненыя CSP.
УВАГА: Роля абслугоўвання FIPS не падтрымліваецца ў АС Junos у рэжыме FIPS.
КАЦ
Тэсты з вядомымі адказамі. Сістэмныя саматэсты, якія правяраюць выхад крыптаграфічных алгарытмаў, ухваленых для FIPS, і правяраюць цэласнасць некаторых модуляў Junos OS. Для атрымання дадатковай інфармацыі гл. «Разуменне самаправеркі FIPS» на старонцы 73.
SSH
Пратакол, які выкарыстоўвае строгую аўтэнтыфікацыю і шыфраванне для аддаленага доступу праз неабароненую сетку. SSH забяспечвае выдалены ўваход, выдаленае выкананне праграм, file капіраванне і іншыя функцыі. Ён прызначаны ў якасці бяспечнай замены для rlogin, rsh і rcp у асяроддзі UNIX. Каб абараніць інфармацыю, якая адпраўляецца праз адміністрацыйныя злучэнні, выкарыстоўвайце SSHv2 для канфігурацыі CLI. У АС Junos SSHv2 уключаны па змаўчанні, а SSHv1, які не лічыцца бяспечным, адключаны. Абнуленне
Сціранне ўсіх CSP і іншых дадзеных, створаных карыстальнікам, на прыладзе перад яе працай у якасці крыптаграфічнага модуля FIPS або падчас падрыхтоўкі да перапрафілявання прылад для працы без FIPS.
Crypto Officer можа абнуліць сістэму з дапамогай аперацыйнай каманды CLI.
Падтрымліваюцца крыптаграфічныя алгарытмы
Табліца 1 на старонцы 6 абагульняе падтрымку алгарытму пратакола высокага ўзроўню.
Табліца 1: Пратаколы, дазволеныя ў рэжыме FIPS

Пратакол  Абмен ключамі Аўтэнтыфікацыя Шыфр Сумленнасць
SSHv2 • dh-група14-sha1
• ECDH-sha2-nistp256
• ECDH-sha2-nistp384
• ECDH-sha2-nistp521		 Хост (модуль):
• ECDSA P-256
• SSH-RSA
Кліент (карыстальнік):
• ECDSA P-256
• ECDSA P-384
• ECDSA P-521
• SSH-RSA		 • AES CTR 128
• AES CTR 192
• AES CTR 256
• AES CBC 128
• AES CBC 256		 • HMAC-SHA-1
• HMAC-SHA-256
• HMAC-SHA-512

Табліца 2 на старонцы 6 пералічвае шыфры, якія падтрымліваюцца MACsec LC.
Табліца 2: Шыфры, якія падтрымліваюцца MACsec LC
Шыфры, якія падтрымліваюцца MACsec LC
AES-GCM-128
AES-GCM-256
Кожная рэалізацыя алгарытму правяраецца серыяй саматэставання тэсту з вядомымі адказамі (KAT). Любы збой самаправеркі прыводзіць да стану памылкі FIPS.
ЛЕПШАЯ ПРАКТЫКА: для адпаведнасці FIPS 140-2 выкарыстоўвайце толькі зацверджаныя FIPS крыптаграфічныя алгарытмы ў АС Junos у рэжыме FIPS.
Наступныя крыптаграфічныя алгарытмы падтрымліваюцца ў рэжыме FIPS. Сіметрычныя метады выкарыстоўваюць адзін і той жа ключ для шыфравання і дэшыфравання, у той час як асіметрычныя метады выкарыстоўваюць розныя ключы для шыфравання і дэшыфравання.
AES
Пашыраны стандарт шыфравання (AES), вызначаны ў FIPS PUB 197. Алгарытм AES выкарыстоўвае ключы даўжынёй 128, 192 ці 256 біт для шыфравання і дэшыфравання даных у блоках па 128 біт.
ECDH
Эліптычная крывая Дзіфі-Хеллмана. Варыянт алгарытму абмену ключамі Дыфі-Хелмана, які выкарыстоўвае крыптаграфію, заснаваную на алгебраічнай структуры эліптычных крывых над канечнымі палямі. ECDH дазваляе двум бакам, кожны з якіх мае пару адкрытых і прыватных ключоў па эліптычнай крывой, усталёўваць агульны сакрэт па неабароненым канале. Агульны сакрэт можа быць выкарыстаны альбо ў якасці ключа, альбо для атрымання іншага ключа для шыфравання наступных паведамленняў з дапамогай сіметрычнага ключавога шыфра.
ECDSA
Алгарытм лічбавага подпісу эліптычнай крывой. Варыянт алгарытму лічбавага подпісу (DSA), які выкарыстоўвае крыптаграфію, заснаваную на алгебраічнай структуры эліптычных крывых над канечнымі палямі. Разраднасць эліптычнай крывой вызначае складанасць расшыфроўкі ключа. Адкрыты ключ, які, як мяркуюць, неабходны для ECDSA, у бітах прыкладна ў два разы перавышае ўзровень бяспекі. ECDSA з выкарыстаннем крывых P-256, P-384 і P-521 можна наладзіць у OpenSSH.
HMAC
Вызначаны ў RFC 2104 як «хэшаванне па ключах для аўтэнтыфікацыі паведамленняў», HMAC аб'ядноўвае алгарытмы хэшавання з крыптаграфічнымі ключамі для аўтэнтыфікацыі паведамленняў. Для АС Junos у рэжыме FIPS HMAC выкарыстоўвае ітэраваныя крыптаграфічныя хэш-функцыі SHA-1, SHA-256 і SHA-512 разам з сакрэтным ключом.
SHA-256 і SHA-512
Бяспечныя алгарытмы хэшавання (SHA), якія належаць да стандарту SHA-2, вызначанага ў FIPS PUB 180-2. Распрацаваны NIST, SHA-256 стварае 256-бітны хэш-дайджэст, а SHA-512 - 512-бітны хэш-дайджэст.
ЗВЯЗАНАЯ ДАКУМЕНТАЦЫЯ
Разуменне самаправеркі FIPS | 73
Разуменне абнулення для ачысткі сістэмных даных для рэжыму FIPS | 25
Вызначэнне бяспечнай дастаўкі прадукту
Ёсць некалькі механізмаў, прадугледжаных у працэсе дастаўкі, каб пераканацца, што кліент атрымлівае прадукт, які не быў tampэрэд с. Кліент павінен выканаць наступныя праверкі пасля атрымання прылады, каб праверыць цэласнасць платформы.

  • Транспартная этыкетка — пераканайцеся, што на транспартнай этыкетцы правільна пазначаны імя і адрас кліента, а таксама прылада.
  • Знешняя ўпакоўка — праверце знешнюю транспартную скрынку і заляпіце яе стужкай. Пераканайцеся, што транспартная стужка не была абрэзана або іншым чынам пашкоджана. Упэўніцеся, што скрынка не разрэзана і не пашкоджана, каб забяспечыць доступ да прылады.
  • Унутраная ўпакоўка - праверце поліэтыленавы пакет і запячатайце яго. Пераканайцеся, што мяшок не парэзаны і не выдалены. Пераканайцеся, што пячатка засталася цэлай.

Калі падчас праверкі кліент выяўляе праблему, ён павінен неадкладна звязацца з пастаўшчыком. Паведаміце пастаўшчыку нумар замовы, нумар для адсочвання і апісанне выяўленай праблемы.
Акрамя таго, ёсць некалькі праверак, якія можна выканаць, каб пераканацца, што кліент атрымаў скрынку, адпраўленую Juniper Networks, а не іншай кампаніяй, якая маскіруецца пад Juniper Networks. Пры атрыманні прылады кліент павінен правесці наступныя праверкі, каб пераканацца ў сапраўднасці прылады:

  • Пераканайцеся, што прылада было замоўлена праз заказ. Прылады Juniper Networks ніколі не пастаўляюцца без замовы.
  • Калі прылада адпраўляецца, паведамленне аб адпраўцы адпраўляецца на адрас электроннай пошты, указаны кліентам пры прыёме замовы. Пераканайцеся, што гэта апавяшчэнне па электроннай пошце было атрымана. Пераканайцеся, што ліст змяшчае наступную інфармацыю:
  • Нумар заказу на куплю
  • Нумар заказу Juniper Networks, які выкарыстоўваецца для адсочвання адпраўкі
  • Нумар адсочвання перавозчыка, які выкарыстоўваецца для адсочвання адпраўлення
  • Спіс адгружаных тавараў, уключаючы серыйныя нумары
  • Адрас і кантакты як пастаўшчыка, так і заказчыка
  • Пераканайцеся, што адпраўка была ініцыявана Juniper Networks. Каб пераканацца, што адпраўка была ініцыявана Juniper Networks, вы павінны выканаць наступныя задачы:
  • Параўнайце нумар адсочвання перавозчыка нумара замовы Juniper Networks, указаны ў паведамленні Juniper Networks аб дастаўцы, з нумарам адсочвання на атрыманай пасылцы.
  • Увайдзіце на інтэрнэт-партал падтрымкі кліентаў Juniper Networks па адрасе https://support.juniper.net/support/ да view статус замовы. Параўнайце нумар адсочвання перавозчыка або нумар заказу Juniper Networks, указаны ў паведамленні Juniper Networks аб адпраўцы, з нумарам адсочвання на атрыманай пасылцы.

Разуменне інтэрфейсаў кіравання
У ацэненай канфігурацыі можна выкарыстоўваць наступныя інтэрфейсы кіравання:

  • Лакальныя інтэрфейсы кіравання — кансольны порт RJ-45 на прыладзе настроены як тэрмінальнае абсталяванне перадачы дадзеных RS-232 (DTE). Вы можаце выкарыстоўваць інтэрфейс каманднага радка (CLI) праз гэты порт, каб наладзіць прыладу з тэрмінала.
  • Пратаколы дыстанцыйнага кіравання — прыладай можна дыстанцыйна кіраваць праз любы інтэрфейс Ethernet. SSHv2 - гэта адзіны дазволены пратакол аддаленага кіравання, які можа выкарыстоўвацца ў ацэненай канфігурацыі. Пратаколы аддаленага кіравання J-Web і Telnet недаступныя для выкарыстання на прыладзе.

Настройка адміністрацыйных уліковых дадзеных і прывілеяў

Разуменне правілаў звязаных пароляў для аўтарызаванага адміністратара
Аўтарызаваны адміністратар звязаны з вызначаным класам уваходу, і адміністратару прызначаюцца ўсе дазволы. Даныя захоўваюцца лакальна для аўтэнтыфікацыі па фіксаваным паролі.
УВАГА: Не выкарыстоўвайце ў паролях кантрольныя сімвалы.
Выкарыстоўвайце наступныя інструкцыі і параметры канфігурацыі для пароляў і пры выбары пароляў для аўтарызаваных уліковых запісаў адміністратара. Паролі павінны быць:

  • Лёгка запомніць, каб у карыстальнікаў не было спакусы запісаць.
  • Перыядычна змянялася.
  • Прыватнае і ні з кім не перадаецца.
  • Змяшчае мінімум 10 сімвалаў. Мінімальная даўжыня пароля - 10 знакаў.
    [рэдагаваць] адміністратар@хост# ўсталяваць пароль для ўваходу ў сістэму мінімальнай даўжыні 10
  • Уключайце як літары, так і знакі прыпынку, якія складаюцца з любой камбінацыі вялікіх і малых літар, лічбаў і спецыяльных сімвалаў, такіх як «!», «@», «#», «$», «%», «^», « &», «*», «(», і «)».
    Павінна быць хаця б змена ў адным рэгістры, адной ці некалькіх лічбах і адным ці некалькіх знаках прыпынку.
  • Змяшчаюць наборы сімвалаў. Дапушчальныя наборы сімвалаў ўключаюць вялікія і малыя літары, лічбы, знакі прыпынку і іншыя спецыяльныя сімвалы.
    [рэдагаваць] адміністратар@хост# усталяваць наборы сімвалаў тыпу змены пароля для ўваходу ў сістэму
  • Змяшчаюць мінімальную колькасць набораў сімвалаў або змяненняў у наборы сімвалаў. Мінімальная колькасць набораў сімвалаў, неабходных для простых тэкставых пароляў у Junos FIPS, складае 3.
    [рэдагаваць] адміністратар@хост# усталяваць мінімальныя змены пароля для ўваходу ў сістэму 3
  • Алгарытм хэшавання пароляў карыстальнікаў можа быць альбо SHA256, альбо SHA512 (SHA512 з'яўляецца алгарытмам хэшавання па змаўчанні).
    [рэдагаваць] адміністратар@хост# усталяваць фармат пароля для ўваходу ў сістэму sha512
    УВАГА: Прылада падтрымлівае тыпы ключоў ECDSA (P-256, P-384 і P-521) і RSA (2048, 3072 і 4092 модульных біт даўжыні).
    Слабыя паролі:
  • Словы, якія могуць быць знойдзены ў сістэме або існуюць у выглядзе перастаноўленай формы file напрыклад, /etc/passwd.
  • Імя хоста сістэмы (заўсёды першая здагадка).
  • Любыя словы, якія з'яўляюцца ў слоўніку. Гэта ўключае ў сябе слоўнікі, акрамя англійскай, і словы, знойдзеныя ў такіх творах, як Шэкспір, Льюіс Кэрал, тэзаўрус Рожэ і г.д. Гэтая забарона ўключае агульныя словы і фразы са спорту, прымаўкі, фільмы і тэлешоў.
  • Перастаноўкі на любым з вышэйпералічаных. Напрыкладample, слоўнікавае слова з галоснымі, замененымі лічбамі (напрыклад,ample f00t) або з даданнем лічбаў у канцы.
  • Любыя згенераваныя машынай паролі. Алгарытмы памяншаюць прастору пошуку праграм для падбору пароляў, таму не павінны выкарыстоўвацца.
    Надзейныя шматразовыя паролі могуць быць заснаваныя на літарах з любімай фразы або слова, а затым аб'яднаны з іншымі, не звязанымі словамі, разам з дадатковымі лічбамі і знакамі прыпынку.

ЗВЯЗАНАЯ ДАКУМЕНТАЦЫЯ
Вызначэнне бяспечнай дастаўкі прадукту | 7

Налада роляў і метадаў аўтэнтыфікацыі

Разуменне роляў і паслуг для Junos OS
У ГЭТЫМ РАЗДЗЕЛЕ
Роля і абавязкі крыптаслужбоўца | 15
Роля і абавязкі карыстальніка FIPS | 15
Што чакаецца ад усіх карыстальнікаў FIPS | 16
Адміністратар бяспекі звязаны з вызначаным класам уваходу ў сістэму security-admin, які мае неабходны набор дазволаў, каб дазволіць адміністратару выконваць усе задачы, неабходныя для кіравання Junos OS. Карыстальнікі з правамі адміністратара (адміністратар бяспекі) павінны прадаставіць унікальныя ідэнтыфікацыйныя і аўтэнтыфікацыйныя дадзеныя перад тым, як будзе прадастаўлены адміністрацыйны доступ да сістэмы.
Ролі і абавязкі адміністратара бяспекі наступныя:

  1. Адміністратар бяспекі можа адміністраваць лакальна і выдалена.
  2. Стварэнне, змяненне, выдаленне ўліковых запісаў адміністратара, уключаючы канфігурацыю параметраў збою аўтэнтыфікацыі.
  3. Паўторна ўключыце ўліковы запіс адміністратара.
  4. Адказны за канфігурацыю і абслугоўванне крыптаграфічных элементаў, звязаных з усталяваннем бяспечных злучэнняў з і да ацэненага прадукту.

Аперацыйная сістэма Juniper Networks Junos (Junos OS), якая працуе ў рэжыме без FIPS, забяспечвае шырокі спектр магчымасцей для карыстальнікаў, а аўтэнтыфікацыя заснавана на ідэнтыфікацыі. Наадварот, стандарт FIPS 140-2 вызначае дзве ролі карыстальнікаў: Crypto Officer і карыстальнік FIPS. Гэтыя ролі вызначаны ў адпаведнасці з магчымасцямі карыстальніка Junos OS.
Усе іншыя тыпы карыстальнікаў, вызначаныя для АС Junos у рэжыме FIPS (аператар, карыстальнік-адміністратар і гэтак далей), павінны адносіцца да адной з дзвюх катэгорый: Crypto Officer або карыстальнік FIPS. Па гэтай прычыне аўтэнтыфікацыя карыстальніка ў рэжыме FIPS заснавана на ролях, а не на аснове ідэнтыфікацыі.
Crypto Officer выконвае ўсе задачы канфігурацыі, звязаныя з рэжымам FIPS, і выдае ўсе заявы і каманды для АС Junos у рэжыме FIPS. Карыстальніцкія канфігурацыі Crypto Officer і FIPS павінны адпавядаць інструкцыям для АС Junos у рэжыме FIPS.
Роля і абавязкі крыптаслужбоўца
Crypto Officer - гэта асоба, адказная за ўключэнне, наладжванне, маніторынг і падтрыманне Junos OS у рэжыме FIPS на прыладзе. Crypto Officer бяспечна ўсталёўвае АС Junos на прыладу, уключае рэжым FIPS, усталёўвае ключы і паролі для іншых карыстальнікаў і праграмных модуляў і ініцыялізуе прыладу перад падключэннем да сеткі.
ЛЕПШАЯ ПРАКТЫКА: Мы рэкамендуем, каб Crypto Officer бяспечна адміністраваў сістэму, захоўваючы паролі ў бяспецы і правяраючы аўдыт files.
Дазволы, якія адрозніваюць Crypto Officer ад іншых карыстальнікаў FIPS, - гэта сакрэт, бяспека, абслугоўванне і кантроль. Для адпаведнасці FIPS прызначыце Crypto Officer класу ўваходу, які змяшчае ўсе гэтыя дазволы. Карыстальнік з дазволам на абслугоўванне АС Junos можа чытаць files, якія змяшчаюць крытычныя параметры бяспекі (CSP).
УВАГА: Junos OS у рэжыме FIPS не падтрымлівае ролю абслугоўвання FIPS 140-2, якая адрозніваецца ад дазволу на абслугоўванне Junos OS.
Сярод задач, звязаных з АС Junos у рэжыме FIPS, Crypto Officer павінен:

  • Усталюйце першапачатковы пароль root. Даўжыня пароля павінна быць не менш за 10 знакаў.
  • Скінуць паролі карыстальнікаў з алгарытмамі, зацверджанымі FIPS.
  • Вывучыце журнал і праверце files для цікавых падзей.
  • Сцерці створанае карыстальнікам files, ключы і дадзеныя шляхам абнулення прылады.

Роля і абавязкі карыстальніка FIPS
Усе карыстальнікі FIPS, у тым ліку Crypto Officer, могуць view канфігурацыя. Толькі карыстальнік, прызначаны Crypto Officer, можа змяняць канфігурацыю.
Дазволы, якія адрозніваюць Crypto Officers ад іншых карыстальнікаў FIPS, - гэта сакрэт, бяспека, абслугоўванне і кантроль. Для адпаведнасці FIPS прызначыце карыстальніка FIPS класу, які не змяшчае ніводнага з гэтых дазволаў.
Карыстальнік FIPS можа view вывад стану, але не можа перазагрузіць або абнуліць прыладу.
Што чакаецца ад усіх карыстальнікаў FIPS
Усе карыстальнікі FIPS, у тым ліку Crypto Officer, павінны ўвесь час выконваць інструкцыі па бяспецы.
Усе карыстальнікі FIPS павінны:

  • Захоўвайце ўсе паролі ў сакрэце.
  • Захоўвайце прылады і дакументацыю ў бяспечным месцы.
  • Размяшчайце прылады ў бяспечных зонах.
  • Праверка рэвізіі files перыядычна.
  • Адпавядаюць усім іншым правілам бяспекі FIPS 140-2.
  • Выконвайце наступныя рэкамендацыі:
    • Карыстальнікам давяраюць.
    • Карыстальнікі выконваюць усе правілы бяспекі.
    • Карыстальнікі наўмысна не парушаюць бяспеку
    • Карыстальнікі заўсёды паводзяць сябе адказна.

ЗВЯЗАНАЯ ДАКУМЕНТАЦЫЯ
Прылада Juniper Networks, якая працуе пад кіраваннем аперацыйнай сістэмы Juniper Networks Junos (Junos OS) у рэжыме FIPS, утварае спецыяльны тып апаратнага і праграмнага аперацыйнага асяроддзя, якое адрозніваецца ад асяроддзя прылады ў рэжыме без FIPS:

Апаратнае асяроддзе для АС Junos у рэжыме FIPS
АС Junos у рэжыме FIPS усталёўвае ў прыладзе крыптаграфічную мяжу, якую не могуць перасякаць крытычныя параметры бяспекі (CSP), выкарыстоўваючы звычайны тэкст. Кожны апаратны кампанент прылады, які патрабуе крыптаграфічнай мяжы для адпаведнасці FIPS 140-2, з'яўляецца асобным крыптаграфічным модулем. Ёсць два тыпы абсталявання з крыптаграфічнымі межамі ў АС Junos у рэжыме FIPS: па адным для кожнага Routing Engine і адзін для ўсяго шасі, якое ўключае карту LC MPC7E-10G. Кожны кампанент утварае асобны крыптаграфічны модуль. Сувязь з удзелам CSP паміж гэтымі бяспечнымі асяроддзямі павінна адбывацца з выкарыстаннем шыфравання.
Крыптаграфічныя метады не замяняюць фізічную бяспеку. Абсталяванне павінна знаходзіцца ў бяспечным фізічным асяроддзі. Карыстальнікі ўсіх тыпаў не павінны раскрываць ключы і паролі, а таксама дазваляць несанкцыянаваным асобам бачыць пісьмовыя запісы або нататкі.
Праграмнае асяроддзе для АС Junos у рэжыме FIPS
Прылада Juniper Networks пад кіраваннем АС Junos у рэжыме FIPS утварае асаблівы тып немадыфікуемай аперацыйнай асяроддзя. Каб дасягнуць гэтага асяроддзя на прыладзе, сістэма прадухіляе выкананне любога двайковага файла file які не быў часткай сертыфікаванага размеркавання АС Junos у рэжыме FIPS. Калі прылада знаходзіцца ў рэжыме FIPS, яна можа працаваць толькі з АС Junos.
АС Junos у праграмным асяроддзі рэжыму FIPS усталёўваецца пасля паспяховага ўключэння рэжыму FIPS на прыладзе Crypto Officer. Вобраз АС Junos, які ўключае рэжым FIPS, даступны ў Juniper Networks webсайт і можа быць усталяваны на дзеючай прыладзе.
Для адпаведнасці FIPS 140-2 мы рэкамендуем выдаліць усе створаныя карыстальнікамі files і даныя шляхам абнулення прылады перад уключэннем рэжыму FIPS.
Для працы вашай прылады на ўзроўні FIPS 1 патрабуецца выкарыстанне tampвідавочныя этыкеткі для герметызацыі механізмаў маршрутызацыі ў шасі.
Уключэнне рэжыму FIPS адключае многія звычайныя пратаколы і службы Junos OS. У прыватнасці, вы не можаце наладзіць наступныя службы ў АС Junos у рэжыме FIPS:

  • палец
  • ftp
  • rlogin
  • telnet
  • tftp
  • xnm-адкрыты тэкст

Спробы наладзіць гэтыя службы або загрузіць канфігурацыі з наладжанымі гэтымі службамі прыводзяць да сінтаксічнай памылкі канфігурацыі.
У якасці службы аддаленага доступу можна выкарыстоўваць толькі SSH.
Усе паролі, устаноўленыя для карыстальнікаў пасля абнаўлення да Junos OS у рэжыме FIPS, павінны адпавядаць спецыфікацыям Junos OS у рэжыме FIPS. Паролі павінны быць даўжынёй ад 10 да 20 сімвалаў і патрабаваць выкарыстання як мінімум трох з пяці вызначаных набораў сімвалаў (вялікія і малыя літары, лічбы, знакі прыпынку і сімвалы клавіятуры, такія як % і &, якія не ўваходзяць у іншыя чатыры катэгорыі).
Спробы наладзіць паролі, якія не адпавядаюць гэтым правілам, прыводзяць да памылкі. Усе паролі і ключы, якія выкарыстоўваюцца для аўтэнтыфікацыі піраў, павінны мець не менш за 10 сімвалаў, а ў некаторых выпадках даўжыня павінна адпавядаць памеру дайджэста.
УВАГА: Не падключайце прыладу да сеткі, пакуль Crypto Officer не завершыць канфігурацыю з лакальнай кансолі.
Для строгай адпаведнасці не правярайце інфармацыю аб ядры і аварыйным дампе на лакальнай кансолі ў АС Junos у рэжыме FIPS, таму што некаторыя CSP могуць быць паказаны ў выглядзе звычайнага тэксту.
Крытычныя параметры бяспекі
Крытычныя параметры бяспекі (CSP) - гэта інфармацыя, звязаная з бяспекай, такая як крыптаграфічныя ключы і паролі, якія могуць паставіць пад пагрозу бяспеку крыптаграфічнага модуля або бяспеку інфармацыі, абароненай модулем, калі яны будуць раскрыты або зменены.
Абнуленне сістэмы сцірае ўсе сляды CSP пры падрыхтоўцы да працы прылады або механізму маршрутызацыі ў якасці крыптаграфічнага модуля.
Табліца 3 на старонцы 19 пералічвае CSP на прыладах пад кіраваннем Junos OS.
Табліца 3: Крытычныя параметры бяспекі

CSP Апісанне Абнуліць

Выкарыстоўвайце
Закрыты ключ хоста SSHv2 Ключ ECDSA / RSA, які выкарыстоўваецца для ідэнтыфікацыі хаста, створаны пры першай канфігурацыі SSH. Каманда абнулення. Выкарыстоўваецца для ідэнтыфікацыі гаспадара.
Сеансавыя ключы SSHv2 Ключ сеансу выкарыстоўваецца з SSHv2 і ў якасці закрытага ключа Дыфі-Хеллмана. Шыфраванне: AES-128, AES-192, AES-256. MAC: HMAC-SHA-1, HMAC-SHA-2-256, HMAC-SHA2-512. Абмен ключамі: dh-group14-sha1, ECDH-sha2-nistp-256, ECDH-sha2-nistp-384 і ECDH-sha2-nistp-521. Выключыце і завяршыце сеанс. Сіметрычны ключ, які выкарыстоўваецца для шыфравання даных паміж хостам і кліентам.
Ключ аўтэнтыфікацыі карыстальніка Хэш пароля карыстальніка: SHA256, SHA512. Каманда абнулення. Выкарыстоўваецца для аўтэнтыфікацыі карыстальніка ў крыптаграфічным модулі.
Ключ аўтэнтыфікацыі Crypto Officer Хэш пароля крыптаслужбоўца: SHA256, SHA512. Каманда абнулення. Выкарыстоўваецца для аўтэнтыфікацыі Crypto Officer у крыптаграфічным модулі.
Насенне HMAC DRBG Пачатак для дэтэрмінаванага генератара выпадковых бітаў (DRBG). Начальная база не захоўваецца крыптаграфічным модулем. Выкарыстоўваецца для пасева ДРБГ.
Значэнне HMAC DRBG V Значэнне (V) даўжыні выходнага блока (outlen) у бітах, якое абнаўляецца кожны раз, калі ствараюцца чарговыя выходныя біты. Цыкл харчавання. Крытычнае значэнне ўнутранага стану ДРБГ.
CSP Апісанне Абнуліць

Выкарыстоўвайце
Значэнне ключа HMAC DRBG Бягучае значэнне ключа outlen-bit, якое абнаўляецца як мінімум адзін раз кожны раз, калі механізм DRBG генеруе псеўдавыпадковыя біты. Цыкл харчавання. Крытычнае значэнне ўнутранага стану ДРБГ.
NDRNG энтрапія Выкарыстоўваецца ў якасці ўваходнага радка энтрапіі ў HMAC DRBG. Цыкл харчавання. Крытычнае значэнне ўнутранага стану ДРБГ.

У АС Junos у рэжыме FIPS усе CSP павінны ўваходзіць і выходзіць з крыптаграфічнага модуля ў зашыфраваным выглядзе.
Любы CSP, зашыфраваны з дапамогай незацверджанага алгарытму, лічыцца звычайным тэкстам FIPS.
ЛЕПШАЯ ПРАКТЫКА: Для адпаведнасці FIPS наладзьце прыладу праз злучэнні SSH, таму што гэта зашыфраваныя злучэнні.
Лакальныя паролі хэшуюцца з дапамогай алгарытму SHA256 або SHA512. Аднаўленне пароля немагчыма ў АС Junos у рэжыме FIPS. АС Junos у рэжыме FIPS не можа загрузіцца ў аднакарыстальніцкім рэжыме без правільнага пароля root.
Разуменне спецыфікацый пароляў і інструкцый для АС Junos у рэжыме FIPS
Усе паролі, устаноўленыя для карыстальнікаў Crypto Officer, павінны адпавядаць наступным патрабаванням АС Junos у рэжыме FIPS. Спробы наладзіць паролі, якія не адпавядаюць наступным характарыстыкам, прыводзяць да памылкі.

  • Даўжыня. Паролі павінны змяшчаць ад 10 да 20 сімвалаў.
  • Патрабаванні да набору сімвалаў. Паролі павінны змяшчаць як мінімум тры з наступных пяці вызначаных набораў сімвалаў:
  • Вялікія літары
  • Малыя літары
  • Лічбы
  • Знакі прыпынку
  • Сімвалы клавіятуры, якія не ўваходзяць у іншыя чатыры наборы, такія як знак працэнта (%) і ampэрсанд (&)
  • Патрабаванні да аўтэнтыфікацыі. Усе паролі і ключы, якія выкарыстоўваюцца для аўтэнтыфікацыі піраў, павінны змяшчаць не менш за 10 сімвалаў, а ў некаторых выпадках колькасць сімвалаў павінна адпавядаць памеру дайджэста.
  • Шыфраванне паролем. Каб змяніць метад шыфравання па змаўчанні (SHA512), уключыце фармат на ўзроўні іерархіі [рэдагаваць пароль для ўваходу ў сістэму].

Рэкамендацыі па складанні надзейных пароляў. Надзейныя, шматразовыя паролі могуць быць заснаваныя на літарах з любімай фразы або слова, а затым аб'яднаны з іншымі не звязанымі словамі, разам з дададзенымі лічбамі і знакамі прыпынку. Увогуле, надзейны пароль:

  • Лёгка запомніць, каб у карыстальнікаў не было спакусы запісаць.
  • Складаецца са змешаных літарна-лічбавых сімвалаў і знакаў прыпынку. Для адпаведнасці FIPS уключыце як мінімум адну змену рэгістра, адну або некалькі лічбаў і адзін або некалькі знакаў прыпынку.
  • Перыядычна змянялася.
  • Нікому не разгалошваецца.
    Характарыстыкі слабых пароляў. Не выкарыстоўвайце наступныя слабыя паролі:
  • Словы, якія могуць быць знойдзены ў сістэме або існуюць у выглядзе перастаноўленай формы files, такія як /etc/passwd.
  • Імя хоста сістэмы (заўсёды першая здагадка).
  • Любое слова або фраза, якія сустракаюцца ў слоўніку або іншай добра вядомай крыніцы, уключаючы слоўнікі і тэзаўрусы на мовах, акрамя англійскай; творы класічных або папулярных пісьменнікаў; або агульныя словы і фразы са спорту, прымаўкі, фільмы або тэлешоў.
  • Перастаноўкі любога з вышэйпералічанага, напрыкладample, слоўнікавае слова з літарамі, замененымі на лічбы (r00t) або з лічбамі, дададзенымі ў канцы.
  • Любы згенераваны машынай пароль. Алгарытмы памяншаюць прастору пошуку праграм для падбору пароляў, таму іх нельга выкарыстоўваць.

Загрузка праграмных пакетаў з Juniper Networks
Вы можаце загрузіць праграмны пакет Junos OS для сваёй прылады з Juniper Networks webсайт.
Перш чым пачаць спампоўваць праграмнае забеспячэнне, пераканайцеся, што ў вас ёсць Juniper Networks Web уліковы запіс і сапраўдны кантракт на падтрымку. Каб атрымаць уліковы запіс, запоўніце рэгістрацыйную форму ў Juniper Networks webсайт: https://userregistration.juniper.net/.
Каб спампаваць праграмныя пакеты з Juniper Networks:

  1. Выкарыстоўваючы а Web браўзэр, перайдзіце па спасылках для загрузкі URL на Juniper Networks webстаронка. https://support.juniper.net/support/downloads/
  2. Увайдзіце ў сістэму аўтэнтыфікацыі Juniper Networks, выкарыстоўваючы імя карыстальніка (як правіла, ваш адрас электроннай пошты) і пароль, прадастаўленыя прадстаўнікамі Juniper Networks.
  3. Спампаваць праграмнае забеспячэнне. Глядзіце Загрузка праграмнага забеспячэння.

ЗВЯЗАНАЯ ДАКУМЕНТАЦЫЯ
Кіраўніцтва па ўстаноўцы і абнаўленні
Усталёўка праграмнага забеспячэння на прыладу з адзінай сістэмай маршрутызацыі
Вы можаце выкарыстоўваць гэтую працэдуру для абнаўлення Junos OS на прыладзе з дапамогай аднаго Routing Engine.
Каб усталяваць абнаўленні праграмнага забеспячэння на прыладзе з адным механізмам маршрутызацыі:

  1. Спампуйце пакет праграм, як апісана ў Загрузка праграмных пакетаў з Juniper Networks.
  2. Калі вы гэтага яшчэ не зрабілі, падключыцеся да кансольнага порта прылады з прылады кіравання і ўвайдзіце ў Junos OS CLI.
  3. (Неабавязкова) Зрабіце рэзервовую копію бягучай канфігурацыі праграмнага забеспячэння ў другі варыянт захоўвання. Глядзіце Кіраўніцтва па ўсталёўцы і абнаўленні праграмнага забеспячэння для інструкцый па выкананні гэтай задачы.
  4. (Неабавязкова) Скапіруйце пакет праграмнага забеспячэння на прыладу. Мы рэкамендуем вам выкарыстоўваць FTP для капіявання file у каталог /var/tmp/.
    Гэты крок не з'яўляецца абавязковым, таму што Junos OS таксама можа быць абноўлена, калі вобраз праграмнага забеспячэння захоўваецца ў аддаленым месцы. Гэтыя інструкцыі апісваюць працэс абнаўлення праграмнага забеспячэння для абодвух сцэнарыяў.
  5. Усталюйце новы пакет на прыладу: Для REMX2K-X8: user@host> запыт vmhost software add
    Для RE1800: user@host> запытаць даданне сістэмнага праграмнага забеспячэння
    Заменіце пакет адным з наступных шляхоў:
    • Для пакета праграмнага забеспячэння ў лакальным каталогу на прыладзе выкарыстоўвайце /var/tmp/package.tgz.
    • Для пакета праграмнага забеспячэння на аддаленым серверы выкарыстоўвайце адзін з наступных шляхоў, замяніўшы зменную опцыю package назвай пакета праграмнага забеспячэння.
    ftp://імя хаста/шлях/package.tgz
    • ftp://імя хаста/шлях/package.tgz
  6. Перазагрузіце прыладу для загрузкі ўстаноўкі:
    Для REMX2K-X8:
    user@host> запытаць перазагрузку vmhost
    Для RE1800:
    user@host> запытаць перазагрузку сістэмы
  7. Пасля завяршэння перазагрузкі ўвайдзіце ў сістэму і выкарыстоўвайце каманду show version, каб пераканацца, што новая версія праграмнага забеспячэння паспяхова ўстаноўлена.
    user@host> паказаць версію
    Мадэль: mx960
    Junos: 20.3X75-D30.1
    64-бітнае ядро ​​АС JUNOS [20210722.b0da34e0_builder_stable_11-204ab] Бібліятэка АС JUNOS [20210722.b0da34e0_builder_stable_11-204ab] Асяроддзе выканання АС JUNOS [20210722.b0da34e0_builder_stable_11-204a b] Інфармацыя аб гадзінным поясе АС JUNOS [20210722.b0da34e0_builder_stable_11-204ab] Сеткавы стэк і ўтыліты JUNOS [20210812.200100_builder_junos_203_x75_d30] JUNOS libs [20210812.200100_builder_junos_203_x75_d30] JUNOS OS libs compat32 [20210722.b0da34e0_builder_stable_11-204ab] JUN 32-бітная сумяшчальнасць з АС [20210722.b0da34e0_builder_stable_11-204ab] JUNOS libs compat32 [20210812.200100_builder_junos_203_x75_d30] Асяроддзе выканання JUNOS [20210812.200100_builder_junos_203_x75 30_d20210812.200100] JUNOS sflow mx [203_builder_junos_75_x30_d2] Пашырэнні JUNOS py20210812.200100 [203_builder_junos_75_x30_d20210812.200100] Пашырэнні JUNOS py [203_builder_junos_75_x30_d2] JUNOS py base20210812.200100 [203_builder_junos_75_x30_d20210812.200100] JUNOS py base [203_builder_junos_75_x30_d20210722] JUNOS OS crypto [0.b34da0e11_builder_stable_204-XNUMXa b] Загрузка АС JUNOS files [20210722.b0da34e0_builder_stable_11-204ab] JUNOS na telemetry [20.3X75-D30.1] JUNOS Security Intelligence [20210812.200100_builder_junos_203_x75_d30] JUNOS mx libs compat32 [20210812.200100. 203_builder_junos_75_x30_d20210812.200100] Асяроддзе выканання JUNOS mx [203_builder_junos_75_x30_d20.3] Прыкладанне тэлеметрыі JUNOS RPD [75X30.1-D20210812.200100 .203] Redis [75_builder_junos_30_x20210812.200100_d203] Утыліта зонда JUNOS [75_builder_junos_30_x20210812.200100_d203] Падтрымка агульнай платформы JUNOS [75_builder_junos_30_x20.3] _d75] JUNOS Openconfig [30.1X20210812.200100-D203] Сеткавыя модулі JUNOS mtx [75_builder_junos_30_x20210812.200100_d203] Модулі JUNOS [75_builder_junos_30_x20210812.200100_d203] Модулі JUNOS mx [75_Builder_Junos_30_X20210812.200100_D203] Junos MX LIB 75_builder_junos_30_x20210812.200100_d203] junos daemons [75_builder_junos_30_x20210812.200100_d203] Junos mx daemons [75_builder_junos_30_x20210812.200100_d203] Junos Daemons Appidtification Application-IDIDECTICATIONICITIONICATICATICANICATIONCITICATICATICANICATION [75_builder_junos_30_x20210812.200100_d203] Паслугі JUNOS URL Пакет фільтраў [20210812.200100_builder_junos_203_x75_d30] Пакет паслуг JUNOS TLB PIC [20210812.200100_builder_junos_203_x75_d30] Тэлеметрыя паслуг JUNOS [20210812.200100_builder_junos_203_x 75_d30] JUNOS Services TCP-LOG [20210812.200100_builder_junos_203_x75_d30] JUNOS Services SSL [20210812.200100_builder_junos_203_x75_d30] JUNOS Services SOFTWIRE [20210812.200100_builder_ junos_203_x75_d30] JUNOS Services Stateful Firewall [20210812.200100_builder_junos_203_x75_d30] JUNOS Services RTCOM [20210812.200100_builder_junos_203_x75_d30] JUNOS Services RPM [20210812.200100_builder_junos_203_x75_d30] Пакет JUNOS Services PCEF [20210812.200100_builder_junos_203_x75_d30] JUNOS Services NAT [20210812.200100_builder_junos_203_x75_d30] JUNOS Services Mobile Subscriber Service Container пакет
    [20210812.200100_builder_junos_203_x75_d30] Пакет праграмнага забеспячэння JUNOS Services MobileNext [20210812.200100_builder_junos_203_x75_d30] Пакет JUNOS Services Logging Framework [20210812.200100_builder_junos_203_ x75_d30] Пакет кантэйнера JUNOS Services LL-PDF [20210812.200100_builder_junos_203_x75_d30] Пакет JUNOS Services Jflow Container [20210812.200100_builder_junos_203_x75_d30] Пакет JUNOS Services Deep Packet Inspection [ 20210812.200100_builder_junos_203_x75_d30] JUNOS Services IPSec [20210812.200100_builder_junos_203_x75_d30] JUNOS Services IDS [20210812.200100_builder_junos_203_x75_d30] JUNOS IDP Services [20210812.200100_builder_junos_203_x75_d30] JUNOS Services HTTP Content Management package [20210812.200100_builder_junos_203_x75_d30] JUNOS Services Crypto [20210812.200100_builder_junos_203 _x75_d30] JUNOS Services Captive Portal і пакет Content Delivery Container
    [20210812.200100_builder_junos_203_x75_d30] JUNOS Services COS [20210812.200100_builder_junos_203_x75_d30] JUNOS AppId Services [20210812.200100_builder_junos_203_x75_d30] Шлюзы ўзроўню прыкладанняў JUNOS [20210812.200100_builder_junos_203_x75_d30] Пакет кантэйнера JUNOS Services AACL [20210812.200100_builder_junos_203_x75_d30] Пакет праграмнага забеспячэння JUNOS SDN [20210812.200100_builder_ junos_203_x75_d30] Набор інструментаў пашырэння JUNOS [20210812.200100_builder_junos_203_x75_d30 ] Падтрымка JUNOS Packet Forwarding Engine (wrlinux9) [20210812.200100_builder_junos_203_x75_d30] JUNOS Packet Forwarding Engine Support (ulc) [20210812.200100_builder_junos_203_x75_d30] JUNOS Packet Forwarding Engine Support (MXSPC3) [20.3 75X30.1-D2000] Падтрымка JUNOS Packet Forwarding Engine (X20210812.200100) [ 203_builder_junos_75_x30_d20.3] JUNOS Packet Forwarding Engine Support FIPS [75X30.1-DXNUMX] JUNOS Packet Forwarding Engine Support (M/T Common)
    [20210812.200100_builder_junos_203_x75_d30] Падтрымка сістэмы пераадрасацыі пакетаў JUNOS (ззаду)

Разуменне абнулення для ачысткі сістэмных даных для рэжыму FIPS
У ГЭТЫМ РАЗДЗЕЛЕ
Чаму Zeroize? | 26
Калі абнуляць? | 26
Абнуленне цалкам сцірае ўсю інфармацыю аб канфігурацыі механізмаў маршрутызацыі, у тым ліку ўсе адкрытыя тэкставыя паролі, сакрэты і прыватныя ключы для SSH, лакальнага шыфравання, лакальнай аўтэнтыфікацыі і IPsec.
Crypto Officer ініцыюе працэс абнулення, уводзячы аператыўную каманду request vmhost zeroize no-forwarding для REMX2K-X8 і запыт сістэмнага абнулення для RE1800.
Датчык ціску SHEARWATER 17001 з інтэграцыяй паветра - значок 3 УВАГА: Асцярожна выконвайце абнуленне сістэмы. Пасля завяршэння працэсу абнулення ў Routing Engine не застаецца ніякіх даных. Прылада вернецца ў стан па змаўчанні, без наладжаных карыстальнікаў і канфігурацыі files.
Абнуленне можа заняць шмат часу. Хоць усе канфігурацыі выдаляюцца за некалькі секунд, працэс абнулення працягвае перазапісваць усе носьбіты, што можа заняць шмат часу ў залежнасці ад памеру носьбіта.
Чаму Zeroize?
Ваша прылада не лічыцца сапраўдным крыптаграфічным модулем FIPS, пакуль не будуць уведзены або паўторна ўведзены ўсе важныя параметры бяспекі (CSP), пакуль прылада знаходзіцца ў рэжыме FIPS.
Для адпаведнасці FIPS 140-2 вы павінны абнуліць сістэму, каб выдаліць канфідэнцыйную інфармацыю перад адключэннем рэжыму FIPS на прыладзе.
Калі абнуляць?
Як Crypto Officer, выконвайце абнуленне ў наступных сітуацыях:

  • Перад уключэннем рэжыму FIPS: Каб падрыхтаваць прыладу да працы ў якасці крыптаграфічнага модуля FIPS, выканайце абнуленне перад уключэннем рэжыму FIPS.
  • Перад адключэннем рэжыму FIPS: каб пачаць перапрафіляванне прылады для працы без FIP, выканайце абнуленне перад адключэннем рэжыму FIPS на прыладзе.
    УВАГА: Juniper Networks не падтрымлівае ўсталяванне праграмнага забеспячэння, якое не з'яўляецца FIPS, у асяроддзі FIPS, але гэта можа спатрэбіцца ў некаторых тэставых асяроддзях. Не забудзьцеся спачатку абнуліць сістэму.

Абнуленне сістэмы
Каб абнуліць прыладу, выканайце наступную працэдуру:

  1. Увайдзіце ў прыладу як Crypto Officer і з CLI увядзіце наступную каманду.
    Для REMX2K-X8:
    crypto-officer@host> request vmhost zeroize no-forwarding VMHost Zeroization : Сцерці ўсе дадзеныя, уключаючы канфігурацыю і журнал fileз? [так,не] (не) так
    рэ0:
    Для REMX2K-X8:
    crypto-officer@host> запыт сістэмы абнулення
    Абнуленне сістэмы : выдаліць усе дадзеныя, уключаючы канфігурацыю і журнал fileз?
    [так,не] (не) так
    рэ0:
  2. Каб пачаць працэс абнулення, увядзіце yes у ​​радку:
    Сцерці ўсе дадзеныя, уключаючы канфігурацыю і журнал fileз? [так, не] (не) так Сцерці ўсе дадзеныя, уключаючы канфігурацыю і журнал fileз? [так, не] (не) так
    re0: ———————–папярэджанне: абнуленне
    рэ0 … …
    Уся аперацыя можа заняць шмат часу ў залежнасці ад памеру носьбіта, але ўсе важныя параметры бяспекі (CSP) выдаляюцца на працягу некалькіх секунд. Фізічнае асяроддзе павінна заставацца бяспечным да завяршэння працэсу абнулення.

Уключэнне рэжыму FIPS
Калі Junos OS усталявана на прыладзе і прылада ўключана, яна гатовая да канфігурацыі.
Першапачаткова вы ўваходзіце ў сістэму як карыстальнік root без пароля. Калі вы ўваходзіце ў сістэму як root, ваша злучэнне SSH уключана па змаўчанні.
Як Crypto Officer, вы павінны ўсталяваць каранёвы пароль, які адпавядае патрабаванням пароля FIPS у раздзеле «Разуменне спецыфікацый пароляў і рэкамендацый для АС Junos у рэжыме FIPS» на старонцы 20. Калі вы ўключаеце рэжым FIPS у АС Junos на прыладзе, вы не можаце наладзіць паролі. калі яны не адпавядаюць гэтаму стандарту.
Лакальныя паролі шыфруюцца з дапамогай бяспечнага хэш-алгарытму SHA256 або SHA512. Аднаўленне пароля немагчыма ў АС Junos у рэжыме FIPS. АС Junos у рэжыме FIPS не можа загрузіцца ў аднакарыстальніцкім рэжыме без правільнага пароля root.
Каб уключыць рэжым FIPS у АС Junos на прыладзе:

  1. Абнуліце прыладу, каб выдаліць усе CSP перад уваходам у рэжым FIPS. Звярніцеся да раздзела «Абнуленне для ачысткі сістэмных даных для рэжыму FIPS» на старонцы 25 для атрымання падрабязнай інфармацыі.
  2. Пасля таго, як прылада перайдзе ў «рэжым амнезіі», увайдзіце, выкарыстоўваючы імя карыстальніка root і пароль «» (пусты).
    FreeBSD/amd64 (Amnesiac) (ttyu0) лагін: root
    — JUNOS 20.3X75-D30.1 Ядро 64-разраднае JNPR-11.0-20190701.269d466_buil root@:~ # cli root>
  3. Наладзьце каранёвую аўтэнтыфікацыю з паролем не менш за 10 сімвалаў.
    root> рэдагаваць Уваход у рэжым канфігурацыі [рэдагаваць] root# усталяваць каранёвую аўтэнтыфікацыю сістэмы просты тэкст-пароль
    Новы пароль:
    Паўтарыце новы пароль: [рэдагаваць] root# фіксацыя фіксацыя завершана
  4. Загрузіце канфігурацыю на прыладу і зафіксуйце новую канфігурацыю. Наладзьце крыпта-афіцэра і ўвайдзіце з уліковымі дадзенымі крыпта-афіцэра.
  5. Усталюйце пакет fips-mode, неабходны для Routing Engine KATS.
    root@hostname> запыт сістэмнага праграмнага забеспячэння дадаць неабавязкова: //fips-mode.tgz
    Правераны рэжым fips, падпісаны метадам PackageDevelopmentEc_2017 ECDSA256+SHA256
  6. Для прылад серыі MX,
    • Наладзьце межы шасі fips, усталяваўшы сістэмныя fips chassis level 1 і зафіксаваўшы.
    • Наладзьце межавыя фіпсы RE, усталяваўшы сістэмныя фіпсы ўзроўню 1 і зафіксаваўшы.
    Прылада можа адлюстроўваць Зашыфраваны пароль неабходна пераналадзіць для выкарыстання сумяшчальнага з FIPS хэш-папярэджання, каб выдаліць старыя CSP у загружанай канфігурацыі.
  7. Пасля выдалення і пераналадкі CSP будзе выканана фіксацыя, і прылада павінна перазагрузіцца, каб увайсці ў рэжым FIPS. [рэдагаваць] crypto-officer@hostname# фіксацыя
    Стварэнне ключа RSA /etc/ssh/fips_ssh_host_key
    Стварэнне ключа RSA2 /etc/ssh/fips_ssh_host_rsa_key
    Стварэнне ключа ECDSA /etc/ssh/fips_ssh_host_ecdsa_key
    [правіць] сістэма
    патрабуецца перазагрузка для пераходу на ўзровень FIPS 1. фіксацыя завершана [рэдагаваць] crypto-officer@hostname# запусціць запыт vmhost перазагрузка
  8. Пасля перазагрузкі прылады запусцяцца саматэсты FIPS, і прылада перайдзе ў рэжым FIPS. crypto-officer@hostname: fips>

ЗВЯЗАНАЯ ДАКУМЕНТАЦЫЯ
Разуменне спецыфікацый пароляў і інструкцый для АС Junos у рэжыме FIPS | 20
Настройка ідэнтыфікацыі і доступу карыстальнікаў Crypto Officer і FIPS
У ГЭТЫМ РАЗДЗЕЛЕ
Настройка доступу Crypto Officer | 30
Налада доступу да ўваходу ў сістэму FIPS | 32
Crypto Officer уключае рэжым FIPS на вашай прыладзе і выконвае ўсе задачы канфігурацыі для АС Junos у рэжыме FIPS і выдае ўсе аператары і каманды для АС Junos у рэжыме FIPS. Карыстальніцкія канфігурацыі Crypto Officer і FIPS павінны адпавядаць прынцыпам Junos OS у рэжыме FIPS.
Настройка доступу Crypto Officer
АС Junos у рэжыме FIPS прапануе больш дробную дэталізацыю дазволаў карыстальнікаў, чым прадугледжаныя FIPS 140-2.
Для адпаведнасці FIPS 140-2 любы карыстальнік FIPS, у якога ўстаноўлены біты дазволу на сакрэтнасць, бяспеку, абслугоўванне і кантроль, з'яўляецца Crypto Officer. У большасці выпадкаў класа суперпользователя дастаткова для Crypto Officer.
Каб наладзіць доступ да ўваходу для Crypto Officer:

  1. Увайдзіце ў прыладу з паролем root, калі вы гэтага яшчэ не зрабілі, і ўвайдзіце ў рэжым канфігурацыі: root@hostname> edit Уваход у рэжым канфігурацыі [edit] root@hostname#
  2. Назавіце крыпта-афіцэра карыстальніка і прызначце яму ідэнтыфікатар карыстальніка (напрыклад,ample, 6400, які павінен быць унікальным нумарам, звязаным з уліковым запісам для ўваходу ў дыяпазоне ад 100 да 64000) і класам (напр.ample, суперкарыстальнік). Калі вы прызначаеце клас, вы прызначаеце дазволы, напрыкладample, сакрэт, бяспека, абслугоўванне і кантроль.
    Каб атрымаць спіс дазволаў, гл. Разуменне ўзроўняў прывілеяў доступу да АС Junos.
    [рэдагаваць] root@hostname# ўсталяваць сістэмны ўваход карыстальніка імя карыстальніка uid значэнне клас імя класа
    Напрыкладampль:
    [рэдагаваць] root@hostname# усталяваць сістэмны лагін карыстальніка crypto-officer uid 6400 клас суперкарыстальнік
  3. У адпаведнасці з рэкамендацыямі ў раздзеле «Разуменне спецыфікацый пароляў і рэкамендацый для АС Junos у рэжыме FIPS» на старонцы 20 прызначце супрацоўніку Crypto Officer просты тэкставы пароль для аўтэнтыфікацыі ўваходу. Усталюйце пароль, увёўшы пароль пасля запытаў Новы пароль і Паўтарыце новы пароль.
    [рэдагаваць] root@hostname# усталяваць сістэмны лагін карыстальніка імя карыстальніка клас імя класа аўтэнтыфікацыя (plain-testpassword |
    зашыфраваны пароль)
    Напрыкладampль:
    [рэдагаваць] root@hostname# усталяваць сістэмны лагін карыстальніка crypto-office class super-user authentication plaintext-password
  4. Пры жаданні пакажыце канфігурацыю:
    [рэдагаваць] root@hostname# сістэма рэдагавання
    [рэдагаваць сістэму] root@hostname# show
    лагін {
    карыстальнік крыпта-афіцэр {
    uid 6400;
    аўтэнтыфікацыя {
    зашыфраваны пароль " ”; ## САКРЭТНЫЯ ДАНЫЯ
    }
    клас супер-карыстальніка;
    }
    }
  5. Калі вы скончылі канфігурацыю прылады, зафіксуйце канфігурацыю і выйдзіце:
    [рэдагаваць] root@hostname# фіксацыя фіксацыя завершана
    root@hostname# выхад

Налада доступу да ўваходу ў сістэму FIPS
Карыстальнік fips вызначаецца як любы карыстальнік FIPS, у якога не ўстаноўлены біты дазволу сакрэтнасці, бяспекі, абслугоўвання і кіравання.
Як Crypto Officer вы наладжваеце карыстальнікаў FIPS. Карыстальнікам FIPS не могуць быць прадастаўлены дазволы, якія звычайна зарэзерваваны для Crypto Officer, напрыкладample, дазвол на абнуленне сістэмы.
Каб наладзіць доступ да ўваходу для карыстальніка FIPS:

  1. Увайдзіце на прыладу з дапамогай пароля Crypto Officer, калі вы гэтага яшчэ не зрабілі, і ўвайдзіце ў рэжым канфігурацыі:
    crypto-officer@hostname:fips> рэдагаваць
    Уваход у рэжым канфігурацыі
    [рэдагаваць] crypto-officer@hostname:fips#
  2. Дайце карыстальніку імя карыстальніка і прызначце яму ідэнтыфікатар карыстальніка (напрыклад,ample, 6401, які павінен быць унікальным нумарам у дыяпазоне ад 1 да 64000) і клас. Калі вы прызначаеце клас, вы прызначаеце дазволы, напрыкладample, ачысціць, сетка, скінуцьview, і view-канфігурацыя.
    [рэдагаваць] crypto-officer@hostname:fips# усталяваць сістэмны ўваход імя карыстальніка uid значэнне класа імя класа Напрыкладampль:
    [рэдагаваць] crypto-officer@hostname:fips# усталяваць сістэмны ўваход карыстальніка fips-user1 uid 6401 клас толькі для чытання
  3. Выконваючы рэкамендацыі ў раздзеле «Разуменне спецыфікацый пароляў і рэкамендацый для Junos OS у
    Рэжым FIPS» на старонцы 20, прызначыць карыстачу FIPS просты тэкставы пароль для аўтэнтыфікацыі ўваходу. Усталюйце пароль, увёўшы пароль пасля запытаў Новы пароль і Паўтарыце новы пароль.
    [рэдагаваць] crypto-officer@hostname:fips# усталяваць сістэмны ўваход імя карыстальніка клас імя класа аўтэнтыфікацыя (просты тэкст-пароль | зашыфраваны-пароль)
    Напрыкладampль:
    [рэдагаваць] crypto-officer@hostname:fips# усталяваць сістэмны ўваход карыстальніка fips-user1 клас аўтэнтыфікацыя толькі для чытання просты тэкст-пароль
  4. Пры жаданні пакажыце канфігурацыю:
    [рэдагаваць] crypto-officer@hostname:fips# сістэма рэдагавання [рэдагаваць сістэму] crypto-officer@hostname:fips# паказаць
    лагін {
    карыстальнік fips-user1 {
    uid 6401;
    аўтэнтыфікацыя {
    зашыфраваны пароль " ”; ## САКРЭТНЫЯ ДАНЫЯ
    }
    клас толькі для чытання;
    }
    }
  5. Калі вы скончылі канфігурацыю прылады, зафіксуйце канфігурацыю і выйдзіце:
    [рэдагаваць] crypto-officer@hostname:fips# фіксацыя
    crypto-officer@hostname:fips# выхад

Настройка SSH і кансольнага злучэння

Настройка SSH на ацэненай канфігурацыі для FIPS
SSH праз інтэрфейс аддаленага кіравання дазволены ў ацэненай канфігурацыі. У гэтай тэме апісваецца, як наладзіць SSH праз аддаленае кіраванне.
Наступныя алгарытмы, якія неабходна наладзіць для праверкі SSH для FIPS.
Каб наладзіць SSH на DUT:

  1. Укажыце дапушчальныя алгарытмы ключа хаста SSH для сістэмных службаў.
    [рэдагаваць] user@host# набор сістэмных службаў ssh hostkey-algorithm ssh-ecdsa
    user@host# набор сістэмных службаў ssh hostkey-algorithm no-ssh-dss
    user@host# набор сістэмных службаў ssh hostkey-algorithm ssh-rsa
  2. Укажыце абмен ключамі SSH для ключоў Дзіфі-Хеллмана для сістэмных службаў.
    [рэдагаваць] карыстальнік@хост# усталяваць сістэмныя службы SSH абмен ключамі dh-group14-sha1
    карыстальнік@хост# набор сістэмных службаў абмен ключамі ssh ecdh-sha2-nistp256
    карыстальнік@хост# набор сістэмных службаў абмен ключамі ssh ecdh-sha2-nistp384
    карыстальнік@хост# набор сістэмных службаў абмен ключамі ssh ecdh-sha2-nistp521
  3. Укажыце ўсе дапушчальныя алгарытмы кода аўтэнтыфікацыі паведамленняў для SSHv2
    [рэдагаваць] user@host# ўсталяваць сістэмныя службы ssh macs hmac-sha1
    user@host# набор сістэмных службаў ssh macs hmac-sha2-256
    user@host# набор сістэмных службаў ssh macs hmac-sha2-512
  4. Укажыце шыфры, дазволеныя для пратакола версіі 2.
    [рэдагаваць] user@host# усталяваць сістэмныя службы SSH шыфры aes128-cbc
    user@host# усталяваць сістэмныя службы SSH шыфры aes256-cbc
    user@host# набор сістэмных службаў ssh шыфры aes128-ctr
    user@host# набор сістэмных службаў ssh шыфры aes256-ctr
    user@host# усталяваць сістэмныя службы SSH шыфры aes192-cbc
    user@host# набор сістэмных службаў ssh шыфры aes192-ctr
    Падтрымоўваны алгарытм ключа хоста SSH:
    ssh-ecdsa Дазволіць генерацыю ключа хаста ECDSA
    ssh-rsa Дазволіць генерацыю ключа хаста RSA
    Падтрымоўваны алгарытм абмену ключамі SSH:
    ecdh-sha2-nistp256 EC Diffie-Hellman на nistp256 з SHA2-256
    ecdh-sha2-nistp384 EC Diffie-Hellman на nistp384 з SHA2-384
    ecdh-sha2-nistp521 EC Diffie-Hellman на nistp521 з SHA2-512
    Падтрымоўваны алгарытм MAC:
    hmac-sha1 MAC на аснове хэша з выкарыстаннем бяспечнага алгарытму хэшавання (SHA1)
    hmac-sha2-256 MAC на аснове хэша з выкарыстаннем бяспечнага алгарытму хэшавання (SHA2)
    hmac-sha2-512 MAC на аснове хэша з выкарыстаннем бяспечнага алгарытму хэшавання (SHA2)
    Падтрымліваюцца алгарытмы шыфравання SSH:
    aes128-cbc 128-бітны AES з ланцужком блокаў шыфра
    aes128-ctr 128-бітны AES з рэжымам лічыльніка
    aes192-cbc 192-бітны AES з ланцужком блокаў шыфра
    aes192-ctr 192-бітны AES з рэжымам лічыльніка
    aes256-cbc 256-бітны AES з ланцужком блокаў шыфра
    aes256-ctr 256-бітны AES з рэжымам лічыльніка

Налада MACsec

Разуменне бяспекі кантролю доступу да медыя (MACsec) у рэжыме FIPS
Media Access Control Security (MACsec) - гэта 802.1AE IEEE стандартная тэхналогія бяспекі, якая забяспечвае бяспечную сувязь для ўсяго трафіку па каналах Ethernet. MACsec забяспечвае бяспеку "кропка-кропка" на каналах Ethernet паміж непасрэдна падлучанымі вузламі і здольны ідэнтыфікаваць і прадухіляць большасць пагроз бяспекі, уключаючы адмову ў абслугоўванні, уварванне, "чалавек пасярэдзіне", маскіроўку, пасіўнае праслухоўванне тэлефонных размоў і атакі прайгравання.
MACsec дазваляе вам абараніць сувязь кропка-кропка Ethernet практычна для ўсяго трафіку, уключаючы кадры з пратаколу выяўлення канальнага ўзроўню (LLDP), пратаколу кіравання агрэгацыяй злучэнняў (LACP), пратакола дынамічнай канфігурацыі хаста (DHCP), пратакола раздзялення адрасоў (ARP), і іншыя пратаколы, якія звычайна не абаронены ў канале Ethernet з-за абмежаванняў іншых рашэнняў бяспекі. MACsec можа выкарыстоўвацца ў спалучэнні з іншымі пратаколамі бяспекі, такімі як IP Security (IPsec) і Secure Sockets Layer (SSL), каб забяспечыць скразную бяспеку сеткі.
MACsec стандартызаваны ў IEEE 802.1AE. Стандарт IEEE 802.1AE можна ўбачыць у арганізацыі IEEE webсайт у IEEE 802.1: МАСТОЎ І КІРАВАННЕ.
Кожная рэалізацыя алгарытму правяраецца серыяй саматэставання тэсту з вядомымі адказамі (KAT) і праверкі крыпта-алгарытмаў (CAV). Наступныя крыптаграфічныя алгарытмы дададзены спецыяльна для MACsec.

  • Пашыраны стандарт шыфравання (AES) - код аўтэнтыфікацыі паведамлення шыфра (CMAC)
  • Абгортка ключоў Advanced Encryption Standard (AES).
    Для MACsec у рэжыме канфігурацыі выкарыстоўвайце каманду падказкі, каб увесці значэнне сакрэтнага ключа з 64 шаснаццатковых сімвалаў для аўтэнтыфікацыі.
    [рэдагаваць] crypto-officer@hostname:fips# падказка бяспека macsec злучэнне-асацыяцыя pre-shared-key cak
    Новы cak (сакрэт):
    Паўтарыце новы cak (сакрэт):

Настройка часу
Каб наладзіць час, адключыце NTP і ўсталюйце дату.

  1. Адключыць NTP.
    [рэдагаваць] crypto-officer@hostname:fips# дэактываваць групы глабальнай сістэмы ntp
    crypto-officer@hostname:fips# дэактываваць сістэму ntp
    crypto-officer@hostname:fips# фіксацыя
    crypto-officer@hostname:fips# выхад
  2. Ўстаноўка даты і часу. Фармат даты і часу: ГГГГММДДГЧММ.сс
    [рэдагаваць] crypto-officer@hostname:fips# усталяваная дата 201803202034.00
    crypto-officer@hostname:fips# усталяваць час CLIamp
  3. Усталюйце дэталі абароненага канала пагаднення аб ключы MACsec (MKA).
    [рэдагаваць] crypto-officer@hostname:fips# усталяваць бяспеку macsec злучэнне-асацыяцыя злучэнне-асацыяцыя-назва бяспечны-канал бяспечны-назва-канала кірунак (уваходны | выходны) crypto-officer@hostname:fips# усталяваць бяспеку macsec злучэнне-асацыяцыя злучэнне-асацыяцыя -name secure-channel secure-channel-name encryption (MACsec) crypto-officer@hostname:fips# set security macsec connectivity-association connectivityassociation-name secure-channel secure-channel-name id mac-address /”mac-address crypto- officer@hostname:fips# set security macsec connectivity-association connectivityassociation-name secure-channel secure-channel-name id port-id port-id-number crypto-officer@hostname:fips# set security macsec connectivity-association connectivityassociation-name secure -channel secure-channel-name offset “(0|30|50) crypto-officer@hostname:fips# set security macsec connectivity-association connectivityassociation-name secure-channel secure-channel-name security-association security-associationnumber ключ key- радок
  4. Усталюйце MKA ў рэжым бяспекі.
    [рэдагаваць] crypto-officer@hostname:fips# усталяваць бяспеку macsec асацыяцыя злучэнняў назва асацыяцыі злучэнняў рэжым бяспекі рэжым бяспекі
  5. Прызначце наладжаную асацыяцыю злучэння з указаным інтэрфейсам MACsec.
    [рэдагаваць] crypto-officer@hostname:fips# усталяваць бяспеку інтэрфейсы Macsec

Налада статычнага MACsec з трафікам ICMP
Каб наладзіць статычны MACsec з выкарыстаннем трафіку ICMP паміж прыладамі R0 і R1:
У R0:

  1. Стварыце агульны ключ, наладзіўшы назву ключа асацыяцыі падключэння (CKN) і ключа асацыяцыі падключэння (CAK)
    [рэдагаваць] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 pre-sharedkey ckn 2345678922334455667788992223334445556667778889992222333344445555
    crypto-officer@hostname:fips# set security macsec connectivity-association CA1 pre-sharedkey cak 23456789223344556677889922233344 crypto-officer@hostname:fips# set security macsec connectivity-association CA1 offset 30
  2. Усталюйце значэнні параметраў трасіроўкі.
    [рэдагаваць] crypto-officer@hostname:fips# усталяваць параметры бяспекі macsec trace file MACsec.log
    crypto-officer@hostname:fips# усталяваць параметры бяспекі macsec file памер 4000000000
    crypto-officer@hostname:fips# усталяваць параметры бяспекі macsec traceoptions пазначыць усе
  3. Прызначыць трасіроўку інтэрфейсу.
    [рэдагаваць] crypto-officer@hostname:fips# усталяваць бяспеку інтэрфейсаў macsec параметры трасіроўкі імя інтэрфейсу file mka_xe памер 1g crypto-officer@hostname:fips# усталяваць бяспеку macsec інтэрфейсы інтэрфейс-імя traceoptions сцяг усе
  4. Наладзьце рэжым бяспекі MACsec як static-cak для асацыяцыі злучэння. [рэдагаваць] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 security-mode static-cak
  5. Усталюйце прыярытэт сервера ключоў MKA.
    [рэдагаваць] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 mka key-serverpriority 1
  6. Усталюйце інтэрвал перадачы MKA.
    [рэдагаваць] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 mka transmitinterval 3000
  7. Уключыце бяспечны MKA.
    [рэдагаваць] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 mka shouldsecure
    crypto-officer@hostname:fips# set security macsec connectivity-association CA1 include-sci
  8. Прызначце сувязь сувязі з інтэрфейсам.
    [рэдагаваць] crypto-officer@hostname:fips# set security macsec interfaces
    CA1
    crypto-officer@hostname:fips# набор інтэрфейсаў інтэрфейс-імя блок 0 сямейства inet адрас 10.1.1.1/24

У R1:

  1. Стварыце агульны ключ, наладзіўшы назву ключа асацыяцыі падключэння (CKN) і ключа асацыяцыі падключэння (CAK)
    [рэдагаваць] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 pre-sharedkey ckn 2345678922334455667788992223334445556667778889992222333344445555 crypto-officer@hostname:fips# set security macsec connectivity-association CA1 pre-sharedkey cak 23456789223344556677889922233344 crypto-officer@hostname:fips # ўсталяваць бяспеку macsec Connectivity-association CA1 зрушэнне 30
  2. Усталюйце значэнні параметраў трасіроўкі.
    [рэдагаваць] crypto-officer@hostname:fips# усталяваць параметры бяспекі macsec trace file MACsec.log crypto-officer@hostname:fips# усталяваць параметры бяспекі macsec trace file памер 4000000000 crypto-officer@hostname:fips# усталяваць бяспеку macsec traceoptions пазначыць усе
  3. Прызначыць трасіроўку інтэрфейсу. [рэдагаваць] crypto-officer@hostname:fips# усталяваць бяспеку інтэрфейсаў macsec параметры трасіроўкі імя інтэрфейсу file mka_xe памер 1g crypto-officer@hostname:fips# усталяваць бяспеку macsec інтэрфейсы інтэрфейс-імя traceoptions сцяг усе
  4. Наладзьце рэжым бяспекі MACsec як static-cak для асацыяцыі злучэння. [рэдагаваць] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 security-mode static-cak
  5. Усталюйце інтэрвал перадачы MKA.
    [рэдагаваць] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 mka transmitinterval 3000
  6. Уключыце бяспечны MKA. [рэдагаваць] crypto-officer@hostname:fips# усталяваць бяспеку macsec Connectivity-association CA1 mka shouldsecure crypto-officer@hostname:fips# усталяваць бяспеку macsec Connectivity-association CA1 include-sci
  7. Прызначце сувязь сувязі з інтэрфейсам. [рэдагаваць] crypto-officer@hostname:fips# set security macsec interfaces interface-name interface connectivityassociation CA1 crypto-officer@hostname:fips# set interfaces interface-name unit 0 family inet address 10.1.1.2/24

Наладжванне MACsec з бірулькай з выкарыстаннем трафіку ICMP
Каб наладзіць MACsec са звязкам ключоў з выкарыстаннем трафіку ICMP паміж прыладамі R0 і R1:
У R0:

  1. Прысвойце значэнне допуску ланцужку ключоў аўтэнтыфікацыі. [рэдагаваць] crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 tolerance 20
  2. Стварыце сакрэтны пароль для выкарыстання. Гэта радок шаснаццатковых лічбаў даўжынёй да 64 сімвалаў. Пароль можа змяшчаць прабелы, калі радок сімвалаў заключаны ў двукоссе. Сакрэтныя дадзеныя бірулькі выкарыстоўваюцца ў якасці CAK.
    [рэдагаваць] crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 0 key-name 2345678922334455667788992223334445556667778889992222333344445551 crypto-officer@host імя:fips# усталяваць бяспеку authentication-key-chains key-chain macsec- kc1 key 0 start-time 2018-03-20.20:35 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key-name 1 2345678922334455667788992223334445556667778889992222333344445552 crypto-officer@hostname:fips# усталяваць бяспеку authentication-key-chains key-chain macsec-kc1 ключ 1 час пачатку 2018-03-20.20:37 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 ключ 2 імя ключа 2345678922334455667788992223334445556667778889992222333344445553 1 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc2 ключ 2018 час пачатку 03-20.20-39:1 crypto-officer@hostname:fips# set security authentication-key-chains key- ланцужок macsec-kc3 key-name 2345678922334455667788992223334445556667778889992222333344445554 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 3 start-time 2018-03-20.20:41 crypto-officer@hostname:fips # set security authentication-key-chains key-chain macsec-kc1 key 4 2345678922334455667788992223334445556667778889992222333344445555 crypto-officer@hostname:fips# set security authentication-key-chains key -chain macsec-kc1 ключ 4 час пачатку 2018-03- 20.20:43 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key-name 5 crypto-o fficer@hostname:fips# set security authentication-key-chains key-chain macsec- kc2345678922334455667788992223334445556667778889992222333344445556 ключ 1 час пачатку 5-2018-03:20.20 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc45 key 1 6 2345678922334455667788992223334445556667778889992222333344445557 crypto-officer@hostname:fips# усталяваць бяспеку authentication-key-chains key-chain macsec-kc1 key-time 6-2018-03:20.20 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc47 key 1 key-name 7 2345678922334455667788992223334445556667778889992222333344445558 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 7 start-time 2018-03-20.20:49 Выкарыстоўвайце каманду падказкі, каб увесці значэнне сакрэтнага ключа. Напрыкладample, значэнне сакрэтнага ключа 2345678922334455667788992223334123456789223344556677889922233341. [рэдагаваць] crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macseckc1 key 0 secret New cak (сакрэт): Паўтарыце новы cak (сакрэт): крыпта-афіцэр @hostname:fips# падказка security authentication-key-chains key-chain macseckc1 ключ 1 сакрэт Новы cak (сакрэт):
    Паўторна ўвядзіце новы cak (сакрэт): crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macseckc1 ключ 2 сакрэт Новы cak (сакрэт):
    Паўторна ўвядзіце новы cak (сакрэт): crypto-officer@hostname:fips# prompt security authentication-key-chains keychain macseckc1 ключ 3 сакрэт Новы cak (сакрэт): Паўторна ўвядзіце новы cak (сакрэт): crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macseckc1 ключ 4 сакрэт Новы cak (сакрэт): Паўторна ўвядзіце новы cak (сакрэт): crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macseckc1 ключ 5 сакрэт Новы cak (сакрэт): паўторна ўвядзіце новы cak (сакрэт): crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macseckc1 ключ 6 сакрэт Новы cak (сакрэт): паўторна ўвядзіце новы cak (сакрэт): crypto-officer @hostname:fips# падказка security authentication-key-chains key-chain macseckc1 ключ 7 сакрэт Новы cak (сакрэт): Паўторна ўвядзіце новы cak (сакрэт):
  3. Звязаць папярэдне агульнае імя бірулькі з асацыяцыяй падключэння.
    [рэдагаваць] crypto-officer@hostname:fips# усталяваць бяспеку macsec Connectivity-association CA1 pre-sharedkey-chain macsec-kc1 crypto-officer@hostname:fips# усталяваць бяспеку macsec Connectivity-association CA1 зрушэнне 50 crypto-officer@hostname:fips # ўсталяваць бяспеку macsec Connectivity-association CA1 cipher-suite gcm-aes-256
    УВАГА: Значэнне шыфра таксама можа быць зададзена як cipher-suite gcm-aes-128.
  4. Усталюйце значэнні параметраў трасіроўкі.
    [рэдагаваць] crypto-officer@hostname:fips# усталяваць параметры бяспекі macsec trace file MACsec.log crypto-officer@hostname:fips# усталяваць параметры бяспекі macsec trace file памер 4000000000 crypto-officer@hostname:fips# усталяваць бяспеку macsec traceoptions пазначыць усе
  5. Прызначыць трасіроўку інтэрфейсу. [рэдагаваць] crypto-officer@hostname:fips# усталяваць бяспеку інтэрфейсаў macsec параметры трасіроўкі імя інтэрфейсу file mka_xe памер 1g crypto-officer@hostname:fips# усталяваць бяспеку macsec інтэрфейсы інтэрфейс-імя traceoptions сцяг усе
  6. Наладзьце рэжым бяспекі MACsec як static-cak для асацыяцыі злучэння. [рэдагаваць] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 securitymode static-cak
  7. Усталюйце прыярытэт сервера ключоў MKA.
    [рэдагаваць] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 mka keyserver-priority 1
  8. Усталюйце інтэрвал перадачы MKA.
    [рэдагаваць] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 mka transmitinterval 3000
  9. Уключыце бяспечны MKA.
    [рэдагаваць] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 include-sci
  10. Прызначце сувязь сувязі з інтэрфейсам.
    [рэдагаваць] crypto-officer@hostname:fips# set security macsec interfaces interface-name interface-connectivityassociation CA1
    crypto-officer@hostname:fips#
    набор інтэрфейсаў імя інтэрфейсу блок 0 сямейства inet адрас 10.1.1.1/24

Каб наладзіць MACsec са звязкам ключоў для трафіку ICMP:
У R1:

  1. Прысвойце значэнне допуску ланцужку ключоў аўтэнтыфікацыі.
    [рэдагаваць] crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 tolerance 20
  2. Стварыце сакрэтны пароль для выкарыстання. Гэта радок шаснаццатковых лічбаў даўжынёй да 64 сімвалаў. Пароль можа змяшчаць прабелы, калі радок сімвалаў заключаны ў двукоссе. Сакрэтныя дадзеныя бірулькі выкарыстоўваюцца ў якасці CAK.
    [рэдагаваць] crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 0 key-name 2345678922334455667788992223334445556667778889992222333344445551 crypto-officer@host імя:fips# усталяваць бяспеку authentication-key-chains key-chain macsec- kc1 key 0 start-time 2018-03-20.20:35 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key-name 1 2345678922334455667788992223334445556667778889992222333344445552 crypto-officer@hostname:fips# усталяваць бяспеку authentication-key-chains key-chain macsec-kc1 ключ 1 час пачатку 2018-03-20.20:37 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 ключ 2 імя ключа 2345678922334455667788992223334445556667778889992222333344445553 1 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc2 ключ 2018 час пачатку 03-20.20-39:1 crypto-officer@hostname:fips# set security authentication-key-chains key- ланцужок macsec-kc3 key-name 2345678922334455667788992223334445556667778889992222333344445554 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 3 start-time 2018-03-20.20:41 crypto-officer@hostname:fips # set security authentication-key-chains key-chain macsec-kc1 key 4 2345678922334455667788992223334445556667778889992222333344445555 crypto-officer@hostname:fips# set security authentication-key-chains key -chain macsec-kc1 ключ 4 час пачатку 2018-03- 20.20:43 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key-name 5 crypto-offi cer@hostname:fips# set security authentication-key-chains key-chain macsec- kc345678922334455667788992223334445556667778889992222333344445556 ключ 1 час пачатку 5-2018-03:20.20 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc45 key 1 6 2345678922334455667788992223334445556667778889992222333344445557 crypto-officer@hostname:fips# усталяваць бяспеку authentication-key-chains key-chain macsec-kc1 key-time 6-2018-03:20.20 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc47 key 1 key-name 7 2345678922334455667788992223334445556667778889992222333344445558 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 ключ 7 час пачатку 2018-03-20.20:49
    Выкарыстоўвайце каманду падказкі, каб увесці значэнне сакрэтнага ключа. Напрыкладample, значэнне сакрэтнага ключа роўна 2345678922334455667788992223334123456789223344556677889922233341.
    [рэдагаваць] crypto-officer@hostname:fips# падказка бяспекі authentication-key-chains key-chain macseckc1 ключ 0 сакрэт
    Новы cak (сакрэт):
    Паўторна ўвядзіце новы cak (сакрэт): crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macseckc1 ключ 1 сакрэт Новы cak (сакрэт): паўторна ўвядзіце новы cak (сакрэт): crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macseckc1 ключ 2 сакрэт Новы cak (сакрэт): Паўторна ўвядзіце новы cak (сакрэт): crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macseckc1 ключ 3 сакрэт Новы cak (сакрэт): паўторна ўвядзіце новы cak (сакрэт): crypto-officer@hostname:fips# падказка security authentication-key-chains key-chain macseckc1 ключ 4 сакрэт Новы cak (сакрэт): паўторна ўвядзіце новы cak
    (сакрэтна):
    crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macseckc1 ключ 5 сакрэт Новы cak (сакрэт): Паўторна ўвядзіце новы cak (сакрэт):
    crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macseckc1 ключ 6 сакрэт Новы cak (сакрэт):
    Паўтарыце новы cak (сакрэт):
    crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macseckc1 ключ 7 сакрэт Новы cak (сакрэт):
    Паўтарыце новы cak (сакрэт):
  3. Звязаць папярэдне агульнае імя бірулькі з асацыяцыяй падключэння.
    [рэдагаваць] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 pre-shared- key-chain macsec-kc1
    crypto-officer@hostname:fips# усталяваць бяспеку macsec Connectivity-association CA1 offset 50 crypto-officer@hostname:fips# усталяваць бяспеку macsec Connectivity-association CA1 cipher-suite gcm-aes-256
  4. Усталюйце значэнні параметраў трасіроўкі.
    [рэдагаваць] crypto-officer@hostname:fips# усталяваць параметры бяспекі macsec trace file MACsec.log crypto-officer@hostname:fips# усталяваць параметры бяспекі macsec trace file памер 4000000000 crypto-officer@hostname:fips# усталяваць бяспеку macsec traceoptions пазначыць усе
  5. Прызначыць трасіроўку інтэрфейсу.
    [рэдагаваць] crypto-officer@hostname:fips# усталяваць бяспеку інтэрфейсаў macsec параметры трасіроўкі імя інтэрфейсу file mka_xe памер 1g crypto-officer@hostname:fips# усталяваць бяспеку macsec інтэрфейсы інтэрфейс-імя traceoptions сцяг усе
  6. Наладзьце рэжым бяспекі MACsec як static-cak для асацыяцыі злучэння.
    [рэдагаваць] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 securitymode static-cak
  7. Усталюйце прыярытэт сервера ключоў MKA.
    [рэдагаваць] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 mka keyserver-priority 1
  8. Усталюйце інтэрвал перадачы MKA.
    [рэдагаваць] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 mka transmitinterval 3000
  9. Уключыце бяспечны MKA.
    [рэдагаваць] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 include-sci
  10. Прызначце сувязь сувязі з інтэрфейсам.
    [рэдагаваць] crypto-officer@hostname:fips# set security macsec interfaces
    CA1
    crypto-officer@hostname:fips# набор інтэрфейсаў інтэрфейс-імя блок 0 сямейства inet адрас 10.1.1.2/24

Налада статычнага MACsec для трафіку ўзроўню 2
Каб наладзіць статычны MACsec для трафіку ўзроўню 2 паміж прыладамі R0 і R1:
У R0:

  1. Усталюйце прыярытэт сервера ключоў MKA.
    [рэдагаваць] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 mka key server-priority 1
  2. Стварыце сакрэтны пароль для выкарыстання. Гэта радок шаснаццатковых лічбаў даўжынёй да 64 сімвалаў. Пароль можа змяшчаць прабелы, калі радок сімвалаў заключаны ў двукоссе. Сакрэтныя дадзеныя бірулькі выкарыстоўваюцца ў якасці CAK.
    [рэдагаваць] crypto-officer@hostname:fips# падказка security authentication-key-chains key-chain macseckc1 ключ 0 сакрэт Новы cak (сакрэт):
    Паўтарыце новы cak (сакрэт):
    Напрыкладample, значэнне сакрэтнага ключа роўна 2345678922334455667788992223334123456789223344556677889922233341.
  3. Звязаць папярэдне агульнае імя бірулькі з асацыяцыяй падключэння. [рэдагаваць] crypto-officer@hostname:fips# усталяваць бяспеку macsec Connectivity-association CA1 pre-sharedkey-chain macsec-kc1 crypto-officer@hostname:fips# усталяваць бяспеку macsec Connectivity-association CA1 зрушэнне 50 crypto-officer@hostname:fips # ўсталяваць бяспеку macsec Connectivity-association CA1 cipher-suite gcm-aes-256
  4. Усталюйце значэнні параметраў трасіроўкі. [рэдагаваць] crypto-officer@hostname:fips# усталяваць параметры бяспекі macsec trace file MACsec.log crypto-officer@hostname:fips# усталяваць параметры бяспекі macsec trace file памер 4000000000 crypto-officer@hostname:fips# усталяваць бяспеку macsec traceoptions пазначыць усе
  5. Прызначыць трасіроўку інтэрфейсу. [рэдагаваць] crypto-officer@hostname:fips# усталяваць бяспеку інтэрфейсаў macsec параметры трасіроўкі імя інтэрфейсу file mka_xe памер 1g crypto-officer@hostname:fips# усталяваць бяспеку macsec інтэрфейсы інтэрфейс-імя traceoptions сцяг усе
  6. Наладзьце рэжым бяспекі MACsec як static-cak для асацыяцыі злучэння.
    [рэдагаваць] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 securitymode static-cak
  7. Усталюйце прыярытэт сервера ключоў MKA. [рэдагаваць] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 mka key server-priority 1
  8. Усталюйце інтэрвал перадачы MKA.
    [рэдагаваць] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 mka transmitinterval 3000
  9. Уключыце бяспечны MKA.
    [рэдагаваць] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 include-sci
  10. Прызначце сувязь сувязі з інтэрфейсам.
    [рэдагаваць] crypto-officer@hostname:fips# set security macsec interfaces
    CA1
  11. Наладзьце VLAN tagгінг.
    [рэдагаваць] crypto-officer@hostname:fips# набор інтэрфейсаў interface-name1 flexible-vlan-tagгінг
    crypto-officer@hostname:fips# набор інтэрфейсаў інтэрфейс-name1 інкапсуляцыя гнуткія Ethernet-сэрвісы
    crypto-officer@hostname:fips#
    набор інтэрфейсаў імя інтэрфейсу1 адзінка 100 інкапсуляцыя vlanbridge
    crypto-officer@hostname:fips#
    усталяваць інтэрфейсы імя інтэрфейсу1 блок 100 vlan-ідэнтыфікатар 100
    crypto-officer@hostname:fips# набор інтэрфейсаў interface-name2 flexible-vlan-tagгінг
    crypto-officer@hostname:fips# набор інтэрфейсаў інтэрфейс-name2 інкапсуляцыя гнуткія Ethernet-сэрвісы
    crypto-officer@hostname:fips#
    набор інтэрфейсаў імя інтэрфейсу2 адзінка 100 інкапсуляцыя vlanbridge
    crypto-officer@hostname:fips#
    усталяваць інтэрфейсы імя інтэрфейсу2 блок 100 vlan-ідэнтыфікатар 100
  12. Наладзьце дамен моста.
    [рэдагаваць] crypto-officer@hostname:fips# set bridge-domains BD-110 мост даменнага тыпу
    crypto-officer@hostname:fips# set bridge-domains BD-110 vlan-id 100
    crypto-officer@hostname:fips# set bridge-domains BD-110 інтэрфейс interface-name1 100
    crypto-officer@hostname:fips# set bridge-domains BD-110 інтэрфейс interface-name2 100

У R1:

  1. Стварыце сакрэтны пароль для выкарыстання. Гэта радок шаснаццатковых лічбаў даўжынёй да 64 сімвалаў. The
    пароль можа змяшчаць прабелы, калі радок сімвалаў заключаны ў двукоссе. Брелок
    сакрэтныя дадзеныя выкарыстоўваюцца ў якасці CAK.
    [рэдагаваць] crypto-officer@hostname:fips# падказка бяспекі authentication-key-chains key-chain macseckc1 ключ 0 сакрэт
    Новы cak
    (сакрэтна):
    Паўтарыце новы cak
    (сакрэтна):
    Напрыкладample, значэнне сакрэтнага ключа
    2345678922334455667788992223334123456789223344556677889922233341.
  2. Звязаць папярэдне агульнае імя бірулькі з асацыяцыяй падключэння.
    [рэдагаваць] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 pre-sharedkey-chain
    macsec-kc1 crypto-officer@hostname:fips#
    ўсталяваць бяспеку macsec Connectivity-association CA1 зрушэнне 50
    crypto-officer@hostname:fips# set security macsec connectivity-association CA1 cipher-suite gcm-aes-256
  3. Усталюйце значэнні параметраў трасіроўкі.
    [рэдагаваць] crypto-officer@hostname:fips# усталяваць параметры бяспекі macsec trace file MACsec.log
    crypto-officer@hostname:fips# усталяваць параметры бяспекі macsec file памер 4000000000
    crypto-officer@hostname:fips# усталяваць параметры бяспекі macsec traceoptions пазначыць усе
  4. Прызначыць трасіроўку інтэрфейсу.
    [рэдагаваць] crypto-officer@hostname:fips# усталяваць бяспеку інтэрфейсаў macsec параметры трасіроўкі імя інтэрфейсу file mka_xe памер 1g
    crypto-officer@hostname:fips# усталяваць бяспеку macsec інтэрфейсы параметры трасіроўкі імя інтэрфейсу
    пазначыць усе
  5. Наладзьце рэжым бяспекі MACsec як static-cak для асацыяцыі злучэння.
    [рэдагаваць] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 securitymode
    статычны-cak
  6. Усталюйце прыярытэт сервера ключоў MKA.
    [рэдагаваць] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 mka key server-priority 1
  7. Усталюйце інтэрвал перадачы MKA.
    [рэдагаваць] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 mka transmitinterval
    3000
  8. Уключыце бяспечны MKA.
    [рэдагаваць] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 include-sci
  9. Прызначце сувязь сувязі з інтэрфейсам.
    [рэдагаваць] crypto-officer@hostname:fips# set security macsec interfaces interface-name interface-connectivityassociation CA1
  10. Наладзьце VLAN tagгінг.
    [рэдагаваць] crypto-officer@hostname:fips# набор інтэрфейсаў interface-name1 flexible-vlan-tagгінг
    crypto-officer@hostname:fips# набор інтэрфейсаў інтэрфейс-name1 інкапсуляцыя гнуткія Ethernet-сэрвісы
    crypto-officer@hostname:fips# набор інтэрфейсаў інтэрфейс-імя1 блок 100 інкапсуляцыя vlanbridge
    crypto-officer@hostname:fips#
    усталяваць інтэрфейсы імя інтэрфейсу1 блок 100 vlan-ідэнтыфікатар 100
    crypto-officer@hostname:fips# набор інтэрфейсаў interface-name2 flexible-vlan-tagгінг
    crypto-officer@hostname:fips# набор інтэрфейсаў інтэрфейс-name2 інкапсуляцыя гнуткія Ethernet-сэрвісы
    crypto-officer@hostname:fips#
    набор інтэрфейсаў імя інтэрфейсу2 адзінка 100 інкапсуляцыя vlanbridge
    crypto-officer@hostname:fips#
    усталяваць інтэрфейсы імя інтэрфейсу2 блок 100 vlan-ідэнтыфікатар 100
  11. Наладзьце дамен моста.
    [рэдагаваць] crypto-officer@hostname:fips# set bridge-domains BD-110 мост даменнага тыпу
    crypto-officer@hostname:fips# set bridge-domains BD-110 vlan-id 100
    crypto-officer@hostname:fips# set bridge-domains BD-110 інтэрфейс interface-name1 100
    crypto-officer@hostname:fips# set bridge-domains BD-110 інтэрфейс interface-name2 100

Налада MACsec з бірулькай для трафіку ўзроўню 2

Каб наладзіць MACsec са звязкам ключоў для трафіку ICMP паміж прыладамі R0 і R1:
У R0:

  1. Прысвойце значэнне допуску ланцужку ключоў аўтэнтыфікацыі.
    [рэдагаваць] crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 tolerance 20
  2. Стварыце сакрэтны пароль для выкарыстання. Гэта радок шаснаццатковых лічбаў даўжынёй да 64 сімвалаў. Пароль можа змяшчаць прабелы, калі радок сімвалаў заключаны ў двукоссе. Сакрэтныя дадзеныя бірулькі выкарыстоўваюцца ў якасці CAK.
    [рэдагаваць] crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    ключ 0 імя ключа 2345678922334455667788992223334445556667778889992222333344445551
    crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    ключ 0 час пачатку 2018-03-20.20:35
    crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    ключ 1 імя ключа 2345678922334455667788992223334445556667778889992222333344445552
    crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    ключ 1 час пачатку 2018-03-20.20:37
    crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    ключ 2 імя ключа 2345678922334455667788992223334445556667778889992222333344445553
    crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    ключ 2 час пачатку 2018-03-20.20:39
    crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    ключ 3 імя ключа 2345678922334455667788992223334445556667778889992222333344445554
    crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    ключ 3 час пачатку 2018-03-20.20:41
    crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    ключ 4 імя ключа 2345678922334455667788992223334445556667778889992222333344445555
    crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    ключ 4 час пачатку 2018-03-20.20:43
    crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    ключ 5 імя ключа 2345678922334455667788992223334445556667778889992222333344445556
    crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    ключ 5 час пачатку 2018-03-20.20:45
    crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    ключ 6 імя ключа 2345678922334455667788992223334445556667778889992222333344445557
    crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    ключ 6 час пачатку 2018-03-20.20:47
    crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    ключ 7 імя ключа 2345678922334455667788992223334445556667778889992222333344445558
    crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    ключ 7 час пачатку 2018-03-20.20:49
    Выкарыстоўвайце каманду падказкі, каб увесці значэнне сакрэтнага ключа. Напрыкладample, значэнне сакрэтнага ключа
    2345678922334455667788992223334123456789223344556677889922233341.
    [рэдагаваць] crypto-officer@hostname:fips# падказка бяспекі authentication-key-chains key-chain macseckc1 ключ 0 сакрэт
    Новы cak
    (сакрэтна):
    Паўтарыце новы cak
    (сакрэтна):
    crypto-officer@hostname:fips#
    хуткая бяспека authentication-key-chains key-chain macseckc1 ключ 1 сакрэт
    Новы cak
    (сакрэтна):
    Паўтарыце новы cak
    (сакрэтна):
    crypto-officer@hostname:fips# падказка бяспекі authentication-key-chains key-chain macseckc1 ключ 2 сакрэт
    Новы cak
    (сакрэтна):
    Паўтарыце новы cak
    (сакрэтна):
    crypto-officer@hostname:fips#
    хуткая бяспека authentication-key-chains key-chain macseckc1 ключ 3 сакрэт
    Новы cak
    (сакрэтна):
    Паўтарыце новы cak
    (сакрэтна):
    crypto-officer@hostname:fips#
    хуткая бяспека authentication-key-chains key-chain macseckc1 ключ 4 сакрэт
    Новы cak
    (сакрэтна):
    Паўтарыце новы cak
    (сакрэтна):
    crypto-officer@hostname:fips#
    хуткая бяспека authentication-key-chains key-chain macseckc1 ключ 5 сакрэт
    Новы cak
    (сакрэтна):
    Паўтарыце новы cak
    (сакрэтна):
    crypto-officer@hostname:fips#
    хуткая бяспека authentication-key-chains key-chain macseckc1 ключ 6 сакрэт
    Новы cak
    (сакрэтна):
    Паўтарыце новы cak
    (сакрэтна):
    crypto-officer@hostname:fips#
    хуткая бяспека authentication-key-chains key-chain macseckc1 ключ 7 сакрэт
    Новы cak
    (сакрэтна):
    Паўтарыце новы cak
    (сакрэтна):
  3. Звязаць папярэдне агульнае імя бірулькі з асацыяцыяй падключэння.
    [рэдагаваць] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 pre-sharedkey-chain
    macsec-kc1
    crypto-officer@hostname:fips#
    усталяваць бяспеку macsec Connectivity-association CA1 cipher-suite
    gcm-aes-256
  4. Усталюйце значэнні параметраў трасіроўкі.
    [рэдагаваць] crypto-officer@hostname:fips# усталяваць параметры бяспекі macsec trace file MACsec.log
    crypto-officer@hostname:fips# усталяваць параметры бяспекі macsec file памер 4000000000
    crypto-officer@hostname:fips# усталяваць параметры бяспекі macsec traceoptions пазначыць усе
  5.  Прызначыць трасіроўку інтэрфейсу.
    [рэдагаваць] crypto-officer@hostname:fips# усталяваць бяспеку інтэрфейсаў macsec параметры трасіроўкі імя інтэрфейсу
    file mka_xe памер 1g
    crypto-officer@hostname:fips# усталяваць бяспеку macsec інтэрфейсы параметры трасіроўкі імя інтэрфейсу
    пазначыць усе
  6. Наладзьце рэжым бяспекі MACsec як static-cak для асацыяцыі злучэння.
    [рэдагаваць] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 securitymode
    статычны-cak
  7. Усталюйце прыярытэт сервера ключоў MKA.
    [рэдагаваць] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 mka key server-priority 1
  8. Усталюйце інтэрвал перадачы MKA.
    [рэдагаваць] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 mka transmitinterval
    3000
  9. Уключыце бяспечны MKA.
    [рэдагаваць] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 include-sci
  10. Прызначце сувязь сувязі з інтэрфейсам.
    [рэдагаваць] crypto-officer@hostname:fips# set security macsec interfaces
    CA1
  11. Наладзьце VLAN tagгінг.
    [рэдагаваць] crypto-officer@hostname:fips# набор інтэрфейсаў interface-name1 flexible-vlan-tagгінг
    crypto-officer@hostname:fips# набор інтэрфейсаў інтэрфейс-name1 інкапсуляцыя flexibleethernet-сэрвісы
    crypto-officer@hostname:fips#
    набор інтэрфейсаў імя інтэрфейсу1 адзінка 100 інкапсуляцыя vlanbridge
    crypto-officer@hostname:fips#
    усталяваць інтэрфейсы імя інтэрфейсу1 блок 100 vlan-ідэнтыфікатар 100
    crypto-officer@hostname:fips# набор інтэрфейсаў interface-name2 flexible-vlan-tagгінг
    crypto-officer@hostname:fips# набор інтэрфейсаў інтэрфейс-name2 інкапсуляцыя flexibleethernet-сэрвісы
    crypto-officer@hostname:fips#
    набор інтэрфейсаў імя інтэрфейсу2 адзінка 100 інкапсуляцыя vlanbridge
    crypto-officer@hostname:fips#
    усталяваць інтэрфейсы імя інтэрфейсу2 блок 100 vlan-ідэнтыфікатар 100
  12.  Наладзьце дамен моста.
    [рэдагаваць] crypto-officer@hostname:fips# set bridge-domains BD-110 мост даменнага тыпу
    crypto-officer@hostname:fips# set bridge-domains BD-110 vlan-id 100
    crypto-officer@hostname:fips# set bridge-domains BD-110 інтэрфейс interface-name1 100
    crypto-officer@hostname:fips# set bridge-domains BD-110 інтэрфейс interface-name2 100

У R1:

  1. Прысвойце значэнне допуску ланцужку ключоў аўтэнтыфікацыі.
    [рэдагаваць] crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 tolerance 20
  2. Стварыце сакрэтны пароль для выкарыстання. Гэта радок шаснаццатковых лічбаў даўжынёй да 64 сімвалаў. Пароль можа змяшчаць прабелы, калі радок сімвалаў заключаны ў двукоссе. Сакрэтныя дадзеныя бірулькі выкарыстоўваюцца ў якасці CAK.
    [рэдагаваць] crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    ключ 0 імя ключа 2345678922334455667788992223334445556667778889992222333344445551
    crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    ключ 0 час пачатку 2018-03-20.20:35
    crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    ключ 1 імя ключа 2345678922334455667788992223334445556667778889992222333344445552
    crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    ключ 1 час пачатку 2018-03-20.20:37
    crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    ключ 2 імя ключа 2345678922334455667788992223334445556667778889992222333344445553
    crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    ключ 2 час пачатку 2018-03-20.20:39
    crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    ключ 3 імя ключа 2345678922334455667788992223334445556667778889992222333344445554
    crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    ключ 3 час пачатку 2018-03-20.20:41
    crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    ключ 4 імя ключа 2345678922334455667788992223334445556667778889992222333344445555
    crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    ключ 4 час пачатку 2018-03-20.20:43
    crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    ключ 5 імя ключа 2345678922334455667788992223334445556667778889992222333344445556
    crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    ключ 5 час пачатку 2018-03-20.20:45
    crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    ключ 6 імя ключа 2345678922334455667788992223334445556667778889992222333344445557
    crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    ключ 6 час пачатку 2018-03-20.20:47
    crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    ключ 7 імя ключа 2345678922334455667788992223334445556667778889992222333344445558
    crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    ключ 7 час пачатку 2018-03-20.20:49
    Выкарыстоўвайце каманду падказкі, каб увесці значэнне сакрэтнага ключа. Напрыкладample, значэнне сакрэтнага ключа
    2345678922334455667788992223334123456789223344556677889922233341.
    [рэдагаваць] crypto-officer@hostname:fips# падказка бяспекі authentication-key-chains key-chain macseckc1 ключ 0 сакрэт
    Новы cak
    (сакрэтна):
    Паўтарыце новы cak
    (сакрэтна):
    crypto-officer@hostname:fips#
    хуткая бяспека authentication-key-chains key-chain macseckc1 ключ 1 сакрэт
    Новы cak
    (сакрэтна):
    Паўтарыце новы cak (сакрэт):
    crypto-officer@hostname:fips# падказка бяспекі authentication-key-chains key-chain macseckc1 ключ 2 сакрэт
    Новы cak
    (сакрэтна):
    Паўтарыце новы cak
    (сакрэтна):
    crypto-officer@hostname:fips#
    хуткая бяспека authentication-key-chains key-chain macseckc1 ключ 3 сакрэт
    Новы cak
    (сакрэтна):
    Паўтарыце новы cak
    (сакрэтна):
    crypto-officer@hostname:fips#
    хуткая бяспека authentication-key-chains key-chain macseckc1 ключ 4 сакрэт
    Новы cak
    (сакрэтна):
    Паўтарыце новы cak
    (сакрэтна):
    crypto-officer@hostname:fips#
    хуткая бяспека authentication-key-chains key-chain macseckc1 ключ 5 сакрэт
    Новы cak
    (сакрэтна):
    Паўтарыце новы cak
    (сакрэтна):
    crypto-officer@hostname:fips#
    хуткая бяспека authentication-key-chains key-chain macseckc1 ключ 6 сакрэт
    Новы cak
    (сакрэтна):
    Паўтарыце новы cak
    (сакрэтна):
    crypto-officer@hostname:fips#
    хуткая бяспека authentication-key-chains key-chain macseckc1 ключ 7 сакрэт
    Новы cak
    (сакрэтна):
    Паўтарыце новы cak (сакрэт):
  3. Звязаць папярэдне агульнае імя бірулькі з асацыяцыяй падключэння.
    [рэдагаваць] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 pre-sharedkey-chain
    macsec-kc1
    crypto-officer@hostname:fips#
    усталяваць бяспеку macsec Connectivity-association CA1 cipher-suite
    gcm-aes-256
  4. Усталюйце значэнні параметраў трасіроўкі.
    [рэдагаваць] crypto-officer@hostname:fips# усталяваць параметры бяспекі macsec trace file MACsec.log
    crypto-officer@hostname:fips# усталяваць параметры бяспекі macsec file памер 4000000000
    crypto-officer@hostname:fips# усталяваць параметры бяспекі macsec traceoptions пазначыць усе
  5. Прызначыць трасіроўку інтэрфейсу.
    [рэдагаваць] crypto-officer@hostname:fips# усталяваць бяспеку інтэрфейсаў macsec параметры трасіроўкі імя інтэрфейсу
    file mka_xe памер 1g
    crypto-officer@hostname:fips# усталяваць бяспеку macsec інтэрфейсы параметры трасіроўкі імя інтэрфейсу
    пазначыць усе
  6. Наладзьце рэжым бяспекі MACsec як static-cak для асацыяцыі злучэння.
    [рэдагаваць] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 securitymode
    статычны-cak
  7. Усталюйце прыярытэт сервера ключоў MKA.
    [рэдагаваць] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 mka keyserver-priority
  8. Усталюйце інтэрвал перадачы MKA.
    [рэдагаваць] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 mka transmitinterval
    3000
  9. Уключыце бяспечны MKA.
    [рэдагаваць] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 include-sci
  10. Прызначце сувязь сувязі з інтэрфейсам.
    [рэдагаваць] crypto-officer@hostname:fips# set security macsec interfaces
    CA1
  11. Наладзьце VLAN tagгінг.
    [рэдагаваць] crypto-officer@hostname:fips# набор інтэрфейсаў interface-name1 flexible-vlan-tagгінг
    crypto-officer@hostname:fips# набор інтэрфейсаў інтэрфейс-name1 інкапсуляцыя flexibleethernet-сэрвісы
    crypto-officer@hostname:fips#
    набор інтэрфейсаў імя інтэрфейсу1 адзінка 100 інкапсуляцыя vlanbridge
    crypto-officer@hostname:fips#
    усталяваць інтэрфейсы імя інтэрфейсу1 блок 100 vlan-ідэнтыфікатар 100
    crypto-officer@hostname:fips# набор інтэрфейсаў interface-name2 flexible-vlan-tagгінг
    crypto-officer@hostname:fips# набор інтэрфейсаў інтэрфейс-name2 інкапсуляцыя гнуткія Ethernet-сэрвісы
    crypto-officer@hostname:fips#
    набор інтэрфейсаў імя інтэрфейсу2 адзінка 100 інкапсуляцыя vlanbridge
    crypto-officer@hostname:fips#
    усталяваць інтэрфейсы імя інтэрфейсу2 блок 100 vlan-ідэнтыфікатар 100
  12. Наладзьце дамен моста.
    [рэдагаваць] crypto-officer@hostname:fips# set bridge-domains BD-110 мост даменнага тыпу
    crypto-officer@hostname:fips# set bridge-domains BD-110 vlan-id 100
    crypto-officer@hostname:fips# set bridge-domains BD-110 інтэрфейс interface-name1 100
    crypto-officer@hostname:fips# set bridge-domains BD-110 інтэрфейс interface-name2 100

Настройка запісу падзей

Запіс падзей скончаныview
Ацэненая канфігурацыя патрабуе аўдыту змяненняў канфігурацыі праз сістэмны журнал.
Акрамя таго, Junos OS можа:

  • Адпраўка аўтаматычных адказаў на падзеі аўдыту (стварэнне запісу ў сістэмным журнале).
  • Дазвольце ўпаўнаважаным кіраўнікам правяраць журналы аўдыту.
  • Адправіць аўдыт files на знешнія серверы.
  • Дазволіць упаўнаважаным кіраўнікам вярнуць сістэму ў вядомы стан.

Рэгістрацыя для ацэненай канфігурацыі павінна фіксаваць наступныя падзеі:

  • Змены дадзеных сакрэтнага ключа ў канфігурацыі.
  • Здзейсненыя змены.
  • Уваход/выхад карыстальнікаў.
  • Запуск сістэмы.
  • Не атрымалася ўсталяваць сеанс SSH.
  • Стварэнне/завяршэнне сесіі SSH.
  • Змены ў (сістэмным) часе.
  • Завяршэнне аддаленай сесіі з дапамогай механізму блакіроўкі сесіі.
  • Завяршэнне інтэрактыўнай сесіі.

Акрамя таго, Juniper Networks рэкамендуе таксама:

  • Фіксуйце ўсе змены канфігурацыі.
  • Захоўвайце рэгістрацыйную інфармацыю выдалена.

Настройка вядзення журнала падзей на лакальны File
Вы можаце наладзіць захоўванне інфармацыі пра аўдыт на лакальным file з заявай сістэмнага часопіса. Гэты былыample захоўвае часопісы ў a file пад назвай Аўдыт-File:
[рэдагаваць сістэму] syslog {
file Аўдыт-File;
}
Інтэрпрэтацыя паведамленняў аб падзеях
Наступны вынік паказвае якampпаведамленне аб падзеі.
27 лютага 02:33:04 bm-a mgd[6520]: UI_LOGIN_EVENT: лагін карыстальніка 'security-officer', клас 'j-superuser'
[6520],
ssh-злучэнне », кліенцкі рэжым
«клі»
27 лютага 02:33:49 bm-a mgd[6520]: UI_DBASE_LOGIN_EVENT: Карыстальнік 'security-officer' уводзіць канфігурацыю
рэжым
27 лютага 02:38:29 bm-a mgd[6520]: UI_CMDLINE_READ_LINE: Карыстальнік 'security-officer', каманда 'run show'
часопіс
Журнал рэвізій | grep УВАХОД
Табліца 4 на старонцы 69 апісвае палі для паведамлення аб падзеі. Калі ўтыліта сістэмнага журнала не можа вызначыць значэнне ў пэўным полі, замест яго з'яўляецца злучок ( – ).
Табліца 4: Палі ў паведамленнях аб падзеях

Палявы Апісанне Exampлес
часamp Час стварэння паведамлення ў адным з двух варыянтаў:
• MMM-DD HH:MM:SS.MS+/-HH:MM, гэта месяц, дзень, гадзіна, хвіліна, секунда і мілісекунда па мясцовым часе. Гадзіна і хвіліна, якія ідуць пасля знака плюс (+) або мінус (-), з'яўляюцца зрушэннем мясцовага гадзіннага пояса ад сусветнага каардынаванага часу (UTC).
• ГГГГ-ММ-ДДТГЧ:ММ:СС.МСЗ - гэта год, месяц, дзень, гадзіна, хвіліна, секунда і мілісекунда ў UTC.		  27 лютага 02:33:04 самы часamp выражаецца ў мясцовым часе ў Злучаных Штатах.

2012-02-27T03:17:15.713Z is

2:33 раніцы UTC 27 лютага

2012.
імя хаста Імя хоста, які першапачаткова згенераваў паведамленне.  маршрутызатар1
працэс Імя працэсу Junos OS, які стварыў паведамленне.  mgd
ID працэсу Ідэнтыфікатар працэсу UNIX (PID) працэсу Junos OS, які стварыў паведамленне.  4153
TAG Паведамленне сістэмнага журнала Junos OS tag, які адназначна ідэнтыфікуе паведамленне.  UI_DBASE_LOGOUT_EVENT
імя карыстальніка Імя карыстальніка, які ініцыяваў падзею.  «адміністратар»
паведамленне-тэкст Англамоўнае апісанне мерапрыемства.  набор: [сістэмны радыус-сервер 1.2.3.4 сакрэт]

Запіс змяненняў у сакрэтныя дадзеныя
Наступныя эксampфайлы журналаў аўдыту падзей, якія змяняюць сакрэтныя дадзеныя. Кожны раз, калі ёсць змены ў канфігурацыі example, падзея сістэмнага часопіса павінна фіксаваць наступныя журналы:
24 ліпеня 17:43:28 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: Карыстальнік 'admin' усталяваны:
[сакрэт сістэмнага радыус-сервера 1.2.3.4] 24 ліпеня 17:43:28 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: Усталяваны карыстальнік 'admin':
[сістэмны ўваход, аўтэнтыфікацыя карыстальніка, адміністратара, зашыфраваны-пароль] 24 ліпеня, 17:43:28 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: Карыстальнік 'admin' усталяваны:
[сістэмны ўваход, аўтэнтыфікацыя карыстальніка, admin2, зашыфраваны-пароль] Кожны раз, калі канфігурацыя абнаўляецца або змяняецца, сістэмны часопіс павінен фіксаваць наступныя журналы:
24 ліпеня 18:29:09 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: Карыстальнік 'admin' замяняе:
[сакрэт сістэмы radius-server 1.2.3.4] 24 ліпеня 18:29:09 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: Карыстальнік 'адміністратар' замяніць:
[сістэмны ўваход, аўтэнтыфікацыя адміністратара, зашыфраваны-пароль] 24 ліпеня 18:29:09 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: Карыстальнік 'admin' замяніць:
[уваход у сістэму, аўтэнтыфікацыя адміністратара, зашыфраваны-пароль] Для атрымання дадатковай інфармацыі аб канфігурацыі параметраў і кіраванні журналам files, глядзіце сістэму Junos OS
Даведка па паведамленнях часопіса.
Падзеі ўваходу і выхаду з сістэмы з дапамогай SSH
Паведамленні сістэмнага журнала ствараюцца кожны раз, калі карыстальнік паспяхова або няўдала спрабуе атрымаць доступ па SSH. Падзеі выхаду з сістэмы таксама запісваюцца. Напрыкладample, наступныя журналы з'яўляюцца вынікам дзвюх няўдалых спроб аўтэнтыфікацыі, затым адной паспяховай і, нарэшце, выхаду з сістэмы:
20 снежня 23:17:35 bilbo sshd[16645]: Няўдалы пароль для op ад 172.17.58.45 порт 1673 ssh2
20 снежня 23:17:42 bilbo sshd[16645]: Няўдалы пароль для op ад 172.17.58.45 порт 1673 ssh2
20 снежня 23:17:53 bilbo sshd[16645]: прыняты пароль для op ад 172.17.58.45 порт 1673 ssh2
20 снежня 23:17:53 bilbo mgd[16648]: UI_AUTH_EVENT: Аўтэнтыфікаваны карыстальнік 'op' на ўзроўні дазволу
'j-аператар'
20 снежня 23:17:53 bilbo mgd[16648]: UI_LOGIN_EVENT: Лагін карыстальніка 'op', клас 'j-operator' [16648] 20 снежня 23:17:56 bilbo mgd[16648]: UI_CMDLINE_READ_LINE: Карыстальнік 'op', каманда "выйсці"
20 снежня 23:17:56 bilbo mgd[16648]: UI_LOGOUT_EVENT: Выхад карыстальніка 'op'
Запіс запуску аўдыту
Рэгіструемая інфармацыя пра аўдыт уключае запускі Junos OS. Гэта, у сваю чаргу, вызначае падзеі запуску сістэмы аўдыту, якія нельга незалежна адключыць або ўключыць. Напрыкладample, калі Junos OS перазагружаецца, журнал аўдыту змяшчае наступную інфармацыю:
20 снежня 23:17:35 bilbo syslogd: выхад па сігнале 14
20 снежня 23:17:35 bilbo syslogd: перазапуск
20 снежня 23:17:35 bilbo syslogd /ядро: 20 снежня 23:17:35 init: syslogd (PID 19128) выйшаў з
статус=1
20 снежня 23:17:42 bilbo /ядро:
20 снежня 23:17:53 init: syslogd (PID 19200) запушчаны

Выкананне самаправеркі на прыладзе

Разуменне самаправеркі FIPS
Крыптаграфічны модуль забяспечвае захаванне правілаў бяспекі для забеспячэння працы Juniper Networks Junos
сістэма (АС Junos) у рэжыме FIPS адпавядае патрабаванням бяспекі FIPS 140-2 Узровень 1. Для праверкі
вывад крыптаграфічных алгарытмаў, зацверджаных для FIPS, і праверка цэласнасці некаторых сістэмных модуляў,
прылада выконвае наступныя серыі саматэставання тэсту з вядомым адказам (KAT):

  • kernel_kats—KAT для крыптаграфічных працэдур ядра
  • md_kats—KAT для limb і libc
  • openssl_kats—KAT для крыптаграфічнай рэалізацыі OpenSSL
  • quicksec_kats—KAT для крыптаграфічнай рэалізацыі QuickSec Toolkit
  •  ssh_ipsec_kats—KAT для крыптаграфічнай рэалізацыі SSH IPsec Toolkit
  • macsec_kats—KAT для крыптаграфічнай рэалізацыі MACsec

Саматэсты KAT выконваюцца аўтаматычна пры запуску. Умоўныя саматэсты таксама выконваюцца аўтаматычна для праверкі праграмных пакетаў з лічбавым подпісам, згенераваных выпадковых лікаў, пар ключоў RSA і ECDSA і ключоў, уведзеных уручную.
Калі KAT завершаны паспяхова, сістэмны журнал (syslog) file абнаўляецца для адлюстравання выкананых тэстаў.
Калі адбываецца збой KAT, прылада запісвае дэталі ў сістэмны журнал file, пераходзіць у стан памылкі FIPS (паніка) і перазагружаецца.
The file каманда show /var/log/messages адлюстроўвае сістэмны часопіс.
Вы таксама можаце запусціць саматэставанне FIPS, выдаўшы каманду перазагрузкі запыту vmhost. Вы можаце ўбачыць журналы самаправеркі FIPS на кансолі, калі сістэма падымецца.
Example: Настройка самаправеркі FIPS
Гэты былыample паказвае, як наладзіць перыядычныя саматэсты FIPS.
Патрабаванні да апаратнага і праграмнага забеспячэння

  • Вы павінны мець правы адміністратара, каб наладзіць саматэсты FIPS.
  • На прыладзе павінна працаваць ацэненая версія АС Junos у праграмным забеспячэнні рэжыму FIPS.

Скончанаview
Самаправерка FIPS складаецца з наступных набораў тэстаў з вядомымі адказамі (KAT):

  • kernel_kats—KAT для крыптаграфічных працэдур ядра
  • md_kats—KAT для libmd і libc
  • quicksec_kats—KAT для крыптаграфічнай рэалізацыі QuickSec Toolkit
  • openssl_kats—KAT для крыптаграфічнай рэалізацыі OpenSSL
  • ssh_ipsec_kats—KAT для крыптаграфічнай рэалізацыі SSH IPsec Toolkit
  • macsec_kats—KAT для крыптаграфічнай рэалізацыі MACsec
    У гэтым эксample, саматэставанне FIPS праводзіцца кожную сераду ў 9:00 у Нью-Ёрку, ЗША.

УВАГА: Замест штотыднёвых тэстаў вы можаце наладзіць штомесячныя тэсты, уключыўшы выпіскі па месяцах і днях месяца.
Калі самаправерка KAT дае збой, у паведамленні сістэмнага журнала запісваецца паведамленне file з падрабязнай інфармацыяй аб няўдачы тэсту. Затым сістэма панікуе і перазагружаецца.
Хуткая канфігурацыя CLI
Каб хутка наладзіць гэты эксample, скапіруйце наступныя каманды, устаўце іх у тэкст file, выдаліце ​​любыя разрывы радкоў, зменіце любыя дэталі, неабходныя для адпаведнасці канфігурацыі вашай сеткі, а затым скапіруйце і ўстаўце каманды ў CLI на ўзроўні іерархіі [рэдагаваць].
усталяваць час перыядычнага саматэставання сістэмы fips 09:00
усталяваць сістэму fips для перыядычнага саматэставання дзён тыдня 3
Пакрокавая працэдура
Каб наладзіць самаправерку FIPS, увайдзіце на прыладу з уліковымі дадзенымі крыпта-афіцэра:

  1. Наладзьце самаправерку FIPS на выкананне ў 9:00 кожную сераду.
    [рэдагаваць саматэставанне сістэмы fips] crypto-officer@hostname:fips# усталяваць перыядычны час пачатку 09:00
    crypto-officer@hostname:fips# усталяваць перыядычны дзень тыдня 3
  2. Калі вы скончылі канфігурацыю прылады, зафіксуйце канфігурацыю.
    [рэдагаваць саматэставанне сістэмы fips] crypto-officer@hostname:fips# фіксацыя

Вынікі
У рэжыме канфігурацыі пацвердзіце вашу канфігурацыю, выдаўшы каманду show system. Калі вывад не адлюстроўвае жаданую канфігурацыю, паўтарыце інструкцыі ў гэтым прыкладзеample, каб выправіць канфігурацыю.
crypto-officer@hostname:fips# паказаць сістэму
fips {
самаправерка {
перыядычны {
час пачатку «09:00»;
дзень тыдня 3;
}
}
}

Праверка

Пераканайцеся, што канфігурацыя працуе належным чынам.
Праверка самаправеркі FIPS

Прызначэнне
Пераканайцеся, што самаправерка FIPS уключана.
Дзеянне
Запусціце саматэставанне FIPS уручную, выдаўшы каманду саматэставання fips сістэмы запытаў або перазагрузіце прыладу.
Пасля выдачы запыту сістэма fips каманда самаправеркі або перазагрузкі прылады, часопіс сістэмы file абнаўляецца для адлюстравання KAT, якія выконваюцца. каб view сістэмны часопіс file, выдаць file каманда show /var/log/ messages.
карыстальнік@хост# file паказаць /var/log/messages
RE КАЦ:
mgd: Запуск саматэставання FIPS
mgd: Тэставанне ядра KATS:
mgd: NIST 800-90 HMAC DRBG Тэст з вядомым адказам: пройдзена
mgd: Тэст з вядомым адказам DES3-CBC: пройдзена
mgd: HMAC-SHA1 Тэст з вядомым адказам: пройдзена
mgd: HMAC-SHA2-256 Тэст з вядомым адказам: пройдзена
mgd: SHA-2-384 Тэст з вядомым адказам: пройдзена
mgd: SHA-2-512 Тэст з вядомым адказам: пройдзена
mgd: AES128-CMAC Тэст з вядомым адказам: пройдзена
mgd: Тэст з вядомым адказам AES-CBC: пройдзена
mgd: Тэставанне MACSec KATS:
mgd: AES128-CMAC Тэст з вядомым адказам: пройдзена
mgd: AES256-CMAC Тэст з вядомым адказам: пройдзена
mgd: Тэст з вядомым адказам AES-ECB: пройдзена
mgd: AES-KEYWRAP Тэст з вядомым адказам: пройдзена
mgd: Тэст з вядомым адказам KBKDF: пройдзена
mgd: тэставанне libmd KATS:
mgd: HMAC-SHA1 Тэст з вядомым адказам: пройдзена
mgd: HMAC-SHA2-256 Тэст з вядомым адказам: пройдзена
mgd: SHA-2-512 Тэст з вядомым адказам: пройдзена
mgd: Тэставанне OpenSSL KATS:
mgd: NIST 800-90 HMAC DRBG Тэст з вядомым адказам: пройдзена
mgd: FIPS ECDSA Тэст на вядомыя адказы: пройдзена
mgd: FIPS ECDH Тэст з вядомым адказам: пройдзена
mgd: Тэст вядомага адказу FIPS RSA: пройдзена
mgd: Тэст з вядомым адказам DES3-CBC: пройдзена
mgd: HMAC-SHA1 Тэст з вядомым адказам: пройдзена
mgd: HMAC-SHA2-224 Тэст з вядомым адказам: пройдзена
mgd: HMAC-SHA2-256 Тэст з вядомым адказам: пройдзена
mgd: HMAC-SHA2-384 Тэст з вядомым адказам: пройдзена
mgd: HMAC-SHA2-512 Тэст з вядомым адказам: пройдзена
mgd: Тэст з вядомым адказам AES-CBC: пройдзена
mgd: Тэст з вядомым адказам AES-GCM: пройдзена
mgd: ECDSA-SIGN Тэст з вядомым адказам: пройдзена
mgd: KDF-IKE-V1 Тэст з вядомым адказам: пройдзена
mgd: KDF-SSH-SHA256 Тэст з вядомым адказам: пройдзена
mgd: KAS-ECC-EPHEM-UNIFIED-NOKC Тэст з вядомым адказам: пройдзена
mgd: KAS-FFC-EPHEM-NOKC Тэст з вядомым адказам: пройдзена
mgd: тэставанне QuickSec 7.0 KATS:
mgd: NIST 800-90 HMAC DRBG Тэст з вядомым адказам: пройдзена
mgd: Тэст з вядомым адказам DES3-CBC: пройдзена
mgd: HMAC-SHA1 Тэст з вядомым адказам: пройдзена
mgd: HMAC-SHA2-224 Тэст з вядомым адказам: пройдзена
mgd: HMAC-SHA2-256 Тэст з вядомым адказам: пройдзена
mgd: HMAC-SHA2-384 Тэст з вядомым адказам: пройдзена
mgd: HMAC-SHA2-512 Тэст з вядомым адказам: пройдзена
mgd: Тэст з вядомым адказам AES-CBC: пройдзена
mgd: Тэст з вядомым адказам AES-GCM: пройдзена
mgd: SSH-RSA-ENC Тэст з вядомым адказам: пройдзена
mgd: SSH-RSA-SIGN Тэст на вядомы адказ: пройдзена
mgd: SSH-ECDSA-SIGN Тэст з вядомым адказам: пройдзена
mgd: KDF-IKE-V1 Тэст з вядомым адказам: пройдзена
mgd: KDF-IKE-V2 Тэст з вядомым адказам: пройдзена
mgd: тэставанне QuickSec KATS:
mgd: NIST 800-90 HMAC DRBG Тэст з вядомым адказам: пройдзена
mgd: Тэст з вядомым адказам DES3-CBC: пройдзена
mgd: HMAC-SHA1 Тэст з вядомым адказам: пройдзена
mgd: HMAC-SHA2-224 Тэст з вядомым адказам: пройдзена
mgd: HMAC-SHA2-256 Тэст з вядомым адказам: пройдзена
mgd: HMAC-SHA2-384 Тэст з вядомым адказам: пройдзена
mgd: HMAC-SHA2-512 Тэст з вядомым адказам: пройдзена
mgd: Тэст з вядомым адказам AES-CBC: пройдзена
mgd: Тэст з вядомым адказам AES-GCM: пройдзена
mgd: SSH-RSA-ENC Тэст з вядомым адказам: пройдзена
mgd: SSH-RSA-SIGN Тэст на вядомы адказ: пройдзена
mgd: KDF-IKE-V1 Тэст з вядомым адказам: пройдзена
mgd: KDF-IKE-V2 Тэст з вядомым адказам: пройдзена
mgd: тэставанне SSH IPsec KATS:
mgd: NIST 800-90 HMAC DRBG Тэст з вядомым адказам: пройдзена
mgd: Тэст з вядомым адказам DES3-CBC: пройдзена
mgd: HMAC-SHA1 Тэст з вядомым адказам: пройдзена
mgd: HMAC-SHA2-256 Тэст з вядомым адказам: пройдзена
mgd: Тэст з вядомым адказам AES-CBC: пройдзена
mgd: SSH-RSA-ENC Тэст з вядомым адказам: пройдзена
mgd: SSH-RSA-SIGN Тэст на вядомы адказ: пройдзена
mgd: KDF-IKE-V1 Тэст з вядомым адказам: пройдзена
mgd: Тэставанне file цэласнасць:
mgd: File цэласнасць Вядомы адказ Тэст: пройдзена
mgd: Тэставанне цэласнасці крыпты:
mgd: цэласнасць крыпта Тэст з вядомым адказам: пройдзена
mgd: чакаць exec AuthenticatiMAC/veriexec: няма адбітка пальца (file=/sbin/kats/cannot-exec
fsid=246 fileid=49356 gen=1 uid=0 pid=9384 ppid=9354 gppid=9352)пры памылцы…
mgd: /sbin/kats/run-tests: /sbin/kats/cannot-exec: памылка аўтэнтыфікацыі
mgd: Саматэсты FIPS пройдзены
LC КАЦ:
12 верасня 10:50:44 network_macsec_kats_input xe- /0/0:0:
no> pic:0 port:0 chan:0 FIPS AES-256-GCM MACsec KATS шыфраванне пройдзена
12 верасня 10:50:50 network_macsec_kats_input xe- /0/1:0:
no> pic:0 port:1 chan:0 FIPS AES-256-GCM MACsec KATS шыфраванне пройдзена
12 верасня 10:50:55 network_macsec_kats_input xe- /0/0:0:
no> pic:0 port:0 chan:0 FIPS AES-256-GCM MACsec KATS дэшыфраванне пройдзена
12 верасня 10:50:56 network_macsec_kats_input xe- /0/2:0:
no> pic:0 port:2 chan:0 FIPS AES-256-GCM MACsec KATS шыфраванне пройдзена
12 верасня 10:51:01 network_macsec_kats_input xe- /0/1:0:
no> pic:0 port:1 chan:0 FIPS AES-256-GCM MACsec KATS дэшыфраванне пройдзена
12 верасня 10:51:02 network_macsec_kats_input xe- /0/2:0:
no> pic:0 port:2 chan:0 FIPS AES-256-GCM MACsec KATS дэшыфраванне пройдзена
12 верасня 10:51:06 network_macsec_kats_input xe- /0/3:0:
no> pic:0 port:3 chan:0 FIPS AES-256-GCM MACsec KATS шыфраванне пройдзена
12 верасня 10:51:12 network_macsec_kats_input xe- /0/3:0:
no> pic:0 port:3 chan:0 FIPS AES-256-GCM MACsec KATS дэшыфраванне пройдзена
12 верасня 10:51:17 network_macsec_kats_input xe- /0/4:0:
no> pic:0 port:4 chan:0 FIPS AES-256-GCM MACsec KATS шыфраванне пройдзена
12 верасня 10:51:17 network_macsec_kats_input xe- /0/4:0:
no> pic:0 port:4 chan:0 FIPS AES-256-GCM MACsec KATS дэшыфраванне пройдзена
12 верасня 10:51:26 network_macsec_kats_input xe- /0/5:0:
no> pic:0 port:5 chan:0 FIPS AES-256-GCM MACsec KATS шыфраванне пройдзена
12 верасня 10:51:27 network_macsec_kats_input xe- /0/5:0:
no> pic:0 port:5 chan:0 FIPS AES-256-GCM MACsec KATS дэшыфраванне пройдзена
12 верасня 10:51:36 network_macsec_kats_input xe- /0/6:0:
no> pic:0 port:6 chan:0 FIPS AES-256-GCM MACsec KATS шыфраванне пройдзена
12 верасня 10:51:36 network_macsec_kats_input xe- /0/6:0:
no> pic:0 port:6 chan:0 FIPS AES-256-GCM MACsec KATS дэшыфраванне пройдзена
12 верасня 10:51:44 network_macsec_kats_input xe- /0/7:0:
no> pic:0 port:7 chan:0 FIPS AES-256-GCM MACsec KATS шыфраванне пройдзена
12 верасня 10:51:44 network_macsec_kats_input xe- /0/7:0:
no> pic:0 port:7 chan:0 FIPS AES-256-GCM MACsec KATS дэшыфраванне пройдзена
12 верасня 10:51:51 network_macsec_kats_input xe- /0/8:0:
no> pic:0 port:8 chan:0 FIPS AES-256-GCM MACsec KATS шыфраванне пройдзена
12 верасня 10:51:51 network_macsec_kats_input xe- /0/8:0:
no> pic:0 port:8 chan:0 FIPS AES-256-GCM MACsec KATS дэшыфраванне пройдзена
12 верасня 10:51:58 network_macsec_kats_input xe- /0/9:0:
no> pic:0 port:9 chan:0 FIPS AES-256-GCM MACsec KATS шыфраванне пройдзена
12 верасня 10:51:58 network_macsec_kats_input xe- /0/9:0:
no> pic:0 port:9 chan:0 FIPS AES-256-GCM MACsec KATS дэшыфраванне пройдзена
12 верасня 10:52:05 network_macsec_kats_input xe- /0/10:0:
Слот no> pic:0 port:10 chan:0 FIPS AES-256-GCM MACsec Шыфраванне KATS пройдзена
12 верасня 10:52:05 network_macsec_kats_input xe- /0/10:0:
Слот no> pic:0 port:10 chan:0 FIPS AES-256-GCM MACsec KATS дэшыфраванне пройдзена
12 верасня 10:52:12 network_macsec_kats_input xe- /0/11:0:
Слот no> pic:0 port:11 chan:0 FIPS AES-256-GCM MACsec Шыфраванне KATS пройдзена
12 верасня 10:52:12 network_macsec_kats_input xe- /0/11:0:
Слот no> pic:0 port:11 chan:0 FIPS AES-256-GCM MACsec KATS дэшыфраванне пройдзена
12 верасня 10:52:20 network_macsec_kats_input xe- /1/0:0:
no> pic:1 port:0 chan:0 FIPS AES-256-GCM MACsec KATS шыфраванне пройдзена
12 верасня 10:52:20 network_macsec_kats_input xe- /1/0:0:
no> pic:1 port:0 chan:0 FIPS AES-256-GCM MACsec KATS дэшыфраванне пройдзена
12 верасня 10:52:27 network_macsec_kats_input xe- /1/1:0:
no> pic:1 port:1 chan:0 FIPS AES-256-GCM MACsec KATS шыфраванне пройдзена
12 верасня 10:52:28 network_macsec_kats_input xe- /1/1:0:
no> pic:1 port:1 chan:0 FIPS AES-256-GCM MACsec KATS дэшыфраванне пройдзена
12 верасня 10:52:34 network_macsec_kats_input xe- /1/2:0:
no> pic:1 port:2 chan:0 FIPS AES-256-GCM MACsec KATS шыфраванне пройдзена
Сэнс
Сістэмны часопіс file адлюстроўвае дату і час, калі KAT былі выкананы, і іх статус.

Аператыўныя каманды

Сінтаксіс
запыт сістэмы абнулення
Апісанне
Для RE1800 выдаліце ​​ўсю інфармацыю аб канфігурацыі ў механізмах маршрутызацыі і скіньце ўсе ключавыя значэнні. Калі прылада мае два механізмы маршрутызацыі, каманда транслюецца ўсім механізмам маршрутызацыі на прыладзе. Каманда выдаляе ўсе дадзеныя  files, уключаючы наладжаную канфігурацыю і часопіс files, раз'яднаўшы ст fileз іх каталогаў. Каманда выдаляе ўсе створаныя карыстальнікам fileз сістэмы, уключаючы ўсе адкрытыя тэкставыя паролі, сакрэты і закрытыя ключы для SSH, лакальнага шыфравання, лакальнай аўтэнтыфікацыі, IPsec, RADIUS, TACACS+ і SNMP.
Гэтая каманда перазагружае прыладу і ўсталёўвае для яе заводскую канфігурацыю па змаўчанні. Пасля перазагрузкі вы не можаце атрымаць доступ да прылады праз інтэрфейс кіравання Ethernet. Увайдзіце праз кансоль як root і запусціце Junos OS CLI, увёўшы cli у радку.
Неабходны ўзровень прывілеяў
абслугоўванне
запыт vmhost абнуліць без пераадрасацыі
Сінтаксіс
запыт vmhost абнуліць без пераадрасацыі
Апісанне
Для REMX2K-X8 выдаліце ​​ўсю інфармацыю аб канфігурацыі ў механізмах маршрутызацыі і скіньце ўсе ключавыя значэнні. Калі прылада мае падвойныя механізмы маршрутызацыі, каманда перадаецца абодвум механізмам маршрутызацыі на прыладзе.
Каманда выдаляе ўсе дадзеныя files, уключаючы наладжаную канфігурацыю і часопіс files, раз'яднаўшы ст fileз іх каталогаў. Каманда выдаляе ўсе створаныя карыстальнікам fileз сістэмы, уключаючы ўсе простыя тэкставыя паролі, сакрэты і прыватныя ключы для SSH, лакальнага шыфравання, лакальнай аўтэнтыфікацыі, IPsec, RADIUS, TACACS+ і SNMP.
Гэтая каманда перазагружае прыладу і ўсталёўвае для яе заводскую канфігурацыю па змаўчанні. Пасля перазагрузкі вы не можаце атрымаць доступ да прылады праз інтэрфейс кіравання Ethernet. Увайдзіце праз кансоль як каранёвы карыстальнік і запусціце Junos OS CLI, увёўшы cli у радку.
Sample Вывад
запыт vmhost абнуліць без пераадрасацыі
user@host> запыт vmhost абнуліць без пераадрасацыі
Абнуленне VMHost : Сцерці ўсе дадзеныя, уключаючы канфігурацыю і журнал fileз?
[так,не] (не) так
рэ0:
папярэджанне: Vmhost перазагрузіцца і можа не загрузіцца без
канфігурацыя
папярэджанне: Працягванне з vmhost
абнуліць
Абнуліць другасны ўнутраны дыск
Працягваецца абнуленне на другасным
дыск
Рыхтуецца мантажная прылада
абнуліць…
Ачыстка мэтавага дыска для абнулення
Абнуленне выканана па мэты
дыск.
Абнуленне другаснага дыска
завершаны
Абнуліць асноўны ўнутраны дыск
Працягваецца абнуленне першаснага
дыск
/etc/ssh/ssh_host_ecdsa_key.pub
/і г.д./ssh/ssh_host_rsa_key
/etc/ssh/ssh_host_dsa_key.pub
/etc/ssh/ssh_host_rsa_key.pub
/etc/ssh/ssh_host_ecdsa_key
/etc/ssh/ssh_host_dsa_key
Рыхтуецца мантажная прылада
абнуліць…
Ачыстка мэтавага дыска для абнулення
Абнуленне выканана па мэты
дыск.
Абнуліць асноўны дыск
завершаны
Абнуліць
зроблена
—(больш)— Прыпынак
крон.
Чаканне PIDS:
6135.
.
16 лютага 14:59:33 jlaunchd: адпраўлены сігнал перыядычных пакетаў (PID 6181) 15
16 лютага 14:59:33 jlaunchd: адпраўлены smg-сэрвіс (PID 6234) сігнал аб спыненні 15
16 лютага 14:59:33 jlaunchd: ідэнтыфікацыя прыкладання (PID 6236) сігнал завяршэння 15 адпраўлены
16 лютага 14:59:33 jlaunchd: ifstate-tracing-process (PID 6241) сігнал завяршэння 15 адпраўлены
16 лютага 14:59:33 jlaunchd: кіраванне рэсурсамі (PID 6243) адпраўлены сігнал аб спыненні 15
16 лютага 14:59:33 jlaunchd: спаганяецца (PID 6246) адпраўлены сігнал аб спыненні 15
16 лютага 14:59:33 jlaunchd: ліцэнзійны сэрвіс (PID 6255) адпраўлены сігнал аб спыненні 15
16 лютага 14:59:33 jlaunchd: ntp (PID 6620) сігнал завяршэння 15 адпраўлены
16 лютага 14:59:33 jlaunchd: GKD-шасі (PID 6621) сігнал завяршэння 15 адпраўлены
16 лютага 14:59:33 jlaunchd: адпраўлены gkd-lchassis (PID 6622) сігнал аб завяршэнні 15
16 лютага 14:59:33 jlaunchd: сігнал аб завяршэнні маршрутызацыі (PID 6625) адпраўлены 15
16 лютага 14:59:33 jlaunchd: sonet-aps (PID 6626) адпраўлены сігнал завяршэння 15
16 лютага 14:59:33 jlaunchd: адпраўлены сігнал аб завяршэнні дыстанцыйных аперацый (PID 6627) 15
16 лютага 14:59:33 jlaunchd: клас абслугоўвання
……..
99Лагатып JUNIPER

Дакументы / Рэсурсы

JUNIPER NETWORKS Ацэненыя прылады Junos OS FIPS [pdfКіраўніцтва карыстальніка
Junos OS Прылады з ацэнкай FIPS, АС Junos, Прылады з ацэнкай FIPS, Ацэненыя прылады, Прылады

Спасылкі

Пакінуць каментар

Ваш электронны адрас не будзе апублікаваны. Абавязковыя для запаўнення палі пазначаны *