Juniper EX4400 Komon nga Pamantayan Gitimbang-timbang nga Configuration
Mga detalye
- Modelo: EX4400-24MP, EX4400-24P, EX4400-24T, EX4400-48F, EX4400-48MP, EX4400-48P, EX4400-48T
- Gipatik: 2024-04-30
- Pagpagawas: 22.3R1
- Manufacturer: Juniper Networks, Inc.
Impormasyon sa Produkto
Ang EX4400 nga serye sa mga himan sa Juniper Networks gidisenyo alang sa luwas ug episyente nga pagdumala sa network. Gisuportahan sa kini nga mga aparato ang Common Criteria ug mga sumbanan sa FIPS aron masiguro ang seguridad ug integridad sa datos.
Tapos naview
Pagsabot sa Common Criteria Evaluated Configuration:
- Basaha ang giya aron masabtan ang mga kinahanglanon sa pag-configure alang sa ebalwasyon sa Common Criteria.
Pag-configure sa mga Papel ug Pamaagi sa Pagpamatuod
Pagsabot sa Mga Papel ug Serbisyo para sa Junos OS sa Common Criteria ug FIPS:
- Pagkat-on bahin sa mga tahas ug serbisyo nga magamit sa Junos OS alang sa pagsunod sa Common Criteria ug mga sumbanan sa FIPS.
Pag-instalar sa Junos OS Software Package
- I-download ang gikinahanglan nga software packages gikan sa Juniper Networks.
- Sunda ang mga panudlo sa pag-install nga gihatag sa giya.
Pag-enable sa FIPS Mode
- Sunda ang mga lakang aron ma-enable ang FIPS mode sa device para mapalambo
seguridad.
Pag-configure sa mga Kredensyal ug Pribilehiyo sa Administratibo
Pagsabut sa Kauban nga Mga Lagda sa Password alang sa Awtorisado nga Administrator:
- Review ang mga lagda sa password alang sa mga awtorisado nga tigdumala aron masiguro ang luwas nga pag-access.
Pamaagi sa Authentication sa FIPS Mode of Operation:
- Susihon ang mga pamaagi sa pag-authenticate nga magamit alang sa operasyon sa FIPS mode.
Mga FAQ
P: Unsaon nako pag-download ang mga software packages gikan sa Juniper Networks?
A: Mahimo nimong i-download ang mga pakete sa software gikan sa Juniper Networks pinaagi sa pagbisita sa ilang opisyal website ug pag-access sa may kalabutan nga seksyon sa pag-download alang sa imong device.
P: Unsa ang FIPS mode ug nganong importante kini?
A: Ang FIPS mode usa ka sumbanan sa seguridad nga nagsiguro nga ang mga cryptographic nga algorithm gipatuman sa husto alang sa luwas nga pagdumala sa datos. Importante kini sa pagmintinar sa integridad ug pagkakompidensyal sa datos.
1 KAPITULO
Tapos naview
Pagsabot sa Komon nga Pamantayan Gitimbang-timbang nga Configuration | 2 Pagsabot sa Junos OS sa FIPS Mode | 3 Pagsabot sa Common Criteria ug FIPS Terminology ug Gisuportahan nga Cryptographic Algorithm | 5 Pag-ila sa Luwas nga Paghatud sa Produkto | 9 Pagsabot sa Management Interfaces | 11
2
Pagsabot sa Common Criteria Evaluated Configuration
NIINING SEKSYON Pagsabot sa Komon nga Pamantayan | 2 Gisuportahan nga mga Platform | 3
Kini nga dokumento naghulagway sa mga lakang nga gikinahanglan aron madoble ang configuration sa device nga nagpadagan sa Junos OS kung ang device gi-evaluate. Gitawag kini nga gi-evaluate nga configuration. Ang mosunod nga lista naghulagway sa mga sukdanan diin ang device gi-evaluate: · NDcPP v2.2e–https://www.niap-ccevs.org/MMO/PP/CPP_ND_V2.2E.pdf Ang Archived Protection ProfileAng mga dokumento anaa sa https://www.niap-ccevs.org/Profile/PP.cfm? gi-archive=1.
Pagsabot sa Common Criteria
Ang Common Criteria para sa information technology usa ka internasyonal nga kasabutan nga gipirmahan sa daghang mga nasud nga nagtugot sa pagtimbang-timbang sa mga produkto sa seguridad batok sa usa ka komon nga set sa mga sumbanan. Sa Common Criteria Recognition Arrangement (CCRA) sa https://www.commoncriteriaportal.org/ccra/, ang mga partisipante miuyon sa pag-ila sa usag usa sa mga ebalwasyon sa mga produkto nga gihimo sa ubang mga nasud. Ang tanan nga mga ebalwasyon gihimo gamit ang usa ka sagad nga pamaagi alang sa pagtimbang-timbang sa seguridad sa teknolohiya sa impormasyon. Para sa dugang nga impormasyon sa Common Criteria, tan-awa ang https://www.commoncriteriaportal.org/. Ang Target of Evaluation (TOE) kay usa ka device o sistema nga gipailalom sa evaluation base sa Collaborative Protection Profile (cPP).
3
Gisuportahan nga mga Platform
Alang sa mga bahin nga gihulagway niini nga dokumento, ang mosunod nga mga plataporma gisuportahan aron mahimong kuwalipikado sa NDcPPv2.2e: · EX4400 Series nga mga himan (https://www.juniper.net/us/en/products/switches/ex-series.html).
KAUGNAY NGA DOKUMENTASYON Pag-ila sa Luwas nga Paghatud sa Produkto | 9
Pagsabut sa Junos OS sa FIPS Mode
NIINING SEKSYON Mahitungod sa Cryptographic Boundary sa Imong Device | 4 Giunsa ang Pagkalahi sa FIPS Mode sa Non-FIPS Mode | 4 Validated nga Bersyon sa Junos OS sa FIPS Mode | 4
Ang Federal Information Processing Standards (FIPS) 140-3 naghubit sa lebel sa seguridad alang sa hardware ug software nga naghimo sa cryptographic functions. Ang pag-operate sa imong device sa usa ka FIPS 140-3 Level 1 nga palibot nagkinahanglan sa pagpagana ug pag-configure sa FIPS mode sa device gikan sa Junos OS CLI. Ang Security Administrator makahimo sa FIPS mode sa Junos OS ug nag-set up sa mga yawe ug mga password alang sa sistema ug uban pang mga FIPS tiggamit nga makahimo view ang configuration. Ang Administrator sa Seguridad ug ang tiggamit makahimo sa normal nga mga buluhaton sa pag-configure sa aparato (sama sa pag-usab sa mga tipo sa interface) ingon nga gitugotan sa indibidwal nga pagsumpo sa tiggamit.
4
Mahitungod sa Cryptographic Boundary sa Imong Device
Ang pagsunod sa FIPS 140-3 nanginahanglan usa ka piho nga utlanan sa cryptographic palibot sa matag module sa cryptographic sa usa ka aparato. Ang Junos OS sa FIPS mode nagpugong sa cryptographic module gikan sa pagpatuman sa bisan unsang software nga dili bahin sa FIPS-certified distribution, ug nagtugot lamang sa FIPS-approved cryptographic algorithm nga gamiton. Walay kritikal nga mga parameter sa seguridad (CSPs), sama sa mga password ug mga yawe, nga makatabok sa cryptographic nga utlanan sa module sa unencrypted format.
PAHINUMDOM: Ang mga feature sa Virtual Chassis dili suportado sa FIPS mode. Ayaw i-configure ang Virtual Chassis sa FIPS mode.
Giunsa ang Pagkalahi sa FIPS Mode gikan sa Non-FIPS Mode
Dili sama sa Junos OS sa non-FIPS mode, ang Junos OS sa FIPS mode usa ka non-modifiable operational environment. Dugang pa, ang Junos OS sa FIPS mode lahi sa mosunod nga mga paagi gikan sa Junos OS sa nonFIPS mode: · Ang mga self-test sa tanang cryptographic algorithm gihimo sa pagsugod. · Ang mga pagsulay sa kaugalingon sa random nga numero ug yawe nga henerasyon padayon nga gihimo. · Huyang nga cryptographic algorithm sama sa Data Encryption Standard (DES) ug Message Digest 5 (MD5)
mga baldado. · Ang huyang o wala ma-encrypt nga mga koneksyon sa pagdumala kinahanglan dili i-configure. Bisan pa, gitugotan sa TOE ang lokal
ug un-encrypted console access sa tanang paagi sa operasyon. · Ang mga password kinahanglang ma-encrypt gamit ang lig-on nga one-way algorithms nga dili motugot sa decryption. · Ang mga password sa tagdumala sa Junos-FIPS kinahanglan labing menos 10 ka karakter ang gitas-on. · Ang mga yawe sa cryptographic kinahanglan nga ma-encrypt sa dili pa ipadala.
Validated nga Bersyon sa Junos OS sa FIPS Mode
Aron mahibal-an kung ang pagpagawas sa Junos OS kay NIST-validated, tan-awa ang pagsunod nga panid sa Juniper Networks Web site (https://apps.juniper.net/compliance/).
5
KAUGNAY NGA DOKUMENTASYON Pag-ila sa Luwas nga Paghatud sa Produkto | 9
Pagsabot sa Common Criteria ug FIPS Terminology ug Gisuportahan nga Cryptographic Algorithm
NIINI NGA SEKSYON Terminolohiya | 5 Gisuportahan nga Cryptographic Algorithm | 7
Gamita ang mga kahulugan sa Common Criteria ug mga termino sa FIPS, ug gisuportahan nga mga algorithm aron matabangan ka nga masabtan ang Junos OS.
Terminolohiya
Kasagarang Kriterya
Administrator sa Seguridad
NDcPPv2.2e
Ang Common Criteria para sa information technology usa ka internasyonal nga kasabutan nga gipirmahan sa daghang mga nasud nga nagtugot sa pagtimbang-timbang sa mga produkto sa seguridad batok sa usa ka komon nga set sa mga sumbanan.
Para sa Common Criteria, ang user account sa TOE adunay mosunod nga mga hiyas: user identity (user name), authentication data (password), ug role (pribilehiyo). Ang Security Administrator nakig-uban sa gitakda nga klase sa pag-login nga "security-admin", nga adunay gikinahanglan nga pagtugot nga gitakda aron tugutan ang tagdumala sa paghimo sa tanan nga mga buluhaton nga gikinahanglan sa pagdumala sa Junos OS.
Collaborative Protection Profile para sa Network Devices, Bersyon 2.2e, pinetsahan 23 Marso 2020.
6
Kritikal nga parametro sa seguridad (CSP)
Impormasyon nga may kalabotan sa seguridad–alang sa example, sekreto ug pribado nga cryptographic nga mga yawe ug authentication data sama sa mga password ug personal identification numbers (PINs)– kansang pagbutyag o pagbag-o mahimong makompromiso ang seguridad sa usa ka cryptographic module o ang impormasyon nga gipanalipdan niini. Para sa mga detalye, tan-awa ang “Pagsabot sa Operational Environment para sa Junos OS sa FIPS Mode” sa pahina 15.
Cryptographic nga module
Ang set sa hardware, software, ug firmware nga nagpatuman sa giaprobahan nga mga function sa seguridad (lakip ang cryptographic algorithms ug key generation) ug anaa sulod sa cryptographic boundary. Para sa fixed-configuration nga mga device, ang cryptographic module mao ang device case. Alang sa modular nga mga himan, ang cryptographic module mao ang Routing Engine.
ESP
Encapsulating Security Payload (ESP) protocol. Ang bahin sa IPsec protocol nga
naggarantiya sa pagkakompidensyal sa mga pakete pinaagi sa pag-encrypt. Gisiguro sa protocol
nga kung ang usa ka pakete sa ESP malampuson nga ma-decrypt, ug wala’y laing partido nga nahibal-an ang sekreto
yawe nga gipaambit sa mga kauban, ang pakete wala gi-wiretap sa pagbiyahe.
FIPS
Pederal nga Mga Sumbanan sa Pagproseso sa Impormasyon. Ang FIPS 140-3 nagtino sa mga kinahanglanon alang sa
seguridad ug cryptographic modules. Ang Junos OS sa FIPS mode nagsunod sa FIPS
140-3 Level 1.
Paagi sa pagpadayon sa pagpadayon
Ang tahas nga giangkon sa Security Administrator sa paghimo sa pisikal nga pagmentinar o lohikal nga pagmentinar nga mga serbisyo sama sa hardware o software diagnostics. Alang sa pagsunod sa FIPS 140-3, ang Administrator sa Seguridad nag-zero sa Routing Engine sa pagsulod ug paggawas gikan sa papel sa pagpadayon sa FIPS aron mapapas ang tanan nga yano nga teksto nga sekreto ug pribado nga mga yawe ug dili mapanalipdan nga mga CSP.
PAHINUMDOM: Ang papel sa pagpadayon sa FIPS wala gisuportahan sa Junos OS sa FIPS mode.
Hashing KATs SA
Usa ka pamaagi sa pag-authenticate sa mensahe nga nag-aplay sa usa ka cryptographic nga teknik nga iterative sa usa ka mensahe nga arbitraryong gitas-on ug nagpatunghag usa ka hash nga mensahe nga digest o pirma sa gitakdang gitas-on nga gidugtong sa mensahe kung gipadala.
Nahibal-an nga mga pagsulay sa tubag. System self-tests nga nagpamatuod sa output sa cryptographic algorithms nga gi-aprobahan para sa FIPS ug nagsulay sa integridad sa pipila ka Junos OS modules. Para sa mga detalye, tan-awa ang “Pagsabot sa mga FIPS Kaugalingon nga Pagsulay” sa pahina 118.
asosasyon sa seguridad (SA). Usa ka koneksyon tali sa mga host nga nagtugot kanila sa pagpakigsulti nga luwas pinaagi sa pagtino, alang sa example, giunsa nila pagbinayloay ang mga pribadong yawe. Ingon Security Administrator, kinahanglan nimo nga mano-mano ang pag-configure sa usa ka internal nga SA sa mga aparato
7
SSH Zeroization
nagpadagan sa Junos OS sa FIPS mode. Ang tanan nga mga kantidad, lakip ang mga yawe, kinahanglan nga static nga gitakda sa configuration. Sa mga device nga adunay labaw sa usa ka Routing Engine, ang configuration kinahanglan nga motakdo sa duha ka tumoy sa koneksyon tali sa Routing Engines. Aron mahitabo ang komunikasyon, ang matag Routing Engine kinahanglan adunay parehas nga gi-configure nga mga kapilian, nga wala magkinahanglan og negosasyon ug dili matapos. .
Usa ka protocol nga naggamit ug lig-on nga panghimatuud ug pag-encrypt alang sa hilit nga pag-access sa usa ka dili luwas nga network. Ang SSH naghatag og hilit nga pag-login, hilit nga pagpatuman sa programa, file kopya, ug uban pang mga gimbuhaton. Gituyo kini isip luwas nga kapuli sa rlogin, rsh, ug rcp sa usa ka palibot sa UNIX. Aron masiguro ang impormasyon nga gipadala sa mga administratibong koneksyon, gamita ang SSHv2 para sa CLI configuration. Sa Junos OS, ang SSHv2 gi-enable pinaagi sa default, ug ang SSHv1, nga wala gikonsiderar nga luwas, gi-disable.
Pagpapas sa tanang CSP ug uban pang datos nga gihimo sa user sa usa ka device sa wala pa ang operasyon niini isip FIPS cryptographic module–o agig pagpangandam sa pag-repurpos sa device para sa nonFIPS nga operasyon. Ang Security Administrator mahimong ma-zeroize ang sistema gamit ang CLI operational command. Para sa mga detalye, tan-awa ang “Pagsabot sa Zeroization aron Hawan ang System Data para sa FIPS Mode” sa pahina 23.
Gisuportahan ang Cryptographic Algorithm
Ang talaan 1 sa panid 8 nagsumaryo sa taas nga lebel nga suporta sa algorithm sa protocol.
8
Talaan 1: Mga Protocol nga Gitugotan sa FIPS Mode
Protocol Key Exchange
Pagpamatuod
Cipher
Integridad
SSHv2
· dh-group14-sha1 · ECDH-sha2-nistp256 · ECDH-sha2-nistp384 · ECDH-sha2-nistp521
Host (module): · ECDSA P-256 · SSH-RSA Client (user): · ECDSA P-256 · ECDSA P-384 · ECDSA P-521 · SSH-RSA · RSA-SHA2-256 · RSA-SHA2-512
· AES CTR 128 · AES CTR 256 · AES CBC 128 · AES CBC 256
· HMAC-SHA-1 · HMAC-SHA-256 · HMAC-SHA-512
Ang mosunod nga mga cryptographic algorithm gisuportahan sa FIPS mode. Ang simetriko nga mga pamaagi naggamit sa sama nga yawe alang sa encryption ug decryption, samtang ang asymmetric nga mga pamaagi naggamit sa lain-laing mga yawe alang sa encryption ug decryption.
AES
Ang Advanced Encryption Standard (AES), gihubit sa FIPS PUB 197. Ang AES algorithm
naggamit sa mga yawe sa 128 o 256 ka bits sa pag-encrypt ug pag-decrypt sa datos sa mga bloke sa 128 ka bit.
DiffieHellman
Usa ka paagi sa yawe nga pagbinayloay sa usa ka dili luwas nga palibot (sama sa Internet). Ang algorithm sa Diffie-Hellman nakigsabot sa usa ka yawe sa sesyon nga wala ipadala ang yawe mismo sa tibuuk nga network pinaagi sa pagtugot sa matag partido nga magpili usa ka partial nga yawe nga independente ug ipadala ang bahin sa yawe sa lain. Ang matag kilid dayon nagkalkula sa usa ka komon nga yawe nga bili. Kini usa ka simetriko nga pamaagi-ang mga yawe kasagarang gigamit lamang sa mubo nga panahon, gilabay, ug gibag-o.
ECDH
Elliptic Curve Diffie-Hellman. Usa ka variant sa Diffie-Hellman key exchange algorithm nga naggamit sa cryptography base sa algebraic nga istruktura sa mga elliptic curves sa mga limitado nga field. Gitugotan sa ECDH ang duha ka partido, ang matag usa adunay usa ka elliptic curve nga public-private key pair, sa pag-establisar sa usa ka gipaambit nga sekreto sa usa ka dili sigurado nga channel. Ang gipaambit nga sekreto mahimong gamiton ingon nga usa ka yawe o aron makuha ang laing yawe alang sa pag-encrypt sa sunod nga mga komunikasyon gamit ang usa ka simetriko nga key cipher.
9
ECDSA
Elliptic Curve Digital Signature Algorithm. Usa ka variant sa Digital Signature Algorithm (DSA) nga naggamit sa cryptography base sa algebraic nga istruktura sa mga elliptic curves sa mga limitado nga field. Ang gamay nga gidak-on sa elliptic curve nagtino sa kalisud sa pag-decrypt sa yawe. Ang yawe sa publiko nga gituohan nga gikinahanglan alang sa ECDSA mga doble sa gidak-on sa kusog sa seguridad, sa mga piraso. Ang ECDSA naggamit sa P-256, P-384, ug P-521 nga mga kurba nga mahimong i-configure ubos sa OpenSSH.
HMAC
Gihubit nga "Keyed-Hashing alang sa Pagpamatuod sa Mensahe" sa RFC 2104, gihiusa sa HMAC ang mga algorithm sa hashing nga adunay mga yawe sa cryptographic alang sa pag-authenticate sa mensahe.
SHA-256, SHA-384, ug SHA-512
Secure hash algorithms (SHA) nga iya sa SHA-2 standard nga gihubit sa FIPS PUB 180-2. Gi-develop sa NIST, ang SHA-256 naghimo og 256-bit hash digest, ang SHA-384 naghimo og 384-bit hash digest, ug ang SHA-512 naghimo og 512-bit hash digest.
AES-CMAC
Naghatag ang AES-CMAC og mas lig-on nga kasiguruhan sa integridad sa datos kaysa usa ka checksum o usa ka code sa pag-detect sa sayup. Ang pag-verify sa usa ka checksum o usa ka error-detecting code nakamatikod lamang sa aksidente nga mga pagbag-o sa datos, samtang ang CMAC gidesinyo aron mahibal-an ang tinuyo, dili awtorisado nga mga pagbag-o sa datos, ingon man ang aksidente nga mga pagbag-o.
KAUGNAY NGA DOKUMENTASYON Pagsabot sa FIPS Kaugalingon nga Pagsulay | 118 Pagsabot sa Zeroization aron Hawan ang System Data para sa FIPS Mode | 23
Pag-ila sa Luwas nga Paghatud sa Produkto
Adunay daghang mga mekanismo nga gihatag sa proseso sa paghatud aron masiguro nga ang usa ka kustomer makadawat usa ka produkto nga wala pa tampkauban sa. Kinahanglan nga buhaton sa kustomer ang mga mosunud nga pagsusi sa pagkadawat sa usa ka aparato aron mapamatud-an ang integridad sa plataporma. · Label sa pagpadala–Siguruha nga ang label sa pagpadala husto nga nagpaila sa husto nga ngalan sa kustomer ug
adres ingon man ang aparato. · Sa gawas nga packaging–Inspeksyon ang gawas nga kahon sa pagpadala ug tape. Siguroha nga ang shipping tape wala
giputol o nakompromiso. Siguruha nga ang kahon wala maputol o madaot aron tugutan ang pag-access sa aparato. · Sulod sa packaging–Inspeksyon ang plastic bag ug selyo. Siguroha nga ang bag dili maputol o makuha. Siguruha nga ang selyo nagpabilin nga wala’y labot.
10
Kung nahibal-an sa kustomer ang usa ka problema sa panahon sa pag-inspeksyon, kinahanglan nga kontakon dayon niya ang supplier. Ihatag ang numero sa order, numero sa pagsubay, ug usa ka paghulagway sa nahibal-an nga problema sa supplier. Dugang pa, adunay daghang mga pagsusi nga mahimo aron masiguro nga ang kustomer nakadawat usa ka kahon nga gipadala sa Juniper Networks ug dili usa ka lahi nga kompanya nga nagtakuban nga Juniper Networks. Ang kustomer kinahanglan nga mohimo sa mosunod nga mga pagsusi sa dihang madawat ang usa ka himan aron mapamatud-an ang pagkatinuod sa himan: · Tinoa nga ang himan gi-order gamit ang usa ka purchase order. Ang mga aparato sa Juniper Networks dili gayud
gipadala nga walay purchase order.
· Kung ang usa ka aparato gipadala, usa ka pahibalo sa pagpadala ipadala sa e-mail nga adres nga gihatag sa kustomer kung ang order gikuha. Tinoa nga kini nga pahibalo sa e-mail nadawat. Tinoa nga ang email naglangkob sa mosunod nga impormasyon: · Purchase order number
· Numero sa order sa Juniper Networks nga gigamit sa pagsubay sa kargamento
· Carrier tracking number nga gigamit sa pagsubay sa kargamento
· Listahan sa mga butang nga gipadala lakip ang mga serial number
· Address ug kontak sa supplier ug kustomer
· Tinoa nga ang kargamento gisugdan sa Juniper Networks. Aron mapamatud-an nga ang usa ka kargamento gisugdan sa Juniper Networks, kinahanglan nimong buhaton ang mosunod nga mga buluhaton: · Itandi ang carrier tracking number sa Juniper Networks order number nga gilista sa Juniper Networks shipping notification uban sa tracking number sa package nga nadawat.
· Log on sa Juniper Networks online customer support portal sa https://support.juniper.net/ support/ sa view ang kahimtang sa order. Itandi ang carrier tracking number o ang Juniper Networks order number nga gilista sa Juniper Networks shipment notification uban sa tracking number sa package nga nadawat.
KAUGNAY NGA DOKUMENTASYON Pagsabot sa Komon nga Pamantayan Gitimbang-timbang nga Configuration | 2
11
Pagsabot sa Management Interfaces
Ang mosunod nga mga interface sa pagdumala mahimong magamit sa gi-evaluate nga configuration: · Local Management Interfaces–Ang RJ-45 console port sa likod nga panel sa usa ka device gi-configure isip
RS-232 data terminal equipment (DTE). Mahimo nimong gamiton ang command-line interface (CLI) sa kini nga pantalan aron ma-configure ang aparato gikan sa usa ka terminal. · Mga Protokol sa Pagdumala sa Hilit-Ang aparato mahimong madumala sa layo sa bisan unsang interface sa Ethernet. Ang SSHv2 mao lamang ang gitugutan nga remote management protocol nga magamit sa e-evaluate nga configuration. Ang layo nga mga protocol sa pagdumala J-Web ug ang Telnet dili magamit sa device.
KAUGNAY NGA DOKUMENTASYON Pagsabot sa Komon nga Pamantayan Gitimbang-timbang nga Configuration | 2
2 KAPITULO
Pag-configure sa mga Papel ug Pamaagi sa Pagpamatuod
Pagsabot sa Mga Papel ug Serbisyo para sa Junos OS sa Common Criteria ug FIPS | 13
Pagsabot sa Operational Environment para sa Junos OS sa FIPS Mode | 15 Pagsabot sa Mga Ispesipikasyon sa Password ug Mga Giya alang sa Junos OS sa FIPS Mode | 19 Pag-download sa Software Packages gikan sa Juniper Networks | 21 I-install ang Junos OS Software Package | 21 Pagsabot sa Zeroization aron Hawan ang System Data para sa FIPS Mode | 23 Pag-zero sa Sistema | 25 Pagpaandar sa FIPS Mode | 26 Pag-configure sa Security Administrator ug FIPS User Identification ug Access | 30
13
Pagsabot sa Mga Papel ug Serbisyo para sa Junos OS sa Common Criteria ug FIPS
NIINING SEKSYON Ang Papel ug mga Responsibilidad sa Administrator sa Seguridad | 13 FIPS User Role ug Responsibilidad | 14 Unsa ang Gilauman sa Tanan nga mga Gumagamit sa FIPS | 14
Ang Security Administrator nakig-uban sa gipiho nga klase sa pag-login nga "security-admin", nga adunay gikinahanglan nga pagtugot nga gitakda aron tugotan ang tagdumala sa paghimo sa tanan nga mga buluhaton nga gikinahanglan sa pagdumala sa Junos OS. Ang mga administratibong tiggamit (Security Administrator) kinahanglang maghatag ug talagsaon nga pag-ila ug pag-ila sa datos sa dili pa ihatag ang bisan unsang administratibong pag-access sa sistema. Ang mga tahas ug mga responsibilidad sa Security Administrator mao ang mosunod: 1. Ang Administrator sa Seguridad makadumala sa lokal ug layo. 2. Paghimo, pag-usab, ug pagtangtang sa mga account sa tagdumala, lakip ang pag-configure sa pagkapakyas sa pag-authenticate
mga parametro. 3. I-enable pag-usab ang Administrator account. 4. Responsable sa pag-configure ug pagmentinar sa mga elemento sa cryptographic nga may kalabutan sa
pagtukod sa luwas nga mga koneksyon sa ug gikan sa gisusi nga produkto. Ang Juniper Networks Junos operating system (Junos OS) nga nagdagan sa non-FIPS mode nagtugot sa usa ka halapad nga mga kapabilidad alang sa mga tiggamit, ug ang pag-authentication base sa identidad. Ang Administrator sa Seguridad naghimo sa tanan nga mga buluhaton sa pag-configure nga may kalabotan sa FIPS-mode ug nag-isyu sa tanan nga mga pahayag ug mga mando alang sa Junos OS sa mode nga FIPS.
Papel ug mga Responsibilidad sa Administrator sa Seguridad
Ang Security Administrator mao ang tawo nga responsable sa pagpagana, pag-configure, pagmonitor, ug pagmentinar sa Junos OS sa FIPS mode sa usa ka device. Ang Security Administrator luwas nga nag-install sa Junos OS
14
sa device, makapahimo sa FIPS mode, nag-establisar sa mga yawe ug mga password alang sa ubang mga tiggamit ug software modules, ug nag-initialize sa device sa wala pa ang koneksyon sa network.
LABING KINABUHI: Girekomenda namon nga ang Administrator sa Seguridad magdumala sa sistema sa luwas nga paagi pinaagi sa pagtipig sa mga password nga luwas ug pagsusi sa pag-audit files.
Ang mga permiso nga nagpalahi sa Security Administrator gikan sa ubang mga tiggamit sa FIPS sekreto, seguridad, pagmentinar, ug pagkontrol. Alang sa pagsunod sa FIPS, itudlo ang Security Administrator sa usa ka klase sa pag-login nga adunay tanan niini nga mga pagtugot. Makabasa ang usa ka tiggamit nga adunay pagtugot sa pagpadayon sa Junos OS files nga adunay mga kritikal nga parameter sa seguridad (CSPs). Lakip sa mga buluhaton nga may kalabutan sa Junos OS sa FIPS mode, ang Security Administrator gilauman nga: · Itakda ang inisyal nga root password. Ang gitas-on sa password kinahanglan labing menos 10 ka karakter. · I-reset ang mga password sa user gamit ang mga algorithm nga giaprobahan sa FIPS. · Pagsusi sa log ug pag-audit files alang sa mga panghitabo sa interes. · Papasa ang hinimo sa tiggamit files, mga yawe, ug data pinaagi sa pag-zero sa device.
FIPS User Role ug Responsibilities
Ang tanan nga mga tiggamit sa FIPS, lakip ang Security Administrator, mahimo view ang configuration. Ang user lang nga gi-assign isip Security Administrator ang makausab sa configuration. mahimo sa tiggamit sa FIPS view status output apan dili ma-reboot o ma-zeroize ang device.
Unsa ang Gidahom sa Tanan nga mga Gumagamit sa FIPS
Ang tanang tiggamit sa FIPS, lakip ang Security Administrator, kinahanglang mosunod sa mga giya sa seguridad sa tanang panahon. Ang tanan nga mga tiggamit sa FIPS kinahanglan nga: · Itago ang tanan nga mga password nga kompidensyal. · Pagtipig mga aparato ug dokumentasyon sa usa ka luwas nga lugar. · I-deploy ang mga aparato sa luwas nga mga lugar. · Susihon ang pag-audit files matag karon ug unya.
15
· Pagpahiuyon sa tanan nga uban nga FIPS 140-3 nga mga lagda sa seguridad. · Sunda kini nga mga giya:
· Gisaligan ang mga tiggamit. · Ang mga tiggamit nagsunod sa tanan nga mga panudlo sa seguridad. · Ang mga tiggamit dili tinuyo nga ikompromiso ang seguridad. · Ang mga tiggamit molihok nga responsable sa tanang panahon.
KAUGNAY NGA DOKUMENTASYON Pag-zeroize sa Sistema | 25 Pag-configure sa Security Administrator ug FIPS User Identification ug Access | 30
Pagsabut sa Operational Environment alang sa Junos OS sa FIPS Mode
NIINING SEKSYON Hardware Environment para sa Junos OS sa FIPS Mode | 16 Software Environment para sa Junos OS sa FIPS Mode | 16 Mga Kritikal nga Parameter sa Seguridad | 17
Ang Juniper Networks device nga nagpadagan sa Junos operating system (Junos OS) sa FIPS mode nagporma og espesyal nga matang sa hardware ug software operational environment nga lahi sa environment sa device sa non-FIPS mode:
16
Hardware Environment para sa Junos OS sa FIPS Mode
Ang Junos OS sa FIPS mode nagtukod ug cryptographic nga utlanan sa device nga walay kritikal nga security parameters (CSPs) nga makatabok gamit ang plain text. Ang matag hardware component sa device nga nagkinahanglan og cryptographic boundary para sa FIPS 140-3 compliance kay lahi nga cryptographic module. Adunay duha ka matang sa hardware nga adunay cryptographic nga mga utlanan sa Junos OS sa FIPS mode: usa alang sa matag Routing Engine ug usa alang sa tibuok chassis. Ang mga pamaagi sa cryptographic dili kapuli sa pisikal nga seguridad. Ang hardware kinahanglan nga nahimutang sa usa ka luwas nga pisikal nga palibot. Ang mga tiggamit sa tanang matang kinahanglang dili magpadayag sa mga yawe o password, o motugot sa sinulat nga mga rekord o mga nota nga makita sa dili awtorisado nga mga kawani.
Software Environment para sa Junos OS sa FIPS Mode
Usa ka aparato sa Juniper Networks nga nagpadagan sa Junos OS sa FIPS mode nagporma usa ka espesyal nga tipo sa dili mabag-o nga palibot sa operasyon. Aron makab-ot kini nga palibot sa aparato, gipugngan sa sistema ang pagpatuman sa bisan unsang binary file dili kana bahin sa sertipikado nga pag-apod-apod sa Junos OS. Kung ang usa ka aparato naa sa mode nga FIPS, mahimo ra nga magamit ang Junos OS. Ang Junos OS sa FIPS mode software environment naestablisar human ang Security Administrator malampuson nga makahimo sa FIPS mode sa usa ka device. Ang Junos OS image nga naglakip sa FIPS mode anaa sa Juniper Networks website ug mahimong ma-install sa usa ka naglihok nga aparato. Alang sa pagsunod sa FIPS 140-3, among girekomenda nga tangtangon ang tanan nga gibuhat sa tiggamit files ug data gikan sa (zeroizing) sa sistema diha-diha dayon human sa pagpagana sa FIPS mode. Ang pagpagana sa FIPS mode nagpugong sa kadaghanan sa naandan nga mga protocol ug serbisyo sa Junos OS. Sa partikular, dili nimo ma-configure ang mosunod nga mga serbisyo sa Junos OS sa FIPS mode: · tudlo · ftp · rlogin · telnet · tftp · xnm-clear-text Ang mga pagsulay sa pag-configure niini nga mga serbisyo, o pag-load sa mga configuration uban niini nga mga serbisyo nga gi-configure, moresulta sa usa ka configuration sayop nga syntax.
17
Mahimo nimong gamiton ang SSH isip usa ka serbisyo sa pag-access sa layo. Ang tanan nga mga password nga gitukod alang sa mga tiggamit pagkahuman sa pag-upgrade sa Junos OS sa FIPS mode kinahanglan nga mahiuyon sa Junos OS sa mga detalye sa FIPS mode. Ang mga password kinahanglang tali sa 10 ug 20 ka mga karakter ang gitas-on ug nagkinahanglan sa paggamit sa labing menos tulo sa lima ka mga set sa karakter (uppercase ug lowercase nga mga letra, mga digit, punctuation marks, ug mga karakter sa keyboard, sama sa % ug &, nga wala maapil sa lain. upat ka mga kategorya). Ang mga pagsulay sa pag-configure sa mga password nga wala mahiuyon sa kini nga mga lagda moresulta sa usa ka sayup. Ang tanan nga mga password ug mga yawe nga gigamit sa pag-authenticate sa mga kauban kinahanglan labing menos 10 ka mga karakter ang gitas-on, ug sa pipila ka mga kaso ang gitas-on kinahanglan nga motakdo sa gidak-on sa digest.
NOTE: Ayaw i-attach ang device ngadto sa network hangtud nga ikaw, ang Security Administrator, makompleto ang configuration gikan sa local console connection.
Alang sa higpit nga pagsunod, ayaw susiha ang impormasyon sa core ug crash dump sa lokal nga console sa Junos OS sa FIPS mode tungod kay ang ubang mga CSP mahimong ipakita sa yano nga teksto.
Mga Kritikal nga Parameter sa Seguridad
Ang mga kritikal nga parametro sa seguridad (CSPs) mao ang impormasyon nga may kalabotan sa seguridad sama sa cryptographic nga mga yawe ug mga password nga mahimong ikompromiso ang seguridad sa cryptographic module o ang seguridad sa impormasyon nga giprotektahan sa module kung kini ibutyag o giusab.
Ang pag-zero sa sistema nagwagtang sa tanang mga bakas sa CSP agig pagpangandam sa pag-operate sa device o Routing Engine isip cryptographic module.
Ang talaan 2 sa pahina 17 naglista sa mga CSP sa device nga nagpadagan sa Junos OS.
Talaan 2: Mga Kritikal nga Parameter sa Seguridad
CSP
Deskripsyon
Zeroization
Paggamit
pamaagi
SSH-2 pribado nga host yawe
Ang ECDSA / RSA nga yawe nga gigamit sa pag-ila sa host, namugna sa unang higayon nga ang SSH na-configure.
Zeroize nga sugo. Gigamit sa pag-ila sa host.
18
Talaan 2: Mga Kritikal nga Parameter sa Seguridad (Gipadayon)
CSP
Deskripsyon
Zeroization
Paggamit
pamaagi
SSH-2 nga yawe sa sesyon
Ang yawe sa sesyon nga gigamit sa SSHv2 ug isip usa ka pribadong yawe sa Diffie-Hellman.
Encryption: AES-128, AES-256.
Siklo sa kuryente ug tapuson ang sesyon.
Symmetric nga yawe nga gigamit sa pag-encrypt sa datos tali sa host ug kliyente.
MACs: HMAC-SHA-1, HMACSHA-2-256,HMAC-SHA2-512.
Key exchange: dh-group14-sha1, ECDHsha2-nistp256, ECDH-sha2-nistp384, ug ECDH-sha2-nistp521.
Pagpamatuod sa user Hash sa password sa user: SHA-256,
yawe
SHA-512.
Zeroize nga sugo.
Gigamit sa pag-authenticate sa usa ka user sa cryptographic module.
Yawe sa panghimatuud sa Security Administrator
Hash sa password sa Security Administrator: SHA-256, SHA-512.
Zeroize nga sugo.
Gigamit sa pag-authenticate sa Security Administrator sa cryptographic module.
HMAC DRBG seed Seed para sa deterministic randon bit generator (DRBG).
Ang liso wala gitipigan sa cryptographic module.
Gigamit alang sa pagpugas sa DRBG.
HMAC DRBG V nga kantidad
Ang bili (V) sa output block nga gitas-on (outlen) sa mga bit, nga gina-update sa matag higayon nga laing outlen bits sa output ang magama.
Siklo sa kuryente.
Usa ka kritikal nga kantidad sa internal nga kahimtang sa DRBG.
HMAC DRBG yawe nga bili
Ang kasamtangan nga bili sa outlen-bit key, nga gi-update labing menos kausa sa matag higayon nga ang DRBG nga mekanismo makamugna og pseudorandom bits.
Siklo sa kuryente.
Usa ka kritikal nga kantidad sa internal nga kahimtang sa DRBG.
19
Talaan 2: Mga Kritikal nga Parameter sa Seguridad (Gipadayon)
CSP
Deskripsyon
NDRNG entropy
Gigamit isip entropy input string sa HMAC DRBG.
Zeroization nga pamaagi
Siklo sa kuryente.
Paggamit
Usa ka kritikal nga kantidad sa internal nga kahimtang sa DRBG.
Sa Junos OS sa FIPS mode, ang tanang CSPs kinahanglang mosulod ug mobiya sa cryptographic module sa encrypted nga porma. Ang bisan unsang CSP nga gi-encrypt nga adunay dili aprobahan nga algorithm giisip nga yano nga teksto sa FIPS.
Ang mga lokal nga password gi-hash gamit ang luwas nga hash algorithm SHA-256, o SHA-512. Ang pagbawi sa password dili mahimo sa Junos OS sa FIPS mode. Ang Junos OS sa FIPS mode dili maka-boot sa single-user mode nga walay husto nga root password.
KAUGNAY NGA DOKUMENTASYON Pagsabot sa Mga Ispesipikasyon sa Password ug Mga Giya alang sa Junos OS sa FIPS Mode | 19 Pagsabot sa Zeroization aron Hawan ang System Data para sa FIPS Mode | 23
Pagsabut sa Mga Ispesipikasyon sa Password ug Mga Giya alang sa Junos OS sa FIPS Mode
Siguroa nga ang device anaa sa FIPS mode sa dili pa nimo i-configure ang Security Administrator o bisan kinsa nga tiggamit. Ang tanan nga mga password nga gi-establisar alang sa mga tiggamit sa Security Administrator kinahanglan nga mosunod sa mosunod nga Junos OS sa mga kinahanglanon sa FIPS mode. Ang mga pagsulay sa pag-configure sa mga password nga wala mahiuyon sa mga mosunud nga detalye nagresulta sa usa ka sayup. · Gitas-on. Ang mga password kinahanglan adunay labing menos 10 ka karakter. · Mga kinahanglanon sa set sa karakter. Ang mga password kinahanglan adunay labing menos tulo sa mosunod nga lima nga gipasabut
mga set sa karakter: · Uppercase nga mga letra · Lowercase nga mga letra · Mga Digit
20
· Punctuation marks · Mga karakter sa keyboard nga wala maapil sa laing upat ka set–sama sa percent sign (%) ug ang
ampersand (&) · Mga kinahanglanon sa authentication. Ang tanan nga mga password ug mga yawe nga gigamit sa pag-authenticate sa mga kauban kinahanglan adunay sulod sa
labing menos 10 ka mga karakter, ug sa pipila ka mga kaso ang gidaghanon sa mga karakter kinahanglan nga motakdo sa gidak-on sa digest. · Pag-encrypt sa password: Aron usbon ang default nga pamaagi sa pag-encrypt (SHA512) iapil ang format
pahayag sa [edit system login password] hierarchy level. Mga panudlo alang sa lig-on nga mga password. Ang lig-on, magamit pag-usab nga mga password mahimong ibase sa mga letra gikan sa paborito nga hugpong sa mga pulong o pulong ug dayon idugtong sa ubang wala'y kalabutan nga mga pulong, uban ang dugang nga mga numero ug punctuation. Sa kinatibuk-an, ang lig-on nga password mao ang: · Sayon nga hinumdoman aron ang mga tiggamit dili matintal sa pagsulat niini. · Gilangkob sa nagkasagol nga alphanumeric nga mga karakter ug punctuation. Alang sa pagsunod sa FIPS naglakip sa labing menos
usa ka pagbag-o sa kaso, usa o daghang mga numero, ug usa o daghan pa nga mga punctuation mark. · Gibag-o matag karon ug unya. · Dili ibutyag ni bisan kinsa. Mga kinaiya sa huyang nga mga password. Ayaw gamita ang mosunod nga huyang nga mga password: · Mga pulong nga mahimong makit-an sa o anaa isip usa ka permute nga porma sa usa ka sistema filesama sa /etc/passwd. · Ang hostname sa sistema (kanunay nga tagna). · Bisan unsang pulong o hugpong sa mga pulong nga makita sa usa ka diksyonaryo o uban pang nailhan nga gigikanan, lakip ang mga diksyonaryo
ug mga thesaurus sa mga pinulongan gawas sa English; mga buhat sa klasikal o sikat nga mga magsusulat; o komon nga mga pulong ug hugpong sa mga pulong gikan sa sports, panultihon, salida o salida sa telebisyon. · Mga permutasyon sa bisan unsa sa ibabaw–alang sa example, usa ka pulong sa diksyonaryo nga adunay mga letra nga gipulihan sa mga digit (gamut) o adunay mga digit nga gidugang sa katapusan. · Bisan unsang password nga hinimo sa makina. Ang mga algorithm nagpamenos sa luna sa pagpangita sa mga programa sa pagtag-an sa password ug busa kinahanglan dili gamiton.
KAUGNAY NGA DOKUMENTASYON Pagsabot sa Operational Environment para sa Junos OS sa FIPS Mode | 15
21
Pag-download sa Mga Pakete sa Software gikan sa Juniper Networks
Mahimo nimong i-download ang Junos OS software package gikan sa Juniper Networks website. Sa dili ka pa magsugod sa pag-download sa software, siguroha nga ikaw adunay Juniper Networks Web account ug usa ka balido nga kontrata sa suporta. Para makakuha ug account, kompletoha ang registration form sa Juniper Networks website: https://userregistration.juniper.net/. Sa pag-download sa mga software packages gikan sa Juniper Networks: 1. Gamit ang a Web browser, sunda ang mga link sa pag-download URL sa Juniper Networks webpanid.
https://support.juniper.net/support/downloads/ 2. Log in to the Juniper Networks authentication system using the username (generally your e-mail
address) ug password nga gihatag sa mga representante sa Juniper Networks. 3. I-download ang software. Tan-awa ang Pag-download sa Software.
KAUGNAY NGA DOKUMENTASYON I-install ang Junos OS Software Package | 21
I-install ang Junos OS Software Package
Mahimo nimong gamiton kini nga pamaagi aron ma-upgrade ang Junos OS sa aparato nga adunay usa ka Routing Engine.
PAHINUMDOM: Ang Junos OS gihatag sa gipirmahan nga mga pakete nga adunay mga digital nga pirma aron masiguro nga ang Juniper Networks software nagdagan. Kung gi-install ang mga pakete sa software, gipamatud-an sa Junos OS ang mga pirma ug ang publiko nga yawe nga mga sertipiko nga gigamit sa digital nga pagpirma sa mga pakete sa software. Kung ang pirma o sertipiko makita nga dili balido (alang sa exampug, kung ang panahon sa pagkabalido sa sertipiko natapos na o dili mapamatud-an batok sa gamut nga CA nga gitipigan sa internal nga tindahan sa Junos OS), ang proseso sa pag-install napakyas.
Aron i-install ang mga pag-upgrade sa software sa imong device gamit ang usa ka Routing Engine: 1. I-download ang software package sama sa gihulagway sa “Pag-download sa Software Packages gikan sa Juniper
Networks ” sa panid 21.
22
2. Kon wala pa nimo kini mahimo, sumpaysumpaya ang console port sa device gikan sa imong management device, ug log in sa Junos OS CLI.
3. (Opsyonal) I-back up ang kasamtangan nga configuration sa software ngadto sa ikaduhang opsyon sa storage. Tan-awa ang Giya sa Pag-install ug Pag-upgrade sa Junos OS alang sa mga panudlo sa paghimo niini nga buluhaton.
4. (Opsyonal) Kopyaha ang software package ngadto sa device. Among girekomendar nga imong gamiton ang FTP aron kopyahon ang file ngadto sa /var/tmp/ direktoryo. Opsyonal kini nga lakang tungod kay ang Junos OS mahimo usab nga ma-upgrade kung ang imahe sa software gitipigan sa usa ka hilit nga lokasyon. Kini nga mga panudlo naghulagway sa proseso sa pag-upgrade sa software alang sa duha ka mga senaryo.
5. I-install ang bag-ong package sa device:
user@host> hangyo sa software sa sistema sa pagdugang package
Ilisan ang package og usa sa mosunod nga mga dalan: · Para sa software package sa lokal nga direktoryo sa device, gamita ang /var/tmp/package.tgz.
· Para sa software package sa remote server, gamita ang usa sa mosunod nga mga dalan, ilisan ang package sa software package name. · ftp://hostname/pathname/package.tgz
· http://hostname/pathname/package.tgz
PAHINUMDOM: Kung kinahanglan nimo nga tapuson ang pag-install, ayaw pag-reboot sa imong aparato; hinoon, tapusa ang pag-instalar ug dayon i-isyu ang request system software delete package.tgz command. Kini ang imong kataposang higayon sa paghunong sa pag-instalar.
6. I-reboot ang device aron ma-load ang instalasyon ug sugdi ang bag-ong software:
user@host> hangyo nga i-reboot ang sistema
7. Human makompleto ang pag-reboot, pag-log in ug gamita ang show version command aron mapamatud-an nga ang bag-ong bersyon sa software malampuson nga na-install.
user@host> ipakita ang bersyon Hostname: hostname Model: ex4400-24t Junos: 22.3R3.5 JUNOS OS Kernel 64-bit [20220603.3f9a7bb_builder_stable_12_214] JUNOS OS libs [20220603.3f9a7bb_builder]
23
JUNOS OS runtime [20220603.3f9a7bb_builder_stable_12_214] JUNOS OS time zone information [20220603.3f9a7bb_builder_stable_12_214] JUNOS OS libs compat32 [20220603.3f_OS9 compat7]12f_OS214 atibility [32f20220603.3a9bb_builder_stable_7_12] JUNOS py extensions [214_builder_junos_20220719.195034_r214] JUNOS py base [3_builder_junos_20220719.195034] ex config [214_builder_junos_3_r20220719.195034] JUNOS OS EFI runtime [214f3a20220603.3bb_builder_stable_9_7] JUNOS OS crypto [12f214a20220603.3bb_builder_OS9 boot files [20220603.3f9a7bb_builder_stable_12_214] JUNOS OS EFI boot files [20220603.3f9a7bb_builder_stable_12_214] JUNOS network stack ug utilities [20220719.195034_builder_junos_214_r3] JUNOS libs [20220719.195034_214_builder_3rbs_32 20220719.195034_builder_junos_214_r3] JUNOS runtime [20220719.195034_builder_junos_214_r3] JUNOS ug telemetry [22.3R3.5] JUNOS Web Management Platform Package [20220719.195034_builder_junos_214_r3] JUNOS ex runtime [20220719.195034_builder_junos_214_r3] Pagsabot sa Zeroization aron Hawan ang Data sa Sistema alang sa FIPS Mode
NIINING SEKSYON
Nganong Zeroize? | 24 Kanus-a ang Zeroize? | 24
Ang Zeroization hingpit nga nagwagtang sa tanang impormasyon sa configuration sa Routing Engines, lakip ang tanang plaintext nga mga password, mga sekreto, ug pribadong mga yawe alang sa SSH, lokal nga pag-encrypt, lokal nga pag-ila, ug IPsec.
Ang Administrator sa Seguridad nagsugod sa proseso sa pag-zero pinaagi sa pagsulod sa sistema sa hangyo nga zeroize ang operational nga sugo gikan sa CLI human ma-enable ang FIPS mode. Ang paggamit niini nga sugo kay limitado lamang sa Security Administrator.
24
PAHINUMDOM: Buhata ang pag-zero sa sistema uban ang pag-amping. Pagkahuman sa proseso sa pag-zero, wala’y nahabilin nga datos sa Routing Engine. Ang device ibalik sa factory default state, nga walay bisan unsa nga configured user o configuration files. Ang pag-zero mahimong makagugol sa panahon. Bisan kung ang tanan nga mga pag-configure gikuha sa pipila ka mga segundo, ang proseso sa pag-zero nagpadayon aron ma-overwrite ang tanan nga media, nga mahimo’g magkinahanglan daghang oras depende sa gidak-on sa media.
Nganong Zeroize?
Ang imong device dili isipa nga balido nga FIPS cryptographic module hangtud ang tanang kritikal nga mga parameter sa seguridad (CSPs) nasulod na–o gisulod pag-usab–samtang ang device anaa sa FIPS mode. Para sa FIPS 140-3 nga pagsunod, ang bugtong paagi sa paggawas gikan sa FIPS mode mao ang pag-zero sa TOE.
Kanus-a ang Zeroize?
Isip Security Administrator, paghimo og zeroization sa mosunod nga mga sitwasyon: · Sa dili pa I-enable ang FIPS mode of operation: Aron maandam ang imong device para sa operasyon isip FIPS
cryptographic module, paghimo og zeroization sa dili pa i-enable ang FIPS mode. · Sa dili pa mag-repurposing sa non-FIPS mode of operation: Aron sugdan pag-usab ang imong device para sa non-FIPS
mode sa operasyon, paghimo sa zeroization sa device.
PAHINUMDOM: Ang Juniper Networks dili mosuporta sa pag-instalar sa non-FIPS software sa usa ka FIPS environment, apan ang pagbuhat niini mahimong gikinahanglan sa pipila ka test environment. Siguruha nga i-zeroize una ang sistema.
KAUGNAY NGA DOKUMENTASYON Pagpa-enable sa FIPS Mode | 26
25
Pag-zero sa Sistema
Ang imong device dili isipa nga balido nga FIPS cryptographic module hangtud ang tanang kritikal nga mga parameter sa seguridad (CSPs) nasulod na–o gisulod pag-usab–samtang ang device anaa sa FIPS mode. Alang sa pagsunod sa FIPS 140-3, kinahanglan nimo nga i-zeroize ang sistema aron makuha ang sensitibo nga kasayuran sa dili pa i-disable ang FIPS mode sa aparato. Isip Security Administrator, imong gipadagan ang request system nga zeroize nga command aron tangtangon ang tanang binuhat sa user files gikan sa usa ka device ug pulihan ang data sa user og mga zero. Kini nga sugo hingpit nga nagpapas sa tanang impormasyon sa configuration sa Routing Engines, lakip ang tanang rollback configuration files ug plain-text nga mga password, sekreto, ug pribado nga mga yawe para sa SSH, lokal nga encryption, lokal nga authentication, ug IPsec. Aron ma-zeroize ang imong device:
PAHINUMDOM: Buhata ang pag-zero sa sistema uban ang pag-amping. Pagkahuman sa proseso sa pag-zero, wala’y nahabilin nga datos sa Routing Engine. Ang device ibalik sa factory default state, nga walay bisan unsa nga configured user o configuration files.
1. Gikan sa CLI, pagsulod
gamut@host> hangyo nga sistema sa zeroize nga pasidaan: Ang sistema i-reboot ug mahimong dili mag-boot kung wala’y pag-configure Papasa ang tanan nga datos, lakip ang pagsumpo ug pag-log files? [oo, dili] (dili) 2. Aron masugdan ang proseso sa pag-zero, i-type ang oo sa aghat:
Papasa ang tanang data, lakip ang configuration ug log files? [oo, dili] (dili) oo pasidaan: zeroizing localre
Ang tibuok nga operasyon mahimong magdugay depende sa gidak-on sa media, apan ang tanang kritikal nga mga parameter sa seguridad (CSPs) gikuha sulod sa pipila ka segundo. Ang pisikal nga palibot kinahanglan magpabilin nga luwas hangtod makompleto ang proseso sa pag-zero.
KAUGNAY NGA DOKUMENTASYON Pagpa-enable sa FIPS Mode | 26 Pagsabot sa Zeroization aron Hawan ang System Data para sa FIPS Mode | 23
26
Pag-enable sa FIPS Mode
Ang FIPS mode dili awtomatik nga mahimo kung imong gi-install ang Junos OS sa aparato. Isip Administrator sa Seguridad, kinahanglan nimo nga dayag nga palihokon ang mode nga FIPS sa aparato pinaagi sa pagtakda sa lebel sa FIPS sa 1 (usa), ang lebel sa FIPS 140-3 kung diin gipamatud-an ang mga aparato. Ang usa ka himan diin ang FIPS mode wala ma-enable adunay usa ka FIPS lebel nga 0 (zero).
PAHINUMDOM: Aron mabalhin ngadto sa FIPS mode, ang mga password kinahanglang ma-encrypt gamit ang FIPS-compliant hash algorithm. Ang format sa pag-encrypt kinahanglan SHA-256 o mas taas pa. Ang mga password nga wala makatuman niini nga kinahanglanon, sama sa mga password nga gi-hash sa MD5, kinahanglang i-configure pag-usab o tangtangon gikan sa configuration sa dili pa ma-enable ang FIPS mode.
Aron mahimo ang FIPS mode sa Junos OS sa device: 1. Pagsulod sa configuration mode:
gamut@host> i-configure Pagsulod sa configuration mode [edit] gamut@host#
2. I-enable ang FIPS mode sa device pinaagi sa pag-set sa FIPS level ngadto sa 1, ug susiha ang level:
[edit] gamut@host# set system fips level 1
[edit] gamut@host#show system fips {
lebel 1; }
3. Itugyan ang configuration:
27
PAHINUMDOM: Kung ang terminal sa aparato magpakita sa mga mensahe sa sayup bahin sa presensya sa mga kritikal nga parameter sa seguridad (CSPs), kuhaa ang mga CSP, ug dayon i-commit ang configuration.
root@host# commit configuration check milampos [edit] 'system' reboot ang gikinahanglan aron mabalhin ngadto sa FIPS level 1
kompleto ang commit
4. I-reboot ang device:
[edit] root@host# run request system reboot I-reboot ang sistema ? [oo, dili] (dili) oo
Atol sa reboot, ang device nagpadagan sa Known Answer Tests (KATS). Nagbalik kini usa ka prompt sa pag-login:
PAHINUMDOM: Ang bag-ong hash algorithm makaapekto lamang sa mga password nga namugna human sa commit.
@ 1556787428 mgd magsugod Paghimo og inisyal nga configuration: … mgd: Pagdagan FIPS Self-tests mgd: Pagsulay sa kernel KATS: mgd: NIST 800-90 HMAC DRBG Nailhan nga Tubag Test: mgd: DES3-CBC Nailhan nga Tubag Test: mgd: HMAC-SHA1 Nailhan nga Tubag Pagsulay: mgd: HMAC-SHA2-256 Nailhan nga Tubag Pagsulay: mgd: SHA-2-384 Nailhan nga Tubag Pagsulay: mgd: SHA-2-512 Nailhan nga Tubag Pagsulay: mgd: AES128-CMAC Nailhan nga Tubag Pagsulay: mgd: AES-CBC Nailhan Pagsulay sa Tubag: mgd: Pagsulay sa MACSec KATS: mgd: AES128-CMAC Nailhan nga Tubag Pagsulay: mgd: AES256-CMAC Nailhan nga Tubag Pagsulay: mgd: AES-ECB Nailhan nga Tubag Pagsulay: mgd: AES-KEYWRAP Nailhan nga Tubag Pagsulay:
Pasado Pasado Pasado Pasado Pasado Pasado Pasado Pasado
Pasado Pasado Pasado Pasado
28
mgd: KBKDF Known Answer Test: mgd: Testing libmd KATS: mgd: HMAC-SHA1 Known Answer Test: mgd: HMAC-SHA2-256 Known Answer Test: mgd: SHA-2-512 Known Answer Test: mgd: Testing OpenSSL v1.0.2. 800 KATS: mgd: NIST 90-3 HMAC DRBG Known Answer Test: mgd: FIPS ECDSA Known Answer Test: mgd: FIPS ECDH Known Answer Test: mgd: FIPS RSA Known Answer Test: mgd: DES1-CBC Known Answer Test: mgd: HMAC-SHA2 Nailhan nga Tubag Pagsulay: mgd: HMAC-SHA224-2 Nailhan nga Tubag Pagsulay: mgd: HMAC-SHA256-2 Nahibal-an nga Tubag Pagsulay: mgd: HMAC-SHA384-2 Nahibal-an nga Tubag Pagsulay: mgd: HMAC-SHA512-1 Nailhan nga Pagsulay sa Tubag : mgd: AES-CBC Nahibal-an nga Tubag Pagsulay: mgd: AES-GCM Nailhan nga Tubag Pagsulay: mgd: ECDSA-SIGN Nailhan nga Tubag Pagsulay: mgd: KDF-IKE-V256 Nailhan nga Tubag Pagsulay: mgd: KDF-SSH-SHA800 Nailhan nga Tubag Pagsulay: mgd: KAS-ECC-EPHEM-UNIFIED-NOKC Nailhan nga Tubag Pagsulay: mgd: KAS-FFC-EPHEM-NOKC Nailhan nga Tubag Pagsulay: mgd: Pagsulay OpenSSL KATS: mgd: NIST 90-3 HMAC DRBG Nailhan nga Tubag Pagsulay: mgd: FIPS ECDSA Nahibal-an nga Pagsulay sa Tubag: mgd: FIPS ECDH Nailhan nga Pagsulay sa Tubag: mgd: FIPS RSA Nailhan nga Pagsulay sa Tubag: mgd: DES1-CBC Nailhan nga Pagsulay sa Tubag: mgd: HMAC-SHA2 Nailhan nga Pagsulay sa Tubag: mgd: HMAC-SHA224-2 Nailhan nga Pagsulay sa Tubag: mgd : HMAC-SHA256-2 Nailhan nga Tubag Pagsulay: mgd: HMAC-SHA384-2 Nailhan nga Tubag Pagsulay: mgd: HMAC-SHA512-1 Nailhan nga Tubag Pagsulay: mgd: AES-CBC Nailhan nga Tubag Pagsulay: mgd: AES-GCM Nailhan nga Tubag Pagsulay: mgd: ECDSA-SIGN Nailhan nga Tubag Pagsulay: mgd: KDF-IKE-V256 Nailhan nga Tubag Pagsulay: mgd: KDF-SSH-SHA7.0 Nailhan nga Tubag Pagsulay: mgd: KAS-ECC-EPHEM-UNIFIED-NOKC Nailhan nga Tubag Pagsulay: mgd: KAS- FFC-EPHEM-NOKC Nailhan nga Pagsulay sa Tubag: mgd: Pagsulay sa QuickSec 800 KATS: mgd: NIST 90-XNUMX HMAC DRBG Nailhan nga Pagsulay sa Tubag:
Nakapasar
Pasado Pasado Pasado
Pasado Pasado Pasado Pasado Pasado Pasado Pasado Pasado Pasado Pasado Pasado Pasado Pasado Pasado Pasado Pasado Pasado Pasado Pasado Pasado Pasado Pasado Pasado Pasado Pasado Pasado Pasado Pasado Pasado Pasado Pasado Pasado Pasado Pasado Pasado Pasadad
Pasado Pasado Pasado Pasado Pasado Pasado Pasado Pasado Pasado Pasado Pasado Pasado Pasado Pasado Pasado Pasado Pasado Pasado Pasado Pasado Pasado Pasado Pasado Pasado Pasado Pasado Pasado Pasado Pasado Pasado Pasado Pasado Pasado Pasado Pasado Pasadad
Nakapasar
29
mgd: DES3-CBC Nailhan nga Tubag Pagsulay: mgd: HMAC-SHA1 Nailhan nga Tubag Pagsulay: mgd: HMAC-SHA2-224 Nailhan nga Tubag Pagsulay: mgd: HMAC-SHA2-256 Nailhan nga Tubag Pagsulay: mgd: HMAC-SHA2-384 Nailhan nga Tubag Pagsulay : mgd: HMAC-SHA2-512 Nahibal-an nga Tubag Pagsulay: mgd: AES-CBC Nailhan nga Tubag Pagsulay: mgd: AES-GCM Nailhan nga Tubag Pagsulay: mgd: SSH-RSA-ENC Nailhan nga Tubag Pagsulay: mgd: SSH-RSA-SIGN Nailhan nga Tubag Pagsulay: mgd: SSH-ECDSA-SIGN Nailhan nga Tubag Pagsulay: mgd: KDF-IKE-V1 Nailhan nga Tubag Pagsulay: mgd: KDF-IKE-V2 Nailhan nga Tubag Pagsulay: mgd: Pagsulay sa QuickSec KATS: mgd: NIST 800-90 HMAC DRBG Nailhan Pagsulay sa Tubag: mgd: DES3-CBC Nailhan nga Pagsulay sa Tubag: mgd: HMAC-SHA1 Nailhan nga Pagsulay sa Tubag: mgd: HMAC-SHA2-224 Nailhan nga Pagsulay sa Tubag: mgd: HMAC-SHA2-256 Nailhan nga Pagsulay sa Tubag: mgd: HMAC-SHA2-384 Nahibal-an nga Pagsulay sa Tubag: mgd: HMAC-SHA2-512 Nailhan nga Pagsulay sa Tubag: mgd: AES-CBC Nailhan nga Pagsulay sa Tubag: mgd: AES-GCM Nailhan nga Pagsulay sa Tubag: mgd: SSH-RSA-ENC Nailhan nga Pagsulay sa Tubag: mgd: SSH-RSA- SIGN Known Answer Test: mgd: KDF-IKE-V1 Known Answer Test: mgd: KDF-IKE-V2 Known Answer Test: mgd: Testing SSH IPsec KATS: mgd: NIST 800-90 HMAC DRBG Known Answer Test: mgd: DES3- CBC Nailhan nga Tubag Pagsulay: mgd: HMAC-SHA1 Nahibal-an nga Tubag Pagsulay: mgd: HMAC-SHA2-256 Nahibal-an nga Tubag Pagsulay: mgd: AES-CBC Nailhan nga Tubag Pagsulay: mgd: SSH-RSA-ENC Nailhan nga Tubag Pagsulay: mgd: SSH-RSA -SIGN Nailhan nga Tubag Pagsulay: mgd: KDF-IKE-V1 Nailhan nga Tubag Pagsulay: mgd: Pagsulay file integridad: mgd: File integridad Nailhan nga Tubag Pagsulay: mgd: Pagsulay sa crypto integridad: mgd: Crypto integridad Nailhan nga Tubag Pagsulay:
Pasado Pasado Pasado Pasado Pasado Pasado Pasado Pasado Pasado Pasado Pasado Pasado Pasado Pasado
Pasado Pasado Pasado Pasado Pasado Pasado Pasado Pasado Pasado Pasado Pasado Pasado Pasado Pasado
Pasado Pasado Pasado Pasado Pasado Pasado Pasado Pasado
Nakapasar
Nakapasar
30
Log in sa device. Ang CLI nagpakita sa usa ka bandila nga gisundan sa usa ka prompt nga naglakip sa ": fips":
— JUNOS 22.3R1-20190716 gitukod 2019-12-29 04:12:22 UTC gamut@host:fips> 5. I-reboot pag-usab ang device aron ibalik ang HMAC-DRBG isip aktibong random adapter:
[edit] root@host# run request system reboot I-reboot ang sistema ? [oo, dili] (dili) oo Atol sa reboot, ang device nagpadagan sa Known Answer Tests (KATS) sama sa gipakita sa lakang 4. Nagbalik kini og login prompt:
— JUNOS 22.3R1-20190716 gitukod 2019-12-29 04:12:22 UTC gamut@host: fips> 6. Human makompleto ang reboot, pag-log in ug gamita ang show version local command aron mapamatud-an.
NOTE: Gamita ang "lokal" nga keyword para sa operational commands sa FIPS mode. Kay example, ipakita ang bersyon sa lokal, ug ipakita ang sistema sa oras nga lokal.
Pag-configure sa Security Administrator ug FIPS User Identification ug Access
NIINING SEKSYON Pag-configure sa Security Administrator Login Access | 31 Pag-configure sa FIPS User Login Access | 32
31
Ang Administrator sa Seguridad ug mga tiggamit sa FIPS naghimo sa tanan nga mga buluhaton sa pag-configure alang sa Junos OS sa mode nga FIPS ug nag-isyu sa tanan nga Junos OS sa mga pahayag ug mga mando sa FIPS mode. Ang Administrator sa Seguridad ug ang mga pagsumpo sa tiggamit sa FIPS kinahanglan nga mosunod sa Junos OS sa mga giya sa FIPS mode.
Pag-configure sa Security Administrator Login Access
Ang Junos OS sa FIPS mode nagtanyag og mas maayo nga granularity sa mga permiso sa user kay sa gimando sa FIPS 140-3.
Alang sa pagsunod sa FIPS 140-3, bisan kinsa nga tiggamit sa FIPS nga adunay sekreto, seguridad, pagmentinar, ug pagkontrol sa mga bits sa pagtugot usa ka Security Administrator. Sa kadaghanan sa mga kaso ang super-user nga klase igo na alang sa Security Administrator.
Aron ma-configure ang pag-access sa pag-login alang sa usa ka Administrator sa Seguridad:
1. Log in sa device gamit ang root password kon wala pa nimo kini mahimo, ug pagsulod sa configuration mode:
gamut@host:fips> i-configure Pagsulod sa configuration mode [edit] root@host:fips#
2. Ngalan ang user og "security-administrator" ug assign ang Security Administrator og user ID (alang sa example, 6400) ug usa ka klase (alang sa example, super-user). Kung imong gi-assign ang klase, imong gi-assign ang mga permiso– kay example, sekreto, seguridad, pagmentinar, ug pagkontrol.
[edit] root@host:fips# set system login user crypto-officer uid 6400 class super-user
3. Pagsunod sa mga giya sa “Pagsabot sa Mga Ispesipikasyon sa Password ug Mga Giya alang sa Junos OS sa FIPS Mode” sa pahina 19, i-assign ang Security Administrator og plain-text nga password alang sa pag-authenticate sa pag-login. Itakda ang password pinaagi sa pag-type og password pagkahuman sa pag-aghat sa Bag-ong password ug I-type pag-usab ang bag-ong password.
[edit] root@host:fips# set system login user crypto-officer class super-user authentication plaintext-password
32
4. Opsyonal, ipakita ang configuration:
[edit] gamut@host:fips# edit system [edit system] gamut@host:fips# ipakita login {
tiggamit crypto-opisina { uid 6400; panghimatuud { encrypted-password " ”; ## SECRET-DATA } klase nga super-user;
}}
5. Kon nahuman ka sa pag-configure sa device, i-commit ang configuration ug exit:
[edit] gamut@host:fips# commit commit completeroot@host:fips# exit gamut@host:fips> exit
Kung dili, ipadayon ang "Pag-configure sa Pag-access sa Pag-login sa Gumagamit FIPS" sa panid 32.
Pag-configure sa FIPS User Login Access
Ang usa ka fips-user gihubit ingon nga bisan kinsa nga FIPS user nga walay sekreto, seguridad, pagmentinar, ug pagkontrol sa pagtugot bits set. Isip Security Administrator, imong gi-set up ang mga tiggamit sa FIPS.
Aron ma-configure ang pag-access sa pag-login alang sa usa ka user nga FIPS:
1. Log in sa device gamit ang imong Security Administrator password kon wala pa nimo kini mahimo, ug sulod sa configuration mode:
crypto-officer@host:fips> i-configure ang Pagsulod sa configuration mode
33
[edit] crypto-officer@host:fips#
2. Hatagi ang user og username, assign ang FIPS user og user ID (alang sa example, 6401) ug usa ka klase (alang sa example , read-only). Kung gi-assign nimo ang klase, gi-assign nimo ang mga permiso-alang sa example, klaro, i-configure, network, i-resetview, ug view-konfigurasyon.
[edit] crypto-officer@host:fips# set system login user fips-user1 uid 6401 class read-only
3. Pagsunod sa mga giya sa “Pagsabot sa Mga Ispesipikasyon sa Password ug Mga Giya alang sa Junos OS sa FIPS Mode” sa pahina 19, i-assign ang FIPS usa ka plain-text nga password alang sa pag-authenticate sa pag-login. Itakda ang password pinaagi sa pag-type og password pagkahuman sa pag-aghat sa Bag-ong password ug I-type pag-usab ang bag-ong password.
[edit] crypto-officer@host:fips# set system login user fips-user1 class operator authentication plain-text-password
4. Opsyonal, ipakita ang configuration:
[edit] crypto-officer@host:fips# edit system [edit system] crypto-officer@host:fips# show login {
user fips-user1 { uid 6401; panghimatuud { encrypted-password " ”; ## SECRET-DATA } read-only;
}}
5. Kon nahuman ka sa pag-configure sa device, i-commit ang configuration ug exit:
[edit] crypto-officer@host:fips# commit crypto-officer@host:fips> exit
34
KAUGNAY NGA DOKUMENTASYON Pagsabot sa Mga Papel ug Serbisyo para sa Junos OS sa Common Criteria ug FIPS | 13
3 KAPITULO
Pag-configure sa mga Kredensyal ug Pribilehiyo sa Administratibo
Pagsabut sa Kauban nga Mga Lagda sa Password alang sa Awtorisadong Administrator | 36
Pamaagi sa Authentication sa FIPS Mode of Operation | 38 Pag-configure sa usa ka Network Device collaborative Protection Profile para sa Awtorisado nga Administrator | 39 Ipasibo ang Oras | 41 Pag-configure sa Inactivity Timeout Period Configuration, ug Lokal ug Remote Idle Session Termination | 41
36
Pagsabut sa Kauban nga Mga Lagda sa Password alang sa Awtorisado nga Administrator
Ang awtorisado nga administrador nalangkit sa usa ka gitakda nga klase sa pag-login, ug ang tagdumala gi-assign uban ang tanang permiso. Ang datos gitipigan sa lokal nga paagi para sa pirmi nga password authentication.
PAHINUMDOM: Among girekomendar nga dili ka mogamit ug control character sa mga password.
Gamita ang mosunod nga mga giya ug mga opsyon sa pag-configure alang sa mga password ug sa pagpili sa mga password alang sa awtorisado nga mga account sa administrator. Ang mga password kinahanglan nga: · Sayon nga hinumdoman aron ang mga tiggamit dili matintal sa pagsulat niini. · Gibag-o matag karon ug unya. · Pribado ug dili ipaambit sa bisan kinsa. · Naglangkob sa labing gamay nga 10 ka mga karakter. Ang minimum nga gitas-on sa password kay 10 ka karakter. · Ilakip ang alphanumeric ug punctuation nga mga karakter, nga gilangkuban sa bisan unsang kombinasyon sa taas ug
gamay nga letra, numero, ug espesyal nga mga karakter sama sa, “!”, “@”, “#”, “$”, “%”, “^”, “&”, “*”, “(“, ug “) ”. Kinahanglan nga adunay labing menos usa ka pagbag-o sa usa ka kaso, usa o daghang mga numero, ug usa o daghang mga punctuation mark. · Naglangkob sa mga set sa karakter. Ang balido nga mga set sa karakter naglakip sa dagkong letra, gamay nga letra, numero, punctuation, ug uban pang espesyal nga karakter.
[ edit ] security-administrator@host# set system login password change-type character-sets
· Naglangkob sa labing gamay nga gidaghanon sa mga set sa karakter o mga pagbag-o sa set sa karakter. Ang minimum nga gidaghanon sa mga set sa karakter nga gikinahanglan sa plain-text nga mga password sa Junos FIPS mao ang 3.
[ edit ] security-administrator@host# set system login password minimum-changes 3
37
· Naglangkob sa minimum nga gidaghanon sa mga karakter nga gikinahanglan alang sa usa ka password. Sa kasagaran, ang mga password sa Junos OS kinahanglan labing menos 6 ka karakter ang gitas-on. Ang balido nga han-ay alang niini nga opsyon mao ang 10 ngadto sa 20 ka mga karakter.
[ edit ] security-administrator@host:fips# set system login password minimum-gitas-on 10
NOTE: Gisuportahan sa device ang ECDSA (P-256, P-384, ug P-521) ug RSA (2048, 3072, ug 4092 modulus bit length) nga mga key-type. [ edit ] administrator@host# set system login password format sha256
Ang mga huyang nga password mao ang: · Mga pulong nga mahimong makit-an sa o anaa isip usa ka permute nga porma sa usa ka sistema file sama sa /etc/passwd. · Ang hostname sa sistema (kanunay nga tagna). · Bisan unsang mga pulong nga makita sa usa ka diksyonaryo. Naglakip kini sa mga diksyonaryo gawas sa English, ug mga pulong nga nakit-an
sa mga buhat sama sa Shakespeare, Lewis Carroll, Roget's Thesaurus, ug uban pa. Kini nga pagdili naglakip sa komon nga mga pulong ug hugpong sa mga pulong gikan sa mga sports, panultihon, mga salida, ug mga salida sa telebisyon. · Mga permutasyon sa bisan unsa sa ibabaw. Kay example, usa ka pulong sa diksyonaryo nga adunay mga bokales nga gipulihan sa mga digit (alang sa example f00t) o uban ang mga digit nga gidugang sa katapusan. · Bisan unsang mga password nga hinimo sa makina. Ang mga algorithm nagpamenos sa luna sa pagpangita sa mga programa sa pagtag-an sa password ug busa dili angay gamiton. Ang lig-on nga magamit pag-usab nga mga password mahimong ibase sa mga letra gikan sa paborito nga hugpong sa mga pulong o pulong, ug dayon idugtong sa uban, wala'y kalabutan nga mga pulong, uban ang dugang nga mga numero ug punctuation.
NOTE: Ang mga password kinahanglang usbon matag karon ug unya.
KAUGNAY NGA DOKUMENTASYON Pag-ila sa Luwas nga Paghatud sa Produkto | 9
38
Pamaagi sa Authentication sa FIPS Mode of Operation
NIINING SEKSYON Username ug Password Authentication sa Console ug SSH | 38 Username ug Public Key Authentication sa SSH | 39
Ang Juniper Networks Junos operating system (Junos OS) nga nagdagan sa FIPS mode sa operasyon nagtugot sa usa ka halapad nga mga kapabilidad alang sa mga tiggamit, ug ang pag-authentication base sa pagkatawo. Ang mosunod nga mga matang sa pag-ila nga gibase sa pagkatawo gisuportahan sa FIPS mode sa operasyon:
Username ug Password Authentication sa Console ug SSH
Niini nga paagi sa pag-authenticate, ang user gihangyo nga mosulod sa username ug password pagkahuman sa pag-log in sa TOE. Gipatuman sa device ang user sa pagsulod sa minimum nga 10 ka karakter nga password nga gipili gikan sa 96 ka tawo nga mabasa sa ASCII nga mga karakter.
PAHINUMDOM: Ang pinakataas nga gitas-on sa password kay 20 ka karakter.
Niini nga pamaagi, ang aparato nagpatuman sa usa ka oras nga mekanismo sa pag-access-alang sa exampUna, duha ka napakyas nga pagsulay sa pagsulod sa husto nga password (nagtuo nga 0 ka oras sa pagproseso), wala’y gipatuman nga oras nga pag-access. Kung ang user mosulod sa password sa ikatulong higayon, ang module mopatuman ug 5-segundos nga paglangan. Ang matag pakyas nga pagsulay pagkahuman moresulta sa dugang nga 5-segundo nga paglangan labaw sa miaging napakyas nga pagsulay. Kay example, kung ang ikaupat nga napakyas nga pagsulay usa ka 10-segundos nga paglangan, nan ang ikalima nga napakyas nga pagsulay usa ka 15-segundos nga paglangan, ang ikaunom nga napakyas nga pagsulay usa ka 20-segundos nga paglangan, ug ang ikapito nga napakyas nga pagsulay usa ka 25-segundos nga paglangan. Busa, kini modala ngadto sa usa ka maximum sa pito ka posible nga pagsulay sa usa ka 1-minuto nga panahon alang sa matag getty aktibo nga terminal. Mao nga, ang labing kaayo nga pamaagi alang sa tig-atake mao ang pagdiskonekta pagkahuman sa 4 nga napakyas nga pagsulay, ug maghulat alang sa usa ka bag-ong getty nga mamugna. Kini magtugot sa tig-atake nga makahimo og halos 9.6 ka pagsulay kada minuto (576 ka pagsulay kada oras o 60 ka minuto). Kini ma-round off ngadto sa 9 nga pagsulay matag minuto, tungod kay wala'y butang nga 0.6 nga pagsulay. Busa ang kalagmitan sa usa ka malampuson nga random pagsulay mao ang 1/9610, nga ubos pa kay sa 1/1 milyon. Ang kalagmitan sa usa ka kalampusan uban sa daghang sunod-sunod nga mga pagsulay sa usa ka 1-minuto nga yugto mao ang 9/(9610), nga ubos pa kay sa 1/100,000.
39
Username ug Public Key Authentication sa SSH
Uban sa SSH public-key authentication, ang user naghatag sa username ug nagpamatuod sa pagpanag-iya sa pribadong yawe nga katumbas sa public key nga gitipigan sa server. Gisuportahan sa aparato ang ECDSA (P-256, P-384, ug P-521) ug RSA (2048-bit o mas taas tungod kay ang among pagpatuman sa RSA nagsunod sa 186-4). Ang kalagmitan sa usa ka kalampusan sa daghang sunod-sunod nga pagsulay sa usa ka 1-minuto nga yugto mao ang 5.6e7/(2128).
KAUGNAY NGA DOKUMENTASYON Pag-configure sa SSH sa Na-evaluate nga Configuration | 47
Pag-configure sa usa ka Network Device collaborative Protection Profile alang sa usa ka Awtorisadong Administrator
Ang usa ka account alang sa gamut kanunay anaa sa usa ka configuration ug dili gituyo alang sa paggamit sa normal nga operasyon. Sa gi-evaluate nga configuration, ang root account kay limitado lang sa inisyal nga installation ug configuration sa e-evaluate device. Ang usa ka NDcPP Version 2.2e awtorisado nga tigdumala kinahanglang adunay tanang permiso, lakip ang abilidad sa pag-usab sa configuration sa router. Aron ma-configure ang usa ka awtorisado nga tigdumala: 1. Paghimo og klase sa pag-login nga ginganlag security-admin nga adunay tanang permiso.
[edit] root@host# set system login class security-admin permissions tanan 2. I-configure ang hashing algorithm nga gigamit para sa password storage isip sha512.
gamut@host# set system login password format sha512
NOTE: Para sa imong mga security device, ang default password algorithm mao ang sha512, ug dili kinahanglan nga i-configure ang plain-text nga mga password para sa EX4650 switch ug QFX5120 switch.
40
3. Itugyan ang mga kausaban.
[edit] gamut@host# commit
4. Ipasabot ang imong NDcPP Bersyon 2.2e awtorisado nga tigdumala.
[usba] gamut@host#set system login user-name nga klase nga security-admin authentication encryptedpassword
5. Pagkarga ug SSH key file nga kaniadto gihimo gamit ang ssh-keygen. Kini nga sugo nagkarga sa RSA (SSH version 2), o ECDSA (SSH version 2).
[edit] gamut@host# set system root-authentication load-key-file url:filengalan
6. I-set ang log-key-changes configuration statement aron ma-log kung ang SSH authentication key gidugang o gitangtang.
[edit] gamut@host#set system services ssh log-key-changes
NOTE: Kung ang log-key-changes configuration statement ma-enable ug ma-commit (uban ang commit command sa configuration mode), ang Junos OS nag-log sa mga kausaban sa set sa awtorisado nga SSH keys alang sa matag user (lakip ang mga yawe nga gidugang o gikuha) . Ang Junos OS nag-log sa mga kalainan sukad sa katapusang higayon nga ang log-key-changes configuration statement gipalihok. Kung ang log-key-changes configuration statement wala gayud mahimo, nan ang Junos OS nag-log sa tanan nga awtorisado nga SSH nga mga yawe.
7. Itugyan ang mga kausaban.
[edit] gamut@host# commit
41
KAUGNAY NGA DOKUMENTASYON Pagsabot sa Kauban nga Mga Lagda sa Password alang sa Awtorisadong Administrator | 36
Ipasibo ang Oras
Aron ipasibo ang oras, i-disable ang NTP ug itakda ang petsa. 1. I-disable ang NTP.
[edit] security-administrator@hostname:fips# deactivate groups global system ntp security-administrator@hostname:fips# deactivate system ntp security-administrator@hostname:fips# commit security-administrator@hostname:fips# exit 2. Setting date ug panahon. Ang format sa petsa ug oras kay YYYYMMDDHHMM.ss.
security-administrator@hostname:fips> set date 201803202034.00 security-administrator@hostname:fips> set cli timestamp
Pag-configure sa Inactivity Timeout Period Configuration, ug Local ug Remote Idle Session Termination
NIINING SEKSYON I-configure ang Pagtapos sa Sesyon | 42 Sample Output para sa Lokal nga Administratibo nga Sesyon nga Pagtapos | 43 Sample Output alang sa Remote Administrative Session Termination | 43 Sample Output para sa Gisugdan sa Gumagamit nga Pagtapos | 44
42
I-configure ang Pagtapos sa Sesyon
Hunonga ang sesyon human matino sa tagdumala sa seguridad ang dili aktibo nga panahon sa pagtapos. 1. Itakda ang idle timeout.
[edit] security-administrator@host:fips# set system login class security-admin idle-timeout 2 2. I-configure ang login access privileges.
[edit] security-administrator@host:fips# set system login class security-admin permissions tanan 3. I-commit ang configuration.
[edit] security-administrator@host:fips# commit
commit kompleto 4. Ibutang ang password.
[edit] security-administrator@host:fips# set system login user NDcPPv2-user authentication plaintext-password Bag-ong password: I-type pag-usab ang bag-ong password: 5. Define login class.
[edit] security-administrator@host:fips# set system login user NDcPPv2-user class security-admin
43
6. Itugyan ang configuration.
[edit] security-administrator@host:fips# commit
kompleto ang commit
Sample Output para sa Lokal nga Administratibong Sesyon nga Pagtapos
con host Nagsulay sa abcd… 'autologin': wala mailhi nga argumento ('set ?' alang sa tabang). Konektado sa device.example.com Escape nga karakter kay '^]'. Isulat ang init nga yawe aron masuspinde ang koneksyon: Z FreeBSD/amd64 (host) (ttyu0) login: NDcPPv2-user Password: Last login: Sun Jun 23 22:42:27 gikan sa 10.224.33.70 — JUNOS 22.3R1 Kernel 64-bit JNPR-12.1-20220628.HEAD @host> Pahimangno: ang sesyon sirado sa 2 ka minuto kung walay kalihokan Pahimangno: ang sesyon sirado sa 1 segundos kung walay kalihokan Idle timeout milapas: closing session FreeBSD/amd10 (host) (ttyu64)
Sample Output alang sa Remote Administrative Session Termination
ssh NDcPPv2-user@host Password: Katapusan nga pag-login: Sun Jun 23 22:48:05 2019 — JUNOS 22.3R1 Kernel 64-bit JNPR-12.1-20220628.HEAD__ci_fbs
44
NDcPPv2-user@host> exit
Sirado ang koneksyon sa host. ssh NDcPPv2-user@host Password: Katapusan nga pag-log in: Sun Jun 23 22:50:50 2019 gikan sa 10.224.33.70 — JUNOS 22.3R1 Kernel 64-bit JNPR-12.1-20220628.HEAD__PPvning-user session will> Warchost@ci_fbs ND sirado sulod sa 2 ka minuto kung walay aktibidad Pahimangno: ang sesyon sirado sa 1 segundos kung walay kalihokan Molapas sa timeout sa idle: panapos nga sesyon
Sirado ang koneksyon sa host.
Sample Output alang sa Gisugdan sa Gumagamit nga Pagtapos
ssh NDcPPv2-user@host Password: Last login: Sun Jun 23 22:48:05 2019 — JUNOS 22.3R1 Kernel 64-bit JNPR-12.1-20220628.HEAD__ci_fbs NDcPPv2-user@host> exit
Sirado ang koneksyon sa host.
4 KAPITULO
Pag-configure sa SSH ug Koneksyon sa Console
Pag-configure sa usa ka System Login Message ug Announcement | 46 Pag-configure sa SSH sa Na-evaluate nga Configuration | 47 Paglimite sa Gidaghanon sa Mga Pagsulay sa Pag-login sa Gumagamit alang sa mga Sesyon sa SSH | 49
46
Pag-configure sa usa ka Mensahe sa Pag-login sa Sistema ug Pagpahibalo
Ang usa ka mensahe sa pag-login makita sa dili pa mag-log in ang user ug usa ka pahibalo ang makita human maka-log in ang user. Sa default, walay mensahe sa pag-login o pahibalo nga gipakita sa device. Aron ma-configure ang usa ka mensahe sa pag-login sa sistema pinaagi sa console o interface sa pagdumala, gamita ang mosunud nga mando:
[edit] user@host# set system login message login-message-banner-text Para i-configure ang system announcement, gamita ang mosunod nga command:
[edit] user@host# set system login announcement system-announcement-text
PAHINUMDOM: · Kung ang teksto sa mensahe adunay bisan unsang mga espasyo, ilakip kini sa mga marka sa kinutlo. · Mahimo nimong i-format ang mensahe gamit ang mosunod nga espesyal nga mga karakter:
· n–Bag-ong linya · t–Horizontal nga tab · '–Single quotation mark · “–Doble quotation mark · \–Backslash
KAUGNAY NGA DOKUMENTASYON Pag-configure sa SSH sa Na-evaluate nga Configuration | 47
47
Pag-configure sa SSH sa Na-evaluate nga Configuration
Ang SSH usa ka gitugotan nga remote management interface sa gi-evaluate nga configuration. Kini nga hilisgutan naghulagway kung giunsa ang pag-configure sa SSH sa aparato.
· Sa dili ka pa magsugod, log in gamit ang imong root account sa device.
Aron ma-configure ang SSH sa aparato:
1. Ipiho ang gitugotan nga SSH host-key algorithm alang sa mga serbisyo sa sistema.
[i-edit] gamut@host# itakda ang mga serbisyo sa sistema ssh hostkey-algorithm ssh-ecdsa gamut@host# itakda ang mga serbisyo sa sistema ssh hostkey-algorithm no-ssh-dss gamut@host# itakda ang mga serbisyo sa sistema ssh hostkey-algorithm ssh-rsa gamut@host # itakda ang mga serbisyo sa sistema ssh hostkey-algorithm no-ssh-ed25519
2. Ipiho ang SSH key-exchange para sa Diffie-Hellman keys para sa mga serbisyo sa sistema.
[i-edit ] gamut@host# set system services ssh key-exchange dh-group14-sha1 root@host# set system services ssh key-exchange ecdh-sha2-nistp256 root@host# set system services ssh key-exchange ecdh-sha2- nistp384 gamut@host# itakda ang mga serbisyo sa sistema ssh key-exchange ecdh-sha2-nistp521
3. Ipiho ang tanang gitugot nga mensahe nga authentication code algorithms para sa SSHv2.
[i-edit] gamut@host# itakda ang mga serbisyo sa sistema ssh macs hmac-sha1 gamut@host# itakda ang mga serbisyo sa sistema ssh macs hmac-sha2-256 gamut@host# itakda ang mga serbisyo sa sistema ssh macs hmac-sha2-512
4. Ipiho ang mga cipher nga gitugot para sa protocol version 2.
[i-edit ] gamut@host# set system services ssh ciphers aes128-cbc root@host# set system services ssh ciphers aes256-cbc root@host# set system services ssh ciphers aes128-ctr root@host# set system services ssh ciphers aes256- ctr
48
PAHINUMDOM: Aron ma-disable ang serbisyo sa SSH, mahimo nimong i-deactivate ang mga configuration sa SSH: root@host# deactivate system services ssh
PAHINUMDOM: Aron ma-disable ang serbisyo sa Netconf, mahimo nimong i-deactivate ang mga configuration sa netconf: root@host# deactivate system services netconf ssh
Gisuportahan nga SSH hostkey algorithm:
ssh-ecdsa ssh-rsa
Tugoti ang paghimo sa ECDSA host-key Tugoti ang paghimo sa RSA host-key
Gisuportahan ang SSH key-exchange algorithm:
dh-group14-sha1 ecdh-sha2-nistp256 ecdh-sha2-nistp384 ecdh-sha2-nistp521
Ang RFC 4253 nga gimando nga grupo14 nga adunay SHA1 hash Ang EC Diffie-Hellman sa nistp256 nga adunay SHA2-256 Ang EC Diffie-Hellman sa nistp384 nga adunay SHA2-384 Ang EC Diffie-Hellman sa nistp521 nga adunay SHA2-512
Gisuportahan ang MAC algorithm:
hmac-sha1 hmac-sha2-256 hmac-sha2-512
Hash-based MAC gamit ang Secure Hash Algorithm (SHA1) Hash-based MAC gamit ang Secure Hash Algorithm (SHA2) Hash-based MAC gamit ang Secure Hash Algorithm (SHA2)
Gisuportahan nga SSH ciphers algorithm:
aes128-cbc aes128-ctr
aes256-cbc aes256-ctr
128-bit AES nga adunay Cipher Block Chaining 128-bit AES nga adunay Counter Mode
256-bit AES nga adunay Cipher Block Chaining 256-bit AES nga adunay Counter Mode
49
KAUGNAY NGA DOKUMENTASYON Paglimite sa Gidaghanon sa Mga Pagsulay sa Pag-login sa Gumagamit alang sa mga Sesyon sa SSH | 49
Paglimite sa Gidaghanon sa Mga Pagsulay sa Pag-login sa Gumagamit alang sa Mga Sesyon sa SSH
Ang usa ka administrador mahimong mag-login sa layo sa usa ka aparato pinaagi sa SSH. Ang mga kredensyal sa tagdumala gitipigan sa lokal sa aparato. Kung ang tagdumala magpakita ug balido nga username ug password, ang access sa Target of Evaluation (TOE) gihatag. Kung dili balido ang mga kredensyal, gitugotan sa TOE ang pag-authenticate nga sulayan pag-usab pagkahuman sa usa ka agwat nga magsugod pagkahuman sa 1 segundos ug labi nga nagtaas. Kung ang gidaghanon sa mga pagsulay sa pag-authenticate molapas sa gi-configure nga maximum, walay mga pagsulay sa pag-authenticate ang gidawat alang sa usa ka gi-configure nga agwat sa oras. Kung ang interval matapos, ang mga pagsulay sa pag-authenticate gidawat pag-usab.
Imong gi-configure ang gidugayon sa panahon nga ma-lock ang device human sa napakyas nga mga pagsulay. Ang gidugayon sa oras sa mga minuto sa dili pa ang user makasulay sa pag-log in sa aparato pagkahuman sa pagkandado tungod sa gidaghanon sa mga napakyas nga pagsulay sa pag-login nga gipiho sa pagsulay-sa wala pa-diskonekta nga pahayag. Kung ang usa ka tiggamit mapakyas sa husto nga pag-login pagkahuman sa gidaghanon sa gitugotan nga mga pagsulay nga gitakda sa pagsulay-sa wala pa-diskonekta nga pahayag, ang tiggamit kinahanglan maghulat sa gi-configure nga kantidad sa mga minuto sa dili pa mosulay sa pag-log in sa aparato pag-usab. Atol niini nga lockout-period ang remote session user aduna pa'y access sa TOE pinaagi sa console isip root user. Ang lockout-panahon kinahanglan nga labaw pa kay sa zero. Ang gilay-on diin mahimo nimong i-configure ang lockout-period usa hangtod sa 43,200 ka minuto.
[edit system login] user@host# set retry-options lockout-period nga numero
Mahimo nimong i-configure ang aparato aron limitahan ang gidaghanon sa mga pagsulay sa pagsulod sa usa ka password samtang nag-log in sa SSH. Gamit ang mosunod nga sugo, ang koneksyon.
[edit system login] user@host# set retry-options try-before-disconnect number
Dinhi, ang try-before-disconnect mao ang gidaghanon sa mga higayon nga ang usa ka user makasulay sa pagsulod sa usa ka password kung mag-log in. Ang koneksyon magsira kung ang usa ka user mapakyas sa pag-log in pagkahuman sa numero nga gitakda. Ang range gikan sa 2 hangtod 10, ug ang default nga kantidad mao ang 3.
50
Ang pag-access sa lokal nga tagdumala mapadayon bisan kung ang hilit nga administrasyon gihimo nga permanente o temporaryo nga wala magamit tungod sa daghang napakyas nga pagsulay sa pag-login. Ang console login alang sa lokal nga administrasyon mahimong magamit sa mga tiggamit sa panahon sa lockout.
Mahimo usab nimo nga i-configure ang usa ka paglangan, sa mga segundo, sa dili pa ang usa ka user makasulay sa pagsulod sa usa ka password pagkahuman sa usa ka napakyas nga pagsulay.
[edit system login] user@host# set retry-options backoff-threshold number
Dinhi, ang backoff-threshold mao ang threshold alang sa gidaghanon sa mga napakyas nga pagsulay sa pag-login sa dili pa ang user makasinati ug pagkalangan sa pagsulod sa password pag-usab. Ang range gikan sa 1 hangtod 3, ug ang default nga kantidad mao ang 2 segundos.
Dugang pa, ang aparato mahimong ma-configure aron mahibal-an ang threshold alang sa gidaghanon sa mga napakyas nga pagsulay sa wala pa ang tiggamit makasinati usa ka paglangan sa pagsulod sa password pag-usab.
[edit system login] user@host# set retry-options backoff-factor number
Dinhi, ang backoff-factor mao ang gidugayon sa panahon, sa mga segundo, sa dili pa ang usa ka user makasulay sa pag-log in pagkahuman sa usa ka napakyas nga pagsulay. Ang paglangan nagdugang sa kantidad nga gitakda alang sa matag sunod nga pagsulay pagkahuman sa threshold. Ang range gikan sa 5 hangtod 10, ug ang default nga kantidad mao ang 5 segundos. Mahimo nimong kontrolon ang pag-access sa gumagamit pinaagi sa SSH. Pinaagi sa pag-configure sa ssh root-login deny , masiguro nimo nga ang root account magpabilin nga aktibo ug magpadayon nga adunay lokal nga administratibo nga mga pribilehiyo sa TOE bisan kung ang ubang mga hilit nga tiggamit naka-log off.
[edit system] user@host# set services ssh root-login deny
Ang SSH2 protocol naghatag ug luwas nga mga sesyon sa terminal gamit ang luwas nga encryption. Ang SSH2 protocol nagpatuman sa pagpadagan sa key-exchange nga hugna ug pagbag-o sa encryption ug integridad nga mga yawe alang sa sesyon. Ang yawe nga pagbinayloay gihimo matag karon ug unya, pagkahuman sa piho nga mga segundo o pagkahuman sa gitakda nga mga byte sa datos nga milabay sa koneksyon. Mahimo nimong i-configure ang mga threshold para sa pag-rekey sa SSH, FCS_SSHS_EXT.1.8 ug FCS_SSHC_EXT.1.8. Gisiguro sa TSF nga sulod sa mga koneksyon sa SSH ang parehas nga mga yawe sa sesyon gigamit
51
alang sa usa ka threshold nga dili molapas sa usa ka oras, ug dili molapas sa usa ka gigabyte sa gipasa nga datos. Kung ang bisan hain sa mga threshold maabot, ang usa ka rekey kinahanglan nga himuon.
[edit system] security-administrator@host:fips# set services ssh rekey time-limit number Limitasyon sa oras sa dili pa mag-renegotiate sa session keys kay 1 hangtod 1440 ka minuto.
[edit system] security-administrator@host:fips# set services ssh rekey data-limit number Ang limitasyon sa datos sa dili pa mag-renegotiate sa session keys kay 51200 hangtod sa 4294967295 byte.
PAHINUMDOM: Alang sa koneksyon sa SSH nga wala tuyoa nga naputol, kinahanglan natong sugdan pag-usab ang koneksyon sa SSH aron maka-log in balik sa TOE.
KAUGNAY NGA DOKUMENTASYON Pag-configure sa SSH sa Na-evaluate nga Configuration | 47
5 KAPITULO
Pag-configure sa Remote Syslog Server
Syslog Server Configuration sa usa ka Linux System | 53
Mga Dokumento / Mga Kapanguhaan
 |
Juniper EX4400 Komon nga Pamantayan Gitimbang-timbang nga Configuration [pdf] Giya sa Gumagamit 24MP, 24P, 24T, 48F, 48MP, 48P, 48T, EX4400 Komon nga Pamantayan Gitimbang-timbang nga Pag-configure, EX4400, Komon nga Pamantayan nga Gi-evaluate nga Pag-configure, Mga Pamantayan Gi-evaluate nga Pag-configure, Na-evaluate nga Configuration |