Logo JUNIPERSimplicità di l'ingegneria
Junos® OS
Guida di cunfigurazione valutata FIPS per
Dispositivi MX960, MX480, è MX240

Cuntenuti ammuccià
1 JUNIPER NETWORKS Junos OS Dispositivi valutati FIPS
2 Overview
3 Configurazione di credenziali amministrativi è privilegii
4 Configurazione di roli è metudi di autenticazione
5 Configurazione di SSH è Console Connection
6 Configurazione di MACsec
7 Configurazione di MACsec cù keychain per u Traffic Layer 2
8 Configurazione di Logging Event
9 Eseguisce l'autotesti nantu à un dispositivu
10 Cumandamenti operativi
11 Documenti / Risorse
11.1 Referenze

JUNIPER NETWORKS Junos OS Dispositivi valutati FIPS

JUNIPER NETWORKS Junos OS Dispositivi valutati FIPS 1LIBERA
20.3X75-D30

Juniper Networks, Inc.
1133 Via di l'Innuvazione
Sunnyvale, California 94089
USA
408-745-2000
www.juniper.net
Juniper Networks, u logu di Juniper Networks, Juniper è Junos sò marchi registrati di Juniper Networks, Inc.
in i Stati Uniti è altri paesi. Tutti l'altri marchi, marchi di serviziu, marchi registrati, o marchi di serviziu registrati sò a pruprietà di i so rispettivi pruprietarii.
Juniper Networks ùn assume micca a responsabilità per qualsiasi imprecisioni in stu documentu. Juniper Networks si riserva u dirittu di cambià, mudificà, trasferisce, o altrimenti rivisione sta publicazione senza avvisu.
Junos® OS FIPS Guida di configurazione valutata per i dispositi MX960, MX480 è MX240 20.3X75-D30
Copyright © 2023 Juniper Networks, Inc. Tutti i diritti riservati.
L'infurmazione in stu documentu hè attuale à a data nantu à a pagina di titulu.
ANNU 2000 AVVISU
I prudutti di hardware è software di Juniper Networks sò conformi à l'annu 2000. Junos OS ùn hà micca cunnisciuta limitazione di u tempu per l'annu 2038. Tuttavia, l'applicazione NTP hè cunnisciuta per avè qualchì difficultà in l'annu 2036.
ACCORDU DI LICENZA D'UTENTE FINALE
U pruduttu Juniper Networks chì hè u sughjettu di sta documentazione tecnica hè custituitu da (o hè destinatu à aduprà cù) u software Juniper Networks. L'usu di tali software hè sottumessu à i termini è e cundizioni di l'Accordu di Licenza di l'Usuariu Finale ("EULA") publicatu in https://support.juniper.net/support/eula/. Scarichendu, installendu o utilizendu tali software, accettate i termini è e cundizioni di quellu EULA.

À propositu di Sta Guida
Aduprate sta guida per uperà i dispositi MX960, MX480, è MX240 in l'ambiente di Livellu 140 di Standards Federali di Trattamentu di l'Informazione (FIPS) 2-1. FIPS 140-2 definisce i livelli di sicurità per u hardware è u software chì eseguisce funzioni criptografiche.
DOCUMENTAZIONE RELATIVA
Criterii cumuni è certificazioni FIPS

Overview

Capisce Junos OS in Modu FIPS
IN STA SECTION

  • Piattaforme è Hardware supportati | 2
  • Circa u Cunfini Cryptographic nant'à u vostru Dispositivu | 3
  • Cumu u Modu FIPS Differe da u Modu Non-FIPS | 3
  • Versione validata di Junos OS in Modu FIPS | 3

I Standards Federali di Trattamentu di l'Informazione (FIPS) 140-2 definiscenu i livelli di sicurità per u hardware è u software chì realizanu funzioni criptografiche. Stu router Juniper Networks chì esegue u sistema operatore Junos (Junos OS) in modu FIPS hè conforme à u standard FIPS 140-2 Livellu 1.
L'operazione di stu router in un ambiente FIPS 140-2 Livellu 1 richiede l'attivazione è a cunfigurazione di u modu FIPS nantu à i dispositi da l'interfaccia di linea di cumanda (CLI) di Junos OS.
U Crypto Officer abilita u modu FIPS in Junos OS è stabilisce chjavi è password per u sistema è altri utilizatori FIPS.
Piattaforme è Hardware supportati
Per e caratteristiche descritte in stu documentu, e seguenti piattaforme sò aduprate per qualificà a certificazione FIPS:

Circa u Limitu Criptugraficu nantu à u vostru Dispositivu
A conformità FIPS 140-2 richiede un cunfini criptograficu definitu intornu à ogni modulu criptograficu in un dispositivu. Junos OS in modu FIPS impedisce à u modulu criptograficu di eseguisce qualsiasi software chì ùn hè micca parte di a distribuzione certificata FIPS, è permette solu l'algoritmi criptografici appruvati da FIPS. Nisun paràmetru di sicurezza criticu (CSP), cum'è password è chjave, pò attraversà u cunfini criptograficu di u modulu in formatu micca criptatu.
A serie OUTDOOR PLUS TOP Kit di cunnessione è inserti di Fire Pit - Icona 1 ATTENZIONE: E funzioni di Chassis Virtual ùn sò micca supportate in u modu FIPS. Ùn cunfigurà micca un Chassis Virtual in modalità FIPS.

Cumu u Modu FIPS Differe da u Modu Non-FIPS
Junos OS in modalità FIPS differisce in i seguenti modi da Junos OS in modalità non-FIPS:

  • L'autotest di tutti l'algoritmi criptografici sò realizati à l'iniziu.
  • L'autotest di u numeru aleatoriu è a generazione di chjave sò realizati continuamente.
  • L'algoritmi di criptografia debuli cum'è Standard Encryption Data (DES) è MD5 sò disattivati.
  • E cunnessioni di gestione debuli o micca criptate ùn devenu esse cunfigurate.
  • I password devenu esse criptati cù algoritmi unidirezionali forti chì ùn permettenu micca a decifrazione.
  • I password di l'amministratore deve esse almenu 10 caratteri.

Versione validata di Junos OS in Modu FIPS
Per determinà se una versione di Junos OS hè validata da NIST, vede a pagina di u cunsigliu di cunfurmità nantu à Juniper Networks. Web situ (https://apps.juniper.net/compliance/).
DOCUMENTAZIONE RELATIVA
Identificà a consegna sicura di u produttu | 7

Capisce a terminologia FIPS è l'algoritmi criptografici supportati
IN STA SECTION
Terminulugia | 4
Algoritmi Crittografici Supportati | 5
Aduprate e definizioni di i termini FIPS è l'algoritmi supportati per aiutà à capisce Junos OS in modu FIPS.

Terminulugia
Parametru criticu di sicurità (CSP)
Infurmazioni di sicurità-per example, chjavi criptografici secreti è privati ​​è dati di autentificazione cum'è password è numeri d'identificazione persunale (PIN) - chì a divulgazione o a mudificazione pò compromette a sicurità di un modulu criptograficu o l'infurmazioni chì prutege. Per i dettagli, vede "Capisce l'Ambiente Operativu per Junos OS in Modu FIPS" a pagina 16.
Modulu criptograficu
U settore di hardware, software è firmware chì implementa e funzioni di sicurezza appruvate (inclusi l'algoritmi criptografici è a generazione di chjave) è hè cuntenutu in u cunfini criptograficu.
FIPS
Norme Federali di Trattamentu di l'Informazione. FIPS 140-2 specifica i requisiti per i moduli di sicurezza è criptografichi. Junos OS in modalità FIPS hè conforme à FIPS 140-2 Livellu 1.
U rolu di mantenimentu FIPS
U rolu chì l'Ufficiale Crypto assume per fà mantenimentu fisicu o servizii di mantenimentu logicu cum'è diagnostichi di hardware o software. Per u rispettu di FIPS 140-2, l'Ufficiale Crypto zeroizes u Motore di Routing à l'entrata è à l'uscita da u rolu di mantenimentu FIPS per sguassà tutte e chjave secrete è private in testu chjaru è CSP senza prutezzione.
NOTA: U rolu di mantenimentu FIPS ùn hè micca supportatu in Junos OS in modu FIPS.
KAT
Testi di risposta cunnisciuti. Autotesti di u sistema chì validanu l'output di algoritmi criptografici appruvati per FIPS è testanu l'integrità di certi moduli Junos OS. Per i dettagli, vede "Capire l'autotest FIPS" a pagina 73.
SSH
Un protokollu chì usa autentificazione forte è criptografia per l'accessu remotu in una rete micca sicura. SSH furnisce login remota, esecuzione di prugramma remota, file copia, è altre funzioni. Hè pensatu cum'è un sustitutu sicuru per rlogin, rsh è rcp in un ambiente UNIX. Per assicurà l'infurmazioni mandate nantu à e cunnessione amministrative, utilizate SSHv2 per a cunfigurazione CLI. In Junos OS, SSHv2 hè attivatu per automaticamente, è SSHv1, chì ùn hè micca cunsideratu sicuru, hè disattivatu. Zeroization
Sguassazione di tutti i CSP è altri dati creati da l'utilizatori in un dispositivu prima di u so funziunamentu cum'è un modulu criptograficu FIPS o in preparazione per ripurtà i dispositi per l'operazione nonFIPS.
U Crypto Officer pò zeroize u sistema cù un cumandamentu operativu CLI.
Algoritmi Crittografici Supportati
A Tabella 1 in a pagina 6 riassume u supportu di l'algoritmu di protocolu di altu livellu.
Tabella 1: Protocolli Permessi in Modu FIPS

Protocolu  Scambiu di Chjave Autentificazione Cifru Integrità
SSHv2 • dh-group14-sha1
• ECDH-sha2-nistp256
• ECDH-sha2-nistp384
• ECDH-sha2-nistp521		 Host (modulu):
• ECDSA P-256
• SSH-RSA
Cliente (utilizatori):
• ECDSA P-256
• ECDSA P-384
• ECDSA P-521
• SSH-RSA		 • AES CTR 128
• AES CTR 192
• AES CTR 256
• AES CBC 128
• AES CBC 256		 • HMAC-SHA-1
• HMAC-SHA-256
• HMAC-SHA-512

A Tabella 2 in a pagina 6 elenca i cifri MACsec LC supportati.
Table 2: MACsec LC Supported Ciphers
Cifraturi supportati da MACsec LC
AES-GCM-128
AES-GCM-256
Ogni implementazione di un algoritmu hè verificatu da una seria di teste di risposta cunnisciuta (KAT). Ogni fallimentu di l'autotesta si traduce in un statu d'errore FIPS.
BEST PRACTICE: Per a conformità FIPS 140-2, aduprate solu algoritmi criptografici appruvati da FIPS In Junos OS in modalità FIPS.
I seguenti algoritmi criptografici sò supportati in u modu FIPS. I metudi simmetrici utilizanu a listessa chjave per a criptografia è a decifrazione, mentri i metudi asimmetrici utilizanu chjavi diffirenti per a criptografia è a decifrazione.
AES
L'Advanced Encryption Standard (AES), definitu in FIPS PUB 197. L'algoritmu AES usa chjavi di 128, 192, o 256 bits per criptà è decrypt data in blocchi di 128 bits.
ECDH
Curva ellittica Diffie-Hellman. Una variante di l'algoritmu di scambiu di chjave Diffie-Hellman chì usa a criptografia basata nantu à a struttura algebrica di curve ellittiche nantu à campi finiti. L'ECDH permette à dui partiti, ognunu cù una coppia di chjave publica-privata di curva ellittica, per stabilisce un sicretu spartutu nantu à un canali inseguru. U sicretu spartutu pò esse usatu cum'è una chjave o per derivà una altra chjave per criptà e cumunicazioni successive utilizendu un cifru di chjave simmetrica.
ECDSA
Algoritmu di firma digitale di curva ellittica. Una variante di l'algoritmu di firma digitale (DSA) chì usa a criptografia basata nantu à a struttura algebrica di curve ellittiche nantu à campi finiti. A dimensione di bit di a curva ellittica determina a difficultà di decrypting a chjave. A chjave publica chì si crede necessariu per ECDSA hè circa duie volte di u livellu di sicurità, in bit. ECDSA utilizendu e curve P-256, P-384 è P-521 pò esse cunfigurate sottu OpenSSH.
HMAC
Definitu cum'è "Keyed-Hashing for Message Authentication" in RFC 2104, HMAC combina algoritmi di hashing cù chjavi criptografici per l'autentificazione di messagi. Per Junos OS in modalità FIPS, HMAC usa e funzioni di hash criptograficu iterate SHA-1, SHA-256 è SHA-512 cù una chjave secreta.
SHA-256 è SHA-512
Algoritmi di hash sicuri (SHA) chì appartenenu à u standard SHA-2 definitu in FIPS PUB 180-2. Sviluppatu da NIST, SHA-256 produce un hash digest a 256 bit, è SHA-512 produce un hash digest a 512 bit.
DOCUMENTAZIONE RELATIVA
Capisce l'autotest FIPS | 73
Capisce a Zeroization per sguassà i dati di u sistema per u Modu FIPS | 25
Identificà a consegna sicura di u produttu
Ci sò parechji miccanismi furnite in u prucessu di consegna à assicurà chì un cliente riceve un pruduttu chì ùn hè statu tampered cun. U cliente duverà eseguisce i seguenti cuntrolli dopu a ricezione di un dispositivu per verificà l'integrità di a piattaforma.

  • Etichetta di spedizione - Assicuratevi chì l'etichetta di spedizione identifica currettamente u nome è l'indirizzu currettu di u cliente è u dispusitivu.
  • Imballaggio esterno - Inspeccione a scatula di spedizione esterna è a cinta. Assicuratevi chì a cinta di spedizione ùn hè micca stata tagliata o altrimenti cumprumessa. Assicuratevi chì a scatula ùn hè micca stata tagliata o guastata per permette l'accessu à u dispusitivu.
  • Dentru l'imballu - Inspeccione u saccu di plastica è u sigillu. Assicuratevi chì a borsa ùn hè micca tagliata o eliminata. Assicuratevi chì u sigillu resta intactu.

Se u cliente identifica un prublema durante l'ispezione, deve cuntattà immediatamente u fornitore. Fornite u numeru di ordine, u numeru di seguimentu è una descrizzione di u prublema identificatu à u fornitore.
Inoltre, ci sò parechje cuntrolli chì ponu esse realizati per assicurà chì u cliente hà ricivutu una scatula mandata da Juniper Networks è micca una cumpagnia differente masquerading as Juniper Networks. U cliente duverà eseguisce i seguenti cuntrolli dopu a ricezione di un dispositivu per verificà l'autenticità di u dispusitivu:

  • Verificate chì u dispusitivu hè statu urdinatu cù un ordine di compra. I dispositi Juniper Networks ùn sò mai spediti senza un ordine di compra.
  • Quandu un dispositivu hè speditu, una notificazione di spedizione hè mandata à l'indirizzu e-mail furnitu da u cliente quandu l'ordine hè pigliatu. Verificate chì sta notificazione per e-mail hè stata ricevuta. Verificate chì l'email cuntene l'infurmazioni seguenti:
  • Numeru di ordine di compra
  • U numeru di ordine di Juniper Networks utilizatu per seguità a spedizione
  • U numeru di seguimentu di u trasportatore utilizatu per seguità a spedizione
  • Lista di l'articuli spediti cumpresi i numeri di serie
  • Indirizzu è cuntatti di u fornitore è di u cliente
  • Verificate chì a spedizione hè stata iniziata da Juniper Networks. Per verificà chì una spedizione hè stata iniziata da Juniper Networks, duvete fà e seguenti attività:
  • Comparate u numeru di seguimentu di u trasportatore di u numeru d'ordine di Juniper Networks listatu in a notificazione di spedizione di Juniper Networks cù u numeru di seguimentu nantu à u pacchettu ricevutu.
  • Accedi à u portale di assistenza clienti in linea di Juniper Networks à https://support.juniper.net/support/ à view u statu di ordine. Comparate u numeru di seguimentu di u trasportatore o u numeru d'ordine di Juniper Networks listatu in a notificazione di spedizione di Juniper Networks cù u numeru di seguimentu nantu à u pacchettu ricevutu.

Capisce l'interfaccia di gestione
E seguenti interfacce di gestione ponu esse aduprate in a cunfigurazione evaluata:

  • Interfacce di Gestione Locale - U portu di a cunsola RJ-45 in u dispusitivu hè cunfiguratu cum'è equipamentu di terminal di dati RS-232 (DTE). Pudete utilizà l'interfaccia di linea di cumanda (CLI) nantu à stu portu per cunfigurà u dispusitivu da un terminal.
  • Protocolli di Gestione Remota - U dispusitivu pò esse gestitu remotamente nantu à qualsiasi interfaccia Ethernet. SSHv2 hè l'unicu protocolu di gestione remota permessu chì pò esse usatu in a cunfigurazione evaluata. I protokolli di gestione remota J-Web è Telnet ùn sò micca dispunibili per l'usu nantu à u dispusitivu.

Configurazione di credenziali amministrativi è privilegii

Capisce e regule di password associate per un amministratore autorizatu
L'amministratore autorizatu hè assuciatu cù una classa di login definita, è l'amministratore hè assignatu cù tutti i permessi. I dati sò almacenati in u locu per l'autentificazione di password fissa.
NOTA: Ùn aduprate micca caratteri di cuntrollu in password.
Aduprate e seguenti linee guida è opzioni di cunfigurazione per e password è quandu selezziunate e password per i cunti di amministratore autorizati. I password duveranu esse:

  • Facile à ricurdà cusì chì l'utilizatori ùn sò micca tentati di scrive.
  • Cambiatu periodicamente.
  • Privatu è micca spartutu cù nimu.
  • Contene un minimu di 10 caratteri. A lunghezza minima di a password hè di 10 caratteri.
    [edità] administrator@host# set the system login password minimu-lunghezza 10
  • Includite i caratteri alfanumerici è di puntuazione, cumposti da qualsiasi cumminazione di lettere maiuscule è minuscule, numeri è caratteri speciali cum'è "!", "@", "#", "$", "%", "^", " &", "*", "(", è ")".
    Ci deve esse almenu un cambiamentu in un casu, unu o più cifre, è unu o più segni di puntuazione.
  • Cuntene set di caratteri. I setti di caratteri validi includenu lettere maiuscule, lettere minuscule, numeri, puntuazione è altri caratteri speciali.
    [ edit ] administrator@host# set system login password cambia tippi di caratteri
  • Cuntene u numeru minimu di set di caratteri o cambiamenti di set di caratteri. U numeru minimu di setti di caratteri richiesti in e password di testu chjaru in Junos FIPS hè 3.
    [edit] administrator@host# set system login password minimum-changes 3
  • L'algoritmu di hashing per e password di l'utilizatori pò esse SHA256 o SHA512 (SHA512 hè l'algoritmu di hashing predeterminatu).
    [edit] administrator@host# set the system login password format sha512
    NOTA: U dispusitivu supporta i tipi di chjave ECDSA (P-256, P-384, è P-521) è RSA (2048, 3072 è 4092 modulu di lunghezza di bit).
    I password debuli sò:
  • Parolle chì ponu esse truvate o esistenu cum'è una forma permutata in un sistema file cum'è /etc/passwd.
  • U nome d'ospitu di u sistema (sempre una prima ipotesi).
  • Ogni parolla chì appare in un dizziunariu. Questu include dizziunari altru ch'è l'inglese, è parolle truvate in opere cum'è Shakespeare, Lewis Carroll, Thesaurus di Roget, etc. Questa pruibizione include parolle è frasi cumuni di sport, detti, filmi è spettaculi televisivi.
  • Permutazioni nantu à qualsiasi di e sopra. Per esample, una parolla di dizziunariu cù vucali rimpiazzati cù cifre (per esample f00t) o cù cifre aghjuntu à a fine.
  • Ogni password generata da a macchina. L'algoritmi riducenu u spaziu di ricerca di i prugrammi di guessing password è cusì ùn deve esse usatu.
    I password riutilizzabili forti ponu esse basati nantu à e lettere da una frasa o una parolla preferita, è poi cuncatenate cù altre parolle senza relazione, inseme cù numeri supplementari è puntuazione.

DOCUMENTAZIONE RELATIVA
Identificà a consegna sicura di u produttu | 7

Configurazione di roli è metudi di autenticazione

Capisce i roli è i servizii per Junos OS
IN STA SECTION
Crypto Officer Role è Responsabilità | 15
U Rolu di l'Usuariu di FIPS è Responsabilità | 15
Ciò chì hè aspittatu di tutti l'utilizatori di FIPS | 16
L'Amministratore di Sicurezza hè assuciatu cù a classa di login definita security-admin, chì hà u permessu necessariu per permette à l'amministratore di fà tutte e attività necessarie per gestisce Junos OS. L'utilizatori amministrativi (Amministratore di Sicurezza) devenu furnisce l'identificazione unica è e dati d'autentificazione prima chì qualsiasi accessu amministrativu à u sistema sia cuncessu.
I roli è e responsabilità di l'Amministratore di Sicurezza sò i seguenti:

  1. L'amministratore di sicurezza pò amministrari lucale è remotamente.
  2. Crea, mudificà, sguassate i cunti di l'amministratore, cumprese a cunfigurazione di i paràmetri di fallimentu di autentificazione.
  3. Riattivate un contu Amministratore.
  4. Responsabile di a cunfigurazione è u mantenimentu di elementi criptografici ligati à u stabilimentu di cunnessione sicuri da è da u pruduttu evaluatu.

U sistema operatore Junos Networks Junos (Junos OS) chì funziona in modu non-FIPS permette una larga gamma di capacità per l'utilizatori, è l'autentificazione hè basatu nantu à l'identità. In cuntrastu, u standard FIPS 140-2 definisce dui roli d'utilizatori: Crypto Officer è utilizatore FIPS. Questi roli sò definiti in termini di capacità d'utilizatori di Junos OS.
Tutti l'altri tipi d'utilizatori definiti per Junos OS in modu FIPS (operatore, utilizatore amministrativu, etc.) devenu esse in una di e duie categurie: Ufficiale Crypto o utilizatore FIPS. Per quessa, l'autentificazione di l'utilizatori in u modu FIPS hè basatu annantu à u rolu piuttostu cà l'identità.
Crypto Officer esegue tutte e funzioni di cunfigurazione in modu FIPS è emette tutte e dichjarazioni è cumandamenti per Junos OS in modu FIPS. Crypto Officer è e cunfigurazioni di l'utilizatori di FIPS anu da seguità e linee guida per Junos OS in modu FIPS.
Crypto Officer Role è Responsabilità
U Crypto Officer hè a persona rispunsevuli di attivà, cunfigurà, monitorizà è mantene Junos OS in modu FIPS in un dispositivu. U Crypto Officer stalla in modu sicuru Junos OS nantu à u dispositivu, permette u modu FIPS, stabilisce chjavi è password per altri utilizatori è moduli di software, è inizializza u dispusitivu prima di cunnessione di rete.
MIGLIORE PRATICA: Ricumandemu chì l'Ufficiale Crypto amministrà u sistema in modu sicuru, mantenendu e password sicure è cuntrollanu l'auditu files.
I permessi chì distinguenu u Crypto Officer da l'altri utilizatori di FIPS sò secreti, sicurità, mantenimentu è cuntrollu. Per a conformità FIPS, assignate l'Ufficiale Crypto à una classa di login chì cuntene tutti questi permessi. Un utilizatore cù u permessu di mantenimentu di Junos OS pò leghje files chì cuntenenu parametri di sicurezza critichi (CSP).
NOTA: Junos OS in modalità FIPS ùn sustene micca u rolu di mantenimentu FIPS 140-2, chì hè diversu da u permessu di mantenimentu di Junos OS.
Trà i travaglii ligati à Junos OS in modalità FIPS, l'Ufficiale Crypto hè previstu di:

  • Stabbilisce a password iniziale di root. A lunghezza di a password deve esse almenu 10 caratteri.
  • Resettate e password di l'utilizatori cù algoritmi appruvati da FIPS.
  • Esaminà u logu è auditu files per avvenimenti d'interessu.
  • Sguassà generatu da l'utilizatori files, chjave, è dati da zeroizing u dispusitivu.

U Rolu di l'Usuariu è e Responsabilità FIPS
Tutti l'utilizatori di FIPS, cumpresu u Crypto Officer, ponu view a cunfigurazione. Solu l'utilizatore assignatu cum'è Ufficiale Crypto pò mudificà a cunfigurazione.
I permessi chì distinguenu i Crypto Officers da l'altri utilizatori FIPS sò secreti, sicurità, mantenimentu è cuntrollu. Per a conformità FIPS, assignate l'utilizatore FIPS à una classa chì ùn cuntene nimu di sti permessi.
L'utilizatore FIPS pò view output di statutu ma ùn pò micca reboot o zeroize u dispusitivu.
Ciò chì si aspetta di tutti l'utilizatori di FIPS
Tutti l'utilizatori di FIPS, cumpresu l'Ufficiale Crypto, devenu osservà e linee di sicurezza in ogni momentu.
Tutti l'utilizatori di FIPS deve:

  • Mantene tutte e password cunfidenziale.
  • Guardà i dispositi è a documentazione in una zona sicura.
  • Impulsà i dispositi in spazii sicuri.
  • Verificate l'auditu files periodicamente.
  • Conforme à tutte e altre regule di sicurezza FIPS 140-2.
  • Segui queste linee guida:
    • Users sò fiducia.
    • Users rispittà tutte e linee di sicurità.
    • Users ùn deliberatamente cumprumissu sicurità
    • Users cumportanu rispunsevuli in ogni mumentu.

DOCUMENTAZIONE RELATIVA
Un dispositivu Juniper Networks chì esegue u sistema operatore Junos (Junos OS) in modu FIPS forma un tipu speciale di ambiente operativu di hardware è software chì hè diversu da l'ambiente di un dispositivu in modu non-FIPS:

Ambiente Hardware per Junos OS in Modu FIPS
Junos OS in u modu FIPS stabilisce un cunfini criptograficu in u dispositivu chì nisun paràmetru di sicurezza criticu (CSP) pò attraversà cù u testu chjaru. Ogni cumpunente hardware di u dispusitivu chì richiede un cunfini criptograficu per a conformità FIPS 140-2 hè un modulu criptograficu separatu. Ci hè dui tipi di hardware cù frontiere criptografiche in Junos OS in modalità FIPS: unu per ogni Routing Engine è unu per u chassis tutale chì include a carta LC MPC7E-10G. Ogni cumpunente forma un modulu criptograficu separatu. E cumunicazioni chì implicanu CSP trà questi ambienti sicuri devenu esse realizatu cù a criptografia.
I metudi di criptografia ùn sò micca un sustitutu per a sicurità fisica. U hardware deve esse situatu in un ambiente fisicu sicuru. L'utilizatori di tutti i tipi ùn devenu micca revelà chjavi o password, o permettenu chì i registri scritti o note per esse vistu da u persunale micca autorizatu.
Ambiente Software per Junos OS in Modu FIPS
Un dispositivu Juniper Networks chì esegue Junos OS in modalità FIPS forma un tipu speciale di ambiente operativu non modificabile. Per ottene stu ambiente nantu à u dispusitivu, u sistema impedisce l'esekzione di qualsiasi binariu file chì ùn era micca parte di u Junos OS certificatu in a distribuzione in modalità FIPS. Quandu un dispositivu hè in modu FIPS, pò eseguisce solu Junos OS.
U Junos OS in l'ambiente di u software in modalità FIPS hè stabilitu dopu chì l'Ufficiale Crypto hà attivatu bè u modu FIPS in un dispositivu. L'imagine Junos OS chì include u modu FIPS hè dispunibule nantu à Juniper Networks websitu è ​​pò esse stallati nant'à un dispusitivu funziunamentu.
Per a conformità FIPS 140-2, ricumandemu di sguassà tutte l'utilizatori creati files è dati da zeroizing u dispusitivu prima di attivà u modu FIPS.
L'operazione di u vostru dispositivu à u nivellu FIPS 1 richiede l'usu di tampEtichette er-evidenti per sigillà i Motori di Routing in u chassis.
L'attivazione di u modu FIPS disattiva parechji di i protokolli è servizii di u SO Junos. In particulare, ùn pudete micca cunfigurà i seguenti servizii in Junos OS in modu FIPS:

  • dito
  • ftp
  • rlogin
  • telnet
  • tftp
  • xnm-clear-text

I tentativi di cunfigurà questi servizii, o caricate cunfigurazioni cù questi servizii cunfigurati, risultatu in un errore di sintassi di cunfigurazione.
Pudete aduprà solu SSH cum'è serviziu di accessu remoto.
Tutte e password stabilite per l'utilizatori dopu l'aghjurnamentu à Junos OS in modalità FIPS deve esse conformi à Junos OS in specificazioni di modalità FIPS. I password deve esse trà 10 è 20 caratteri è necessitanu l'usu di almenu trè di i cinque setti di caratteri definiti (lettere maiuscule è minuscule, cifre, segni di puntuazione è caratteri di u teclatu, cum'è % è &, micca inclusi in l'altru). quattru categurie).
I tentativi di cunfigurà e password chì ùn sò micca conformi à queste regule risultanu in un errore. Tutte e password è e chjavi utilizati per autentificà i pari deve esse almenu 10 caratteri in lunghezza, è in certi casi a lunghezza deve currisponde à a dimensione di digest.
NOTA: Ùn aghjunghje micca u dispositivu à una reta finu à chì l'Ufficiale Crypto cumpleta a cunfigurazione da a cunnessione di a cunsola locale.
Per un rispettu strettu, ùn esaminà micca l'infurmazioni di u core è di crash dump nantu à a cunsola locale in Junos OS in modu FIPS perchè alcuni CSP puderanu esse mostrati in testu chjaru.
Parametri di Sicurezza Critica
I paràmetri di securità critichi (CSP) sò infurmazione di sicurità cum'è e chjave criptografiche è password chì ponu compromette a sicurità di u modulu criptograficu o a sicurità di l'infurmazione prutetta da u modulu si sò divulgati o mudificati.
Zeroizazione di u sistema sguassate tutte e tracce di CSP in preparazione per uperà u dispusitivu o Routing Engine cum'è un modulu criptograficu.
La Tabella 3 a pagina 19 elenca i CSP su dispositivi che esegue Junos OS.
Table 3: Parametri di sicurezza critica

CSP Descrizzione Zeroize

Aduprà
SSHv2 chjave host privata Chjave ECDSA / RSA utilizata per identificà l'ospite, generata a prima volta chì SSH hè cunfiguratu. Zeroize cumandamentu. Adupratu per identificà l'ospite.
Chjavi di sessione SSHv2 Chjave di sessione utilizata cù SSHv2 è cum'è chjave privata Diffie-Hellman. Cifratura: AES-128, AES-192, AES-256. MAC: HMAC-SHA-1, HMAC- SHA-2-256, HMAC-SHA2-512. Scambiu chjave: dh-group14-sha1, ECDH-sha2-nistp-256, ECDH-sha2-nistp-384, è ECDH-sha2-nistp-521. Ciclu di putenza è finisce a sessione. Chjave simmetrica utilizata per criptà e dati trà l'ospite è u cliente.
Chjave di autentificazione di l'utilizatori Hash di a password di l'utilizatore: SHA256, SHA512. Zeroize cumandamentu. Adupratu per autentificà un utilizatore à u modulu criptograficu.
Chjave di autentificazione Crypto Officer Hash di a password di u Crypto Officer: SHA256, SHA512. Zeroize cumandamentu. Adupratu per autentificà u Crypto Officer à u modulu criptograficu.
Semente HMAC DRBG Seme per u generatore di bit randon deterministicu (DRBG). Seed ùn hè micca guardatu da u modulu criptograficu. Adupratu per sementà DRBG.
HMAC DRBG V valore U valore (V) di a lunghezza di u bloccu di output (outlen) in bits, chì hè aghjurnatu ogni volta chì un altru outlen bits di output hè pruduttu. Ciclu di putenza. Un valore criticu di u statu internu di DRBG.
CSP Descrizzione Zeroize

Aduprà
Valore chjave HMAC DRBG U valore attuale di a chjave outlen-bit, chì hè aghjurnata almenu una volta ogni volta chì u mecanismu DRBG genera bit pseudo-aleatoriu. Ciclu di putenza. Un valore criticu di u statu internu di DRBG.
Entropia NDRNG Adupratu cum'è stringa di input di entropia à l'HMAC DRBG. Ciclu di putenza. Un valore criticu di u statu internu di DRBG.

In Junos OS in modu FIPS, tutti i CSP devenu entre è abbandunà u modulu criptograficu in forma criptata.
Ogni CSP criptatu cù un algoritmu micca appruvatu hè cunsideratu testu chjaru da FIPS.
BEST PRACTICE: Per u cumplimentu di u FIPS, cunfigurà u dispositivu nantu à e cunnessione SSH perchè sò cunnessione criptate.
I password lucali sò hashed cù l'algoritmu SHA256 o SHA512. A ricuperazione di password ùn hè micca pussibule in Junos OS in modu FIPS. Junos OS in modalità FIPS ùn pò micca avvià in modu unicu utilizatore senza a password di root curretta.
Capisce e Specifiche di Password è Linee Guida per Junos OS in Modu FIPS
Tutte e password stabilite per l'utilizatori da u Crypto Officer devenu cunfurmà cù i seguenti OS Junos in i requisiti di modalità FIPS. I tentativi di cunfigurà password chì ùn sò micca conformi à e seguenti specificazioni risultatu in un errore.

  • Lunghezza. I password deve cuntene trà 10 è 20 caratteri.
  • Esigenze di set di caratteri. I password deve cuntene almenu trè di i seguenti cinque setti di caratteri definiti:
  • Lettere maiuscule
  • Lettere minuscule
  • Cifre
  • Segni di puntuazione
  • I caratteri di u teclatu ùn sò micca inclusi in l'altri quattru setti, cum'è u signu di percentuale (%) è u ampersand (&)
  • Requisiti di autentificazione. Tutte e password è e chjave aduprate per autentificà i pari deve cuntene almenu 10 caratteri, è in certi casi u numeru di caratteri deve currisponde à a dimensione di digest.
  • Criptazione di password. Per cambià u metudu di crittografia predeterminatu (SHA512) include a dichjarazione di furmatu à u livellu di gerarchia [edità password di login di u sistema].

Linee guida per password forti. I password forti è riutilizzabili ponu esse basati nantu à lettere da una frasa o una parolla preferita è poi cuncatenate cù altre parolle senza relazione, inseme cù numeri aggiunti è puntuazione. In generale, una password forte hè:

  • Facile à ricurdà cusì chì l'utilizatori ùn sò micca tentati di scrive.
  • Custituitu da caratteri alfanumerichi misti è puntuazione. Per a conformità FIPS includenu almenu un cambiamentu di casu, unu o più cifre, è unu o più segni di puntuazione.
  • Cambiatu periodicamente.
  • Ùn divulgatu à nimu.
    Caratteristiche di password debuli. Ùn aduprate micca e seguenti password debule:
  • Parolle chì ponu esse truvate o esistenu cum'è una forma permutata in un sistema files cum'è /etc/passwd.
  • U nome d'ospitu di u sistema (sempre una prima ipotesi).
  • Ogni parolla o frasa chì appare in un dizziunariu o altra fonte cunnisciuta, cumpresi dizionari è tesaurus in lingue diverse da l'inglese; opere di scrittori classici o populari; o parolle cumuni è frasi da sport, detti, filmi o spettaculi televisivi.
  • Permutazioni nantu à qualsiasi di e sopra-per example, una parolla di dizziunariu cù lettere rimpiazzate cù cifre (r00t) o cù cifre aghjuntu à a fine.
  • Ogni password generata da a macchina. L'algoritmi riducenu u spaziu di ricerca di i prugrammi di guessing password è cusì ùn deve micca esse usatu.

Scaricamentu di pacchetti software da Juniper Networks
Pudete scaricà u pacchettu di software Junos OS per u vostru dispositivu da Juniper Networks websitu.
Prima di cumincià à scaricà u software, assicuratevi chì avete un Juniper Networks Web contu è un cuntrattu di supportu validu. Per ottene un contu, compie u furmulariu di iscrizzione in Juniper Networks websitu: https://userregistration.juniper.net/.
Per scaricà pacchetti software da Juniper Networks:

  1. Utilizendu a Web navigatore, seguitate i ligami per u scaricamentu URL nantu à i Juniper Networks webpagina. https://support.juniper.net/support/downloads/
  2. Accedi à u sistema di autentificazione di Juniper Networks utilizendu u nome d'utilizatore (in generale u vostru indirizzu e-mail) è a password furnita da i rapprisentanti di Juniper Networks.
  3. Scaricate u software. Vede Scaricamentu di u Software.

DOCUMENTAZIONE RELATIVA
Guida di installazione è aghjurnamentu
Installazione di u Software nantu à un Dispositivu cù un Single Routing Engine
Pudete aduprà sta prucedura per aghjurnà Junos OS nantu à u dispositivu cù un solu Motore di Routing.
Per installà l'aghjurnamenti di u software in un dispositivu cù un solu Motore di Routing:

  1. Scaricate u pacchettu di software cum'è descrittu in Scaricamentu di pacchetti software da Juniper Networks.
  2. Se ùn avete micca digià fattu, cunnette à u portu di cunsola in u dispusitivu da u vostru dispositivu di gestione, è accede à u Junos OS CLI.
  3. (Opcional) Eseguite una copia di salvezza di a cunfigurazione attuale di u software in una seconda opzione di almacenamento. Vede u Guida à l'installazione è l'aghjurnamentu di u software per struzzioni nantu à eseguisce stu compitu.
  4. (Opcional) Copia u pacchettu di software à u dispusitivu. Hè ricumandemu di utilizà FTP per copià file à u cartulare /var/tmp/.
    Stu passu hè facultativu perchè Junos OS pò ancu esse aghjurnatu quandu l'imaghjini di u software hè guardatu in un locu remoto. Queste struzzioni descrizanu u prucessu di aghjurnamentu di u software per i dui scenarii.
  5. Installa u novu pacchettu nantu à u dispusitivu: Per REMX2K-X8: user@host> dumanda vmhost software add
    Per RE1800: user@host> dumandà u software di u sistema aghjunghje
    Sustituisce u pacchettu cù unu di i percorsi seguenti:
    • Per un pacchettu di software in un repertoriu lucale nantu à u dispusitivu, utilizate /var/tmp/package.tgz.
    • Per un pacchettu di software in un servitore remotu, aduprate unu di i percorsi seguenti, rimpiazzà u pacchettu d'opzione variabile cù u nome di u pacchettu di software.
    ftp://hostname/pathname/package.tgz
    • ftp://hostname/pathname/package.tgz
  6. Reboot u dispusitivu per carica l'installazione:
    Per REMX2K-X8:
    user@host> dumandà u reboot vmhost
    Per RE1800:
    user@host> dumandà u reboot di u sistema
  7. Dopu chì u reboot hè finitu, accede è utilizate u cumandamentu di a versione di mostra per verificà chì a nova versione di u software hè stallata bè.
    user@host> mostra a versione
    Modellu: MX960
    Ghjugnu: 20.3X75-D30.1
    JUNOS OS Kernel 64-bit [20210722.b0da34e0_builder_stable_11-204ab] JUNOS OS libs [20210722.b0da34e0_builder_stable_11-204ab] JUNOS OS runtime [20210722] JUNOS OS0da34ab0_11_204 infurmazione di zona [20210722.b0da34e0_builder_stable_11-204ab] Pila di rete JUNOS è utilità [20210812.200100_builder_junos_203_x75_d30] JUNOS libs [20210812.200100_builder_junos_203_x75_d30] JUNOS OS libs compat32 [20210722.NOSstable_0_34_0. -compatibilità di -bit [11.b204da32e20210722_builder_stable_0-34ab] JUNOS libs compat0 [11_builder_junos_204_x32_d20210812.200100] JUNOS runtime [203]75_30_20210812.200100_JUNOS_203_75 flussu mx [30_builder_junos_20210812.200100_x203_d75] JUNOS py extensions30 [2_builder_junos_20210812.200100_x203_d75] JUNOS py extensions [30]20210812.200100_JUNOS_203_builder_junos_75_x30_d2] py base20210812.200100 [203_builder_junos_75_x30_d20210812.200100] JUNOS py base [203_builder_junos_75_x30_d20210722] JUNOS OS crypto [0_builder_junos_d34] JUNOS OS crypto [0. files [20210722.b0da34e0_builder_stable_11-204ab] JUNOS na telemetria [20.3X75-D30.1] JUNOS Security Intelligence [20210812.200100_builder_junos_203_x75_30_x32_20210812.200100] 203_builder_junos_75_x30_d20210812.200100] JUNOS mx runtime [203_builder_junos_75_x30_d20.3] Applicazione di telemetria JUNOS RPD [75X30.1-D20210812.200100 .203] Redis [75_builder_junos_30_x20210812.200100_d203] JUNOS probe utility [75_builder_junos_30_x20210812.200100_d203] JUNOS cumune piattaforma supportu [75_30_20.3_75_30.1_20210812.200100. JUNOS Openconfig [203X75-D30] Moduli di rete JUNOS mtx [20210812.200100_builder_junos_203_x75_d30] Moduli JUNOS [20210812.200100_builder_junos_203_x75_NOS moduli] [30_builder_junos_20210812.200100_x203_d75] JUNOS mx libs [30_builder_junos_20210812.200100_x203_d75] JUNOS SQL Sync Daemon [30_20210812.200100_203_JUNOS_75_30_20210812.200100_203. NOS mtx Data Plane Crypto Support [75_builder_junos_30_x20210812.200100_d203] JUNOS daemons [75_builder_junos_30_x20210812.200100_d203] JUNOS mx75_daemons30 XNUMX_dXNUMX] JUNOS appidd-mx daemon d'identificazione di l'applicazione [XNUMX_builder_junos_XNUMX_xXNUMX_dXNUMX] JUNOS Services URL Pacchettu di filtru [20210812.200100_builder_junos_203_x75_d30] JUNOS Services TLB Service PIC package [20210812.200100_builder_junos_203_x75_d30] JUNOS Services Telemetry [20210812.200100_x203_d75] 30] JUNOS Services TCP-LOG [20210812.200100_builder_junos_203_x75_d30] JUNOS Services SSL [20210812.200100_builder_junos_203_x75_d30] JUNOS Services SOFTWIRE20210812.200100 d203] JUNOS Services Stateful Firewall [75_builder_junos_30_x20210812.200100_d203] JUNOS Services RTCOM [75_builder_junos_30_x20210812.200100_d203] JUNOS Services RPM [75.NOS_30_builder_junos_junos_20210812.200100_203_builder_junos_d75] pacchettu [30_builder_junos_20210812.200100_x203_d75] JUNOS Services NAT [30_builder_junos_20210812.200100_x203_d75] JUNOS Services Mobile Subscriber Service Pacchetto Container
    [20210812.200100_builder_junos_203_x75_d30] JUNOS Services MobileNext Software Package [20210812.200100_builder_junos_203_x75_d30] JUNOS Services Logging Report Framework package [20210812.200100_builder_junos_203_x75_d30] JUNOS Services Logging Report Framework package [20210812.200100. ] JUNOS Services LL-PDF Container package [203_builder_junos_75_x30_d20210812.200100] JUNOS Services Jflow Container package [203_builder_junos_75_x30_d20210812.200100] Packet Services Inspection Packet JUNOS 203_builder_junos_75_x30_d20210812.200100] JUNOS Services IPSec [203_builder_junos_75_x30_d20210812.200100] JUNOS Services IDS [203.NOS_75builder_junos_d30] [20210812.200100_builder_junos_203_x75_d30] JUNOS Services Pacchettu di gestione di cuntenutu HTTP [20210812.200100_builder_junos_203_x75_d30] JUNOS Services Crypto [20210812.200100]203_75_30_XNUMX_builder_junos_XNUMX_xXNUMX_dXNUMX Portale tive è pacchettu di cuntenuti di consegna di cuntenutu
    [20210812.200100_builder_junos_203_x75_d30] JUNOS Services COS [20210812.200100_builder_junos_203_x75_d30] JUNOS AppId Services [20210812.200100_203_builder_junos] JUNOS AppId Services vel Gateways [75_builder_junos_30_x20210812.200100_d203] JUNOS Services AACL Container package [75_builder_junos_30_x20210812.200100_d203] JUNOS SDN Software Suite [75_builder_junos_30_x20210812.200100_d203] JUNOS SDN Software Suite [75 ] JUNOS Extension Toolkit [30_builder_junos_20210812.200100_x203_d75 ] JUNOS Packet Forwarding Engine Support (wrlinux30) [9_builder_junos_20210812.200100_x203_d75] JUNOS Packet Forwarding Engine Support (ulc) [30_builder_junos_20210812.200100_x203_d75] JUNOS Packet Forwarding Engine Support (ulc) [30_builder_junos_3_MX20.3_75PCSupporting] X30.1-D2000] JUNOS Packet Forwarding Engine Support (X20210812.200100) [ 203_builder_junos_75_x30_d20.3] JUNOS Packet Forwarding Engine Supportu FIPS [75X30.1-DXNUMX] JUNOS Packet Forwarding Engine Support (M/T Cumunu)
    [20210812.200100_builder_junos_203_x75_d30] Supportu per u Motore di Trasmissione di Pacchetti JUNOS (a poppa)

Capisce a Zeroization per sguassà i dati di u sistema per u Modu FIPS
IN STA SECTION
Perchè Zeroize? | 26
Quandu a Zeroize? | 26
Zeroization sguassate cumplettamente tutte l'infurmazioni di cunfigurazione nantu à i Motori di Routing, cumprese tutte e password di testu chjaru, secreti è chjavi privati ​​​​per SSH, criptografia locale, autentificazione locale è IPsec.
L'Ufficiale Crypto inizia u prucessu di zeroizendu inserendu a dumanda di cumanda operativa vmhost zeroize no-forwarding per REMX2K-X8 è dumandà u sistema zeroize per RE1800.
Trasmettitore di pressione d'integrazione di l'aria SHEARWATER 17001 - icona 3 ATTENZIONE: Eseguite a zeroizazione di u sistema cun cura. Dopu chì u prucessu di zeroization hè cumpletu, ùn ci hè micca dati nantu à u Routing Engine. U dispusitivu hè tornatu à u statu predeterminatu di fabbrica, senza alcunu utilizatori cunfigurati o cunfigurazione files.
Zeroization pò esse di tempu. Ancu s'è tutte e cunfigurazioni sò sguassate in uni pochi di sicondi, u prucessu di zeroizazione passa per soprascrive tutti i media, chì pò piglià un tempu considerableu secondu a dimensione di i media.
Perchè Zeroize?
U vostru dispositivu ùn hè micca cunsideratu cum'è un modulu criptograficu FIPS validu finu à chì tutti i paràmetri di sicurezza critichi (CSP) sò stati inseriti - o rientrati - mentre u dispusitivu hè in modu FIPS.
Per u rispettu di u FIPS 140-2, deve esse zero u sistema per sguassà l'infurmazioni sensibili prima di disattivà u modu FIPS in u dispusitivu.
Quandu si mette à Zeroize?
Cum'è Crypto Officer, eseguite zeroization in e seguenti situazioni:

  • Prima di attivà u modu di funziunamentu FIPS: Per preparà u vostru dispositivu per u funziunamentu cum'è un modulu criptograficu FIPS, eseguite a zeroizazione prima di attivà u modu FIPS.
  • Prima di disattivà u modu di funziunamentu FIPS: Per cumincià à ripurtà u vostru dispositivu per u funziunamentu non-FIPS, eseguite a zeroizazione prima di disattivà u modu FIPS in u dispusitivu.
    NOTA: Juniper Networks ùn sustene micca l'installazione di software non-FIPS in un ambiente FIPS, ma fà cusì pò esse necessariu in certi ambienti di prova. Assicuratevi di zeroize u sistema prima.

Zeroizing u Sistema
Per zeroize u vostru dispositivu, seguitate a prucedura sottu:

  1. Accedi à u dispusitivu cum'è Crypto Officer è da CLI, entre u cumandimu seguitu.
    Per REMX2K-X8:
    crypto-officer@host> dumanda vmhost zeroize no-forwarding VMHost Zeroization : Sguassà tutti i dati, cumprese a cunfigurazione è u log files ? [iè, nò] (nè) iè
    re0:
    Per REMX2K-X8:
    crypto-officer@host> sistema di dumanda zeroize
    Sistema Zeroization: Sguassate tutti i dati, cumprese a cunfigurazione è u log files ?
    [iè, nò] (nè) iè
    re0:
  2. Per inizià u prucessu di zeroizazione, scrivite sì à u promptatu:
    Sguassà tutte e dati, cumprese a cunfigurazione è u log files? [iè, no] (no) iè Sguassà tutti i dati, cumprese a cunfigurazione è u log files? [iè, nò] (nè) iè
    re0: ———————–avvertimentu: zeroizing
    re0……
    L'operazione sana pò piglià un tempu considerableu secondu a dimensione di i media, ma tutti i paràmetri di sicurezza critichi (CSP) sò eliminati in pochi seconde. L'ambiente fisicu deve esse sicuru finu à chì u prucessu di zeroization hè cumpletu.

Attivà u Modu FIPS
Quandu Junos OS hè stallatu in un dispositivu è u dispusitivu hè alimentatu, hè prontu per esse cunfiguratu.
Inizialmente, accede cum'è root d'utilizatore senza password. Quandu accede cum'è root, a vostra cunnessione SSH hè attivata per automaticamente.
Cum'è Crypto Officer, duvete stabilisce una password di root chì cunforma à i requisiti di password FIPS in "Capisce e Specifiche di Password è Linee Guida per Junos OS in Modu FIPS" à a pagina 20. Quandu attivate u Modu FIPS in Junos OS nantu à u dispusitivu, ùn pudete micca cunfigurà password. salvu ch'elli scontranu stu standard.
I password lucali sò criptati cù l'algoritmu di hash sicuru SHA256 o SHA512. A ricuperazione di password ùn hè micca pussibule in Junos OS in modu FIPS. Junos OS in modalità FIPS ùn pò micca avvià in modu unicu utilizatore senza a password di root curretta.
Per attivà u modu FIPS in Junos OS nantu à u dispusitivu:

  1. Zeroize u dispusitivu per sguassà tutti i CSP prima di entre in u modu FIPS. Vede a sezione "Capisce a Zeroization to Clear System Data for FIPS Mode" à a pagina 25 per i dettagli.
  2. Dopu chì u dispusitivu vene in 'Modu Amnesiac', login usendu username root è password "" (biancu).
    FreeBSD/amd64 (Amnesiac) (ttyu0) login: root
    - JUNOS 20.3X75-D30.1 Kernel 64-bit JNPR-11.0-20190701.269d466_buil root@:~ # cli root>
  3. Configurate l'autentificazione root cù password almenu 10 caratteri o più.
    root> editing Entra in u modu di cunfigurazione [edit] root# set system root-authentication plain-text-password
    Nova password:
    Riscrivite a nova password: [edit] root# commit commit cumpletu
  4. Caricate a cunfigurazione nantu à u dispositivu è impegnate una nova cunfigurazione. Configurate cripto-ufficiale è accede cù credenziali di cripto-ufficiale.
  5. Installa u pacchettu fips-mode necessariu per Routing Engine KATS.
    root@hostname> dumanda u software di u sistema aghjunghje optional://fips-mode.tgz
    Fips-mode verificatu firmatu da u metudu PackageDevelopmentEc_2017 ECDSA256 + SHA256
  6. Per i dispositi di a serie MX,
    • Configurate u fip di cunfini di u chassis per stabilisce u nivellu 1 di u nivellu di u chassis di u sistema di fips è commit.
    • Configurate RE boundary fips setendu sistemi fissi u nivellu 1 è commit.
    U dispusitivu pò visualizà a password criptata deve esse riconfigurata per utilizà l'avvisu di hash conforme à FIPS per sguassà i CSP più vechji in a cunfigurazione caricata.
  7. Dopu l'eliminazione è a ricunfigurazione di i CSP, l'impegnu passerà è u dispositivu hà bisognu di reboot per entre in u modu FIPS. [edit] crypto-officer@hostname# commit
    Generazione di chjave RSA /etc/ssh/fips_ssh_host_key
    Generazione di chjave RSA2 /etc/ssh/fips_ssh_host_rsa_key
    Generazione di a chjave ECDSA /etc/ssh/fips_ssh_host_ecdsa_key
    [edità] sistema
    reboot hè necessariu per a transizione à u nivellu FIPS 1 commit complete [edit] crypto-officer@hostname# run request vmhost reboot
  8. Dopu avè riavviatu u dispositivu, l'autotesti di FIPS curriranu è u dispusitivu entre in u modu FIPS. crypto-officer@hostname: fips>

DOCUMENTAZIONE RELATIVA
Capisce e Specifiche di Password è Linee Guida per Junos OS in Modu FIPS | 20
Configurazione di l'Ufficiale Crypto è Identificazione è Accessu di l'Utilizatori FIPS
IN STA SECTION
Configurazione di l'accessu di l'Ufficiale Crypto | 30
Configurazione di l'accessu di login d'utilizatori di FIPS | 32
Crypto Officer permette u modu FIPS in u vostru dispositivu è esegue tutte e funzioni di cunfigurazione per Junos OS in modu FIPS è emette tutti Junos OS in dichjarazioni è cumandamenti in modalità FIPS. Crypto Officer è e cunfigurazioni di l'utilizatori di FIPS anu da seguità Junos OS in modalità di guida FIPS.
Configurazione di l'accessu di l'Ufficiale Crypto
Junos OS in modalità FIPS offre una granularità più fine di permessi d'utilizatori cà quelli mandati da FIPS 140-2.
Per u rispettu di u FIPS 140-2, qualsiasi utilizatore di FIPS cù u segretu, a sicurità, u mantenimentu è u permessu di cuntrollu settatu hè un Crypto Officer. In a maiò parte di i casi, a classa super-utilizatori hè abbastanza per l'Ufficiale Crypto.
Per cunfigurà l'accessu di login per un Crypto Officer:

  1. Accedi à u dispusitivu cù a password di root se ùn l'avete micca digià fattu, è entre in u modu di cunfigurazione: root@hostname> edit Ingressu in modu di cunfigurazione [edit] root@hostname#
  2. Nominate u criptu-ufficiale di l'utilizatore è assignate à l'Ufficiale Crypto un ID d'utilizatore (per esample, 6400, chì deve esse un numeru unicu assuciatu cù u contu di login in u intervalu di 100 à 64000) è una classa (per ex.ample, super-utente). Quandu assignate a classa, assignate i permessi, per esempiuample, sicretu, sicurità, mantenimentu è cuntrollu.
    Per una lista di permessi, vede Capisce i Livelli di Privilege di Accessu OS Junos.
    [edit] root@hostname# set system login username uid value class class-name
    Per esampLe:
    [edit] root@hostname# set system login user crypto-officer uid 6400 class super-user
  3. Seguendu e linee guida in "Capisce e Specifiche di Password è Linee Guida per Junos OS in Modu FIPS" in a pagina 20, assignate à l'Ufficiale Crypto una password in testu chjaru per l'autentificazione di login. Stabilite a password scrivite una password dopu à i prompt New password è Retype new password.
    [edit] root@hostname# set system login username username class class-name autentificazione (plain-testpassword |
    password criptata)
    Per esampLe:
    [edit] root@hostname# set system login user crypto-officer class super-user autentificazione plaintext-password
  4. Opcionalmente, mostra a cunfigurazione:
    [edit] root@hostname# edità sistema
    [edit sistema] root@hostname# mostra
    login {
    utilizatore cripto-ufficiale {
    uid 6400;
    autentificazione {
    password criptata " "; ## SECRET-DATA
    }
    classe super-utilizatori;
    }
    }
  5. Sè avete finitu di cunfigurà u dispositivu, fate a cunfigurazione è esce:
    [edit] root@hostname# commit commit cumpletu
    root@hostname# exit

Configurazione di l'accessu di login di l'utilizatori FIPS
Un utilizatore-fips hè definitu cum'è qualsiasi utilizatore FIPS chì ùn hà micca u segretu, a sicurità, u mantenimentu è i pezzi di permessu di cuntrollu.
Cum'è l'Ufficiale Crypto cunfigurà utilizatori FIPS. L'utilizatori di FIPS ùn ponu micca cuncessi permessi normalmente riservati à l'Ufficiale Crypto, per esempiuample, permessu di zeroize u sistema.
Per cunfigurà l'accessu di login per un utilizatore FIPS:

  1. Accedi à u dispositivu cù a vostra password di Crypto Officer se ùn avete micca digià fattu, è entre in u modu di cunfigurazione:
    crypto-officer@hostname:fips> edità
    Entra in u modu di cunfigurazione
    [edit] crypto-officer@hostname:fips#
  2. Dà l'utilizatore, un nome d'utilizatore, è assignà à l'utilizatore un ID d'utilizatore (per esample, 6401, chì deve esse un numeru unicu in a gamma da 1 à 64000) è una classa. Quandu assignate a classa, assignate i permessi, per esempiuample, chjaru, reta, resettenview, è view- cunfigurazione.
    [edit] crypto-officer@hostname:fips# set system login username uid value class class-name Per exampLe:
    [edit] crypto-officer@hostname:fips# set up system login user fips-user1 uid 6401 class read-only
  3. Seguendu e linee guida in "Capisce e Specifiche di Password è Linee Guida per Junos OS in
    Modu FIPS" à a pagina 20, assignate à l'utente FIPS una password in testu chjaru per l'autentificazione di login. Stabilite a password scrivite una password dopu à i prompt New password è Retype new password.
    [edit] crypto-officer@hostname:fips# set system login username username class class-name autentificazione (plain-text-password | crypted-password)
    Per esampLe:
    [edit] crypto-officer@hostname:fips# set up system login user fips-user1 classa autentificazione in sola lettura in testu chjaru-password
  4. Opcionalmente, mostra a cunfigurazione:
    [edit] crypto-officer@hostname:fips# edità sistema [edit system] crypto-officer@hostname:fips# mostra
    login {
    user fips-user1 {
    uid 6401;
    autentificazione {
    password criptata " "; ## SECRET-DATA
    }
    classa solu lettura;
    }
    }
  5. Sè avete finitu di cunfigurà u dispositivu, fate a cunfigurazione è esce:
    [edit] crypto-officer@hostname:fips# commit
    crypto-officer@hostname:fips# exit

Configurazione di SSH è Console Connection

Configurazione di SSH nantu à a Configurazione Evaluata per FIPS
SSH attraversu l'interfaccia di gestione remota permessa in a cunfigurazione evaluata. Stu tema descrive cumu cunfigurà SSH attraversu a gestione remota.
I seguenti algoritmi chì deve esse cunfigurati per validà SSH per FIPS.
Per cunfigurà SSH nantu à u DUT:

  1. Specificate l'algoritmi di chjave d'ospiti SSH permessi per i servizii di u sistema.
    [edit] user@host# set system services ssh hostkey-algorithm ssh-ecdsa
    user@host# set system services ssh hostkey-algorithm no-ssh-dss
    user@host# set system services ssh hostkey-algorithm ssh-rsa
  2. Specificate u scambiu di chjave SSH per e chjave Diffie-Hellman per i servizii di u sistema.
    [edit] user@host# set system services ssh key-exchange dh-group14-sha1
    user@host# set system services ssh key-exchange ecdh-sha2-nistp256
    user@host# set system services ssh key-exchange ecdh-sha2-nistp384
    user@host# set system services ssh key-exchange ecdh-sha2-nistp521
  3. Specificate tutti l'algoritmi di codice d'autentificazione di missaghju permessi per SSHv2
    [edit] user@host# set system services ssh macs hmac-sha1
    user@host# set system services ssh macs hmac-sha2-256
    user@host# set system services ssh macs hmac-sha2-512
  4. Specificate i cifri permessi per a versione di u protocolu 2.
    [edit] user@host# set system services ssh ciphers aes128-cbc
    user@host# stabilisce i servizii di u sistema ssh ciphers aes256-cbc
    user@host# stabilisce i servizii di u sistema ssh ciphers aes128-ctr
    user@host# stabilisce i servizii di u sistema ssh ciphers aes256-ctr
    user@host# stabilisce i servizii di u sistema ssh ciphers aes192-cbc
    user@host# stabilisce i servizii di u sistema ssh ciphers aes192-ctr
    Algoritmu SSH hostkey supportatu:
    ssh-ecdsa Permette a generazione di ECDSA host-key
    ssh-rsa Permette a generazione di RSA host-key
    Algoritmu di scambiu di chjave SSH supportatu:
    ecdh-sha2-nistp256 L'EC Diffie-Hellman nantu à nistp256 cù SHA2-256
    ecdh-sha2-nistp384 L'EC Diffie-Hellman nantu à nistp384 cù SHA2-384
    ecdh-sha2-nistp521 L'EC Diffie-Hellman nantu à nistp521 cù SHA2-512
    Algoritmu MAC supportatu:
    hmac-sha1 MAC basatu in Hash utilizendu Secure Hash Algorithm (SHA1)
    hmac-sha2-256 MAC basatu in Hash utilizendu Secure Hash Algorithm (SHA2)
    hmac-sha2-512 MAC basatu in Hash utilizendu Secure Hash Algorithm (SHA2)
    Algoritmu di cifru SSH supportatu:
    aes128-cbc 128-bit AES cù Cipher Block Chaining
    aes128-ctr 128-bit AES cù Modu Counter
    aes192-cbc 192-bit AES cù Cipher Block Chaining
    aes192-ctr 192-bit AES cù Modu Counter
    aes256-cbc 256-bit AES cù Cipher Block Chaining
    aes256-ctr 256-bit AES cù Modu Counter

Configurazione di MACsec

Capisce a Sicurezza di Control di Access Media (MACsec) in u modu FIPS
Media Access Control Security (MACsec) hè una tecnulugia di sicurezza standard 802.1AE IEEE chì furnisce una cumunicazione sicura per tuttu u trafficu nantu à i ligami Ethernet. MACsec furnisce una sicurità puntu à puntu nantu à i ligami Ethernet trà i nodi cunnessi direttamente è hè capace di identificà è prevene a maiò parte di e minacce di sicurezza, cumprese a denegazione di serviziu, intrusione, man-in-the-middle, masquerading, wiretapping passivi, è attacchi di riproduzione.
MACsec vi permette di assicurà u ligame Ethernet puntu à puntu per quasi tuttu u trafficu, cumpresi i frames da u Protocolu di Discovery di Link Layer (LLDP), Link Aggregation Control Protocol (LACP), Dynamic Host Configuration Protocol (DHCP), Address Resolution Protocol (ARP), è altri protokolli chì ùn sò micca tipicamente assicurati in un ligame Ethernet per via di limitazioni cù altre soluzioni di sicurezza. MACsec pò esse usatu in cumminazione cù altri protokolli di sicurezza cum'è IP Security (IPsec) è Secure Sockets Layer (SSL) per furnisce una sicurezza di rete end-to-end.
MACsec hè standardizatu in IEEE 802.1AE. U standard IEEE 802.1AE pò esse vistu nantu à l'urganizazione IEEE websitu à IEEE 802.1: PONTE E GESTIONE.
Ogni implementazione di un algoritmu hè verificatu da una seria di test di risposta cunnisciuta (KAT) autotesti è validazioni di l'algoritmi criptografici (CAV). I seguenti algoritmi criptografici sò aghjuntu specificamente per MACsec.

  • Standard di crittografia avanzata (AES) - Codice di autenticazione di messagiu di cifratura (CMAC)
  • Avanzate Standard Encryption (AES) Chjave Wrap
    Per MACsec, in modu di cunfigurazione, aduprate u cumandimu promptatu per inserisce un valore di chjave secreta di 64 caratteri esadecimali per l'autentificazione.
    [edit] crypto-officer@hostname:fips# prompt security macsec connectivity-association pre-shared-key cak
    Torta nova (secretu):
    Riscrivite novu cak (secretu):

Customizing Time
Per persunalizà u tempu, disattivà NTP è stabilisce a data.

  1. Disattivà NTP.
    [edit] crypto-officer@hostname:fips# disattivà i gruppi di u sistema glubale ntp
    crypto-officer@hostname:fips# disattivà u sistema ntp
    crypto-officer@hostname:fips# commit
    crypto-officer@hostname:fips# exit
  2. Impostazione di data è ora. U furmatu di data è ora hè AAAAMMDDHHMM.ss
    [edit] crypto-officer@hostname:fips# data stabilita 201803202034.00
    crypto-officer@hostname:fips# set cli timestamp
  3. Stabbilisce i dettagli di u canali sicuru MACsec Key Agreement (MKA).
    [edit] crypto-officer@hostname:fips# set security macsec connectivity-association connectivity association-name secure-channel secure-channel-name direction (inbound | outbound) crypto-officer@hostname:fips# set security macsec connectivity-association connectivityassociation -name secure-channel secure-channel-name encryption (MACsec) crypto-officer@hostname:fips# set security macsec connectivity-association connectivityassociation-name secure-channel secure-channel-name id mac-address /"mac-address crypto- officer@hostname:fips# set security macsec connectivity-association connectivity-association-name secure-channel secure-channel-name id port-id port-id-number crypto-officer@hostname:fips# set security macsec connectivity-association connectivity-association connectivityassociation-name secure -channel secure-channel-name offset "(0|30|50) crypto-officer@hostname:fips# set security macsec connectivity-association connectivityassociation-name secure-channel secure-channel-name security-association security-associationnumber key key- stringa
  4. Pone u MKA in modu di sicurità.
    [edit] crypto-officer@hostname:fips# set security macsec connectivity-association connectivityassociation-name security-mode security-mode
  5. Assignà l'associazione di cunnessione cunfigurata cù una interfaccia MACsec specifica.
    [edit] crypto-officer@hostname:fips# set security interfaces macsec interface-name connectivityassociation connectivity-association-name

Configurazione Static MACsec cù ICMP Traffic
Per cunfigurà MACsec Static cù u trafficu ICMP trà u dispusitivu R0 è u dispusitivu R1:
In R0:

  1. Crea a chjave preshared cunfigurà u nome di a chjave di l'associazione di cunnessione (CKN) è a chjave di l'associazione di cunnessione (CAK)
    [edit] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 pre-sharedkey ckn 2345678922334455667788992223334445556667778889992222333344445555
    crypto-officer@hostname:fips# set security macsec connectivity-association CA1 pre-sharedkey cak 23456789223344556677889922233344 crypto-officer@hostname:fips# set security macsec connectivity-association CA1 offset 30
  2. Definite i valori di l'opzione di traccia.
    [edit] crypto-officer@hostname:fips# set security macsec traceoptions file MACsec.log
    crypto-officer@hostname:fips# set security macsec traceoptions file taglia 4000000000
    crypto-officer@hostname:fips# set security macsec traceoptions flag all
  3. Assignà a traccia à una interfaccia.
    [edit] crypto-officer@hostname:fips# set security interfaces macsec interface-name traceoptions file mka_xe size 1g crypto-officer@hostname:fips# set security interfaces macsec interface-name traceoptions flag all
  4. Configurate u modu di sicurità MACsec cum'è static-cak per l'associazione di cunnessione. [edit] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 security-mode static-cak
  5. Stabbilisce a priorità di u servitore chjave MKA.
    [edit] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 mka key-serverpriority 1
  6. Definite l'intervallu di trasmissione MKA.
    [edit] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 mka transmitinterval 3000
  7. Attivà u MKA sicuru.
    [edit] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 mka shouldsecure
    crypto-officer@hostname:fips# set security macsec connectivity-association CA1 include-sci
  8. Assignà l'associazione di cunnessione à una interfaccia.
    [edit] crypto-officer@hostname:fips# set security interfaces macsec interface-name connectivityassociation
    CA1
    crypto-officer@hostname:fips# set interfaces interface-name unit 0 family inet address 10.1.1.1/24

In R1:

  1. Crea a chjave preshared cunfigurà u nome di a chjave di l'associazione di cunnessione (CKN) è a chjave di l'associazione di cunnessione (CAK)
    [edit] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 pre-sharedkey ckn 2345678922334455667788992223334445556667778889992222333344445555 tion CA1 pre-sharedkey cak 23456789223344556677889922233344 crypto-officer@hostname:fips # set security macsec connectivity-association CA1 offset 30
  2. Definite i valori di l'opzione di traccia.
    [edit] crypto-officer@hostname:fips# set security macsec traceoptions file MACsec.log crypto-officer@hostname:fips# set security macsec traceoptions file taglia 4000000000 crypto-officer@hostname:fips# set security macsec traceoptions flag all
  3. Assignà a traccia à una interfaccia. [edit] crypto-officer@hostname:fips# set security interfaces macsec interface-name traceoptions file mka_xe size 1g crypto-officer@hostname:fips# set security interfaces macsec interface-name traceoptions flag all
  4. Configurate u modu di sicurità MACsec cum'è static-cak per l'associazione di cunnessione. [edit] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 security-mode static-cak
  5. Definite l'intervallu di trasmissione MKA.
    [edit] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 mka transmitinterval 3000
  6. Attivà u MKA sicuru. [edit] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 mka shouldsecure crypto-officer@hostname:fips# set security macsec connectivity-association CA1 include-sci
  7. Assignà l'associazione di cunnessione à una interfaccia. [edit] crypto-officer@hostname:fips# set security interfaces macsec interface-name connectivityassociation CA1 crypto-officer@hostname:fips# set interfaces interface-name unit 0 family inet address 10.1.1.2/24

Configurazione MACsec cù keychain usendu ICMP Traffic
Per cunfigurà MACsec cù keychain utilizendu u trafficu ICMP trà u dispusitivu R0 è u dispusitivu R1:
In R0:

  1. Assignà un valore di tolleranza à a catena chjave di autentificazione. [edit] crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 tolleranza 20
  2. Crea a password secreta per aduprà. Hè una stringa di cifre esadecimali finu à 64 caratteri. A password pò include spazii se a stringa di caratteri hè chjusa in virgolette. I dati secreti di u keychain sò usati cum'è CAK.
    [edit] crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 0 key-name 2345678922334455667788992223334445556667778889992222333344445551 catene-chiavi di autenticazione catena di chiavi macsec- kc1 key 0 start-time 2018-03-20.20:35 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key-name 1 key-name 2345678922334455667788992223334445556667778889992222333344445552 1 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 2018 start-time 03-20.20-37: 1 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc2 key 2345678922334455667788992223334445556667778889992222333344445553 key-name 1 2 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc2018 key 03 start-time 20.20-39-1:3 crypto-officer@hostname:fips# set security authentication-key-chains key- catena macsec-kc2345678922334455667788992223334445556667778889992222333344445554 key-name 1 key-name 3 crypto-officer@hostname:fips-key-start key-time-key-chain authentication 2018 03-20.20-41:1 crypto-officer@hostname:fips # set security authentication-key-chains key-chain macsec-kc4 key-name 2345678922334455667788992223334445556667778889992222333344445555 key-name 1@chay-chain crypto-officer sec-kc4 chjave 2018 start-time 03-20.20- 43: 1 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc5 key 2345678922334455667788992223334445556667778889992222333344445556 key-name 1 fips# set security authentication-key-chains key-chain macsec- kc5 key 2018 start-time 03-20.20-45:1 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc6 key 2345678922334455667788992223334445556667778889992222333344445557 key-name 1 6 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc2018 key 03 start-time 20.20-47-1: 7 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc2345678922334455667788992223334445556667778889992222333344445558 key 1 key-name 7 2018 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc03 key 20.20 start-time 49-XNUMX-XNUMX:XNUMX Aduprate u cumandimu promptatu per inserisce un valore di chjave secreta. Per esample, u valore di a chjave secreta hè 2345678922334455667788992223334123456789223344556677889922233341. [edit] crypto-officer@hostname:fips# prompt security authentication-chain key-chain re-chain macchains new key-chain cacchain (chiave secreta) cak (secret) : criptu-ufficiale @hostname:fips# prompt security authentication-key-chains key-chain macseckc1 key 0 secret New cak (secret):
    Retype new cak (secret): crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macseckc1 key 2 secret New cak (secretu):
    Retype new cak (secret): crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macseckc1 key 3 secret New cak (secret): Riscrivite new cak (secret): crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macseckc1 key 4 secret New cak (secret): Riscrivite new cak (secret): crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macseckc1 key 5 secret New cak (secret): Retype new cak (secret): crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macseckc1 key 6 secret New cak (secret): Riscrivite new cak (secret): crypto-officer @hostname:fips# prompt security authentication-key-chains key-chain macseckc1 key 7 secret New cak (secret): Riscrivite new cak (secret):
  3. Associà u nome di keychain preshared cù l'associazione di cunnessione.
    [edit] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 pre-sharedkey-chain macsec-kc1 crypto-officer@hostname:fips# set security macsec connectivity-association CA1 offset 50 crypto-officer@hostname:fips # set security macsec connectivity-association CA1 cipher-suite gcm-aes-256
    NOTA: U valore di cifru pò ancu esse stabilitu cum'è cipher-suite gcm-aes-128.
  4. Definite i valori di l'opzione di traccia.
    [edit] crypto-officer@hostname:fips# set security macsec traceoptions file MACsec.log crypto-officer@hostname:fips# set security macsec traceoptions file taglia 4000000000 crypto-officer@hostname:fips# set security macsec traceoptions flag all
  5. Assignà a traccia à una interfaccia. [edit] crypto-officer@hostname:fips# set security interfaces macsec interface-name traceoptions file mka_xe size 1g crypto-officer@hostname:fips# set security interfaces macsec interface-name traceoptions flag all
  6. Configurate u modu di sicurità MACsec cum'è static-cak per l'associazione di cunnessione. [edit] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 securitymode static-cak
  7. Stabbilisce a priorità di u servitore chjave MKA.
    [edit] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 mka keyserver-priority 1
  8. Definite l'intervallu di trasmissione MKA.
    [edit] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 mka transmitinterval 3000
  9. Attivà u MKA sicuru.
    [edit] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 include-sci
  10. Assignà l'associazione di cunnessione à una interfaccia.
    [edit] crypto-officer@hostname:fips# set security interfaces macsec interface-name connectivityassociation CA1
    crypto-officer@hostname:fips#
    set interfaces interface-name unit 0 family inet address 10.1.1.1/24

Per cunfigurà MACsec cù keychain per u trafficu ICMP:
In R1:

  1. Assignà un valore di tolleranza à a catena chjave di autentificazione.
    [edit] crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 tolleranza 20
  2. Crea a password secreta per aduprà. Hè una stringa di cifre esadecimali finu à 64 caratteri. A password pò include spazii se a stringa di caratteri hè chjusa in virgolette. I dati secreti di u keychain sò usati cum'è CAK.
    [edit] crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 0 key-name 2345678922334455667788992223334445556667778889992222333344445551 catene-chiavi di autenticazione catena di chiavi macsec- kc1 key 0 start-time 2018-03-20.20:35 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key-name 1 key-name 2345678922334455667788992223334445556667778889992222333344445552 1 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 2018 start-time 03-20.20-37: 1 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc2 key 2345678922334455667788992223334445556667778889992222333344445553 key-name 1 2 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc2018 key 03 start-time 20.20-39-1:3 crypto-officer@hostname:fips# set security authentication-key-chains key- catena macsec-kc2345678922334455667788992223334445556667778889992222333344445554 key-name 1 key-name 3 crypto-officer@hostname:fips-key-start key-time-key-chain authentication 2018 03-20.20-41:1 crypto-officer@hostname:fips # set security authentication-key-chains key-chain macsec-kc4 key-name 2345678922334455667788992223334445556667778889992222333344445555 key-name 1@chay-chain crypto-officer sec-kc4 chjave 2018 start-time 03-20.20- 43: 1 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc5 key 345678922334455667788992223334445556667778889992222333344445556 key-name 1 ps# set security authentication-key-chains key-chain macsec- kc5 key 2018 start-time 03-20.20-45:1 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc6 key 2345678922334455667788992223334445556667778889992222333344445557 key-name 1 6 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc2018 key 03 start-time 20.20-47-1: 7 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc2345678922334455667788992223334445556667778889992222333344445558 key 1 key-name 7 2018 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc03 key 20.20 start-time 49-XNUMX-XNUMX:XNUMX
    Aduprate u cumandimu promptatu per inserisce un valore di chjave secreta. Per esample, u valore di a chjave secreta hè 2345678922334455667788992223334123456789223344556677889922233341.
    [edit] crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macseckc1 key 0 secret
    Torta nova (secretu):
    Retype new cak (secret): crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macseckc1 key 1 secret New cak (secret): Riscrivite new cak (secret): crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macseckc1 key-chains key-chain macseckc2 key 1 secret New cak (secret): Riscrivite new cak (secret): crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macseckc3 key 1 secret New cak (secret): Retype new cak (secret): crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macseckc4 key XNUMX secret New cak (secret): Riscrivite new cak
    (secret):
    crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macseckc1 key 5 secret New cak (secret): Riscrivite new cak (secret):
    crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macseckc1 key 6 secret New cak (secret):
    Riscrivite novu cak (secretu):
    crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macseckc1 key 7 secret New cak (secret):
    Riscrivite novu cak (secretu):
  3. Associà u nome di keychain preshared cù l'associazione di cunnessione.
    [edit] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 pre-shared-key-chain macsec-kc1
    crypto-officer@hostname:fips# set security macsec connectivity-association CA1 offset 50 crypto-officer@hostname:fips# set security macsec connectivity-association CA1 cipher-suite gcm-aes-256
  4. Definite i valori di l'opzione di traccia.
    [edit] crypto-officer@hostname:fips# set security macsec traceoptions file MACsec.log crypto-officer@hostname:fips# set security macsec traceoptions file taglia 4000000000 crypto-officer@hostname:fips# set security macsec traceoptions flag all
  5. Assignà a traccia à una interfaccia.
    [edit] crypto-officer@hostname:fips# set security interfaces macsec interface-name traceoptions file mka_xe size 1g crypto-officer@hostname:fips# set security interfaces macsec interface-name traceoptions flag all
  6. Configurate u modu di sicurità MACsec cum'è static-cak per l'associazione di cunnessione.
    [edit] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 securitymode static-cak
  7. Stabbilisce a priorità di u servitore chjave MKA.
    [edit] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 mka keyserver-priority 1
  8. Definite l'intervallu di trasmissione MKA.
    [edit] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 mka transmitinterval 3000
  9. Attivà u MKA sicuru.
    [edit] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 include-sci
  10. Assignà l'associazione di cunnessione à una interfaccia.
    [edit] crypto-officer@hostname:fips# set security interfaces macsec interface-name connectivityassociation
    CA1
    crypto-officer@hostname:fips# set interfaces interface-name unit 0 family inet address 10.1.1.2/24

Configurazione Static MACsec per u Trafficu di Layer 2
Per cunfigurà MACsec staticu per u trafficu di u Layer 2 trà u dispusitivu R0 è u dispusitivu R1:
In R0:

  1. Stabbilisce a priorità di u servitore chjave MKA.
    [edit] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 mka key server-priority 1
  2. Crea a password secreta per aduprà. Hè una stringa di cifre esadecimali finu à 64 caratteri. A password pò include spazii se a stringa di caratteri hè chjusa in virgolette. I dati secreti di u keychain sò usati cum'è CAK.
    [edit] crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macseckc1 key 0 secret New cak (secret):
    Riscrivite novu cak (secretu):
    Per esample, u valore di a chjave secreta hè 2345678922334455667788992223334123456789223344556677889922233341.
  3. Associà u nome di keychain preshared cù l'associazione di cunnessione. [edit] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 pre-sharedkey-chain macsec-kc1 crypto-officer@hostname:fips# set security macsec connectivity-association CA1 offset 50 crypto-officer@hostname:fips # set security macsec connectivity-association CA1 cipher-suite gcm-aes-256
  4. Definite i valori di l'opzione di traccia. [edit] crypto-officer@hostname:fips# set security macsec traceoptions file MACsec.log crypto-officer@hostname:fips# set security macsec traceoptions file taglia 4000000000 crypto-officer@hostname:fips# set security macsec traceoptions flag all
  5. Assignà a traccia à una interfaccia. [edit] crypto-officer@hostname:fips# set security interfaces macsec interface-name traceoptions file mka_xe size 1g crypto-officer@hostname:fips# set security interfaces macsec interface-name traceoptions flag all
  6. Configurate u modu di sicurità MACsec cum'è static-cak per l'associazione di cunnessione.
    [edit] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 securitymode static-cak
  7. Stabbilisce a priorità di u servitore chjave MKA. [edit] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 mka key server-priority 1
  8. Definite l'intervallu di trasmissione MKA.
    [edit] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 mka transmitinterval 3000
  9. Attivà u MKA sicuru.
    [edit] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 include-sci
  10. Assignà l'associazione di cunnessione à una interfaccia.
    [edit] crypto-officer@hostname:fips# set security interfaces macsec interface-name connectivityassociation
    CA1
  11. Configurate VLAN tagandò.
    [edit] crypto-officer@hostname:fips# set interfaces interface-name1 flexible-vlan-tagging
    crypto-officer@hostname:fips# set interfaces interface-name1 incapsulation flexible Ethernet-services
    crypto-officer@hostname:fips#
    set interfaces interface-name1 unità 100 incapsulation vlanbridge
    crypto-officer@hostname:fips#
    set interfaces interface-name1 unità 100 vlan-id 100
    crypto-officer@hostname:fips# set interfaces interface-name2 flexible-vlan-tagging
    crypto-officer@hostname:fips# set interfaces interface-name2 incapsulation flexible Ethernet-services
    crypto-officer@hostname:fips#
    set interfaces interface-name2 unità 100 incapsulation vlanbridge
    crypto-officer@hostname:fips#
    set interfaces interface-name2 unità 100 vlan-id 100
  12. Configurate u duminiu ponte.
    [edit] crypto-officer@hostname:fips# set bridge-domains BD-110 domain-type bridge
    crypto-officer@hostname:fips# set bridge-domains BD-110 vlan-id 100
    crypto-officer@hostname:fips# set bridge-domains BD-110 interfaccia interfaccia-name1 100
    crypto-officer@hostname:fips# set bridge-domains BD-110 interfaccia interfaccia-name2 100

In R1:

  1. Crea a password secreta per aduprà. Hè una stringa di cifre esadecimali finu à 64 caratteri. U
    A password pò include spazii se a stringa di caratteri hè chjusa in virgolette. U portachiavi
    secret-data hè utilizatu cum'è CAK.
    [edit] crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macseckc1 key 0 secret
    Torta nova
    (secret):
    Riscrivite a nova torta
    (secret):
    Per esample, u valore di chjave secreta hè
    2345678922334455667788992223334123456789223344556677889922233341.
  2. Associà u nome di keychain preshared cù l'associazione di cunnessione.
    [edit] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 pre-sharedkey-chain
    macsec-kc1 crypto-officer@hostname:fips#
    set security macsec connectivity-association CA1 offset 50
    crypto-officer@hostname:fips# set security macsec connectivity-association CA1 cipher-suite gcm-aes-256
  3. Definite i valori di l'opzione di traccia.
    [edit] crypto-officer@hostname:fips# set security macsec traceoptions file MACsec.log
    crypto-officer@hostname:fips# set security macsec traceoptions file taglia 4000000000
    crypto-officer@hostname:fips# set security macsec traceoptions flag all
  4. Assignà a traccia à una interfaccia.
    [edit] crypto-officer@hostname:fips# set security interfaces macsec interface-name traceoptions file mka_xe taglia 1 g
    crypto-officer@hostname:fips# set security interfaces macsec interface-name traceoptions
    bandiera tutti
  5. Configurate u modu di sicurità MACsec cum'è static-cak per l'associazione di cunnessione.
    [edit] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 securitymode
    static-cak
  6. Stabbilisce a priorità di u servitore chjave MKA.
    [edit] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 mka key server-priority 1
  7. Definite l'intervallu di trasmissione MKA.
    [edit] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 mka transmitinterval
    3000
  8. Attivà u MKA sicuru.
    [edit] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 include-sci
  9. Assignà l'associazione di cunnessione à una interfaccia.
    [edit] crypto-officer@hostname:fips# set security interfaces macsec interface-name connectivityassociation CA1
  10. Configurate VLAN tagandò.
    [edit] crypto-officer@hostname:fips# set interfaces interface-name1 flexible-vlan-tagging
    crypto-officer@hostname:fips# set interfaces interface-name1 incapsulation flexible Ethernet-services
    crypto-officer@hostname:fips# set interfaces interface-name1 unità 100 incapsulation vlanbridge
    crypto-officer@hostname:fips#
    set interfaces interface-name1 unità 100 vlan-id 100
    crypto-officer@hostname:fips# set interfaces interface-name2 flexible-vlan-tagging
    crypto-officer@hostname:fips# set interfaces interface-name2 incapsulation flexible Ethernet-services
    crypto-officer@hostname:fips#
    set interfaces interface-name2 unità 100 incapsulation vlanbridge
    crypto-officer@hostname:fips#
    set interfaces interface-name2 unità 100 vlan-id 100
  11. Configurate u duminiu ponte.
    [edit] crypto-officer@hostname:fips# set bridge-domains BD-110 domain-type bridge
    crypto-officer@hostname:fips# set bridge-domains BD-110 vlan-id 100
    crypto-officer@hostname:fips# set bridge-domains BD-110 interfaccia interfaccia-name1 100
    crypto-officer@hostname:fips# set bridge-domains BD-110 interfaccia interfaccia-name2 100

Configurazione di MACsec cù keychain per u Traffic Layer 2

Per cunfigurà MACsec cù keychain per u trafficu ICMP trà u dispusitivu R0 è u dispusitivu R1:
In R0:

  1. Assignà un valore di tolleranza à a catena chjave di autentificazione.
    [edit] crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 tolleranza 20
  2. Crea a password secreta per aduprà. Hè una stringa di cifre esadecimali finu à 64 caratteri. A password pò include spazii se a stringa di caratteri hè chjusa in virgolette. I dati secreti di u keychain sò usati cum'è CAK.
    [edit] crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    key 0 key-name 2345678922334455667788992223334445556667778889992222333344445551
    crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    chjave 0 start-time 2018-03-20.20:35
    crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    key 1 key-name 2345678922334455667788992223334445556667778889992222333344445552
    crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    chjave 1 start-time 2018-03-20.20:37
    crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    key 2 key-name 2345678922334455667788992223334445556667778889992222333344445553
    crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    chjave 2 start-time 2018-03-20.20:39
    crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    key 3 key-name 2345678922334455667788992223334445556667778889992222333344445554
    crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    chjave 3 start-time 2018-03-20.20:41
    crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    key 4 key-name 2345678922334455667788992223334445556667778889992222333344445555
    crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    chjave 4 start-time 2018-03-20.20:43
    crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    key 5 key-name 2345678922334455667788992223334445556667778889992222333344445556
    crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    chjave 5 start-time 2018-03-20.20:45
    crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    key 6 key-name 2345678922334455667788992223334445556667778889992222333344445557
    crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    chjave 6 start-time 2018-03-20.20:47
    crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    key 7 key-name 2345678922334455667788992223334445556667778889992222333344445558
    crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    chjave 7 start-time 2018-03-20.20:49
    Aduprate u cumandimu promptatu per inserisce un valore di chjave secreta. Per esample, u valore di chjave secreta hè
    2345678922334455667788992223334123456789223344556677889922233341.
    [edit] crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macseckc1 key 0 secret
    Torta nova
    (secret):
    Riscrivite a nova torta
    (secret):
    crypto-officer@hostname:fips#
    prompt security authentication-key-chains key-chain macseckc1 key 1 secret
    Torta nova
    (secret):
    Riscrivite a nova torta
    (secret):
    crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macseckc1 key 2 secret
    Torta nova
    (secret):
    Riscrivite a nova torta
    (secret):
    crypto-officer@hostname:fips#
    prompt security authentication-key-chains key-chain macseckc1 key 3 secret
    Torta nova
    (secret):
    Riscrivite a nova torta
    (secret):
    crypto-officer@hostname:fips#
    prompt security authentication-key-chains key-chain macseckc1 key 4 secret
    Torta nova
    (secret):
    Riscrivite a nova torta
    (secret):
    crypto-officer@hostname:fips#
    prompt security authentication-key-chains key-chain macseckc1 key 5 secret
    Torta nova
    (secret):
    Riscrivite a nova torta
    (secret):
    crypto-officer@hostname:fips#
    prompt security authentication-key-chains key-chain macseckc1 key 6 secret
    Torta nova
    (secret):
    Riscrivite a nova torta
    (secret):
    crypto-officer@hostname:fips#
    prompt security authentication-key-chains key-chain macseckc1 key 7 secret
    Torta nova
    (secret):
    Riscrivite a nova torta
    (secret):
  3. Associà u nome di keychain preshared cù l'associazione di cunnessione.
    [edit] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 pre-sharedkey-chain
    macsec-kc1
    crypto-officer@hostname:fips#
    set security macsec connectivity-association CA1 cipher-suite
    gcm-aes-256
  4. Definite i valori di l'opzione di traccia.
    [edit] crypto-officer@hostname:fips# set security macsec traceoptions file MACsec.log
    crypto-officer@hostname:fips# set security macsec traceoptions file taglia 4000000000
    crypto-officer@hostname:fips# set security macsec traceoptions flag all
  5.  Assignà a traccia à una interfaccia.
    [edit] crypto-officer@hostname:fips# set security interfaces macsec interface-name traceoptions
    file mka_xe taglia 1 g
    crypto-officer@hostname:fips# set security interfaces macsec interface-name traceoptions
    bandiera tutti
  6. Configurate u modu di sicurità MACsec cum'è static-cak per l'associazione di cunnessione.
    [edit] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 securitymode
    static-cak
  7. Stabbilisce a priorità di u servitore chjave MKA.
    [edit] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 mka key server-priority 1
  8. Definite l'intervallu di trasmissione MKA.
    [edit] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 mka transmitinterval
    3000
  9. Attivà u MKA sicuru.
    [edit] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 include-sci
  10. Assignà l'associazione di cunnessione à una interfaccia.
    [edit] crypto-officer@hostname:fips# set security interfaces macsec interface-name connectivityassociation
    CA1
  11. Configurate VLAN tagandò.
    [edit] crypto-officer@hostname:fips# set interfaces interface-name1 flexible-vlan-tagging
    crypto-officer@hostname:fips# set interfaces interface-name1 incapsulation flexibleethernet-services
    crypto-officer@hostname:fips#
    set interfaces interface-name1 unità 100 incapsulation vlanbridge
    crypto-officer@hostname:fips#
    set interfaces interface-name1 unità 100 vlan-id 100
    crypto-officer@hostname:fips# set interfaces interface-name2 flexible-vlan-tagging
    crypto-officer@hostname:fips# set interfaces interface-name2 incapsulation flexibleethernet-services
    crypto-officer@hostname:fips#
    set interfaces interface-name2 unità 100 incapsulation vlanbridge
    crypto-officer@hostname:fips#
    set interfaces interface-name2 unità 100 vlan-id 100
  12.  Configurate u duminiu ponte.
    [edit] crypto-officer@hostname:fips# set bridge-domains BD-110 domain-type bridge
    crypto-officer@hostname:fips# set bridge-domains BD-110 vlan-id 100
    crypto-officer@hostname:fips# set bridge-domains BD-110 interfaccia interfaccia-name1 100
    crypto-officer@hostname:fips# set bridge-domains BD-110 interfaccia interfaccia-name2 100

In R1:

  1. Assignà un valore di tolleranza à a catena chjave di autentificazione.
    [edit] crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 tolleranza 20
  2. Crea a password secreta per aduprà. Hè una stringa di cifre esadecimali finu à 64 caratteri. A password pò include spazii se a stringa di caratteri hè chjusa in virgolette. I dati secreti di u keychain sò usati cum'è CAK.
    [edit] crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    key 0 key-name 2345678922334455667788992223334445556667778889992222333344445551
    crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    chjave 0 start-time 2018-03-20.20:35
    crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    key 1 key-name 2345678922334455667788992223334445556667778889992222333344445552
    crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    chjave 1 start-time 2018-03-20.20:37
    crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    key 2 key-name 2345678922334455667788992223334445556667778889992222333344445553
    crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    chjave 2 start-time 2018-03-20.20:39
    crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    key 3 key-name 2345678922334455667788992223334445556667778889992222333344445554
    crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    chjave 3 start-time 2018-03-20.20:41
    crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    key 4 key-name 2345678922334455667788992223334445556667778889992222333344445555
    crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    chjave 4 start-time 2018-03-20.20:43
    crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    key 5 key-name 2345678922334455667788992223334445556667778889992222333344445556
    crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    chjave 5 start-time 2018-03-20.20:45
    crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    key 6 key-name 2345678922334455667788992223334445556667778889992222333344445557
    crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    chjave 6 start-time 2018-03-20.20:47
    crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    key 7 key-name 2345678922334455667788992223334445556667778889992222333344445558
    crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    chjave 7 start-time 2018-03-20.20:49
    Aduprate u cumandimu promptatu per inserisce un valore di chjave secreta. Per esample, u valore di chjave secreta hè
    2345678922334455667788992223334123456789223344556677889922233341.
    [edit] crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macseckc1 key 0 secret
    Torta nova
    (secret):
    Riscrivite a nova torta
    (secret):
    crypto-officer@hostname:fips#
    prompt security authentication-key-chains key-chain macseckc1 key 1 secret
    Torta nova
    (secret):
    Riscrivite novu cak (secretu):
    crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macseckc1 key 2 secret
    Torta nova
    (secret):
    Riscrivite a nova torta
    (secret):
    crypto-officer@hostname:fips#
    prompt security authentication-key-chains key-chain macseckc1 key 3 secret
    Torta nova
    (secret):
    Riscrivite a nova torta
    (secret):
    crypto-officer@hostname:fips#
    prompt security authentication-key-chains key-chain macseckc1 key 4 secret
    Torta nova
    (secret):
    Riscrivite a nova torta
    (secret):
    crypto-officer@hostname:fips#
    prompt security authentication-key-chains key-chain macseckc1 key 5 secret
    Torta nova
    (secret):
    Riscrivite a nova torta
    (secret):
    crypto-officer@hostname:fips#
    prompt security authentication-key-chains key-chain macseckc1 key 6 secret
    Torta nova
    (secret):
    Riscrivite a nova torta
    (secret):
    crypto-officer@hostname:fips#
    prompt security authentication-key-chains key-chain macseckc1 key 7 secret
    Torta nova
    (secret):
    Riscrivite novu cak (secretu):
  3. Associà u nome di keychain preshared cù l'associazione di cunnessione.
    [edit] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 pre-sharedkey-chain
    macsec-kc1
    crypto-officer@hostname:fips#
    set security macsec connectivity-association CA1 cipher-suite
    gcm-aes-256
  4. Definite i valori di l'opzione di traccia.
    [edit] crypto-officer@hostname:fips# set security macsec traceoptions file MACsec.log
    crypto-officer@hostname:fips# set security macsec traceoptions file taglia 4000000000
    crypto-officer@hostname:fips# set security macsec traceoptions flag all
  5. Assignà a traccia à una interfaccia.
    [edit] crypto-officer@hostname:fips# set security interfaces macsec interface-name traceoptions
    file mka_xe taglia 1 g
    crypto-officer@hostname:fips# set security interfaces macsec interface-name traceoptions
    bandiera tutti
  6. Configurate u modu di sicurità MACsec cum'è static-cak per l'associazione di cunnessione.
    [edit] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 securitymode
    static-cak
  7. Stabbilisce a priorità di u servitore chjave MKA.
    [edit] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 mka keyserver-priority
  8. Definite l'intervallu di trasmissione MKA.
    [edit] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 mka transmitinterval
    3000
  9. Attivà u MKA sicuru.
    [edit] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 include-sci
  10. Assignà l'associazione di cunnessione à una interfaccia.
    [edit] crypto-officer@hostname:fips# set security interfaces macsec interface-name connectivityassociation
    CA1
  11. Configurate VLAN tagandò.
    [edit] crypto-officer@hostname:fips# set interfaces interface-name1 flexible-vlan-tagging
    crypto-officer@hostname:fips# set interfaces interface-name1 incapsulation flexibleethernet-services
    crypto-officer@hostname:fips#
    set interfaces interface-name1 unità 100 incapsulation vlanbridge
    crypto-officer@hostname:fips#
    set interfaces interface-name1 unità 100 vlan-id 100
    crypto-officer@hostname:fips# set interfaces interface-name2 flexible-vlan-tagging
    crypto-officer@hostname:fips# set interfaces interface-name2 incapsulation flexible Ethernet-services
    crypto-officer@hostname:fips#
    set interfaces interface-name2 unità 100 incapsulation vlanbridge
    crypto-officer@hostname:fips#
    set interfaces interface-name2 unità 100 vlan-id 100
  12. Configurate u duminiu ponte.
    [edit] crypto-officer@hostname:fips# set bridge-domains BD-110 domain-type bridge
    crypto-officer@hostname:fips# set bridge-domains BD-110 vlan-id 100
    crypto-officer@hostname:fips# set bridge-domains BD-110 interfaccia interfaccia-name1 100
    crypto-officer@hostname:fips# set bridge-domains BD-110 interfaccia interfaccia-name2 100

Configurazione di Logging Event

Event Logging Overview
A cunfigurazione valutata richiede a verificazione di i cambiamenti di cunfigurazione attraversu u logu di u sistema.
Inoltre, Junos OS pò:

  • Mandate risposti automatizati à l'eventi di auditu (creazione di l'entrata di syslog).
  • Permette à i gestori autorizati di esaminà i logs di audit.
  • Mandate auditu files à i servitori esterni.
  • Permette à i gestori autorizati di rinvià u sistema à un statu cunnisciutu.

U logging per a cunfigurazione evaluata deve catturà i seguenti avvenimenti:

  • Cambiamenti à i dati chjave secreti in a cunfigurazione.
  • Cambiamenti impegnati.
  • Login / logout di l'utilizatori.
  • Startup di u sistema.
  • Fallu di stabilisce una sessione SSH.
  • Stabilimentu / terminazione di una sessione SSH.
  • Cambiamenti à u tempu (sistema).
  • Terminazione di una sessione remota da u mecanismu di bloccu di sessione.
  • Terminazione di una sessione interattiva.

Inoltre, Juniper Networks ricumanda chì u logu ancu:

  • Capture tutti i cambiamenti à a cunfigurazione.
  • Almacene l'infurmazioni di logging remotamente.

Configurazione di Logging di l'Eventi à un Locale File
Pudete cunfigurà l'almacenamiento di l'infurmazioni di auditu à un locale file cù a dichjarazione syslog. Questu example stores logs in a file chjamatu Audit-File:
[edità u sistema] syslog {
file auditu-File;
}
Interpretazione di Missaghji Avvenimenti
A seguente output mostra cum'èampu missaghju di l'avvenimentu.
Feb 27 02: 33: 04 bm-a mgd[6520]: UI_LOGIN_EVENT: Login di l'utente "security-officer", classe "j-superuser"
[6520],
ssh-connection ", u modu di cliente
'cli'
Feb 27 02: 33: 49 bm-a mgd[6520]: UI_DBASE_LOGIN_EVENT: L'utilizatore "ufficiale di sicurità" entra in a cunfigurazione
modu
Feb 27 02: 38: 29 bm-a mgd[6520]: UI_CMDLINE_READ_LINE: User 'security-officier', cumanda 'run show
log
Log d'audit | grep LOGIN
Tabella 4 à pagina 69 descrive i campi per un missaghju di l'avvenimentu. Se l'utilità di registrazione di u sistema ùn pò micca determinà u valore in un campu particulari, un trattino (- ) appare invece.
Table 4: Campi in Missaghji Eventi

Campu Descrizzione Examples
volteamp U tempu quandu u missaghju hè statu generatu, in una di duie rapprisentazione:
• MMM-DD HH:MM:SS.MS+/-HH:MM, hè u mese, ghjornu, ora, minutu, secondu è millisecondu in u tempu lucale. L'ora è u minutu chì seguitanu u segnu più (+) o u segnu minus (-) hè l'offset di u fusu orariu lucale da u Tempu Universale Coordinatu (UTC).
• YYYY-MM-DDTHH:MM:SS.MSZ hè l'annu, u mese, u ghjornu, l'ora, u minutu, u sicondu è u millisecondu in UTC.		  U 27 di ferraghju 02:33:04 hè u più tempuamp spressione cum'è ora locale in i Stati Uniti.

2012-02-27T03:17:15.713Z is

2:33 AM UTC u 27 di ferraghju

2012.
hostname Nome di l'ospite chì originariamente hà generatu u messagiu.  router 1
prucessu Nome di u prucessu Junos OS chì hà generatu u missaghju.  mgd
ID di prucessu ID di prucessu UNIX (PID) di u prucessu Junos OS chì hà generatu u messagiu.  4153
TAG Missaghju di log di u sistema di Junos OS tag, chì identifica unicu u missaghju.  UI_DBASE_LOGOUT_EVENT
nome d'utilizatore Username di l'utilizatore chì hà iniziatu l'avvenimentu.  "admin"
missaghju-testu Descrizzione in lingua inglese di l'avvenimentu.  set: [sistema radius-server 1.2.3.4 secret]

Logging Changes to Secret Data
I seguenti sò examples of audit logs of events that can change the secret data. Ogni volta chì ci hè un cambiamentu in a cunfigurazione example, l'avvenimentu syslog deve catturà i logs sottu:
Jul 24 17:43:28 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: Utente "admin" set:
[Radiu di u sistema-server 1.2.3.4 secret] 24 Jul 17:43:28 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: Utenti "admin" set:
[accessu à u sistema di autentificazione di l'amministratore di l'utilizatori criptatu-password] Jul 24 17:43:28 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: Utenti "admin" set:
[System login user admin2 authentication encrypted-password] Ogni volta chì una cunfigurazione hè aghjurnata o cambiata, u syslog deve catturà questi logs:
Jul 24 18:29:09 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: User 'admin' rimpiazza:
[Radiu di sistema-server 1.2.3.4 secreto] Jul 24 18:29:09 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: User 'admin' rimpiazza:
[accessu à u sistema di l'autenticazione di l'amministratore di l'utente criptatu-password] Jul 24 18:29:09 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: User 'admin' rimpiazza:
[utenti di login di u sistema autentificazione amministratore criptatu-password] Per più infurmazione nantu à a cunfigurazione di i paràmetri è a gestione di u log files, vede u Sistema OS Junos
Riferimentu di i missaghji di log.
Avvenimenti di Login è Logout Utilizendu SSH
I missaghji di log di u sistema sò generati ogni volta chì un utilizatore tenta di accede à SSH cù successu o senza successu. L'avvenimenti di Logout sò ancu registrati. Per esample, i seguenti logs sò u risultatu di dui tentativi di autentificazione falluti, dopu un successu, è infine un logout:
Dic 20 23:17:35 bilbo sshd[16645]: Password falluta per op da 172.17.58.45 portu 1673 ssh2
Dic 20 23:17:42 bilbo sshd[16645]: Password falluta per op da 172.17.58.45 portu 1673 ssh2
Dic 20 23:17:53 bilbo sshd[16645]: Password accettata per op da 172.17.58.45 portu 1673 ssh2
Dec 20 23:17:53 bilbo mgd[16648]: UI_AUTH_EVENT: User autenticatu 'op' à u livellu di permessu
'operatore j'
Dec 20 23:17:53 bilbo mgd[16648]: UI_LOGIN_EVENT: User 'op' login, class 'j-operator' [16648] Dec 20 23:17:56 bilbo mgd[16648]: UI_CMDLINE_READ_LINE: User 'op', cumanda 'quit'
Dic 20 23:17:56 bilbo mgd[16648]: UI_LOGOUT_EVENT: Logout di l'utilizatori 'op'
Logging di Audit Startup
L'infurmazioni di auditu registrate includenu startups di Junos OS. Questu à u turnu identifica l'avvenimenti di startup di u sistema di auditu, chì ùn pò micca esse disattivatu o attivatu indipindente. Per esample, se Junos OS hè riavviatu, u logu di auditu cuntene l'infurmazioni seguenti:
20 dicembre 23:17:35 bilbo syslogd: esce da u signale 14
20 dicembre 23:17:35 bilbo syslogd: riavvia
20 dicembre 23:17:35 bilbo syslogd / kernel: 20 dicembre 23:17:35 init: syslogd (PID 19128) esce cù
status = 1
Dec 20 23:17:42 bilbo /kernel:
20 dicembre 23:17:53 init: syslogd (PID 19200) hà iniziatu

Eseguisce l'autotesti nantu à un dispositivu

Capisce l'autotest FIPS
U modulu criptograficu impone e regule di sicurità per assicurà chì i Juniper Networks Junos operanu
(Junos OS) in modu FIPS risponde à i requisiti di sicurezza di FIPS 140-2 Livellu 1. Per cunvalidà u
output di algoritmi criptografici appruvati per FIPS è pruvà l'integrità di certi moduli di u sistema,
u dispusitivu esegue a seguente serie di test di risposta cunnisciuta (KAT) autotest:

  • kernel_kats - KAT per e routine di criptografia di kernel
  • md_kats - KAT per limb è libc
  • openssl_kats - KAT per l'implementazione criptografica OpenSSL
  • quicksec_kats - KAT per l'implementazione criptografica di QuickSec Toolkit
  •  ssh_ipsec_kats - KAT per l'implementazione criptografica di SSH IPsec Toolkit
  • macsec_kats - KAT per l'implementazione criptografica MACsec

L'autotest KAT sò realizati automaticamente à l'iniziu. L'autotesti cundiziunali sò ancu realizati automaticamente per verificà i pacchetti di software firmati digitalmente, numeri aleatorii generati, coppie di chjave RSA è ECDSA, è e chjave inserite manualmente.
Se i KAT sò cumpletati cù successu, u log di u sistema (syslog) file hè aghjurnatu per vede i testi chì sò stati eseguiti.
Se ci hè fallimentu KAT, u dispusitivu scrive i dettagli in un log di sistema file, entra in u statu di errore FIPS (panicu) è riavvia.
U file show /var/log/messages cumanda mostra u logu di u sistema.
Pudete ancu eseguisce l'autotest FIPS emettendu u cumandimu di reboot vmhost di richiesta. Pudete vede i logs di autotest FIPS nantu à a cunsola quandu u sistema vene.
Example: Configurate l'autotest FIPS
Questu example mostra cumu cunfigurà l'autotest FIPS per eseguisce periodicamente.
Requisiti di Hardware è Software

  • Avete bisognu di privilegi amministrativi per cunfigurà l'autotest FIPS.
  • U dispusitivu deve esse eseguitu a versione evaluata di Junos OS in u software di modalità FIPS.

Overview
L'autotest FIPS hè custituitu da e seguenti suite di teste di risposta cunnisciute (KAT):

  • kernel_kats - KAT per e routine di criptografia di kernel
  • md_kats - KAT per libmd è libc
  • quicksec_kats - KAT per l'implementazione criptografica di QuickSec Toolkit
  • openssl_kats - KAT per l'implementazione criptografica OpenSSL
  • ssh_ipsec_kats - KAT per l'implementazione criptografica di SSH IPsec Toolkit
  • macsec_kats - KAT per l'implementazione criptografica MACsec
    In questu exampLe, l'autotest FIPS hè eseguitu à 9:00 AM in New York City, USA, ogni mercuri.

NOTA: Invece di testi settimanali, pudete cunfigurà e teste mensili includendu e dichjarazioni di u mese è di u ghjornu di u mese.
Quandu un autotest KAT falla, un missaghju di log hè scrittu à i missaghji di log di u sistema file cù i dettagli di u fallimentu di a prova. Allora u sistema hè in panicu è riavvia.
Configurazione rapida CLI
Per cunfigurà rapidamente questu example, copià i seguenti cumandamenti, incollà in un testu file, sguassate ogni interruzzione di linea, cambiate ogni dettagliu necessariu per currisponde à a vostra cunfigurazione di a rete, è poi copià è incollà i cumandamenti in a CLI à u nivellu di gerarchia [edità].
set system fips self-test periodic time start-time 09:00
set system fips autotest periodicu ghjornu di a settimana 3
Prucedura Step-by-Step
Per cunfigurà l'autotest FIPS, accede à u dispusitivu cù credenziali di criptu ufficiale:

  1. Configurate l'autotest FIPS per eseguisce à 9:00 AM ogni mercuri.
    [edità u sistema fips self-test] crypto-officer@hostname:fips# stabilisce l'ora di partenza periodica 09:00
    crypto-officer@hostname:fips# stabilisce periodicamente u ghjornu di a settimana 3
  2. Sè avete finitu di cunfigurà u dispusitivu, fate a cunfigurazione.
    [Edit system fips self-test] crypto-officer@hostname:fips# commit

Risultati
Da u modu di cunfigurazione, cunfirmate a vostra cunfigurazione emettendu u cumandamentu di u sistema di mostra. Se l'output ùn mostra micca a cunfigurazione prevista, ripetite l'istruzzioni in questu example per correggerà a cunfigurazione.
crypto-officer@hostname:fips# mostra sistema
fizzi {
autotest {
periodic {
l'ora di partenza "09:00";
ghjornu di a settimana 3;
}
}
}

Verificazione

Verificate chì a cunfigurazione funziona bè.
Verificà l'autotest FIPS

Scopu
Verificate chì l'autotest FIPS hè attivatu.
Azzione
Eseguite l'autotest FIPS manualmente emettendu u sistema di dumanda Fips autotest cumanda o reboot u dispusitivu.
Doppu l'emissione di u sistema di dumanda Fips autotest cumanda o reboot u dispusitivu, u logu di u sistema file hè aghjurnatu per vede i KAT chì sò eseguiti. À view u logu di u sistema file, emette u file mostra /var/log/ cumanda di missaghji.
user@host# file mostra /var/log/messages
RE KATS:
mgd: Esecuzione di autotest FIPS
mgd: Testing kernel KATS:
mgd: NIST 800-90 HMAC DRBG Test di Risposta Cunnisciuta: Passatu
mgd: DES3-CBC Test di risposta cunnisciuta: Passatu
mgd: HMAC-SHA1 Test di risposta cunnisciuta: Passatu
mgd: HMAC-SHA2-256 Test di risposta cunnisciuta: Passatu
mgd: SHA-2-384 Test di risposta cunnisciuta: Passatu
mgd: SHA-2-512 Test di risposta cunnisciuta: Passatu
mgd: AES128-CMAC Test di risposta cunnisciuta: Passatu
mgd: Test di risposta cunnisciuta AES-CBC: Passatu
mgd: Testing MACSec KATS:
mgd: AES128-CMAC Test di risposta cunnisciuta: Passatu
mgd: AES256-CMAC Test di risposta cunnisciuta: Passatu
mgd: Test di risposta cunnisciuta AES-ECB: Passatu
mgd: AES-KEYWRAP Test di risposta cunnisciuta: Passatu
mgd: Test di risposta cunnisciuta KBKDF: Passatu
mgd: Testa libmd KATS:
mgd: HMAC-SHA1 Test di risposta cunnisciuta: Passatu
mgd: HMAC-SHA2-256 Test di risposta cunnisciuta: Passatu
mgd: SHA-2-512 Test di risposta cunnisciuta: Passatu
mgd: Testa OpenSSL KATS:
mgd: NIST 800-90 HMAC DRBG Test di Risposta Cunnisciuta: Passatu
mgd: Test di risposta cunnisciuta FIPS ECDSA: Passatu
mgd: Test di risposta cunnisciuta ECDH FIPS: Passatu
mgd: Test di Risposta Cunnisciuta di FIPS RSA: Passatu
mgd: DES3-CBC Test di risposta cunnisciuta: Passatu
mgd: HMAC-SHA1 Test di risposta cunnisciuta: Passatu
mgd: HMAC-SHA2-224 Test di risposta cunnisciuta: Passatu
mgd: HMAC-SHA2-256 Test di risposta cunnisciuta: Passatu
mgd: HMAC-SHA2-384 Test di risposta cunnisciuta: Passatu
mgd: HMAC-SHA2-512 Test di risposta cunnisciuta: Passatu
mgd: Test di risposta cunnisciuta AES-CBC: Passatu
mgd: Test di risposta cunnisciuta AES-GCM: Passatu
mgd: ECDSA-SIGN Test di risposta cunnisciuta: Passatu
mgd: KDF-IKE-V1 Test di risposta cunnisciuta: Passatu
mgd: KDF-SSH-SHA256 Test di risposta cunnisciuta: Passatu
mgd: KAS-ECC-EPHEM-UNIFIED-NOKC Test di risposta cunnisciuta: Passatu
mgd: KAS-FFC-EPHEM-NOKC Test di risposta cunnisciuta: Passatu
mgd: Testing QuickSec 7.0 KATS:
mgd: NIST 800-90 HMAC DRBG Test di Risposta Cunnisciuta: Passatu
mgd: DES3-CBC Test di risposta cunnisciuta: Passatu
mgd: HMAC-SHA1 Test di risposta cunnisciuta: Passatu
mgd: HMAC-SHA2-224 Test di risposta cunnisciuta: Passatu
mgd: HMAC-SHA2-256 Test di risposta cunnisciuta: Passatu
mgd: HMAC-SHA2-384 Test di risposta cunnisciuta: Passatu
mgd: HMAC-SHA2-512 Test di risposta cunnisciuta: Passatu
mgd: Test di risposta cunnisciuta AES-CBC: Passatu
mgd: Test di risposta cunnisciuta AES-GCM: Passatu
mgd: SSH-RSA-ENC Test di risposta cunnisciuta: Passatu
mgd: SSH-RSA-SIGN Test di risposta cunnisciuta: Passatu
mgd: SSH-ECDSA-SIGN Test di risposta cunnisciuta: Passatu
mgd: KDF-IKE-V1 Test di risposta cunnisciuta: Passatu
mgd: KDF-IKE-V2 Test di risposta cunnisciuta: Passatu
mgd: Testing QuickSec KATS:
mgd: NIST 800-90 HMAC DRBG Test di Risposta Cunnisciuta: Passatu
mgd: DES3-CBC Test di risposta cunnisciuta: Passatu
mgd: HMAC-SHA1 Test di risposta cunnisciuta: Passatu
mgd: HMAC-SHA2-224 Test di risposta cunnisciuta: Passatu
mgd: HMAC-SHA2-256 Test di risposta cunnisciuta: Passatu
mgd: HMAC-SHA2-384 Test di risposta cunnisciuta: Passatu
mgd: HMAC-SHA2-512 Test di risposta cunnisciuta: Passatu
mgd: Test di risposta cunnisciuta AES-CBC: Passatu
mgd: Test di risposta cunnisciuta AES-GCM: Passatu
mgd: SSH-RSA-ENC Test di risposta cunnisciuta: Passatu
mgd: SSH-RSA-SIGN Test di risposta cunnisciuta: Passatu
mgd: KDF-IKE-V1 Test di risposta cunnisciuta: Passatu
mgd: KDF-IKE-V2 Test di risposta cunnisciuta: Passatu
mgd: Testing SSH IPsec KATS:
mgd: NIST 800-90 HMAC DRBG Test di Risposta Cunnisciuta: Passatu
mgd: DES3-CBC Test di risposta cunnisciuta: Passatu
mgd: HMAC-SHA1 Test di risposta cunnisciuta: Passatu
mgd: HMAC-SHA2-256 Test di risposta cunnisciuta: Passatu
mgd: Test di risposta cunnisciuta AES-CBC: Passatu
mgd: SSH-RSA-ENC Test di risposta cunnisciuta: Passatu
mgd: SSH-RSA-SIGN Test di risposta cunnisciuta: Passatu
mgd: KDF-IKE-V1 Test di risposta cunnisciuta: Passatu
mgd: Testu file integrità:
mgd: File Test di risposta cunnisciuta di integrità: Passatu
mgd: Testa l'integrità di criptu:
mgd: Integrità Crypto Testu di Risposta cunnisciuta: Passatu
mgd: Aspettate un exec AuthenticatiMAC/veriexec: senza impronta digitale (file=/sbin/kats/cannot-exec
pirate = 246 fileid=49356 gen=1 uid=0 pid=9384 ppid=9354 gppid=9352) per errore...
mgd: /sbin/kats/run-tests: /sbin/kats/cannot-exec: Errore di autenticazione
mgd: Autotest FIPS Passati
LC KATS:
12 settembre 10:50:44 network_macsec_kats_input xe- /0/0:0:
no> pic: 0 portu: 0 chan: 0 FIPS AES-256-GCM MACsec KATS encryption passò
12 settembre 10:50:50 network_macsec_kats_input xe- /0/1:0:
no> pic: 0 portu: 1 chan: 0 FIPS AES-256-GCM MACsec KATS encryption passò
12 settembre 10:50:55 network_macsec_kats_input xe- /0/0:0:
no> pic: 0 portu: 0 chan: 0 FIPS AES-256-GCM MACsec KATS decrittografia passata
12 settembre 10:50:56 network_macsec_kats_input xe- /0/2:0:
no> pic: 0 portu: 2 chan: 0 FIPS AES-256-GCM MACsec KATS encryption passò
12 settembre 10:51:01 network_macsec_kats_input xe- /0/1:0:
no> pic: 0 portu: 1 chan: 0 FIPS AES-256-GCM MACsec KATS decrittografia passata
12 settembre 10:51:02 network_macsec_kats_input xe- /0/2:0:
no> pic: 0 portu: 2 chan: 0 FIPS AES-256-GCM MACsec KATS decrittografia passata
12 settembre 10:51:06 network_macsec_kats_input xe- /0/3:0:
no> pic: 0 portu: 3 chan: 0 FIPS AES-256-GCM MACsec KATS encryption passò
12 settembre 10:51:12 network_macsec_kats_input xe- /0/3:0:
no> pic: 0 portu: 3 chan: 0 FIPS AES-256-GCM MACsec KATS decrittografia passata
12 settembre 10:51:17 network_macsec_kats_input xe- /0/4:0:
no> pic: 0 portu: 4 chan: 0 FIPS AES-256-GCM MACsec KATS encryption passò
12 settembre 10:51:17 network_macsec_kats_input xe- /0/4:0:
no> pic: 0 portu: 4 chan: 0 FIPS AES-256-GCM MACsec KATS decrittografia passata
12 settembre 10:51:26 network_macsec_kats_input xe- /0/5:0:
no> pic: 0 portu: 5 chan: 0 FIPS AES-256-GCM MACsec KATS encryption passò
12 settembre 10:51:27 network_macsec_kats_input xe- /0/5:0:
no> pic: 0 portu: 5 chan: 0 FIPS AES-256-GCM MACsec KATS decrittografia passata
12 settembre 10:51:36 network_macsec_kats_input xe- /0/6:0:
no> pic: 0 portu: 6 chan: 0 FIPS AES-256-GCM MACsec KATS encryption passò
12 settembre 10:51:36 network_macsec_kats_input xe- /0/6:0:
no> pic: 0 portu: 6 chan: 0 FIPS AES-256-GCM MACsec KATS decrittografia passata
12 settembre 10:51:44 network_macsec_kats_input xe- /0/7:0:
no> pic: 0 portu: 7 chan: 0 FIPS AES-256-GCM MACsec KATS encryption passò
12 settembre 10:51:44 network_macsec_kats_input xe- /0/7:0:
no> pic: 0 portu: 7 chan: 0 FIPS AES-256-GCM MACsec KATS decrittografia passata
12 settembre 10:51:51 network_macsec_kats_input xe- /0/8:0:
no> pic: 0 portu: 8 chan: 0 FIPS AES-256-GCM MACsec KATS encryption passò
12 settembre 10:51:51 network_macsec_kats_input xe- /0/8:0:
no> pic: 0 portu: 8 chan: 0 FIPS AES-256-GCM MACsec KATS decrittografia passata
12 settembre 10:51:58 network_macsec_kats_input xe- /0/9:0:
no> pic: 0 portu: 9 chan: 0 FIPS AES-256-GCM MACsec KATS encryption passò
12 settembre 10:51:58 network_macsec_kats_input xe- /0/9:0:
no> pic: 0 portu: 9 chan: 0 FIPS AES-256-GCM MACsec KATS decrittografia passata
12 settembre 10:52:05 network_macsec_kats_input xe- /0/10:0:
Slot no> pic: 0 portu: 10 chan: 0 FIPS AES-256-GCM MACsec KATS encryption passed
12 settembre 10:52:05 network_macsec_kats_input xe- /0/10:0:
Slot no> pic: 0 portu: 10 chan: 0 FIPS AES-256-GCM MACsec KATS decryption passò
12 settembre 10:52:12 network_macsec_kats_input xe- /0/11:0:
Slot no> pic: 0 portu: 11 chan: 0 FIPS AES-256-GCM MACsec KATS encryption passed
12 settembre 10:52:12 network_macsec_kats_input xe- /0/11:0:
Slot no> pic: 0 portu: 11 chan: 0 FIPS AES-256-GCM MACsec KATS decryption passò
12 settembre 10:52:20 network_macsec_kats_input xe- /1/0:0:
no> pic: 1 portu: 0 chan: 0 FIPS AES-256-GCM MACsec KATS encryption passò
12 settembre 10:52:20 network_macsec_kats_input xe- /1/0:0:
no> pic: 1 portu: 0 chan: 0 FIPS AES-256-GCM MACsec KATS decrittografia passata
12 settembre 10:52:27 network_macsec_kats_input xe- /1/1:0:
no> pic: 1 portu: 1 chan: 0 FIPS AES-256-GCM MACsec KATS encryption passò
12 settembre 10:52:28 network_macsec_kats_input xe- /1/1:0:
no> pic: 1 portu: 1 chan: 0 FIPS AES-256-GCM MACsec KATS decrittografia passata
12 settembre 10:52:34 network_macsec_kats_input xe- /1/2:0:
no> pic: 1 portu: 2 chan: 0 FIPS AES-256-GCM MACsec KATS encryption passò
Sensu
U logu di u sistema file mostra a data è l'ora chì i KAT sò stati eseguiti è u so statutu.

Cumandamenti operativi

sintassi
dumanda sistema zeroize
Descrizzione
Per RE1800, sguassate tutte l'infurmazioni di cunfigurazione nantu à i Motori di Routing è resettate tutti i valori chjave. Se u dispusitivu hà duali Motori di Routing, u cumandimu hè trasmessu à tutti i Motori di Routing in u dispusitivu. U cumandamentu elimina tutti i dati  files, cumpresi cunfigurazione persunalizata è log files, scollegando u files da i so cartulari. U cumandimu sguassate tutti i creati da l'utilizatori files da u sistema chì includenu tutte e password di testu chjaru, segreti è chjavi privati ​​​​per SSH, criptografia locale, autentificazione locale, IPsec, RADIUS, TACACS + è SNMP.
Stu cumandimu riavvia u dispusitivu è mette in a cunfigurazione predeterminata di fabbrica. Dopu à u reboot, ùn pudete micca accede à u dispusitivu attraversu l'interfaccia Ethernet di gestione. Accedi à traversu a cunsola cum'è root è avvia u Junos OS CLI scrivendu cli à u prompt.
Livellu di privilegiu necessariu
mantenimentu
dumanda vmhost zeroize no-forwarding
sintassi
dumanda vmhost zeroize no-forwarding
Descrizzione
Per REMX2K-X8, sguassate tutte l'infurmazioni di cunfigurazione nantu à i Motori di Routing è resettate tutti i valori chjave. Se u dispusitivu hà duali Motori di Routing, u cumandimu hè trasmessu à i dui Motori di Routing in u dispusitivu.
U cumandamentu elimina tutti i dati files, cumpresi cunfigurazione persunalizata è log files, scollegando u files da i so cartulari. U cumandimu sguassate tutti i creati da l'utilizatori files da u sistema, cumprese tutte e password in testu chjaru, sicreti è chjavi privati ​​​​per SSH, criptografia locale, autentificazione locale, IPsec, RADIUS, TACACS + è SNMP.
Stu cumandimu riavvia u dispusitivu è mette in a cunfigurazione predeterminata di fabbrica. Dopu à u reboot, ùn pudete micca accede à u dispusitivu attraversu l'interfaccia Ethernet di gestione. Accedi à traversu a cunsola cum'è l'utilizatore root è avvia u Junos OS CLI scrivite cli à u prompt.
Sample Risultatu
dumanda vmhost zeroize no-forwarding
user@host> dumanda vmhost zeroize no-forwarding
VMHost Zeroization: Sguassate tutte e dati, cumprese a cunfigurazione è u log files ?
[iè, nò] (nè) iè
re0:
avvisu: Vmhost riavviarà è ùn pò micca avvià senza
cunfigurazione
avvisu: Prucessu cù vmhost
zeroize
Zeroise discu internu secundariu
Procedendu cù zeroize nantu à u secundariu
discu
Dispositivu di muntatura in preparazione per
zeroize…
Pulizia di u discu di destinazione per zeroize
Zeroize fattu nantu à u mira
discu.
Zeroize di u discu secundariu
compie
Zeroize discu internu primariu
Procedendu cù zeroize in primariu
discu
/etc/ssh/ssh_host_ecdsa_key.pub
/etc/ssh/ssh_host_rsa_key
/etc/ssh/ssh_host_dsa_key.pub
/etc/ssh/ssh_host_rsa_key.pub
/etc/ssh/ssh_host_ecdsa_key
/etc/ssh/ssh_host_dsa_key
Dispositivu di muntatura in preparazione per
zeroize…
Pulizia di u discu di destinazione per zeroize
Zeroize fattu nantu à u mira
discu.
Zeroize di u discu primariu
compie
Zeroize
fattu
—(più)— Firmà
cron.
In attesa di PIDS:
6135.
.
Feb 16 14:59:33 jlaunchd: periodic-packet-services (PID 6181) terminate signal 15 mandatu
Feb 16 14:59:33 jlaunchd: smg-service (PID 6234) finisce u signale 15 mandatu
Feb 16 14:59:33 jlaunchd: identificazione di l'applicazione (PID 6236) finisce u signale 15 mandatu
Feb 16 14:59:33 jlaunchd: ifstate-tracing-process (PID 6241) finisce u signale 15 mandatu
Feb 16 14:59:33 jlaunchd: gestione di risorse (PID 6243) finisce u signale 15 mandatu
Feb 16 14:59:33 jlaunchd: carica (PID 6246) finisce u signale 15 mandatu
Feb 16 14:59:33 jlaunchd: serviziu di licenza (PID 6255) finisce u signale 15 mandatu
Feb 16 14:59:33 jlaunchd: ntp (PID 6620) finisce u signale 15 mandatu
Feb 16 14:59:33 jlaunchd: gkd-chassis (PID 6621) finisce u signale 15 mandatu
Feb 16 14:59:33 jlaunchd: gkd-lchassis (PID 6622) finisce u signale 15 mandatu
Feb 16 14:59:33 jlaunchd: routing (PID 6625) finisce u signale 15 mandatu
Feb 16 14:59:33 jlaunchd: sonet-aps (PID 6626) finisce u signale 15 mandatu
Feb 16 14:59:33 jlaunchd: operazioni remoti (PID 6627) finiscinu u signale 15 mandatu
Feb 16 14:59:33 jlaunchd: class-of-service
……..
99Logo JUNIPER

Documenti / Risorse

JUNIPER NETWORKS Junos OS Dispositivi valutati FIPS [pdfGuida di l'utente
Junos OS Dispositivi valutati FIPS, Junos OS, Dispositivi valutati FIPS, Dispositivi valutati, Dispositivi

Referenze

Lascia un cumentu

U vostru indirizzu email ùn serà micca publicatu. I campi obbligatori sò marcati *