Suaicheantas JUNIPERInnleadaireachd sìmplidheachd
Junos® OS
Leabhar-iùil rèiteachaidh measaidh FIPS airson
Innealan MX960, MX480, agus MX240

Clàr-innse seiche
1 LÌONRAICHEAN JUNIPER Innealan measaidh Junos OS FIPS
2 Thairisview
3 A 'rèiteachadh Teisteanasan Rianachd agus Sochairean
4 A 'rèiteachadh dhreuchdan agus dòighean dearbhaidh
5 A’ rèiteachadh SSH agus Ceangal Console
6 A’ rèiteachadh MACsec
7 A’ rèiteachadh MACsec le keychain airson Trafaic Sreath 2
8 A’ rèiteachadh Logadh Tachartas
9 Dèan fèin-dheuchainnean air inneal
10 Òrduighean obrachaidh
11 Sgrìobhainnean/Goireasan
11.1 Iomraidhean

LÌONRAICHEAN JUNIPER Innealan measaidh Junos OS FIPS

LÌONRAICHEAN JUNIPER Innealan Measaidh Junos OS FIPS 1LAOIDH
20.3X75-D30

Fiosrachadh mun chompanaidh Juniper Networks, Inc.
1133 Dòigh ùrachaidh
Sunnyvale, California 94089
Na Stàitean Aonaichte
408-745-2000
www.juniper.net
Tha Juniper Networks, suaicheantas Juniper Networks, Juniper, agus Junos nan comharran-malairt clàraichte de Juniper Networks, Inc.
anns na Stàitean Aonaichte agus dùthchannan eile. Is ann leis na sealbhadairean aca a tha a h-uile comharra-malairt, comharra seirbheis, comharran clàraichte, no comharran seirbheis clàraichte.
Chan eil Juniper Networks a’ gabhail uallach sam bith airson mearachd sam bith san sgrìobhainn seo. Tha Juniper Networks a’ glèidheadh ​​na còrach am foillseachadh seo atharrachadh, atharrachadh, a ghluasad no ath-sgrùdadh air dhòigh eile gun rabhadh.
Leabhar-iùil rèiteachaidh measaichte Junos® OS airson innealan MX960, MX480, agus MX240 20.3X75-D30
Còraichean glèidhte © 2023 Juniper Networks, Inc.
Tha am fiosrachadh san sgrìobhainn seo gnàthach bhon cheann-latha air duilleag an tiotail.
BLIADHNA 2000 FIOSRACHADH
Tha bathar-cruaidh is bathar-bog Juniper Networks a’ gèilleadh ri Bliadhna 2000. Chan eil fios aig Junos OS cuingeachaidhean co-cheangailte ri ùine tron ​​bhliadhna 2038. Ach, tha fios gu bheil beagan duilgheadas aig an tagradh NTP sa bhliadhna 2036.
AONTAINN CEADACHD CLEACHDADH DEIREANNACH
Tha an toradh Juniper Networks a tha na chuspair anns na sgrìobhainnean teignigeach seo air a dhèanamh suas de (no an dùil a chleachdadh leis) bathar-bog Juniper Networks. Tha cleachdadh a’ bhathar-bhog sin an urra ri teirmichean is cumhaichean Aonta Cead a’ Chleachdaiche Deireannach (“EULA”) air a phostadh aig https://support.juniper.net/support/eula/. Le bhith a’ luchdachadh sìos, a’ stàladh no a’ cleachdadh bathar-bog mar sin, tha thu ag aontachadh ri teirmichean is cumhaichean an EULA sin.

Mun Stiùireadh seo
Cleachd an iùl seo gus innealan MX960, MX480, agus MX240 obrachadh ann an àrainneachd Inbhean Pròiseas Fiosrachaidh Feadarail (FIPS) 140-2 Ìre 1. Tha FIPS 140-2 a’ mìneachadh ìrean tèarainteachd airson bathar-cruaidh is bathar-bog a bhios a’ coileanadh gnìomhan criptografach.
LAOIDH GHAIDHEALACH
Slatan-tomhais Coitcheann agus Teisteanasan FIPS

Thairisview

A’ tuigsinn Junos OS ann am Modh FIPS
ANNS AN EARRANN SEO

  • Àrd-ùrlaran agus Bathar-cruaidh le taic | 2
  • Mun Chrìoch Cryptographic air an inneal agad | 3
  • Mar a tha Modh FIPS eadar-dhealaichte bho mhodh neo-FIPS | 3
  • Tionndadh dearbhte de Junos OS ann am Modh FIPS | 3

Tha Inbhean Giullachd Fiosrachaidh Feadarail (FIPS) 140-2 a’ mìneachadh ìrean tèarainteachd airson bathar-cruaidh is bathar-bog a bhios a’ coileanadh gnìomhan criptografach. Tha an router Juniper Networks seo a tha a’ ruith siostam obrachaidh Juniper Networks Junos (Junos OS) ann am modh FIPS a’ cumail ri inbhe FIPS 140-2 Ìre 1.
Feumaidh obrachadh an router seo ann an àrainneachd FIPS 140-2 Ìre 1 modh FIPS a chomasachadh agus a rèiteachadh air na h-innealan bho eadar-aghaidh loidhne-àithne Junos OS (CLI).
Bidh an t-Oifigear Crypto a’ comasachadh modh FIPS ann an Junos OS agus a’ stèidheachadh iuchraichean agus faclan-faire airson an t-siostam agus luchd-cleachdaidh FIPS eile.
Àrd-ùrlaran le taic agus bathar-cruaidh
Airson nam feartan a tha air am mìneachadh san sgrìobhainn seo, bithear a’ cleachdadh na h-àrd-chabhsairean a leanas gus teisteanas FIPS fhaighinn:

Mun Chrìoch Cryptographic air an inneal agad
Feumaidh gèilleadh FIPS 140-2 crìoch criptografach comharraichte timcheall air gach modal criptografach air inneal. Tha Junos OS ann am modh FIPS a’ cur casg air a’ mhodal criptografach bho bhith a’ cur an gnìomh bathar-bog sam bith nach eil na phàirt den sgaoileadh le teisteanas FIPS, agus a’ ceadachadh dìreach algoirmean criptografach a tha ceadaichte le FIPS a chleachdadh. Chan urrainn dha paramadairean tèarainteachd èiginneach (CSPn), leithid faclan-faire agus iuchraichean, a dhol thairis air crìoch criptografach a’ mhodal ann an cruth gun chrioptachadh.
AN t-sreath OUTDOOR PLUS TOP Innealan ceangail sloc teine ​​​​agus cuir a-steach - Icon 1 Rabhadh: Chan eil taic ri feartan Virtual Chasis ann am modh FIPS. Na cuir air dòigh chassis mas-fhìor sa mhodh FIPS.

Mar a tha Modh FIPS eadar-dhealaichte bho mhodh neo-FIPS
Tha Junos OS ann am modh FIPS eadar-dhealaichte anns na dòighean a leanas bho Junos OS ann am modh neo-FIPS:

  • Bithear a’ dèanamh fèin-dheuchainnean de na h-algorithms criptografach uile aig àm tòiseachaidh.
  • Bithear a’ dèanamh fèin-dheuchainnean àireamh air thuaiream agus prìomh ghinealach gu leantainneach.
  • Tha algorithms criptografach lag leithid Data Encryption Standard (DES) agus MD5 ciorramach.
  • Chan fhaod ceanglaichean stiùiridh lag no neo-chrioptaichte a bhith air an rèiteachadh.
  • Feumaidh faclan-faire a bhith air an crioptachadh le algoirmean làidir aon-shligheach nach leig le dì-chrioptachadh.
  • Feumaidh faclan-faire rianaire a bhith co-dhiù 10 caractaran a dh’fhaid.

Tionndadh dearbhte de Junos OS ann am modh FIPS
Gus faighinn a-mach a bheil brath Junos OS air a dhearbhadh le NIST, faic an duilleag comhairliche gèillidh air an Juniper Networks Web làrach (https://apps.juniper.net/compliance/).
LAOIDH GHAIDHEALACH
A’ comharrachadh Lìbhrigeadh Bathar tèarainte | 7

A’ tuigsinn briathrachas FIPS agus Algorithms criptografach le taic
ANNS AN EARRANN SEO
Briathrachas | 4
Algorithms criptografach le taic | 5
Cleachd na mìneachaidhean air teirmean FIPS, agus algoirmean le taic gus do chuideachadh le bhith a’ tuigsinn Junos OS ann am modh FIPS.

Briathrachas
Paramadair tèarainteachd èiginneach (CSP)
Fiosrachadh co-cheangailte ri tèarainteachd - airson example, iuchraichean criptografach dìomhair is prìobhaideach agus dàta dearbhaidh leithid faclan-faire agus àireamhan aithneachaidh pearsanta (PINn) - a dh’ fhaodadh am foillseachadh no an atharrachadh aca tèarainteachd modal criptografach no am fiosrachadh a dhìonas e a mhilleadh. Airson mion-fhiosrachadh, faic “Tuigsinn na h-Àrainneachd Obrachaidh airson Junos OS ann am Modh FIPS” air duilleag 16.
Modal criptografach
An seata de bhathar-cruaidh, bathar-bog, agus firmware a bhios a’ buileachadh gnìomhan tèarainteachd aontaichte (a’ toirt a-steach algoirmean criptografach agus prìomh ghineadh) agus a tha taobh a-staigh na crìche criptografach.
FIPS
Inbhean Feadarail Giullachd Fiosrachaidh. Tha FIPS 140-2 a’ sònrachadh riatanasan airson modalan tèarainteachd agus criptografach. Tha Junos OS ann am modh FIPS a’ gèilleadh ri FIPS 140-2 Ìre 1.
dreuchd cumail suas FIPS
An dreuchd a tha an t-Oifigear Crypto a’ gabhail ris ann a bhith a’ coileanadh seirbheisean cumail suas corporra no cumail suas loidsigeach leithid breithneachadh bathar-cruaidh no bathar-bog. Airson gèilleadh FIPS 140-2, bidh an t-Oifigear Crypto a’ dèanamh neoni air an Einnsean Routing nuair a thig e a-steach agus a-mach à dreuchd cumail suas FIPS gus cuir às do gach iuchair dìomhair teacsa sìmplidh agus prìobhaideach agus CSPn gun dìon.
NOTA: Chan eil taic ri dreuchd cumail suas FIPS air Junos OS sa mhodh FIPS.
KATs
Deuchainnean freagairt aithnichte. Fèin-dheuchainnean siostaim a dhearbhas toradh algoirmean criptografach a chaidh aontachadh airson FIPS agus a’ dèanamh deuchainn air ionracas cuid de mhodalan Junos OS. Airson mion-fhiosrachadh, faic “Tuigsinn Fèin-dheuchainnean FIPS” air duilleag 73.
SSH
Pròtacal a chleachdas dearbhadh làidir agus crioptachadh airson ruigsinneachd iomallach thairis air lìonra neo-thèarainte. Bidh SSH a’ toirt seachad logadh a-steach iomallach, coileanadh prògram iomallach, file leth-bhreac, agus gnìomhan eile. Thathas an dùil a bhith na àite tèarainte airson rlogin, rsh, agus rcp ann an àrainneachd UNIX. Gus am fiosrachadh a chaidh a chuir thairis air ceanglaichean rianachd a dhèanamh tèarainte, cleachd SSHv2 airson rèiteachadh CLI. Ann an Junos OS, tha SSHv2 air a chomasachadh gu bunaiteach, agus tha SSHv1, nach eilear den bheachd gu bheil e tèarainte, ciorramach. Zeroization
Cur às do gach CSP agus dàta eile a chruthaich neach-cleachdaidh air inneal mus obraich e mar mhodal cryptographic FIPS no mar ullachadh airson innealan ath-chuir a-steach airson gnìomhachd nonFIPS.
Faodaidh an t-Oifigear Crypto an siostam a neoniachadh le àithne gnìomh CLI.
Algorithms criptografach le taic
Tha Clàr 1 air duilleag 6 a 'toirt geàrr-chunntas air taic algorithm protocol àrd-ìre.
Clàr 1: Pròtacalan ceadaichte ann am Modh FIPS

Pròtacal  Prìomh iomlaid Dearbhadh Cipher Ionracas
SSHv2 • dh-group14-sha1
• ECDH-sha2-nistp256
• ECDH-sha2-nistp384
• ECDH-sha2-nistp521		 Host (modal):
• ECDSA P-256
• SSH-RSA
Cliant (cleachdaiche):
• ECDSA P-256
• ECDSA P-384
• ECDSA P-521
• SSH-RSA		 • AES CTR 128
• AES CTR 192
• AES CTR 256
• AES CBC 128
• AES CBC 256		 • HMAC-SHA-1
• HMAC-SHA-256
• HMAC-SHA-512

Tha Clàr 2 air duilleag 6 a’ liostadh na ciphers le taic MACsec LC.
Clàr 2: Ciphers le taic MACsec LC
Ciphers le taic MACsec LC
AES-GCM-128
AES-GCM-256
Tha gach buileachadh de algairim air a sgrùdadh le sreath de fèin-dheuchainnean deuchainn freagairt aithnichte (KAT). Bidh fàilligeadh fèin-dheuchainn sam bith a’ leantainn gu staid mearachd FIPS.
AN CLEACHDADH IS FHEÀRR: Airson gèilleadh FIPS 140-2, na cleachd ach algoirmean cryptographic ceadaichte le FIPS Ann an Junos OS ann am modh FIPS.
Tha na h-algorithms criptografach a leanas a’ faighinn taic ann am modh FIPS. Bidh dòighean co-chothromach a’ cleachdadh an aon iuchair airson crioptachadh agus dì-chrioptachadh, agus bidh dòighean neo-chunbhalach a’ cleachdadh diofar iuchraichean airson crioptachadh agus dì-chrioptachadh.
AES
An Inbhe Crioptachaidh Adhartach (AES), air a mhìneachadh ann an FIPS PUB 197. Bidh an algairim AES a’ cleachdadh iuchraichean 128, 192, no 256 bit gus dàta a chrioptachadh agus a dhì-chrioptachadh ann am blocaichean de 128 buillean.
ECDH
Elliptic Curve Diffie-Hellman. Caochladh de phrìomh algairim iomlaid Diffie-Hellman a bhios a’ cleachdadh cryptography stèidhichte air structar ailseabrach lùban elliptic thairis air raointean crìochnaichte. Leigidh ECDH le dà phàrtaidh, gach fear le prìomh phaidhir poblach-prìobhaideach lùbte elliptic, dìomhaireachd co-roinnte a stèidheachadh thairis air seanal mì-chinnteach. Faodar an dìomhaireachd co-roinnte a chleachdadh an dàrna cuid mar iuchair no gus iuchair eile fhaighinn airson conaltradh às deidh sin a chrioptachadh le bhith a’ cleachdadh prìomh cipher co-chothromach.
ECDSA
Algorithm ainm-sgrìobhte didseatach Elliptic Curve. Caochladh den Algorithm Soidhnichean Didseatach (DSA) a bhios a’ cleachdadh cryptography stèidhichte air structar ailseabrach lùban elliptic thairis air raointean crìochnaichte. Bidh meud beagan an lùb elliptic a’ dearbhadh cho duilich ‘s a tha e an iuchair a dhì-chrioptachadh. Tha an iuchair phoblach a thathar a 'creidsinn a tha a dhìth airson ECDSA mu dhà uiread nas motha na an ìre tèarainteachd, ann am pìosan. Faodar ECDSA a’ cleachdadh na lùban P-256, P-384, agus P-521 a rèiteachadh fo OpenSSH.
HMAC
Air a mhìneachadh mar “Keyed-Hashing for Message Authentication” ann an RFC 2104, bidh HMAC a ’cothlamadh algorithms hashing le iuchraichean criptografach airson dearbhadh teachdaireachd. Airson Junos OS ann am modh FIPS, bidh HMAC a’ cleachdadh na gnìomhan hash cryptographic ath-aithris SHA-1, SHA-256, agus SHA-512 còmhla ri iuchair dhìomhair.
SHA-256 agus SHA-512
Algorithms hash tèarainte (SHA) a bhuineas don inbhe SHA-2 a tha air a mhìneachadh ann an FIPS PUB 180-2. Air a leasachadh le NIST, bidh SHA-256 a ’toirt a-mach cnàmhadh hash 256-bit, agus bidh SHA-512 a’ toirt a-mach cnàmhadh hash 512-bit.
LAOIDH GHAIDHEALACH
A' tuigsinn Fèin-dheuchainnean FIPS | 73
A' tuigsinn Zeroization gus Dàta an t-Siostaim a ghlanadh airson Modh FIPS | 25
A’ comharrachadh lìbhrigeadh toraidh tèarainte
Tha grunn dhòighean air an toirt seachad sa phròiseas lìbhrigidh gus dèanamh cinnteach gum faigh neach-ceannach toradh nach deach a thoirt seachadampair eirich le. Bu chòir don neach-ceannach na sgrùdaidhean a leanas a dhèanamh nuair a gheibhear inneal gus dearbhadh ionracas an àrd-ùrlar.

  • Bileag luingeis - Dèan cinnteach gu bheil an leubail luingeis ag aithneachadh gu ceart an t-ainm agus an seòladh teachdaiche ceart a bharrachd air an inneal.
  • Pacadh taobh a-muigh - Dèan sgrùdadh air a’ bhogsa luingeis taobh a-muigh agus teip. Dèan cinnteach nach deach an teip luingeis a ghearradh no a chuir an cunnart ann an dòigh eile. Dèan cinnteach nach deach am bogsa a ghearradh no a mhilleadh gus am faigh thu cothrom air an inneal.
  • Taobh a-staigh pacaidh - Dèan sgrùdadh air a’ phoca plastaig agus an ròn. Dèan cinnteach nach tèid am baga a ghearradh no a thoirt air falbh. Dèan cinnteach gu bheil an ròn fhathast slàn.

Ma chomharraicheas an neach-ceannach duilgheadas rè an sgrùdaidh, bu chòir dha no dhi fios a chuir chun t-solaraiche sa bhad. Thoir seachad àireamh òrduigh, àireamh tracadh, agus tuairisgeul air an duilgheadas a chaidh ainmeachadh don t-solaraiche.
A bharrachd air an sin, tha grunn sgrùdaidhean ann a dh’ fhaodar a dhèanamh gus dèanamh cinnteach gu bheil an neach-ceannach air bogsa fhaighinn a chuir Juniper Networks a-steach agus chan e companaidh eile a tha a’ masquerading mar Juniper Networks. Bu chòir don neach-ceannach na sgrùdaidhean a leanas a dhèanamh nuair a gheibh iad inneal gus dearbhadh dè cho cinnteach sa tha an inneal:

  • Dèan cinnteach gun deach an inneal òrdachadh a’ cleachdadh òrdugh ceannach. Cha tèid innealan Juniper Networks a-riamh a chuir air falbh às aonais òrdugh ceannach.
  • Nuair a thèid inneal a chuir air falbh, thèid fios giùlain a chuir chun t-seòladh post-d a thug an neach-ceannach seachad nuair a thèid an òrdugh a ghabhail. Dèan cinnteach gun d’ fhuaireadh am fios post-d seo. Dèan cinnteach gu bheil am fiosrachadh a leanas sa phost-d:
  • Àireamh òrdugh ceannach
  • Àireamh òrduigh Juniper Networks air a chleachdadh gus sùil a chumail air an luchd
  • Àireamh tracadh neach-giùlain air a chleachdadh gus sùil a chumail air an luchd
  • Liosta de stuthan a chaidh a chuir a-steach a’ toirt a-steach àireamhan sreathach
  • Seòladh agus fiosan an dà chuid an solaraiche agus an neach-ceannach
  • Dèan cinnteach gun deach an luchd a thòiseachadh le Juniper Networks. Gus dearbhadh gun deach luchd a thòiseachadh le Juniper Networks, bu chòir dhut na gnìomhan a leanas a choileanadh:
  • Dèan coimeas eadar àireamh tracadh neach-giùlain an àireamh òrduigh Juniper Networks a tha air a liostadh ann am fios luingeis Juniper Networks leis an àireamh tracadh air a’ phacaid a fhuaireadh.
  • Log a-steach air portal taic teachdaiche air-loidhne Juniper Networks aig https://support.juniper.net/support/ gu view staid an òrduigh. Dèan coimeas eadar an àireamh tracadh neach-giùlain no an àireamh òrduigh Juniper Networks a tha air a liostadh ann am fios luchdan Juniper Networks leis an àireamh tracadh air a’ phacaid a fhuaireadh.

Tuigsinn eadar-aghaidh riaghlaidh
Faodar na h-eadar-aghaidh riaghlaidh a leanas a chleachdadh anns an rèiteachadh a chaidh a mheasadh:

  • Eadar-aghaidh riaghlaidh ionadail - Tha am port tòcan RJ-45 air an inneal air a rèiteachadh mar uidheamachd crìochnachaidh dàta RS-232 (DTE). Faodaidh tu an eadar-aghaidh loidhne-àithne (CLI) a chleachdadh thairis air a’ phort seo gus an inneal a rèiteachadh bho cheann-uidhe.
  • Pròtacalan Riaghladh Iomallach - Faodar an inneal a riaghladh air astar thairis air eadar-aghaidh Ethernet sam bith. Is e SSHv2 an aon phròtacal riaghlaidh iomallach ceadaichte a dh’ fhaodar a chleachdadh anns an rèiteachadh a chaidh a mheasadh. Na pròtacalan riaghlaidh aig astar J-Web agus chan eil Telnet rim faighinn airson an cleachdadh air an inneal.

A 'rèiteachadh Teisteanasan Rianachd agus Sochairean

A’ tuigsinn na Riaghailtean Facal-faire Co-cheangailte airson Rianadair Ùghdarraichte
Tha an rianaire ùghdarraichte co-cheangailte ri clas logadh a-steach comharraichte, agus tha an rianadair air a shònrachadh leis a h-uile cead. Tha dàta air a stòradh gu h-ionadail airson dearbhadh facal-faire stèidhichte.
NOTA: Na cleachd caractaran smachd ann am faclan-faire.
Cleachd an stiùireadh a leanas agus roghainnean rèiteachaidh airson faclan-faire agus nuair a thaghas tu faclan-faire airson cunntasan rianadair ùghdarraichte. Bu chòir faclan-faire a bhith:

  • Furasta a chuimhneachadh gus nach bi luchd-cleachdaidh air am buaireadh gus a sgrìobhadh sìos.
  • Air atharrachadh bho àm gu àm.
  • Prìobhaideach agus gun a bhith air a roinn le duine sam bith.
  • Gabh a-steach co-dhiù 10 caractaran. Is e an fhad facal-faire as ìsle 10 caractaran.
    [ deasaich ] rianadair @ host # suidhich facal-faire logadh a-steach siostam an fhad as lugha 10
  • Cuir a-steach an dà chuid caractaran alphanumeric agus puingeachaidh, air a dhèanamh suas de mheasgachadh sam bith de litrichean mòra is beaga, àireamhan, agus caractaran sònraichte leithid, “!”, “@”, “#”, “$”, “%”, “^”, “ &", “*”, “(“, agus “)”.
    Bu chòir co-dhiù atharrachadh a bhith ann an aon chùis, aon fhigear no barrachd, agus aon no barrachd comharran puingeachaidh.
  • Gabh seata charactaran. Tha seataichean caractar dligheach a’ toirt a-steach litrichean mòra, litrichean beaga, àireamhan, puingeachadh, agus caractaran sònraichte eile.
    [ deasaich ] rianadair @ host # suidhich seata caractar seòrsa atharrachaidh facal-faire siostam
  • Cùm an àireamh as lugha de sheataichean charactaran no atharrachaidhean seata charactaran. Is e 3 an àireamh as lugha de sheataichean charactaran a tha a dhìth ann am faclan-faire teacsa sìmplidh ann an Junos FIPS.
    [ deasaich ] rianadair @ host # suidhich am facal-faire logadh a-steach siostam as ìsle-atharrachaidhean 3
  • Faodaidh an algairim hashing airson faclan-faire luchd-cleachdaidh a bhith an dàrna cuid SHA256 no SHA512 (SHA512 an algairim hashing bunaiteach).
    [ deasaich ] rianadair @ host # suidhich cruth facal-faire logadh a-steach siostam sha512
    NOTA: Bidh an inneal a’ toirt taic do phrìomh sheòrsan ECDSA (P-256, P-384, agus P-521) agus RSA (2048, 3072, agus 4092 modulus bit).
    Is e faclan-faire lag:
  • Faclan a dh’ fhaodadh a bhith air an lorg ann an cruth permuted ann an siostam no a bhith ann file leithid /etc/passwd.
  • Ainm aoigheachd an t-siostaim (an-còmhnaidh a’ chiad tomhas).
  • Faclan sam bith a’ nochdadh ann am faclair. Tha seo a’ gabhail a-steach faclairean a bharrachd air Beurla, agus faclan a lorgar ann an obraichean leithid Shakespeare, Lewis Carroll, Roget’s Thesaurus, agus mar sin air adhart. Tha an toirmeasg seo a’ toirt a-steach faclan agus abairtean cumanta bho spòrs, abairtean, filmichean, agus taisbeanaidhean telebhisean.
  • Atharrachadh air gin de na tha gu h-àrd. Airson example, facal faclair le fuaimreagan air a chuir na àite le àireamhan (airson example f00t) no le àireamhan air an cur ris an deireadh.
  • Facal-faire sam bith a ghineadh le inneal. Bidh algorithms a’ lughdachadh an àite sgrùdaidh ann am prògraman tomhas facal-faire agus mar sin cha bu chòir an cleachdadh.
    Faodaidh faclan-faire làidir ath-chleachdadh a bhith stèidhichte air litrichean bho abairt no facal as fheàrr leotha, agus an uairsin air an co-chòrdadh le faclan eile nach eil càirdeach dhaibh, còmhla ri àireamhan a bharrachd agus puingeachadh.

LAOIDH GHAIDHEALACH
A’ comharrachadh Lìbhrigeadh Bathar tèarainte | 7

A 'rèiteachadh dhreuchdan agus dòighean dearbhaidh

Tuigsinn Dreuchdan agus Seirbheisean airson Junos OS
ANNS AN EARRANN SEO
Dleastanas agus Dleastanasan Oifigear Crypto | 15
Dleastanas agus Dleastanasan Cleachdaiche FIPS | 15
Na thathar an dùil bhon h-uile neach-cleachdaidh FIPS | 16
Tha an Rianaire Tèarainteachd co-cheangailte ris a’ chlas logadh a-steach tèarainteachd-admin, aig a bheil an cead riatanach gus leigeil leis an rianaire a h-uile gnìomh a choileanadh a tha riatanach gus Junos OS a riaghladh. Feumaidh luchd-cleachdaidh rianachd (Rianaire Tèarainteachd) dàta aithneachaidh agus dearbhaidh sònraichte a thoirt seachad mus tèid cothrom rianachd sam bith air an t-siostam a thoirt seachad.
Tha dreuchdan agus dleastanasan an Rianadair Tèarainteachd mar a leanas:

  1. Faodaidh an Rianaire Tèarainteachd rianachd gu h-ionadail agus air astar.
  2. Cruthaich, atharraich, cuir às do chunntasan rianadair, a’ toirt a-steach rèiteachadh paramadairean teip dearbhaidh.
  3. Dèan ath-chomasachadh cunntas rianadair.
  4. Uallach airson rèiteachadh agus cumail suas eileamaidean criptografach co-cheangailte ri stèidheachadh cheanglaichean tèarainte gu agus bhon toradh a chaidh a mheasadh.

Tha siostam obrachaidh Juniper Networks Junos (Junos OS) a tha a’ ruith ann am modh neo-FIPS a’ ceadachadh raon farsaing de chomasan do luchd-cleachdaidh, agus tha dearbhadh stèidhichte air dearbh-aithne. An coimeas ri sin, tha inbhe FIPS 140-2 a’ mìneachadh dà dhreuchd neach-cleachdaidh: Oifigear Crypto agus neach-cleachdaidh FIPS. Tha na dreuchdan sin air am mìneachadh a thaobh comasan luchd-cleachdaidh Junos OS.
Feumaidh a h-uile seòrsa cleachdaiche eile a tha air a mhìneachadh airson Junos OS ann am modh FIPS (gnìomhaiche, neach-cleachdaidh rianachd, agus mar sin air adhart) a bhith ann an aon den dà roinn: Oifigear Crypto no neach-cleachdaidh FIPS. Air an adhbhar seo, tha dearbhadh luchd-cleachdaidh ann am modh FIPS stèidhichte air dreuchd seach air dearbh-aithne.
Bidh Oifigear Crypto a’ coileanadh a h-uile gnìomh rèiteachaidh co-cheangailte ri modh FIPS agus a’ toirt a-mach a h-uile aithris agus àithne airson Junos OS ann am modh FIPS. Feumaidh rèiteachadh Oifigear Crypto agus cleachdaiche FIPS an stiùireadh airson Junos OS a leantainn ann am modh FIPS.
Dleastanas agus Dleastanasan Oifigear Crypto
Is e an t-Oifigear Crypto an neach le uallach airson comas, rèiteachadh, sgrùdadh agus cumail suas Junos OS ann am modh FIPS air inneal. Bidh an t-Oifigear Crypto a’ stàladh Junos OS gu tèarainte air an inneal, a’ comasachadh modh FIPS, a’ stèidheachadh iuchraichean agus faclan-faire airson luchd-cleachdaidh eile agus modalan bathar-bog, agus a’ tòiseachadh an inneal ro cheangal lìonra.
CLEACHDADH IS FEARR: Tha sinn a’ moladh gum bi an t-Oifigear Crypto a’ rianachd an t-siostam ann an dòigh thèarainte le bhith a’ cumail faclan-faire tèarainte agus a’ sgrùdadh sgrùdadh files.
Tha na ceadan a tha eadar-dhealaichte bhon Oifigear Crypto bho luchd-cleachdaidh FIPS eile dìomhair, tèarainteachd, cumail suas agus smachd. Airson gèilleadh FIPS, sònraich an t-Oifigear Crypto gu clas logadh a-steach anns a bheil na ceadan sin uile. Faodaidh neach-cleachdaidh le cead cumail suas Junos OS leughadh files anns a bheil paramadairean tèarainteachd èiginneach (CSPn).
NOTA: Chan eil Junos OS ann am modh FIPS a’ toirt taic do dhreuchd cumail suas FIPS 140-2, a tha eadar-dhealaichte bho chead cumail suas Junos OS.
Am measg nan gnìomhan co-cheangailte ri Junos OS ann am modh FIPS, thathar an dùil gun dèan an t-Oifigear Crypto:

  • Suidhich am facal-faire root tùsail. Bu chòir fad am facal-faire a bhith co-dhiù 10 caractaran.
  • Ath-shuidhich faclan-faire cleachdaiche le algorithms a tha ceadaichte le FIPS.
  • Dèan sgrùdadh air log agus sgrùdadh files airson tachartasan inntinneach.
  • Sguab às a ghineadh leis an neach-cleachdaidh files, iuchraichean, agus dàta le bhith a 'zeroizing an inneal.

Dleastanas agus Dleastanasan Cleachdaiche FIPS
Faodaidh a h-uile neach-cleachdaidh FIPS, a’ gabhail a-steach an Oifigear Crypto view an rèiteachadh. Is e dìreach an neach-cleachdaidh a chaidh a shònrachadh mar Oifigear Crypto as urrainn an rèiteachadh atharrachadh.
Tha na ceadan a tha ag eadar-dhealachadh Oifigearan Crypto bho luchd-cleachdaidh FIPS eile dìomhair, tèarainteachd, cumail suas agus smachd. Airson gèilleadh FIPS, sònraich an cleachdaiche FIPS gu clas anns nach eil gin de na ceadan sin.
Faodaidh neach-cleachdaidh FIPS view toradh inbhe ach chan urrainn dha an inneal ath-thòiseachadh no neoni.
Na thathar an dùil bhon h-uile neach-cleachdaidh FIPS
Feumaidh a h-uile neach-cleachdaidh FIPS, an t-Oifigear Crypto nam measg, cumail ri stiùiridhean tèarainteachd fad na h-ùine.
Feumaidh a h-uile neach-cleachdaidh FIPS:

  • Cùm a h-uile facal-faire dìomhair.
  • Sàbhail innealan agus sgrìobhainnean ann an àite tèarainte.
  • Cleachd innealan ann an àiteachan tèarainte.
  • Thoir sùil air sgrùdadh files bho àm gu àm.
  • Gèilleadh ri riaghailtean tèarainteachd 140-2 FIPS eile.
  • Lean an stiùireadh seo:
    • Tha earbsa aig luchd-cleachdaidh.
    • Bidh luchd-cleachdaidh a' cumail ris a h-uile stiùireadh tèarainteachd.
    • Chan eil luchd-cleachdaidh a dh'aona ghnothaich a 'cur an aghaidh tèarainteachd
    • Bidh luchd-cleachdaidh gan giùlan fhèin gu ciallach fad na h-ùine.

LAOIDH GHAIDHEALACH
Tha inneal Juniper Networks a tha a’ ruith siostam-obrachaidh Juniper Networks Junos (Junos OS) ann am modh FIPS a’ cruthachadh seòrsa sònraichte de dh’ àrainneachd obrachaidh bathar-cruaidh is bathar-bog a tha eadar-dhealaichte bho àrainneachd inneal ann am modh neo-FIPS:

Àrainneachd bathar-cruaidh airson Junos OS ann am modh FIPS
Bidh Junos OS ann am modh FIPS a’ stèidheachadh crìoch criptografach san inneal nach urrainn dha crìochan tèarainteachd èiginneach (CSPn) a dhol tarsainn le bhith a’ cleachdadh teacsa shìmplidh. Tha gach pàirt bathar-cruaidh den inneal a dh’ fheumas crìoch criptografach airson gèilleadh 140-2 FIPS na mhodal criptografach air leth. Tha dà sheòrsa bathar-cruaidh ann le crìochan criptografach ann an Junos OS ann am modh FIPS: aon airson gach Einnsean Routing agus aon airson chassis slàn anns a bheil cairt LC MPC7E-10G. Bidh gach pàirt na mhodal criptografach air leth. Feumaidh conaltradh le CSPn eadar na h-àrainneachdan tèarainte sin tachairt a’ cleachdadh crioptachadh.
Chan eil modhan criptografach an àite tèarainteachd corporra. Feumaidh am bathar-cruaidh a bhith suidhichte ann an àrainneachd chorporra thèarainte. Chan fhaod luchd-cleachdaidh de gach seòrsa iuchraichean no faclan-faire fhoillseachadh, no leigeil le luchd-obrach gun chead clàran sgrìobhte no notaichean fhaicinn.
Àrainneachd bathar-bog airson Junos OS ann am Modh FIPS
Tha inneal Juniper Networks a tha a’ ruith Junos OS ann am modh FIPS a’ cruthachadh seòrsa sònraichte de dh’ àrainneachd obrachaidh nach gabh atharrachadh. Gus an àrainneachd seo a choileanadh air an inneal, tha an siostam a 'cur casg air binary sam bith a chur gu bàs file cha robh sin na phàirt den Junos OS le teisteanas ann an cuairteachadh modh FIPS. Nuair a tha inneal ann am modh FIPS, chan urrainn dha ruith ach Junos OS.
Tha an Junos OS ann an àrainneachd bathar-bog modh FIPS air a stèidheachadh às deidh don Oifigear Crypto gu soirbheachail comas a thoirt do mhodh FIPS air inneal. Tha an dealbh Junos OS anns a bheil modh FIPS ri fhaighinn air Juniper Networks weblàrach-lìn agus faodar a chuir a-steach air inneal gnìomh.
Airson gèilleadh FIPS 140-2, tha sinn a’ moladh gun cuir thu às do gach neach-cleachdaidh a chaidh a chruthachadh files agus dàta le bhith a’ neoniachadh an inneal mus cuir thu an comas modh FIPS.
Gus an inneal agad obrachadh aig FIPS Ìre 1 feumaidh tu cleachdadh tampbileagan a tha follaiseach gus na h-einnseanan slighe a ròn a-steach don chassis.
Le bhith a’ comasachadh modh FIPS, cuiridh sin à comas mòran de phròtacalan agus seirbheisean àbhaisteach Junos OS. Gu sònraichte, chan urrainn dhut na seirbheisean a leanas a rèiteachadh ann an Junos OS ann am modh FIPS:

  • meur
  • ftp
  • rlog a-steach
  • telnet
  • tftp
  • xnm-teacsa soilleir

Bidh oidhirpean air na seirbheisean sin a rèiteachadh, no rèiteachaidhean a luchdachadh leis na seirbheisean sin air an rèiteachadh, a’ leantainn gu mearachd co-chòrdadh rèiteachaidh.
Chan urrainn dhut ach SSH a chleachdadh mar sheirbheis ruigsinneachd iomallach.
Feumaidh a h-uile facal-faire a chaidh a stèidheachadh airson luchd-cleachdaidh às deidh ùrachadh gu Junos OS ann am modh FIPS cumail ri Junos OS ann an sònrachaidhean modh FIPS. Feumaidh faclan-faire a bhith eadar 10 agus 20 caractar de dh’fhaid agus feumar co-dhiù trì de na còig seataichean charactaran comharraichte a chleachdadh (litrichean mòra is beaga, àireamhan, comharran puingeachaidh, agus caractaran meur-chlàr, leithid % agus &, nach eil air an toirt a-steach don fhear eile ceithir roinnean).
Mar thoradh air oidhirpean gus faclan-faire a rèiteachadh nach eil a rèir nan riaghailtean sin thig mearachd. Feumaidh a h-uile facal-faire agus iuchraichean a thèid a chleachdadh gus co-aoisean a dhearbhadh a bhith co-dhiù 10 caractaran de dh'fhaid, agus ann an cuid de chùisean feumaidh an fhaid a bhith co-ionnan ri meud a' chnuasaich.
NOTA: Na ceangail an inneal ri lìonra gus an cuir an t-Oifigear Crypto crìoch air an rèiteachadh bhon cheangal tòcan ionadail.
Airson gèilleadh teann, na dèan sgrùdadh air fiosrachadh bunaiteach agus dumpadh tubaist air a’ chonsail ionadail ann an Junos OS ann am modh FIPS oir dh’ fhaodadh cuid de CSPn a bhith air an sealltainn ann an teacsa shìmplidh.
Paramadairean tèarainteachd èiginneach
Is e paramadairean tèarainteachd èiginneach (CSPn) fiosrachadh co-cheangailte ri tèarainteachd leithid iuchraichean criptografach agus faclan-faire a dh’ fhaodadh tèarainteachd a ’mhodal criptografach no tèarainteachd an fhiosrachaidh a tha air a dhìon leis a’ mhodal ma thèid am foillseachadh no an atharrachadh.
Bidh neoniachadh an t-siostaim a’ cur às do gach lorg de CSP mar ullachadh airson an inneal Routing Engine obrachadh mar mhodal criptografach.
Tha Clàr 3 air duilleag 19 a’ liostadh CSPn air innealan a’ ruith Junos OS.
Clàr 3: Paramadairean Tèarainteachd Critigeach

CSP Tuairisgeul Zeroize

Cleachd
Iuchair aoigheachd prìobhaideach SSHv2 Iuchair ECDSA / RSA air a chleachdadh gus an aoigh a chomharrachadh, air a chruthachadh a’ chiad uair a bhios SSH air a rèiteachadh. Zeroize àithne. Air a chleachdadh gus an neach-aoigheachd aithneachadh.
Iuchraichean seisean SSHv2 Iuchair seisein air a cleachdadh le SSHv2 agus mar iuchair phrìobhaideach Diffie-Hellman. Crioptachadh: AES-128, AES-192, AES-256. MACs: HMAC-SHA-1, HMAC- SHA-2-256, HMAC-SHA2-512. Prìomh iomlaid: dh-group14-sha1, ECDH-sha2-nistp-256, ECDH-sha2-nistp-384, agus ECDH-sha2-nistp-521. Cearcall cumhachd agus cuir crìoch air seisean. Iuchrach co-chothromach air a chleachdadh gus dàta a chrioptachadh eadar aoigh agus teachdaiche.
Iuchair dearbhaidh cleachdaiche Hash de fhacal-faire an neach-cleachdaidh: SHA256, SHA512. Zeroize àithne. Air a chleachdadh gus cleachdaiche a dhearbhadh don mhodal criptografach.
Iuchair dearbhaidh Oifigear Crypto Hash de fhacal-faire an Oifigeir Crypto: SHA256, SHA512. Zeroize àithne. Air a chleachdadh gus an t-Oifigear Crypto a dhearbhadh don mhodal criptografach.
sìol HMAC DRBG Sìol airson gineadair bit Randon dearbhte (DRBG). Chan eil sìol air a stòradh leis a 'mhodal criptografach. Air a chleachdadh airson sìolachadh DRBG.
Luach HMAC DRBG V Luach (V) fad bloc toraidh (outlen) ann am pìosan, a thèid ùrachadh gach uair a thèid pìosan toraidh eile a thoirt a-mach. Cearcall cumhachd. Luach riatanach de staid a-staigh DRBG.
CSP Tuairisgeul Zeroize

Cleachd
Prìomh luach HMAC DRBG Luach làithreach na h-iuchrach outlen-bit, a thèid ùrachadh co-dhiù aon uair gach uair a bhios an uidheamachd DRBG a’ gineadh pìosan pseudorandom. Cearcall cumhachd. Luach riatanach de staid a-staigh DRBG.
Entropy NDRNG Air a chleachdadh mar sreang cuir a-steach entropy don HMAC DRBG. Cearcall cumhachd. Luach riatanach de staid a-staigh DRBG.

Ann an Junos OS ann am modh FIPS, feumaidh a h-uile CSP a dhol a-steach agus am modal criptografach fhàgail ann an cruth crioptaichte.
Bidh CSP sam bith a tha air a chrioptachadh le algairim neo-aontaichte air a mheas mar theacsa shìmplidh le FIPS.
CLEACHDADH FEARR: Airson gèilleadh FIPS, rèitich an inneal thairis air ceanglaichean SSH a chionn 's gur e ceanglaichean crioptaichte a th' annta.
Tha faclan-faire ionadail air an toirt air falbh leis an algairim SHA256 no SHA512. Chan urrainnear facal-faire fhaighinn air ais ann an Junos OS sa mhodh FIPS. Chan urrainn dha Junos OS ann am modh FIPS a dhol a-steach do mhodh aon-chleachdaiche às aonais am facal-faire root ceart.
A’ tuigsinn Sònrachaidhean Facal-faire agus Stiùireadh airson Junos OS ann am Modh FIPS
Feumaidh a h-uile facal-faire a stèidhich an t-Oifigear Crypto airson luchd-cleachdaidh cumail ris na Junos OS a leanas ann an riatanasan modh FIPS. Bidh oidhirpean gus faclan-faire a rèiteachadh nach eil a rèir nan sònrachaidhean a leanas ag adhbhrachadh mearachd.

  • Fad. Feumaidh eadar 10 agus 20 caractar a bhith ann am faclan-faire.
  • Riatanasan seata charactaran. Feumaidh co-dhiù trì de na còig seataichean charactaran comharraichte a bhith ann am faclan-faire:
  • Litrichean bun-os-cionn
  • Litrichean litrichean beaga
  • Digisean
  • Comharran puingeachaidh
  • Caractaran meur-chlàr nach eil air an gabhail a-steach anns na ceithir seataichean eile - leithid an soidhne sa cheud (%) agus an amperand (&)
  • Riatanasan dearbhaidh. Feumaidh co-dhiù 10 caractaran a bhith anns a h-uile facal-faire agus iuchair a chleachdar gus co-aoisean a dhearbhadh, agus ann an cuid de chùisean feumaidh an àireamh de charactaran a bhith co-ionnan ri meud a’ chnuasaich.
  • Crioptachadh facal-faire. Gus am modh crioptachaidh bunaiteach atharrachadh (SHA512) cuir a-steach an aithris cruth aig ìre rangachd [deasaich facal-faire logadh a-steach an t-siostaim].

Stiùireadh airson faclan-faire làidir. Faodaidh faclan-faire làidir, ath-chleachdadh a bhith stèidhichte air litrichean bho abairt no facal as fheàrr leotha agus an uairsin air an co-chòrdadh le faclan eile nach eil càirdeach dhaibh, còmhla ri àireamhan a bharrachd agus puingeachadh. San fharsaingeachd, is e facal-faire làidir:

  • Furasta a chuimhneachadh gus nach bi luchd-cleachdaidh air am buaireadh gus a sgrìobhadh sìos.
  • Air a dhèanamh suas de charactaran measgaichte alphanumeric agus puingeachadh. Airson gèilleadh FIPS gabhail a-steach co-dhiù aon atharrachadh cùise, aon no barrachd àireamhan, agus aon no barrachd comharran puingeachaidh.
  • Air atharrachadh bho àm gu àm.
  • Gun a bhith air fhoillseachadh do dhuine sam bith.
    Feartan faclan-faire lag. Na cleachd na faclan-faire lag a leanas:
  • Faclan a dh’ fhaodadh a bhith air an lorg ann an cruth permuted ann an siostam no a bhith ann files leithid /etc/passwd.
  • Ainm aoigheachd an t-siostaim (an-còmhnaidh a’ chiad tomhas).
  • Facal no abairt sam bith a nochdas ann am faclair no tùs ainmeil eile, a’ gabhail a-steach faclairean agus teas-làrach ann an cànanan eile seach Beurla; obraichean le sgrìobhadairean clasaigeach neo mòr-chòrdte; no faclan is abairtean cumanta bho spòrs, abairtean, filmichean no taisbeanaidhean telebhisean.
  • Permutations air gin de na tha gu h-àrd - airson example, facal faclair le litrichean air a chur nan àite le àireamhan (r00t) no àireamhan air an cur ris an deireadh.
  • Facal-faire sam bith air a ghineadh le inneal. Bidh algorithms a’ lughdachadh an àite sgrùdaidh ann am prògraman tomhas facal-faire agus mar sin cha bu chòir an cleachdadh.

Luchdaich a-nuas prògraman bho Juniper network.
Faodaidh tu pasgan bathar-bog Junos OS airson an inneal agad a luchdachadh sìos bho Juniper Networks weblàrach.
Mus tòisich thu air am bathar-bog a luchdachadh sìos, dèan cinnteach gu bheil Juniper Networks agad Web cunntas agus cùmhnant taic dligheach. Gus cunntas fhaighinn, lìon am foirm clàraidh aig Juniper Networks weblàrach: https://userregistration.juniper.net/.
Gus pasganan bathar-bog a luchdachadh sìos bho Juniper Networks:

  1. A 'cleachdadh a Web bhrobhsair, lean na ceanglaichean ris an luchdachadh sìos URL air na Juniper Networks webduilleag. https://support.juniper.net/support/downloads/
  2. Log a-steach gu siostam dearbhaidh Juniper Networks a’ cleachdadh an ainm-cleachdaidh (mar as trice an seòladh puist-d agad) agus am facal-faire a thug riochdairean Juniper Networks seachad.
  3. Luchdaich sìos am bathar-bog. Faic Luchdaich sìos bathar-bog.

LAOIDH GHAIDHEALACH
Stiùireadh airson a stàladh agus a luchdadh a-nuas
A’ stàladh bathar-bog air inneal le einnsean slighe singilte
Faodaidh tu am modh-obrach seo a chleachdadh gus Junos OS ùrachadh air inneal le aon einnsean slighe.
Gus ùrachadh bathar-bog a stàladh air inneal le aon einnsean slighe:

  1. Luchdaich sìos am bathar-bog mar a chaidh a mhìneachadh ann an Luchdaich a-nuas prògraman bho Juniper network..
  2. Mura h-eil thu air sin a dhèanamh mu thràth, ceangail ris a’ phort tòcan air an inneal bhon inneal riaghlaidh agad, agus log a-steach don Junos OS CLI.
  3. (Roghainneil) Cùl suas an rèiteachadh bathar-bog gnàthach gu dàrna roghainn stòraidh. Faic an Stiùireadh airson bathar-bog a stàladh agus a luchdadh a-nuas airson stiùireadh mu bhith a’ coileanadh na h-obrach seo.
  4. (Roghainneil) Dèan lethbhreac den phasgan bathar-bog chun inneal. Tha sinn a’ moladh gun cleachd thu FTP gus lethbhreac a dhèanamh dhen file dhan eòlaire /var/tmp/.
    Tha an ceum seo roghainneil oir faodar Junos OS ùrachadh cuideachd nuair a tha an ìomhaigh bathar-bog air a stòradh ann an àite iomallach. Tha an stiùireadh seo a’ toirt cunntas air a’ phròiseas ùrachadh bathar-bog airson an dà shuidheachadh.
  5. Stàlaich am pasgan ùr air an inneal: Airson REMX2K-X8: user@host> iarr bathar-bog vmhost cuir ris
    Airson RE1800: user@host> iarr bathar-bog siostam cuir ris
    Cuir aon de na slighean a leanas an àite a’ phacaid:
    • Airson pasgan bathar-bog ann an eòlaire ionadail air an inneal, cleachd /var/tmp/package.tgz.
    • Airson pasgan bathar-bog air frithealaiche iomallach, cleachd aon de na slighean a leanas, an àite pasgan roghainn caochlaideach le ainm pasgan bathar-bog.
    ftp://hostname/pathname/package.tgz
    • ftp://hostname/pathname/package.tgz
  6. Ath-thòisich an inneal gus an stàladh a luchdachadh:
    Airson REMX2K-X8:
    user@host> iarr vmhost ath-thòiseachadh
    Airson RE1800:
    user@host> iarr ath-thòiseachadh an t-siostam
  7. Às deidh don ath-thòiseachadh a bhith deiseil, log a-steach agus cleachd an àithne dreach taisbeanaidh gus dearbhadh gu bheil an tionndadh ùr den bhathar-bog air a chuir a-steach gu soirbheachail.
    user@host> dreach taisbeanaidh
    Modail: mx960
    Junos: 20.3X75-D30.1
    JUNOS OS Kernel 64-bit [20210722.b0da34e0_builder_stable_11-204ab] JUNOS OS libs [20210722.b0da34e0_builder_stable_11-204ab] ùine ruith JUNOS OS [20210722e] ùine ruith JUNOS OS [0e fiosrachadh [34.b0da11e204_builder_stable_20210722-0ab] Stac lìonra JUNOS agus goireasan [34_builder_junos_0_x11_d204] JUNOS libs [20210812.200100_builder_junos_203_x75_d30] JUNOS OS libs compat20210812.200100 [203e_75_S -bit co-chòrdalachd [30.b32da20210722e0_builder_stable_34-0ab] JUNOS libs compat11 [204_builder_junos_32_x20210722_d0] Ùine ruith JUNOS [34_junos_builder sruth mx [0_builder_junos_11_x204_d32] JUNOS py leudachain20210812.200100 [203_builder_junos_75_x30_d20210812.200100] Leudachain JUNOS py 203_builder_junos_75_x30_d20210812.200100] bonn JUNOS py [203_builder_junos_75_x30_d2] JUNOS OS crypto [20210812.200100.b203da75e30_20210812.200100_boot-203.b75da30e2_builder files [20210722.b0da34e0_builder_stable_11-204ab] JUNOS agus telemetry [20.3X75-D30.1] JUNOS tèarainteachd fiosrachaidh [20210812.200100_builder_junos_203_x75_d30] s [32X20210812.200100-D203] 75_builder_junos_30_x20210812.200100_d203] Ùine ruith JUNOS mx [75_builder_junos_30_x20.3_d75] Iarrtas telemetry JUNOS RPD [30.1X20210812.200100-D203 .75] Redis [30_builder_junos_20210812.200100_x203_d75] JUNOS probe goireasachd [30_builder_junos_20210812.200100_x203_d75] Taic àrd-ùrlar cumanta JUNOS [30_junos Openconfig [20.3X75-D30.1] Modalan lìonra JUNOS mtx [20210812.200100_builder_junos_203_x75_d30] Modalan JUNOS [20210812.200100_builder_junos_203_x75_30 modal JUNOS_20210812.200100_x203_d75 [30_builder_junos_20210812.200100_x203_d75] JUNOS mx libs [30_builder_junos_20210812.200100_x203_d75] JUNOS SQL Sync Daemon [30_builder x Taic Crypto Plane Dàta [20210812.200100_builder_junos_203_x75_d30] JUNOs daemons [20210812.200100_builder_junos_203_x75_d30] JUNOS mx daemons [20210812.200100_203_junos Daemon aithneachaidh tagraidh OS appidd-mx [75_builder_junos_30_x20210812.200100_d203] Seirbheisean JUNO URL Pasgan sìoltachain [20210812.200100_builder_junos_203_x75_d30] Pasgan seirbheis JUNOS TLB Seirbheis PIC [20210812.200100_builder_junos_203_x75_d30] JUNOS Services Telemetry [20210812.200100_junos_builder Seirbheisean JUNOS TCP-LOG [203_builder_junos_75_x30_d20210812.200100] Seirbheisean JUNOS SSL [203_builder_junos_75_x30_d20210812.200100] Seirbheisean JUNOS SOFTWIRE [203_junos Balla-teine ​​​​stàite Seirbheisean JUNOS [75_builder_junos_30_x20210812.200100_d203] Seirbheisean JUNOS RTCOM [75_builder_junos_30_x20210812.200100_d203] Seirbheisean JUNOS RPM [75x30_builder 20210812.200100_builder_junos_203_x75_d30] Seirbheisean JUNOS NAT [20210812.200100_builder_junos_203_x75_d30] Pasgan gleidhidh seirbheis ballrachd gluasadach Seirbheisean JUNOS
    [20210812.200100_builder_junos_203_x75_d30] Pasgan bathar-bog Seirbheisean JUNOS MobileNext [20210812.200100_builder_junos_203_x75_d30] Pasgan frèam aithisg logadh sheirbheisean JUNOS [20210812.200100_junos Pasgan gleidhidh Seirbheis OS LL-PDF [203_builder_junos_75_x30_d20210812.200100] Pasgan gleidhidh Jflow Seirbheisean JUNOS [203_builder_junos_75_x30_d20210812.200100] Pasgan sgrùdaidh pacaid domhainn seirbheisean JUNOS 203_BILELDER_Junoses_75_X30_XUILLOS_JUNDER_JUNDER_Junos_ 20210812.200100_X203_D75] Seirbheisean Junosaichean HPOS Pasgan Riaghlaidh Susbaint HTP [30/x20210812.200100_X203 Pasgan Portal Portal agus susbaint Lànais
    [20210812.200100_builder_junos_203_x75_d30] Seirbheisean JUNOS COS [20210812.200100_builder_junos_203_x75_d30] Seirbheisean JUNOS AppId [20210812.200100x203 Applicationways_junos_75_x30_d20210812.200100] [203_builder_junos_75_x30_d20210812.200100] Pasgan gleidhidh JUNOS Services AACL [203_builder_junos_75_x30_d20210812.200100] Sreath bathar-bog JUNOS SDN [203 JUNOS_builder_75 Innealan teannachaidh [30_builder_junos_20210812.200100_x203_d75 ] Taic Einnsean air adhart pacaid JUNOS (wrlinux30) [9_builder_junos_20210812.200100_x203_d75] Taic Einnsean air adhart pacaid JUNOS (ulc) [30_builder_junos_20210812.200100_x203_75_Inneal Pacaid (30_x3_d20.3) 75-D30.1] Taic einnsean cur air adhart pacaid JUNOS (X2000) [ 20210812.200100_builder_junos_203_x75_d30] Taic Einnsean air adhart pacaid JUNOS [20.3X75-D30.1] Taic Einnsean air adhart pacaid JUNOS (M/T Common)
    [20210812.200100_builder_junos_203_x75_d30] Taic einnsean cuir air adhart pacaid JUNOS (às deidh)

A’ tuigsinn Zeroization gus dàta siostam a ghlanadh airson modh FIPS
ANNS AN EARRANN SEO
Carson Zeroize? | 26
Cuin a bu chòir Zeroize? | 26
Bidh Zeroization gu tur a’ sguabadh às a h-uile fiosrachadh rèiteachaidh air na h-Innealan Routing, a ’toirt a-steach a h-uile facal-faire teacsa lom, dìomhaireachdan, agus iuchraichean prìobhaideach airson SSH, crioptachadh ionadail, dearbhadh ionadail, agus IPsec.
Bidh an t-Oifigear Crypto a’ tòiseachadh a ’phròiseas neoniachadh le bhith a’ dol a-steach don iarrtas àithne gnìomh vmhost zeroize no-forwarding airson REMX2K-X8 agus siostam iarraidh zeroize airson RE1800.
SHEARWATER 17001 Inneal-sgaoilidh cuideam amalachaidh adhair - ìomhaigh 3 Rabhadh: Dèan neoniachadh siostam le cùram. Às deidh don phròiseas neoniachadh a bhith deiseil, chan eil dàta air fhàgail air an Einnsean Routing. Thèid an inneal a thilleadh gu staid bunaiteach an fhactaraidh, gun luchd-cleachdaidh no rèiteachadh sam bith files.
Faodaidh Zeroization a bhith a 'toirt ùine. Ged a thèid a h-uile rèiteachadh a thoirt air falbh ann am beagan dhiog, bidh am pròiseas neoniachaidh a’ dol air adhart gu bhith ag ath-sgrìobhadh a h-uile meadhan, a bheir ùine mhòr a rèir meud nam meadhanan.
Carson Zeroize?
Chan eilear den bheachd gu bheil an inneal agad mar mhodal cryptographic FIPS dligheach gus an tèid a h-uile paramadair tèarainteachd èiginneach (CSPn) a chuir a-steach - no a chuir a-steach a-rithist - fhad ‘s a tha an inneal sa mhodh FIPS.
Airson gèilleadh FIPS 140-2, feumaidh tu an siostam a neoniachadh gus fiosrachadh mothachail a thoirt air falbh mus cuir thu à comas modh FIPS air an inneal.
Cuin a thèid Zeroize?
Mar Oifigear Crypto, dèan neoniachadh anns na suidheachaidhean a leanas:

  • Mus cuir thu an comas modh-obrachaidh FIPS: Gus an inneal agad ullachadh airson obrachadh mar mhodal cryptographic FIPS, dèan neoniachadh mus cuir thu am modh FIPS an comas.
  • Mus cuir thu à comas modh obrachaidh FIPS: Gus tòiseachadh air an inneal agad ath-chleachdadh airson gnìomhachd neo-FIPS, dèan neoniachadh mus cuir thu am modh FIPS air an inneal.
    NOTA: Chan eil Juniper Networks a’ toirt taic do bhith a’ stàladh bathar-bog neo-FIPS ann an àrainneachd FIPS, ach dh’ fhaodadh sin a bhith riatanach ann an àrainneachdan deuchainn sònraichte. Dèan cinnteach gun dèan thu neoni an siostam an toiseach.

A 'crìonadh an t-siostam
Gus an inneal agad a neoni, lean am modh-obrach gu h-ìosal:

  1. Log a-steach don inneal mar Oifigear Crypto agus bho CLI, cuir a-steach an àithne a leanas.
    Airson REMX2K-X8:
    crypto-officer@host> iarrtas vmhost zeroize neo-ghluasadach VMHost Zeroization : sguab às a h-uile dàta, a 'gabhail a-steach rèiteachadh agus log files? [tha, chan eil] (chan eil) tha
    ath0:
    Airson REMX2K-X8:
    crypto-officer@host> siostam iarrtas zeroize
    Zeroization an t-siostaim: sguab às a h-uile dàta, a’ gabhail a-steach rèiteachadh agus log files?
    [tha, chan eil] (chan eil) tha
    ath0:
  2. Gus am pròiseas neoniachadh a thòiseachadh, dèan seòrsa tha aig an àm:
    Sguab às a h-uile dàta, a 'gabhail a-steach rèiteachadh agus log files? [tha, chan eil] (chan eil) tha sguab às a h-uile dàta, a’ gabhail a-steach rèiteachadh agus log files? [tha, chan eil] (chan eil) tha
    re0: ——————–rabhadh: zeroizing
    re0 … …
    Faodaidh an obair gu lèir mòran ùine a thoirt a rèir meud nam meadhanan, ach thèid a h-uile paramadair tèarainteachd èiginneach (CSPn) a thoirt air falbh taobh a-staigh beagan dhiog. Feumaidh an àrainneachd chorporra fuireach tèarainte gus am bi am pròiseas neoniachaidh deiseil.

A’ comasachadh Modh FIPS
Nuair a thèid Junos OS a chuir a-steach air inneal agus an inneal air a chuir air, tha e deiseil airson a rèiteachadh.
An toiseach, bidh thu a’ logadh a-steach mar bhunait an neach-cleachdaidh gun fhacal-faire. Nuair a logas tu a-steach mar fhreumh, tha an ceangal SSH agad air a chomasachadh gu bunaiteach.
Mar Oifigear Crypto, feumaidh tu facal-faire freumha a stèidheachadh a tha a rèir riatanasan facal-faire FIPS ann an “Tuig Sònrachadh Facal-faire agus Stiùireadh airson Junos OS ann am Modh FIPS” air duilleag 20. Nuair a chuireas tu an comas modh FIPS ann an Junos OS air an inneal, chan urrainn dhut faclan-faire a rèiteachadh mura coinnich iad ris an ìre seo.
Tha faclan-faire ionadail air an cuairteachadh leis an algairim hash tèarainte SHA256 no SHA512. Chan urrainnear facal-faire fhaighinn air ais ann an Junos OS sa mhodh FIPS. Chan urrainn dha Junos OS ann am modh FIPS a dhol a-steach do mhodh aon-chleachdaiche às aonais am facal-faire root ceart.
Gus modh FIPS a chomasachadh ann an Junos OS air an inneal:

  1. Zeroize an uidheam gus a h-uile CSP a sguabadh às mus tèid thu a-steach don mhodh FIPS. Thoir sùil air “Tuigsinn Zeroization gus Dàta Siostam Glan airson Modh FIPS” air duilleag 25 earrann airson mion-fhiosrachadh.
  2. Às deidh don inneal nochdadh ann am ‘modh Amnesiac’, log a-steach a’ cleachdadh freumh ainm-cleachdaidh agus facal-faire “” (bàn).
    Log a-steach FreeBSD/amd64 (Amnesiac) (ttyu0): root
    - JUNOS 20.3X75-D30.1 Kernel 64-bit JNPR-11.0-20190701.269d466_buil root@:~ # cli root>
  3. Dèan rèiteachadh air dearbhadh freumh le facal-faire co-dhiù 10 caractaran no barrachd.
    root> deasaich Cuir a-steach modh rèiteachaidh [deasaich] root # suidhich siostam root-authentication plain-text-password
    Facal-faire ùr:
    Ath-sgrìobh am facal-faire ùr: [deasaich] root # gealltanas gealltanas coileanta
  4. Luchdaich rèiteachadh air inneal agus cuir rèiteachadh ùr an sàs. Dèan rèiteachadh air crypto-officer agus logadh a-steach le teisteanasan crypto-officer.
  5. Stàlaich pasgan modh fips a tha a dhìth airson Routing Engine KATS.
    root@hostname> iarr bathar-bog an t-siostam cuir ris roghnach://fips-mode.tgz
    Modh fips dearbhte air a shoidhnigeadh le modh PackageDevelopmentEc_2017 ECDSA256+SHA256
  6. Airson innealan Sreath MX,
    • Dèan rèiteachadh air crìochan an t-seisein le bhith a' suidheachadh siostam fips chassis ìre 1 agus dealaich.
    • Dèan rèiteachadh air crìochan RE le bhith a 'suidheachadh siostaman stèidhichte fips ìre 1 agus gealltanas.
    Dh’ fhaodadh an inneal am facal-faire crioptaichte a thaisbeanadh a bhith air ath-rèiteachadh gus rabhadh hash a tha a’ gèilleadh ri FIPS a chleachdadh gus na CSPn as sine a dhubhadh às anns an rèiteachadh luchdaichte.
  7. Às deidh na CSPn a dhubhadh às agus ath-dhealbhadh, thèid gealltanas troimhe agus feumaidh an inneal ath-thòiseachadh gus a dhol a-steach don mhodh FIPS. [deasaich] crypto-officer@hostname # gealltanas
    A’ gineadh iuchair RSA /etc/ssh/fips_ssh_host_key
    A’ gineadh iuchair RSA2 /etc/ssh/fips_ssh_host_rsa_key
    A’ gineadh iuchair ECDSA /etc/ssh/fips_ssh_host_ecdsa_key
    [deasaich] siostam
    tha feum air ath-thòiseachadh gus gluasad gu ìre FIPS 1 gealltanas coileanta [deasaich] crypto-officer@hostname # ruith iarrtas vmhost ath-thòiseachadh
  8. Às deidh dhut an inneal ath-thòiseachadh, ruithidh fèin-dheuchainnean FIPS agus thèid an inneal a-steach don mhodh FIPS. crypto-officer@hostname: fips>

LAOIDH GHAIDHEALACH
A’ tuigsinn Sònrachaidhean Facal-faire agus Stiùireadh airson Junos OS ann am Modh FIPS | 20
A’ rèiteachadh Oifigear Crypto agus Aithneachadh agus Cothrom Cleachdaiche FIPS
ANNS AN EARRANN SEO
A’ rèiteachadh Ruigsinneachd Oifigear Crypto | 30
A' rèiteachadh ruigsinneachd logadh a-steach cleachdaiche FIPS | 32
Bidh an t-Oifigear Crypto a’ comasachadh modh FIPS air an inneal agad agus a’ coileanadh a h-uile gnìomh rèiteachaidh airson Junos OS ann am modh FIPS agus a’ cur a-mach a h-uile Junos OS ann an aithrisean modh FIPS agus òrdughan. Feumaidh rèiteachaidhean Oifigear Crypto agus luchd-cleachdaidh FIPS Junos OS a leantainn ann an stiùiridhean modh FIPS.
A’ rèiteachadh ruigsinneachd Oifigear Crypto
Tha Junos OS ann am modh FIPS a’ tabhann àireamhachd nas mionaidiche de cheadan luchd-cleachdaidh na an fheadhainn a tha air an òrdachadh le FIPS 140-2.
Airson gèilleadh FIPS 140-2, is e Oifigear Crypto a th’ ann an neach-cleachdaidh FIPS sam bith leis na pìosan cead dìomhair, tèarainteachd, cumail suas agus smachd. Anns a 'mhòr-chuid de chùisean tha an clas sàr-chleachdaiche gu leòr airson an Oifigear Crypto.
Gus ruigsinneachd logadh a-steach a rèiteachadh airson Oifigear Crypto:

  1. Log a-steach don inneal leis an fhacal-fhaire freumh mura h-eil thu air sin a dhèanamh mu thràth, agus cuir a-steach modh rèiteachaidh: root@hostname> deasaich Cuir a-steach modh rèiteachaidh [deasaich] root@hostname #
  2. Ainmich an neach-cleachdaidh crypto-officer agus sònraich ID neach-cleachdaidh don Oifigear Crypto (airson example, 6400, a dh'fheumas a bhith na àireamh shònraichte co-cheangailte ris a' chunntas logadh a-steach anns an raon de 100 tro 64000) agus clas (airson example, sàr-chleachdaiche). Nuair a shònraicheas tu an clas, sònraichidh tu na ceadan - airson example, dìomhair, tèarainteachd, cumail suas, agus smachd.
    Airson liosta de cheadan, faic Tuigsinn Ìrean Sochair Ruigsinneachd Junos OS.
    [deasaich] root@hostname # suidhich logadh a-steach siostam ainm neach-cleachdaidh uid luach clas-ainm clas
    Airson example:
    [deasaich] root@hostname # suidhich cleachdaiche logadh a-steach siostam crypto-officer uid 6400 sàr-chleachdaiche clas
  3. A’ leantainn an stiùiridh ann an “Tuigsinn Sònrachaidhean Facal-faire agus Stiùireadh airson Junos OS ann am Modh FIPS” air duilleag 20, sònraich facal-faire teacsa sìmplidh don Oifigear Crypto airson dearbhadh logadh a-steach. Suidhich am facal-faire le bhith a’ taipeadh facal-faire às deidh na molaidhean Facal-faire ùr agus Ath-sgrìobh facal-faire ùr.
    [deasaich] root@hostname # suidhich logadh a-steach siostam ainm-cleachdaidh ainm-cleachdaiche clas dearbhadh ainm-clas (plain-testpassword |
    facal-faire crioptaichte)
    Airson example:
    [deasaich] root@hostname # cuir a-steach siostam logadh a-steach cleachdaiche clas crypto-officer dearbhadh sàr-chleachdaiche plaintext-password
  4. Roghainneil, seall an rèiteachadh:
    [deasaich] root@hostname # siostam deasachaidh
    [deasaich siostam] root@hostname # taisbeanadh
    logadh a-steach {
    cleachdaiche crypto-officer {
    uid 6400;
    dearbhadh {
    facal-faire crioptaichte" ”; ## SECRET-DATA
    }
    sàr-chleachdaiche clas;
    }
    }
  5. Ma tha thu deiseil a’ rèiteachadh an uidheim, dèan an rèiteachadh agus fàg:
    [deasaich] root@hostname # gealltanas gealltanas coileanta
    root@hostname# fàgail

A’ rèiteachadh ruigsinneachd logadh a-steach cleachdaiche FIPS
Tha cleachdaiche fips air a mhìneachadh mar neach-cleachdaidh FIPS sam bith aig nach eil na pìosan cead dìomhair, tèarainteachd, cumail suas agus smachd.
Mar an Oifigear Crypto stèidhich thu luchd-cleachdaidh FIPS. Chan urrainnear ceadan a thoirt do luchd-cleachdaidh FIPS mar as trice glèidhte don Oifigear Crypto - airson example, cead airson zeroize an t-siostam.
Gus inntrigeadh logadh a-steach a rèiteachadh airson cleachdaiche FIPS:

  1. Log a-steach don inneal leis an fhacal-faire Oifigear Crypto agad mura h-eil thu air sin a dhèanamh mu thràth, agus cuir a-steach modh rèiteachaidh:
    crypto-officer@hostname: fips> deasaich
    A 'dol a-steach don mhodh rèiteachaidh
    [deasaich] crypto-officer@hostname: fips #
  2. Thoir don neach-cleachdaidh, ainm-cleachdaidh, agus sònraich ID cleachdaiche don neach-cleachdaidh (airson example, 6401, a dh'fheumas a bhith na àireamh shònraichte anns an raon 1 tro 64000) agus clas. Nuair a shònraicheas tu an clas, sònraichidh tu na ceadan - airson example, soilleir, lìonra, ath-shuidheachadhview, agus view- rèiteachadh.
    [deasaich] crypto-officer@hostname: fips # cuir a-steach siostam logadh a-steach ainm neach-cleachdaidh uid luach clas clas-ainm Airson example:
    [deasaich] crypto-officer@hostname: fips # cleachdaiche logadh a-steach siostam suidhichte fips-user1 uid 6401 clas leughaidh a-mhàin
  3. A’ leantainn an stiùiridh ann an “Tuigsinn Sònrachaidhean Facal-faire agus Stiùireadh airson Junos OS ann an
    Modh FIPS” air duilleag 20, sònraich facal-faire teacsa sìmplidh don neach-cleachdaidh FIPS airson dearbhadh logadh a-steach. Suidhich am facal-faire le bhith a’ taipeadh facal-faire às deidh na molaidhean Facal-faire ùr agus Ath-sgrìobh facal-faire ùr.
    [deasaich] crypto-officer@hostname: fips # cuir a-steach siostam logadh a-steach ainm neach-cleachdaidh clas dearbhadh ainm clas (plain-text-password | facal-faire crioptaichte)
    Airson example:
    [deasaich] crypto-officer@hostname: fips # logadh a-steach siostam neach-cleachdaidh clas fips-user1 dearbhadh leughaidh a-mhàin facal-faire teacsa sìmplidh
  4. Roghainneil, seall an rèiteachadh:
    [deasaich] crypto-officer@hostname: fips # siostam deasachaidh [siostam deasachaidh] crypto-officer@hostname: fips # show
    logadh a-steach {
    cleachdaiche fips-user1 {
    uid 6401;
    dearbhadh {
    facal-faire crioptaichte" ”; ## SECRET-DATA
    }
    clas leughadh a-mhàin;
    }
    }
  5. Ma tha thu deiseil a’ rèiteachadh an uidheim, dèan an rèiteachadh agus fàg:
    [deasaich] crypto-officer@hostname: fips # gealltanas
    crypto-officer@hostname: fips # fàgail

A’ rèiteachadh SSH agus Ceangal Console

A’ rèiteachadh SSH air an rèiteachadh measaichte airson FIPS
SSH tro eadar-aghaidh riaghlaidh iomallach ceadaichte anns an rèiteachadh a chaidh a mheasadh. Tha an cuspair seo ag innse mar a chuireas tu SSH air dòigh tro riaghladh iomallach.
Na h-algorithms a leanas a dh'fheumas a bhith air an rèiteachadh gus SSH a dhearbhadh airson FIPS.
Gus SSH a rèiteachadh air an DUT:

  1. Sònraich na h-algorithms aoigheachd-iuchrach SSH ceadaichte airson seirbheisean an t-siostaim.
    [deasaich] cleachdaiche@host # suidhich seirbheisean siostam ssh hostkey-algorithm ssh-ecdsa
    user@host # suidhich seirbheisean siostam ssh hostkey-algorithm no-ssh-dss
    user@host# seata seirbheisean siostam ssh hostkey-algorithm ssh-rsa
  2. Sònraich an t-iomlaid iuchrach SSH airson iuchraichean Diffie-Hellman airson seirbheisean an t-siostaim.
    [deasaich] user@host # suidhich seirbheisean siostam ssh key-exchange dh-group14-sha1
    user@host # suidhich seirbheisean siostam ssh key-exchange ecdh-sha2-nistp256
    user@host # suidhich seirbheisean siostam ssh key-exchange ecdh-sha2-nistp384
    user@host # suidhich seirbheisean siostam ssh key-exchange ecdh-sha2-nistp521
  3. Sònraich na h-algorithms còd dearbhaidh teachdaireachd ceadaichte airson SSHv2
    [deasaich] user@host # suidhich seirbheisean siostam ssh macs hmac-sha1
    user@host # suidhich seirbheisean siostam ssh macs hmac-sha2-256
    user@host # suidhich seirbheisean siostam ssh macs hmac-sha2-512
  4. Sònraich na ciphers a tha ceadaichte airson dreach protocol 2.
    [deasaich] user@host # suidhich seirbheisean siostam ssh ciphers aes128-cbc
    user@host # suidhich seirbheisean siostam ssh ciphers aes256-cbc
    user@host # suidhich seirbheisean siostam ssh ciphers aes128-ctr
    user@host # suidhich seirbheisean siostam ssh ciphers aes256-ctr
    user@host # suidhich seirbheisean siostam ssh ciphers aes192-cbc
    user@host # suidhich seirbheisean siostam ssh ciphers aes192-ctr
    Algorithm hostkey SSH le taic:
    ssh-ecdsa Ceadaich gineadh de iuchair aoigheachd ECDSA
    ssh-rsa Ceadaich gineadh de iuchair aoigheachd RSA
    Algorithm iomlaid iuchrach SSH le taic:
    ecdh-sha2-nistp256 An EC Diffie-Hellman air nistp256 le SHA2-256
    ecdh-sha2-nistp384 An EC Diffie-Hellman air nistp384 le SHA2-384
    ecdh-sha2-nistp521 An EC Diffie-Hellman air nistp521 le SHA2-512
    Algorithm MAC le taic:
    hmac-sha1 MAC stèidhichte air Hash a’ cleachdadh Algorithm Hash tèarainte (SHA1)
    hmac-sha2-256 MAC stèidhichte air hash a’ cleachdadh Algorithm Hash tèarainte (SHA2)
    hmac-sha2-512 MAC stèidhichte air hash a’ cleachdadh Algorithm Hash tèarainte (SHA2)
    Algorithm ciphers SSH le taic:
    aes128-cbc 128-bit AES le Cipher Block Chaining
    aes128-ctr 128-bit AES le Modh Counter
    aes192-cbc 192-bit AES le Cipher Block Chaining
    aes192-ctr 192-bit AES le Modh Counter
    aes256-cbc 256-bit AES le Cipher Block Chaining
    aes256-ctr 256-bit AES le Modh Counter

A’ rèiteachadh MACsec

A’ tuigsinn Tèarainteachd Smachd Ruigsinneachd Meadhanan (MACsec) ann am modh FIPS
Tha Tèarainteachd Smachd Ruigsinneachd Meadhanan (MACsec) na theicneòlas tèarainteachd àbhaisteach gnìomhachais 802.1AE IEEE a bheir seachad conaltradh tèarainte airson a h-uile trafaic air ceanglaichean Ethernet. Tha MACsec a’ toirt seachad tèarainteachd puing-gu-puing air ceanglaichean Ethernet eadar nodan ceangailte gu dìreach agus tha e comasach air a’ mhòr-chuid de chunnartan tèarainteachd a chomharrachadh agus a chasg, a’ toirt a-steach diùltadh seirbheis, sàrachadh, fear-sa-meadhan, masquerading, sreangadh fulangach, agus ionnsaighean ath-chluich.
Leigidh MACsec leat ceangal Ethernet puing gu puing a dhèanamh tèarainte airson cha mhòr a h-uile trafaic, a’ toirt a-steach frèamaichean bhon Phròtacal Lorg Sreath Ceangal (LLDP), Pròtacal Smachd Co-chruinneachadh Ceangal (LACP), Pròtacal Rèiteachaidh Dynamic Host (DHCP), Pròtacal Fuasgladh Seòladh (ARP), agus protocolaidhean eile nach eil mar as trice tèarainte air ceangal Ethernet air sgàth cuingealachaidhean le fuasglaidhean tèarainteachd eile. Faodar MACsec a chleachdadh còmhla ri protocolaidhean tèarainteachd eile leithid IPsec Security agus Secure Sockets Layer (SSL) gus tèarainteachd lìonra deireadh-gu-deireadh a thoirt seachad.
Tha MACsec àbhaisteach ann an IEEE 802.1AE. Tha inbhe IEEE 802.1AE ri fhaicinn air a’ bhuidheann IEEE weblàrach-lìn aig IEEE 802.1: BRATHADH & RIAGHLADH.
Tha gach buileachadh de algairim air a sgrùdadh le sreath de fèin-dheuchainnean deuchainn freagairt aithnichte (KAT) agus dearbhaidhean algorithms crypto (CAV). Tha na h-algorithms criptografach a leanas air an cur ris gu sònraichte airson MACsec.

  • Inbhe crioptachaidh adhartach (AES) - Còd Dearbhaidh Teachdaireachd Cipher (CMAC)
  • Inbhe crioptachaidh adhartach (AES) Prìomh Wrap
    Airson MACsec, ann am modh rèiteachaidh, cleachd an àithne sgiobalta gus prìomh luach dìomhair de 64 caractaran hexadecimal a chuir a-steach airson dearbhadh.
    [deasaich] crypto-officer@hostname: fips # tèarainteachd sgiobalta macsec connectivity-association pre-shared-key cac
    Cèic ùr (dìomhair):
    Dèan ath-sgrìobhadh cèic ùr (dìomhair):

Àm a ghnàthachadh
Gus an ùine a ghnàthachadh, cuir à comas NTP agus suidhich an ceann-latha.

  1. Cuir à comas NTP.
    [deasaich] crypto-officer@hostname: fips # cuir dheth buidhnean siostam cruinne ntp
    crypto-officer@hostname: fips # cuir dheth siostam ntp
    crypto-officer@hostname: fips # gealltanas
    crypto-officer@hostname: fips # fàgail
  2. A 'suidheachadh ceann-latha agus àm. Is e cruth ceann-latha agus àm YYYYMMDDHHMM.ss
    [deasaich] crypto-officer@hostname: fips # ceann-latha suidhichte 201803202034.00
    crypto-officer@hostname: fips # suidhich cli timestamp
  3. Suidhich mion-fhiosrachadh an t-seanail tèarainte MACsec Key (MKA).
    [deasaich] crypto-officer@hostname: fips # suidhich tèarainteachd macsec ceangal-ceangail-comann ceangal ceangal-ainm tèarainte-channel stiùireadh tèarainte-channel-ainm (a-steach | a-mach) crypto-officer@hostname: fips # suidhich tèarainteachd macsec ceangal-ceangail-comann ceangail ceangal -name tèarainte-channel crioptachadh ainm-seanail tèarainte (MACsec) crypto-officer@hostname: fips # suidhich tèarainteachd macsec ceangal-ceangal ceangal ceangal comann-ainm tèarainte-sianal secure-channel-name id mac-seòladh /” mac-seòladh crypto- oifigear@hostname: fips # suidhich tèarainteachd macsec ceangal-ceangal ceangal comann-ainm secure-channel secure-channel-name id port-id port-id-number crypto-officer@hostname: fips# set security macsec connectivity-association connectivity-ainm tèarainte -channel secure-channel-name offset “(0 | 30 | 50) crypto-officer@hostname: fips # suidhich tèarainteachd macsec connectivity-association connectivity association-name secure-channel secure-channel-name security-comann tèarainteachd-comann àireamh iuchrach- sreang
  4. Suidhich am MKA gu modh tèarainteachd.
    [deasaich] crypto-officer@hostname: fips # suidhich tèarainteachd macsec connectivity-association connectivityassociation-name security-modh tèarainteachd-modh
  5. Sònraich an ceangal ceangail rèiteachaidh le eadar-aghaidh MACsec sònraichte.
    [deasaich] crypto-officer@hostname: fips # suidhich tèarainteachd macsec eadar-aghaidh ainm eadar-aghaidh ceangal ceangal ceangal-ceangal-ainm

A’ rèiteachadh MACsec statach le trafaic ICMP
Gus MACsec Static a rèiteachadh a’ cleachdadh trafaic ICMP eadar inneal R0 agus inneal R1:
Ann an R0:

  1. Cruthaich an iuchair ro-roinnte le bhith a’ rèiteachadh prìomh ainm a’ chomainn ceangail (CKN) agus an iuchair ceangail ceangail (CAK)
    [deasaich] crypto-officer@hostname: fips # seata tèarainteachd macsec connectivity-association CA1 ro-sharedkey ckn 2345678922334455667788992223334445556667778889992222333344445555
    crypto-officer@hostname: fips # suidhich tèarainteachd macsec ceangal-comas CA1 ro-sharedkey cak 23456789223344556677889922233344 crypto-officer@hostname: fips # seata tèarainteachd macsec ceangal-comann CA1 cuir an aghaidh 30
  2. Suidhich luachan roghainn lorg.
    [deasaich] crypto-officer@hostname: fips # suidhich comharran tèarainteachd macsec file MACsec.log
    crypto-officer@hostname: fips # suidhich traceoptions tèarainteachd macsec file meud 4000000000
    crypto-officer@hostname: fips # suidhich tèarainteachd macsec traceoptions bratach uile
  3. Sònraich an lorg gu eadar-aghaidh.
    [deasaich] crypto-officer@hostname: fips # suidhich tèarainteachd macsec eadar-aghaidh lorgan ainm eadar-aghaidh file mka_xe meud 1g crypto-officer@hostname: fips # suidhich tèarainteachd eadar-aghaidh macsec eadar-aghaidh-ainm traceoptions bratach uile
  4. Dèan rèiteachadh air modh tèarainteachd MACsec mar static-cak airson a’ chomann ceangail. [deasaich] crypto-officer@hostname: fips # suidhich tèarainteachd macsec connectivity-association CA1 tèarainteachd-modh statach-cak
  5. Suidhich prìomhachas prìomh fhrithealaiche MKA.
    [deasaich] crypto-officer@hostname: fips # suidhich tèarainteachd macsec connectivity-association CA1 mka key-serverpriority 1
  6. Suidhich an eadar-ama tar-chuir MKA.
    [deasaich] crypto-officer@hostname: fips # suidhich tèarainteachd macsec connectivity-association CA1 mka transmitinterval 3000
  7. Dèan comas air an MKA tèarainte.
    [deasaich] crypto-officer@hostname: fips # suidhich tèarainteachd macsec connectivity-association CA1 mka shouldsecure
    crypto-officer@hostname: fips # suidhich tèarainteachd macsec connectivity-association CA1 gabhail a-steach-sci
  8. Sònraich an ceangal ceangail gu eadar-aghaidh.
    [deasaich] crypto-officer@hostname: fips # seata tèarainteachd macsec eadar-aghaidh ceangal eadar-aghaidh ainm-ainm
    CA1
    crypto-officer@hostname: fips # eadar-aghaidh suidhichte eadar-aghaidh ainm aonad 0 teaghlach seòladh inet 10.1.1.1/24

Ann an R1:

  1. Cruthaich an iuchair ro-roinnte le bhith a’ rèiteachadh prìomh ainm a’ chomainn ceangail (CKN) agus an iuchair ceangail ceangail (CAK)
    [deasaich] crypto-officer@hostname: fips # seata tèarainteachd macsec connectivity-association CA1 ro-sharedkey ckn 2345678922334455667788992223334445556667778889992222333344445555-seata tèarainteachd CA1 ro-sharedkey cèic 23456789223344556677889922233344 crypto-officer@hostname: fips # suidhich ceangal tèarainteachd macsec-comann CA1 cuir an aghaidh 30
  2. Suidhich luachan roghainn lorg.
    [deasaich] crypto-officer@hostname: fips # suidhich comharran tèarainteachd macsec file MACsec.log crypto-officer@hostname: fips # suidhich comharran tèarainteachd macsec file meud 4000000000 crypto-officer@hostname: fips # suidhich tèarainteachd macsec traceoptions bratach uile
  3. Sònraich an lorg gu eadar-aghaidh. [deasaich] crypto-officer@hostname: fips # suidhich tèarainteachd macsec eadar-aghaidh lorgan ainm eadar-aghaidh file mka_xe meud 1g crypto-officer@hostname: fips # suidhich tèarainteachd eadar-aghaidh macsec eadar-aghaidh-ainm traceoptions bratach uile
  4. Dèan rèiteachadh air modh tèarainteachd MACsec mar static-cak airson a’ chomann ceangail. [deasaich] crypto-officer@hostname: fips # suidhich tèarainteachd macsec connectivity-association CA1 tèarainteachd-modh statach-cak
  5. Suidhich an eadar-ama tar-chuir MKA.
    [deasaich] crypto-officer@hostname: fips # suidhich tèarainteachd macsec connectivity-association CA1 mka transmitinterval 3000
  6. Dèan comas air an MKA tèarainte. [deasaich] crypto-officer@hostname: fips # suidhich tèarainteachd macsec connectivity-association CA1 mka shouldsecure crypto-officer@hostname: fips # suidhich tèarainteachd macsec connectivity-association CA1 gabhail a-steach-sci
  7. Sònraich an ceangal ceangail gu eadar-aghaidh. [deasaich] crypto-officer@hostname: fips # suidhich tèarainteachd macsec eadar-aghaidh eadar-aghaidh ainm ceangal ceangal CA1 crypto-officer@hostname: fips # eadar-aghaidh suidhichte eadar-aghaidh-ainm aonad 0 seòladh inet teaghlaich 10.1.1.2/24

A’ rèiteachadh MACsec le keychain a’ cleachdadh Trafaic ICMP
Gus MACsec a rèiteachadh le keychain a’ cleachdadh trafaic ICMP eadar inneal R0 agus inneal R1:
Ann an R0:

  1. Sònraich luach fulangas don phrìomh shreath dearbhaidh. [deasaich] crypto-officer@hostname: fips # suidhich dearbhadh tèarainteachd-key-chains key-chain macsec-kc1 tolerance 20
  2. Cruthaich am facal-faire dìomhair airson a chleachdadh. Is e sreath de dh’ àireamhan hexadecimal a th’ ann suas ri 64 caractar a dh’fhaid. Faodaidh beàrnan a bhith san fhacal-fhaire ma tha an t-sreath charactaran dùinte ann an comharran-luirg. Tha dàta dìomhair an keychain air a chleachdadh mar CAK.
    [deasaich] crypto-officer@hostname: fips # suidhich dearbhadh tèarainteachd-key-chains key-chain macsec-kc1 iuchair 0 prìomh-ainm 2345678922334455667788992223334445556667778889992222333344445551-key-security s key chain macsec- kc1 key 0 start-time 2018-03-20.20:35 crypto-officer@hostname: fips# set tèarainteachd dearbhadh-key-chains key-slabhraidh macsec-kc1 key 1 key-name 2345678922334455667788992223334445556667778889992222333344445552 1 crypto-officer@hostname: fips # tèarainteachd stèidhichte dearbhadh-iuchrach-slabhraidh prìomh-slabhraidh macsec-kc1 iuchair 2018 toiseach-ùine 03-20.20-37:1 crypto-officer@hostname: fips# set tèarainteachd dearbhadh-iuchrach-slabhraidhean iuchair-slabhraidh macsec-kc2 iuchair 2345678922334455667788992223334445556667778889992222333344445553 prìomh-ainm 1 2 crypto-officer@hostname: fips # suidhich dearbhadh tèarainteachd-key-chains key-chain macsec-kc2018 key 03 toiseach-ùine 20.20-39-1:3 crypto-officer@hostname: fips # suidhich dearbhadh tèarainteachd-key-chains key- slabhraidh macsec-kc2345678922334455667788992223334445556667778889992222333344445554 iuchair 1 ainm iuchrach 3 crypto-officer@hostname: fips # set tèarainteachd dearbhachadh-second-key-key-chain-2018 keychain 03:20.20 crypto-officer@hostname: fips # suidhich dearbhadh tèarainteachd-iuchrach-slabhraidhean iuchrach-slabhraidh macsec-kc41 iuchair 1 prìomh-ainm 4 crypto-officer-key-key-security -àm 2345678922334455667788992223334445556667778889992222333344445555-1- 4:2018 crypto-officer@hostname: fips# seata dearbhadh tèarainteachd-key-chains key-chain macsec-kc03 key 20.20 key-name 43-seata crypto slabhraidhean-iuchrach-iuchrach macsec- kc1 key 5 start-time 2345678922334455667788992223334445556667778889992222333344445556-1-5:2018 crypto-officer@hostname: fips# set tèarainteachd dearbhadh-key-chains key-slabhraidh macsec-kc03 key 20.20 key-name 45 1 crypto-officer@hostname: fips # tèarainteachd stèidhichte dearbhadh-iuchrach-slabhraidhean iuchrach-slabhraidh macsec-kc6 iuchair 2345678922334455667788992223334445556667778889992222333344445557 toiseach-ùine 1-6-2018:03 crypto-officer@hostname: fips# seata tèarainteachd dearbhadh-iuchrach-slabhraidhean iuchrach macsec-kc20.20 iuchair 47 prìomh-ainm 1 crypto-officer@hostname: fips # suidhich dearbhadh tèarainteachd-key-chains key-chain macsec-kc7 key 2345678922334455667788992223334445556667778889992222333344445558 àm tòiseachaidh 1-7-2018:03 Cleachd an àithne sgiobalta gus prìomh luach dìomhair a chuir a-steach. Airson example, is e an luach prìomh dhìomhair 2345678922334455667788992223334123456789223344556677889922233341. [deasaich] crypto-officer@hostname: fips # tèarainteachd dearbhaidh-seic-iuchrach-iuchraichean ùra (cunntas-iuchraichean ùra) dìomhair): crypto-officer @hostname: fips # dearbhadh tèarainteachd sgiobalta-key-chains key-chain macseckc1 iuchair 0 dìomhair Cac ùr (dìomhair):
    Ath-sgrìobh cèic ùr (dìomhair): crypto-officer@hostname: fips # dearbhadh tèarainteachd sgiobalta-key-chains key-chain macseckc1 iuchair 2 dìomhair Cac ùr (dìomhair):
    Ath-sgrìobh cèic ùr (dìomhair): crypto-officer@hostname: fips # dearbhadh tèarainteachd sgiobalta-key-chains key-chain macseckc1 iuchair 3 dìomhair Cac ùr (dìomhair): Ath-sgrìobh cèic ùr (dìomhair): crypto-officer@hostname: fips # dearbhadh tèarainteachd sgiobalta-iuchrach-slabhraidhean prìomh-shlabhraidh macseckc1 iuchair 4 dìomhair Cèic ùr (dìomhair): Ath-sgrìobh cèic ùr (dìomhair): crypto-officer@hostname: fips # dearbhadh tèarainteachd sgiobalta-key-chains key-chain macseckc1 iuchair 5 dìomhair Ùr cak (dìomhair): Ath-sgrìobh cèic ùr (dìomhair): crypto-officer@hostname: fips # dearbhadh tèarainteachd sgiobalta-key-chains key-chain macseckc1 iuchair 6 dìomhair Cac ùr (dìomhair): Ath-sgrìobh cèic ùr (dìomhair): crypto-officer @hostname: fips # dearbhadh tèarainteachd sgiobalta-key-chains key-chain macseckc1 iuchair 7 dìomhair Cic ùr (dìomhair): Ath-sgrìobh cèic ùr (dìomhair):
  3. Ceangail an t-ainm keychain ro-roinnte leis a’ chomann ceangail.
    [deasaich] crypto-officer@hostname: fips # suidhich tèarainteachd macsec connectivity-association CA1 ro-sharedkey-chain macsec-kc1 crypto-officer@hostname: fips # suidhich tèarainteachd macsec connectivity-association CA1 cuir dheth 50 crypto-officer@hostname: fips # suidhich tèarainteachd macsec ceangal-comann CA1 cipher-suite gcm-aes-256
    NOTA: Faodar an luach cipher a shuidheachadh cuideachd mar cipher-suite gcm-aes-128.
  4. Suidhich luachan roghainn lorg.
    [deasaich] crypto-officer@hostname: fips # suidhich comharran tèarainteachd macsec file MACsec.log crypto-officer@hostname: fips # suidhich comharran tèarainteachd macsec file meud 4000000000 crypto-officer@hostname: fips # suidhich tèarainteachd macsec traceoptions bratach uile
  5. Sònraich an lorg gu eadar-aghaidh. [deasaich] crypto-officer@hostname: fips # suidhich tèarainteachd macsec eadar-aghaidh lorgan ainm eadar-aghaidh file mka_xe meud 1g crypto-officer@hostname: fips # suidhich tèarainteachd eadar-aghaidh macsec eadar-aghaidh-ainm traceoptions bratach uile
  6. Dèan rèiteachadh air modh tèarainteachd MACsec mar static-cak airson a’ chomann ceangail. [deasaich] crypto-officer@hostname: fips # suidhich tèarainteachd macsec connectivity-association CA1 securitymode static-cak
  7. Suidhich prìomhachas prìomh fhrithealaiche MKA.
    [deasaich] crypto-officer@hostname: fips # suidhich tèarainteachd macsec connectivity-association CA1 mka prìomh fhrithealaiche-prìomhachas 1
  8. Suidhich an eadar-ama tar-chuir MKA.
    [deasaich] crypto-officer@hostname: fips # suidhich tèarainteachd macsec connectivity-association CA1 mka transmitinterval 3000
  9. Dèan comas air an MKA tèarainte.
    [deasaich] crypto-officer@hostname: fips # suidhich tèarainteachd macsec connectivity-association CA1 gabhail a-steach-sci
  10. Sònraich an ceangal ceangail gu eadar-aghaidh.
    [deasaich] crypto-officer@hostname: fips # suidhich tèarainteachd eadar-aghaidh macsec eadar-aghaidh-ainm ceangal ceangal CA1
    crypto-officer@hostname: fips #
    suidhich eadar-aghaidh eadar-aghaidh-ainm aonad 0 seòladh inet teaghlaich 10.1.1.1/24

Gus MACsec a rèiteachadh le keychain airson trafaic ICMP:
Ann an R1:

  1. Sònraich luach fulangas don phrìomh shreath dearbhaidh.
    [deasaich] crypto-officer@hostname: fips # suidhich dearbhadh tèarainteachd-key-chains key-chain macsec-kc1 tolerance 20
  2. Cruthaich am facal-faire dìomhair airson a chleachdadh. Is e sreath de dh’ àireamhan hexadecimal a th’ ann suas ri 64 caractar a dh’fhaid. Faodaidh beàrnan a bhith san fhacal-fhaire ma tha an t-sreath charactaran dùinte ann an comharran-luirg. Tha dàta dìomhair an keychain air a chleachdadh mar CAK.
    [deasaich] crypto-officer@hostname: fips # suidhich dearbhadh tèarainteachd-key-chains key-chain macsec-kc1 iuchair 0 prìomh-ainm 2345678922334455667788992223334445556667778889992222333344445551-key-security s key chain macsec- kc1 key 0 start-time 2018-03-20.20:35 crypto-officer@hostname: fips# set tèarainteachd dearbhadh-key-chains key-slabhraidh macsec-kc1 key 1 key-name 2345678922334455667788992223334445556667778889992222333344445552 1 crypto-officer@hostname: fips # tèarainteachd stèidhichte dearbhadh-iuchrach-slabhraidh prìomh-slabhraidh macsec-kc1 iuchair 2018 toiseach-ùine 03-20.20-37:1 crypto-officer@hostname: fips# set tèarainteachd dearbhadh-iuchrach-slabhraidhean iuchair-slabhraidh macsec-kc2 iuchair 2345678922334455667788992223334445556667778889992222333344445553 prìomh-ainm 1 2 crypto-officer@hostname: fips # suidhich dearbhadh tèarainteachd-key-chains key-chain macsec-kc2018 key 03 toiseach-ùine 20.20-39-1:3 crypto-officer@hostname: fips # suidhich dearbhadh tèarainteachd-key-chains key- slabhraidh macsec-kc2345678922334455667788992223334445556667778889992222333344445554 iuchair 1 ainm iuchrach 3 crypto-officer@hostname: fips # set tèarainteachd dearbhachadh-second-key-key-chain-2018 keychain 03:20.20 crypto-officer@hostname: fips # suidhich dearbhadh tèarainteachd-iuchrach-slabhraidhean iuchrach-slabhraidh macsec-kc41 iuchair 1 prìomh-ainm 4 crypto-officer-key-key-security -àm 2345678922334455667788992223334445556667778889992222333344445555-1- 4:2018 crypto-officer@hostname: fips# seata dearbhadh tèarainteachd-key-chains key-chain macsec-kc03 key 20.20 key-name 43-seata-teacsa -key-chains key-slabhraidh macsec- kc1 key 5 start-time 345678922334455667788992223334445556667778889992222333344445556-1-5:2018 crypto-officer@hostname: fips# set tèarainteachd dearbhadh-key-chains key-slabhraidh macsec-kc03 key 20.20 key-name 45 1 crypto-officer@hostname: fips # tèarainteachd stèidhichte dearbhadh-iuchrach-slabhraidhean iuchrach-slabhraidh macsec-kc6 iuchair 2345678922334455667788992223334445556667778889992222333344445557 toiseach-ùine 1-6-2018:03 crypto-officer@hostname: fips# seata tèarainteachd dearbhadh-iuchrach-slabhraidhean iuchrach macsec-kc20.20 iuchair 47 prìomh-ainm 1 crypto-officer@hostname: fips # suidhich dearbhadh tèarainteachd-key-chains key-chain macsec-kc7 key 2345678922334455667788992223334445556667778889992222333344445558 toiseach-ùine 1-7-2018:03
    Cleachd an àithne sgiobalta gus prìomh luach dìomhair a chuir a-steach. Airson example, is e an prìomh luach dìomhair 2345678922334455667788992223334123456789223344556677889922233341.
    [deasaich] crypto-officer@hostname: fips # dearbhadh tèarainteachd sgiobalta-key-chains key-chain macseckc1 iuchair 0 dìomhair
    Cèic ùr (dìomhair):
    Ath-sgrìobh cèic ùr (dìomhair): crypto-officer@hostname: fips # dearbhadh tèarainteachd sgiobalta-key-chains key-chain macseckc1 iuchair 1 dìomhair Cak ùr (dìomhair): Ath-sgrìobh cèic ùr (dìomhair): crypto-officer@hostname: fips # dearbhadh tèarainteachd sgiobalta-iuchrach-slabhraidhean prìomh-shlabhraidh macseckc1 iuchair 2 dìomhair Cèic ùr (dìomhair): Ath-sgrìobh cèic ùr (dìomhair): crypto-officer@hostname: fips # dearbhadh tèarainteachd sgiobalta-key-chains key-chain macseckc1 iuchair 3 dìomhair Ùr cak (dìomhair): Ath-sgrìobh cèic ùr (dìomhair): crypto-officer@hostname: fips # dearbhadh tèarainteachd sgiobalta-key-chains key-chain macseckc1 iuchair 4 dìomhair Cac ùr (dìomhair): Ath-sgrìobh cèic ùr
    (dìomhair):
    crypto-officer@hostname: fips # dearbhadh tèarainteachd sgiobalta-key-chains key-chain macseckc1 iuchair 5 dìomhair Cèic ùr (dìomhair): Ath-sgrìobh cèic ùr (dìomhair):
    crypto-officer@hostname: fips # dearbhadh tèarainteachd sgiobalta-key-chains key-chain macseckc1 iuchair 6 dìomhair Cice ùr (dìomhair):
    Dèan ath-sgrìobhadh cèic ùr (dìomhair):
    crypto-officer@hostname: fips # dearbhadh tèarainteachd sgiobalta-key-chains key-chain macseckc1 iuchair 7 dìomhair Cice ùr (dìomhair):
    Dèan ath-sgrìobhadh cèic ùr (dìomhair):
  3. Ceangail an t-ainm keychain ro-roinnte leis a’ chomann ceangail.
    [deasaich] crypto-officer@hostname: fips # suidhich tèarainteachd macsec connectivity-association CA1 ro-roinnte- key-chain macsec-kc1
    crypto-officer@hostname: fips # suidhich tèarainteachd macsec connectivity-association CA1 cuir an aghaidh 50 crypto-officer@hostname: fips # suidhich tèarainteachd macsec connectivity-association CA1 cipher-suite gcm-aes-256
  4. Suidhich luachan roghainn lorg.
    [deasaich] crypto-officer@hostname: fips # suidhich comharran tèarainteachd macsec file MACsec.log crypto-officer@hostname: fips # suidhich comharran tèarainteachd macsec file meud 4000000000 crypto-officer@hostname: fips # suidhich tèarainteachd macsec traceoptions bratach uile
  5. Sònraich an lorg gu eadar-aghaidh.
    [deasaich] crypto-officer@hostname: fips # suidhich tèarainteachd macsec eadar-aghaidh lorgan ainm eadar-aghaidh file mka_xe meud 1g crypto-officer@hostname: fips # suidhich tèarainteachd eadar-aghaidh macsec eadar-aghaidh-ainm traceoptions bratach uile
  6. Dèan rèiteachadh air modh tèarainteachd MACsec mar static-cak airson a’ chomann ceangail.
    [deasaich] crypto-officer@hostname: fips # suidhich tèarainteachd macsec connectivity-association CA1 securitymode static-cak
  7. Suidhich prìomhachas prìomh fhrithealaiche MKA.
    [deasaich] crypto-officer@hostname: fips # suidhich tèarainteachd macsec connectivity-association CA1 mka prìomh fhrithealaiche-prìomhachas 1
  8. Suidhich an eadar-ama tar-chuir MKA.
    [deasaich] crypto-officer@hostname: fips # suidhich tèarainteachd macsec connectivity-association CA1 mka transmitinterval 3000
  9. Dèan comas air an MKA tèarainte.
    [deasaich] crypto-officer@hostname: fips # suidhich tèarainteachd macsec connectivity-association CA1 gabhail a-steach-sci
  10. Sònraich an ceangal ceangail gu eadar-aghaidh.
    [deasaich] crypto-officer@hostname: fips # seata tèarainteachd macsec eadar-aghaidh ceangal eadar-aghaidh ainm-ainm
    CA1
    crypto-officer@hostname: fips # eadar-aghaidh suidhichte eadar-aghaidh ainm aonad 0 teaghlach seòladh inet 10.1.1.2/24

A’ rèiteachadh MACsec statach airson trafaic Sreath 2
Gus MACsec statach a rèiteachadh airson trafaic Sreath 2 eadar inneal R0 agus inneal R1:
Ann an R0:

  1. Suidhich prìomhachas prìomh fhrithealaiche MKA.
    [deasaich] crypto-officer@hostname: fips # suidhich tèarainteachd macsec connectivity-association CA1 mka prìomh fhrithealaiche-prìomhachas 1
  2. Cruthaich am facal-faire dìomhair airson a chleachdadh. Is e sreath de dh’ àireamhan hexadecimal a th’ ann suas ri 64 caractar a dh’fhaid. Faodaidh beàrnan a bhith san fhacal-fhaire ma tha an t-sreath charactaran dùinte ann an comharran-luirg. Tha dàta dìomhair an keychain air a chleachdadh mar CAK.
    [deasaich] crypto-officer@hostname: fips # dearbhadh tèarainteachd sgiobalta-key-chains key-chain macseckc1 iuchair 0 dìomhair Cac ùr (dìomhair):
    Dèan ath-sgrìobhadh cèic ùr (dìomhair):
    Airson example, is e an prìomh luach dìomhair 2345678922334455667788992223334123456789223344556677889922233341.
  3. Ceangail an t-ainm keychain ro-roinnte leis a’ chomann ceangail. [deasaich] crypto-officer@hostname: fips # suidhich tèarainteachd macsec connectivity-association CA1 ro-sharedkey-chain macsec-kc1 crypto-officer@hostname: fips # suidhich tèarainteachd macsec connectivity-association CA1 cuir dheth 50 crypto-officer@hostname: fips # suidhich tèarainteachd macsec ceangal-comann CA1 cipher-suite gcm-aes-256
  4. Suidhich luachan roghainn lorg. [deasaich] crypto-officer@hostname: fips # suidhich comharran tèarainteachd macsec file MACsec.log crypto-officer@hostname: fips # suidhich comharran tèarainteachd macsec file meud 4000000000 crypto-officer@hostname: fips # suidhich tèarainteachd macsec traceoptions bratach uile
  5. Sònraich an lorg gu eadar-aghaidh. [deasaich] crypto-officer@hostname: fips # suidhich tèarainteachd macsec eadar-aghaidh lorgan ainm eadar-aghaidh file mka_xe meud 1g crypto-officer@hostname: fips # suidhich tèarainteachd eadar-aghaidh macsec eadar-aghaidh-ainm traceoptions bratach uile
  6. Dèan rèiteachadh air modh tèarainteachd MACsec mar static-cak airson a’ chomann ceangail.
    [deasaich] crypto-officer@hostname: fips # suidhich tèarainteachd macsec connectivity-association CA1 securitymode static-cak
  7. Suidhich prìomhachas prìomh fhrithealaiche MKA. [deasaich] crypto-officer@hostname: fips # suidhich tèarainteachd macsec connectivity-association CA1 mka prìomh fhrithealaiche-prìomhachas 1
  8. Suidhich an eadar-ama tar-chuir MKA.
    [deasaich] crypto-officer@hostname: fips # suidhich tèarainteachd macsec connectivity-association CA1 mka transmitinterval 3000
  9. Dèan comas air an MKA tèarainte.
    [deasaich] crypto-officer@hostname: fips # suidhich tèarainteachd macsec connectivity-association CA1 gabhail a-steach-sci
  10. Sònraich an ceangal ceangail gu eadar-aghaidh.
    [deasaich] crypto-officer@hostname: fips # seata tèarainteachd macsec eadar-aghaidh ceangal eadar-aghaidh ainm-ainm
    CA1
  11. Dèan rèiteachadh air VLAN taga' fas.
    [deasaich] crypto-officer@hostname: fips # eadar-aghaidh suidhichte eadar-aghaidh-name1 sùbailte-vlan-taga' fas
    crypto-officer@hostname: fips # seata eadar-aghaidh eadar-aghaidh-name1 gabhail a-steach seirbheisean sùbailte Ethernet
    crypto-officer@hostname: fips #
    suidhich eadar-aghaidh eadar-aghaidh-name1 aonad 100 encapsulation vlanbridge
    crypto-officer@hostname: fips #
    suidhich eadar-aghaidh eadar-aghaidh-ainm1 aonad 100 vlan-id 100
    crypto-officer@hostname: fips # eadar-aghaidh suidhichte eadar-aghaidh-name2 sùbailte-vlan-taga' fas
    crypto-officer@hostname: fips # seata eadar-aghaidh eadar-aghaidh-name2 gabhail a-steach seirbheisean sùbailte Ethernet
    crypto-officer@hostname: fips #
    suidhich eadar-aghaidh eadar-aghaidh-name2 aonad 100 encapsulation vlanbridge
    crypto-officer@hostname: fips #
    suidhich eadar-aghaidh eadar-aghaidh-ainm2 aonad 100 vlan-id 100
  12. Dèan rèiteachadh air fearann ​​​​drochaid.
    [deasaich] crypto-officer@hostname: fips # suidhich drochaid-fearainn BD-110 drochaid seòrsa fearainn
    crypto-officer@hostname: fips # suidhich raointean drochaid BD-110 vlan-id 100
    crypto-officer@hostname: fips # suidhich raointean drochaid BD-110 eadar-aghaidh eadar-aghaidh-name1 100
    crypto-officer@hostname: fips # suidhich raointean drochaid BD-110 eadar-aghaidh eadar-aghaidh-name2 100

Ann an R1:

  1. Cruthaich am facal-faire dìomhair airson a chleachdadh. Is e sreath de dh’ àireamhan hexadecimal a th’ ann suas ri 64 caractar a dh’fhaid. Tha an
    faodaidh beàrnan a bhith ann am facal-faire ma tha an t-sreath charactaran dùinte ann an comharran-luirg. An keychain's
    tha dàta dìomhair air a chleachdadh mar CAK.
    [deasaich] crypto-officer@hostname: fips # dearbhadh tèarainteachd sgiobalta-key-chains key-chain macseckc1 iuchair 0 dìomhair
    Cèic ùr
    (dìomhair):
    Dèan ath-sgrìobhadh cèic ùr
    (dìomhair):
    Airson example, is e am prìomh luach dìomhair
    2345678922334455667788992223334123456789223344556677889922233341.
  2. Ceangail an t-ainm keychain ro-roinnte leis a’ chomann ceangail.
    [deasaich] crypto-officer@hostname: fips # suidhich tèarainteachd macsec connectivity-association CA1 ro-sharedkey-chain
    macsec-kc1 crypto-officer@hostname: fips #
    suidhich tèarainteachd macsec ceangal-comann CA1 cuir an aghaidh 50
    crypto-officer@hostname: fips # suidhich tèarainteachd macsec connectivity-association CA1 cipher-suite gcm-aes-256
  3. Suidhich luachan roghainn lorg.
    [deasaich] crypto-officer@hostname: fips # suidhich comharran tèarainteachd macsec file MACsec.log
    crypto-officer@hostname: fips # suidhich traceoptions tèarainteachd macsec file meud 4000000000
    crypto-officer@hostname: fips # suidhich tèarainteachd macsec traceoptions bratach uile
  4. Sònraich an lorg gu eadar-aghaidh.
    [deasaich] crypto-officer@hostname: fips # suidhich tèarainteachd macsec eadar-aghaidh lorgan ainm eadar-aghaidh file mka_xe meud 1g
    crypto-officer@hostname: fips # seata tèarainteachd macsec eadar-aghaidh lorgan ainm eadar-aghaidh
    bratach uile
  5. Dèan rèiteachadh air modh tèarainteachd MACsec mar static-cak airson a’ chomann ceangail.
    [deasaich] crypto-officer@hostname: fips # suidhich modh tèarainteachd ceangal macsec tèarainteachd CA1
    statach-caic
  6. Suidhich prìomhachas prìomh fhrithealaiche MKA.
    [deasaich] crypto-officer@hostname: fips # suidhich tèarainteachd macsec connectivity-association CA1 mka prìomh fhrithealaiche-prìomhachas 1
  7. Suidhich an eadar-ama tar-chuir MKA.
    [deasaich] crypto-officer@hostname: fips # suidhich tèarainteachd macsec connectivity-association CA1 mka transmitinterval
    3000
  8. Dèan comas air an MKA tèarainte.
    [deasaich] crypto-officer@hostname: fips # suidhich tèarainteachd macsec connectivity-association CA1 gabhail a-steach-sci
  9. Sònraich an ceangal ceangail gu eadar-aghaidh.
    [deasaich] crypto-officer@hostname: fips # suidhich tèarainteachd eadar-aghaidh macsec eadar-aghaidh-ainm ceangal ceangal CA1
  10. Dèan rèiteachadh air VLAN taga' fas.
    [deasaich] crypto-officer@hostname: fips # eadar-aghaidh suidhichte eadar-aghaidh-name1 sùbailte-vlan-taga' fas
    crypto-officer@hostname: fips # seata eadar-aghaidh eadar-aghaidh-name1 gabhail a-steach seirbheisean sùbailte Ethernet
    crypto-officer@hostname: fips # eadar-aghaidh suidhichte eadar-aghaidh-name1 aonad 100 encapsulation vlanbridge
    crypto-officer@hostname: fips #
    suidhich eadar-aghaidh eadar-aghaidh-ainm1 aonad 100 vlan-id 100
    crypto-officer@hostname: fips # eadar-aghaidh suidhichte eadar-aghaidh-name2 sùbailte-vlan-taga' fas
    crypto-officer@hostname: fips # seata eadar-aghaidh eadar-aghaidh-name2 gabhail a-steach seirbheisean sùbailte Ethernet
    crypto-officer@hostname: fips #
    suidhich eadar-aghaidh eadar-aghaidh-name2 aonad 100 encapsulation vlanbridge
    crypto-officer@hostname: fips #
    suidhich eadar-aghaidh eadar-aghaidh-ainm2 aonad 100 vlan-id 100
  11. Dèan rèiteachadh air fearann ​​​​drochaid.
    [deasaich] crypto-officer@hostname: fips # suidhich drochaid-fearainn BD-110 drochaid seòrsa fearainn
    crypto-officer@hostname: fips # suidhich raointean drochaid BD-110 vlan-id 100
    crypto-officer@hostname: fips # suidhich raointean drochaid BD-110 eadar-aghaidh eadar-aghaidh-name1 100
    crypto-officer@hostname: fips # suidhich raointean drochaid BD-110 eadar-aghaidh eadar-aghaidh-name2 100

A’ rèiteachadh MACsec le keychain airson Trafaic Sreath 2

Gus MACsec a rèiteachadh le keychain airson trafaic ICMP eadar inneal R0 agus inneal R1:
Ann an R0:

  1. Sònraich luach fulangas don phrìomh shreath dearbhaidh.
    [deasaich] crypto-officer@hostname: fips # suidhich dearbhadh tèarainteachd-key-chains key-chain macsec-kc1 tolerance 20
  2. Cruthaich am facal-faire dìomhair airson a chleachdadh. Is e sreath de dh’ àireamhan hexadecimal a th’ ann suas ri 64 caractar a dh’fhaid. Faodaidh beàrnan a bhith san fhacal-fhaire ma tha an t-sreath charactaran dùinte ann an comharran-luirg. Tha dàta dìomhair an keychain air a chleachdadh mar CAK.
    [deasaich] crypto-officer@hostname: fips # suidhich dearbhadh tèarainteachd-key-chains key-chain macsec-kc1
    iuchrach 0 prìomh-ainm 2345678922334455667788992223334445556667778889992222333344445551
    crypto-officer@hostname: fips # suidhich dearbhadh tèarainteachd-key-chains key-chain macsec-kc1
    iuchair 0 àm tòiseachaidh 2018-03-20.20:35
    crypto-officer@hostname: fips # suidhich dearbhadh tèarainteachd-key-chains key-chain macsec-kc1
    iuchrach 1 prìomh-ainm 2345678922334455667788992223334445556667778889992222333344445552
    crypto-officer@hostname: fips # suidhich dearbhadh tèarainteachd-key-chains key-chain macsec-kc1
    iuchair 1 àm tòiseachaidh 2018-03-20.20:37
    crypto-officer@hostname: fips # suidhich dearbhadh tèarainteachd-key-chains key-chain macsec-kc1
    iuchrach 2 prìomh-ainm 2345678922334455667788992223334445556667778889992222333344445553
    crypto-officer@hostname: fips # suidhich dearbhadh tèarainteachd-key-chains key-chain macsec-kc1
    iuchair 2 àm tòiseachaidh 2018-03-20.20:39
    crypto-officer@hostname: fips # suidhich dearbhadh tèarainteachd-key-chains key-chain macsec-kc1
    iuchrach 3 prìomh-ainm 2345678922334455667788992223334445556667778889992222333344445554
    crypto-officer@hostname: fips # suidhich dearbhadh tèarainteachd-key-chains key-chain macsec-kc1
    iuchair 3 àm tòiseachaidh 2018-03-20.20:41
    crypto-officer@hostname: fips # suidhich dearbhadh tèarainteachd-key-chains key-chain macsec-kc1
    iuchrach 4 prìomh-ainm 2345678922334455667788992223334445556667778889992222333344445555
    crypto-officer@hostname: fips # suidhich dearbhadh tèarainteachd-key-chains key-chain macsec-kc1
    iuchair 4 àm tòiseachaidh 2018-03-20.20:43
    crypto-officer@hostname: fips # suidhich dearbhadh tèarainteachd-key-chains key-chain macsec-kc1
    iuchrach 5 prìomh-ainm 2345678922334455667788992223334445556667778889992222333344445556
    crypto-officer@hostname: fips # suidhich dearbhadh tèarainteachd-key-chains key-chain macsec-kc1
    iuchair 5 àm tòiseachaidh 2018-03-20.20:45
    crypto-officer@hostname: fips # suidhich dearbhadh tèarainteachd-key-chains key-chain macsec-kc1
    iuchrach 6 prìomh-ainm 2345678922334455667788992223334445556667778889992222333344445557
    crypto-officer@hostname: fips # suidhich dearbhadh tèarainteachd-key-chains key-chain macsec-kc1
    iuchair 6 àm tòiseachaidh 2018-03-20.20:47
    crypto-officer@hostname: fips # suidhich dearbhadh tèarainteachd-key-chains key-chain macsec-kc1
    iuchrach 7 prìomh-ainm 2345678922334455667788992223334445556667778889992222333344445558
    crypto-officer@hostname: fips # suidhich dearbhadh tèarainteachd-key-chains key-chain macsec-kc1
    iuchair 7 àm tòiseachaidh 2018-03-20.20:49
    Cleachd an àithne sgiobalta gus prìomh luach dìomhair a chuir a-steach. Airson example, is e am prìomh luach dìomhair
    2345678922334455667788992223334123456789223344556677889922233341.
    [deasaich] crypto-officer@hostname: fips # dearbhadh tèarainteachd sgiobalta-key-chains key-chain macseckc1 iuchair 0 dìomhair
    Cèic ùr
    (dìomhair):
    Dèan ath-sgrìobhadh cèic ùr
    (dìomhair):
    crypto-officer@hostname: fips #
    dearbhadh tèarainteachd sgiobalta-iuchrach-slabhraidhean iuchair-slabhraidh macseckc1 iuchair 1 dìomhair
    Cèic ùr
    (dìomhair):
    Dèan ath-sgrìobhadh cèic ùr
    (dìomhair):
    crypto-officer@hostname: fips # dearbhadh tèarainteachd sgiobalta-key-chains key-chain macseckc1 iuchair 2 dìomhair
    Cèic ùr
    (dìomhair):
    Dèan ath-sgrìobhadh cèic ùr
    (dìomhair):
    crypto-officer@hostname: fips #
    dearbhadh tèarainteachd sgiobalta-iuchrach-slabhraidhean iuchair-slabhraidh macseckc1 iuchair 3 dìomhair
    Cèic ùr
    (dìomhair):
    Dèan ath-sgrìobhadh cèic ùr
    (dìomhair):
    crypto-officer@hostname: fips #
    dearbhadh tèarainteachd sgiobalta-iuchrach-slabhraidhean iuchair-slabhraidh macseckc1 iuchair 4 dìomhair
    Cèic ùr
    (dìomhair):
    Dèan ath-sgrìobhadh cèic ùr
    (dìomhair):
    crypto-officer@hostname: fips #
    dearbhadh tèarainteachd sgiobalta-iuchrach-slabhraidhean iuchair-slabhraidh macseckc1 iuchair 5 dìomhair
    Cèic ùr
    (dìomhair):
    Dèan ath-sgrìobhadh cèic ùr
    (dìomhair):
    crypto-officer@hostname: fips #
    dearbhadh tèarainteachd sgiobalta-iuchrach-slabhraidhean iuchair-slabhraidh macseckc1 iuchair 6 dìomhair
    Cèic ùr
    (dìomhair):
    Dèan ath-sgrìobhadh cèic ùr
    (dìomhair):
    crypto-officer@hostname: fips #
    dearbhadh tèarainteachd sgiobalta-iuchrach-slabhraidhean iuchair-slabhraidh macseckc1 iuchair 7 dìomhair
    Cèic ùr
    (dìomhair):
    Dèan ath-sgrìobhadh cèic ùr
    (dìomhair):
  3. Ceangail an t-ainm keychain ro-roinnte leis a’ chomann ceangail.
    [deasaich] crypto-officer@hostname: fips # suidhich tèarainteachd macsec connectivity-association CA1 ro-sharedkey-chain
    macsec-kc1
    crypto-officer@hostname: fips #
    suidhich tèarainteachd macsec ceangal-comann CA1 cipher-suite
    gcm-aes-256
  4. Suidhich luachan roghainn lorg.
    [deasaich] crypto-officer@hostname: fips # suidhich comharran tèarainteachd macsec file MACsec.log
    crypto-officer@hostname: fips # suidhich traceoptions tèarainteachd macsec file meud 4000000000
    crypto-officer@hostname: fips # suidhich tèarainteachd macsec traceoptions bratach uile
  5.  Sònraich an lorg gu eadar-aghaidh.
    [deasaich] crypto-officer@hostname: fips # suidhich tèarainteachd macsec eadar-aghaidh lorgan ainm eadar-aghaidh
    file mka_xe meud 1g
    crypto-officer@hostname: fips # seata tèarainteachd macsec eadar-aghaidh lorgan ainm eadar-aghaidh
    bratach uile
  6. Dèan rèiteachadh air modh tèarainteachd MACsec mar static-cak airson a’ chomann ceangail.
    [deasaich] crypto-officer@hostname: fips # suidhich modh tèarainteachd ceangal macsec tèarainteachd CA1
    statach-caic
  7. Suidhich prìomhachas prìomh fhrithealaiche MKA.
    [deasaich] crypto-officer@hostname: fips # suidhich tèarainteachd macsec connectivity-association CA1 mka prìomh fhrithealaiche-prìomhachas 1
  8. Suidhich an eadar-ama tar-chuir MKA.
    [deasaich] crypto-officer@hostname: fips # suidhich tèarainteachd macsec connectivity-association CA1 mka transmitinterval
    3000
  9. Dèan comas air an MKA tèarainte.
    [deasaich] crypto-officer@hostname: fips # suidhich tèarainteachd macsec connectivity-association CA1 gabhail a-steach-sci
  10. Sònraich an ceangal ceangail gu eadar-aghaidh.
    [deasaich] crypto-officer@hostname: fips # seata tèarainteachd macsec eadar-aghaidh ceangal eadar-aghaidh ainm-ainm
    CA1
  11. Dèan rèiteachadh air VLAN taga' fas.
    [deasaich] crypto-officer@hostname: fips # eadar-aghaidh suidhichte eadar-aghaidh-name1 sùbailte-vlan-taga' fas
    crypto-officer@hostname: fips # eadar-aghaidh suidhichte eadar-aghaidh-name1 encapsulation sùbailteethernet-services
    crypto-officer@hostname: fips #
    suidhich eadar-aghaidh eadar-aghaidh-name1 aonad 100 encapsulation vlanbridge
    crypto-officer@hostname: fips #
    suidhich eadar-aghaidh eadar-aghaidh-ainm1 aonad 100 vlan-id 100
    crypto-officer@hostname: fips # eadar-aghaidh suidhichte eadar-aghaidh-name2 sùbailte-vlan-taga' fas
    crypto-officer@hostname: fips # eadar-aghaidh suidhichte eadar-aghaidh-name2 encapsulation sùbailteethernet-services
    crypto-officer@hostname: fips #
    suidhich eadar-aghaidh eadar-aghaidh-name2 aonad 100 encapsulation vlanbridge
    crypto-officer@hostname: fips #
    suidhich eadar-aghaidh eadar-aghaidh-ainm2 aonad 100 vlan-id 100
  12.  Dèan rèiteachadh air fearann ​​​​drochaid.
    [deasaich] crypto-officer@hostname: fips # suidhich drochaid-fearainn BD-110 drochaid seòrsa fearainn
    crypto-officer@hostname: fips # suidhich raointean drochaid BD-110 vlan-id 100
    crypto-officer@hostname: fips # suidhich raointean drochaid BD-110 eadar-aghaidh eadar-aghaidh-name1 100
    crypto-officer@hostname: fips # suidhich raointean drochaid BD-110 eadar-aghaidh eadar-aghaidh-name2 100

Ann an R1:

  1. Sònraich luach fulangas don phrìomh shreath dearbhaidh.
    [deasaich] crypto-officer@hostname: fips # suidhich dearbhadh tèarainteachd-key-chains key-chain macsec-kc1 tolerance 20
  2. Cruthaich am facal-faire dìomhair airson a chleachdadh. Is e sreath de dh’ àireamhan hexadecimal a th’ ann suas ri 64 caractar a dh’fhaid. Faodaidh beàrnan a bhith san fhacal-fhaire ma tha an t-sreath charactaran dùinte ann an comharran-luirg. Tha dàta dìomhair an keychain air a chleachdadh mar CAK.
    [deasaich] crypto-officer@hostname: fips # suidhich dearbhadh tèarainteachd-key-chains key-chain macsec-kc1
    iuchrach 0 prìomh-ainm 2345678922334455667788992223334445556667778889992222333344445551
    crypto-officer@hostname: fips # suidhich dearbhadh tèarainteachd-key-chains key-chain macsec-kc1
    iuchair 0 àm tòiseachaidh 2018-03-20.20:35
    crypto-officer@hostname: fips # suidhich dearbhadh tèarainteachd-key-chains key-chain macsec-kc1
    iuchrach 1 prìomh-ainm 2345678922334455667788992223334445556667778889992222333344445552
    crypto-officer@hostname: fips # suidhich dearbhadh tèarainteachd-key-chains key-chain macsec-kc1
    iuchair 1 àm tòiseachaidh 2018-03-20.20:37
    crypto-officer@hostname: fips # suidhich dearbhadh tèarainteachd-key-chains key-chain macsec-kc1
    iuchrach 2 prìomh-ainm 2345678922334455667788992223334445556667778889992222333344445553
    crypto-officer@hostname: fips # suidhich dearbhadh tèarainteachd-key-chains key-chain macsec-kc1
    iuchair 2 àm tòiseachaidh 2018-03-20.20:39
    crypto-officer@hostname: fips # suidhich dearbhadh tèarainteachd-key-chains key-chain macsec-kc1
    iuchrach 3 prìomh-ainm 2345678922334455667788992223334445556667778889992222333344445554
    crypto-officer@hostname: fips # suidhich dearbhadh tèarainteachd-key-chains key-chain macsec-kc1
    iuchair 3 àm tòiseachaidh 2018-03-20.20:41
    crypto-officer@hostname: fips # suidhich dearbhadh tèarainteachd-key-chains key-chain macsec-kc1
    iuchrach 4 prìomh-ainm 2345678922334455667788992223334445556667778889992222333344445555
    crypto-officer@hostname: fips # suidhich dearbhadh tèarainteachd-key-chains key-chain macsec-kc1
    iuchair 4 àm tòiseachaidh 2018-03-20.20:43
    crypto-officer@hostname: fips # suidhich dearbhadh tèarainteachd-key-chains key-chain macsec-kc1
    iuchrach 5 prìomh-ainm 2345678922334455667788992223334445556667778889992222333344445556
    crypto-officer@hostname: fips # suidhich dearbhadh tèarainteachd-key-chains key-chain macsec-kc1
    iuchair 5 àm tòiseachaidh 2018-03-20.20:45
    crypto-officer@hostname: fips # suidhich dearbhadh tèarainteachd-key-chains key-chain macsec-kc1
    iuchrach 6 prìomh-ainm 2345678922334455667788992223334445556667778889992222333344445557
    crypto-officer@hostname: fips # suidhich dearbhadh tèarainteachd-key-chains key-chain macsec-kc1
    iuchair 6 àm tòiseachaidh 2018-03-20.20:47
    crypto-officer@hostname: fips # suidhich dearbhadh tèarainteachd-key-chains key-chain macsec-kc1
    iuchrach 7 prìomh-ainm 2345678922334455667788992223334445556667778889992222333344445558
    crypto-officer@hostname: fips # suidhich dearbhadh tèarainteachd-key-chains key-chain macsec-kc1
    iuchair 7 àm tòiseachaidh 2018-03-20.20:49
    Cleachd an àithne sgiobalta gus prìomh luach dìomhair a chuir a-steach. Airson example, is e am prìomh luach dìomhair
    2345678922334455667788992223334123456789223344556677889922233341.
    [deasaich] crypto-officer@hostname: fips # dearbhadh tèarainteachd sgiobalta-key-chains key-chain macseckc1 iuchair 0 dìomhair
    Cèic ùr
    (dìomhair):
    Dèan ath-sgrìobhadh cèic ùr
    (dìomhair):
    crypto-officer@hostname: fips #
    dearbhadh tèarainteachd sgiobalta-iuchrach-slabhraidhean iuchair-slabhraidh macseckc1 iuchair 1 dìomhair
    Cèic ùr
    (dìomhair):
    Dèan ath-sgrìobhadh cèic ùr (dìomhair):
    crypto-officer@hostname: fips # dearbhadh tèarainteachd sgiobalta-key-chains key-chain macseckc1 iuchair 2 dìomhair
    Cèic ùr
    (dìomhair):
    Dèan ath-sgrìobhadh cèic ùr
    (dìomhair):
    crypto-officer@hostname: fips #
    dearbhadh tèarainteachd sgiobalta-iuchrach-slabhraidhean iuchair-slabhraidh macseckc1 iuchair 3 dìomhair
    Cèic ùr
    (dìomhair):
    Dèan ath-sgrìobhadh cèic ùr
    (dìomhair):
    crypto-officer@hostname: fips #
    dearbhadh tèarainteachd sgiobalta-iuchrach-slabhraidhean iuchair-slabhraidh macseckc1 iuchair 4 dìomhair
    Cèic ùr
    (dìomhair):
    Dèan ath-sgrìobhadh cèic ùr
    (dìomhair):
    crypto-officer@hostname: fips #
    dearbhadh tèarainteachd sgiobalta-iuchrach-slabhraidhean iuchair-slabhraidh macseckc1 iuchair 5 dìomhair
    Cèic ùr
    (dìomhair):
    Dèan ath-sgrìobhadh cèic ùr
    (dìomhair):
    crypto-officer@hostname: fips #
    dearbhadh tèarainteachd sgiobalta-iuchrach-slabhraidhean iuchair-slabhraidh macseckc1 iuchair 6 dìomhair
    Cèic ùr
    (dìomhair):
    Dèan ath-sgrìobhadh cèic ùr
    (dìomhair):
    crypto-officer@hostname: fips #
    dearbhadh tèarainteachd sgiobalta-iuchrach-slabhraidhean iuchair-slabhraidh macseckc1 iuchair 7 dìomhair
    Cèic ùr
    (dìomhair):
    Dèan ath-sgrìobhadh cèic ùr (dìomhair):
  3. Ceangail an t-ainm keychain ro-roinnte leis a’ chomann ceangail.
    [deasaich] crypto-officer@hostname: fips # suidhich tèarainteachd macsec connectivity-association CA1 ro-sharedkey-chain
    macsec-kc1
    crypto-officer@hostname: fips #
    suidhich tèarainteachd macsec ceangal-comann CA1 cipher-suite
    gcm-aes-256
  4. Suidhich luachan roghainn lorg.
    [deasaich] crypto-officer@hostname: fips # suidhich comharran tèarainteachd macsec file MACsec.log
    crypto-officer@hostname: fips # suidhich traceoptions tèarainteachd macsec file meud 4000000000
    crypto-officer@hostname: fips # suidhich tèarainteachd macsec traceoptions bratach uile
  5. Sònraich an lorg gu eadar-aghaidh.
    [deasaich] crypto-officer@hostname: fips # suidhich tèarainteachd macsec eadar-aghaidh lorgan ainm eadar-aghaidh
    file mka_xe meud 1g
    crypto-officer@hostname: fips # seata tèarainteachd macsec eadar-aghaidh lorgan ainm eadar-aghaidh
    bratach uile
  6. Dèan rèiteachadh air modh tèarainteachd MACsec mar static-cak airson a’ chomann ceangail.
    [deasaich] crypto-officer@hostname: fips # suidhich modh tèarainteachd ceangal macsec tèarainteachd CA1
    statach-caic
  7. Suidhich prìomhachas prìomh fhrithealaiche MKA.
    [deasaich] crypto-officer@hostname: fips # suidhich tèarainteachd macsec connectivity-association CA1 mka keyserver-prìomhachas
  8. Suidhich an eadar-ama tar-chuir MKA.
    [deasaich] crypto-officer@hostname: fips # suidhich tèarainteachd macsec connectivity-association CA1 mka transmitinterval
    3000
  9. Dèan comas air an MKA tèarainte.
    [deasaich] crypto-officer@hostname: fips # suidhich tèarainteachd macsec connectivity-association CA1 gabhail a-steach-sci
  10. Sònraich an ceangal ceangail gu eadar-aghaidh.
    [deasaich] crypto-officer@hostname: fips # seata tèarainteachd macsec eadar-aghaidh ceangal eadar-aghaidh ainm-ainm
    CA1
  11. Dèan rèiteachadh air VLAN taga' fas.
    [deasaich] crypto-officer@hostname: fips # eadar-aghaidh suidhichte eadar-aghaidh-name1 sùbailte-vlan-taga' fas
    crypto-officer@hostname: fips # eadar-aghaidh suidhichte eadar-aghaidh-name1 encapsulation sùbailteethernet-services
    crypto-officer@hostname: fips #
    suidhich eadar-aghaidh eadar-aghaidh-name1 aonad 100 encapsulation vlanbridge
    crypto-officer@hostname: fips #
    suidhich eadar-aghaidh eadar-aghaidh-ainm1 aonad 100 vlan-id 100
    crypto-officer@hostname: fips # eadar-aghaidh suidhichte eadar-aghaidh-name2 sùbailte-vlan-taga' fas
    crypto-officer@hostname: fips # seata eadar-aghaidh eadar-aghaidh-name2 gabhail a-steach seirbheisean sùbailte Ethernet
    crypto-officer@hostname: fips #
    suidhich eadar-aghaidh eadar-aghaidh-name2 aonad 100 encapsulation vlanbridge
    crypto-officer@hostname: fips #
    suidhich eadar-aghaidh eadar-aghaidh-ainm2 aonad 100 vlan-id 100
  12. Dèan rèiteachadh air fearann ​​​​drochaid.
    [deasaich] crypto-officer@hostname: fips # suidhich drochaid-fearainn BD-110 drochaid seòrsa fearainn
    crypto-officer@hostname: fips # suidhich raointean drochaid BD-110 vlan-id 100
    crypto-officer@hostname: fips # suidhich raointean drochaid BD-110 eadar-aghaidh eadar-aghaidh-name1 100
    crypto-officer@hostname: fips # suidhich raointean drochaid BD-110 eadar-aghaidh eadar-aghaidh-name2 100

A’ rèiteachadh Logadh Tachartas

Tachartas a’ clàradh thairisview
Feumaidh an rèiteachadh measaidh sgrùdadh a dhèanamh air atharrachaidhean rèiteachaidh tro log an t-siostaim.
A bharrachd air an sin, faodaidh Junos OS:

  • Cuir freagairtean fèin-ghluasadach gu tachartasan sgrùdaidh (cruthachadh inntrigidh syslog).
  • Leig le manaidsearan ùghdarraichte clàran sgrùdaidh a sgrùdadh.
  • Cuir a-steach sgrùdadh files gu frithealaichean bhon taobh a-muigh.
  • Leig le manaidsearan ùghdarraichte an siostam a thilleadh gu staid aithnichte.

Feumaidh an logadh airson an rèiteachadh measaidh na tachartasan a leanas a ghlacadh:

  • Atharraichean air prìomh dhàta dìomhair anns an rèiteachadh.
  • Atharraichean dealasach.
  • Log a-steach / logadh a-mach luchd-cleachdaidh.
  • Tòiseachadh siostam.
  • Mura deach seisean SSH a stèidheachadh.
  • Stèidheachadh / crìochnachadh seisean SSH.
  • Atharraichean air an ùine (siostam).
  • Crìochnachadh seisean iomallach leis an inneal glasaidh seisean.
  • Crìoch air seisean eadar-ghnìomhach.

A bharrachd air an sin, tha Juniper Networks a’ moladh gun tèid logadh a-steach cuideachd:

  • Glac a h-uile atharrachadh air an rèiteachadh.
  • Stòradh fiosrachadh logaidh air astar.

A’ rèiteachadh Logadh Tachartas gu Ionadail File
Faodaidh tu stòradh fiosrachaidh sgrùdaidh a rèiteachadh gu neach ionadail file leis an aithris syslog. Tha an t-example bhith a’ stòradh logaichean ann an a file ainmichte Audit-File:
[deasaich siostam] syslog {
file Sgrùdadh-File;
}
Eadar-theangachadh Teachdaireachdan Tachartas
Tha an toradh a leanas a’ sealltainn marample teachdaireachd tachartais.
Feb 27 02:33:04 bm-a mgd[6520]: UI_LOGIN_EVENT: Log a-steach 'oifigear tèarainteachd' a' chleachdaiche, clas 'j-superuser'
[6520],
ssh-connection”, modh teachdaiche
'cli'
Feb 27 02:33:49 bm-a mgd[6520]: UI_DBASE_LOGIN_EVENT: Cleachdaiche 'oifigear tèarainteachd' a' dol a-steach don rèiteachadh
modh
Feb 27 02:38:29 bm-a mgd[6520]: UI_CMDLINE_READ_LINE: Cleachdaiche 'tèarainteachd-oifigear', àithne 'ruith taisbeanadh
loga
Log sgrùdaidh | grep LOGIN
Clàr 4 air duilleag 69 a’ toirt cunntas air na raointean airson teachdaireachd tachartais. Mura h-urrainn do ghoireas logaidh an t-siostaim an luach ann an raon sònraichte a dhearbhadh, nochdaidh tàthan ( - ) na àite.
Clàr 4: Raointean ann am Teachdaireachdan Tachartas

Achadh Tuairisgeul Examples
uairamp Àm nuair a chaidh an teachdaireachd a chruthachadh, ann an aon de dhà riochdachadh:
• MMM-DD HH:MM:SS.MS+/-HH:MM, 's e mìos, latha, uair, mionaid, dàrna agus millisecond ann an ùine ionadail. Tha an uair agus mionaid a tha a’ leantainn an t-soidhne plus (+) no soidhne minus (-) mar chothromachadh na sòn ùine ionadail bho Àm Co-òrdanaichte Uile-choitcheann (UTC).
• YYYY-MM-DDTHH:MM:SS.MSZ a' bhliadhna, mìos, latha, uair, mionaid, dàrna agus millisecond ann an UTC.		  'S e Feb 27 02:33:04 an uair as luaitheamp air a chur an cèill mar àm ionadail anns na Stàitean Aonaichte.

2012-02-27T03:17:15.713Z is

2:33m UTC air 27 Feb

2012.
ainm òstair Ainm an òstair a chruthaich an teachdaireachd bho thùs.  router 1
phròiseas Ainm pròiseas Junos OS a chruthaich an teachdaireachd.  mgd
ID pròiseas ID pròiseas UNIX (PID) de phròiseas Junos OS a chruthaich an teachdaireachd.  4153
TAG Teachdaireachd log siostam Junos OS tag, a tha gu sònraichte ag aithneachadh an teachdaireachd.  UI_DBASE_LOGOUT_EVENT
ainm neach-cleachdaidh Ainm-cleachdaidh an neach-cleachdaidh a chuir an tachartas air bhog.  "rianaire"
teachdaireachd-teacsa Tuairisgeul sa Bheurla air an tachartas.  seata: [siostam radius-server 1.2.3.4 dìomhair]

Logadh Atharrachaidhean air Dàta Dìomhair
Tha na leanas exampnas lugha de chlàran sgrùdaidh de thachartasan a dh’ atharraicheas an dàta dìomhair. Aon uair ‘s gu bheil atharrachadh ann an rèiteachadh example, bu chòir don tachartas syslog na logaichean gu h-ìosal a ghlacadh:
Jul 24 17:43:28 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: Seata 'admin' cleachdaiche:
[siostam radius-server 1.2.3.4 dìomhair] Jul 24 17:43:28 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: Seata 'admin' cleachdaiche:
[facal-faire air a chrioptachadh le logadh a-steach an t-siostaim] Jul 24 17:43:28 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: Seata 'admin' cleachdaiche:
[facal-faire crioptaichte cleachdaiche logadh a-steach an t-siostaim] Gach uair a thèid rèiteachadh ùrachadh no atharrachadh, bu chòir don syslog na logaichean sin a ghlacadh:
Jul 24 18:29:09 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: Cleachdaiche 'admin' an àite:
[siostam radius-server 1.2.3.4 dìomhair] Jul 24 18:29: 09 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: Cleachdaiche 'admin' an àite:
[facal-faire air a chrioptachadh le logadh a-steach an t-siostaim] Jul 24 18:29: 09 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: Cleachdaiche 'admin' an àite:
[logadh a-steach siostam dearbhaidh rianachd cleachdaiche crioptaichte-facal-faire] Airson tuilleadh fiosrachaidh mu bhith a’ rèiteachadh pharamadairean agus a’ riaghladh log files, faic an Junos OS System
Iomradh Teachdaireachdan Log.
Tachartasan Log a-steach agus Log a-mach a’ cleachdadh SSH
Bithear a’ cruthachadh teachdaireachdan log an t-siostaim nuair a dh’ fheuchas neach-cleachdaidh gu soirbheachail no gu neo-shoirbheachail ri inntrigeadh SSH. Tha tachartasan suaicheantais air an clàradh cuideachd. Airson example, tha na logaichean a leanas mar thoradh air dà oidhirp dearbhaidh a dh’ fhàillig, an uairsin fear soirbheachail, agus mu dheireadh suaicheantas:
Dùbhlachd 20 23:17:35 bilbo sshd[16645]: Facal-faire air fàiligeadh airson op bho 172.17.58.45 port 1673 ssh2
Dùbhlachd 20 23:17:42 bilbo sshd[16645]: Facal-faire air fàiligeadh airson op bho 172.17.58.45 port 1673 ssh2
Dùbhlachd 20 23:17:53 bilbo sshd[16645]: Facal-faire ris an deach gabhail airson op bho 172.17.58.45 port 1673 ssh2
Dec 20 23:17:53 bilbo mgd[16648]: UI_AUTH_EVENT: Cleachdaiche dearbhte 'op' aig ìre cead
'j-obrachaidh'
20 Dùbhlachd 23:17:53 bilbo mgd[16648]: UI_LOGIN_EVENT: Logadh a-steach cleachdaiche 'op', clas 'j-operator' [16648] Dec 20 23:17:56 bilbo mgd[16648]: UI_CMDLINE_READ_LINE: Cleachdaiche 'op' àithne 'sgur'
20 Dùbhlachd 23:17:56 bilbo mgd[16648]: UI_LOGOUT_EVENT: Suaicheantas cleachdaiche 'op'
Clàradh tòiseachaidh sgrùdaidh
Tha am fiosrachadh sgrùdaidh a chaidh a chlàradh a’ toirt a-steach tòiseachadh Junos OS. Bidh seo an uair sin a’ comharrachadh tachartasan tòiseachaidh an t-siostam sgrùdaidh, nach gabh a chiorramachadh no a chomasachadh gu neo-eisimeileach. Airson example, ma thèid Junos OS ath-thòiseachadh, tha am fiosrachadh a leanas anns an log sgrùdaidh:
Dùbhlachd 20 23:17:35 bilbo syslogd: a’ falbh air comharra 14
Dec 20 23:17:35 bilbo syslogd: ath-thòiseachadh
Dùbhlachd 20 23:17:35 bilbo syslogd /kernel: Dec 20 23:17:35 init: syslogd (PID 19128) air falbh le
inbhe = 1
20 Dùbhlachd 23:17:42 bilbo /kernel:
Dùbhlachd 20 23:17:53 init: thòisich syslogd (PID 19200)

Dèan fèin-dheuchainnean air inneal

A’ tuigsinn Fèin-dheuchainnean FIPS
Bidh am modal criptografach a 'cur an gnìomh riaghailtean tèarainteachd gus dèanamh cinnteach gu bheil Juniper Networks Junos ag obair
siostam (Junos OS) ann am modh FIPS a' coinneachadh ri riatanasan tèarainteachd FIPS 140-2 Ìre 1. Gus an
toradh de algoirmean criptografach a chaidh aontachadh airson FIPS agus deuchainn air ionracas cuid de mhodalan siostam,
bidh an inneal a’ coileanadh an t-sreath fèin-dheuchainnean deuchainn freagairt aithnichte (KAT):

  • kernel_kats - KAT airson cleachdaidhean criptografach kernel
  • md_kats - KAT airson buill agus libc
  • openssl_kats - KAT airson buileachadh criptografach OpenSSL
  • quicksec_kats - KAT airson buileachadh criptografach QuickSec Toolkit
  •  ssh_ipsec_kats - KAT airson buileachadh criptografach SSH IPsec Toolkit
  • macsec_kats - KAT airson buileachadh criptografach MACsec

Bithear a’ dèanamh fèin-dheuchainnean KAT gu fèin-ghluasadach aig àm tòiseachaidh. Bithear cuideachd a’ dèanamh fèin-dheuchainnean cumhach gu fèin-ghluasadach gus pasganan bathar-bog le soidhnigeadh didseatach a dhearbhadh, àireamhan air thuaiream air an gineadh, prìomh chàraidean RSA agus ECDSA, agus iuchraichean a chaidh a chuir a-steach le làimh.
Ma thèid na KATn a chrìochnachadh gu soirbheachail, log an t-siostaim (syslog) file air ùrachadh gus na deuchainnean a chaidh a dhèanamh a thaisbeanadh.
Ma tha fàilligeadh KAT, bidh an inneal a 'sgrìobhadh an fhiosrachaidh gu log siostam file, a’ dol a-steach do staid mearachd FIPS (clisgeadh) agus ath-thòiseachadh.
Tha an file seall / var/log/messages command a’ taisbeanadh log an t-siostaim.
Faodaidh tu cuideachd fèin-dheuchainn FIPS a ruith le bhith a’ cur a-mach iarrtas vmhost reboot command. Chì thu na logaichean fèin-dheuchainn FIPS air a’ chonsail nuair a tha an siostam ri thighinn.
Example: Dèan rèiteachadh air Fèin-dheuchainnean FIPS
Tha an t-example a’ sealltainn mar a chuireas tu fèin-dheuchainnean FIPS air dòigh gus an ruith iad bho àm gu àm.
Bathar-cruaidh is bathar-bog riatanasan

  • Feumaidh sochairean rianachd a bhith agad gus fèin-dheuchainnean FIPS a rèiteachadh.
  • Feumaidh an inneal a bhith a’ ruith an dreach measaichte de Junos OS ann am bathar-bog modh FIPS.

Thairisview
Tha fèin-dheuchainn FIPS air a dhèanamh suas de na sreathan de dheuchainnean freagairt aithnichte (KATn):

  • kernel_kats - KAT airson cleachdaidhean criptografach kernel
  • md_kats - KAT airson libmd agus libc
  • quicksec_kats - KAT airson buileachadh criptografach QuickSec Toolkit
  • openssl_kats - KAT airson buileachadh criptografach OpenSSL
  • ssh_ipsec_kats - KAT airson buileachadh criptografach SSH IPsec Toolkit
  • macsec_kats - KAT airson buileachadh criptografach MACsec
    Anns an example, thèid fèin-dheuchainn FIPS a chuir gu bàs aig 9: 00m ann am Baile New York, na SA, gach Diciadain.

NOTA: An àite deuchainnean seachdaineil, faodaidh tu deuchainnean mìosail a rèiteachadh le bhith a’ toirt a-steach aithrisean mìos is latha na mìos.
Nuair a dh’ fhailicheas fèin-dheuchainn KAT, thèid teachdaireachd log a sgrìobhadh gu teachdaireachdan log an t-siostaim file le mion-fhiosrachadh mun fhàilligeadh deuchainn. An uairsin bidh an siostam a’ clisgeadh agus ag ath-thòiseachadh.
CLI rèiteachadh luath
Gus am fear seo a rèiteachadh gu sgiobaltaample, dèan lethbhreac de na h-òrdughan a leanas, cuir a-steach iad ann an teacsa file, thoir air falbh briseadh loidhne sam bith, atharraich mion-fhiosrachadh sam bith a tha riatanach gus a bhith co-ionnan ri rèiteachadh an lìonraidh agad, agus an uairsin dèan lethbhreac agus pasg air na h-òrdughan a-steach don CLI aig ìre rangachd [deasaich].
siostam seata fips fèin-dheuchainn àm tòiseachaidh bho àm gu àm 09:00
siostam seata fips fèin-dheuchainn bho àm gu àm latha den t-seachdain 3
Modh-obrach ceum air cheum
Gus fèin-dheuchainn FIPS a rèiteachadh, log a-steach don inneal le teisteanasan crypto-officer:

  1. Dèan rèiteachadh air fèin-dheuchainn FIPS airson a chuir gu bàs aig 9:00m gach Diciadain.
    [deasaich siostam fips fèin-dheuchainn] crypto-officer@hostname: fips # suidhich àm tòiseachaidh bho àm gu àm 09:00
    crypto-officer@hostname: fips # seata bho àm gu àm latha-de-seachdain 3
  2. Ma tha thu deiseil a’ rèiteachadh an inneal, dèan an rèiteachadh.
    [deasaich siostam fips fèin-dheuchainn] crypto-officer@hostname: fips # gealltanas

Toraidhean
Bho mhodh rèiteachaidh, dearbhaich an rèiteachadh agad le bhith a 'toirt seachad òrdugh an t-siostaim taisbeanaidh. Mura seall an toradh an rèiteachadh a tha san amharc, cuir a-rithist an stiùireadh san example gus an rèiteachadh a cheartachadh.
crypto-officer@hostname: siostam taisbeanaidh fips #
fips {
fèin-dheuchainn {
ràitheil {
àm tòiseachaidh "09:00";
latha-de-seachdain 3;
}
}
}

Dearbhadh

Dèan cinnteach gu bheil an rèiteachadh ag obair ceart.
A’ dearbhadh an Fèin-dheuchainn FIPS

Adhbhar
Dèan cinnteach gu bheil fèin-dheuchainn FIPS an comas.
Gnìomh
Ruith fèin-dheuchainn FIPS le làimh le bhith a’ cur a-mach an àithne fèin-dheuchainn fips an t-siostam iarrtas no ath-thòisich an inneal.
Às deidh an t-siostam iarrtas a chuir a-mach fips fèin-dheuchainn àithne no reboot an inneal, an loga siostam file air ùrachadh gus na KATn a chaidh a chur gu bàs a thaisbeanadh. Gu view log an t-siostaim file, cuir a-mach an file seall /var/log/ messages command.
cleachdaiche@host# file seall /var/log/messages
RE KATS:
mgd: A’ ruith Fèin-dheuchainnean FIPS
mgd: A 'dèanamh deuchainn air kernel KATS:
mgd: NIST 800-90 HMAC DRBG Deuchainn Freagairt aithnichte: Passed
mgd: DES3-CBC Deuchainn Freagairt aithnichte: Passed
mgd: HMAC-SHA1 Deuchainn Freagairt aithnichte: Passed
mgd: HMAC-SHA2-256 Deuchainn Freagairt aithnichte: Passed
mgd: SHA-2-384 Deuchainn Freagairt aithnichte: Passed
mgd: SHA-2-512 Deuchainn Freagairt aithnichte: Passed
mgd: AES128-CMAC Deuchainn Freagairt aithnichte: Passed
mgd: Deuchainn Freagairt AES-CBC aithnichte: Passed
mgd: A’ dèanamh deuchainn air MACSec KATS:
mgd: AES128-CMAC Deuchainn Freagairt aithnichte: Passed
mgd: AES256-CMAC Deuchainn Freagairt aithnichte: Passed
mgd: Deuchainn Freagairt AES-ECB aithnichte: Passed
mgd: AES-KEYWRAP Deuchainn Freagairt aithnichte: Passed
mgd: KBKDF Deuchainn Freagairt aithnichte: Passed
mgd: A’ dèanamh deuchainn air libmd KATS:
mgd: HMAC-SHA1 Deuchainn Freagairt aithnichte: Passed
mgd: HMAC-SHA2-256 Deuchainn Freagairt aithnichte: Passed
mgd: SHA-2-512 Deuchainn Freagairt aithnichte: Passed
mgd: A’ dèanamh deuchainn air OpenSSL KATS:
mgd: NIST 800-90 HMAC DRBG Deuchainn Freagairt aithnichte: Passed
mgd: Deuchainn Freagairt aithnichte ECDSA FIPS: Passed
mgd: Deuchainn Freagairt aithnichte ECDH FIPS ECDH: Passed
mgd: Deuchainn Freagairt aithnichte RSA FIPS: Air a dhol seachad
mgd: DES3-CBC Deuchainn Freagairt aithnichte: Passed
mgd: HMAC-SHA1 Deuchainn Freagairt aithnichte: Passed
mgd: HMAC-SHA2-224 Deuchainn Freagairt aithnichte: Passed
mgd: HMAC-SHA2-256 Deuchainn Freagairt aithnichte: Passed
mgd: HMAC-SHA2-384 Deuchainn Freagairt aithnichte: Passed
mgd: HMAC-SHA2-512 Deuchainn Freagairt aithnichte: Passed
mgd: Deuchainn Freagairt AES-CBC aithnichte: Passed
mgd: Deuchainn Freagairt AES-GCM aithnichte: Passed
mgd: Deuchainn Freagairt aithnichte ECDSA-SIGN: Passed
mgd: KDF-IKE-V1 Deuchainn Freagairt aithnichte: Passed
mgd: KDF-SSH-SHA256 Deuchainn Freagairt aithnichte: Passed
mgd: KAS-ECC-EPHEM-UNIFIED-NOKC Deuchainn Freagairt aithnichte: Passed
mgd: KAS-FFC-EPHEM-NOKC Deuchainn Freagairt aithnichte: Passed
mgd: A’ dèanamh deuchainn air QuickSec 7.0 KATS:
mgd: NIST 800-90 HMAC DRBG Deuchainn Freagairt aithnichte: Passed
mgd: DES3-CBC Deuchainn Freagairt aithnichte: Passed
mgd: HMAC-SHA1 Deuchainn Freagairt aithnichte: Passed
mgd: HMAC-SHA2-224 Deuchainn Freagairt aithnichte: Passed
mgd: HMAC-SHA2-256 Deuchainn Freagairt aithnichte: Passed
mgd: HMAC-SHA2-384 Deuchainn Freagairt aithnichte: Passed
mgd: HMAC-SHA2-512 Deuchainn Freagairt aithnichte: Passed
mgd: Deuchainn Freagairt AES-CBC aithnichte: Passed
mgd: Deuchainn Freagairt AES-GCM aithnichte: Passed
mgd: SSH-RSA-ENC Deuchainn Freagairt aithnichte: Passed
mgd: SSH-RSA-SIGN Deuchainn Freagairt aithnichte: Passed
mgd: SSH-ECDSA-SIGN Deuchainn Freagairt aithnichte: Passed
mgd: KDF-IKE-V1 Deuchainn Freagairt aithnichte: Passed
mgd: KDF-IKE-V2 Deuchainn Freagairt aithnichte: Passed
mgd: A’ dèanamh deuchainn air QuickSec KATS:
mgd: NIST 800-90 HMAC DRBG Deuchainn Freagairt aithnichte: Passed
mgd: DES3-CBC Deuchainn Freagairt aithnichte: Passed
mgd: HMAC-SHA1 Deuchainn Freagairt aithnichte: Passed
mgd: HMAC-SHA2-224 Deuchainn Freagairt aithnichte: Passed
mgd: HMAC-SHA2-256 Deuchainn Freagairt aithnichte: Passed
mgd: HMAC-SHA2-384 Deuchainn Freagairt aithnichte: Passed
mgd: HMAC-SHA2-512 Deuchainn Freagairt aithnichte: Passed
mgd: Deuchainn Freagairt AES-CBC aithnichte: Passed
mgd: Deuchainn Freagairt AES-GCM aithnichte: Passed
mgd: SSH-RSA-ENC Deuchainn Freagairt aithnichte: Passed
mgd: SSH-RSA-SIGN Deuchainn Freagairt aithnichte: Passed
mgd: KDF-IKE-V1 Deuchainn Freagairt aithnichte: Passed
mgd: KDF-IKE-V2 Deuchainn Freagairt aithnichte: Passed
mgd: A’ dèanamh deuchainn air SSH IPsec KATS:
mgd: NIST 800-90 HMAC DRBG Deuchainn Freagairt aithnichte: Passed
mgd: DES3-CBC Deuchainn Freagairt aithnichte: Passed
mgd: HMAC-SHA1 Deuchainn Freagairt aithnichte: Passed
mgd: HMAC-SHA2-256 Deuchainn Freagairt aithnichte: Passed
mgd: Deuchainn Freagairt AES-CBC aithnichte: Passed
mgd: SSH-RSA-ENC Deuchainn Freagairt aithnichte: Passed
mgd: SSH-RSA-SIGN Deuchainn Freagairt aithnichte: Passed
mgd: KDF-IKE-V1 Deuchainn Freagairt aithnichte: Passed
mgd: deuchainn file iomlanachd:
mgd: File ionracas aithnichte Deuchainn Freagairt: Passed
mgd: A’ dèanamh deuchainn air ionracas crypto:
mgd: Ionracas crypto aithnichte Deuchainn Freagairt: Passed
mgd: An dùil ri exec AuthenticatiMAC/veriexec: gun lorgan-meòir (file=/sbin/kats/cannot-exec
fsid=246 fileid=49356 gen=1 uid=0 pid=9384 ppid=9354 gppid=9352) air mearachd…
mgd: /sbin/kats/run-tests: /sbin/kats/cannot-exec: Mearachd dearbhaidh
mgd: Fèin-dheuchainnean FIPS air a dhol seachad
LC KATS:
Sultain 12 10:50:44 network_macsec_kats_input xe- /0/0:0:
no> pic:0 port:0 chan:0 FIPS AES-256-GCM MACsec KATS crioptachadh seachad
Sultain 12 10:50:50 network_macsec_kats_input xe- /0/1:0:
no> pic:0 port:1 chan:0 FIPS AES-256-GCM MACsec KATS crioptachadh seachad
Sultain 12 10:50:55 network_macsec_kats_input xe- /0/0:0:
no> pic:0 port:0 chan:0 FIPS AES-256-GCM MACsec KATS dì-chrioptachadh seachad
Sultain 12 10:50:56 network_macsec_kats_input xe- /0/2:0:
no> pic:0 port:2 chan:0 FIPS AES-256-GCM MACsec KATS crioptachadh seachad
Sultain 12 10:51:01 network_macsec_kats_input xe- /0/1:0:
no> pic:0 port:1 chan:0 FIPS AES-256-GCM MACsec KATS dì-chrioptachadh seachad
Sultain 12 10:51:02 network_macsec_kats_input xe- /0/2:0:
no> pic:0 port:2 chan:0 FIPS AES-256-GCM MACsec KATS dì-chrioptachadh seachad
Sultain 12 10:51:06 network_macsec_kats_input xe- /0/3:0:
no> pic:0 port:3 chan:0 FIPS AES-256-GCM MACsec KATS crioptachadh seachad
Sultain 12 10:51:12 network_macsec_kats_input xe- /0/3:0:
no> pic:0 port:3 chan:0 FIPS AES-256-GCM MACsec KATS dì-chrioptachadh seachad
Sultain 12 10:51:17 network_macsec_kats_input xe- /0/4:0:
no> pic:0 port:4 chan:0 FIPS AES-256-GCM MACsec KATS crioptachadh seachad
Sultain 12 10:51:17 network_macsec_kats_input xe- /0/4:0:
no> pic:0 port:4 chan:0 FIPS AES-256-GCM MACsec KATS dì-chrioptachadh seachad
Sultain 12 10:51:26 network_macsec_kats_input xe- /0/5:0:
no> pic:0 port:5 chan:0 FIPS AES-256-GCM MACsec KATS crioptachadh seachad
Sultain 12 10:51:27 network_macsec_kats_input xe- /0/5:0:
no> pic:0 port:5 chan:0 FIPS AES-256-GCM MACsec KATS dì-chrioptachadh seachad
Sultain 12 10:51:36 network_macsec_kats_input xe- /0/6:0:
no> pic:0 port:6 chan:0 FIPS AES-256-GCM MACsec KATS crioptachadh seachad
Sultain 12 10:51:36 network_macsec_kats_input xe- /0/6:0:
no> pic:0 port:6 chan:0 FIPS AES-256-GCM MACsec KATS dì-chrioptachadh seachad
Sultain 12 10:51:44 network_macsec_kats_input xe- /0/7:0:
no> pic:0 port:7 chan:0 FIPS AES-256-GCM MACsec KATS crioptachadh seachad
Sultain 12 10:51:44 network_macsec_kats_input xe- /0/7:0:
no> pic:0 port:7 chan:0 FIPS AES-256-GCM MACsec KATS dì-chrioptachadh seachad
Sultain 12 10:51:51 network_macsec_kats_input xe- /0/8:0:
no> pic:0 port:8 chan:0 FIPS AES-256-GCM MACsec KATS crioptachadh seachad
Sultain 12 10:51:51 network_macsec_kats_input xe- /0/8:0:
no> pic:0 port:8 chan:0 FIPS AES-256-GCM MACsec KATS dì-chrioptachadh seachad
Sultain 12 10:51:58 network_macsec_kats_input xe- /0/9:0:
no> pic:0 port:9 chan:0 FIPS AES-256-GCM MACsec KATS crioptachadh seachad
Sultain 12 10:51:58 network_macsec_kats_input xe- /0/9:0:
no> pic:0 port:9 chan:0 FIPS AES-256-GCM MACsec KATS dì-chrioptachadh seachad
Sultain 12 10:52:05 network_macsec_kats_input xe- /0/10:0:
Slot no> pic:0 port:10 chan: 0 FIPS AES-256-GCM MACsec KATS crioptachadh seachad
Sultain 12 10:52:05 network_macsec_kats_input xe- /0/10:0:
Slot no> port pic:0:10 chan: 0 FIPS AES-256-GCM MACsec KATS chaidh dì-chrioptachadh seachad
Sultain 12 10:52:12 network_macsec_kats_input xe- /0/11:0:
Slot no> pic:0 port:11 chan: 0 FIPS AES-256-GCM MACsec KATS crioptachadh seachad
Sultain 12 10:52:12 network_macsec_kats_input xe- /0/11:0:
Slot no> port pic:0:11 chan: 0 FIPS AES-256-GCM MACsec KATS chaidh dì-chrioptachadh seachad
Sultain 12 10:52:20 network_macsec_kats_input xe- /1/0:0:
no> pic:1 port:0 chan:0 FIPS AES-256-GCM MACsec KATS crioptachadh seachad
Sultain 12 10:52:20 network_macsec_kats_input xe- /1/0:0:
no> pic:1 port:0 chan:0 FIPS AES-256-GCM MACsec KATS dì-chrioptachadh seachad
Sultain 12 10:52:27 network_macsec_kats_input xe- /1/1:0:
no> pic:1 port:1 chan:0 FIPS AES-256-GCM MACsec KATS crioptachadh seachad
Sultain 12 10:52:28 network_macsec_kats_input xe- /1/1:0:
no> pic:1 port:1 chan:0 FIPS AES-256-GCM MACsec KATS dì-chrioptachadh seachad
Sultain 12 10:52:34 network_macsec_kats_input xe- /1/2:0:
no> pic:1 port:2 chan:0 FIPS AES-256-GCM MACsec KATS crioptachadh seachad
Ciall
An loga siostam file a’ taisbeanadh a’ chinn-latha agus an uair aig an deach na KATn a chur gu bàs agus an inbhe.

Òrduighean obrachaidh

Co-chòrdadh
siostam iarrtas zeroize
Tuairisgeul
Airson RE1800, thoir air falbh a h-uile fiosrachadh rèiteachaidh air na h-Innealan Routing agus ath-shuidhich a h-uile prìomh luach. Ma tha einnseanan slighe dùbailte aig an inneal, thèid an àithne a chraoladh gu gach einnsean slighe air an inneal. Bidh an àithne a’ toirt air falbh a h-uile dàta  files, a’ toirt a-steach rèiteachadh gnàthaichte agus log files, le bhith a’ ceangal an files bho na clàran aca. Bidh an àithne a’ toirt air falbh a h-uile neach-cleachdaidh a chaidh a chruthachadh files bhon t-siostam a’ toirt a-steach a h-uile facal-faire plaintext, dìomhaireachdan, agus iuchraichean prìobhaideach airson SSH, crioptachadh ionadail, dearbhadh ionadail, IPsec, RADIUS, TACACS +, agus SNMP.
Bidh an àithne seo ag ath-thòiseachadh an inneal agus ga shuidheachadh gu rèiteachadh bunaiteach an fhactaraidh. Às deidh an ath-thòiseachadh, chan urrainn dhut faighinn chun inneal tro eadar-aghaidh riaghlaidh Ethernet. Log a-steach tron ​​​​chonsól mar fhreumh agus tòisich an Junos OS CLI le bhith a’ taipeadh cli aig an àm.
Ìre Sochair a dhìth
cumail suas
iarrtas vmhost zeroize no-cur air adhart
Co-chòrdadh
iarrtas vmhost zeroize no-cur air adhart
Tuairisgeul
Airson REMX2K-X8, thoir air falbh a h-uile fiosrachadh rèiteachaidh air na h-einnseanan slighe agus ath-shuidhich a h-uile prìomh luach. Ma tha einnseanan slighe dùbailte aig an inneal, thèid an àithne a chraoladh chun an dà einnsean slighe air an inneal.
Bidh an àithne a’ toirt air falbh a h-uile dàta files, a’ toirt a-steach rèiteachadh gnàthaichte agus log files, le bhith a’ ceangal an files bho na clàran aca. Bidh an àithne a’ toirt air falbh a h-uile neach-cleachdaidh a chaidh a chruthachadh files bhon t-siostam a’ toirt a-steach a h-uile facal-faire teacsa sìmplidh, dìomhaireachdan, agus iuchraichean prìobhaideach airson SSH, crioptachadh ionadail, dearbhadh ionadail, IPsec, RADIUS, TACACS +, agus SNMP.
Bidh an àithne seo ag ath-thòiseachadh an inneal agus ga shuidheachadh gu rèiteachadh bunaiteach an fhactaraidh. Às deidh an ath-thòiseachadh, chan urrainn dhut faighinn chun inneal tro eadar-aghaidh riaghlaidh Ethernet. Log a-steach tron ​​​​chonsól mar an neach-cleachdaidh freumh agus tòisich an Junos OS CLI le bhith a’ taipeadh cli aig an àm gu sgiobalta.
Sample Toradh
iarrtas vmhost zeroize no-cur air adhart
user@host> iarrtas vmhost zeroize no-forward
Zeroization VMHost: sguab às a h-uile dàta, a ’toirt a-steach rèiteachadh agus log files?
[tha, chan eil] (chan eil) tha
ath0:
rabhadh: ath-thòisich Vmhost agus chan fhaod e tòiseachadh às aonais
rèiteachadh
rabhadh: A' dol air adhart le vmhost
neoni
Diosga taobh a-staigh àrd-sgoile Zeroise
A’ dol air adhart le zeroize air an àrd-sgoil
diosc
Inneal sreapachaidh mar ullachadh airson
neoni…
Glanadh an diosg targaid airson zeroize
Zeroize air a dhèanamh air an targaid
diosc.
Zeroize diosc àrd-sgoile
crìochnaichte
Zeroize prìomh diosc a-staigh
A’ dol air adhart le zeroize air a’ bhun-sgoil
diosc
/etc/ssh/ssh_host_ecdsa_key.pub
/etc/ssh/ssh_host_rsa_key
/etc/ssh/ssh_host_dsa_key.pub
/etc/ssh/ssh_host_rsa_key.pub
/etc/ssh/ssh_host_ecdsa_key
/etc/ssh/ssh_host_dsa_key
Inneal sreapachaidh mar ullachadh airson
neoni…
Glanadh an diosg targaid airson zeroize
Zeroize air a dhèanamh air an targaid
diosc.
Zeroize prìomh diosc
crìochnaichte
Zeroize
rinn
- (barrachd) - stad
cron.
A’ feitheamh ri PIDS:
6135.
.
Gearran 16 14:59:33 jlaunchd: seirbheisean-paca bho àm gu àm (PID 6181) a’ tighinn gu crìch comharra 15 air a chuir
Feb 16 14:59:33 jlaunchd: smg-service (PID 6234) comharra crìochnachaidh 15 air a chuir
Feb 16 14:59:33 jlaunchd: comharrachadh tagraidh (PID 6236) comharra crìochnachaidh 15 air a chuir
Feb 16 14:59:33 jlaunchd: ifstate-traing process-process (PID 6241) a’ cur crìoch air comharra 15 air a chuir
Feb 16 14:59:33 jlaunchd: stiùireadh ghoireasan (PID 6243) comharra crìochnachaidh 15 air a chuir
Feb 16 14:59:33 jlaunchd: fo chasaid (PID 6246) comharra crìochnachaidh 15 air a chuir
Feb 16 14:59:33 jlaunchd: seirbheis cead (PID 6255) comharra crìochnachaidh 15 air a chuir
Feb 16 14:59:33 jlaunchd: ntp (PID 6620) comharra crìochnachaidh 15 air a chuir
Feb 16 14:59:33 jlaunchd: gkd-chassis (PID 6621) comharra crìochnachaidh 15 air a chuir
Feb 16 14:59:33 jlaunchd: gkd-lchassis (PID 6622) comharra crìochnachaidh 15 air a chuir
Feb 16 14:59:33 jlaunchd: slighe (PID 6625) comharra crìochnachaidh 15 air a chuir
Feb 16 14:59:33 jlaunchd: sonet-aps (PID 6626) comharra crìochnachaidh 15 air a chuir
Feb 16 14:59:33 jlaunchd: obrachaidhean iomallach (PID 6627) comharra crìochnachaidh 15 air a chuir
Feb 16 14:59:33 jlaunchd: clas-de-sheirbheis
……..
99Suaicheantas JUNIPER

Sgrìobhainnean/Goireasan

LÌONRAICHEAN JUNIPER Innealan measaidh Junos OS FIPS [pdfStiùireadh Cleachdaiche
Innealan Measaidh Junos OS FIPS, Junos OS, Innealan Measaidh FIPS, Innealan Measaidh, Innealan

Iomraidhean

Fàg beachd

Cha tèid do sheòladh puist-d fhoillseachadh. Tha raointean riatanach air an comharrachadh *