JUNIPER NETWORKS Junos OS Fip Gid Itilizatè Aparèy Evalye

Jeni senplisite
Junos® OS
Fip Evalye Konfigirasyon Gid pou
Aparèy MX960, MX480, ak MX240

Kontni kache

1 JUNIPER NETWORKS Junos OS Fip Aparèy Evalye

2 Plis paseview

3 Konfigirasyon kalifikasyon administratif ak privilèj

4 Konfigirasyon Wòl ak Metòd Otantifikasyon

5 Konfigirasyon SSH ak Koneksyon Konsole

6 Konfigirasyon MACsec

7 Konfigirasyon MACsec ak keychain pou Kouch 2 Trafik

8 Konfigirasyon Logging Evènman

9 Fè tès pwòp tèt ou sou yon aparèy

10 Kòmandman Operasyon

11 Dokiman / Resous

11.1 Referans

JUNIPER NETWORKS Junos OS Fip Aparèy Evalye

LAGE
20.3X75-D30

Juniper Networks, Inc.
1133 Way Inovasyon
Sunnyvale, Kalifòni 94089
USA
408-745-2000
www.juniper.net
Juniper Networks, logo Juniper Networks, Juniper, ak Junos se mak ki anrejistre nan Juniper Networks, Inc.
nan Etazini ak lòt peyi yo. Tout lòt mak, mak sèvis, mak anrejistre, oswa mak sèvis anrejistre se pwopriyete pwopriyetè respektif yo.
Juniper Networks pa pran okenn responsablite pou nenpòt ki erè nan dokiman sa a. Juniper Networks rezève dwa pou chanje, modifye, transfere, oswa revize piblikasyon sa a san avètisman.
Junos® OS Fip Gid Konfigirasyon Evalye pou Aparèy MX960, MX480, ak MX240 20.3X75-D30
Copyright © 2023 Juniper Networks, Inc. Tout dwa rezève.
Enfòmasyon ki nan dokiman sa a kounye a nan dat ki nan paj tit la.
AVI ANE 2000
Pwodwi pyès ki nan konpitè ak lojisyèl Juniper Networks yo konfòme pou Ane 2000. Junos OS pa gen okenn limit ki gen rapò ak tan li te ye jiska ane 2038. Sepandan, aplikasyon NTP la li te ye gen kèk difikilte nan ane a 2036.
AKÒ LISANS ITIlizatè FINAL
Pwodwi Juniper Networks ki se sijè dokiman teknik sa a konsiste de (oswa gen entansyon pou itilize ak) lojisyèl Juniper Networks. Itilizasyon lojisyèl sa yo sijè a tèm ak kondisyon Akò lisans itilizatè fen ("EULA") ki afiche nan https://support.juniper.net/support/eula/. Lè w telechaje, enstale oswa itilize lojisyèl sa a, ou dakò ak tèm ak kondisyon EULA sa a.

Konsènan Gid sa a
Sèvi ak gid sa a pou opere aparèy MX960, MX480, ak MX240 nan anviwònman Nivo 140 Federal Information Processing Standards (FIPS) 2-1. Fip 140-2 defini nivo sekirite pou pyès ki nan konpitè ak lojisyèl ki fè fonksyon kriptografik.
DOKIMANTASYON KI GENYEN
Kritè Komen ak Sètifikasyon Fip

Plis paseview

Konprann Junos OS nan mòd Fip
NAN SEKSYON SA A

Sipòte platfòm ak pyès ki nan konpitè | 2
Konsènan limit kriptografik sou aparèy ou an | 3
Ki jan Fip Mode Diferan de Ki pa Peye-FIPS Mode | 3
Vèsyon valide Junos OS nan mòd Fip | 3

Federal Information Processing Standards (FIPS) 140-2 defini nivo sekirite pou pyès ki nan konpitè ak lojisyèl ki fè fonksyon kriptografik. Routeur Juniper Networks sa a kap kouri sistèm operasyon Juniper Networks Junos (Junos OS) nan mòd Fip konfòme yo ak estanda Fip 140-2 Nivo 1.
Opere routeur sa a nan yon anviwònman Fip 140-2 Nivo 1 mande pou pèmèt ak konfigirasyon mòd Fip sou aparèy ki soti nan koòdone liy kòmand (CLI) Junos OS.
Ofisye Crypto a pèmèt mòd Fip nan Junos OS epi li etabli kle ak modpas pou sistèm nan ak lòt itilizatè Fip yo.
Sipòte platfòm ak pyès ki nan konpitè
Pou karakteristik ki dekri nan dokiman sa a, yo itilize platfòm sa yo pou kalifye sètifika Fip:

Aparèy MX960, MX480, ak MX240 enstale ak RE-S-1800X4 ak LC MPC7E-10G (https://www.juniper.net/us/en/products/routers/mx-series/mx960-universal-routing-platform.html,
https://www.juniper.net/us/en/products/routers/mx-series/mx480-universal-routing-platform.html, ak
https://www.juniper.net/us/en/products/routers/mx-series/mx240-universal-routing-platform.html).
Aparèy MX960, MX480, ak MX240 enstale ak RE-S-X6 ak LC MPC7E-10G (https://www.juniper.net/us/en/products/routers/mx-series/mx960-universal-routing-platform.html, https://www.juniper.net/us/en/products/routers/mx-series/mx480-universal-routing-platform.html, ak
https://www.juniper.net/us/en/products/routers/mx-series/mx240-universal-routing-platform.html).

Konsènan limit kriptografik sou aparèy ou an
Konfòmite Fip 140-2 mande pou yon fwontyè kriptografik defini alantou chak modil kriptografik sou yon aparèy. Junos OS nan mòd Fip anpeche modil kriptografik la egzekite nenpòt lojisyèl ki pa fè pati distribisyon Fip sètifye, epi li pèmèt sèlman algoritm kriptografik ki apwouve pa Fip yo dwe itilize. Pa gen okenn paramèt sekirite kritik (CSPs), tankou modpas ak kle, ki ka travèse fwontyè kriptografik modil la nan fòma ki pa chiffres.
ATANSYON: Karakteristik Virtual Chasi yo pa sipòte nan mòd Fip. Pa configured yon Chasi Virtuel nan mòd Fip.

Ki jan Fip mòd diferan de mòd ki pa fip
Junos OS nan mòd Fip diferan nan fason sa yo ak Junos OS nan mòd ki pa FIPS:

Tès pwòp tèt ou nan tout algoritm kriptografik yo fèt nan demaraj.
Tès pwòp tèt ou nan nimewo o aza ak jenerasyon kle yo fèt kontinyèlman.
Algoritm kriptografik fèb tankou Data Encryption Standard (DES) ak MD5 yo enfim.

Koneksyon jesyon fèb oswa ki pa chiffres pa dwe konfigirasyon.
Modpas yo dwe ankripte ak algoritm solid yon sèl-fason ki pa pèmèt dechifre.
Modpas administratè yo dwe gen omwen 10 karaktè.

Vèsyon valide Junos OS nan mòd Fip
Pou detèmine si yon lage OS Junos valide NIST, gade paj konseye konfòmite sou Juniper Networks. Web sit (https://apps.juniper.net/compliance/).
DOKIMANTASYON KI GENYEN
Idantifye livrezon pwodwi an sekirite | 7

Konprann tèminoloji Fip ak algoritm kriptografik sipòte
NAN SEKSYON SA A
Tèminoloji | 4
Sipòte Algoritm kriptografik | 5
Sèvi ak definisyon tèm Fip yo, ak algorithm sipòte pou ede w konprann OS Junos nan mòd Fip.

Tèminoloji
Paramèt sekirite kritik (CSP)
Enfòmasyon ki gen rapò ak sekirite-pa egzanpample, kle kriptografik sekrè ak prive ak done otantifikasyon tankou modpas ak nimewo idantifikasyon pèsonèl (PIN)— ki gen divilgasyon oswa modifikasyon ka konpwomèt sekirite yon modil kriptografik oswa enfòmasyon li pwoteje. Pou plis detay, gade “Konprann Anviwònman Operasyonèl pou Junos OS nan mòd Fip” nan paj 16.
Modil kriptografik
Ansanm pyès ki nan konpitè, lojisyèl, ak firmwèr ki aplike fonksyon sekirite apwouve (ki gen ladan algoritm kriptografik ak jenerasyon kle) epi ki genyen nan limit kriptografik la.
Fip
Estanda Federal pou Pwosesis Enfòmasyon. Fip 140-2 presize kondisyon pou modil sekirite ak kriptografik. Junos OS nan mòd Fip konfòm ak Fip 140-2 Nivo 1.
Fip antretyen wòl
Wòl Ofisye Crypto a sipoze fè antretyen fizik oswa sèvis antretyen lojik tankou pyès ki nan konpitè oswa dyagnostik lojisyèl. Pou konfòmite Fip 140-2, Ofisye Crypto a zewoze Motè Wout la sou antre epi sòti nan wòl antretyen Fip la pou efase tout kle sekrè ak kle prive ak CSP san pwoteksyon.
REMAK: Wòl antretyen Fip la pa sipòte sou Junos OS nan mòd Fip.
KATs
Tès repons yo konnen. Tès pwòp tèt ou sistèm ki valide pwodiksyon algoritm kriptografik apwouve pou Fip ak teste entegrite kèk modil Junos OS. Pou plis detay, gade “Konprann oto-tès FIPS” nan paj 73.
SSH
Yon pwotokòl ki sèvi ak otantifikasyon solid ak chifreman pou aksè aleka atravè yon rezo ki pa an sekirite. SSH bay koneksyon aleka, ekzekisyon pwogram aleka, file kopi, ak lòt fonksyon. Li fèt kòm yon ranplasman an sekirite pou rlogin, rsh, ak rcp nan yon anviwònman UNIX. Pou sekirize enfòmasyon yo voye sou koneksyon administratif yo, sèvi ak SSHv2 pou konfigirasyon CLI. Nan Junos OS, SSHv2 aktive pa default, ak SSHv1, ki pa konsidere kòm an sekirite, se enfim. Zeroizasyon
Efase tout CSP yo ak lòt done itilizatè yo kreye sou yon aparèy anvan operasyon li kòm yon modil kriptografik Fip oswa nan preparasyon pou reutilize aparèy yo pou operasyon ki pa FIPS.
Ofisye Crypto a ka zeroize sistèm nan ak yon lòd CLI operasyonèl.
Sipòte Algoritm kriptografik
Tablo 1 nan paj 6 rezime sipò nan algorithm pwotokòl wo nivo.
Tablo 1: Pwotokòl ki pèmèt nan mòd Fip

Pwotokòl	Kle Echanj	Otantifikasyon	Chif	Entegrite
SSHv2	• dh-group14-sha1 • ECDH-sha2-nistp256 • ECDH-sha2-nistp384 • ECDH-sha2-nistp521	Lame (modil): • ECDSA P-256 • SSH-RSA Kliyan (itilizatè): • ECDSA P-256 • ECDSA P-384 • ECDSA P-521 • SSH-RSA	• AES CTR 128 • AES CTR 192 • AES CTR 256 • AES CBC 128 • AES CBC 256	• HMAC-SHA-1 • HMAC-SHA-256 • HMAC-SHA-512

Tablo 2 nan paj 6 bay lis chifreman MACsec LC sipòte yo.
Tablo 2: MACsec LC Sipòte Chif
MACsec LC Sipòte Chif
AES-GCM-128
AES-GCM-256
Chak aplikasyon yon algorithm tcheke pa yon seri tès repons konnen (KAT) pwòp tèt ou-tès. Nenpòt echèk tès pwòp tèt ou rezilta nan yon eta erè Fip.
PI BON PRATIK: Pou konfòmite Fip 140-2, itilize sèlman algoritm kriptografik Fip apwouve nan OS Junos nan mòd Fip.
Algoritm kriptografik sa yo sipòte nan mòd Fip. Metòd simetrik yo sèvi ak menm kle a pou chifreman ak dechifre, pandan y ap metòd asimetri yo itilize kle diferan pou chifreman ak dechifre.
AES
Advanced Encryption Standard (AES), ki defini nan FIPS PUB 197. Algorithm AES la sèvi ak kle 128, 192, oswa 256 bit pou ankripte ak dechifre done nan blòk 128 bit.
ECDH
Koub eliptik Diffie-Hellman. Yon variant algorithm echanj kle Diffie-Hellman ki itilize kriptografi ki baze sou estrikti aljebrik koub eliptik sou jaden fini. ECDH pèmèt de pati, yo chak ki gen yon pè kle piblik-prive koub eliptik, pou etabli yon sekrè pataje sou yon kanal ensekirite. Sekrè pataje a ka itilize swa kòm yon kle oswa pou dériver yon lòt kle pou chifreman kominikasyon ki vin apre lè l sèvi avèk yon chifre kle simetrik.
ECDSA
Algorithm siyati dijital koub eliptik. Yon variant de Digital Signature Algorithm (DSA) ki sèvi ak kriptografik ki baze sou estrikti aljebrik koub eliptik sou jaden fini. Gwosè ti jan koub eliptik la detèmine difikilte pou dechifre kle a. Kle piblik la kwè ke yo bezwen pou ECDSA se apeprè de fwa gwosè nivo sekirite a, an ti moso. ECDSA lè l sèvi avèk koub P-256, P-384, ak P-521 ka konfigirasyon anba OpenSSH.
HMAC
Defini kòm "Keyed-Hashing pou Mesaj Otantifikasyon" nan RFC 2104, HMAC konbine algoritm hashing ak kle kriptografik pou otantifikasyon mesaj. Pou Junos OS nan mòd Fip, HMAC sèvi ak fonksyon kriptografik iterasyon SHA-1, SHA-256, ak SHA-512 ansanm ak yon kle sekrè.
SHA-256 ak SHA-512
Secure hash algorithms (SHA) ki fè pati estanda SHA-2 ki defini nan FIPS PUB 180-2. Devlope pa NIST, SHA-256 pwodui yon dijere hash 256-bit, ak SHA-512 pwodui yon dijere hash 512-bit.
DOKIMANTASYON KI GENYEN
Konprann Fip Self-Tès | 73
Konprann Zeroization pou efase done sistèm pou mòd Fip | 25
Idantifye livrezon pwodwi an sekirite
Gen plizyè mekanis bay nan pwosesis livrezon an pou asire ke yon kliyan resevwa yon pwodwi ki pa tampered ak. Kliyan an ta dwe fè chèk sa yo lè li resevwa yon aparèy pou verifye entegrite platfòm la.

Etikèt transpò-Asire ke etikèt la anbake kòrèkteman idantifye non kliyan ki kòrèk la ak adrès kòm byen ke aparèy la.

Anbalaj deyò—Enspekte bwat anbake deyò a ak kasèt. Asire w ke kasèt la anbake pa te koupe oswa otreman konpwomèt. Asire w ke bwat la pa te koupe oswa domaje pou pèmèt aksè nan aparèy la.
Anndan anbalaj—Enspekte sak plastik la ak sele. Asire w ke sak la pa koupe oswa retire. Asire ke sele a rete entak.

Si kliyan an idantifye yon pwoblèm pandan enspeksyon an, li ta dwe imedyatman kontakte founisè a. Bay nimewo lòd la, nimewo swiv, ak yon deskripsyon pwoblèm nan idantifye bay founisè a.
Anplis de sa, gen plizyè chèk ki ka fèt pou asire ke kliyan an te resevwa yon bwat Juniper Networks voye epi li pa yon konpayi diferan ki maske kòm Juniper Networks. Kliyan an ta dwe fè chèk sa yo lè li resevwa yon aparèy pou verifye otantisite aparèy la:

Verifye ke aparèy la te kòmande lè l sèvi avèk yon lòd achte. Aparèy Juniper Networks yo pa janm anbake san yon lòd pou achte.

Lè yon aparèy anbake, yo voye yon notifikasyon chajman nan adrès imel kliyan an bay lè yo pran lòd la. Verifye ke yo te resevwa notifikasyon imel sa a. Verifye ke imel la gen enfòmasyon sa yo:
Nimewo lòd achte
Nimewo lòd Juniper Networks yo itilize pou swiv chajman an
Nimewo Suivi konpayi asirans yo itilize pou swiv chajman an
Lis atik ki anbake ki gen ladan nimewo seri
Adrès ak kontak tou de founisè a ak kliyan an

Verifye ke Juniper Networks te inisye chajman an. Pou verifye ke Juniper Networks te inisye yon chajman, ou ta dwe fè travay sa yo:
Konpare nimewo Suivi konpayi asirans nimewo lòd Juniper Networks ki nan lis nan notifikasyon anbake Juniper Networks ak nimewo Suivi ki sou pakè ou resevwa a.

Konekte sou pòtal sipò pou kliyan sou entènèt Juniper Networks nan https://support.juniper.net/support/ pou view estati lòd la. Konpare nimewo Suivi konpayi asirans lan oswa nimewo lòd Juniper Networks ki nan lis nan notifikasyon chajman Juniper Networks ak nimewo Suivi sou pakè ou resevwa a.

Konprann Entèfas Jesyon
Ou ka itilize koòdone jesyon sa yo nan konfigirasyon evalye a:

Entèfas Jesyon Lokal — Pò konsole RJ-45 sou aparèy la configuré kòm ekipman tèminal done RS-232 (DTE). Ou ka itilize koòdone liy kòmand (CLI) sou pò sa a pou konfigirasyon aparèy la nan yon tèminal.
Pwotokòl Jesyon Remote—Aparèy la ka jere adistans sou nenpòt koòdone Ethernet. SSHv2 se sèl pwotokòl jesyon aleka ki otorize ki ka itilize nan konfigirasyon evalye a. Pwotokòl jesyon aleka J-Web ak Telnet pa disponib pou itilize sou aparèy la.

Konfigirasyon kalifikasyon administratif ak privilèj

Konprann Règ Modpas Asosye yo pou yon Administratè Otorize
Administratè otorize a asosye ak yon klas login defini, epi administratè a bay tout otorizasyon. Done yo estoke lokalman pou otantifikasyon modpas fiks.
REMAK: Pa sèvi ak karaktè kontwòl nan modpas yo.
Sèvi ak gid sa yo ak opsyon konfigirasyon pou modpas ak lè w ap chwazi modpas pou kont administratè otorize yo. Modpas yo ta dwe:

Fasil pou sonje pou itilizatè yo pa tante ekri li.

Chanje detanzantan.
Prive epi yo pa pataje ak pèsonn.
Gen yon minimòm de 10 karaktè. Longè minimòm modpas la se 10 karaktè.
[ edit ] administrator@host# mete sistèm login modpas minimòm-longè 10
Mete tou de karaktè alfanumerik ak ponktiyasyon, ki konpoze de nenpòt konbinezon de lèt majiskil ak miniskil, nimewo, ak karaktè espesyal tankou, "!", "@", "#", "$", "%", "^", " &", "*", "(", ak ")".
Ta dwe gen omwen yon chanjman nan yon ka, youn oswa plis chif, ak youn oswa plis mak ponktiyasyon.
Gen seri karaktè. Ansanm karaktè valab yo enkli lèt majiskil, lèt miniskil, chif, ponktiyasyon ak lòt karaktè espesyal.
[ edit ] administrator@host# mete sistèm login modpas chanjman-type karaktè-ansanm
Genyen kantite minimòm seri karaktè oswa chanjman nan seri karaktè. Kantite minimòm seri karaktè ki nesesè nan modpas tèks klè nan Junos FIPS se 3.
[ edit ] administrator@host# mete sistèm login modpas minimòm-chanjman 3
Algorithm hachaj pou modpas itilizatè yo ka swa SHA256 oswa SHA512 (SHA512 se algorithm hachaj default la).
[ edit ] administrator@host# mete sistèm modpas login fòma sha512
REMAK: Aparèy la sipòte kalite kle ECDSA (P-256, P-384, ak P-521) ak RSA (2048, 3072, ak 4092 modil bit longè).
Modpas ki fèb yo se:
Mo ki ta ka jwenn oswa ki egziste kòm yon fòm pèmitasyon nan yon sistèm file tankou /etc/passwd.
Non host sistèm lan (toujou yon premye devine).
Nenpòt mo ki parèt nan yon diksyonè. Sa a gen ladan diksyonè ki pa angle, ak mo yo jwenn nan travay tankou Shakespeare, Lewis Carroll, Thesaurus Roget, elatriye. Entèdiksyon sa a gen ladan mo ak fraz komen nan espò, di, sinema, ak emisyon televizyon.
Pèmitasyon sou nenpòt nan pi wo a. Pou egzanpample, yon mo diksyonè ak vwayèl ranplase ak chif (pa egzanpample f00t) oswa ak chif yo ajoute nan fen an.
Nenpòt modpas machin-pwodwi. Algoritm diminye espas rechèch la nan pwogram modpas-devine e konsa pa ta dwe itilize.
Modpas solid ki kapab itilize ankò yo ka baze sou lèt ki soti nan yon fraz oswa mo pi renmen, epi answit konkatene ak lòt mo ki pa gen rapò, ansanm ak chif adisyonèl ak ponktiyasyon.

DOKIMANTASYON KI GENYEN
Idantifye livrezon pwodwi an sekirite | 7

Konfigirasyon Wòl ak Metòd Otantifikasyon

Konprann wòl ak sèvis pou Junos OS
NAN SEKSYON SA A
Wòl ak Responsablite Crypto Ofisye | 15
Fip Itilizatè Wòl ak Responsablite | 15
Ki sa ki espere nan tout itilizatè Fip | 16
Administratè Sekirite a asosye ak admin sekirite ki defini klas login, ki gen pèmisyon ki nesesè pou pèmèt administratè a fè tout travay ki nesesè pou jere Junos OS. Itilizatè administratif yo (Administratè Sekirite) dwe bay idantifikasyon inik ak done otantifikasyon anvan yo akòde nenpòt aksè administratif nan sistèm nan.
Wòl ak responsablite Administratè Sekirite a se jan sa a:

Administratè Sekirite a ka administre lokalman ak adistans.
Kreye, modifye, efase kont administratè, ki gen ladan konfigirasyon paramèt echèk otantifikasyon.
Re-aktive yon kont Administratè.
Responsab pou konfigirasyon ak antretyen nan eleman kriptografik ki gen rapò ak etablisman an nan koneksyon an sekirite nan ak soti nan pwodwi evalye a.

Sistèm operasyon Juniper Networks Junos (Junos OS) kouri nan mòd ki pa FIPS pèmèt yon pakèt kapasite pou itilizatè yo, epi otantifikasyon baze sou idantite. Kontrèman, estanda Fip 140-2 defini de wòl itilizatè: Ofisye Crypto ak itilizatè Fip. Wòl sa yo defini an tèm de kapasite itilizatè Junos OS.
Tout lòt kalite itilizatè yo defini pou Junos OS nan mòd Fip (operatè, itilizatè administratif, ak sou sa) dwe tonbe nan youn nan de kategori yo: Ofisye Crypto oswa itilizatè Fip. Pou rezon sa a, otantifikasyon itilizatè nan mòd Fip baze sou wòl olye ke baze sou idantite.
Ofisye Crypto fè tout travay konfigirasyon ki gen rapò ak mòd Fip epi li bay tout deklarasyon ak kòmandman pou Junos OS nan mòd Fip. Crypto Officer ak konfigirasyon itilizatè Fip yo dwe swiv direktiv yo pou Junos OS nan mòd Fip.
Wòl ak Responsablite Crypto Ofisye yo
Ofisye Crypto a se moun ki responsab pou pèmèt, konfigirasyon, kontwole, ak kenbe Junos OS nan mòd Fip sou yon aparèy. Ofisye Crypto a enstale Junos OS an sekirite sou aparèy la, pèmèt mòd Fip, etabli kle ak modpas pou lòt itilizatè yo ak modil lojisyèl, epi inisyalize aparèy la anvan koneksyon rezo a.
PI BON PRATIK: Nou rekòmande pou Ofisye Crypto a administre sistèm nan yon fason ki an sekirite lè li kenbe modpas yo an sekirite epi tcheke kontwòl kontab files.
Otorizasyon ki distenge Ofisye Crypto la ak lòt itilizatè Fip yo se sekrè, sekirite, antretyen, ak kontwòl. Pou konfòmite Fip, bay Ofisye Crypto a nan yon klas login ki gen tout otorizasyon sa yo. Yon itilizatè ki gen pèmisyon antretyen OS Junos ka li files ki gen paramèt sekirite kritik (CSP).
REMAK: Junos OS nan mòd Fip pa sipòte wòl antretyen Fip 140-2, ki diferan de pèmisyon antretyen Junos OS.
Pami travay ki gen rapò ak Junos OS nan mòd Fip, Ofisye Crypto a espere:

Mete modpas rasin inisyal la. Longè modpas la ta dwe omwen 10 karaktè.
Reyajiste modpas itilizatè yo ak algoritm Fip apwouve.
Egzamine log ak odit files pou evènman ki enterese.
Efase itilizatè yo pwodwi files, kle, ak done pa zeroizing aparèy la.

Fip Itilizatè Wòl ak Responsablite
Tout itilizatè Fip, ki gen ladan Ofisye Crypto a, kapab view konfigirasyon an. Se sèlman itilizatè ki asiyen kòm Ofisye Crypto a ka modifye konfigirasyon an.
Otorizasyon ki distenge Ofisye Crypto ak lòt itilizatè Fip yo se sekrè, sekirite, antretyen ak kontwòl. Pou konfòmite Fip, bay itilizatè Fip la nan yon klas ki pa gen okenn nan otorizasyon sa yo.
Fip itilizatè kapab view pwodiksyon estati men li pa ka rdemare oswa zeroize aparèy la.
Ki sa ki espere nan tout itilizatè Fip yo
Tout itilizatè Fip, ki gen ladan Ofisye Crypto a, dwe obsève direktiv sekirite yo tout tan.
Tout itilizatè Fip dwe:

Kenbe tout modpas yo konfidansyèl.
Sere aparèy ak dokiman yo nan yon zòn ki an sekirite.
Deplwaye aparèy nan zòn ki an sekirite.
Tcheke odit files detanzantan.
Konfòme ak tout lòt règleman sekirite Fip 140-2.
Swiv gid sa yo:
• Itilizatè yo fè konfyans.
• Itilizatè yo respekte tout direktiv sekirite yo.
• Itilizatè yo pa fè espre konpwomi sekirite
• Itilizatè yo konpòte yo yon fason responsab toutan.

DOKIMANTASYON KI GENYEN
Yon aparèy Juniper Networks k ap kouri sistèm operasyon Juniper Networks Junos (Junos OS) nan mòd Fip fòme yon kalite espesyal anviwònman fonksyonèl kenkayri ak lojisyèl ki diferan de anviwònman yon aparèy nan mòd ki pa FIPS:

Anviwònman Materyèl pou Junos OS nan mòd Fip
Junos OS nan mòd Fip etabli yon fwontyè kriptografik nan aparèy la ke okenn paramèt sekirite kritik (CSP) pa ka travèse lè l sèvi avèk tèks klè. Chak eleman pyès ki nan konpitè nan aparèy la ki mande yon fwontyè kriptografik pou konfòmite Fip 140-2 se yon modil kriptografik separe. Gen de kalite pyès ki nan konpitè ak fwontyè kriptografik nan Junos OS nan mòd Fip: youn pou chak motè Routing ak youn pou tout chasi ki gen ladann kat LC MPC7E-10G. Chak eleman fòme yon modil kriptografik separe. Kominikasyon ki enplike CSPs ant anviwònman an sekirite sa yo dwe fèt lè l sèvi avèk chifreman.
Metòd kriptografik yo pa yon ranplasan pou sekirite fizik. Materyèl la dwe lokalize nan yon anviwònman fizik ki an sekirite. Tout kalite itilizatè yo pa dwe revele kle oswa modpas, oswa pèmèt pèsonèl ki pa otorize wè dosye oswa nòt ekri yo.
Anviwònman lojisyèl pou Junos OS nan mòd Fip
Yon aparèy Juniper Networks ki kouri Junos OS nan mòd Fip fòme yon kalite espesyal anviwònman operasyonèl ki pa modifye. Pou reyalize anviwònman sa a sou aparèy la, sistèm nan anpeche ekzekisyon nenpòt binè file ki pa t 'fè pati nan sètifye Junos OS nan distribisyon mòd Fip. Lè yon aparèy nan mòd Fip, li ka kouri sèlman Junos OS.
Junos OS nan anviwònman lojisyèl mòd Fip te etabli apre Ofisye Crypto a avèk siksè pèmèt mòd Fip sou yon aparèy. Imaj Junos OS ki gen mòd Fip disponib sou Juniper Networks websit epi yo ka enstale sou yon aparèy ki fonksyone.
Pou konfòmite Fip 140-2, nou rekòmande pou w efase tout itilizatè yo kreye yo files ak done pa zeroize aparèy la anvan pèmèt mòd Fip.
Opere aparèy ou a nan Nivo 1 Fip mande pou itilize tampEtikèt ki evidan pou sele motè Routing yo nan chasi a.
Pèmèt mòd Fip enfim anpil nan pwotokòl ak sèvis abityèl Junos OS yo. An patikilye, ou pa ka konfigirasyon sèvis sa yo nan Junos OS nan mòd Fip:

dwèt
ftp
rlogin
telnet
tftp
xnm-klè-tèks

Tantativ pou konfigirasyon sèvis sa yo, oswa chaj konfigirasyon ak sèvis sa yo configuré, lakòz yon erè sentaks konfigirasyon.
Ou ka itilize sèlman SSH kòm yon sèvis aksè aleka.
Tout modpas yo tabli pou itilizatè yo apre yo fin ajou nan Junos OS nan mòd Fip dwe konfòme yo ak Junos OS nan espesifikasyon mòd Fip. Modpas yo dwe gen ant 10 ak 20 karaktè nan longè epi yo mande pou yo itilize omwen twa nan senk seri karaktè yo defini (lèt majiskil ak miniskil, chif, mak ponktiyasyon, ak karaktè klavye, tankou % ak &, ki pa enkli nan lòt la. kat kategori).
Tantativ pou konfigirasyon modpas ki pa konfòme ak règ sa yo lakòz yon erè. Tout modpas ak kle yo itilize pou otantifye kanmarad yo dwe gen omwen 10 karaktè nan longè, epi nan kèk ka longè a dwe matche ak gwosè dijere a.
REMAK: Pa tache aparèy la nan yon rezo jiskaske Ofisye Crypto a fini konfigirasyon nan koneksyon konsole lokal la.
Pou konfòmite sevè, pa egzamine enfòmasyon debaz ak depotwa aksidan sou konsole lokal la nan Junos OS nan mòd Fip paske gen kèk CSP yo ka parèt an tèks klè.
Paramèt Sekirite Kritik
Paramèt sekirite kritik (CSP) se enfòmasyon ki gen rapò ak sekirite tankou kle kriptografik ak modpas ki ka konpwomèt sekirite modil la kriptografik oswa sekirite enfòmasyon ki pwoteje pa modil la si yo divilge oswa modifye yo.
Zeroizasyon nan sistèm nan efase tout tras CSPs nan preparasyon pou opere aparèy la oswa Routing Engine kòm yon modil kriptografik.
Tablo 3 nan paj 19 bay lis CSP sou aparèy kap kouri Junos OS.
Tablo 3: Paramèt Sekirite Kritik

CSP	Deskripsyon	Zeroize	Sèvi ak
SSHv2 kle lame prive	ECDSA / RSA kle yo itilize pou idantifye lame a, ki te pwodwi premye fwa SSH konfigirasyon.	Zeroize kòmandman.	Yo itilize pou idantifye lame a.
Kle sesyon SSHv2	Kle sesyon yo itilize ak SSHv2 ak kòm yon kle prive Diffie-Hellman. Chiffrement: AES-128, AES-192, AES-256. MACs: HMAC-SHA-1, HMAC- SHA-2-256, HMAC-SHA2-512. Echanj kle: dh-group14-sha1, ECDH-sha2-nistp-256, ECDH-sha2-nistp-384, ak ECDH-sha2-nistp-521.	Sik pouvwa ak mete fen nan sesyon an.	Kle simetrik yo itilize pou ankripte done ant lame ak kliyan.
Kle otantifikasyon itilizatè	Hash nan modpas itilizatè a: SHA256, SHA512.	Zeroize kòmandman.	Itilize pou otantifye yon itilizatè nan modil la kriptografik.
Kle otantifikasyon Crypto Officer	Hash nan modpas Ofisye Crypto a: SHA256, SHA512.	Zeroize kòmandman.	Itilize pou otantifye Ofisye Crypto a nan modil kriptografik la.
HMAC DRBG grenn	Grenn pou dèlko ti jan randon detèminist (DRBG).	Grenn pa sere pa modil kriptografik la.	Itilize pou simen DRBG.
Valè HMAC DRBG V	Valè (V) nan longè blòk pwodiksyon (outlen) an Bits, ki mete ajou chak fwa yon lòt Outlen Bits nan pwodiksyon yo pwodui.	Sik pouvwa.	Yon valè kritik nan eta entèn DRBG.

CSP	Deskripsyon	Zeroize	Sèvi ak
Valè kle HMAC DRBG	Valè aktyèl kle outlen-bit la, ki mete ajou omwen yon fwa chak fwa ke mekanis DRBG la jenere bit pseudo-random.	Sik pouvwa.	Yon valè kritik nan eta entèn DRBG.
NDRNG entropi	Itilize kòm fisèl D 'entropi pou HMAC DRBG la.	Sik pouvwa.	Yon valè kritik nan eta entèn DRBG.

Nan Junos OS nan mòd Fip, tout CSP yo dwe antre epi kite modil kriptografik la nan fòm chiffres.
Nenpòt CSP ki ankripte ak yon algorithm ki pa apwouve yo konsidere kòm tèks klè pa Fip.
PI BON PRATIK: Pou konfòmite Fip, konfigirasyon aparèy la sou koneksyon SSH paske yo se koneksyon chiffres.
Modpas lokal yo hache ak algorithm SHA256 oswa SHA512. Rekiperasyon modpas pa posib nan Junos OS nan mòd Fip. Junos OS nan mòd Fip pa ka demare nan mòd yon sèl itilizatè san modpas rasin kòrèk la.
Konprann Espesifikasyon Modpas ak Gid pou Junos OS nan mòd Fip
Tout modpas yo te etabli pou itilizatè pa Ofisye Crypto a dwe konfòme yo ak Junos OS sa yo nan kondisyon Fip mòd. Tantativ pou konfigirasyon modpas ki pa konfòme yo ak espesifikasyon sa yo lakòz yon erè.

Longè. Modpas yo dwe genyen ant 10 ak 20 karaktè.
Kondisyon seri karaktè. Modpas yo dwe genyen omwen twa nan senk seri karaktè sa yo:
Lèt majiskil
Lèt miniskil
Chif
Mak ponktyasyon
Karaktè klavye ki pa enkli nan kat lòt ansanm yo—tankou siy pousan (%) ak la ampèsand (&)

Kondisyon otantifikasyon. Tout modpas ak kle yo itilize pou otantifye kanmarad yo dwe genyen omwen 10 karaktè, e nan kèk ka kantite karaktè yo dwe matche ak gwosè dijere a.
Modpas chifreman. Pou chanje metòd chifreman default (SHA512) enkli deklarasyon fòma a nan nivo yerachi [edit sistèm login modpas].

Gid pou modpas solid. Modpas solid, ki kapab itilize ankò yo ka baze sou lèt ki soti nan yon fraz oswa mo pi renmen epi answit konkatenasyon ak lòt mo ki pa gen rapò, ansanm ak chif ajoute ak ponktiyasyon. An jeneral, yon modpas fò se:

Fasil pou sonje pou itilizatè yo pa tante ekri li.
Te fòme ak karaktè alfanumerik melanje ak ponktiyasyon. Pou konfòmite Fip gen ladan omwen yon chanjman nan ka, youn oswa plis chif, ak youn oswa plis mak ponktiyasyon.
Chanje detanzantan.
Pa divilge pèsonn.
Karakteristik modpas fèb. Pa sèvi ak modpas ki fèb sa yo:

Mo ki ta ka jwenn oswa ki egziste kòm yon fòm pèmitasyon nan yon sistèm files tankou /etc/passwd.
Non host sistèm lan (toujou yon premye devine).
Nenpòt mo oswa fraz ki parèt nan yon diksyonè oswa yon lòt sous byen koni, ki gen ladan diksyonè ak tezayur nan lòt lang ki pa angle; travay pa ekriven klasik oswa popilè; oswa mo ak fraz komen nan espò, pawòl, sinema oswa emisyon televizyon.
Pèmitasyon sou nenpòt nan pi wo a-pa egzanpample, yon mo diksyonè ak lèt ranplase ak chif (r00t) oswa ak chif ajoute nan fen an.

Nenpòt modpas machin-pwodwi. Algoritm diminye espas rechèch nan pwogram modpas-devine e konsa pa dwe itilize.

Telechaje pakè lojisyèl soti nan Juniper Networks
Ou ka telechaje pake lojisyèl Junos OS pou aparèy ou an nan Juniper Networks websit.
Anvan ou kòmanse telechaje lojisyèl an, asire w ke ou gen yon Juniper Networks Web kont ak yon kontra sipò valab. Pou jwenn yon kont, ranpli fòm enskripsyon an nan Juniper Networks websit: https://userregistration.juniper.net/.
Pou telechaje pakè lojisyèl soti nan Juniper Networks:

Sèvi ak yon Web navigatè, swiv lyen ki mennen nan download la URL sou rezo Juniper yo webpaj. https://support.juniper.net/support/downloads/

Konekte nan sistèm otantifikasyon Juniper Networks lè l sèvi avèk non itilizatè a (anjeneral adrès imel ou) ak modpas reprezantan Juniper Networks bay yo.
Telechaje lojisyèl an. Gade Telechaje lojisyèl.

DOKIMANTASYON KI GENYEN
Gid enstalasyon ak ajou
Enstale lojisyèl sou yon aparèy ki gen Single Routing Engine
Ou ka itilize pwosedi sa a pou ajou Junos OS sou aparèy ki gen yon sèl Routing Engine.
Pou enstale amelyorasyon lojisyèl sou yon aparèy ki gen yon sèl Routing Engine:

Telechaje pake lojisyèl an jan sa dekri nan Telechaje pakè lojisyèl soti nan Juniper Networks.

Si ou poko fè sa, konekte nan pò konsole sou aparèy la nan aparèy jesyon ou a, epi konekte nan Junos OS CLI.
(Si ou vle) Fè bak konfigirasyon lojisyèl aktyèl la nan yon dezyèm opsyon depo. Gade la Gid enstalasyon ak ajou lojisyèl pou enstriksyon sou fè travay sa a.
(Si ou vle) Kopi pake lojisyèl an sou aparèy la. Nou rekòmande pou w sèvi ak FTP pou kopye file nan anyè /var/tmp/.
Etap sa a se opsyonèl paske Junos OS ka amelyore tou lè imaj lojisyèl an estoke nan yon kote aleka. Enstriksyon sa yo dekri pwosesis ajou lojisyèl pou tou de senaryo yo.

Enstale nouvo pake a sou aparèy la: Pou REMX2K-X8: user@host> mande vmhost lojisyèl ajoute
Pou RE1800: user@host> mande lojisyèl sistèm ajoute
Ranplase pake ak youn nan chemen sa yo:
• Pou yon pake lojisyèl nan yon anyè lokal sou aparèy la, sèvi ak /var/tmp/package.tgz.
• Pou yon pake lojisyèl sou yon sèvè aleka, sèvi ak youn nan chemen sa yo, ranplase pake opsyon varyab ak non pake lojisyèl an.
• ftp://hostname/pathname/package.tgz
• ftp://hostname/pathname/package.tgz
Rdemare aparèy la pou chaje enstalasyon an:
Pou REMX2K-X8:
user@host> mande vmhost rekòmanse
Pou RE1800:
user@host> mande sistèm rekòmanse
Apre rdemare a fini, konekte epi sèvi ak lòd vèsyon an montre pou verifye ke nouvo vèsyon lojisyèl an enstale avèk siksè.
user@host> montre vèsyon an
Modèl: mx960
Junos: 20.3X75-D30.1
JUNOS OS Kernel 64-bit [20210722.b0da34e0_builder_stable_11-204ab] JUNOS OS libs [20210722.b0da34e0_builder_stable_11-204ab] JUNOS OS ègzekutabl [20210722_0. enfòmasyon zòn [34.b0da11e204_builder_stable_20210722-0ab] JUNOS rezo pile ak sèvis piblik [34_BUIRDER_JUNOS_0_X11_D204] Junos LIBS [20210812.200100_builder_junos_203_x75_d30] .B20210812.200100DA203E75_BUILDER_STABLE_30-32AB] Junos LIBS COMPAT20210722 [0_BUILDER_JUNOS_34_X0_D11] [204_builder_junos_32_x20210722_d0] JUNOS py extensions34 [0_builder_junos_11_x204_d32] JUNOS py extensions [20210812.200100]203_builder_junos_75_x30_d20210812.200100] py base203 [75_builder_junos_30_x20210812.200100_d203] JUNOS py base [75_builder_junos_30_x2_d20210812.200100] JUNOS OS crypto [203_builder_junos_75_x30_d20210812.200100] JUNOS OS crypto [203. files [20210722.b0da34e0_builder_stable_11-204ab] JUNOS nan telemetry [20.3X75-D30.1] JUNOS Security Intelligence [20210812.200100_builder_junos_203_x75_d30] JUNOS [32] 20210812.200100_builder_junos_203_x75_d30] JUNOS mx runtime [20210812.200100_builder_junos_203_x75_d30] JUNOS RPD Telemetry Application [20.3X75-D30.1 .20210812.200100] Redis [203_builder_junos_75_x30_d20210812.200100] JUNOS pwofonde sèvis piblik [203_builder_junos_75_x30_d20210812.200100] JUNOS sipò platfòm komen [203_75_30_20.3_75_30.1_20210812.200100_203_75_30 JUNOS Openconfig [20210812.200100X203-D75] JUNOS modil rezo mtx [30_builder_junos_20210812.200100_x203_d75] JUNOS modil [30_builder_junos_20210812.200100_x203_NOS_mxmodil] [75_builder_junos_30_x20210812.200100_d203] JUNOS mx libs [75_builder_junos_30_x20210812.200100_d203] JUNOS SQL Sync Daemon [75_30_20210812.200100_203. NOS mtx Data Plane Crypto Support [75_builder_junos_30_x20210812.200100_d203] JUNOS daemons [75_builder_junos_30_x20210812.200100_d203] JUNOS [mx75 30_dXNUMX] JUNOS appidd-mx aplikasyon-idantifikasyon demon [XNUMX_builder_junos_XNUMX_xXNUMX_dXNUMX] Sèvis JUNOS URL Filter package [20210812.200100_builder_junos_203_x75_d30] JUNOS Services TLB Service PIC package [20210812.200100_builder_junos_203_x75_d30] JUNOS Services Telemetry [20210812.200100 203] JUNOS Services TCP-LOG [75_builder_junos_30_x20210812.200100_d203] JUNOS Services SSL [75_builder_junos_30_x20210812.200100_d203] JUNOS Services SOFTWIRE75_30_20210812.200100_203 d75] JUNOS Services Stateful Firewall [30_builder_junos_20210812.200100_x203_d75] JUNOS Services RTCOM [30_builder_junos_20210812.200100_x203_d75] JUNOS Services RPM [30_builder_junos_d20210812.200100] package [203_builder_junos_75_x30_d20210812.200100] JUNOS Services NAT [203_builder_junos_75_x30_d20210812.200100] JUNOS Services Mobile Subscriber Service Container Package
[20210812.200100_builder_junos_203_x75_d30] JUNOS Services MobileNext Software package [20210812.200100_builder_junos_203_x75_d30] JUNOS Services Logging Report Framework package [20210812.200100_203 ] JUNOS Services LL-PDF Container package [75_builder_junos_30_x20210812.200100_d203] JUNOS Services Jflow Container package [75_builder_junos_30_x20210812.200100_d203] JUNOS Services Inspection package Deep 75_builder_junos_30_x20210812.200100_d203] JUNOS Services IPSec [75_builder_junos_30_x20210812.200100_d203] JUNOS Services IDS [75_30.NOS_20210812.200100_builder_junos_d203] [75_builder_junos_30_x20210812.200100_d203] JUNOS Services HTTP Content Management Package [75_builder_junos_30_x20210812.200100_d203] JUNOS Services Crypto [75_builder_junos_30_x20210812.200100_d203] tive Portal ak pake veso livrezon kontni
[20210812.200100_builder_junos_203_x75_d30] JUNOS Services COS [20210812.200100_builder_junos_203_x75_d30] JUNOS AppId Services [20210812.200100_203_builder_junos_d75] JUNOS Sèvis AppId [30_20210812.200100_203 Report vel Gateways [75_builder_junos_30_x20210812.200100_d203] JUNOS Services AACL Container package [75_builder_junos_30_x20210812.200100_d203] JUNOS SDN SDN Software Suite [75_30 ] JUNOS Extension Toolkit [20210812.200100_builder_junos_203_x75_d30 ] JUNOS Packet Forwarding Engine Support (wrlinux9) [20210812.200100_builder_junos_203_x75_d30] JUNOS Packet Forwarding Engine Support (ulc) [20210812.200100_builder_junos_203_75_x30_d3] JUNOS Sipò pou motè transmisyon (ulc) [20.3_builder_junos_75_30.1_x2000_d20210812.200100] JUNOS Engine Forwarding X203-D75] JUNOS Pake Forwarding Engine Support (X30) [ 20.3_builder_junos_75_x30.1_dXNUMX] JUNOS Packet Forwarding Engine Sipò Fip [XNUMXXXNUMX-DXNUMX] JUNOS Packet Forwarding Engine Sipò (M/T komen)
[20210812.200100_builder_junos_203_x75_d30] JUNOS Pake Forwarding Engine Support (aft)

Konprann Zeroization pou klè done sistèm pou mòd Fip
NAN SEKSYON SA A
Poukisa Zeroize? | 26
Ki lè yo mete zewo? | 26
Zeroizasyon konplètman efase tout enfòmasyon konfigirasyon sou Motè Routing yo, ki gen ladan tout modpas tèks klè, sekrè, ak kle prive pou SSH, chifreman lokal, otantifikasyon lokal, ak IPsec.
Ofisye Crypto inisye pwosesis zeroizasyon an lè li antre nan demann kòmandman operasyonèl vmhost zeroize no-forwarding pou REMX2K-X8 epi mande sistèm zeroize pou RE1800.
ATANSYON: Fè sistèm zewoizasyon ak atansyon. Apre pwosesis zeroizasyon an fini, pa gen okenn done ki rete sou Routing Engine la. Aparèy la retounen nan eta default faktori a, san okenn itilizatè configuré oswa konfigirasyon files.
Zeroizasyon ka pran tan. Malgre ke tout konfigirasyon yo retire nan kèk segond, pwosesis zeroization la kontinye pou kouvri tout medya yo, ki ka pran tan konsiderab depann sou gwosè a nan medya yo.
Poukisa Zeroize?
Aparèy ou a pa konsidere kòm yon modil kriptografik Fip ki valab jiskaske tout paramèt sekirite kritik (CSP) yo te antre—oswa reantre—pandan aparèy la nan mòd Fip.
Pou konfòmite Fip 140-2, ou dwe zeroize sistèm nan pou retire enfòmasyon sansib anvan ou enfim mòd Fip sou aparèy la.
Ki lè yo mete zewo?
Kòm Ofisye Crypto, fè zeroizasyon nan sitiyasyon sa yo:

Anvan ou pèmèt mòd operasyon Fip: Pou prepare aparèy ou an pou fonksyone kòm yon modil kriptografik Fip, fè zeroizasyon anvan ou pèmèt mòd Fip.
Anvan ou désactiver mòd Fip nan operasyon: Pou kòmanse reutilize aparèy ou an pou operasyon ki pa Fips, fè zewoizasyon anvan ou enfim mòd Fip sou aparèy la.
REMAK: Juniper Networks pa sipòte enstale lojisyèl ki pa FIPS nan yon anviwònman Fip, men fè sa ka nesesè nan sèten anviwònman tès. Asire w ke ou zeroize sistèm lan an premye.

Zeroze Sistèm nan
Pou zeroize aparèy ou an, swiv pwosedi ki anba a:

Konekte nan aparèy la kòm Ofisye Crypto epi soti nan CLI, antre lòd sa a.
Pou REMX2K-X8:
crypto-officer@host> demann vmhost zeroize pa gen okenn transmisyon VMHost Zeroization : efase tout done, ki gen ladan konfigirasyon ak boutèy demi lit. files? [wi, non] (non) wi
re0:
Pou REMX2K-X8:
crypto-officer@host> demann sistèm zeroize
Sistèm Zeroization: Efase tout done, ki gen ladan konfigirasyon ak boutèy demi lit files?
[wi, non] (non) wi
re0:
Pou kòmanse pwosesis zeroizasyon an, tape wi nan èd memwa a:
Efase tout done, ki gen ladan konfigirasyon ak boutèy demi lit files? [wi, non] (non) wi Efase tout done, enkli konfigirasyon ak log files? [wi, non] (non) wi
re0: ———————–avètisman: zeroizing
re0 … …
Operasyon an antye ka pran tan konsiderab depann sou gwosè a nan medya yo, men tout paramèt sekirite kritik (CSPs) yo retire nan kèk segonn. Anviwònman fizik la dwe rete an sekirite jiskaske pwosesis zeroizasyon an fini.

Pèmèt mòd Fip
Lè Junos OS enstale sou yon aparèy epi aparèy la limen, li pare pou konfigirasyon.
Okòmansman, ou konekte kòm rasin itilizatè a san okenn modpas. Lè ou konekte kòm rasin, koneksyon SSH ou aktive pa default.
Antanke Ofisye Crypto, ou dwe etabli yon modpas rasin ki konfòm ak kondisyon modpas Fip yo nan “Konprann Espesifikasyon Modpas ak Gid pou Junos OS nan mòd Fip” nan paj 20. Lè ou aktive mòd Fip nan Junos OS sou aparèy la, ou pa kapab konfigirasyon modpas. sof si yo satisfè estanda sa a.
Modpas lokal yo ankripte ak algorithm hash ki an sekirite SHA256 oswa SHA512. Rekiperasyon modpas pa posib nan Junos OS nan mòd Fip. Junos OS nan mòd Fip pa ka demare nan mòd yon sèl itilizatè san modpas rasin kòrèk la.
Pou pèmèt mòd Fip nan Junos OS sou aparèy la:

Mete aparèy la zewo pou efase tout CSP anvan ou antre nan mòd Fip. Ale nan seksyon “Konprann Zeroizasyon pou efase done sistèm nan mòd Fip” nan paj 25 pou plis detay.
Apre aparèy la vini nan 'Mòd Amnesiac', konekte ak non itilizatè rasin ak modpas "" (vid).
FreeBSD/amd64 (Amnesiac) (ttyu0) konekte: rasin
— JUNOS 20.3X75-D30.1 Kernel 64-bit JNPR-11.0-20190701.269d466_buil root@:~ # cli root>

Konfigure otantifikasyon rasin ak modpas omwen 10 karaktè oswa plis.
rasin> edite Antre nan mòd konfigirasyon [edit] rasin# mete sistèm rasin-otantifikasyon plenn-tèks-modpas
Nouvo modpas:
Retape nouvo modpas: [edit] rasin# komèt komèt konplè
Chaje konfigirasyon sou aparèy epi komèt nouvo konfigirasyon. Konfigure kripto-ofisye epi konekte ak kalifikasyon kripto-ofisye.
Enstale pake mòd fips ki nesesè pou Routing Engine KATS.
root@hostname> mande lojisyèl sistèm ajoute opsyonèl: //fips-mode.tgz
Mòd fips verifye siyen pa metòd PackageDevelopmentEc_2017 ECDSA256+SHA256

Pou aparèy seri MX,
• Konfigure chasi fwontyè fips pa mete sistèm fips chasi nivo 1 ak komèt.
• Konfigure RE boundary fips pa mete sistèm fips nivo 1 ak komèt.
Aparèy ta ka montre modpas chifreman an dwe re-konfigirasyon pou itilize avètisman hash ki konfòme Fip pou efase ansyen CSP yo nan konfigirasyon ki chaje a.
Apre w fin efase ak rkonfigirasyon CSP yo, komèt pral pase epi aparèy la bezwen rekòmanse pou antre nan mòd Fip. [edit] crypto-officer@hostname# komèt
Jenere kle RSA /etc/ssh/fips_ssh_host_key
Jenere kle RSA2 /etc/ssh/fips_ssh_host_rsa_key
Jenere kle ECDSA /etc/ssh/fips_ssh_host_ecdsa_key
[edit] sistèm
rdemare obligatwa pou tranzisyon nan Fip nivo 1 komite konplè [edit] crypto-officer@hostname# kouri demann vmhost reboot
Apre rdemare aparèy la, tès pwòp tèt ou Fip yo pral kouri epi aparèy la antre nan mòd Fip. crypto-officer@hostname: fips>

DOKIMANTASYON KI GENYEN
Konprann Espesifikasyon Modpas ak Gid pou Junos OS nan mòd Fip | 20
Konfigirasyon Ofisye Crypto ak Idantifikasyon Itilizatè Fip ak Aksè
NAN SEKSYON SA A
Konfigirasyon Aksè Ofisye Crypto | 30
Konfigirasyon Fip User Login Access | 32
Crypto Officer pèmèt mòd Fip sou aparèy ou an epi li fè tout travay konfigirasyon pou Junos OS nan mòd Fip epi bay tout Junos OS nan mòd Fip deklarasyon ak kòmandman. Crypto Officer ak konfigirasyon itilizatè Fip yo dwe swiv Junos OS nan gid mòd Fip.
Konfigirasyon Aksè Ofisye Crypto
Junos OS nan mòd Fip ofri yon granularite pi rafine nan otorizasyon itilizatè pase sa yo mande pa Fip 140-2.
Pou konfòmite Fip 140-2, nenpòt itilizatè Fip ki gen yon seri bit sekrè, sekirite, antretyen ak pèmisyon kontwòl se yon Ofisye Crypto. Nan pifò ka yo, klas super-itilizatè a sifi pou Ofisye Crypto la.
Pou konfigirasyon aksè konekte pou yon Ofisye Crypto:

Konekte nan aparèy la ak modpas rasin lan si ou poko fè sa, epi antre nan mòd konfigirasyon: root@hostname> edit Antre nan mòd konfigirasyon [edit] root@hostname#
Nonmen itilizatè a kriptografik-ofisye epi bay ofisye kriptografik la yon ID itilizatè (pa egzanpample, 6400, ki dwe yon nimewo inik ki asosye ak kont konekte a nan yon seri 100 jiska 64000) ak yon klas (pa egzanpample, super-itilizatè). Lè ou bay klas la, ou bay otorizasyon yo—pa egzanpample, sekrè, sekirite, antretyen, ak kontwòl.
Pou yon lis otorizasyon, gade Konprann Nivo Privilèj Aksè Junos OS.
[edit] root@hostname# mete sistèm login itilizatè non itilizatè uid valè klas klas-non
Pou egzanpample:
[edit] root@hostname# mete sistèm login itilizatè crypto-ofisè uid 6400 klas super-itilizatè

Swiv direktiv ki nan “Konprann Espesifikasyon Modpas ak Gid pou Junos OS nan mòd Fip” nan paj 20, bay Ofisye Crypto a yon modpas tèks klè pou otantifikasyon login. Fikse modpas la lè w tape yon modpas apre envit yo Nouvo modpas ak Retape nouvo modpas la.
[edit] root@hostname# mete sistèm login itilizatè non itilizatè klas otantifikasyon non klas (plain-testpassword |
kode-modpas)
Pou egzanpample:
[edit] root@hostname# mete sistèm login itilizatè klas kripto-ofisye otantifikasyon super-itilizatè tèks-modpas
Si ou vle, montre konfigirasyon an:
[edit] root@hostname# edit sistèm
[edit sistèm] root@hostname# montre
ouvri sesyon an {
itilizatè crypto-ofisè {
uid 6400;
otantifikasyon {
crypted-password " ”; ## SEKRÈ-DONE
}
klas super-itilizatè;
}
}
Si ou fini konfigirasyon aparèy la, komèt konfigirasyon an epi sòti:
[edit] root@hostname# komèt komèt konplè
root@hostname# sòti

Konfigirasyon Aksè Konekte itilizatè Fip
Yon itilizatè fips yo defini kòm nenpòt itilizatè Fip ki pa gen sekrè, sekirite, antretyen ak pèmisyon kontwòl.
Kòm Ofisye Crypto a ou mete kanpe itilizatè Fip yo. Itilizatè Fip yo pa ka akòde pèmisyon nòmalman rezève pou Ofisye Crypto a—pa egzanpample, pèmisyon pou zeroize sistèm nan.
Pou konfigirasyon aksè konekte pou yon itilizatè Fip:

Konekte nan aparèy la ak modpas Crypto Officer ou si ou poko fè sa, epi antre nan mòd konfigirasyon:
crypto-officer@hostname:fips> edite
Antre nan mòd konfigirasyon
[edit] crypto-officer@hostname:fips#
Bay itilizatè a, yon non itilizatè, epi bay itilizatè a yon ID itilizatè (pa egzanpample, 6401, ki dwe yon nimewo inik nan seri 1 jiska 64000) ak yon klas. Lè ou bay klas la, ou bay otorizasyon yo—pa egzanpample, klè, rezo, resetview, ak view-konfigirasyon.
[edit] crypto-officer@hostname:fips# mete sistèm login itilizatè non itilizatè uid valè klas non klas Pou egzanpample:
[edit] crypto-officer@hostname:fips# set system login user fips-user1 uid 6401 class read-only

Swiv direktiv ki nan "Konprann Espesifikasyon Modpas ak Gid pou Junos OS nan
Mòd Fip” nan paj 20, bay itilizatè Fip la yon modpas tèks klè pou otantifikasyon konekte. Fikse modpas la lè w tape yon modpas apre envit yo Nouvo modpas ak Retape nouvo modpas la.
[edite] crypto-officer@hostname:fips# mete sistèm login itilizatè non itilizatè klas otantifikasyon non klas (klas-tèks-modpas | kode-modpas)
Pou egzanpample:
[edit] crypto-officer@hostname:fips# mete sistèm login itilizatè fips-user1 klas lekti sèlman otantifikasyon klè-tèks-modpas
Si ou vle, montre konfigirasyon an:
[edit] crypto-officer@hostname:fips# edit system [edit system] crypto-officer@hostname:fips# montre
ouvri sesyon an {
itilizatè fips-user1 {
uid 6401;
otantifikasyon {
crypted-password " ”; ## SEKRÈ-DONE
}
klas lekti sèlman;
}
}
Si ou fini konfigirasyon aparèy la, komèt konfigirasyon an epi sòti:
[edit] crypto-officer@hostname:fips# komèt
crypto-officer@hostname:fips# sòti

Konfigirasyon SSH ak Koneksyon Konsole

Konfigirasyon SSH sou Konfigirasyon Evalye pou Fip
SSH atravè koòdone jesyon aleka pèmèt nan konfigirasyon evalye a. Sijè sa a dekri kijan pou konfigirasyon SSH atravè jesyon aleka.
Algoritm sa yo ki bezwen konfigirasyon pou valide SSH pou Fip.
Pou konfigirasyon SSH sou DUT la:

Espesifye algoritm SSH lame-kle akseptab pou sèvis sistèm yo.
[edit] user@host# mete sèvis sistèm ssh hostkey-algorithm ssh-ecdsa
user@host# mete sèvis sistèm ssh hostkey-algorithm no-ssh-dss
user@host# mete sèvis sistèm ssh hostkey-algorithm ssh-rsa
Espesifye echanj kle SSH pou kle Diffie-Hellman pou sèvis sistèm yo.
[edit] user@host# mete sèvis sistèm ssh kle-echanj dh-group14-sha1
user@host# mete sèvis sistèm ssh kle-echanj ecdh-sha2-nistp256
user@host# mete sèvis sistèm ssh kle-echanj ecdh-sha2-nistp384
user@host# mete sèvis sistèm ssh kle-echanj ecdh-sha2-nistp521

Espesifye tout algoritm kòd otantifikasyon mesaj akseptab pou SSHv2
[edit] user@host# mete sèvis sistèm ssh macs hmac-sha1
user@host# mete sèvis sistèm ssh macs hmac-sha2-256
user@host# mete sèvis sistèm ssh macs hmac-sha2-512
Espesifye chifre yo pèmèt pou vèsyon pwotokòl 2.
[edit] user@host# mete sistèm sèvis ssh chifre aes128-cbc
user@host# mete sèvis sistèm ssh chifre aes256-cbc
user@host# mete sèvis sistèm ssh chifre aes128-ctr
user@host# mete sèvis sistèm ssh chifre aes256-ctr
user@host# mete sèvis sistèm ssh chifre aes192-cbc
user@host# mete sèvis sistèm ssh chifre aes192-ctr
Sipòte algorithm hostkey SSH:
ssh-ecdsa Pèmèt jenerasyon ECDSA lame-kle
ssh-rsa Pèmèt jenerasyon RSA lame-kle
Sipòte algorithm echanj kle SSH:
ecdh-sha2-nistp256 EC Diffie-Hellman sou nistp256 ak SHA2-256
ecdh-sha2-nistp384 EC Diffie-Hellman sou nistp384 ak SHA2-384
ecdh-sha2-nistp521 EC Diffie-Hellman sou nistp521 ak SHA2-512
Sipòte MAC algorithm:
hmac-sha1 MAC ki baze sou Hash lè l sèvi avèk Secure Hash Algorithm (SHA1)
hmac-sha2-256 MAC ki baze sou Hash lè l sèvi avèk Secure Hash Algorithm (SHA2)
hmac-sha2-512 MAC ki baze sou Hash lè l sèvi avèk Secure Hash Algorithm (SHA2)
Sipòte algorithm chifreman SSH:
aes128-cbc 128-bit AES ak Chipher Block Chaining
aes128-ctr 128-bit AES ak Counter Mode
aes192-cbc 192-bit AES ak Chipher Block Chaining
aes192-ctr 192-bit AES ak Counter Mode
aes256-cbc 256-bit AES ak Chipher Block Chaining
aes256-ctr 256-bit AES ak Counter Mode

Konfigirasyon MACsec

Konprann Sekirite Kontwòl Aksè Medya (MACsec) nan mòd Fip
Media Access Control Security (MACsec) se yon teknoloji sekirite 802.1AE IEEE estanda endistri ki bay kominikasyon an sekirite pou tout trafik sou lyen Ethernet. MACsec bay sekirite pwen-a-pwen sou lyen Ethernet ant nœuds ki konekte dirèkteman epi li kapab idantifye ak anpeche pifò menas sekirite yo, ki gen ladan refi sèvis, entrizyon, man-in-the-middle, maskaraj, entèpsyon pasif, ak atak lèktur.
MACsec pèmèt ou sekirize lyen Ethernet pwen an pwen pou prèske tout trafik, ki gen ladan ankadreman ki soti nan Pwotokòl Link Layer Discovery (LLDP), Link Aggregation Control Protocol (LACP), Dynamic Host Configuration Protocol (DHCP), Address Resolution Protocol (ARP). ak lòt pwotokòl ki pa tipikman an sekirite sou yon lyen Ethernet akòz limit ak lòt solisyon sekirite. MACsec ka itilize ansanm ak lòt pwotokòl sekirite tankou IP Sekirite (IPsec) ak Secure Sockets Layer (SSL) pou bay sekirite rezo bout-a-fen.
MACsec ofisyèl nan IEEE 802.1AE. Estanda IEEE 802.1AE ka wè sou òganizasyon IEEE websit nan IEEE 802.1: PON & GESTION.
Chak aplikasyon yon algorithm tcheke pa yon seri tès repons li te ye (KAT) pwòp tèt ou-tès ak validasyon algorithm crypto (CAV). Algoritm kriptografik sa yo ajoute espesyalman pou MACsec.

Avanse chifreman estanda (AES)-Cipher Message Otantifikasyon Kòd (CMAC)
Avanse chifreman estanda (AES) kle vlope
Pou MACsec, nan mòd konfigirasyon, sèvi ak kòmandman an rapid pou antre yon valè kle sekrè ki gen 64 karaktè egzadesimal pou otantifikasyon.
[edit] crypto-officer@hostname:fips# rapid sekirite macsec koneksyon-asosyasyon pre-shared-key cak
Nouvo gato (sekrè):
Retape nouvo gato (sekrè):

Pèrsonalizasyon Tan
Pou personnaliser tan, enfim NTP epi mete dat la.

Enfim NTP.
[edit] crypto-officer@hostname:fips# dezaktive gwoup sistèm mondyal ntp
crypto-officer@hostname:fips# dezaktive sistèm ntp
crypto-officer@hostname:fips# komèt
crypto-officer@hostname:fips# sòti

Mete dat ak lè. Fòma dat ak lè se YYYYMMDDHHMM.ss
[edit] crypto-officer@hostname:fips# mete dat 201803202034.00
crypto-officer@hostname:fips# mete cli timestamp
Mete detay sou kanal sekirite MACsec Key Agreement (MKA).
[edit] crypto-officer@hostname:fips# mete sekirite macsec connectivity-asosyasyon koneksyon koneksyon non-asosyasyon secure-channel secure-channel-name direction (entrant | sortant) crypto-officer@hostname:fips# mete sekirite macsec connectivity-asosyasyon connectivityassociation -name secure-channel secure-channel-name cryptage (MACsec) crypto-officer@hostname:fips# set security macsec connectivity-asosyasyon connectivityassociation-name secure-channel secure-channel-name id mac-address /”address mac crypto- ofisye@hostname:fips# mete sekirite macsec connectivity-asosyasyon connectivityassociation-name secure-channel secure-channel-name id port-id port-id number crypto-officer@hostname:fips# mete sekirite macsec koneksyon-asosyasyon connectivity-asosyasyon connectivity non-asosyasyon an sekirite -channel secure-channel-name offset “(0|30|50) crypto-officer@hostname:fips# mete sekirite macsec connectivity-asosyasyon connectivityassociation-name secure-channel secure-channel-name sekirite-asosyasyon sekirite-asosyasyon nimewo kle kle- fisèl
Mete MKA a nan mòd sekirite.
[edit] crypto-officer@hostname:fips# mete sekirite macsec connectivity-asosyasyon connectivityassociation-name sekirite-mòd sekirite-mòd

Bay konfigirasyon asosyasyon koneksyon an ak yon koòdone MACsec espesifye.
[edit] crypto-officer@hostname:fips# mete sekirite macsec interfaces koòdone-non connectivityassociation koneksyon-asosyasyon-non

Konfigirasyon MACsec estatik ak trafik ICMP
Pou konfigirasyon Static MACsec lè l sèvi avèk trafik ICMP ant aparèy R0 ak aparèy R1:
Nan R0:

Kreye kle prepataje a pa konfigirasyon non kle asosyasyon koneksyon (CKN) ak kle asosyasyon koneksyon (CAK)
[edit] crypto-officer@hostname:fips# mete sekirite macsec koneksyon-asosyasyon CA1 pre-sharedkey ckn 2345678922334455667788992223334445556667778889992222333344445555
crypto-officer@hostname:fips# set security macsec connectivity-asosyasyon CA1 pre-sharedkey cak 23456789223344556677889922233344 crypto-officer@hostname:fips# set security macsec connectivity-association CA1 offset 30

Mete valè opsyon tras yo.
[edit] crypto-officer@hostname:fips# mete opsyon trace macsec sekirite file MACsec.log
crypto-officer@hostname:fips# mete opsyon trace macsec sekirite file gwosè 4000000000
crypto-officer@hostname:fips# mete sekirite macsec traceoptions flag tout
Bay tras la nan yon koòdone.
[edit] crypto-officer@hostname:fips# mete sekirite macsec interfaces koòdone-non traceoptions file mka_xe size 1g crypto-officer@hostname:fips# mete sekirite macsec interfaces koòdone-non traceoptions flag tout
Konfigure mòd sekirite MACsec kòm static-cak pou asosyasyon koneksyon an. [edit] crypto-officer@hostname:fips# mete sekirite macsec koneksyon-asosyasyon CA1 sekirite-mòd static-cak

Mete priyorite sèvè kle MKA la.
[edit] crypto-officer@hostname:fips# set security macsec connectivity-asosyasyon CA1 mka key-serverpriority 1
Mete entèval transmèt MKA la.
[edit] crypto-officer@hostname:fips# set security macsec connectivity-asosyasyon CA1 mka transmitinterval 3000
Pèmèt MKA an sekirite.
[edit] crypto-officer@hostname:fips# mete sekirite macsec koneksyon-asosyasyon CA1 mka shouldsecure
crypto-officer@hostname:fips# mete sekirite macsec koneksyon-asosyasyon CA1 enkli-sci

Bay asosyasyon koneksyon an nan yon koòdone.
[edit] crypto-officer@hostname:fips# mete sekirite macsec interfaces interface-name connectivityassociation
CA1
crypto-officer@hostname:fips# set interfaces interface-name unit 0 family inet address 10.1.1.1/24

Nan R1:

Kreye kle prepataje a pa konfigirasyon non kle asosyasyon koneksyon (CKN) ak kle asosyasyon koneksyon (CAK)
[edit] crypto-officer@hostname:fips# mete sekirite macsec connectivity-asosyasyon CA1 pre-sharedkey ckn 2345678922334455667788992223334445556667778889992222333344445555 tion CA1 pre-sharedkey cak 23456789223344556677889922233344 crypto-officer@hostname:fips # mete sekirite macsec koneksyon-asosyasyon CA1 konpanse 30
Mete valè opsyon tras yo.
[edit] crypto-officer@hostname:fips# mete opsyon trace macsec sekirite file MACsec.log crypto-officer@hostname:fips# mete opsyon trace macsec sekirite file gwosè 4000000000 crypto-officer@hostname:fips# mete sekirite macsec traceoptions flag tout

Bay tras la nan yon koòdone. [edit] crypto-officer@hostname:fips# mete sekirite macsec interfaces koòdone-non traceoptions file mka_xe size 1g crypto-officer@hostname:fips# mete sekirite macsec interfaces koòdone-non traceoptions flag tout
Konfigure mòd sekirite MACsec kòm static-cak pou asosyasyon koneksyon an. [edit] crypto-officer@hostname:fips# mete sekirite macsec koneksyon-asosyasyon CA1 sekirite-mòd static-cak
Mete entèval transmèt MKA la.
[edit] crypto-officer@hostname:fips# set security macsec connectivity-asosyasyon CA1 mka transmitinterval 3000

Pèmèt MKA an sekirite. [edit] crypto-officer@hostname:fips# mete sekirite macsec connectivity-asosyasyon CA1 mka shouldsecure crypto-officer@hostname:fips# mete sekirite macsec connectivity-asosyasyon CA1 include-sci
Bay asosyasyon koneksyon an nan yon koòdone. [edit] crypto-officer@hostname:fips# mete sekirite macsec interfaces koòdone-non connectivityassociation CA1 crypto-officer@hostname:fips# mete interfaces koòdone-non inite 0 family inet address 10.1.1.2/24

Konfigirasyon MACsec ak keychain lè l sèvi avèk ICMP Traffic
Pou konfigirasyon MACsec ak keychain lè l sèvi avèk trafik ICMP ant aparèy R0 ak aparèy R1:
Nan R0:

Bay yon valè tolerans nan chèn kle otantifikasyon an. [edit] crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 tolerance 20
Kreye modpas sekrè pou itilize. Li se yon seri chif egzadesimal jiska 64 karaktè nan longè. Modpas la ka gen espas si yo mete kòd karaktè a nan guillemets. Done sekrè keychain la itilize kòm yon CAK.
[edit] crypto-officer@hostname:fips# set security authentication-key-chains key-chain key-chain macsec-kc1 key 0 key-name 2345678922334455667788992223334445556667778889992222333344445551 chèn-chèn-kle-chèn macsec- kc1 key 0 start-time 2018-03-20.20:35 crypto-officer@hostname:fips# mete sekirite otantifikasyon-key-chains key-chain macsec-kc1 key 1 key-name 2345678922334455667788992223334445556667778889992222333344445552 1 crypto-officer@hostname:fips# mete sekirite otantifikasyon-key-chains key-chain macsec-kc1 key 2018 start-time 03-20.20-37:1 crypto-officer@hostname:fips# set security othentication-key-chains key-chain macsec-kc2 key 2345678922334455667788992223334445556667778889992222333344445553 key-name 1 2 crypto-officer@hostname:fips# mete sekirite otantifikasyon-key-chains key-chain macsec-kc2018 key 03 start-time 20.20-39-1:3 crypto-officer@hostname:fips# set security othentication-key-chains key- chèn macsec-kc2345678922334455667788992223334445556667778889992222333344445554 kle 1 kle-non 3 crypto-officer@hostname:fipsc-chain key-time key-time-inseck2018 03-20.20-41:1 crypto-officer@hostname:fips # mete sekirite otantifikasyon-kle-chèn kle-chèn macsec-kc4 kle 2345678922334455667788992223334445556667778889992222333344445555 kle-non 1 kripto-key-name: autificer #host key-name autificchains sec-kc4 kle 2018 kòmanse-tan 03-20.20- 43:1 crypto-officer@hostname:fips# set security othentication-key-chains key-chain key-chain macsec-kc5 key 2345678922334455667788992223334445556667778889992222333344445556 key-name 1 fips# mete sekirite otantifikasyon-kle-chèn kle-chèn macsec- kc5 kle 2018 start-time 03-20.20-45:1 crypto-officer@hostname:fips# mete sekirite otantifikasyon-key-chains key-chain macsec-kc6 kle 2345678922334455667788992223334445556667778889992222333344445557 kle-name 1 6 crypto-officer@hostname:fips# mete sekirite otantifikasyon-key-chains key-chain macsec-kc2018 key 03 start-time 20.20-47-1:7 crypto-officer@hostname:fips# set security othentication-key-chains key-chain macsec-kc2345678922334455667788992223334445556667778889992222333344445558 key 1 key-name 7 2018 crypto-officer@hostname:fips# mete sekirite otantifikasyon-key-chains key-chain key-chain macsec-kc03 key 20.20 start-time 49-XNUMX-XNUMX:XNUMX Sèvi ak lòd rapid la pou antre yon valè kle sekrè. Pou egzanpample, valè kle sekrè a se 2345678922334455667788992223334123456789223344556677889922233341. [edit] crypto-officer@hostname:fips# rapid security authentication-chain key-key-key-cacchainsecke-key-cacchainseck1 cak (sekrè): kripto-ofisye @hostname:fips# rapid sekirite otantifikasyon-key-chains key-chain macseckc0 key 1 secret New cak (sekrè):
Retape nouvo cak (sekrè): crypto-officer@hostname:fips# rapid sekirite otantifikasyon-key-chains key-chain macseckc1 key 2 secret New cak (sekrè):
Retape nouvo cak (sekrè): crypto-officer@hostname:fips# rapid sekirite otantifikasyon-key-chains key-chain macseckc1 key 3 secret New cak (sekrè): Retape nouvo cak (sekrè): crypto-officer@hostname:fips# rapid security authentication-key-chains key-chain macseckc1 key 4 secret New cak (sekrè): Retape nouvo cak (sekrè): crypto-officer@hostname:fips# rapid security authentication-key-chains key-chain macseckc1 key 5 secret New cak (sekrè): Retape nouvo cak (sekrè): crypto-officer@hostname:fips# rapid security authentication-key-chains key-chain macseckc1 key 6 secret New cak (sekrè): Retype new cak (sekrè): crypto-ofisè @hostname:fips# rapid security authentication-key-chains key-chain macseckc1 key 7 secret New cak (sekrè): Retape nouvo cak (sekrè):
Asosye non keychain prepataje a ak asosyasyon koneksyon an.
[edit] crypto-officer@hostname:fips# mete sekirite macsec connectivity-asosyasyon CA1 pre-sharedkey-chain macsec-kc1 crypto-officer@hostname:fips# mete sekirite macsec connectivity-asosyasyon CA1 konpanse 50 crypto-officer@hostname:fips # mete sekirite macsec koneksyon-asosyasyon CA1 cipher-suite gcm-aes-256
REMAK: Valè chifreman an kapab tou tabli kòm cipher-suite gcm-aes-128.

Mete valè opsyon tras yo.
[edit] crypto-officer@hostname:fips# mete opsyon trace macsec sekirite file MACsec.log crypto-officer@hostname:fips# mete opsyon trace macsec sekirite file gwosè 4000000000 crypto-officer@hostname:fips# mete sekirite macsec traceoptions flag tout
Bay tras la nan yon koòdone. [edit] crypto-officer@hostname:fips# mete sekirite macsec interfaces koòdone-non traceoptions file mka_xe size 1g crypto-officer@hostname:fips# mete sekirite macsec interfaces koòdone-non traceoptions flag tout
Konfigure mòd sekirite MACsec kòm static-cak pou asosyasyon koneksyon an. [edit] crypto-officer@hostname:fips# set security macsec connectivity-asosyasyon CA1 securitymode static-cak

Mete priyorite sèvè kle MKA la.
[edit] crypto-officer@hostname:fips# set security macsec connectivity-asosyasyon CA1 mka keyserver-priority 1
Mete entèval transmèt MKA la.
[edit] crypto-officer@hostname:fips# set security macsec connectivity-asosyasyon CA1 mka transmitinterval 3000
Pèmèt MKA an sekirite.
[edit] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 include-sci

Bay asosyasyon koneksyon an nan yon koòdone.
[edit] crypto-officer@hostname:fips# set security macsec interfaces interface-name connectivityassociation CA1
crypto-officer@hostname:fips#
mete interfaces koòdone-non inite 0 fanmi inet adrès 10.1.1.1/24

Pou konfigirasyon MACsec ak keychain pou trafik ICMP:
Nan R1:

Bay yon valè tolerans nan chèn kle otantifikasyon an.
[edit] crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 tolerance 20

Kreye modpas sekrè pou itilize. Li se yon seri chif egzadesimal jiska 64 karaktè nan longè. Modpas la ka gen espas si yo mete kòd karaktè a nan guillemets. Done sekrè keychain la itilize kòm yon CAK.
[edit] crypto-officer@hostname:fips# set security authentication-key-chains key-chain key-chain macsec-kc1 key 0 key-name 2345678922334455667788992223334445556667778889992222333344445551 chèn-chèn-kle-chèn macsec- kc1 key 0 start-time 2018-03-20.20:35 crypto-officer@hostname:fips# mete sekirite otantifikasyon-key-chains key-chain macsec-kc1 key 1 key-name 2345678922334455667788992223334445556667778889992222333344445552 1 crypto-officer@hostname:fips# mete sekirite otantifikasyon-key-chains key-chain macsec-kc1 key 2018 start-time 03-20.20-37:1 crypto-officer@hostname:fips# set security othentication-key-chains key-chain macsec-kc2 key 2345678922334455667788992223334445556667778889992222333344445553 key-name 1 2 crypto-officer@hostname:fips# mete sekirite otantifikasyon-key-chains key-chain macsec-kc2018 key 03 start-time 20.20-39-1:3 crypto-officer@hostname:fips# set security othentication-key-chains key- chèn macsec-kc2345678922334455667788992223334445556667778889992222333344445554 kle 1 kle-non 3 crypto-officer@hostname:fipsc-chain key-time key-time-inseck2018 03-20.20-41:1 crypto-officer@hostname:fips # mete sekirite otantifikasyon-kle-chèn kle-chèn macsec-kc4 kle 2345678922334455667788992223334445556667778889992222333344445555 kle-non 1 kripto-key-name: autificer #host key-name autificchains sec-kc4 kle 2018 kòmanse-tan 03-20.20- 43:1 crypto-officer@hostname:fips# set security othentication-key-chains key-chain key-chain macsec-kc5 key 345678922334455667788992223334445556667778889992222333344445556 key-name 1 ps # mete sekirite otantifikasyon-kle-chèn kle-chèn macsec- kc5 kle 2018 start-time 03-20.20-45:1 crypto-officer@hostname:fips# mete sekirite otantifikasyon-key-chains key-chain macsec-kc6 kle 2345678922334455667788992223334445556667778889992222333344445557 kle-name 1 6 crypto-officer@hostname:fips# mete sekirite otantifikasyon-key-chains key-chain macsec-kc2018 key 03 start-time 20.20-47-1:7 crypto-officer@hostname:fips# set security othentication-key-chains key-chain macsec-kc2345678922334455667788992223334445556667778889992222333344445558 key 1 key-name 7 2018 crypto-officer@hostname:fips# mete sekirite otantifikasyon-key-chains key-chain macsec-kc03 key 20.20 start-time 49-XNUMX-XNUMX:XNUMX
Sèvi ak lòd rapid la pou antre yon valè kle sekrè. Pou egzanpample, valè kle sekrè a se 2345678922334455667788992223334123456789223344556677889922233341.
[edit] crypto-officer@hostname:fips# rapid sekirite otantifikasyon-key-chains key-chain macseckc1 key 0 secret
Nouvo gato (sekrè):
Retape nouvo cak (sekrè): crypto-officer@hostname:fips# rapid sekirite otantifikasyon-key-chains key-chain macseckc1 key 1 secret New cak (sekrè): Retape nouvo cak (sekrè): crypto-officer@hostname:fips# rapid security authentication-key-chains key-chain macseckc1 key-chains key-chain key-chain macseckc2 key 1 secret New cak (sekrè): Retype new cak (sekrè): crypto-officer@hostname:fips# rapid security authentication-key-chains key-chain macseckc3 key 1 secret New cak (sekrè): Retype new cak
(sekrè):
crypto-officer@hostname:fips# rapid security authentication-key-chains key-chain macseckc1 key 5 secret New cak (sekrè): Retape nouvo cak (sekrè):
crypto-officer@hostname:fips# rapid sekirite otantifikasyon-key-chains key-chain macseckc1 key 6 secret New cak (sekrè):
Retape nouvo gato (sekrè):
crypto-officer@hostname:fips# rapid sekirite otantifikasyon-key-chains key-chain macseckc1 key 7 secret New cak (sekrè):
Retape nouvo gato (sekrè):
Asosye non keychain prepataje a ak asosyasyon koneksyon an.
[edit] crypto-officer@hostname:fips# mete sekirite macsec connectivity-asosyasyon CA1 pre-pataje-kle-chèn macsec-kc1
crypto-officer@hostname:fips# mete sekirite macsec koneksyon-asosyasyon CA1 konpanse 50 crypto-officer@hostname:fips# mete sekirite macsec koneksyon-asosyasyon CA1 cipher-suite gcm-aes-256
Mete valè opsyon tras yo.
[edit] crypto-officer@hostname:fips# mete opsyon trace macsec sekirite file MACsec.log crypto-officer@hostname:fips# mete opsyon trace macsec sekirite file gwosè 4000000000 crypto-officer@hostname:fips# mete sekirite macsec traceoptions flag tout

Bay tras la nan yon koòdone.
[edit] crypto-officer@hostname:fips# mete sekirite macsec interfaces koòdone-non traceoptions file mka_xe size 1g crypto-officer@hostname:fips# mete sekirite macsec interfaces koòdone-non traceoptions flag tout
Konfigure mòd sekirite MACsec kòm static-cak pou asosyasyon koneksyon an.
[edit] crypto-officer@hostname:fips# set security macsec connectivity-asosyasyon CA1 securitymode static-cak
Mete priyorite sèvè kle MKA la.
[edit] crypto-officer@hostname:fips# set security macsec connectivity-asosyasyon CA1 mka keyserver-priority 1

Mete entèval transmèt MKA la.
[edit] crypto-officer@hostname:fips# set security macsec connectivity-asosyasyon CA1 mka transmitinterval 3000
Pèmèt MKA an sekirite.
[edit] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 include-sci
Bay asosyasyon koneksyon an nan yon koòdone.
[edit] crypto-officer@hostname:fips# mete sekirite macsec interfaces interface-name connectivityassociation
CA1
crypto-officer@hostname:fips# set interfaces interface-name unit 0 family inet address 10.1.1.2/24

Konfigirasyon MACsec estatik pou Trafik Kouch 2
Pou konfigirasyon MACsec estatik pou trafik Kouch 2 ant aparèy R0 ak aparèy R1:
Nan R0:

Mete priyorite sèvè kle MKA la.
[edit] crypto-officer@hostname:fips# mete sekirite macsec koneksyon-asosyasyon CA1 mka kle sèvè-priyorite 1
Kreye modpas sekrè pou itilize. Li se yon seri chif egzadesimal jiska 64 karaktè nan longè. Modpas la ka gen espas si yo mete kòd karaktè a nan guillemets. Done sekrè keychain la itilize kòm yon CAK.
[edit] crypto-officer@hostname:fips# rapid security authentication-key-chains key-chain macseckc1 key 0 secret New cak (sekrè):
Retape nouvo gato (sekrè):
Pou egzanpample, valè kle sekrè a se 2345678922334455667788992223334123456789223344556677889922233341.

Asosye non keychain prepataje a ak asosyasyon koneksyon an. [edit] crypto-officer@hostname:fips# mete sekirite macsec connectivity-asosyasyon CA1 pre-sharedkey-chain macsec-kc1 crypto-officer@hostname:fips# mete sekirite macsec connectivity-asosyasyon CA1 konpanse 50 crypto-officer@hostname:fips # mete sekirite macsec koneksyon-asosyasyon CA1 cipher-suite gcm-aes-256
Mete valè opsyon tras yo. [edit] crypto-officer@hostname:fips# mete opsyon trace macsec sekirite file MACsec.log crypto-officer@hostname:fips# mete opsyon trace macsec sekirite file gwosè 4000000000 crypto-officer@hostname:fips# mete sekirite macsec traceoptions flag tout
Bay tras la nan yon koòdone. [edit] crypto-officer@hostname:fips# mete sekirite macsec interfaces koòdone-non traceoptions file mka_xe size 1g crypto-officer@hostname:fips# mete sekirite macsec interfaces koòdone-non traceoptions flag tout
Konfigure mòd sekirite MACsec kòm static-cak pou asosyasyon koneksyon an.
[edit] crypto-officer@hostname:fips# set security macsec connectivity-asosyasyon CA1 securitymode static-cak
Mete priyorite sèvè kle MKA la. [edit] crypto-officer@hostname:fips# mete sekirite macsec koneksyon-asosyasyon CA1 mka kle sèvè-priyorite 1
Mete entèval transmèt MKA la.
[edit] crypto-officer@hostname:fips# set security macsec connectivity-asosyasyon CA1 mka transmitinterval 3000
Pèmèt MKA an sekirite.
[edit] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 include-sci
Bay asosyasyon koneksyon an nan yon koòdone.
[edit] crypto-officer@hostname:fips# mete sekirite macsec interfaces interface-name connectivityassociation
CA1
Konfigirasyon VLAN tagging.
[edit] crypto-officer@hostname:fips# set interfaces interface-name1 fleksib-vlan-tagging
crypto-officer@hostname:fips# mete interfaces koòdone-name1 ankapsulasyon fleksib Ethernet-sèvis
crypto-officer@hostname:fips#
mete interfaces interface-name1 unit 100 encapsulation vlanbridge
crypto-officer@hostname:fips#
mete interfaces interface-name1 unit 100 vlan-id 100
crypto-officer@hostname:fips# set interfaces interface-name2 fleksib-vlan-tagging
crypto-officer@hostname:fips# mete interfaces koòdone-name2 ankapsulasyon fleksib Ethernet-sèvis
crypto-officer@hostname:fips#
mete interfaces interface-name2 unit 100 encapsulation vlanbridge
crypto-officer@hostname:fips#
mete interfaces interface-name2 unit 100 vlan-id 100
Konfigirasyon domèn pon.
[edit] crypto-officer@hostname:fips# set bridge-domains BD-110 domèn-tip pon
crypto-officer@hostname:fips# set bridge-domains BD-110 vlan-id 100
crypto-officer@hostname:fips# mete bridge-domains BD-110 koòdone koòdone-name1 100
crypto-officer@hostname:fips# mete bridge-domains BD-110 koòdone koòdone-name2 100

Nan R1:

Kreye modpas sekrè pou itilize. Li se yon seri chif egzadesimal jiska 64 karaktè nan longè. La
modpas la kapab genyen espas si yo mete kòd karaktè a nan guillemets. Chèn nan
done sekrè yo itilize kòm yon CAK.
[edit] crypto-officer@hostname:fips# rapid sekirite otantifikasyon-key-chains key-chain macseckc1 key 0 secret
Nouvo gato
(sekrè):
Retape nouvo gato
(sekrè):
Pou egzanpample, valè kle sekrè a se
2345678922334455667788992223334123456789223344556677889922233341.
Asosye non keychain prepataje a ak asosyasyon koneksyon an.
[edit] crypto-officer@hostname:fips# mete sekirite macsec koneksyon-asosyasyon CA1 pre-sharedkey-chain
macsec-kc1 crypto-officer@hostname:fips#
mete sekirite macsec koneksyon-asosyasyon CA1 konpanse 50
crypto-officer@hostname:fips# mete sekirite macsec koneksyon-asosyasyon CA1 cipher-suite gcm-aes-256
Mete valè opsyon tras yo.
[edit] crypto-officer@hostname:fips# mete opsyon trace macsec sekirite file MACsec.log
crypto-officer@hostname:fips# mete opsyon trace macsec sekirite file gwosè 4000000000
crypto-officer@hostname:fips# mete sekirite macsec traceoptions flag tout
Bay tras la nan yon koòdone.
[edit] crypto-officer@hostname:fips# mete sekirite macsec interfaces koòdone-non traceoptions file mka_xe gwosè 1g
crypto-officer@hostname:fips# mete sekirite macsec interfaces koòdone-non traceoptions
drapo tout
Konfigure mòd sekirite MACsec kòm static-cak pou asosyasyon koneksyon an.
[edit] crypto-officer@hostname:fips# mete sekirite macsec koneksyon-asosyasyon CA1 sekirite mòd
static-cak
Mete priyorite sèvè kle MKA la.
[edit] crypto-officer@hostname:fips# mete sekirite macsec koneksyon-asosyasyon CA1 mka kle sèvè-priyorite 1
Mete entèval transmèt MKA la.
[edit] crypto-officer@hostname:fips# set security macsec connectivity-asosyasyon CA1 mka transmitinterval
3000
Pèmèt MKA an sekirite.
[edit] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 include-sci
Bay asosyasyon koneksyon an nan yon koòdone.
[edit] crypto-officer@hostname:fips# set security macsec interfaces interface-name connectivityassociation CA1
Konfigirasyon VLAN tagging.
[edit] crypto-officer@hostname:fips# set interfaces interface-name1 fleksib-vlan-tagging
crypto-officer@hostname:fips# mete interfaces koòdone-name1 ankapsulasyon fleksib Ethernet-sèvis
crypto-officer@hostname:fips# set interfaces interface-name1 unit 100 encapsulation vlanbridge
crypto-officer@hostname:fips#
mete interfaces interface-name1 unit 100 vlan-id 100
crypto-officer@hostname:fips# set interfaces interface-name2 fleksib-vlan-tagging
crypto-officer@hostname:fips# mete interfaces koòdone-name2 ankapsulasyon fleksib Ethernet-sèvis
crypto-officer@hostname:fips#
mete interfaces interface-name2 unit 100 encapsulation vlanbridge
crypto-officer@hostname:fips#
mete interfaces interface-name2 unit 100 vlan-id 100
Konfigirasyon domèn pon.
[edit] crypto-officer@hostname:fips# set bridge-domains BD-110 domèn-tip pon
crypto-officer@hostname:fips# set bridge-domains BD-110 vlan-id 100
crypto-officer@hostname:fips# mete bridge-domains BD-110 koòdone koòdone-name1 100
crypto-officer@hostname:fips# mete bridge-domains BD-110 koòdone koòdone-name2 100

Konfigirasyon MACsec ak keychain pou Kouch 2 Trafik

Pou konfigirasyon MACsec ak keychain pou trafik ICMP ant aparèy R0 ak aparèy R1:
Nan R0:

Bay yon valè tolerans nan chèn kle otantifikasyon an.
[edit] crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 tolerance 20
Kreye modpas sekrè pou itilize. Li se yon seri chif egzadesimal jiska 64 karaktè nan longè. Modpas la ka gen espas si yo mete kòd karaktè a nan guillemets. Done sekrè keychain la itilize kòm yon CAK.
[edit] crypto-officer@hostname:fips# mete sekirite otantifikasyon-key-chains key-chain macsec-kc1
kle 0 kle-non 2345678922334455667788992223334445556667778889992222333344445551
crypto-officer@hostname:fips# mete sekirite otantifikasyon-key-chains key-chain macsec-kc1
kle 0 kòmanse-tan 2018-03-20.20:35
crypto-officer@hostname:fips# mete sekirite otantifikasyon-key-chains key-chain macsec-kc1
kle 1 kle-non 2345678922334455667788992223334445556667778889992222333344445552
crypto-officer@hostname:fips# mete sekirite otantifikasyon-key-chains key-chain macsec-kc1
kle 1 kòmanse-tan 2018-03-20.20:37
crypto-officer@hostname:fips# mete sekirite otantifikasyon-key-chains key-chain macsec-kc1
kle 2 kle-non 2345678922334455667788992223334445556667778889992222333344445553
crypto-officer@hostname:fips# mete sekirite otantifikasyon-key-chains key-chain macsec-kc1
kle 2 kòmanse-tan 2018-03-20.20:39
crypto-officer@hostname:fips# mete sekirite otantifikasyon-key-chains key-chain macsec-kc1
kle 3 kle-non 2345678922334455667788992223334445556667778889992222333344445554
crypto-officer@hostname:fips# mete sekirite otantifikasyon-key-chains key-chain macsec-kc1
kle 3 kòmanse-tan 2018-03-20.20:41
crypto-officer@hostname:fips# mete sekirite otantifikasyon-key-chains key-chain macsec-kc1
kle 4 kle-non 2345678922334455667788992223334445556667778889992222333344445555
crypto-officer@hostname:fips# mete sekirite otantifikasyon-key-chains key-chain macsec-kc1
kle 4 kòmanse-tan 2018-03-20.20:43
crypto-officer@hostname:fips# mete sekirite otantifikasyon-key-chains key-chain macsec-kc1
kle 5 kle-non 2345678922334455667788992223334445556667778889992222333344445556
crypto-officer@hostname:fips# mete sekirite otantifikasyon-key-chains key-chain macsec-kc1
kle 5 kòmanse-tan 2018-03-20.20:45
crypto-officer@hostname:fips# mete sekirite otantifikasyon-key-chains key-chain macsec-kc1
kle 6 kle-non 2345678922334455667788992223334445556667778889992222333344445557
crypto-officer@hostname:fips# mete sekirite otantifikasyon-key-chains key-chain macsec-kc1
kle 6 kòmanse-tan 2018-03-20.20:47
crypto-officer@hostname:fips# mete sekirite otantifikasyon-key-chains key-chain macsec-kc1
kle 7 kle-non 2345678922334455667788992223334445556667778889992222333344445558
crypto-officer@hostname:fips# mete sekirite otantifikasyon-key-chains key-chain macsec-kc1
kle 7 kòmanse-tan 2018-03-20.20:49
Sèvi ak lòd rapid la pou antre yon valè kle sekrè. Pou egzanpample, valè kle sekrè a se
2345678922334455667788992223334123456789223344556677889922233341.
[edit] crypto-officer@hostname:fips# rapid sekirite otantifikasyon-key-chains key-chain macseckc1 key 0 secret
Nouvo gato
(sekrè):
Retape nouvo gato
(sekrè):
crypto-officer@hostname:fips#
rapid sekirite otantifikasyon-kle-chèn kle-chèn macseckc1 kle 1 sekrè
Nouvo gato
(sekrè):
Retape nouvo gato
(sekrè):
crypto-officer@hostname:fips# rapid sekirite otantifikasyon-key-chains key-chain macseckc1 key 2 secret
Nouvo gato
(sekrè):
Retape nouvo gato
(sekrè):
crypto-officer@hostname:fips#
rapid sekirite otantifikasyon-kle-chèn kle-chèn macseckc1 kle 3 sekrè
Nouvo gato
(sekrè):
Retape nouvo gato
(sekrè):
crypto-officer@hostname:fips#
rapid sekirite otantifikasyon-kle-chèn kle-chèn macseckc1 kle 4 sekrè
Nouvo gato
(sekrè):
Retape nouvo gato
(sekrè):
crypto-officer@hostname:fips#
rapid sekirite otantifikasyon-kle-chèn kle-chèn macseckc1 kle 5 sekrè
Nouvo gato
(sekrè):
Retape nouvo gato
(sekrè):
crypto-officer@hostname:fips#
rapid sekirite otantifikasyon-kle-chèn kle-chèn macseckc1 kle 6 sekrè
Nouvo gato
(sekrè):
Retape nouvo gato
(sekrè):
crypto-officer@hostname:fips#
rapid sekirite otantifikasyon-kle-chèn kle-chèn macseckc1 kle 7 sekrè
Nouvo gato
(sekrè):
Retape nouvo gato
(sekrè):
Asosye non keychain prepataje a ak asosyasyon koneksyon an.
[edit] crypto-officer@hostname:fips# mete sekirite macsec koneksyon-asosyasyon CA1 pre-sharedkey-chain
macsec-kc1
crypto-officer@hostname:fips#
mete sekirite macsec koneksyon-asosyasyon CA1 chifre-suite
gcm-aes-256
Mete valè opsyon tras yo.
[edit] crypto-officer@hostname:fips# mete opsyon trace macsec sekirite file MACsec.log
crypto-officer@hostname:fips# mete opsyon trace macsec sekirite file gwosè 4000000000
crypto-officer@hostname:fips# mete sekirite macsec traceoptions flag tout
Bay tras la nan yon koòdone.
[edit] crypto-officer@hostname:fips# mete sekirite macsec interfaces koòdone-non traceoptions
file mka_xe gwosè 1g
crypto-officer@hostname:fips# mete sekirite macsec interfaces koòdone-non traceoptions
drapo tout
Konfigure mòd sekirite MACsec kòm static-cak pou asosyasyon koneksyon an.
[edit] crypto-officer@hostname:fips# mete sekirite macsec koneksyon-asosyasyon CA1 sekirite mòd
static-cak
Mete priyorite sèvè kle MKA la.
[edit] crypto-officer@hostname:fips# mete sekirite macsec koneksyon-asosyasyon CA1 mka kle sèvè-priyorite 1
Mete entèval transmèt MKA la.
[edit] crypto-officer@hostname:fips# set security macsec connectivity-asosyasyon CA1 mka transmitinterval
3000
Pèmèt MKA an sekirite.
[edit] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 include-sci
Bay asosyasyon koneksyon an nan yon koòdone.
[edit] crypto-officer@hostname:fips# mete sekirite macsec interfaces interface-name connectivityassociation
CA1
Konfigirasyon VLAN tagging.
[edit] crypto-officer@hostname:fips# set interfaces interface-name1 fleksib-vlan-tagging
crypto-officer@hostname:fips# mete interfaces interface-name1 encapsulation flexibleethernet-services
crypto-officer@hostname:fips#
mete interfaces interface-name1 unit 100 encapsulation vlanbridge
crypto-officer@hostname:fips#
mete interfaces interface-name1 unit 100 vlan-id 100
crypto-officer@hostname:fips# set interfaces interface-name2 fleksib-vlan-tagging
crypto-officer@hostname:fips# mete interfaces interface-name2 encapsulation flexibleethernet-services
crypto-officer@hostname:fips#
mete interfaces interface-name2 unit 100 encapsulation vlanbridge
crypto-officer@hostname:fips#
mete interfaces interface-name2 unit 100 vlan-id 100
Konfigirasyon domèn pon.
[edit] crypto-officer@hostname:fips# set bridge-domains BD-110 domèn-tip pon
crypto-officer@hostname:fips# set bridge-domains BD-110 vlan-id 100
crypto-officer@hostname:fips# mete bridge-domains BD-110 koòdone koòdone-name1 100
crypto-officer@hostname:fips# mete bridge-domains BD-110 koòdone koòdone-name2 100

Nan R1:

Bay yon valè tolerans nan chèn kle otantifikasyon an.
[edit] crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 tolerance 20
Kreye modpas sekrè pou itilize. Li se yon seri chif egzadesimal jiska 64 karaktè nan longè. Modpas la ka gen espas si yo mete kòd karaktè a nan guillemets. Done sekrè keychain la itilize kòm yon CAK.
[edit] crypto-officer@hostname:fips# mete sekirite otantifikasyon-key-chains key-chain macsec-kc1
kle 0 kle-non 2345678922334455667788992223334445556667778889992222333344445551
crypto-officer@hostname:fips# mete sekirite otantifikasyon-key-chains key-chain macsec-kc1
kle 0 kòmanse-tan 2018-03-20.20:35
crypto-officer@hostname:fips# mete sekirite otantifikasyon-key-chains key-chain macsec-kc1
kle 1 kle-non 2345678922334455667788992223334445556667778889992222333344445552
crypto-officer@hostname:fips# mete sekirite otantifikasyon-key-chains key-chain macsec-kc1
kle 1 kòmanse-tan 2018-03-20.20:37
crypto-officer@hostname:fips# mete sekirite otantifikasyon-key-chains key-chain macsec-kc1
kle 2 kle-non 2345678922334455667788992223334445556667778889992222333344445553
crypto-officer@hostname:fips# mete sekirite otantifikasyon-key-chains key-chain macsec-kc1
kle 2 kòmanse-tan 2018-03-20.20:39
crypto-officer@hostname:fips# mete sekirite otantifikasyon-key-chains key-chain macsec-kc1
kle 3 kle-non 2345678922334455667788992223334445556667778889992222333344445554
crypto-officer@hostname:fips# mete sekirite otantifikasyon-key-chains key-chain macsec-kc1
kle 3 kòmanse-tan 2018-03-20.20:41
crypto-officer@hostname:fips# mete sekirite otantifikasyon-key-chains key-chain macsec-kc1
kle 4 kle-non 2345678922334455667788992223334445556667778889992222333344445555
crypto-officer@hostname:fips# mete sekirite otantifikasyon-key-chains key-chain macsec-kc1
kle 4 kòmanse-tan 2018-03-20.20:43
crypto-officer@hostname:fips# mete sekirite otantifikasyon-key-chains key-chain macsec-kc1
kle 5 kle-non 2345678922334455667788992223334445556667778889992222333344445556
crypto-officer@hostname:fips# mete sekirite otantifikasyon-key-chains key-chain macsec-kc1
kle 5 kòmanse-tan 2018-03-20.20:45
crypto-officer@hostname:fips# mete sekirite otantifikasyon-key-chains key-chain macsec-kc1
kle 6 kle-non 2345678922334455667788992223334445556667778889992222333344445557
crypto-officer@hostname:fips# mete sekirite otantifikasyon-key-chains key-chain macsec-kc1
kle 6 kòmanse-tan 2018-03-20.20:47
crypto-officer@hostname:fips# mete sekirite otantifikasyon-key-chains key-chain macsec-kc1
kle 7 kle-non 2345678922334455667788992223334445556667778889992222333344445558
crypto-officer@hostname:fips# mete sekirite otantifikasyon-key-chains key-chain macsec-kc1
kle 7 kòmanse-tan 2018-03-20.20:49
Sèvi ak lòd rapid la pou antre yon valè kle sekrè. Pou egzanpample, valè kle sekrè a se
2345678922334455667788992223334123456789223344556677889922233341.
[edit] crypto-officer@hostname:fips# rapid sekirite otantifikasyon-key-chains key-chain macseckc1 key 0 secret
Nouvo gato
(sekrè):
Retape nouvo gato
(sekrè):
crypto-officer@hostname:fips#
rapid sekirite otantifikasyon-kle-chèn kle-chèn macseckc1 kle 1 sekrè
Nouvo gato
(sekrè):
Retape nouvo gato (sekrè):
crypto-officer@hostname:fips# rapid sekirite otantifikasyon-key-chains key-chain macseckc1 key 2 secret
Nouvo gato
(sekrè):
Retape nouvo gato
(sekrè):
crypto-officer@hostname:fips#
rapid sekirite otantifikasyon-kle-chèn kle-chèn macseckc1 kle 3 sekrè
Nouvo gato
(sekrè):
Retape nouvo gato
(sekrè):
crypto-officer@hostname:fips#
rapid sekirite otantifikasyon-kle-chèn kle-chèn macseckc1 kle 4 sekrè
Nouvo gato
(sekrè):
Retape nouvo gato
(sekrè):
crypto-officer@hostname:fips#
rapid sekirite otantifikasyon-kle-chèn kle-chèn macseckc1 kle 5 sekrè
Nouvo gato
(sekrè):
Retape nouvo gato
(sekrè):
crypto-officer@hostname:fips#
rapid sekirite otantifikasyon-kle-chèn kle-chèn macseckc1 kle 6 sekrè
Nouvo gato
(sekrè):
Retape nouvo gato
(sekrè):
crypto-officer@hostname:fips#
rapid sekirite otantifikasyon-kle-chèn kle-chèn macseckc1 kle 7 sekrè
Nouvo gato
(sekrè):
Retape nouvo gato (sekrè):
Asosye non keychain prepataje a ak asosyasyon koneksyon an.
[edit] crypto-officer@hostname:fips# mete sekirite macsec koneksyon-asosyasyon CA1 pre-sharedkey-chain
macsec-kc1
crypto-officer@hostname:fips#
mete sekirite macsec koneksyon-asosyasyon CA1 chifre-suite
gcm-aes-256
Mete valè opsyon tras yo.
[edit] crypto-officer@hostname:fips# mete opsyon trace macsec sekirite file MACsec.log
crypto-officer@hostname:fips# mete opsyon trace macsec sekirite file gwosè 4000000000
crypto-officer@hostname:fips# mete sekirite macsec traceoptions flag tout
Bay tras la nan yon koòdone.
[edit] crypto-officer@hostname:fips# mete sekirite macsec interfaces koòdone-non traceoptions
file mka_xe gwosè 1g
crypto-officer@hostname:fips# mete sekirite macsec interfaces koòdone-non traceoptions
drapo tout
Konfigure mòd sekirite MACsec kòm static-cak pou asosyasyon koneksyon an.
[edit] crypto-officer@hostname:fips# mete sekirite macsec koneksyon-asosyasyon CA1 sekirite mòd
static-cak
Mete priyorite sèvè kle MKA la.
[edit] crypto-officer@hostname:fips# mete sekirite macsec koneksyon-asosyasyon CA1 mka keyserver-priority
Mete entèval transmèt MKA la.
[edit] crypto-officer@hostname:fips# set security macsec connectivity-asosyasyon CA1 mka transmitinterval
3000
Pèmèt MKA an sekirite.
[edit] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 include-sci
Bay asosyasyon koneksyon an nan yon koòdone.
[edit] crypto-officer@hostname:fips# mete sekirite macsec interfaces interface-name connectivityassociation
CA1
Konfigirasyon VLAN tagging.
[edit] crypto-officer@hostname:fips# set interfaces interface-name1 fleksib-vlan-tagging
crypto-officer@hostname:fips# mete interfaces interface-name1 encapsulation flexibleethernet-services
crypto-officer@hostname:fips#
mete interfaces interface-name1 unit 100 encapsulation vlanbridge
crypto-officer@hostname:fips#
mete interfaces interface-name1 unit 100 vlan-id 100
crypto-officer@hostname:fips# set interfaces interface-name2 fleksib-vlan-tagging
crypto-officer@hostname:fips# mete interfaces koòdone-name2 ankapsulasyon fleksib Ethernet-sèvis
crypto-officer@hostname:fips#
mete interfaces interface-name2 unit 100 encapsulation vlanbridge
crypto-officer@hostname:fips#
mete interfaces interface-name2 unit 100 vlan-id 100
Konfigirasyon domèn pon.
[edit] crypto-officer@hostname:fips# set bridge-domains BD-110 domèn-tip pon
crypto-officer@hostname:fips# set bridge-domains BD-110 vlan-id 100
crypto-officer@hostname:fips# mete bridge-domains BD-110 koòdone koòdone-name1 100
crypto-officer@hostname:fips# mete bridge-domains BD-110 koòdone koòdone-name2 100

Konfigirasyon Logging Evènman

Evènman Logging Overview
Konfigirasyon evalye a mande pou odit chanjman nan konfigirasyon atravè jounal sistèm lan.
Anplis de sa, Junos OS kapab:

Voye repons otomatik nan evènman odit (kreyasyon antre syslog).
Pèmèt administratè otorize yo egzaminen mòso kontwòl kontab yo.
Voye odit files pou serveurs eksteryè.
Pèmèt administratè otorize yo retounen sistèm nan nan yon eta li te ye.

Logging pou konfigirasyon evalye a dwe pran evènman sa yo:

Chanjman nan done kle sekrè nan konfigirasyon an.
Chanjman komèt.
Konekte / dekonekte itilizatè yo.
Demaraj sistèm.
Si w pa etabli yon sesyon SSH.
Etabli/revokasyon yon sesyon SSH.
Chanjman nan tan (sistèm).
Mete fen nan yon sesyon aleka pa mekanis bloke sesyon an.
Mete fen nan yon sesyon entèaktif.

Anplis de sa, Juniper Networks rekòmande pou antre tou:

Kapte tout chanjman nan konfigirasyon an.
Sere enfòmasyon anrejistreman adistans.

Konfigirasyon Logging evènman nan yon lokal File
Ou ka configured estoke enfòmasyon odit nan yon lokal file ak deklarasyon syslog la. Ansyen sa aample magazen mòso bwa nan yon file yo te rele Odit-File:
[edit sistèm] syslog {
file Odit-File;
}
Entèprete mesaj evènman yo
Pwodiksyon sa a montre kòmample mesaj evènman an.
27 fevriye 02:33:04 bm-a mgd[6520]: UI_LOGIN_EVENT: Itilizatè 'security-officer' konekte, klas 'j-superuser'
[6520],
ssh-koneksyon ", kliyan-mòd
'cli'
27 fevriye 02:33:49 bm-a mgd[6520]: UI_DBASE_LOGIN_EVENT: Itilizatè 'security-ofiser' k ap antre nan konfigirasyon
mòd
27 fevriye 02:38:29 bm-a mgd[6520]: UI_CMDLINE_READ_LINE: Itilizatè 'security-officier', kòmand 'run show'
boutèy demi lit
Jounal odit | grep LOGIN
Tablo 4 nan paj 69 dekri jaden yo pou yon mesaj evènman. Si sèvis piblik anrejistreman sistèm lan pa ka detèmine valè a nan yon jaden an patikilye, yon tire (-) parèt pito.
Tablo 4: Jaden nan Mesaj Evènman yo

Jaden	Deskripsyon	Examples
fwaamp	Tan lè mesaj la te pwodwi, nan youn nan de reprezantasyon: • MMM-DD HH:MM:SS.MS+/-HH:MM, se mwa, jou, èdtan, minit, segonn ak milisgond nan lè lokal la. Lè ak minit ki swiv siy plis (+) oswa siy mwens (-) se konpanse nan zòn tan lokal la ak Tan Inivèsèl Kowòdone (UTC). • YYYY-MM-DDTHH:MM:SS.MSZ se ane, mwa, jou, lè, minit, segonn ak milisgond nan UTC.	Feb 27 02:33:04 se fwa aamp eksprime kòm lè lokal nan peyi Etazini. 2012-02-27T03:17:15.713Z is 2:33 AM UTC sou 27 fevriye 2012.
non lame	Non animatè a ki te orijinèlman pwodwi mesaj la.	routeur 1
pwosesis	Non pwosesis Junos OS ki te pwodwi mesaj la.	mgd
processID	ID pwosesis UNIX (PID) nan pwosesis Junos OS ki te pwodwi mesaj la.	4153
TAG	Mesaj boutèy demi lit sistèm OS Junos tag, ki inikman idantifye mesaj la.	UI_DBASE_LOGOUT_EVENT
non itilizatè	Non itilizatè itilizatè ki kòmanse evènman an.	"admin"
mesaj-tèks	Deskripsyon nan lang angle evènman an.	mete: [sistèm reyon-sèvè 1.2.3.4 sekrè]

Anrejistre chanjman nan done sekrè
Sa ki annapre yo se ansyenamples nan mòso kontwòl kontab evènman ki chanje done sekrè yo. Chak fwa gen yon chanjman nan konfigirasyon an example, evènman syslog la ta dwe pran mòso bwa ki anba yo:
Jul 24 17:43:28 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: Itilizatè 'admin' mete:
[sistèm radius-server 1.2.3.4 sekrè] Jul 24 17:43:28 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: Itilizatè 'admin' mete:
[Systèm konekte itilizatè admin otantifikasyon ancrypted-password] 24 jiyè 17:43:28 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: Itilizatè 'admin' mete:
[System login user admin2 othentication encrypted-password] Chak fwa yon konfigirasyon mete ajou oswa chanje, syslog la ta dwe pran mòso sa yo:
Jul 24 18:29:09 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: 'admin' itilizatè ranplase:
[sistèm radius-server 1.2.3.4 sekrè] Jul 24 18:29:09 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: Itilizatè 'admin' ranplase:
[Konekte sistèm itilizatè admin otantifikasyon ancrypted-modpas] 24 jiyè 18:29:09 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: Itilizatè 'admin' ranplase:
[Systèm login itilizatè admin otantifikasyon chiffres-modpas] Pou plis enfòmasyon sou konfigirasyon paramèt ak jere log files, gade Junos OS System
Log Messages Referans.
Konekte ak Dekonekte Evènman Sèvi ak SSH
Mesaj journal sistèm yo pwodwi chak fwa yon itilizatè avèk siksè oswa san siksè eseye aksè SSH. Evènman dekonekte yo tou anrejistre. Pou egzanpampLè sa a, mòso bwa sa yo se rezilta de tantativ otantifikasyon echwe, Lè sa a, yon sèl siksè, epi finalman yon dekonekte:
Dec 20 23:17:35 bilbo sshd[16645]: echwe modpas pou op soti nan 172.17.58.45 pò 1673 ssh2
Dec 20 23:17:42 bilbo sshd[16645]: echwe modpas pou op soti nan 172.17.58.45 pò 1673 ssh2
Dec 20 23:17:53 bilbo sshd[16645]: Aksepte modpas pou op soti nan 172.17.58.45 pò 1673 ssh2
Dec 20 23:17:53 bilbo mgd[16648]: UI_AUTH_EVENT: Itilizatè otantifye 'op' nan nivo pèmisyon
'j-operatè'
Dec 20 23:17:53 bilbo mgd[16648]: UI_LOGIN_EVENT: Itilizatè 'op' konekte, klas 'j-operator' [16648] Dec 20 23:17:56 bilbo mgd[16648]: UI_CMDLINE_READ_LINE: Itilizatè 'op', kòmand 'kite'
Dec 20 23:17:56 bilbo mgd[16648]: UI_LOGOUT_EVENT: Itilizatè 'op' dekonekte
Anrejistreman nan Odit Startup
Enfòmasyon sou odit ki anrejistre a gen ladan demaraj Junos OS. Sa a nan vire idantifye evènman yo demaraj nan sistèm kontwòl kontab la, ki pa ka poukont yo enfim oswa aktive. Pou egzanpample, si Junos OS rekòmanse, jounal odit la gen enfòmasyon sa yo:
Dec 20 23:17:35 bilbo syslogd: sòti sou siyal 14
Dec 20 23:17:35 bilbo syslogd: rekòmanse
Dec 20 23:17:35 bilbo syslogd /kernel: Dec 20 23:17:35 init: syslogd (PID 19128) sòti ak
estati = 1
Dec 20 23:17:42 bilbo /kernel:
Dec 20 23:17:53 init: syslogd (PID 19200) te kòmanse

Fè tès pwòp tèt ou sou yon aparèy

Konprann Fip Self-Tès
Modil kriptografik la fè respekte règ sekirite pou asire ke Junos Networks Junos opere
sistèm (Junos OS) nan mòd Fip satisfè kondisyon sekirite Fip 140-2 Nivo 1. Pou valide
pwodiksyon algoritm kriptografik apwouve pou Fip ak teste entegrite kèk modil sistèm,
aparèy la fè seri sa yo nan tès repons konnen (KAT) pwòp tèt ou-tès:

kernel_kats—KAT pou woutin kriptografik nwayo
md_kats—KAT pou manm ak libc
openssl_kats—KAT pou aplikasyon kriptografik OpenSSL
quicksec_kats—KAT pou aplikasyon kriptografik QuickSec Toolkit
ssh_ipsec_kats—KAT pou aplikasyon kriptografik SSH IPsec Toolkit
macsec_kats—KAT pou aplikasyon kriptografik MACsec

Tès pwòp tèt yo KAT yo fèt otomatikman nan demaraj. Tès pwòp tèt ou kondisyonèl yo fèt tou otomatikman pou verifye pakè lojisyèl ki siyen nimerik, nimewo o aza ki pwodui, pè kle RSA ak ECDSA, ak kle yo antre manyèlman.
Si KAT yo konplete avèk siksè, sistèm log (syslog) file se mete ajou pou montre tès yo te egzekite yo.
Si gen echèk KAT, aparèy la ekri detay yo nan yon jounal sistèm file, antre nan eta erè Fip (panik) ak rdemare.
La file montre /var/log/messages kòmand montre boutèy demi lit sistèm lan.
Ou kapab tou fè tès pwòp tèt ou Fip lè w bay lòd rekòmanse vmhost demann. Ou ka wè mòso bwa tèt tès Fip yo sou konsole a lè sistèm nan ap vini.
Example: Konfigirasyon Fip Self-Tès
Ansyen sa aample montre kijan pou konfigirasyon tès pwòp tèt ou Fip yo kouri detanzantan.
Kondisyon pyès ki nan konpitè ak lojisyèl

Ou dwe gen privilèj administratif pou konfigirasyon tès pwòp tèt ou Fip yo.
Aparèy la dwe kouri vèsyon evalye Junos OS nan lojisyèl mòd Fip.

Plis paseview
Tès pwòp tèt ou Fip la konsiste de seri tès repons li te ye yo (KATs):

kernel_kats—KAT pou woutin kriptografik nwayo
md_kats—KAT pou libmd ak libc
quicksec_kats—KAT pou aplikasyon kriptografik QuickSec Toolkit
openssl_kats—KAT pou aplikasyon kriptografik OpenSSL
ssh_ipsec_kats—KAT pou aplikasyon kriptografik SSH IPsec Toolkit
macsec_kats—KAT pou aplikasyon kriptografik MACsec
Nan ansyen sa aampLè sa a, tès pwòp tèt ou Fip la egzekite a 9:00 AM nan vil Nouyòk, Etazini, chak Mèkredi.

REMAK: Olye de tès chak semèn, ou ka configured tès chak mwa lè w enkli deklarasyon mwa a ak jou mwa a.
Lè yon tès pwòp tèt ou KAT echwe, yo ekri yon mesaj nan log sistèm yo file ak detay sou echèk tès la. Lè sa a, sistèm nan panike ak rdemare.
CLI Konfigirasyon rapid
Pou byen vit konfigirasyon ansyen sa aample, kopye kòmandman sa yo, kole yo nan yon tèks file, retire nenpòt kase liy, chanje nenpòt detay ki nesesè pou matche ak konfigirasyon rezo w la, epi answit kopye epi kole kòmandman yo nan CLI a nan nivo yerachi [edite].
mete sistèm fips pwòp tèt ou tès peryodik kòmanse-time 09:00
mete sistèm fips pwòp tèt ou tès peryodik jou nan semèn 3
Etap-pa-etap Pwosedi
Pou konfigirasyon tès pwòp tèt ou Fip la, konekte sou aparèy la ak kalifikasyon kriptografik yo:

Konfigure tèt-tès Fip pou egzekite a 9:00 AM chak Mèkredi.
[edit sistèm fips tèt-tès] crypto-officer@hostname:fips# fikse peryodik lè kòmanse 09:00
crypto-officer@hostname:fips# mete peryodik jou nan semèn 3
Si w fini konfigirasyon aparèy la, komèt konfigirasyon an.
[edit sistèm fips tèt-tès] crypto-officer@hostname:fips# komèt

Rezilta yo
Soti nan mòd konfigirasyon, konfime konfigirasyon ou a lè w bay lòd sistèm montre. Si pwodiksyon an pa montre konfigirasyon an gen entansyon, repete enstriksyon yo nan egzanp sa aample pou korije konfigirasyon an.
crypto-officer@hostname:fips# montre sistèm
fip {
tès pwòp tèt ou {
peryodik {
lè kòmanse "09:00";
jou nan semèn 3;
}
}
}

Verifikasyon

Konfime ke konfigirasyon an ap travay byen.
Verifikasyon Fip Self-Tès la

Objektif
Verifye ke oto-tès Fip la aktive.
Aksyon
Kouri tèt-tès Fip la manyèlman pa bay sistèm demann Fips pwòp tèt-tès lòd la oswa rdemare aparèy la.
Apre yo fin bay sistèm demann lan komand pwòp tèt ou tès la oswa rdemare aparèy la, sistèm nan boutèy demi lit file mete ajou pou montre KAT yo egzekite yo. Pou view boutèy demi lit sistèm lan file, bay la file montre /var/log/ mesaj lòd.
itilizatè@lame# file montre /var/log/messages
RE KATS:
mgd: Kouri Fip Self-tès
mgd: Tès nwayo KATS:
mgd: NIST 800-90 HMAC DRBG Tès Repons Konnen: Pase
mgd: DES3-CBC Tès Repons Konnen: Pase
mgd: HMAC-SHA1 Tès Repons Konnen: Pase
mgd: HMAC-SHA2-256 Tès Repons Konnen: Pase
mgd: SHA-2-384 Tès Repons Konnen: Pase
mgd: SHA-2-512 Tès Repons Konnen: Pase
mgd: AES128-CMAC Tès Repons Konnen: Pase
mgd: AES-CBC Tès Repons Konnen: Pase
mgd: Tès MACSec KATS:
mgd: AES128-CMAC Tès Repons Konnen: Pase
mgd: AES256-CMAC Tès Repons Konnen: Pase
mgd: AES-ECB Tès Repons Konnen: Pase
mgd: AES-KEYWRAP Tès Repons Konnen: Pase
mgd: KBKDF Tès Repons Konnen: Pase
mgd: Tès libmd KATS:
mgd: HMAC-SHA1 Tès Repons Konnen: Pase
mgd: HMAC-SHA2-256 Tès Repons Konnen: Pase
mgd: SHA-2-512 Tès Repons Konnen: Pase
mgd: Tès OpenSSL KATS:
mgd: NIST 800-90 HMAC DRBG Tès Repons Konnen: Pase
mgd: Fip ECDSA Tès Repons Konnen: Pase
mgd: Fip ECDH Tès Repons Konnen: Pase
mgd: Fip RSA Tès Repons Konnen: Pase
mgd: DES3-CBC Tès Repons Konnen: Pase
mgd: HMAC-SHA1 Tès Repons Konnen: Pase
mgd: HMAC-SHA2-224 Tès Repons Konnen: Pase
mgd: HMAC-SHA2-256 Tès Repons Konnen: Pase
mgd: HMAC-SHA2-384 Tès Repons Konnen: Pase
mgd: HMAC-SHA2-512 Tès Repons Konnen: Pase
mgd: AES-CBC Tès Repons Konnen: Pase
mgd: AES-GCM Tès Repons Konnen: Pase
mgd: ECDSA-SIGN Tès Repons Konnen: Pase
mgd: KDF-IKE-V1 Tès Repons Konnen: Pase
mgd: KDF-SSH-SHA256 Tès Repons Konnen: Pase
mgd: KAS-ECC-EPHEM-UNIFIED-NOKC Tès Repons Konnen: Pase
mgd: KAS-FFC-EPHEM-NOKC Tès Repons Konnen: Pase
mgd: Tès QuickSec 7.0 KATS:
mgd: NIST 800-90 HMAC DRBG Tès Repons Konnen: Pase
mgd: DES3-CBC Tès Repons Konnen: Pase
mgd: HMAC-SHA1 Tès Repons Konnen: Pase
mgd: HMAC-SHA2-224 Tès Repons Konnen: Pase
mgd: HMAC-SHA2-256 Tès Repons Konnen: Pase
mgd: HMAC-SHA2-384 Tès Repons Konnen: Pase
mgd: HMAC-SHA2-512 Tès Repons Konnen: Pase
mgd: AES-CBC Tès Repons Konnen: Pase
mgd: AES-GCM Tès Repons Konnen: Pase
mgd: SSH-RSA-ENC Tès Repons Konnen: Pase
mgd: SSH-RSA-SIGN Tès Repons Konnen: Pase
mgd: SSH-ECDSA-SIGN Tès Repons Konnen: Pase
mgd: KDF-IKE-V1 Tès Repons Konnen: Pase
mgd: KDF-IKE-V2 Tès Repons Konnen: Pase
mgd: Tès QuickSec KATS:
mgd: NIST 800-90 HMAC DRBG Tès Repons Konnen: Pase
mgd: DES3-CBC Tès Repons Konnen: Pase
mgd: HMAC-SHA1 Tès Repons Konnen: Pase
mgd: HMAC-SHA2-224 Tès Repons Konnen: Pase
mgd: HMAC-SHA2-256 Tès Repons Konnen: Pase
mgd: HMAC-SHA2-384 Tès Repons Konnen: Pase
mgd: HMAC-SHA2-512 Tès Repons Konnen: Pase
mgd: AES-CBC Tès Repons Konnen: Pase
mgd: AES-GCM Tès Repons Konnen: Pase
mgd: SSH-RSA-ENC Tès Repons Konnen: Pase
mgd: SSH-RSA-SIGN Tès Repons Konnen: Pase
mgd: KDF-IKE-V1 Tès Repons Konnen: Pase
mgd: KDF-IKE-V2 Tès Repons Konnen: Pase
mgd: Tès SSH IPsec KATS:
mgd: NIST 800-90 HMAC DRBG Tès Repons Konnen: Pase
mgd: DES3-CBC Tès Repons Konnen: Pase
mgd: HMAC-SHA1 Tès Repons Konnen: Pase
mgd: HMAC-SHA2-256 Tès Repons Konnen: Pase
mgd: AES-CBC Tès Repons Konnen: Pase
mgd: SSH-RSA-ENC Tès Repons Konnen: Pase
mgd: SSH-RSA-SIGN Tès Repons Konnen: Pase
mgd: KDF-IKE-V1 Tès Repons Konnen: Pase
mgd: Tès file entegrite:
mgd: File Entegrite Tès Repons Konnen: Pase
mgd: Tès entegrite kript:
mgd: Entegrite Crypto Tès Repons Konnen: Pase
mgd: Atann yon exec AuthenticatiMAC/veriexec: pa gen anprent (file=/sbin/kats/cannot-exec
fsid=246 fileid=49356 gen=1 uid=0 pid=9384 ppid=9354 gppid=9352) sou erè...
mgd: /sbin/kats/run-tests: /sbin/kats/cannot-exec: Erè otantifikasyon
mgd: Fip Self-tès yo te pase
LC KATS:
12 septanm 10:50:44 network_macsec_kats_input xe- /0/0:0:
non> pic:0 port:0 chan:0 Fip AES-256-GCM MACsec KATS chifreman te pase
12 septanm 10:50:50 network_macsec_kats_input xe- /0/1:0:
non> pic:0 port:1 chan:0 Fip AES-256-GCM MACsec KATS chifreman te pase
12 septanm 10:50:55 network_macsec_kats_input xe- /0/0:0:
non> pic:0 port:0 chan:0 Fip AES-256-GCM MACsec KATS dechifreman pase
12 septanm 10:50:56 network_macsec_kats_input xe- /0/2:0:
non> pic:0 port:2 chan:0 Fip AES-256-GCM MACsec KATS chifreman te pase
12 septanm 10:51:01 network_macsec_kats_input xe- /0/1:0:
non> pic:0 port:1 chan:0 Fip AES-256-GCM MACsec KATS dechifreman pase
12 septanm 10:51:02 network_macsec_kats_input xe- /0/2:0:
non> pic:0 port:2 chan:0 Fip AES-256-GCM MACsec KATS dechifreman pase
12 septanm 10:51:06 network_macsec_kats_input xe- /0/3:0:
non> pic:0 port:3 chan:0 Fip AES-256-GCM MACsec KATS chifreman te pase
12 septanm 10:51:12 network_macsec_kats_input xe- /0/3:0:
non> pic:0 port:3 chan:0 Fip AES-256-GCM MACsec KATS dechifreman pase
12 septanm 10:51:17 network_macsec_kats_input xe- /0/4:0:
non> pic:0 port:4 chan:0 Fip AES-256-GCM MACsec KATS chifreman te pase
12 septanm 10:51:17 network_macsec_kats_input xe- /0/4:0:
non> pic:0 port:4 chan:0 Fip AES-256-GCM MACsec KATS dechifreman pase
12 septanm 10:51:26 network_macsec_kats_input xe- /0/5:0:
non> pic:0 port:5 chan:0 Fip AES-256-GCM MACsec KATS chifreman te pase
12 septanm 10:51:27 network_macsec_kats_input xe- /0/5:0:
non> pic:0 port:5 chan:0 Fip AES-256-GCM MACsec KATS dechifreman pase
12 septanm 10:51:36 network_macsec_kats_input xe- /0/6:0:
non> pic:0 port:6 chan:0 Fip AES-256-GCM MACsec KATS chifreman te pase
12 septanm 10:51:36 network_macsec_kats_input xe- /0/6:0:
non> pic:0 port:6 chan:0 Fip AES-256-GCM MACsec KATS dechifreman pase
12 septanm 10:51:44 network_macsec_kats_input xe- /0/7:0:
non> pic:0 port:7 chan:0 Fip AES-256-GCM MACsec KATS chifreman te pase
12 septanm 10:51:44 network_macsec_kats_input xe- /0/7:0:
non> pic:0 port:7 chan:0 Fip AES-256-GCM MACsec KATS dechifreman pase
12 septanm 10:51:51 network_macsec_kats_input xe- /0/8:0:
non> pic:0 port:8 chan:0 Fip AES-256-GCM MACsec KATS chifreman te pase
12 septanm 10:51:51 network_macsec_kats_input xe- /0/8:0:
non> pic:0 port:8 chan:0 Fip AES-256-GCM MACsec KATS dechifreman pase
12 septanm 10:51:58 network_macsec_kats_input xe- /0/9:0:
non> pic:0 port:9 chan:0 Fip AES-256-GCM MACsec KATS chifreman te pase
12 septanm 10:51:58 network_macsec_kats_input xe- /0/9:0:
non> pic:0 port:9 chan:0 Fip AES-256-GCM MACsec KATS dechifreman pase
12 septanm 10:52:05 network_macsec_kats_input xe- /0/10:0:
Plas non> pic: 0 pò: 10 chan: 0 Fip AES-256-GCM MACsec KATS chifreman te pase
12 septanm 10:52:05 network_macsec_kats_input xe- /0/10:0:
Plas non> pic: 0 pò: 10 chan: 0 Fip AES-256-GCM MACsec KATS dechifreman te pase
12 septanm 10:52:12 network_macsec_kats_input xe- /0/11:0:
Plas non> pic: 0 pò: 11 chan: 0 Fip AES-256-GCM MACsec KATS chifreman te pase
12 septanm 10:52:12 network_macsec_kats_input xe- /0/11:0:
Plas non> pic: 0 pò: 11 chan: 0 Fip AES-256-GCM MACsec KATS dechifreman te pase
12 septanm 10:52:20 network_macsec_kats_input xe- /1/0:0:
non> pic:1 port:0 chan:0 Fip AES-256-GCM MACsec KATS chifreman te pase
12 septanm 10:52:20 network_macsec_kats_input xe- /1/0:0:
non> pic:1 port:0 chan:0 Fip AES-256-GCM MACsec KATS dechifreman pase
12 septanm 10:52:27 network_macsec_kats_input xe- /1/1:0:
non> pic:1 port:1 chan:0 Fip AES-256-GCM MACsec KATS chifreman te pase
12 septanm 10:52:28 network_macsec_kats_input xe- /1/1:0:
non> pic:1 port:1 chan:0 Fip AES-256-GCM MACsec KATS dechifreman pase
12 septanm 10:52:34 network_macsec_kats_input xe- /1/2:0:
non> pic:1 port:2 chan:0 Fip AES-256-GCM MACsec KATS chifreman te pase
Siyifikasyon
Log sistèm lan file montre dat ak lè KAT yo te egzekite ak estati yo.

Kòmandman Operasyon

Sentaks
demann sistèm zeroize
Deskripsyon
Pou RE1800, retire tout enfòmasyon konfigirasyon sou Motè Routing yo epi reset tout valè kle yo. Si aparèy la gen motè routage doub, yo difize lòd la nan tout motè routage sou aparèy la. Kòmandman an retire tout done yo files, ki gen ladan konfigirasyon Customized ak boutèy demi lit files, pa unlinking la files soti nan anyè yo. Kòmandman an retire tout itilizatè yo kreye files soti nan sistèm nan ki gen ladan tout modpas tèks klè, sekrè, ak kle prive pou SSH, chifreman lokal, otantifikasyon lokal, IPsec, RADIUS, TACACS +, ak SNMP.
Kòmand sa a rdemare aparèy la epi li mete l nan konfigirasyon default faktori a. Apre rdemare a, ou pa ka jwenn aksè nan aparèy la atravè koòdone Ethernet jesyon an. Konekte nan konsole a kòm rasin epi kòmanse Junos OS CLI lè w tape cli nan èd memwa a.
Nivo Privilèj obligatwa
antretyen
demann vmhost zeroize no-transmission
Sentaks
demann vmhost zeroize no-transmission
Deskripsyon
Pou REMX2K-X8, retire tout enfòmasyon konfigirasyon sou motè routage yo epi reset tout valè kle yo. Si aparèy la gen motè routing doub, yo difize lòd la nan tou de motè routage sou aparèy la.
Kòmandman an retire tout done yo files, ki gen ladan konfigirasyon Customized ak boutèy demi lit files, pa unlinking la files soti nan anyè yo. Kòmandman an retire tout itilizatè yo kreye files soti nan sistèm nan ki gen ladan tout modpas tèks klè, sekrè, ak kle prive pou SSH, chifreman lokal, otantifikasyon lokal, IPsec, RADIUS, TACACS +, ak SNMP.
Kòmand sa a rdemare aparèy la epi li mete l nan konfigirasyon faktori-default la. Apre rdemare a, ou pa ka jwenn aksè nan aparèy la atravè koòdone Ethernet jesyon an. Konekte nan konsole a kòm itilizatè rasin epi kòmanse Junos OS CLI lè w tape cli nan èd memwa a.
Sample Sòti
demann vmhost zeroize no-transmission
user@host> mande vmhost zeroize no-forwarding
VMHost Zeroization: Efase tout done, ki gen ladan konfigirasyon ak log files?
[wi, non] (non) wi
re0:
avètisman: Vmhost pral rdemare epi li ka pa demare san yo pa
konfigirasyon
avètisman: kontinye ak vmhost
zewoize
Zeroise segondè disk entèn
Kontinye ak zeroize sou segondè
disk
Aparèy monte nan preparasyon pou
zeroize...
Netwaye disk sib pou zeroize
Zeroize fè sou sib
disk.
Zeroize nan disk segondè
konplete
Zeroize prensipal disk entèn
Kontinye ak zeroize sou prensipal la
disk
/etc/ssh/ssh_host_ecdsa_key.pub
/etc/ssh/ssh_host_rsa_key
/etc/ssh/ssh_host_dsa_key.pub
/etc/ssh/ssh_host_rsa_key.pub
/etc/ssh/ssh_host_ecdsa_key
/etc/ssh/ssh_host_dsa_key
Aparèy monte nan preparasyon pou
zeroize...
Netwaye disk sib pou zeroize
Zeroize fè sou sib
disk.
Zeroize nan disk prensipal
konplete
Zeroize
fè
—(plis)— Kanpe
kron.
Ap tann PIDS:
6135.
.
16 fevriye 14:59:33 jlaunchd: peryodik-packet-services (PID 6181) fini siyal 15 voye
16 fevriye 14:59:33 jlaunchd: smg-service (PID 6234) fini siyal 15 voye
16 fevriye 14:59:33 jlaunchd: aplikasyon-idantifikasyon (PID 6236) mete fen siyal 15 voye
Feb 16 14:59:33 jlaunchd: ifstate-tracing-process (PID 6241) fini siyal 15 voye
16 fevriye 14:59:33 jlaunchd: jesyon resous (PID 6243) fini siyal 15 voye
16 fevriye 14:59:33 jlaunchd: chaje (PID 6246) fini siyal 15 voye
16 fevriye 14:59:33 jlaunchd: lisans-sèvis (PID 6255) sispann siyal 15 voye
Feb 16 14:59:33 jlaunchd: ntp (PID 6620) fini siyal 15 voye
16 fevriye 14:59:33 jlaunchd: gkd-chassis (PID 6621) fini siyal 15 voye
16 fevriye 14:59:33 jlaunchd: gkd-lchassis (PID 6622) fini siyal 15 voye
16 fevriye 14:59:33 jlaunchd: routage (PID 6625) mete fen siyal 15 voye
Feb 16 14:59:33 jlaunchd: sonet-aps (PID 6626) fini siyal 15 voye
Feb 16 14:59:33 jlaunchd: remote-operations (PID 6627) mete fen siyal 15 voye
Feb 16 14:59:33 jlaunchd: klas-de-sèvis
……..
99

Dokiman / Resous

JUNIPER NETWORKS Junos OS Fip Aparèy Evalye [pdfGid Itilizatè
Junos OS Fip Aparèy Evalye, Junos OS, Fip Aparèy Evalye, Aparèy Evalye, Aparèy

Referans

Manyèl itilizatè

JUNIPER NETWORKS Junos OS Fip Aparèy Evalye

Plis paseview

Konfigirasyon kalifikasyon administratif ak privilèj

Konfigirasyon Wòl ak Metòd Otantifikasyon

Konfigirasyon SSH ak Koneksyon Konsole

Konfigirasyon MACsec

Konfigirasyon MACsec ak keychain pou Kouch 2 Trafik

Konfigirasyon Logging Evènman

Fè tès pwòp tèt ou sou yon aparèy

Kòmandman Operasyon

Dokiman / Resous

Referans

Kite yon kòmantè

Anile repons