ឧបករណ៍ Juniper NETWORKS MX240Junos OS ជាមួយនឹងកាតសេវាកម្ម
ព័ត៌មានអំពីផលិតផល
ឈ្មោះផលិតផល៖ ការណែនាំអំពីការកំណត់រចនាសម្ព័ន្ធលក្ខណៈទូទៅសម្រាប់ឧបករណ៍ MX240, MX480, និង MX960 ដែលមានកាតសេវាកម្ម MX-SPC3
កាលបរិច្ឆេទបោះពុម្ពផ្សាយ៖ ៨៦៦-៤៤៧-២១៩៤
កំណែចេញផ្សាយ៖ 22.2R1
ក្រុមហ៊ុនផលិត៖ Juniper Networks, Inc.
អាសយដ្ឋានក្រុមហ៊ុនផលិត៖ 1133 Innovation Way Sunnyvale រដ្ឋ California 94089 សហរដ្ឋអាមេរិក
ទំនាក់ទំនងក្រុមហ៊ុនផលិត៖ ៨៦៦-៤៤៧-២១៩៤
ក្រុមហ៊ុនផលិត Webគេហទំព័រ៖ https://www.juniper.net
ពាណិជ្ជសញ្ញា៖ Juniper Networks, Junos
ការណែនាំអំពីការប្រើប្រាស់ផលិតផល
ជាងview
លក្ខណៈវិនិច្ឆ័យទូទៅបានវាយតម្លៃការកំណត់រចនាសម្ព័ន្ធលើសview:
ការកំណត់រចនាសម្ព័ន្ធដែលបានវាយតម្លៃជាទូទៅផ្តល់នូវការបញ្ចប់view នៃមុខងារសុវត្ថិភាព និងការកំណត់រចនាសម្ព័ន្ធដែលត្រូវការសម្រាប់ឧបករណ៍ MX240, MX480, និង MX960 ដែលមានកាតសេវាកម្ម MX-SPC3 ។ ផ្នែកនេះពន្យល់ពីគោលបំណង និងវិសាលភាពនៃការកំណត់រចនាសម្ព័ន្ធដែលបានវាយតម្លៃ។
Junos OS នៅក្នុងរបៀប FIPS នៃប្រតិបត្តិការលើសview:
ប្រព័ន្ធប្រតិបត្តិការ Junos នៅក្នុងរបៀប FIPS ធានានូវការអនុលោមតាមស្តង់ដារដំណើរការព័ត៌មានសហព័ន្ធ (FIPS) សម្រាប់ម៉ូឌុលគ្រីបគ្រីប។ ផ្នែកនេះផ្តល់នូវការបញ្ចប់view នៃរបៀប FIPS និងអត្ថប្រយោជន៍របស់វា។
ជាងview នៃ FIPS វាក្យសព្ទ និងក្បួនដោះស្រាយការគ្រីបដែលបានគាំទ្រ៖
ផ្នែកនេះពន្យល់អំពីវាក្យស័ព្ទដែលប្រើក្នុងរបៀប FIPS និងផ្តល់ព័ត៌មានអំពីក្បួនដោះស្រាយគ្រីបគ្រីបដែលបានគាំទ្រ។
កំណត់ការចែកចាយផលិតផលដែលមានសុវត្ថិភាព៖
ផ្នែកនេះផ្តល់នូវការណែនាំអំពីរបៀបធានាការចែកចាយផលិតផលប្រកបដោយសុវត្ថិភាព រួមទាំងការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវនៃកញ្ចប់កម្មវិធីដែលបានចែកចាយ។
ចំណុចប្រទាក់គ្រប់គ្រងលើសview:
ស្វែងយល់អំពីចំណុចប្រទាក់គ្រប់គ្រងផ្សេងៗគ្នាដែលមានសម្រាប់ឧបករណ៍ MX240, MX480 និង MX960 ជាមួយនឹងកាតសេវាកម្ម MX-SPC3 ។ ផ្នែកនេះពន្យល់ពីគោលបំណង និងការប្រើប្រាស់នៃចំណុចប្រទាក់នីមួយៗ។
កំណត់រចនាសម្ព័ន្ធតួនាទី និងវិធីសាស្ត្រផ្ទៀងផ្ទាត់
ជាងview តួនាទី និងសេវាកម្មសម្រាប់ Junos OS៖
ផ្នែកនេះផ្តល់នូវការបញ្ចប់view នៃតួនាទី និងសេវាកម្មផ្សេងៗដែលមាននៅក្នុង Junos OS និងពន្យល់ពីរបៀបកំណត់រចនាសម្ព័ន្ធពួកវាសម្រាប់ការកំណត់រចនាសម្ព័ន្ធដែលបានវាយតម្លៃ។
ជាងview នៃបរិស្ថានប្រតិបត្តិការសម្រាប់ Junos OS នៅក្នុងរបៀប FIPS៖
ស្វែងយល់ពីតម្រូវការបរិស្ថានប្រតិបត្តិការសម្រាប់ការដំណើរការ Junos OS នៅក្នុងរបៀប FIPS ។ ផ្នែកនេះគ្របដណ្តប់លើការកំណត់រចនាសម្ព័ន្ធចាំបាច់ និងការពិចារណា។
ជាងview នៃការបញ្ជាក់ពាក្យសម្ងាត់ និងគោលការណ៍ណែនាំសម្រាប់ Junos OS នៅក្នុងរបៀប FIPS៖
ស្វែងយល់អំពីការកំណត់ពាក្យសម្ងាត់ និងគោលការណ៍ណែនាំសម្រាប់ Junos OS នៅក្នុងរបៀប FIPS ។ ផ្នែកនេះផ្តល់នូវការណែនាំសម្រាប់ការបង្កើតពាក្យសម្ងាត់រឹងមាំ និងសុវត្ថិភាព។
ទាញយកកញ្ចប់កម្មវិធីពី Juniper Networks៖
ការណែនាំជាជំហាន ៗ អំពីរបៀបទាញយកកញ្ចប់កម្មវិធីពី Juniper Networks' webគេហទំព័រ។ ផ្នែកនេះធានាថាអ្នកមានការអាប់ដេតកម្មវិធីបង្កប់ចុងក្រោយបំផុត និងបំណះសុវត្ថិភាព។
ដំឡើងកញ្ចប់កម្មវិធី Junos៖
ការណែនាំលម្អិតអំពីរបៀបដំឡើងកញ្ចប់កម្មវិធី Junos នៅលើឧបករណ៍ MX240, MX480 ឬ MX960 របស់អ្នក។ ផ្នែកនេះគ្របដណ្តប់ទាំងការដំឡើងដំបូង និងដំណើរការធ្វើឱ្យប្រសើរឡើង។
ជាងview នៃ Zeroization ដើម្បីជម្រះទិន្នន័យប្រព័ន្ធសម្រាប់របៀប FIPS៖
ស្វែងយល់ពីដំណើរការសូន្យនៃប្រព័ន្ធដើម្បីជម្រះទិន្នន័យរសើបនៅពេលដំណើរការក្នុងរបៀប FIPS ។ ផ្នែកនេះពន្យល់អំពីជំហាន និងការពិចារណាដែលពាក់ព័ន្ធ។
ផ្តាច់ប្រព័ន្ធ៖
ការណែនាំជាជំហាន ៗ អំពីរបៀបធ្វើឱ្យប្រព័ន្ធសូន្យដើម្បីលុបទិន្នន័យរសើបទាំងអស់។ ផ្នែកនេះធានានូវការលុបទិន្នន័យត្រឹមត្រូវមុនពេលបោះចោល ឬកំណត់រចនាសម្ព័ន្ធឡើងវិញ។
បើករបៀប FIPS៖
ស្វែងយល់ពីរបៀបបើកមុខងារ FIPS នៅលើឧបករណ៍ MX240, MX480 ឬ MX960 របស់អ្នក។ ផ្នែកនេះផ្តល់នូវការកំណត់រចនាសម្ព័ន្ធចាំបាច់ និងការពិចារណា។
កំណត់រចនាសម្ព័ន្ធអ្នកគ្រប់គ្រងសុវត្ថិភាព និងការកំណត់អត្តសញ្ញាណអ្នកប្រើប្រាស់ FIPS និងការចូលប្រើ៖
ផ្នែកនេះពន្យល់ពីរបៀបកំណត់រចនាសម្ព័ន្ធអ្នកគ្រប់គ្រងសុវត្ថិភាព និងការកំណត់អត្តសញ្ញាណអ្នកប្រើប្រាស់ FIPS និងការចូលប្រើប្រាស់។ វាគ្របដណ្តប់លើជំហានដែលត្រូវការសម្រាប់ការផ្ទៀងផ្ទាត់ និងការអនុញ្ញាតត្រឹមត្រូវ។
កំណត់រចនាសម្ព័ន្ធការចូលប្រើអ្នកគ្រប់គ្រងសុវត្ថិភាព៖
មគ្គុទ្ទេសក៍លម្អិតអំពីការកំណត់រចនាសម្ព័ន្ធការចូលប្រើរបស់អ្នកគ្រប់គ្រងសុវត្ថិភាពសម្រាប់ការកំណត់រចនាសម្ព័ន្ធដែលបានវាយតម្លៃ។ ផ្នែកនេះគ្របដណ្តប់លើការកំណត់រចនាសម្ព័ន្ធចាំបាច់ និងការអនុវត្តល្អបំផុត។
កំណត់រចនាសម្ព័ន្ធការចូលប្រើរបស់អ្នកប្រើ FIPS៖
ការណែនាំជាជំហាន ៗ លើការកំណត់រចនាសម្ព័ន្ធការចូលប្រើរបស់អ្នកប្រើ FIPS សម្រាប់ការកំណត់រចនាសម្ព័ន្ធដែលបានវាយតម្លៃ។ ផ្នែកនេះធានានូវការផ្ទៀងផ្ទាត់អ្នកប្រើប្រាស់ប្រកបដោយសុវត្ថិភាព និងការគ្រប់គ្រងការចូលប្រើប្រាស់។
កំណត់រចនាសម្ព័ន្ធលិខិតសម្គាល់រដ្ឋបាល និងសិទ្ធិ
ស្វែងយល់ពីច្បាប់លេខសម្ងាត់ដែលពាក់ព័ន្ធសម្រាប់អ្នកគ្រប់គ្រងដែលមានការអនុញ្ញាត៖
ផ្នែកនេះផ្តល់នូវការយល់ដឹងអំពីច្បាប់ពាក្យសម្ងាត់ដែលទាក់ទងនឹងអ្នកគ្រប់គ្រងដែលមានការអនុញ្ញាត។ វាគ្របដណ្តប់ភាពស្មុគស្មាញនៃពាក្យសម្ងាត់ ការផុតកំណត់ និងការពិចារណាពាក់ព័ន្ធផ្សេងទៀត។
ការកំណត់រចនាសម្ព័ន្ធឧបករណ៍បណ្តាញ Collaborative Protection Profile អ្នកគ្រប់គ្រងដែលមានសិទ្ធិ៖
ការណែនាំលម្អិតអំពីការកំណត់រចនាសម្ព័ន្ធឧបករណ៍បណ្តាញសហការការពារគាំទ្រfile អ្នកគ្រប់គ្រងដែលមានការអនុញ្ញាត។ ផ្នែកនេះធានានូវការគ្រប់គ្រងការចូលប្រើផ្នែករដ្ឋបាលត្រឹមត្រូវសម្រាប់ការកំណត់រចនាសម្ព័ន្ធដែលបានវាយតម្លៃ។
កំណត់ពេលវេលាតាមបំណង៖
ស្វែងយល់ពីរបៀបកំណត់ការកំណត់ពេលវេលាតាមបំណងនៅលើឧបករណ៍ MX240, MX480 ឬ MX960 របស់អ្នក។ ផ្នែកនេះគ្របដណ្តប់លើការកំណត់រចនាសម្ព័ន្ធចាំបាច់សម្រាប់ការធ្វើសមកាលកម្មពេលវេលាត្រឹមត្រូវ។
ការកំណត់រចនាសម្ព័ន្ធរយៈពេលអស់ពេលអសកម្ម និងការបញ្ចប់សម័យទំនេរក្នុងតំបន់ និងពីចម្ងាយ៖
កំណត់រចនាសម្ព័ន្ធរយៈពេលអស់ពេលអសកម្ម និងការបញ្ចប់វគ្គទំនេរក្នុងតំបន់/ពីចម្ងាយសម្រាប់ការកំណត់រចនាសម្ព័ន្ធដែលបានវាយតម្លៃ។ ផ្នែកនេះផ្តល់ការណែនាំអំពីការកំណត់ការអស់ពេលសម័យ។
កំណត់រចនាសម្ព័ន្ធការបញ្ចប់វគ្គ៖
ការណែនាំជាជំហាន ៗ អំពីរបៀបកំណត់រចនាសម្ព័ន្ធការបញ្ចប់វគ្គសម្រាប់ការកំណត់រចនាសម្ព័ន្ធដែលបានវាយតម្លៃ។ ផ្នែកនេះធានាបាននូវការគ្រប់គ្រង និងសុវត្ថិភាពវគ្គត្រឹមត្រូវ។
Sample លទ្ធផលសម្រាប់ការបញ្ចប់សម័យរដ្ឋបាលក្នុងតំបន់៖
Sample ទិន្នផល និង ឧamples នៃការបញ្ចប់សម័យរដ្ឋបាលក្នុងតំបន់សម្រាប់ជាឯកសារយោង។ ផ្នែកនេះជួយអ្នកឱ្យយល់ពីឥរិយាបថ និងលទ្ធផលរំពឹងទុក។
Sample លទ្ធផលសម្រាប់ការបញ្ចប់សម័យរដ្ឋបាលពីចម្ងាយ៖
Sample ទិន្នផល និង ឧamples នៃការបញ្ចប់សម័យរដ្ឋបាលពីចម្ងាយសម្រាប់ជាឯកសារយោង។ ផ្នែកនេះជួយអ្នកឱ្យយល់ពីឥរិយាបថ និងលទ្ធផលរំពឹងទុក។
Sample Output សម្រាប់ការបញ្ចប់ដែលផ្តួចផ្តើមដោយអ្នកប្រើប្រាស់៖
Sample ទិន្នផល និង ឧamples នៃការបញ្ចប់សម័យដែលផ្តួចផ្តើមដោយអ្នកប្រើប្រាស់សម្រាប់ជាឯកសារយោង។ ផ្នែកនេះជួយអ្នកឱ្យយល់ពីឥរិយាបថ និងលទ្ធផលរំពឹងទុក។
កំណត់រចនាសម្ព័ន្ធ SSH និងការតភ្ជាប់កុងសូល។
កំណត់រចនាសម្ព័ន្ធសារចូលប្រព័ន្ធ និងការប្រកាស៖
ផ្នែកនេះពន្យល់ពីរបៀបកំណត់រចនាសម្ព័ន្ធសារចូលប្រព័ន្ធ និងការប្រកាសសម្រាប់ការកំណត់រចនាសម្ព័ន្ធដែលបានវាយតម្លៃ។ វាផ្តល់ការណែនាំអំពីការកំណត់បទពិសោធន៍ចូល។
កំណត់រចនាសម្ព័ន្ធ SSH លើការកំណត់រចនាសម្ព័ន្ធដែលបានវាយតម្លៃសម្រាប់ NDcPPv2.2e៖
ការណែនាំជាជំហាន ៗ អំពីរបៀបកំណត់រចនាសម្ព័ន្ធ SSH លើការកំណត់រចនាសម្ព័ន្ធដែលបានវាយតម្លៃសម្រាប់ការអនុលោមតាម NDcPPv2.2e ។ ផ្នែកនេះធានាការចូលប្រើឧបករណ៍ពីចម្ងាយដោយសុវត្ថិភាព។
កំណត់ចំនួននៃការប៉ុនប៉ងចូលរបស់អ្នកប្រើសម្រាប់វគ្គ SSH៖
ស្វែងយល់ពីរបៀបកំណត់ចំនួននៃការប៉ុនប៉ងចូលរបស់អ្នកប្រើសម្រាប់វគ្គ SSH នៅលើការកំណត់រចនាសម្ព័ន្ធដែលបានវាយតម្លៃ។ ផ្នែកនេះផ្តល់ការណែនាំសម្រាប់ការបង្កើនសុវត្ថិភាពប្រឆាំងនឹងការវាយប្រហារដោយកម្លាំងសាហាវ។
លក្ខណៈបច្ចេកទេស
ការណែនាំអំពីការកំណត់រចនាសម្ព័ន្ធលក្ខណៈទូទៅ៖ ឧបករណ៍ MX240, MX480, និង MX960 ដែលមានកាតសេវាកម្ម MX-SPC3
កាលបរិច្ឆេទបោះពុម្ពផ្សាយ៖ ៨៦៦-៤៤៧-២១៩៤
កំណែចេញផ្សាយ៖ 22.2R1
សំណួរដែលសួរញឹកញាប់ (FAQ)
សំណួរ៖ តើ Juniper Networks គឺជាផលិតផលផ្នែករឹង និងសូហ្វវែរប្រចាំឆ្នាំ អនុលោមតាម 2000?
ចម្លើយ៖ បាទ ផលិតផលផ្នែករឹង និងសូហ្វវែរ Juniper Networks គឺស្របតាមឆ្នាំ 2000។ Junos OS មិនមានការកំណត់ទាក់ទងនឹងពេលវេលាដែលគេដឹងទេរហូតដល់ឆ្នាំ 2038។
សំណួរ៖ តើខ្ញុំអាចស្វែងរកកិច្ចព្រមព្រៀងអាជ្ញាប័ណ្ណអ្នកប្រើប្រាស់ចុងក្រោយ (EULA) សម្រាប់នៅឯណា? កម្មវិធី Juniper Networks?
ចម្លើយ៖ កិច្ចព្រមព្រៀងអាជ្ញាប័ណ្ណអ្នកប្រើប្រាស់ចុងក្រោយ (EULA) សម្រាប់កម្មវិធី Juniper Networks អាចរកបាននៅ https://support.juniper.net/support/eula/. តាមរយៈការទាញយក ដំឡើង ឬប្រើប្រាស់កម្មវិធី អ្នកយល់ព្រមនឹងលក្ខខណ្ឌនៃ EULA។
Junos® OS
ការណែនាំអំពីការកំណត់រចនាសម្ព័ន្ធលក្ខណៈទូទៅសម្រាប់ឧបករណ៍ MX240, MX480, និង MX960 ដែលមានកាតសេវាកម្ម MX-SPC3
បោះពុម្ពផ្សាយ
៨៦៦-៤៤៧-២១៩៤
ដោះលែង
22.2R1
ii
Juniper Networks, Inc. 1133 Innovation Way Sunnyvale, California 94089 USA ៨៦៦-៤៤៧-២១៩៤ www.juniper.net
Juniper Networks និមិត្តសញ្ញា Juniper Networks Juniper និង Junos គឺជាពាណិជ្ជសញ្ញាដែលបានចុះបញ្ជីរបស់ Juniper Networks, Inc. នៅសហរដ្ឋអាមេរិក និងប្រទេសដទៃទៀត។ រាល់ពាណិជ្ជសញ្ញា សញ្ញាសេវាកម្ម ម៉ាកដែលបានចុះបញ្ជី ឬសញ្ញាសម្គាល់សេវាកម្មដែលបានចុះបញ្ជី គឺជាកម្មសិទ្ធិរបស់ម្ចាស់រៀងៗខ្លួន។
Juniper Networks មិនទទួលខុសត្រូវចំពោះភាពមិនត្រឹមត្រូវណាមួយនៅក្នុងឯកសារនេះទេ។ Juniper Networks រក្សាសិទ្ធិក្នុងការផ្លាស់ប្តូរ កែប្រែ ផ្ទេរ ឬកែប្រែការបោះពុម្ពនេះដោយមិនមានការជូនដំណឹងជាមុន។
មគ្គុទ្ទេសក៍កំណត់រចនាសម្ព័ន្ធលក្ខណៈវិនិច្ឆ័យទូទៅ Junos® OS សម្រាប់ឧបករណ៍ MX240, MX480, និង MX960 ដែលមានកាតសេវាកម្ម MX-SPC3 22.2R1 រក្សាសិទ្ធិ © 2023 Juniper Networks, Inc. រក្សាសិទ្ធិគ្រប់យ៉ាង។
ព័ត៌មាននៅក្នុងឯកសារនេះគឺបច្ចុប្បន្នគិតត្រឹមកាលបរិច្ឆេទនៅលើទំព័រចំណងជើង។
សេចក្តីជូនដំណឹងឆ្នាំ 2000
ផលិតផលផ្នែករឹង និងសូហ្វវែរ Juniper Networks គឺស្របតាមឆ្នាំ 2000 ។ Junos OS មិនមានការកំណត់ទាក់ទងនឹងពេលវេលាដែលគេស្គាល់រហូតដល់ឆ្នាំ 2038។ ទោះជាយ៉ាងណាក៏ដោយ កម្មវិធី NTP ត្រូវបានគេដឹងថាមានការលំបាកខ្លះក្នុងឆ្នាំ 2036។
បញ្ចប់កិច្ចព្រមព្រៀងអាជ្ញាប័ណ្ណអ្នកប្រើប្រាស់
ផលិតផល Juniper Networks ដែលជាកម្មវត្ថុនៃឯកសារបច្ចេកទេសនេះមាន (ឬត្រូវបានបម្រុងទុកសម្រាប់ប្រើជាមួយ) កម្មវិធី Juniper Networks ។ ការប្រើប្រាស់កម្មវិធីបែបនេះគឺស្ថិតនៅក្រោមលក្ខខណ្ឌនៃកិច្ចព្រមព្រៀងអាជ្ញាប័ណ្ណអ្នកប្រើប្រាស់ចុងក្រោយ ("EULA") ដែលបានបង្ហោះនៅ https://support.juniper.net/support/eula/ ។ តាមរយៈការទាញយក ដំឡើង ឬប្រើប្រាស់កម្មវិធីបែបនេះ អ្នកយល់ព្រមនឹងលក្ខខណ្ឌនៃ EULA នោះ។
អំពីការណែនាំនេះ
ប្រើការណែនាំនេះដើម្បីកំណត់រចនាសម្ព័ន្ធ និងវាយតម្លៃឧបករណ៍ MX240, MX480 និង MX960 សម្រាប់ការអនុលោមតាមលក្ខណៈវិនិច្ឆ័យទូទៅ (CC) ។ លក្ខណៈវិនិច្ឆ័យទូទៅសម្រាប់បច្ចេកវិទ្យាព័ត៌មានគឺជាកិច្ចព្រមព្រៀងអន្តរជាតិមួយដែលបានចុះហត្ថលេខាដោយប្រទេសមួយចំនួនដែលអនុញ្ញាតឱ្យមានការវាយតម្លៃនៃផលិតផលសុវត្ថិភាពប្រឆាំងនឹងសំណុំស្តង់ដារទូទៅមួយ។
ឯកសារពាក់ព័ន្ធ លក្ខណៈវិនិច្ឆ័យទូទៅ និងវិញ្ញាបនប័ត្រ FIPS
1 ជំពូក
ជាងview
លក្ខណៈវិនិច្ឆ័យទូទៅបានវាយតម្លៃការកំណត់រចនាសម្ព័ន្ធលើសview | 2 Junos OS នៅក្នុងរបៀប FIPS នៃប្រតិបត្តិការលើសview | 3 ជាងview នៃ FIPS វាក្យសព្ទ និងក្បួនដោះស្រាយការគ្រីបដែលបានគាំទ្រ | 5 កំណត់ការចែកចាយផលិតផលប្រកបដោយសុវត្ថិភាព | 8 ចំណុចប្រទាក់គ្រប់គ្រងជាងview | ៦២៩.២០២.៦៧៩០
លក្ខណៈវិនិច្ឆ័យទូទៅបានវាយតម្លៃការកំណត់រចនាសម្ព័ន្ធលើសview
នៅក្នុងផ្នែកនេះ លក្ខខណ្ឌទូទៅលើសview | 2 វេទិកាគាំទ្រ | ៣
ឯកសារនេះពិពណ៌នាអំពីជំហានដែលទាមទារដើម្បីចម្លងការកំណត់រចនាសម្ព័ន្ធឧបករណ៍ដែលដំណើរការ Junos OS នៅពេលឧបករណ៍ត្រូវបានវាយតម្លៃ។ នេះត្រូវបានគេហៅថាការកំណត់រចនាសម្ព័ន្ធដែលបានវាយតម្លៃ។ បញ្ជីខាងក្រោមពិពណ៌នាអំពីស្តង់ដារដែលឧបករណ៍នេះត្រូវបានវាយតម្លៃ៖ · NDcPPv2.2e–https://www.niap-ccevs.org/MMO/PP/CPP_ND_V2.2E.pdf · MOD_VPN–https://www.niap -ccevs.org/Profile/Info.cfm?PPID=449 គាំទ្រការការពារក្នុងប័ណ្ណសារfileឯកសារ s អាចរកបាននៅ https://www.niap-ccevs.org/Profile/PP.cfm? ទុកក្នុងប័ណ្ណសារ = ១.
ចំណាំ៖ ឧបករណ៍ MX240, MX480, និង MX960 ដែលមាន Junos OS Release 22.2R1 ត្រូវបានបញ្ជាក់សម្រាប់លក្ខណៈវិនិច្ឆ័យទូទៅជាមួយនឹងមុខងារ FIPS ដែលបើកនៅលើឧបករណ៍។
លក្ខណៈវិនិច្ឆ័យទូទៅលើសview
លក្ខណៈវិនិច្ឆ័យទូទៅសម្រាប់បច្ចេកវិទ្យាព័ត៌មានគឺជាកិច្ចព្រមព្រៀងអន្តរជាតិមួយដែលបានចុះហត្ថលេខាដោយប្រទេសមួយចំនួនដែលអនុញ្ញាតឱ្យមានការវាយតម្លៃនៃផលិតផលសុវត្ថិភាពប្រឆាំងនឹងសំណុំស្តង់ដារទូទៅមួយ។ នៅក្នុងការរៀបចំការទទួលស្គាល់លក្ខណៈទូទៅ (CCRA) នៅ https://www.commoncriteriaportal.org/ccra/អ្នកចូលរួមយល់ព្រមទទួលស្គាល់គ្នាទៅវិញទៅមកលើការវាយតម្លៃនៃផលិតផលដែលបានអនុវត្តនៅក្នុងប្រទេសផ្សេងទៀត។ ការវាយតម្លៃទាំងអស់ត្រូវបានអនុវត្តដោយប្រើវិធីសាស្រ្តទូទៅសម្រាប់ការវាយតម្លៃសុវត្ថិភាពបច្ចេកវិទ្យាព័ត៌មាន។ សម្រាប់ព័ត៌មានបន្ថែមអំពីលក្ខណៈវិនិច្ឆ័យទូទៅ សូមមើល https://www.commoncriteriaportal.org/ ។
3
វេទិកាដែលគាំទ្រ
សម្រាប់លក្ខណៈពិសេសដែលបានពិពណ៌នានៅក្នុងឯកសារនេះ វេទិកាខាងក្រោមត្រូវបានគាំទ្រជាមួយ MX-SPC3 Services Card ។ NDcPPv2.2e និង MOD_VPN អនុវត្តចំពោះ៖ · MX240 (https://www.juniper.net/us/en/products/routers/mx-series/mx240-universal-routing-
platform.html) · MX480 (https://www.juniper.net/us/en/products/routers/mx-series/mx480-universal-routing-
platform.html) · MX960 (https://www.juniper.net/us/en/products/routers/mx-series/mx960-universal-routing-
platform.html)
ឯកសារដែលពាក់ព័ន្ធ កំណត់ការដឹកជញ្ជូនផលិតផលប្រកបដោយសុវត្ថិភាព | ៨
Junos OS នៅក្នុងរបៀប FIPS នៃប្រតិបត្តិការលើសview
នៅក្នុងផ្នែកនេះអំពីព្រំដែននៃការគ្រីបនៅលើឧបករណ៍របស់អ្នក | 4 របៀប FIPS នៃប្រតិបត្តិការខុសគ្នាពីរបៀបប្រតិបត្តិការមិនមែន FIPS | 4 កំណែដែលមានសុពលភាពនៃ Junos OS នៅក្នុងរបៀប FIPS នៃប្រតិបត្តិការ | ៥
ស្តង់ដារដំណើរការព័ត៌មានសហព័ន្ធ (FIPS) 140-3 កំណត់កម្រិតសុវត្ថិភាពសម្រាប់ផ្នែករឹង និងកម្មវិធីដែលអនុវត្តមុខងារគ្រីប។ Junos-FIPS គឺជាកំណែនៃប្រព័ន្ធប្រតិបត្តិការ Junos (Junos OS) ដែលអនុលោមតាមស្តង់ដារដំណើរការព័ត៌មានសហព័ន្ធ (FIPS) 140-3 ។ ដំណើរការឧបករណ៍សុវត្ថិភាពរបស់អ្នកនៅក្នុងបរិយាកាស FIPS 140-3 កម្រិត 2 តម្រូវឱ្យបើក និងកំណត់រចនាសម្ព័ន្ធរបៀបប្រតិបត្តិការ FIPS នៅលើឧបករណ៍ពីចំណុចប្រទាក់បន្ទាត់ពាក្យបញ្ជា Junos OS (CLI) ។
4
អ្នកគ្រប់គ្រងសុវត្ថិភាពបើកដំណើរការរបៀប FIPS នៅក្នុង Junos OS Release 22.2R1 ហើយដំឡើងសោ និងពាក្យសម្ងាត់សម្រាប់ប្រព័ន្ធ និងអ្នកប្រើប្រាស់ FIPS ផ្សេងទៀតដែលអាច view ការកំណត់រចនាសម្ព័ន្ធ។ ប្រភេទអ្នកប្រើទាំងពីរក៏អាចធ្វើការកំណត់រចនាសម្ព័ន្ធធម្មតានៅលើឧបករណ៍ (ដូចជាកែប្រែប្រភេទចំណុចប្រទាក់) ដូចជាការកំណត់រចនាសម្ព័ន្ធអ្នកប្រើម្នាក់ៗអនុញ្ញាត។
ការអនុវត្តល្អបំផុត៖ ត្រូវប្រាកដថាផ្ទៀងផ្ទាត់ការចែកចាយប្រកបដោយសុវត្ថិភាពនៃឧបករណ៍របស់អ្នក ហើយអនុវត្ត tampការផ្សាភ្ជាប់ជាក់ស្តែងទៅកាន់ច្រកដែលងាយរងគ្រោះរបស់វា។
អំពីព្រំដែននៃការគ្រីបនៅលើឧបករណ៍របស់អ្នក។
ការអនុលោមតាម FIPS 140-3 ទាមទារព្រំដែនគ្រីបដែលបានកំណត់ជុំវិញម៉ូឌុលគ្រីបគ្រីបនីមួយៗនៅលើឧបករណ៍។ Junos OS នៅក្នុងរបៀបប្រតិបត្តិការ FIPS រារាំងម៉ូឌុលគ្រីបពីដំណើរការកម្មវិធីណាមួយដែលមិនមែនជាផ្នែកនៃការចែកចាយដែលបានបញ្ជាក់ដោយ FIPS ហើយអនុញ្ញាតឱ្យប្រើតែក្បួនដោះស្រាយគ្រីបដែលអនុម័តដោយ FIPS ប៉ុណ្ណោះ។ មិនមានប៉ារ៉ាម៉ែត្រសុវត្ថិភាពសំខាន់ (CSP) ដូចជាពាក្យសម្ងាត់ និងសោអាចឆ្លងកាត់ព្រំដែនគ្រីបនៃម៉ូឌុលដោយ ឧ។ample ដែលត្រូវបានបង្ហាញនៅលើកុងសូល ឬសរសេរទៅកាន់កំណត់ហេតុខាងក្រៅ file.
ការប្រុងប្រយ័ត្ន៖ មុខងារ Virtual Chassis មិនត្រូវបានគាំទ្រនៅក្នុងរបៀបប្រតិបត្តិការ FIPS ទេ។ កុំកំណត់រចនាសម្ព័ន្ធ Virtual Chassis នៅក្នុងរបៀប FIPS នៃប្រតិបត្តិការ។
ដើម្បីធានានូវម៉ូឌុលគ្រីបគ្រីបជារូបវ័ន្ត ឧបករណ៍ Juniper Networks ទាំងអស់ទាមទារនៅamper-evident seal នៅលើរន្ធ USB និង mini-USB ។
របៀប FIPS នៃប្រតិបត្តិការខុសគ្នាពីរបៀបប្រតិបត្តិការមិនមែន FIPS
មិនដូច Junos OS នៅក្នុងរបៀបប្រតិបត្តិការមិនមែន FIPS ទេ Junos OS នៅក្នុងរបៀប FIPS នៃប្រតិបត្តិការគឺជាបរិយាកាសប្រតិបត្តិការដែលមិនអាចកែប្រែបាន។ លើសពីនេះទៀត Junos OS នៅក្នុងរបៀប FIPS នៃប្រតិបត្តិការមានភាពខុសគ្នាតាមវិធីខាងក្រោមពី Junos OS នៅក្នុងរបៀបប្រតិបត្តិការដែលមិនមែនជា FIPS៖ · ការធ្វើតេស្តដោយខ្លួនឯងនៃក្បួនដោះស្រាយគ្រីបទាំងអស់ត្រូវបានអនុវត្តនៅពេលចាប់ផ្តើម។ · ការធ្វើតេស្តដោយខ្លួនឯងនៃចំនួនចៃដន្យ និងការបង្កើតកូនសោត្រូវបានអនុវត្តជាបន្តបន្ទាប់។ · ក្បួនដោះស្រាយការគ្រីបខ្សោយ ដូចជាស្តង់ដារអ៊ិនគ្រីបទិន្នន័យ (DES) និង MD5 ត្រូវបានបិទ។ · ការតភ្ជាប់ការគ្រប់គ្រងខ្សោយ ពីចម្ងាយ ឬមិនបានអ៊ិនគ្រីបមិនត្រូវកំណត់រចនាសម្ព័ន្ធទេ។ ទោះយ៉ាងណាក៏ដោយ TOE
អនុញ្ញាតឱ្យចូលប្រើកុងសូលក្នុងស្រុក និងមិនបានអ៊ិនគ្រីបនៅគ្រប់ទម្រង់នៃប្រតិបត្តិការ។
5
· ពាក្យសម្ងាត់ត្រូវតែត្រូវបានអ៊ិនគ្រីបជាមួយនឹងក្បួនដោះស្រាយមួយផ្លូវដ៏រឹងមាំដែលមិនអនុញ្ញាតឱ្យឌិគ្រីប។ · ពាក្យសម្ងាត់អ្នកគ្រប់គ្រង Junos-FIPS ត្រូវតែមានយ៉ាងហោចណាស់ 10 តួអក្សរ។ · សោរគ្រីបត្រូវតែត្រូវបានអ៊ិនគ្រីបមុនពេលបញ្ជូន។ ស្តង់ដារ FIPS 140-3 អាចទាញយកបានពីវិទ្យាស្ថានជាតិស្តង់ដារ និងបច្ចេកវិទ្យា (NIST) នៅ http://csrc.nist.gov/publications/fips/fips140-3/fips1402.pdf ។
កំណែដែលមានសុពលភាពនៃ Junos OS នៅក្នុងរបៀប FIPS នៃប្រតិបត្តិការ
ដើម្បីកំណត់ថាតើការចេញផ្សាយ Junos OS ត្រូវបានបញ្ជាក់ដោយ NIST ដែរឬទេ សូមមើលទំព័រអនុលោមភាពនៅលើ Juniper Networks Web គេហទំព័រ (https://apps.juniper.net/compliance) ។
ឯកសារដែលពាក់ព័ន្ធ កំណត់ការដឹកជញ្ជូនផលិតផលប្រកបដោយសុវត្ថិភាព | ៨
ជាងview នៃ FIPS វាក្យស័ព្ទ និងក្បួនដោះស្រាយគ្រីបតូគ្រីបដែលបានគាំទ្រ
នៅក្នុងផ្នែកនេះ FIPS Terminology | 6 គាំទ្រក្បួនដោះស្រាយគ្រីបតូ | ៧
ប្រើនិយមន័យនៃពាក្យ FIPS និងក្បួនដោះស្រាយដែលបានគាំទ្រ ដើម្បីជួយអ្នកឱ្យយល់ពី Junos OS នៅក្នុងរបៀប FIPS ។
6
ពាក្យ FIPS
ប៉ារ៉ាម៉ែត្រសុវត្ថិភាពសំខាន់ (CSP)
ព័ត៌មានទាក់ទងនឹងសុវត្ថិភាព - សម្រាប់ឧample, លេខកូដសម្ងាត់ និងឯកជន និងទិន្នន័យផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ ដូចជាពាក្យសម្ងាត់ និងលេខអត្តសញ្ញាណផ្ទាល់ខ្លួន (PINs)- ដែលការបង្ហាញ ឬការកែប្រែអាចប៉ះពាល់ដល់សុវត្ថិភាពនៃម៉ូឌុលគ្រីបគ្រីប ឬព័ត៌មានដែលវាការពារ។
ម៉ូឌុលគ្រីប
សំណុំនៃផ្នែករឹង កម្មវិធី និងកម្មវិធីបង្កប់ដែលអនុវត្តមុខងារសុវត្ថិភាពដែលបានអនុម័ត (រួមទាំងក្បួនដោះស្រាយការគ្រីប និងការបង្កើតកូនសោ) ហើយមាននៅក្នុងព្រំដែននៃគ្រីបគ្រីប។
អ្នកគ្រប់គ្រងសន្តិសុខ
បុគ្គលដែលមានការអនុញ្ញាតសមរម្យ ដែលទទួលខុសត្រូវក្នុងការបើក កំណត់រចនាសម្ព័ន្ធ ត្រួតពិនិត្យ និងថែទាំ Junos OS នៅក្នុងរបៀប FIPS នៃប្រតិបត្តិការនៅលើឧបករណ៍ដោយសុវត្ថិភាព។ សម្រាប់ព័ត៌មានលម្អិត សូមមើល “Junos OS នៅក្នុងរបៀប FIPS នៃប្រតិបត្តិការជាងview» នៅទំព័រ ៦។
អេស.ភី
Encapsulating Security Payload protocol (ESP) ។ ផ្នែកនៃពិធីការ IPsec នោះ។
ធានានូវភាពសម្ងាត់នៃកញ្ចប់ព័ត៌មានតាមរយៈការអ៊ិនគ្រីប។ ពិធីការធានា
ថាប្រសិនបើកញ្ចប់ព័ត៌មាន ESP ត្រូវបានឌិគ្រីបដោយជោគជ័យ ហើយគ្មានភាគីណាមួយដឹងពីអាថ៌កំបាំងនោះទេ។
គន្លឹះដែលមិត្តភ័ក្តិចែករំលែក កញ្ចប់ព័ត៌មានមិនត្រូវបានភ្ជាប់ដោយខ្សែក្នុងពេលឆ្លងកាត់។
FIPS
ស្តង់ដារដំណើរការព័ត៌មានសហព័ន្ធ។ FIPS 140-3 បញ្ជាក់តម្រូវការសម្រាប់
ម៉ូឌុលសុវត្ថិភាព និងគ្រីបគ្រីប។ Junos OS នៅក្នុងរបៀប FIPS នៃប្រតិបត្តិការអនុលោមតាម
ជាមួយ FIPS 140-3 កម្រិត 2 ។
IKE
Internet Key Exchange (IKE) គឺជាផ្នែកមួយនៃ IPsec និងផ្តល់មធ្យោបាយដើម្បីសុវត្ថិភាព
ចរចារសោឯកជនដែលបានចែករំលែកដែលបឋមកថាការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ (AH) និង ESP
ផ្នែកនៃ IPsec ត្រូវការដំណើរការត្រឹមត្រូវ។ IKE ជួលកូនសោ Diffie-Hellman-
វិធីសាស្រ្តផ្លាស់ប្តូរ និងជាជម្រើសក្នុង IPsec ។ (គ្រាប់ចុចដែលបានចែករំលែកអាចត្រូវបានបញ្ចូលដោយដៃ
នៅចំណុចចុងក្រោយ។ )
IPsec
ពិធីការសន្តិសុខ IP (IPsec) ។ វិធីស្ដង់ដារដើម្បីបន្ថែមសុវត្ថិភាពក្នុងការទំនាក់ទំនងតាមអ៊ីនធឺណិត។ សមាគមសន្តិសុខ IPsec (SA) បង្កើតការទំនាក់ទំនងប្រកបដោយសុវត្ថិភាពជាមួយនឹងម៉ូឌុលគ្រីបគ្រីប FIPS មួយផ្សេងទៀតដោយមធ្យោបាយនៃការផ្ទៀងផ្ទាត់គ្នាទៅវិញទៅមក និងការអ៊ិនគ្រីប។
ខេត
តេស្តចម្លើយដែលគេស្គាល់។ ការធ្វើតេស្តដោយខ្លួនឯងនៃប្រព័ន្ធដែលផ្តល់សុពលភាពនូវលទ្ធផលនៃក្បួនដោះស្រាយគ្រីបដែលបានអនុម័តសម្រាប់ FIPS និងសាកល្បងភាពសុចរិតនៃម៉ូឌុល Junos OS មួយចំនួន។ សម្រាប់ព័ត៌មានលម្អិត សូមមើល “FIPS Self-Tests Overview» នៅទំព័រ ៦។
SA
សមាគមសន្តិសុខ (SA) ។ ការតភ្ជាប់រវាងម៉ាស៊ីនដែលអនុញ្ញាតឱ្យពួកគេ។
ប្រាស្រ័យទាក់ទងដោយសុវត្ថិភាពដោយកំណត់ ឧample, របៀបដែលពួកគេប្តូរសោឯកជន។ ជា
អ្នកគ្រប់គ្រងសុវត្ថិភាព អ្នកត្រូវតែកំណត់រចនាសម្ព័ន្ធ SA ខាងក្នុងដោយដៃនៅលើឧបករណ៍
7
SPI SSH Zeroization
ដំណើរការ Junos OS នៅក្នុងរបៀប FIPS នៃប្រតិបត្តិការ។ តម្លៃទាំងអស់ រួមទាំងកូនសោ ត្រូវតែបញ្ជាក់ជាលក្ខណៈឋិតិវន្តក្នុងការកំណត់រចនាសម្ព័ន្ធ។
សន្ទស្សន៍ប៉ារ៉ាម៉ែត្រសុវត្ថិភាព (SPI) ។ លេខសម្គាល់ដែលប្រើជាមួយអាសយដ្ឋានគោលដៅ និងពិធីការសុវត្ថិភាពក្នុង IPsec ដើម្បីកំណត់អត្តសញ្ញាណ SA ។ ដោយសារតែអ្នកកំណត់រចនាសម្ព័ន្ធ SA សម្រាប់ Junos OS ដោយដៃនៅក្នុងរបៀបប្រតិបត្តិការ FIPS នោះ SPI ត្រូវតែបញ្ចូលជាប៉ារ៉ាម៉ែត្រជាជាងបានមកដោយចៃដន្យ។
ពិធីការដែលប្រើការផ្ទៀងផ្ទាត់ខ្លាំង និងការអ៊ិនគ្រីបសម្រាប់ការចូលប្រើពីចម្ងាយឆ្លងកាត់បណ្តាញដែលមិនមានសុវត្ថិភាព។ SSH ផ្តល់នូវការចូលពីចម្ងាយ ការប្រតិបត្តិកម្មវិធីពីចម្ងាយ file ច្បាប់ចម្លង និងមុខងារផ្សេងទៀត។ វាត្រូវបានបម្រុងទុកជាការជំនួសដោយសុវត្ថិភាពសម្រាប់ rlogin, rsh, និង rcp នៅក្នុងបរិស្ថាន UNIX ។ ដើម្បីធានាបាននូវព័ត៌មានដែលបានផ្ញើតាមការតភ្ជាប់រដ្ឋបាល សូមប្រើ SSHv2 សម្រាប់ការកំណត់រចនាសម្ព័ន្ធ CLI ។ នៅក្នុង Junos OS SSHv2 ត្រូវបានបើកតាមលំនាំដើម ហើយ SSHv1 ដែលមិនត្រូវបានចាត់ទុកថាមានសុវត្ថិភាពត្រូវបានបិទ។
ការលុប CSPs ទាំងអស់ និងទិន្នន័យដែលបង្កើតដោយអ្នកប្រើប្រាស់ផ្សេងទៀតនៅលើឧបករណ៍មួយ មុនពេលប្រតិបត្តិការរបស់វាជាម៉ូឌុលគ្រីបគ្រីប FIPS ឬក្នុងការរៀបចំសម្រាប់ការរៀបចំឧបករណ៍ឡើងវិញសម្រាប់ប្រតិបត្តិការ nonFIPS ។ អ្នកគ្រប់គ្រងសន្តិសុខអាចសូន្យប្រព័ន្ធដោយប្រើពាក្យបញ្ជាប្រតិបត្តិការ CLI ។ សម្រាប់ព័ត៌មានលម្អិត សូមមើល “Overview នៃ Zeroization ដើម្បីជម្រះទិន្នន័យប្រព័ន្ធសម្រាប់របៀប FIPS” នៅទំព័រ 23 ។
គាំទ្រក្បួនដោះស្រាយគ្រីបតូ
ការអនុវត្តនីមួយៗនៃក្បួនដោះស្រាយមួយត្រូវបានត្រួតពិនិត្យដោយស៊េរីនៃការធ្វើតេស្តចម្លើយដែលគេស្គាល់ (KAT) ការធ្វើតេស្តខ្លួនឯង។ ការបរាជ័យនៃការធ្វើតេស្តដោយខ្លួនឯងណាមួយ បណ្តាលឱ្យមានស្ថានភាពកំហុស FIPS ។
ការអនុវត្តល្អបំផុត៖ សម្រាប់ការអនុលោមតាម FIPS 140-3 ប្រើតែក្បួនដោះស្រាយគ្រីបដែលអនុម័តដោយ FIPS នៅក្នុង Junos OS នៅក្នុងរបៀបប្រតិបត្តិការ FIPS ។
ក្បួនដោះស្រាយការគ្រីបខាងក្រោមត្រូវបានគាំទ្រនៅក្នុងរបៀប FIPS នៃប្រតិបត្តិការ។ វិធីសាស្ត្រស៊ីមេទ្រីប្រើសោដូចគ្នាសម្រាប់ការអ៊ិនគ្រីប និងការឌិគ្រីប ខណៈពេលដែលវិធីសាស្ត្រ asymmetric (ពេញចិត្ត) ប្រើសោផ្សេងគ្នាសម្រាប់ការអ៊ិនគ្រីប និងឌិគ្រីប។
AES
ស្តង់ដារអ៊ិនគ្រីបកម្រិតខ្ពស់ (AES) ដែលកំណត់ក្នុង FIPS PUB 197។ ក្បួនដោះស្រាយ AES ប្រើ
គ្រាប់ចុច 128, 192, ឬ 256 ប៊ីត ដើម្បីអ៊ិនគ្រីប និងឌិគ្រីបទិន្នន័យក្នុងប្លុក 128 ប៊ីត។
DiffieHellman
វិធីសាស្រ្តនៃការផ្លាស់ប្តូរសោរនៅទូទាំងបរិយាកាសដែលមិនមានសុវត្ថិភាព (ដូចជាអ៊ីនធឺណិត)។ ក្បួនដោះស្រាយ Diffie-Hellman ចរចារសោវគ្គដោយមិនបញ្ជូនសោដោយខ្លួនឯងឆ្លងកាត់បណ្តាញ ដោយអនុញ្ញាតឱ្យភាគីនីមួយៗជ្រើសរើសសោផ្នែកដោយឯករាជ្យ ហើយផ្ញើផ្នែកនៃសោនោះ។
8
ECDH ECDSA HMAC
ទៅម្ខាងទៀត។ បន្ទាប់មកភាគីនីមួយៗគណនាតម្លៃគន្លឹះទូទៅ។ នេះគឺជាវិធីសាស្ត្រស៊ីមេទ្រី ហើយជាធម្មតាគ្រាប់ចុចត្រូវបានប្រើតែក្នុងរយៈពេលខ្លីប៉ុណ្ណោះ បោះបង់ និងបង្កើតឡើងវិញ។
ខ្សែកោង Elliptic Diffie-Hellman ។ វ៉ារ្យ៉ង់នៃក្បួនដោះស្រាយការផ្លាស់ប្តូរគន្លឹះ Diffie-Hellman ដែលប្រើការគ្រីបគ្រីបដោយផ្អែកលើរចនាសម្ព័ន្ធពិជគណិតនៃខ្សែកោងរាងអេលីបលើវាលកំណត់។ ECDH អនុញ្ញាតឱ្យភាគីទាំងពីរ ដែលនីមួយៗមានគូសោសាធារណៈ-ឯកជន ខ្សែកោងរាងអេលីប ដើម្បីបង្កើតការសម្ងាត់រួមគ្នាលើបណ្តាញដែលមិនមានសុវត្ថិភាព។ អាថ៌កំបាំងដែលបានចែករំលែកអាចប្រើជាសោរ ឬដើម្បីទាញយកសោមួយផ្សេងទៀតសម្រាប់ការអ៊ិនគ្រីបទំនាក់ទំនងជាបន្តបន្ទាប់ដោយប្រើលេខកូដស៊ីមេទ្រី។
ក្បួនដោះស្រាយហត្ថលេខាឌីជីថលខ្សែកោងរាងអេលីបទិក។ វ៉ារ្យ៉ង់នៃក្បួនដោះស្រាយហត្ថលេខាឌីជីថល (DSA) ដែលប្រើគ្រីបគ្រីបដោយផ្អែកលើរចនាសម្ព័ន្ធពិជគណិតនៃខ្សែកោងរាងអេលីបលើវាលកំណត់។ ទំហំប៊ីតនៃខ្សែកោងរាងអេលីបកំណត់ពីការលំបាកក្នុងការឌិគ្រីបសោ។ សោសាធារណៈដែលគេជឿថាត្រូវការសម្រាប់ ECDSA គឺប្រហែលពីរដងនៃកម្រិតសុវត្ថិភាព គិតជាប៊ីត។ ECDSA ដោយប្រើខ្សែកោង P-256, P-384 ឬ P-521 អាចត្រូវបានកំណត់រចនាសម្ព័ន្ធនៅក្រោម OpenSSH ។
ត្រូវបានកំណត់ថាជា "ការបិទភ្ជាប់សោសម្រាប់ការផ្ទៀងផ្ទាត់សារ" នៅក្នុង RFC 2104, HMAC រួមបញ្ចូលគ្នានូវក្បួនដោះស្រាយ hashing ជាមួយសោគ្រីបសម្រាប់ការផ្ទៀងផ្ទាត់សារ។ សម្រាប់ Junos OS នៅក្នុងរបៀប FIPS នៃប្រតិបត្តិការ HMAC ប្រើមុខងារកូដសម្ងាត់ដែលបានធ្វើម្តងទៀត SHA-1 (កំណត់ថាជា HMAC-SHA1) រួមជាមួយនឹងសោសម្ងាត់មួយ។
ឯកសារពាក់ព័ន្ធ FIPS ការធ្វើតេស្តដោយខ្លួនឯងបានបញ្ចប់view | 122 ជាងview នៃ Zeroization ដើម្បីជម្រះទិន្នន័យប្រព័ន្ធសម្រាប់របៀប FIPS | ២៣
កំណត់ការចែកចាយផលិតផលប្រកបដោយសុវត្ថិភាព
មានយន្តការជាច្រើនដែលបានផ្តល់នៅក្នុងដំណើរការចែកចាយដើម្បីធានាថាអតិថិជនទទួលបានផលិតផលដែលមិនទាន់ត្រូវបាន tampered ជាមួយ។ អតិថិជនគួរតែធ្វើការត្រួតពិនិត្យខាងក្រោមនៅពេលទទួលបានឧបករណ៍ ដើម្បីផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវនៃវេទិកា។ · ស្លាកដឹកជញ្ជូន- ត្រូវប្រាកដថាស្លាកដឹកជញ្ជូនកំណត់ឈ្មោះអតិថិជនត្រឹមត្រូវ និង
អាសយដ្ឋានក៏ដូចជាឧបករណ៍។ · ការវេចខ្ចប់ខាងក្រៅ-ពិនិត្យប្រអប់ដឹកជញ្ជូនខាងក្រៅ និងកាសែត។ ត្រូវប្រាកដថាកាសែតដឹកជញ្ជូនមិនមាន
ត្រូវបានកាត់ ឬមានការសម្របសម្រួល។ ត្រូវប្រាកដថាប្រអប់មិនត្រូវបានកាត់ ឬខូច ដើម្បីអនុញ្ញាតឱ្យចូលប្រើឧបករណ៍។
9
· ការវេចខ្ចប់ខាងក្នុង-ពិនិត្យថង់ប្លាស្ទិក និងត្រា។ ត្រូវប្រាកដថាកាបូបមិនត្រូវបានកាត់ឬដកចេញ។ ត្រូវប្រាកដថាត្រានៅដដែល។
ប្រសិនបើអតិថិជនកំណត់បញ្ហាក្នុងអំឡុងពេលត្រួតពិនិត្យ គាត់គួរតែទាក់ទងអ្នកផ្គត់ផ្គង់ភ្លាមៗ។ ផ្តល់លេខបញ្ជាទិញ លេខតាមដាន និងការពិពណ៌នាអំពីបញ្ហាដែលបានកំណត់ទៅអ្នកផ្គត់ផ្គង់។ លើសពីនេះទៀត មានការត្រួតពិនិត្យជាច្រើនដែលអាចត្រូវបានអនុវត្តដើម្បីធានាថាអតិថិជនបានទទួលប្រអប់ផ្ញើដោយ Juniper Networks ហើយមិនមែនជាក្រុមហ៊ុនផ្សេងដែលក្លែងបន្លំជា Juniper Networks នោះទេ។ អតិថិជនគួរតែធ្វើការត្រួតពិនិត្យខាងក្រោមនៅពេលទទួលបានឧបករណ៍ ដើម្បីផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវនៃឧបករណ៍៖ · ផ្ទៀងផ្ទាត់ថាឧបករណ៍នេះត្រូវបានបញ្ជាទិញដោយប្រើការបញ្ជាទិញ។ ឧបករណ៍ Juniper Networks មិនដែលមានទេ។
ដឹកជញ្ជូនដោយគ្មានការបញ្ជាទិញ។ · នៅពេលដែលឧបករណ៍ត្រូវបានដឹកជញ្ជូន ការជូនដំណឹងអំពីការដឹកជញ្ជូនត្រូវបានផ្ញើទៅកាន់អាសយដ្ឋានអ៊ីមែលដែលផ្តល់ដោយ
អតិថិជននៅពេលបញ្ជាទិញ។ ផ្ទៀងផ្ទាត់ថាការជូនដំណឹងតាមអ៊ីមែលនេះត្រូវបានទទួល។ ផ្ទៀងផ្ទាត់ថាអ៊ីមែលមានព័ត៌មានដូចខាងក្រោម៖ · លេខបញ្ជាទិញ · លេខបញ្ជាទិញ Juniper Networks ដែលប្រើដើម្បីតាមដានការដឹកជញ្ជូន · លេខតាមដានក្រុមហ៊ុនដឹកជញ្ជូនដែលប្រើដើម្បីតាមដានការដឹកជញ្ជូន · បញ្ជីទំនិញដែលបានដឹកជញ្ជូនរួមទាំងលេខសៀរៀល · អាស័យដ្ឋាន និងទំនាក់ទំនងរបស់អ្នកផ្គត់ផ្គង់ និងទំនាក់ទំនង។ អតិថិជន · ផ្ទៀងផ្ទាត់ថាការដឹកជញ្ជូនត្រូវបានផ្តួចផ្តើមដោយ Juniper Networks។ ដើម្បីផ្ទៀងផ្ទាត់ថាការដឹកជញ្ជូនត្រូវបានផ្តួចផ្តើមដោយ Juniper Networks អ្នកគួរតែអនុវត្តភារកិច្ចដូចខាងក្រោមៈ · ប្រៀបធៀបលេខតាមដានក្រុមហ៊ុនដឹកជញ្ជូននៃលេខលំដាប់ Juniper Networks ដែលបានរាយក្នុង Juniper
ការជូនដំណឹងអំពីការដឹកជញ្ជូនតាមបណ្តាញជាមួយនឹងលេខតាមដាននៅលើកញ្ចប់ដែលបានទទួល។ · ចូលទៅកាន់គេហទំព័រគាំទ្រអតិថិជនអនឡាញ Juniper Networks នៅ https://support.juniper.net/
គាំទ្រ / ទៅ view ស្ថានភាពនៃការបញ្ជាទិញ។ ប្រៀបធៀបលេខតាមដានក្រុមហ៊ុនដឹកជញ្ជូន ឬលេខលំដាប់ Juniper Networks ដែលបានរាយក្នុងសេចក្តីជូនដំណឹងអំពីការដឹកជញ្ជូន Juniper Networks ជាមួយនឹងលេខតាមដាននៅលើកញ្ចប់ដែលបានទទួល។
ចំណុចប្រទាក់គ្រប់គ្រងលើសview
ចំណុចប្រទាក់គ្រប់គ្រងខាងក្រោមអាចត្រូវបានប្រើនៅក្នុងការកំណត់រចនាសម្ព័ន្ធដែលបានវាយតម្លៃ៖
10
· ចំណុចប្រទាក់គ្រប់គ្រងមូលដ្ឋាន-ច្រកកុងសូល RJ-45 នៅលើឧបករណ៍ត្រូវបានកំណត់រចនាសម្ព័ន្ធជាឧបករណ៍ស្ថានីយទិន្នន័យ RS-232 (DTE) ។ អ្នកអាចប្រើចំណុចប្រទាក់បន្ទាត់ពាក្យបញ្ជា (CLI) លើច្រកនេះដើម្បីកំណត់រចនាសម្ព័ន្ធឧបករណ៍ពីស្ថានីយ។
· ពិធីការគ្រប់គ្រងពីចម្ងាយ-ឧបករណ៍អាចត្រូវបានគ្រប់គ្រងពីចម្ងាយលើចំណុចប្រទាក់អ៊ីសឺរណិតណាមួយ។ SSHv2 គឺជាពិធីការគ្រប់គ្រងពីចម្ងាយដែលត្រូវបានអនុញ្ញាតតែមួយគត់ដែលអាចប្រើក្នុងការកំណត់រចនាសម្ព័ន្ធដែលបានវាយតម្លៃ។ ពិធីការគ្រប់គ្រងពីចម្ងាយ J-Web ហើយ Telnet មិនមានសម្រាប់ប្រើនៅលើឧបករណ៍នោះទេ។
2 ជំពូក
កំណត់រចនាសម្ព័ន្ធតួនាទី និងវិធីសាស្ត្រផ្ទៀងផ្ទាត់
ជាងview តួនាទី និងសេវាកម្មសម្រាប់ Junos OS | 12 ជាងview នៃបរិស្ថានប្រតិបត្តិការសម្រាប់ Junos OS នៅក្នុងរបៀប FIPS | 14 ជាងview នៃការបញ្ជាក់ពាក្យសម្ងាត់ និងគោលការណ៍ណែនាំសម្រាប់ Junos OS នៅក្នុងរបៀប FIPS |
18 ទាញយកកញ្ចប់កម្មវិធីពី Juniper Networks | 19 ដំឡើងកញ្ចប់កម្មវិធី Junos | 20 ជាងview នៃ Zeroization ដើម្បីជម្រះទិន្នន័យប្រព័ន្ធសម្រាប់របៀប FIPS | 23 Zeroize the System | 24 បើករបៀប FIPS | 26 កំណត់រចនាសម្ព័ន្ធអ្នកគ្រប់គ្រងសុវត្ថិភាព និងការកំណត់អត្តសញ្ញាណអ្នកប្រើប្រាស់ FIPS និងការចូលប្រើ | ២៨
12
ជាងview តួនាទី និងសេវាកម្មសម្រាប់ Junos OS
នៅក្នុងផ្នែកនេះ តួនាទី និងការទទួលខុសត្រូវរបស់អ្នកគ្រប់គ្រងសន្តិសុខ | 12 តួនាទី និងទំនួលខុសត្រូវរបស់អ្នកប្រើ FIPS | 13 អ្វីដែលត្រូវបានរំពឹងទុកនៃអ្នកប្រើប្រាស់ FIPS ទាំងអស់ | ១៦
អ្នកគ្រប់គ្រងសុវត្ថិភាពត្រូវបានភ្ជាប់ជាមួយនឹងថ្នាក់ចូលសុវត្ថិភាព-admin ដែលបានកំណត់ដែលមានការអនុញ្ញាតចាំបាច់ដើម្បីអនុញ្ញាតឱ្យអ្នកគ្រប់គ្រងអនុវត្តកិច្ចការទាំងអស់ដែលចាំបាច់ដើម្បីគ្រប់គ្រង Junos OS ។ អ្នកប្រើប្រាស់ផ្នែករដ្ឋបាល (អ្នកគ្រប់គ្រងសន្តិសុខ) ត្រូវតែផ្តល់អត្តសញ្ញាណ និងទិន្នន័យផ្ទៀងផ្ទាត់តែមួយគត់ មុនពេលដែលសិទ្ធិចូលដំណើរការរដ្ឋបាលណាមួយទៅកាន់ប្រព័ន្ធត្រូវបានផ្តល់។ តួនាទី និងការទទួលខុសត្រូវរបស់អ្នកគ្រប់គ្រងសន្តិសុខមានដូចខាងក្រោម៖ 1. អ្នកគ្រប់គ្រងសន្តិសុខអាចគ្រប់គ្រងតាមមូលដ្ឋាន និងពីចម្ងាយ។ 2. បង្កើត កែប្រែ លុបគណនីអ្នកគ្រប់គ្រង រួមទាំងការកំណត់រចនាសម្ព័ន្ធនៃការផ្ទៀងផ្ទាត់ភាពបរាជ័យ
ប៉ារ៉ាម៉ែត្រ។ 3. បើកគណនីអ្នកគ្រប់គ្រងឡើងវិញ។ 4. ទទួលខុសត្រូវលើការកំណត់រចនាសម្ព័ន្ធ និងការថែទាំនៃធាតុគ្រីបដែលទាក់ទងនឹង
ការបង្កើតការតភ្ជាប់សុវត្ថិភាពទៅ និងពីផលិតផលដែលបានវាយតម្លៃ។ ប្រព័ន្ធប្រតិបត្តិការ Juniper Networks Junos (Junos OS) ដែលដំណើរការក្នុងទម្រង់មិន FIPS អនុញ្ញាតឱ្យមានលទ្ធភាពជាច្រើនសម្រាប់អ្នកប្រើប្រាស់ ហើយការផ្ទៀងផ្ទាត់គឺផ្អែកលើអត្តសញ្ញាណ។ អ្នកគ្រប់គ្រងសុវត្ថិភាពអនុវត្តរាល់ភារកិច្ចកំណត់រចនាសម្ព័ន្ធដែលទាក់ទងនឹងរបៀប FIPS ហើយចេញសេចក្តីថ្លែងការណ៍ និងពាក្យបញ្ជាទាំងអស់សម្រាប់ Junos OS នៅក្នុងរបៀប FIPS ។
តួនាទី និងការទទួលខុសត្រូវរបស់អ្នកគ្រប់គ្រងសន្តិសុខ
អ្នកគ្រប់គ្រងសន្តិសុខគឺជាអ្នកទទួលខុសត្រូវក្នុងការបើក កំណត់រចនាសម្ព័ន្ធ ត្រួតពិនិត្យ និងថែទាំ Junos OS នៅក្នុងរបៀប FIPS នៅលើឧបករណ៍មួយ។ អ្នកគ្រប់គ្រងសុវត្ថិភាពដំឡើង Junos OS យ៉ាងមានសុវត្ថិភាពនៅលើឧបករណ៍ បើករបៀប FIPS បង្កើតសោ និងពាក្យសម្ងាត់សម្រាប់អ្នកប្រើប្រាស់ផ្សេងទៀត និងម៉ូឌុលកម្មវិធី និងចាប់ផ្តើមឧបករណ៍មុនពេលភ្ជាប់បណ្តាញ។
13
ការអនុវត្តល្អបំផុត៖ យើងសូមណែនាំថា អ្នកគ្រប់គ្រងសន្តិសុខគ្រប់គ្រងប្រព័ន្ធក្នុងលក្ខណៈសុវត្ថិភាព ដោយរក្សាពាក្យសម្ងាត់ឱ្យមានសុវត្ថិភាព និងពិនិត្យមើលសវនកម្ម។ files.
ការអនុញ្ញាតដែលបែងចែកអ្នកគ្រប់គ្រងសុវត្ថិភាពពីអ្នកប្រើប្រាស់ FIPS ផ្សេងទៀតគឺសម្ងាត់ សុវត្ថិភាព ការថែទាំ និងការគ្រប់គ្រង។ ចាត់តាំងអ្នកគ្រប់គ្រងសុវត្ថិភាពទៅថ្នាក់ចូលដែលមានការអនុញ្ញាតទាំងអស់នេះ។ ក្នុងចំណោមកិច្ចការដែលទាក់ទងនឹង Junos OS នៅក្នុងរបៀប FIPS អ្នកគ្រប់គ្រងសន្តិសុខត្រូវបានគេរំពឹងថានឹង៖ · កំណត់ពាក្យសម្ងាត់ដើមដំបូង។ ប្រវែងនៃពាក្យសម្ងាត់គួរតែមានយ៉ាងហោចណាស់ 10 តួអក្សរ។ · កំណត់ពាក្យសម្ងាត់របស់អ្នកប្រើឡើងវិញជាមួយនឹងក្បួនដោះស្រាយដែលអនុម័តដោយ FIPS ។ ·ពិនិត្យកំណត់ហេតុនិងសវនកម្ម files សម្រាប់ព្រឹត្តិការណ៍ដែលចាប់អារម្មណ៍។ · លុបបង្កើតដោយអ្នកប្រើ files, គ្រាប់ចុច និងទិន្នន័យដោយសូន្យឧបករណ៍។
តួនាទី និងទំនួលខុសត្រូវរបស់អ្នកប្រើប្រាស់ FIPS
អ្នកប្រើប្រាស់ FIPS ទាំងអស់ រួមទាំងអ្នកគ្រប់គ្រងសន្តិសុខអាច view ការកំណត់រចនាសម្ព័ន្ធ។ មានតែអ្នកប្រើដែលបានចាត់តាំងជាអ្នកគ្រប់គ្រងសុវត្ថិភាពប៉ុណ្ណោះអាចកែប្រែការកំណត់រចនាសម្ព័ន្ធបាន។ អ្នកប្រើ FIPS អាច view លទ្ធផលស្ថានភាព ប៉ុន្តែមិនអាចចាប់ផ្ដើមឡើងវិញ ឬបិទឧបករណ៍បានទេ។
អ្វីដែលត្រូវបានរំពឹងទុករបស់អ្នកប្រើ FIPS ទាំងអស់។
អ្នកប្រើប្រាស់ FIPS ទាំងអស់ រួមទាំងអ្នកគ្រប់គ្រងសន្តិសុខ ត្រូវតែគោរពតាមគោលការណ៍ណែនាំសុវត្ថិភាពគ្រប់ពេលវេលា។ អ្នកប្រើប្រាស់ FIPS ទាំងអស់ត្រូវតែ៖ · រក្សាពាក្យសម្ងាត់ទាំងអស់ជាសម្ងាត់។ · រក្សាទុកឧបករណ៍ និងឯកសារនៅក្នុងតំបន់សុវត្ថិភាព។ · ដាក់ពង្រាយឧបករណ៍នៅក្នុងតំបន់សុវត្ថិភាព។ ·ពិនិត្យសវនកម្ម files តាមកាលកំណត់។ · អនុលោមតាមច្បាប់សុវត្ថិភាព FIPS 140-3 ផ្សេងទៀត។ · អនុវត្តតាមការណែនាំទាំងនេះ៖
14
· អ្នកប្រើត្រូវបានជឿទុកចិត្ត។ · អ្នកប្រើប្រាស់គោរពតាមគោលការណ៍ណែនាំសុវត្ថិភាពទាំងអស់។ · អ្នកប្រើមិនបំពានសុវត្ថិភាពដោយចេតនា។ · អ្នកប្រើប្រាស់មានអាកប្បកិរិយាទទួលខុសត្រូវគ្រប់ពេលវេលា។
ឯកសារដែលពាក់ព័ន្ធ ធ្វើឱ្យប្រព័ន្ធសូន្យ | ២៤
ជាងview នៃបរិស្ថានប្រតិបត្តិការសម្រាប់ Junos OS នៅក្នុងរបៀប FIPS
នៅក្នុងផ្នែកនេះ បរិស្ថានផ្នែករឹងសម្រាប់ Junos OS នៅក្នុងរបៀប FIPS | 14 បរិស្ថានកម្មវិធីសម្រាប់ Junos OS ក្នុងរបៀប FIPS | 15 ប៉ារ៉ាម៉ែត្រសុវត្ថិភាពសំខាន់ៗ | ១៦
ឧបករណ៍ Juniper Networks ដែលដំណើរការប្រព័ន្ធប្រតិបត្តិការ Juniper Networks Junos (Junos OS) នៅក្នុងរបៀប FIPS បង្កើតបានជាប្រភេទពិសេសនៃបរិយាកាសប្រតិបត្តិការផ្នែករឹង និងសូហ្វវែរ ដែលខុសពីបរិស្ថានរបស់ឧបករណ៍នៅក្នុងរបៀបមិនមែន FIPS៖
បរិស្ថានផ្នែករឹងសម្រាប់ Junos OS នៅក្នុងរបៀប FIPS
Junos OS នៅក្នុងរបៀប FIPS បង្កើតព្រំដែនគ្រីបនៅក្នុងឧបករណ៍ដែលមិនមានប៉ារ៉ាម៉ែត្រសុវត្ថិភាពសំខាន់ (CSPs) អាចឆ្លងកាត់ដោយប្រើអត្ថបទធម្មតា។ សមាសធាតុផ្នែករឹងនីមួយៗរបស់ឧបករណ៍ដែលទាមទារព្រំដែនគ្រីបសម្រាប់ការអនុលោមតាម FIPS 140-3 គឺជាម៉ូឌុលគ្រីបគ្រីបដាច់ដោយឡែក។ មានផ្នែករឹងពីរប្រភេទដែលមានព្រំដែនគ្រីបនៅក្នុង Junos OS នៅក្នុងរបៀប FIPS: មួយសម្រាប់ Routing Engine នីមួយៗ និងមួយសម្រាប់តួទាំងមូល។
15
វិធីសាស្ត្រគ្រីបតូ មិនមែនជាការជំនួសសុវត្ថិភាពរូបវន្តទេ។ ផ្នែករឹងត្រូវតែស្ថិតនៅក្នុងបរិយាកាសសុវត្ថិភាព។ អ្នកប្រើគ្រប់ប្រភេទមិនត្រូវបង្ហាញកូនសោ ឬពាក្យសម្ងាត់ ឬអនុញ្ញាតឱ្យបុគ្គលិកគ្មានការអនុញ្ញាតឱ្យឃើញកំណត់ត្រាជាលាយលក្ខណ៍អក្សរឬកំណត់ត្រាជាលាយលក្ខណ៍អក្សរឡើយ។
បរិស្ថានកម្មវិធីសម្រាប់ Junos OS នៅក្នុងរបៀប FIPS
ឧបករណ៍ Juniper Networks ដែលដំណើរការ Junos OS នៅក្នុងរបៀប FIPS បង្កើតបានជាប្រភេទពិសេសនៃបរិស្ថានប្រតិបត្តិការដែលមិនអាចកែប្រែបាន។ ដើម្បីសម្រេចបាននូវបរិយាកាសនេះនៅលើឧបករណ៍ ប្រព័ន្ធការពារការប្រតិបត្តិប្រព័ន្ធគោលពីរណាមួយ។ file នោះមិនមែនជាផ្នែកនៃ Junos OS ដែលបានបញ្ជាក់នៅក្នុងការចែកចាយរបៀប FIPS នោះទេ។ នៅពេលដែលឧបករណ៍ស្ថិតនៅក្នុងរបៀប FIPS វាអាចដំណើរការបានតែ Junos OS ប៉ុណ្ណោះ។ Junos OS នៅក្នុងបរិស្ថានកម្មវិធីរបៀប FIPS ត្រូវបានបង្កើតឡើងបន្ទាប់ពីអ្នកគ្រប់គ្រងសុវត្ថិភាពបើករបៀប FIPS ដោយជោគជ័យនៅលើឧបករណ៍មួយ។ រូបភាព Junos OS ដែលរួមបញ្ចូលរបៀប FIPS មាននៅលើ Juniper Networks webគេហទំព័រ និងអាចត្រូវបានដំឡើងនៅលើឧបករណ៍ដំណើរការ។ សម្រាប់ការអនុលោមតាម FIPS 140-3 យើងសូមណែនាំឱ្យអ្នកលុបទាំងអស់ដែលបានបង្កើតដោយអ្នកប្រើប្រាស់ files និងទិន្នន័យដោយសូន្យឧបករណ៍មុនពេលបើករបៀប FIPS ។ ការបើករបៀប FIPS បិទដំណើរការ និងសេវាកម្ម Junos OS ធម្មតា។ ជាពិសេស អ្នកមិនអាចកំណត់រចនាសម្ព័ន្ធសេវាកម្មខាងក្រោមនៅក្នុង Junos OS នៅក្នុងរបៀប FIPS៖ · ម្រាមដៃ
· ftp
· ចូល
· ទូរគមនាគមន៍
· tftp
· xnm-clear-text
ការព្យាយាមកំណត់រចនាសម្ព័ន្ធសេវាកម្មទាំងនេះ ឬផ្ទុកការកំណត់រចនាសម្ព័ន្ធជាមួយនឹងសេវាកម្មទាំងនេះដែលបានកំណត់រចនាសម្ព័ន្ធ បណ្តាលឱ្យមានកំហុសវាក្យសម្ព័ន្ធនៃការកំណត់រចនាសម្ព័ន្ធ។ អ្នកអាចប្រើតែ SSH ជាសេវាចូលប្រើពីចម្ងាយ។ ពាក្យសម្ងាត់ទាំងអស់ដែលបានបង្កើតឡើងសម្រាប់អ្នកប្រើប្រាស់បន្ទាប់ពីការអាប់ដេតទៅ Junos OS នៅក្នុងរបៀប FIPS ត្រូវតែអនុលោមតាម Junos OS នៅក្នុងលក្ខណៈបច្ចេកទេស FIPS ។ ពាក្យសម្ងាត់ត្រូវតែមានប្រវែងចន្លោះពី 10 ទៅ 20 តួអក្សរ ហើយតម្រូវឱ្យប្រើយ៉ាងហោចបីនៃសំណុំតួអក្សរដែលបានកំណត់ទាំងប្រាំ (អក្សរធំ និងអក្សរតូច ខ្ទង់ សញ្ញាវណ្ណយុត្តិ និងតួអក្សរក្តារចុចដូចជា % និង & ដែលមិនរួមបញ្ចូលក្នុងអក្សរផ្សេងទៀត បួនប្រភេទ) ។ ការព្យាយាមកំណត់រចនាសម្ព័ន្ធពាក្យសម្ងាត់ដែលមិនអនុលោមតាមច្បាប់ទាំងនេះបណ្តាលឱ្យមានកំហុស។ ពាក្យសម្ងាត់ និងកូនសោទាំងអស់ដែលប្រើដើម្បីផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវត្រូវមានយ៉ាងហោចណាស់ 10 តួអក្សរ ហើយក្នុងករណីខ្លះប្រវែងត្រូវតែផ្គូផ្គងនឹងទំហំសង្ខេប។
16
ចំណាំ៖ កុំភ្ជាប់ឧបករណ៍ទៅបណ្តាញរហូតទាល់តែអ្នកគ្រប់គ្រងសុវត្ថិភាពបញ្ចប់ការកំណត់ពីការតភ្ជាប់កុងសូលមូលដ្ឋាន។
សម្រាប់ការអនុលោមតាមច្បាប់យ៉ាងតឹងរ៉ឹង សូមកុំពិនិត្យមើលព័ត៌មានស្នូល និងការគាំងនៅលើកុងសូលមូលដ្ឋាននៅក្នុង Junos OS នៅក្នុងរបៀប FIPS ពីព្រោះ CSP មួយចំនួនអាចត្រូវបានបង្ហាញជាអត្ថបទធម្មតា។
ប៉ារ៉ាម៉ែត្រសុវត្ថិភាពសំខាន់
ប៉ារ៉ាម៉ែត្រសុវត្ថិភាពសំខាន់ៗ (CSPs) គឺជាព័ត៌មានដែលទាក់ទងនឹងសុវត្ថិភាព ដូចជាសោគ្រីប និងពាក្យសម្ងាត់ដែលអាចប៉ះពាល់ដល់សុវត្ថិភាពនៃម៉ូឌុលគ្រីបគ្រីប ឬសុវត្ថិភាពនៃព័ត៌មានដែលត្រូវបានការពារដោយម៉ូឌុល ប្រសិនបើពួកវាត្រូវបានបង្ហាញ ឬកែប្រែ។
Zeroization នៃប្រព័ន្ធលុបដានទាំងអស់នៃ CSPs ក្នុងការរៀបចំសម្រាប់ដំណើរការឧបករណ៍ Routing Engine ជាម៉ូឌុលគ្រីប។
តារាងទី 1 នៅលើទំព័រ 16 រាយបញ្ជី CSPs នៅលើឧបករណ៍ដែលដំណើរការ Junos OS ។
តារាងទី 1៖ ប៉ារ៉ាម៉ែត្រសុវត្ថិភាពសំខាន់
CSP
ការពិពណ៌នា
សូន្យ
ប្រើ
សោម៉ាស៊ីនឯកជន SSHv2
សោ ECDSA / RSA ដែលប្រើដើម្បីកំណត់អត្តសញ្ញាណម៉ាស៊ីន បានបង្កើតជាលើកដំបូង SSH ត្រូវបានកំណត់រចនាសម្ព័ន្ធ។
សូន្យពាក្យបញ្ជា។
ប្រើដើម្បីកំណត់អត្តសញ្ញាណម្ចាស់ផ្ទះ។
សោសម័យ SSHv2
សោសម័យប្រើជាមួយ SSHv2 និងជាវដ្តថាមពល និង
សោឯកជន Diffie-Hellman ។
បញ្ចប់វគ្គ។
ការអ៊ិនគ្រីប៖ AES-128, AES-256 ។
សោស៊ីមេទ្រីបានប្រើដើម្បីអ៊ិនគ្រីបទិន្នន័យរវាងម៉ាស៊ីន និងម៉ាស៊ីនភ្ញៀវ។
MACs៖ HMAC-SHA-1, HMACSHA-2-256, HMAC-SHA2-512។
ការផ្លាស់ប្តូរគន្លឹះ៖ dh-group14-sha1, ECDH-sha2-nistp256, ECDH-sha2nistp384, និង ECDH-sha2-nistp521។
17
តារាងទី 1៖ ប៉ារ៉ាម៉ែត្រសុវត្ថិភាពសំខាន់ (ត)
CSP
ការពិពណ៌នា
សូន្យ
ប្រើ
ការផ្ទៀងផ្ទាត់អ្នកប្រើប្រាស់ Hash នៃពាក្យសម្ងាត់របស់អ្នកប្រើ៖ SHA256, ពាក្យបញ្ជា Zeroize ។
គន្លឹះ
SHA512.
ប្រើដើម្បីផ្ទៀងផ្ទាត់អ្នកប្រើប្រាស់ទៅម៉ូឌុលគ្រីប។
គន្លឹះផ្ទៀងផ្ទាត់ Crypto Officer
Hash នៃពាក្យសម្ងាត់របស់ Crypto Officer៖ SHA256, SHA512។
សូន្យពាក្យបញ្ជា។
ប្រើដើម្បីផ្ទៀងផ្ទាត់សុវត្ថិភាពអ្នកគ្រប់គ្រងទៅម៉ូឌុលគ្រីប។
គ្រាប់ពូជ HMAC DRBG
គ្រាប់ពូជសម្រាប់កំណត់ randon bit generator (DRBG) ។
គ្រាប់ពូជមិនត្រូវបានរក្សាទុកដោយម៉ូឌុលគ្រីបទេ។
ប្រើសម្រាប់ការបណ្តុះគ្រាប់ពូជ DRBG ។
តម្លៃ HMAC DRBG V
តម្លៃ (V) នៃប្រវែងប្លុកទិន្នផល (outlen) ជាប៊ីត ដែលត្រូវបានធ្វើបច្ចុប្បន្នភាពរាល់ពេលដែលប៊ីត outlen ផ្សេងទៀតត្រូវបានផលិត។
វដ្តថាមពល។
តម្លៃសំខាន់នៃស្ថានភាពផ្ទៃក្នុងរបស់ DRBG ។
តម្លៃគន្លឹះ HMAC DRBG
តម្លៃបច្ចុប្បន្ននៃគ្រាប់ចុចខាងក្រៅ ដែលត្រូវបានធ្វើបច្ចុប្បន្នភាពយ៉ាងហោចណាស់ម្តងរាល់ពេលដែលយន្តការ DRBG បង្កើតប៊ីត pseudorandom ។
វដ្តថាមពល។
តម្លៃសំខាន់នៃស្ថានភាពផ្ទៃក្នុងរបស់ DRBG ។
ធាតុ NDRNG
ប្រើជាខ្សែអក្សរបញ្ចូល entropy ទៅ HMAC DRBG ។
វដ្តថាមពល។
តម្លៃសំខាន់នៃស្ថានភាពផ្ទៃក្នុងរបស់ DRBG ។
នៅក្នុង Junos OS ក្នុងរបៀប FIPS CSP ទាំងអស់ត្រូវតែបញ្ចូល និងចាកចេញពីម៉ូឌុលគ្រីបគ្រីបក្នុងទម្រង់ដែលបានអ៊ិនគ្រីប។ CSP ណាមួយដែលត្រូវបានអ៊ិនគ្រីបជាមួយនឹងក្បួនដោះស្រាយដែលមិនត្រូវបានអនុម័តត្រូវបានចាត់ទុកថាជាអត្ថបទធម្មតាដោយ FIPS ។
ពាក្យសម្ងាត់ក្នុងតំបន់ត្រូវបានគេលួចប្រើជាមួយនឹងក្បួនដោះស្រាយ SHA256 ឬ SHA512។ ការសង្គ្រោះពាក្យសម្ងាត់គឺមិនអាចទៅរួចទេនៅក្នុង Junos OS នៅក្នុងរបៀប FIPS ។ Junos OS នៅក្នុងរបៀប FIPS មិនអាចចាប់ផ្ដើមចូលទៅក្នុងរបៀបអ្នកប្រើតែមួយដោយគ្មានពាក្យសម្ងាត់ root ត្រឹមត្រូវ។
ឯកសារដែលពាក់ព័ន្ធជាងview នៃ Zeroization ដើម្បីជម្រះទិន្នន័យប្រព័ន្ធសម្រាប់របៀប FIPS | ២៣
18
ជាងview នៃការបញ្ជាក់ពាក្យសម្ងាត់ និងគោលការណ៍ណែនាំសម្រាប់ Junos OS នៅក្នុងរបៀប FIPS
ពាក្យសម្ងាត់ទាំងអស់ដែលបានបង្កើតឡើងសម្រាប់អ្នកប្រើប្រាស់ដោយអ្នកគ្រប់គ្រងសន្តិសុខត្រូវតែអនុលោមតាម Junos OS ខាងក្រោមនៅក្នុងតម្រូវការរបៀប FIPS ។ ការព្យាយាមកំណត់រចនាសម្ព័ន្ធពាក្យសម្ងាត់ដែលមិនអនុលោមតាមលក្ខណៈជាក់លាក់ខាងក្រោមបណ្តាលឱ្យមានកំហុស។ · ប្រវែង៖ ពាក្យសម្ងាត់ត្រូវតែមានពី 10 ទៅ 20 តួអក្សរ។ · តម្រូវការកំណត់តួអក្សរ៖ ពាក្យសម្ងាត់ត្រូវតែមានយ៉ាងហោចណាស់បីក្នុងចំណោមប្រាំខាងក្រោមដែលបានកំណត់
សំណុំតួអក្សរ៖ · អក្សរធំ · អក្សរតូច · ខ្ទង់ · សញ្ញាវណ្ណយុត្តិ · តួអក្សរក្តារចុចមិនរួមបញ្ចូលក្នុងសំណុំបួនផ្សេងទៀត – ដូចជាសញ្ញាភាគរយ (%) និង
ampersand (&) · តម្រូវការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ៖ ពាក្យសម្ងាត់ និងសោទាំងអស់ដែលប្រើដើម្បីផ្ទៀងផ្ទាត់មិត្តភ័ក្តិត្រូវតែមាននៅ
យ៉ាងហោចណាស់ 10 តួអក្សរ ហើយក្នុងករណីខ្លះ ចំនួនតួអក្សរត្រូវតែផ្គូផ្គងទំហំសង្ខេប។ · ការអ៊ិនគ្រីបពាក្យសម្ងាត់៖ ដើម្បីផ្លាស់ប្តូរវិធីសាស្ត្រអ៊ិនគ្រីបលំនាំដើម (SHA512) រួមបញ្ចូលទម្រង់
សេចក្តីថ្លែងការណ៍នៅកម្រិតឋានានុក្រម [កែសម្រួលពាក្យសម្ងាត់ចូលប្រព័ន្ធ] ។ គោលការណ៍ណែនាំសម្រាប់ពាក្យសម្ងាត់ខ្លាំង៖ ពាក្យសម្ងាត់ខ្លាំងដែលអាចប្រើឡើងវិញបានអាចផ្អែកលើអក្សរពីឃ្លា ឬពាក្យដែលចូលចិត្ត ហើយបន្ទាប់មកភ្ជាប់ជាមួយពាក្យដែលមិនទាក់ទងផ្សេងទៀត រួមជាមួយនឹងការបន្ថែមខ្ទង់ និងវណ្ណយុត្តិ។ ជាទូទៅ ពាក្យសម្ងាត់ខ្លាំងគឺ៖ · ងាយស្រួលក្នុងការចងចាំ ដូច្នេះអ្នកប្រើប្រាស់មិនត្រូវបានល្បួងឱ្យសរសេរវាចុះ។ · បង្កើតឡើងដោយតួអក្សរអក្សរក្រម និងវណ្ណយុត្តិចម្រុះ។ សម្រាប់ការអនុលោមតាម FIPS រួមបញ្ចូលយ៉ាងហោចណាស់
ការផ្លាស់ប្តូរករណីមួយ ខ្ទង់មួយ ឬច្រើន និងសញ្ញាវណ្ណយុត្តិមួយ ឬច្រើន។ · ផ្លាស់ប្តូរតាមកាលកំណត់។ · មិនប្រាប់នរណាម្នាក់។ លក្ខណៈនៃពាក្យសម្ងាត់ខ្សោយ៖ កុំប្រើពាក្យសម្ងាត់ខ្សោយខាងក្រោម៖ · ពាក្យដែលអាចត្រូវបានរកឃើញនៅក្នុង ឬមានជាទម្រង់ដែលបានអនុញ្ញាតនៅក្នុងប្រព័ន្ធ files ដូចជា /etc/passwd.
19
· ឈ្មោះម៉ាស៊ីននៃប្រព័ន្ធ (តែងតែជាការស្មានដំបូង)។ · ពាក្យ ឬឃ្លាណាមួយដែលបង្ហាញក្នុងវចនានុក្រម ឬប្រភពល្បីផ្សេងទៀត រួមទាំងវចនានុក្រម
និងវេយ្យាករណ៍ជាភាសាផ្សេងក្រៅពីភាសាអង់គ្លេស។ ធ្វើការដោយអ្នកនិពន្ធបុរាណ ឬពេញនិយម; ឬពាក្យទូទៅ និងឃ្លាពីកីឡា ការនិយាយ ភាពយន្ត ឬកម្មវិធីទូរទស្សន៍។ · ការផ្លាស់ប្តូរនៅលើណាមួយនៃខាងលើ - សម្រាប់ឧample ជាពាក្យវចនានុក្រមដែលមានអក្សរជំនួសដោយខ្ទង់ (r00t) ឬដោយលេខបន្ថែមទៅខាងចុង។ · ពាក្យសម្ងាត់ដែលបង្កើតដោយម៉ាស៊ីនណាមួយ។ ក្បួនដោះស្រាយកាត់បន្ថយទំហំស្វែងរកនៃកម្មវិធីទាយពាក្យសម្ងាត់ ដូច្នេះមិនត្រូវប្រើទេ។
ឯកសារដែលពាក់ព័ន្ធជាងview នៃបរិស្ថានប្រតិបត្តិការសម្រាប់ Junos OS នៅក្នុងរបៀប FIPS | ១៤
ទាញយកកញ្ចប់កម្មវិធីពី Juniper Networks
អ្នកអាចទាញយកកញ្ចប់កម្មវិធី Junos OS ពី Juniper Networks webគេហទំព័រ។ មុនពេលអ្នកចាប់ផ្តើមទាញយកកម្មវិធី សូមប្រាកដថាអ្នកមានបណ្តាញ Juniper Web គណនី និងកិច្ចសន្យាជំនួយត្រឹមត្រូវ។ ដើម្បីទទួលបានគណនី សូមបំពេញទម្រង់ចុះឈ្មោះនៅ Juniper Networks webគេហទំព័រ៖ https://userregistration.juniper.net/ ។ ដើម្បីទាញយកកញ្ចប់កម្មវិធីពី Juniper Networks: 1. ការប្រើប្រាស់ ក Web កម្មវិធីរុករកតាមអ៊ីនធឺណិត ធ្វើតាមតំណដើម្បីទាញយក URL នៅលើបណ្តាញ Juniper webទំព័រ។
https://support.juniper.net/support/downloads/ 2. Log in to the Juniper Networks authentication system using the username (generally your e-mail
អាសយដ្ឋាន) និងពាក្យសម្ងាត់ដែលផ្តល់ដោយអ្នកតំណាង Juniper Networks ។ 3. ទាញយកកម្មវិធី។ សូមមើលការទាញយកកម្មវិធី។
ឯកសារដែលពាក់ព័ន្ធ ការណែនាំអំពីការដំឡើង និងដំឡើងកំណែ
ដំឡើងកញ្ចប់កម្មវិធី Junos
អ្នកអាចប្រើបែបបទនេះដើម្បីដំឡើងកំណែ Junos OS នៅលើឧបករណ៍ដោយប្រើ Routing Engine តែមួយ។ ដើម្បីដំឡើងការអាប់ដេតកម្មវិធីនៅលើឧបករណ៍ដែលមាន Routing Engine តែមួយ៖ 1. ទាញយកកញ្ចប់កម្មវិធីដូចដែលបានពិពណ៌នានៅក្នុង “ទាញយកកញ្ចប់កម្មវិធីពី Juniper
បណ្តាញ” នៅលើទំព័រ 19. 2. ប្រសិនបើអ្នកមិនទាន់បានធ្វើដូច្នេះទេ សូមភ្ជាប់ទៅច្រកកុងសូលនៅលើឧបករណ៍ពីការគ្រប់គ្រងរបស់អ្នក។
ឧបករណ៍ ហើយចូលទៅ Junos OS CLI ។ 3. (ស្រេចចិត្ត) បម្រុងទុកការកំណត់រចនាសម្ព័ន្ធកម្មវិធីបច្ចុប្បន្នទៅជាជម្រើសផ្ទុកទីពីរ។ សូមមើលកម្មវិធី
ការណែនាំអំពីការដំឡើង និងដំឡើងកំណែ សម្រាប់ការណែនាំអំពីការអនុវត្តការងារនេះ។ 4. (ស្រេចចិត្ត) ចម្លងកញ្ចប់កម្មវិធីទៅឧបករណ៍។ យើងណែនាំអ្នកឱ្យប្រើ FTP ដើម្បីចម្លង
file ទៅកាន់ថត /var/tmp/ ។ ជំហាននេះគឺស្រេចចិត្តព្រោះ Junos OS ក៏អាចដំឡើងកំណែបានដែរ នៅពេលដែលរូបភាពកម្មវិធីត្រូវបានរក្សាទុកនៅទីតាំងដាច់ស្រយាល។ ការណែនាំទាំងនេះពិពណ៌នាអំពីដំណើរការដំឡើងកំណែកម្មវិធីសម្រាប់សេណារីយ៉ូទាំងពីរ។ 5. ដំឡើងកញ្ចប់ថ្មីនៅលើឧបករណ៍៖
user@host> ស្នើសុំកម្មវិធី vmhost បន្ថែម
ជំនួសកញ្ចប់ជាមួយនឹងផ្លូវមួយដូចខាងក្រោម៖ · សម្រាប់កញ្ចប់កម្មវិធីនៅក្នុងថតមូលដ្ឋាននៅលើឧបករណ៍ សូមប្រើ /var/tmp/package.tgz ។ · សម្រាប់កញ្ចប់កម្មវិធីនៅលើម៉ាស៊ីនមេពីចម្ងាយ សូមប្រើផ្លូវមួយក្នុងចំណោមផ្លូវខាងក្រោម ដោយជំនួសអថេរ
កញ្ចប់ជម្រើសជាមួយឈ្មោះកញ្ចប់កម្មវិធី។ · ftp://hostname/pathname/package.tgz · http://hostname/pathname/package.tgz 6. ចាប់ផ្ដើមឧបករណ៍ឡើងវិញដើម្បីផ្ទុកការដំឡើង៖
user@host> ស្នើរ vmhost reboot 7. បន្ទាប់ពី reboot បានបញ្ចប់ សូម log in ហើយប្រើ show version command ដើម្បីផ្ទៀងផ្ទាត់ថា new
កំណែរបស់កម្មវិធីត្រូវបានដំឡើងដោយជោគជ័យ។
user@host> បង្ហាញកំណែ Hostname: hostname Model: mx240
21
Junos៖ 22.2R1.10 JUNOS OS Kernel 64-bit [20210529.2f59a40_builder_stable_12] JUNOS OS libs [20210529.2f59a40_builder_stable_12] JUNOS OS_20210529.2 ព័ត៌មានអំពីតំបន់ពេលវេលា OS [59f40a12_builder_stable_20210529.2] JUNOS network stack និងឧបករណ៍ប្រើប្រាស់ [59_builder_junos_40_r12] JUNOS libs [20210622.124332_builder_junos_212_r1] Junbs Compat20210622.124332 [212) ភាពឆបគ្នា 1 ប៊ីត [32F20210529.2a59] Junes Compt40 [12_b uild_junos_32_r20210529.2] Junos Runtime [59_builder_junos_40_r12] JunoS Sfx Sfx [32_bulos_junos_20210622.124332_r212] Junos ផ្នែកបន្ថែម py [1_builder_junos_20210622.124332_r212] JUNOS py base [1_builder_junos_20210622.124332_r212] JUNOS OS vmguest [1f20210622.124332a212_1 cryptocurrencies] 20210622.124332a212_builder_stable_1] JUNOS OS boot-ve files [20210529.2f59a40_builder_stable_12] JUNOS na telemetry [22.2R1.10] JUNOS Security Intelligence [20210622.124332_builder_junos_212_r1] JUNOS mx libs32 20210622.124332_r212] JUNOS mx runtime [1_builder_junos_20210621.124332_r212] JUNOS RPD Telemetry Application [1R22.2] JUNOS Routing mpls- oam-basic [1.10_builder_junos_20210621.124332_r212] JUNOS Routing mpls-oam-advanced [1_builder_junos_20210621.124332_r212] JUNOS Routing lsys1 ] JUNOS Routing controller-internal [20210621.124332_builder_junos_212_r1] JUNOS Routing controller-external [20210621.124332_builder_junos_212_r1] JUNOS Routing Version 20210621.124332-bit Compatible [212_builder_junos_1_r32] JUNOS Routing សរុប [20210621.124332_builder_junos_212_r1] Redis [20210621.124332_builder212UNos_1_r20210621.124332] 212_builder_junos_1_r20210621.124332] ការគាំទ្រវេទិកាទូទៅ JUNOS [212_builder_junos_1_r20210621.124332] JUNOS Openconfig [212R1] JUNOS mtx network modules [22.2_r1.10] JUNOS mtx network modules [20210621.124332_r212] 1_builder_junos_20210621.124332_r212] ម៉ូឌុល JUNOS mx [1_builder_junos_20210621.124332_r212] JUNOS mx libs [1_builder_junos_20210621.124332_r212] JUNOS mx libs [1_20210621.124332r 212_builder_junos_1_r20210621.124332] JUNOS mtx Data Plane Crypto Support [212_builder_junos_1_r20210621.124332] JUNOS daemons [212_1_builder_20210621.124332UNOS] 212_builder_junos_1_r22.2] JUNOS Broadband Egde User Plane Apps [1.10RXNUMX]
22
JUNOS appidd-mx application-identification daemon [20210621.124332_builder_junos_212_r1] JUNOS TPM2 [20210621.124332_builder_junos_212_r1] សេវាកម្ម JUNOS URL កញ្ចប់តម្រង [20210621.124332_builder_junos_212_r1] JUNOS Services TLB Service PIC package [20210621.124332_builder_junos_212_r1] JUNOS Services Telemetry [20210621.124332_CPr212] [1_builder_junos_20210621.124332_r212] សេវាកម្ម JUNOS SSL [1_builder_junos_20210621.124332_r212] សេវាកម្ម JUNOS SOFTWIRE [1_20210621.124332JUNOS Firewall Services_builder [212_builder_junos_1_r20210621.124332] JUNOS Services RTCOM [212_builder_junos_1_r20210621.124332] JUNOS Services RPM [212_builder1_r20210621.124332] JUNOS 212_builder_junos_1_r20210621.124332] សេវាកម្ម JUNOS NAT [212_builder_junos_1_r20210621.124332] កញ្ចប់សេវាកម្មអតិថិជនចល័ត JUNOS [212_builder_junos_1_r20210621.124332] កម្មវិធី JUNOS Mobile Services 212_builder_junos_1_r20210621.124332] កញ្ចប់របាយការណ៍កំណត់ហេតុការកត់ត្រាសេវាកម្ម JUNOS [212_builder_junos_1_r20210621.124332] សេវាកម្ម JUNOS LL-PDF កញ្ចប់សេវាកម្មកុងតឺន័រ [212] JUNOS កញ្ចប់ tainer [1_builder_junos_20210621.124332_r212] សេវាកម្ម JUNOS កញ្ចប់ត្រួតពិនិត្យជ្រៅ [1_builder_junos_20210621.124332_r212] JUNOS Services IPSec [1_20210621.124332] JUNOS Services IDS [212_builder_junos_1_r20210621.124332] JUNOS IDP Services [212_builder_junos_1_r20210621.124332] កញ្ចប់សេវាកម្ម JUNOS HTTP_សេវាកម្ម DNS_212_junos_1 (i20210621.124332) [212_builder_junos_1_r20210621.124332] JUNOS Services Crypto [212_builder_junos_1_r386] JUNOS Services Captive Portal និងការដឹកជញ្ជូនមាតិកា កញ្ចប់កុងតឺន័រ [20210621.124332_builder_junos_212_r1] សេវាកម្ម JUNOS COS [20210621.124332_builder_junos_212_r1] សេវាកម្ម JUNOS AppId [20210621.124332UNos_212_Application Level 1_builder_junos_20210621.124332_r212] JUNOS Services AACL កញ្ចប់កុងតឺន័រ [1_builder_junos_20210621.124332_r212] JUNOS SDN Software Suite [1_builder] JUNOS SDN [20210621.124332_212] 1_builder_junos_20210621.124332_r212] JUNOS Packet Forwarding Engine Support (wrlinux1) [20210621.124332_builder_junos_212_r1] JUNOS Packet Forwarding Engine Support (MX/EX20210621.124332 Common212_EX1) 9_r20210621.124332] JUNOS Packet Forwarding Engine Support (M/T Common) [212_builder_junos_1_r92] JUNOS Packet Forwarding Engine Support (aft) [20210621.124332_builder_junos_212_r1] JUNOS Packet Forwarding Engine Support (MX Common) [20210621.124332_builder_junos_212_r1] JUNOS Juniper Malware Removal Tool (20210621.124332) _junos_212_r1] JUNOS J-Insight [20210621.124332_builder_junos_212_r1] JUNOS jfirmware [1.0.0_builder_junos_20210621.124332_r212]
23
JUNOS Online Documentation [20210621.124332_builder_junos_212_r1] JUNOS jail runtime [20210529.2f59a40_builder_stable_12] ឯកសារពាក់ព័ន្ធ ការណែនាំអំពីការដំឡើង និងដំឡើងកំណែ
ជាងview នៃ Zeroization ដើម្បីជម្រះទិន្នន័យប្រព័ន្ធសម្រាប់របៀប FIPS
នៅក្នុងផ្នែកនេះ ហេតុអ្វីបានជា Zeroize? | ២៣ ពេលណាត្រូវសូន្យ? | ២៣
Zeroization លុបទាំងស្រុងនូវព័ត៌មានការកំណត់រចនាសម្ព័ន្ធទាំងអស់នៅលើឧបករណ៍ រួមទាំងពាក្យសម្ងាត់អត្ថបទធម្មតាទាំងអស់ អាថ៌កំបាំង និងសោឯកជនសម្រាប់ SSH ការអ៊ិនគ្រីបមូលដ្ឋាន ការផ្ទៀងផ្ទាត់មូលដ្ឋាន និង IPsec ។ ដើម្បីចេញពីរបៀប FIPS អ្នកត្រូវបិទឧបករណ៍។ អ្នកគ្រប់គ្រងសន្តិសុខចាប់ផ្តើមដំណើរការសូន្យដោយបញ្ចូលសំណើ vmhost zeroize គ្មានការបញ្ជូនបន្តពាក្យបញ្ជាប្រតិបត្តិការ។ យោងទៅលើការបំផ្លាញសោគ្រីប TOE មិនគាំទ្រការបំផ្លាញសោដែលពន្យារពេលទេ។
ការប្រុងប្រយ័ត្ន៖ អនុវត្តការសូន្យប្រព័ន្ធដោយប្រុងប្រយ័ត្ន។ បន្ទាប់ពីដំណើរការសូន្យត្រូវបានបញ្ចប់ គ្មានទិន្នន័យណាមួយត្រូវបានទុកនៅលើឧបករណ៍នោះទេ។ Zeroization អាចចំណាយពេលច្រើន។ ទោះបីជាការកំណត់រចនាសម្ព័ន្ធទាំងអស់ត្រូវបានដកចេញក្នុងរយៈពេលពីរបីវិនាទីក៏ដោយ ក៏ដំណើរការសូន្យបន្តដើម្បីសរសេរជាន់លើមេឌៀទាំងអស់ ដែលអាចចំណាយពេលច្រើនអាស្រ័យលើទំហំមេឌៀ។
24
ហេតុអ្វី Zeroize?
ឧបករណ៍របស់អ្នកមិនត្រូវបានចាត់ទុកថាជាម៉ូឌុលគ្រីបគ្រីប FIPS ត្រឹមត្រូវទេ រហូតទាល់តែប៉ារ៉ាម៉ែត្រសុវត្ថិភាពសំខាន់ៗ (CSP) ទាំងអស់ត្រូវបានបញ្ចូល-ឬបញ្ចូលឡើងវិញ- ខណៈពេលដែលឧបករណ៍ស្ថិតនៅក្នុងរបៀប FIPS ។ សម្រាប់ការអនុលោមតាម FIPS 140-3 អ្នកត្រូវតែសូន្យប្រព័ន្ធដើម្បីលុបព័ត៌មានរសើបមុននឹងបិទមុខងារ FIPS នៅលើឧបករណ៍។
ពេលណាត្រូវសូន្យ?
ក្នុងនាមជាអ្នកគ្រប់គ្រងសុវត្ថិភាព សូមអនុវត្តសូន្យក្នុងស្ថានភាពដូចខាងក្រោម៖ · មុនពេលបើកដំណើរការរបៀប FIPS៖ ដើម្បីរៀបចំឧបករណ៍របស់អ្នកសម្រាប់ប្រតិបត្តិការជា FIPS
ម៉ូឌុលគ្រីបគ្រីប អនុវត្តសូន្យមុនពេលបើករបៀប FIPS ។ · មុនពេលបិទដំណើរការរបៀប FIPS៖ ដើម្បីចាប់ផ្តើមដាក់ឧបករណ៍របស់អ្នកឡើងវិញសម្រាប់ប្រតិបត្តិការដែលមិនមែនជា FIPS,
អនុវត្តសូន្យមុនពេលបិទមុខងារ FIPS នៅលើឧបករណ៍។
ចំណាំ៖ Juniper Networks មិនគាំទ្រការដំឡើងកម្មវិធីដែលមិនមែនជា FIPS នៅក្នុងបរិស្ថាន FIPS ទេ ប៉ុន្តែការធ្វើដូច្នេះប្រហែលជាចាំបាច់នៅក្នុងបរិយាកាសសាកល្បងមួយចំនួន។ ត្រូវប្រាកដថាធ្វើសូន្យប្រព័ន្ធជាមុនសិន។
ឯកសារដែលពាក់ព័ន្ធ ធ្វើឱ្យប្រព័ន្ធសូន្យ | ២៤
ធ្វើឱ្យប្រព័ន្ធសូន្យ
ដើម្បីសូន្យឧបករណ៍របស់អ្នក សូមអនុវត្តតាមនីតិវិធីខាងក្រោម៖
25
1. ចូលទៅកាន់ឧបករណ៍ជា Crypto Officer ហើយពី CLI សូមបញ្ចូល
crypto-officer@host> ស្នើសុំ vmhost zeroize គ្មានការបញ្ជូនបន្ត VMHost Zeroization៖ លុបទិន្នន័យទាំងអស់ រួមទាំងការកំណត់រចនាសម្ព័ន្ធ និងកំណត់ហេតុ fileស? [បាទ/ចាស ទេ] (ទេ) បាទ
2. ដើម្បីចាប់ផ្តើមដំណើរការសូន្យ សូមវាយ yes នៅប្រអប់បញ្ចូល៖
លុបទិន្នន័យទាំងអស់ រួមទាំងការកំណត់រចនាសម្ព័ន្ធ និងកំណត់ហេតុ fileស? [បាទ/ចាស ទេ] (ទេ) បាទ VMHost Zeroization៖ លុបទិន្នន័យទាំងអស់ រួមទាំងការកំណត់រចនាសម្ព័ន្ធ និងកំណត់ហេតុ fileស? [បាទ/ចាស ទេ] (ទេ) បាទ
ការព្រមាន៖ Vmhost នឹងចាប់ផ្ដើមឡើងវិញ ហើយអាចនឹងមិនចាប់ផ្ដើមដោយគ្មានការព្រមានអំពីការកំណត់រចនាសម្ព័ន្ធ៖ កំពុងដំណើរការជាមួយ vmhost zeroize Zeroise Secondary internal disk … កំពុងដំណើរការជាមួយ zeroize នៅលើថាសបន្ទាប់បន្សំ ឧបករណ៍ម៉ោនក្នុងការរៀបចំសម្រាប់ zeroize… ការសម្អាតថាសគោលដៅសម្រាប់សូន្យ… Zeroize រួចរាល់នៅលើថាសគោលដៅ។ Zeroize of Secondary Disk បានបញ្ចប់ Zeroize primary disk … .pub /etc/ssh/ssh_host_rsa_key ឧបករណ៍ដំឡើងក្នុងការរៀបចំសម្រាប់សូន្យ… កំពុងសម្អាតថាសគោលដៅសម្រាប់សូន្យ… Zeroize រួចរាល់នៅលើថាសគោលដៅ។ Zeroize of primary disk បានបញ្ចប់ការព្រមាន Zeroize done: បន្តជាមួយ vmhost reboot ការចាប់ផ្តើម vmhost reboot…
ប្រតិបត្តិការទាំងមូលអាចចំណាយពេលច្រើន អាស្រ័យលើទំហំនៃមេឌៀ ប៉ុន្តែប៉ារ៉ាម៉ែត្រសុវត្ថិភាពសំខាន់ៗ (CSP) ទាំងអស់ត្រូវបានដកចេញក្នុងរយៈពេលពីរបីវិនាទី។ បរិយាកាសរូបវន្តត្រូវតែរក្សាសុវត្ថិភាពរហូតដល់ដំណើរការសូន្យបានបញ្ចប់។
26
បើករបៀប FIPS
ក្នុងនាមជាអ្នកគ្រប់គ្រងសុវត្ថិភាព អ្នកត្រូវតែបង្កើតពាក្យសម្ងាត់ root ដែលត្រូវនឹងតម្រូវការពាក្យសម្ងាត់ FIPS នៅក្នុង “Overview នៃការបញ្ជាក់ពាក្យសម្ងាត់ និងគោលការណ៍ណែនាំសម្រាប់ Junos OS ក្នុងរបៀប FIPS" នៅទំព័រ 18 ។ នៅពេលអ្នកបើករបៀប FIPS នៅក្នុង Junos OS នៅលើឧបករណ៍ អ្នកមិនអាចកំណត់រចនាសម្ព័ន្ធពាក្យសម្ងាត់បានទេ លុះត្រាតែពួកវាបំពេញតាមស្តង់ដារនេះ។
ពាក្យសម្ងាត់ក្នុងតំបន់ត្រូវបានអ៊ិនគ្រីបជាមួយនឹងក្បួនដោះស្រាយសញ្ញាសុវត្ថិភាព SHA256 ឬ SHA512។ ការសង្គ្រោះពាក្យសម្ងាត់គឺមិនអាចទៅរួចទេនៅក្នុង Junos OS នៅក្នុងរបៀប FIPS ។ Junos OS នៅក្នុងរបៀប FIPS មិនអាចចាប់ផ្ដើមចូលទៅក្នុងរបៀបអ្នកប្រើតែមួយដោយគ្មានពាក្យសម្ងាត់ root ត្រឹមត្រូវ។
ដើម្បីបើករបៀប FIPS នៅក្នុង Junos OS នៅលើឧបករណ៍៖
1. Zeroize ឧបករណ៍ដើម្បីលុប CSPs ទាំងអស់មុនពេលចូលទៅក្នុងរបៀប FIPS ។ សូមមើល “Zeroize the System” នៅទំព័រទី 24 សម្រាប់ព័ត៌មានលម្អិត។
2. បន្ទាប់ពីឧបករណ៍មកក្នុង 'Amnesiac mode' សូមចូលដោយប្រើឈ្មោះអ្នកប្រើ root និងពាក្យសម្ងាត់ “” (ទទេ)។
FreeBSD/amd64 (Amnesiac) (ttyu0) ចូល៖ root — JUNOS 22.2R1.10 Kernel 64-bit root@:~ # cli root>
JNPR-12.1-20210529.2f59a40_build
3. កំណត់រចនាសម្ព័ន្ធការផ្ទៀងផ្ទាត់ឫសគល់ដោយប្រើពាក្យសម្ងាត់យ៉ាងហោចណាស់ 10 តួអក្សរ ឬច្រើនជាងនេះ។
root> កែសម្រួល បញ្ចូលរបៀបកំណត់រចនាសម្ព័ន្ធ [កែប្រែ] root# set system root-authentication plain-text-password ពាក្យសម្ងាត់ថ្មី៖ វាយពាក្យសម្ងាត់ថ្មីឡើងវិញ៖ [កែប្រែ] root# commit commit complete
4. ផ្ទុកការកំណត់នៅលើឧបករណ៍ ហើយអនុវត្តការកំណត់រចនាសម្ព័ន្ធថ្មី។ កំណត់រចនាសម្ព័ន្ធអ្នកគ្រប់គ្រងសុវត្ថិភាព និង
ចូលដោយប្រើព័ត៌មានសម្ងាត់អ្នកគ្រប់គ្រងសុវត្ថិភាព។
27
5. របៀប fips និង jpfe-fips គឺជាកញ្ចប់ជម្រើសដែលត្រូវការសម្រាប់ការបើក FIPS ។ កញ្ចប់ទាំងនេះគឺជាផ្នែកមួយនៃកម្មវិធី Junos OS ។ ដើម្បីបើកកញ្ចប់ទាំងនេះ សូមប្រើពាក្យបញ្ជាខាងក្រោម៖
security-administrator@hostname> ស្នើសុំកម្មវិធីប្រព័ន្ធបន្ថែមជម្រើស://fips-mode.tgz បានផ្ទៀងផ្ទាត់ fips-mode ចុះហត្ថលេខាដោយ PackageDevelopmentECP256_2020 method ECDSA256+SHA256cryptoofficer@hostname> ស្នើសុំកម្មវិធីប្រព័ន្ធបន្ថែមជម្រើស://jpfe-fips.tgz /usr/ /pkg: កញ្ចប់ jpfe-fips-x86-32-20.3I-20200610_dev_common.0.0743 ត្រូវបានដំឡើងរួចហើយ
6. កំណត់រចនាសម្ព័ន្ធ fips ព្រំដែនរបស់តួដោយកំណត់ set system fips chassis កម្រិត 1 និង commit ។
ឧបករណ៍អាចបង្ហាញពាក្យសម្ងាត់ដែលបានអ៊ិនគ្រីបត្រូវតែកំណត់រចនាសម្ព័ន្ធឡើងវិញដើម្បីប្រើការព្រមានសញ្ញាដែលអនុលោមតាម FIPS ដើម្បីលុប CSP ចាស់ៗនៅក្នុងការកំណត់រចនាសម្ព័ន្ធដែលបានផ្ទុក។
7. បន្ទាប់ពីលុប និងកំណត់រចនាសម្ព័ន្ធ CSPs ឡើងវិញ commit នឹងឆ្លងកាត់ ហើយឧបករណ៍ត្រូវការ reboot ដើម្បីចូលទៅក្នុង FIPS mode។
[កែប្រែ] security-administrator@hostname# commit [កែប្រែ] ការចាប់ផ្ដើមប្រព័ន្ធឡើងវិញគឺត្រូវបានទាមទារដើម្បីផ្លាស់ប្តូរទៅ FIPS កម្រិត 1 commit complete [កែប្រែ] security-administrator@hostname# ដំណើរការសំណើ vmhost reboot
8. បន្ទាប់ពីចាប់ផ្តើមឧបករណ៍ឡើងវិញ ការធ្វើតេស្តដោយខ្លួនឯង FIPS នឹងដំណើរការ ហើយឧបករណ៍ចូលទៅក្នុងរបៀប FIPS ។
security-administrator@hostname:fips>
28
កំណត់រចនាសម្ព័ន្ធអ្នកគ្រប់គ្រងសុវត្ថិភាព និងការកំណត់អត្តសញ្ញាណអ្នកប្រើប្រាស់ FIPS និងការចូលប្រើប្រាស់
នៅក្នុងផ្នែកនេះ កំណត់រចនាសម្ព័ន្ធការចូលប្រើអ្នកគ្រប់គ្រងសុវត្ថិភាព | 28 កំណត់រចនាសម្ព័ន្ធ FIPS User Login Access | ៣០
អ្នកគ្រប់គ្រងសុវត្ថិភាព និងអ្នកប្រើប្រាស់ FIPS ធ្វើកិច្ចការកំណត់រចនាសម្ព័ន្ធទាំងអស់សម្រាប់ Junos OS នៅក្នុងរបៀប FIPS ហើយចេញ Junos OS ទាំងអស់នៅក្នុងសេចក្តីថ្លែងការណ៍ និងពាក្យបញ្ជារបៀប FIPS ។ អ្នកគ្រប់គ្រងសុវត្ថិភាព និងការកំណត់រចនាសម្ព័ន្ធអ្នកប្រើប្រាស់ FIPS ត្រូវតែអនុវត្តតាម Junos OS នៅក្នុងគោលការណ៍ណែនាំរបៀប FIPS ។
កំណត់រចនាសម្ព័ន្ធការចូលប្រើអ្នកគ្រប់គ្រងសុវត្ថិភាព
Junos OS នៅក្នុងរបៀប FIPS ផ្តល់នូវភាពលម្អិតនៃការអនុញ្ញាតរបស់អ្នកប្រើប្រាស់ជាងការអនុញ្ញាតដោយ FIPS 140-3 ។ សម្រាប់ការអនុលោមតាម FIPS 140-3 អ្នកប្រើប្រាស់ FIPS ណាដែលមានសំណុំប៊ីតអនុញ្ញាតសម្ងាត់ សុវត្ថិភាព ការថែទាំ និងការគ្រប់គ្រង គឺជាអ្នកគ្រប់គ្រងសុវត្ថិភាព។ ក្នុងករណីភាគច្រើន ថ្នាក់អ្នកប្រើប្រាស់ជាន់ខ្ពស់គឺគ្រប់គ្រាន់សម្រាប់អ្នកគ្រប់គ្រងសន្តិសុខ។ ដើម្បីកំណត់រចនាសម្ព័ន្ធការចូលប្រើសម្រាប់អ្នកគ្រប់គ្រងសុវត្ថិភាព៖ 1. ចូលឧបករណ៍ដោយប្រើពាក្យសម្ងាត់ root ប្រសិនបើអ្នកមិនទាន់បានធ្វើដូច្នេះទេ ហើយបញ្ចូលការកំណត់រចនាសម្ព័ន្ធ
របៀប៖
root@hostname# កែសម្រួល បញ្ចូលរបៀបកំណត់រចនាសម្ព័ន្ធ [កែប្រែ] root@hostname# 2. ដាក់ឈ្មោះអ្នកប្រើប្រាស់សន្តិសុខ-អ្នកគ្រប់គ្រង ហើយចាត់ឱ្យអ្នកគ្រប់គ្រងសុវត្ថិភាពនូវលេខសម្គាល់អ្នកប្រើប្រាស់ (សម្រាប់អតីតample, 6400 ដែលត្រូវតែជាលេខតែមួយគត់ដែលទាក់ទងនឹងគណនីចូលក្នុងចន្លោះពី 100 ដល់
29
64000) និងថ្នាក់មួយ (សម្រាប់ឧample, super-user) ។ ពេលអ្នកចាត់ថ្នាក់ អ្នកផ្ដល់ការអនុញ្ញាតសម្រាប់ឧample, សម្ងាត់, សន្តិសុខ, ការថែទាំ, និងការគ្រប់គ្រង។
[កែប្រែ] root@hostname# កំណត់ការចូលប្រព័ន្ធ ឈ្មោះអ្នកប្រើប្រាស់ uid តម្លៃថ្នាក់ class-name
សម្រាប់អតីតampលេ៖
[កែប្រែ] root@hostname# កំណត់ការចូលប្រព័ន្ធរបស់អ្នកប្រើ សុវត្ថិភាព-អ្នកគ្រប់គ្រង uid 6400 ថ្នាក់ super-user
3. ធ្វើតាមការណែនាំនៅក្នុង “Overview នៃការកំណត់ពាក្យសម្ងាត់ និងគោលការណ៍ណែនាំសម្រាប់ Junos OS ក្នុងរបៀប FIPS" នៅទំព័រ 18 សូមចាត់ឱ្យអ្នកគ្រប់គ្រងសុវត្ថិភាពនូវពាក្យសម្ងាត់អត្ថបទធម្មតាសម្រាប់ការផ្ទៀងផ្ទាត់ការចូល។ កំណត់ពាក្យសម្ងាត់ដោយវាយបញ្ចូលពាក្យសម្ងាត់បន្ទាប់ពីប្រអប់បញ្ចូលពាក្យសម្ងាត់ថ្មី និងវាយពាក្យសម្ងាត់ថ្មី។
[កែប្រែ] root@hostname# កំណត់ការចូលប្រព័ន្ធ ឈ្មោះអ្នកប្រើប្រាស់ ថ្នាក់-ឈ្មោះថ្នាក់ ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ (ធម្មតា-testpassword | បានអ៊ិនគ្រីប-ពាក្យសម្ងាត់)
សម្រាប់អតីតampលេ៖
[កែប្រែ] root@hostname# កំណត់ការចូលប្រព័ន្ធអ្នកប្រើប្រាស់សុវត្ថិភាព-អ្នកគ្រប់គ្រងថ្នាក់ super-user authentication plain-text-password
4. ជាជម្រើស បង្ហាញការកំណត់រចនាសម្ព័ន្ធ៖
[កែប្រែ] root@hostname#edit system [edit system] root@hostname#show login {
អ្នកប្រើប្រាស់សន្តិសុខ-អ្នកគ្រប់គ្រង { uid 6400; ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ { ពាក្យសម្ងាត់ដែលបានអ៊ិនគ្រីប " ”; ## SECRET-DATA } class super-user;
30
} }
5. ប្រសិនបើអ្នកបានបញ្ចប់ការកំណត់រចនាសម្ព័ន្ធឧបករណ៍ សូមអនុវត្តការកំណត់រចនាសម្ព័ន្ធ ហើយចេញ៖
[កែប្រែ] root@hostname# commit commit completeroot@hostname# exit
កំណត់រចនាសម្ព័ន្ធការចូលប្រើរបស់អ្នកប្រើ FIPS
អ្នកប្រើប្រាស់ fips ត្រូវបានកំណត់ថាជាអ្នកប្រើប្រាស់ FIPS ណាមួយដែលមិនមានការសម្ងាត់ សុវត្ថិភាព ការថែទាំ និងការគ្រប់គ្រងប៊ីតអនុញ្ញាត។ ក្នុងនាមជាអ្នកគ្រប់គ្រងសន្តិសុខ អ្នករៀបចំអ្នកប្រើប្រាស់ FIPS ។ អ្នកប្រើ FIPS មិនអាចត្រូវបានផ្តល់ការអនុញ្ញាតដែលជាធម្មតាត្រូវបានបម្រុងទុកសម្រាប់អ្នកគ្រប់គ្រងសុវត្ថិភាពសម្រាប់ឧample, ការអនុញ្ញាតឱ្យសូន្យប្រព័ន្ធ។ ដើម្បីកំណត់រចនាសម្ព័ន្ធការចូលប្រើសម្រាប់អ្នកប្រើប្រាស់ FIPS៖ 1. ចូលទៅកាន់ឧបករណ៍ដោយប្រើពាក្យសម្ងាត់អ្នកគ្រប់គ្រងសុវត្ថិភាពរបស់អ្នក ប្រសិនបើអ្នកមិនទាន់បានធ្វើដូច្នេះទេ ហើយ
បញ្ចូលរបៀបកំណត់រចនាសម្ព័ន្ធ៖
security-administrator@hostname:fips> កែសម្រួល បញ្ចូលរបៀបកំណត់រចនាសម្ព័ន្ធ [កែប្រែ] security-administrator@hostname:fips# 2. ផ្តល់ឱ្យអ្នកប្រើប្រាស់ ឈ្មោះអ្នកប្រើប្រាស់ និងកំណត់លេខសម្គាល់អ្នកប្រើប្រាស់ (សម្រាប់អតីតample, 6401 ដែលត្រូវតែជាលេខតែមួយគត់ក្នុងចន្លោះពី 1 ដល់ 64000) និងថ្នាក់មួយ។ ពេលអ្នកចាត់ថ្នាក់ អ្នកផ្ដល់ការអនុញ្ញាតសម្រាប់អតីតample, ជម្រះ, បណ្តាញ, កំណត់ឡើងវិញview, និង view-ការកំណត់រចនាសម្ព័ន្ធ។
[កែប្រែ] security-administrator@hostname:fips# set system login username uid value classname classname
31
សម្រាប់អតីតampលេ៖
[កែប្រែ]security-administrator@hostname:fips# set system login user fips-user1 uid 6401 class read-only
3. ធ្វើតាមការណែនាំនៅក្នុង “Overview នៃការកំណត់ពាក្យសម្ងាត់ និងគោលការណ៍ណែនាំសម្រាប់ Junos OS នៅក្នុងរបៀប FIPS" នៅទំព័រ 18 ផ្តល់ពាក្យសម្ងាត់សម្រាប់អ្នកប្រើប្រាស់ FIPS នូវពាក្យសម្ងាត់អត្ថបទធម្មតាសម្រាប់ការផ្ទៀងផ្ទាត់ការចូល។ កំណត់ពាក្យសម្ងាត់ដោយវាយបញ្ចូលពាក្យសម្ងាត់បន្ទាប់ពីប្រអប់បញ្ចូលពាក្យសម្ងាត់ថ្មី និងវាយពាក្យសម្ងាត់ថ្មី។
[កែប្រែ] security-administrator@hostname:fips# set system login username class-name authentication (plain-text-password | encrypted-password)
សម្រាប់អតីតampលេ៖
[កែប្រែ] security-administrator@hostname:fips# set system login user fips-user1 class ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវបានតែអានប៉ុណ្ណោះ plain-text-password
4. ជាជម្រើស បង្ហាញការកំណត់រចនាសម្ព័ន្ធ៖
[កែប្រែ] security-administrator@hostname:fips# ប្រព័ន្ធកែសម្រួល [កែសម្រួលប្រព័ន្ធ] security-administrator@hostname:fips# បង្ហាញការចូល {
អ្នកប្រើប្រាស់ fips-user1 { uid 6401; ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ { ពាក្យសម្ងាត់ដែលបានអ៊ិនគ្រីប " ”; ## SECRET-DATA } ថ្នាក់បានតែអាន។
} }
32
5. ប្រសិនបើអ្នកបានបញ្ចប់ការកំណត់រចនាសម្ព័ន្ធឧបករណ៍ សូមអនុវត្តការកំណត់រចនាសម្ព័ន្ធ ហើយចេញ៖
[កែប្រែ] security-administrator@hostname:fips# commit security-administrator@hostname:fips# exit
ឯកសារដែលពាក់ព័ន្ធជាងview តួនាទី និងសេវាកម្មសម្រាប់ Junos OS | ១២
3 ជំពូក
កំណត់រចនាសម្ព័ន្ធលិខិតសម្គាល់រដ្ឋបាល និងសិទ្ធិ
ស្វែងយល់ពីច្បាប់លេខសម្ងាត់ដែលពាក់ព័ន្ធសម្រាប់អ្នកគ្រប់គ្រងដែលមានការអនុញ្ញាត | ២៩
ការកំណត់រចនាសម្ព័ន្ធឧបករណ៍បណ្តាញ Collaborative Protection Profile អ្នកគ្រប់គ្រងដែលមានសិទ្ធិ | 36 ប្ដូរពេលវេលា | 37 ការកំណត់រចនាសម្ព័ន្ធរយៈពេលអស់ពេលអសកម្ម និងការបញ្ចប់វគ្គទំនេរក្នុងតំបន់ និងពីចម្ងាយ | ៣៨
34
ស្វែងយល់ពីច្បាប់លេខសម្ងាត់ដែលពាក់ព័ន្ធសម្រាប់អ្នកគ្រប់គ្រងដែលមានការអនុញ្ញាត
អ្នកគ្រប់គ្រងដែលមានការអនុញ្ញាតត្រូវបានភ្ជាប់ជាមួយនឹងថ្នាក់ចូលដែលបានកំណត់ ហើយអ្នកគ្រប់គ្រងត្រូវបានផ្តល់ការអនុញ្ញាតទាំងអស់។ ទិន្នន័យត្រូវបានរក្សាទុកក្នុងមូលដ្ឋានសម្រាប់ការផ្ទៀងផ្ទាត់ពាក្យសម្ងាត់ថេរ។
ចំណាំ៖ យើងណែនាំកុំឱ្យប្រើតួអក្សរគ្រប់គ្រងក្នុងពាក្យសម្ងាត់។
ប្រើគោលការណ៍ណែនាំ និងជម្រើសកំណត់រចនាសម្ព័ន្ធខាងក្រោមសម្រាប់ពាក្យសម្ងាត់ និងនៅពេលជ្រើសរើសពាក្យសម្ងាត់សម្រាប់គណនីអ្នកគ្រប់គ្រងដែលមានការអនុញ្ញាត។ ពាក្យសម្ងាត់គួរតែជា៖ · ងាយស្រួលក្នុងការចងចាំ ដូច្នេះអ្នកប្រើប្រាស់មិនត្រូវបានល្បួងឱ្យសរសេរវាចុះ។ · ផ្លាស់ប្តូរតាមកាលកំណត់។ ·ឯកជន និងមិនចែករំលែកជាមួយនរណាម្នាក់។ ·មានយ៉ាងហោចណាស់ 10 តួអក្សរ។ ប្រវែងពាក្យសម្ងាត់អប្បបរមាគឺ 10 តួអក្សរ។
[ កែប្រែ ] security-administrator@host# កំណត់ពាក្យសម្ងាត់ចូលប្រព័ន្ធ ប្រវែងអប្បបរមា 10
· រួមបញ្ចូលទាំងអក្សរក្រមលេខ និងសញ្ញាវណ្ណយុត្តិ ដែលផ្សំឡើងដោយការរួមបញ្ចូលគ្នានៃអក្សរធំ និងអក្សរតូច លេខ និងតួអក្សរពិសេសដូចជា “!”, “@”, “#”, “$”, “%”, “^”, "&", "*", "(", និង ")" ។ យ៉ាងហោចណាស់គួរតែមានការផ្លាស់ប្តូរក្នុងករណីមួយ ខ្ទង់មួយ ឬច្រើន និងសញ្ញាវណ្ណយុត្តិមួយ ឬច្រើន។
·មានសំណុំតួអក្សរ។ សំណុំតួអក្សរដែលមានសុពលភាពរួមមាន អក្សរធំ អក្សរតូច លេខ វណ្ណយុត្តិ និងតួអក្សរពិសេសផ្សេងទៀត។
[ កែប្រែ ] security-administrator@host# កំណត់ការចូលប្រព័ន្ធ ការប្តូរពាក្យសម្ងាត់ប្រភេទតួអក្សរ-សំណុំ
35
· មានចំនួនអប្បបរមានៃសំណុំតួអក្សរ ឬការផ្លាស់ប្តូរសំណុំតួអក្សរ។ ចំនួនអប្បបរមានៃសំណុំតួអក្សរដែលត្រូវការនៅក្នុងពាក្យសម្ងាត់អត្ថបទធម្មតានៅក្នុង Junos FIPS គឺ 3 ។
[ កែប្រែ ] security-administrator@host# កំណត់ការចូលប្រព័ន្ធ ការផ្លាស់ប្តូរពាក្យសម្ងាត់អប្បបរមា 3
· ក្បួនដោះស្រាយ hashing សម្រាប់ពាក្យសម្ងាត់របស់អ្នកប្រើអាចជា SHA256 ឬ SHA512 (SHA512 គឺជាក្បួនដោះស្រាយការបំបែកលំនាំដើម)។
[ កែប្រែ ] security-administrator@host# កំណត់ទម្រង់ពាក្យសម្ងាត់ចូលប្រព័ន្ធ sha512
ចំណាំ៖ ឧបករណ៍នេះគាំទ្រប្រភេទគន្លឹះ ECDSA (P-256, P-384, និង P-521) និង RSA (2048, 3072, និង 4092) ។
ចំណាំ៖ ក្បួនដោះស្រាយ hash ថ្មីប៉ះពាល់តែពាក្យសម្ងាត់ទាំងនោះដែលត្រូវបានបង្កើតបន្ទាប់ពី commit ។
ពាក្យសម្ងាត់ខ្សោយគឺ៖ · ពាក្យដែលអាចត្រូវបានរកឃើញនៅក្នុង ឬមានជាទម្រង់ដែលបានអនុញ្ញាតនៅក្នុងប្រព័ន្ធ file ដូចជា /etc/passwd. · ឈ្មោះម៉ាស៊ីននៃប្រព័ន្ធ (តែងតែជាការស្មានដំបូង)។ · ពាក្យណាមួយដែលលេចឡើងក្នុងវចនានុក្រម។ នេះរួមបញ្ចូលទាំងវចនានុក្រមក្រៅពីភាសាអង់គ្លេស និងពាក្យដែលបានរកឃើញ
នៅក្នុងស្នាដៃដូចជា Shakespeare, Lewis Carroll, Roget's Thesaurus ជាដើម។ ការហាមឃាត់នេះរួមមានពាក្យ និងឃ្លាទូទៅពីកីឡា ការនិយាយ ភាពយន្ត និងកម្មវិធីទូរទស្សន៍។ · ការផ្លាស់ប្តូរនៅលើណាមួយនៃខាងលើ។ សម្រាប់អតីតample ជាពាក្យវចនានុក្រមដែលមានស្រៈជំនួសដោយលេខ (សម្រាប់ឧample f00t) ឬជាមួយនឹងការបន្ថែមលេខទៅចុងបញ្ចប់។ · ពាក្យសម្ងាត់ដែលបង្កើតដោយម៉ាស៊ីនណាមួយ។ ក្បួនដោះស្រាយកាត់បន្ថយទំហំស្វែងរកនៃកម្មវិធីទាយលេខសម្ងាត់ ដូច្នេះមិនគួរប្រើទេ។ ពាក្យសម្ងាត់ដែលអាចប្រើឡើងវិញបានខ្លាំងអាចផ្អែកលើអក្សរពីឃ្លា ឬពាក្យដែលចូលចិត្ត ហើយបន្ទាប់មកភ្ជាប់ជាមួយពាក្យផ្សេងទៀតដែលមិនពាក់ព័ន្ធ រួមជាមួយនឹងខ្ទង់បន្ថែម និងសញ្ញាវណ្ណយុត្តិ។
36
ការកំណត់រចនាសម្ព័ន្ធឧបករណ៍បណ្តាញ Collaborative Protection Profile អ្នកគ្រប់គ្រងដែលមានការអនុញ្ញាត
គណនីសម្រាប់ជា root តែងតែមានវត្តមាននៅក្នុងការកំណត់ ហើយមិនមានបំណងសម្រាប់ប្រើប្រាស់ក្នុងប្រតិបត្តិការធម្មតានោះទេ។ នៅក្នុងការកំណត់រចនាសម្ព័ន្ធដែលបានវាយតម្លៃ គណនីឫសត្រូវបានដាក់កម្រិតចំពោះការដំឡើងដំបូង និងការកំណត់រចនាសម្ព័ន្ធឧបករណ៍ដែលបានវាយតម្លៃ។ អ្នកគ្រប់គ្រងដែលមានការអនុញ្ញាត NDcPPv2.2e ត្រូវតែមានការអនុញ្ញាតទាំងអស់ រួមទាំងសមត្ថភាពក្នុងការផ្លាស់ប្តូរការកំណត់ឧបករណ៍ផងដែរ។ ដើម្បីកំណត់រចនាសម្ព័ន្ធអ្នកគ្រប់គ្រងដែលមានការអនុញ្ញាត៖ 1. បង្កើតថ្នាក់ចូលដែលមានឈ្មោះថា security-admin ដោយមានការអនុញ្ញាតទាំងអស់។
[កែប្រែ] root@host# កំណត់ការចូលប្រព័ន្ធ ថ្នាក់សុវត្ថិភាព-គ្រប់គ្រងការអនុញ្ញាតទាំងអស់ 2. កំណត់រចនាសម្ព័ន្ធ hashed algorithm សម្រាប់ plain-text passwords as sha512។
[កែប្រែ] root@host# កំណត់ទម្រង់ពាក្យសម្ងាត់ចូលប្រព័ន្ធ sha512 3. ធ្វើការផ្លាស់ប្តូរ។
[កែប្រែ] root@host# commit 4. កំណត់ NDcPPv2.2e user authorized administrator របស់អ្នក។
[កែប្រែ] root@host# កំណត់ការចូលប្រព័ន្ធ NDcPPv2-user class security-admin authentication encryptedpassword
OR
[កែប្រែ] root@host# កំណត់ការចូលប្រព័ន្ធ NDcPPv2-user class security-admin authentication plain-textpassword
37
5. ផ្ទុកសោ SSH file ដែលត្រូវបានបង្កើតពីមុនដោយប្រើ ssh-keygen ។ ពាក្យបញ្ជានេះផ្ទុក RSA (SSH កំណែ 2) ឬ ECDSA (SSH កំណែ 2) ។
[កែប្រែ] root@host# set system root-authentication load-key-file url:fileឈ្មោះ 6. កំណត់សេចក្តីថ្លែងការណ៍ការកំណត់រចនាសម្ព័ន្ធ log-key-changes ដើម្បីកត់ត្រានៅពេលដែលសោផ្ទៀងផ្ទាត់ SSH ត្រូវបានបន្ថែម ឬដកចេញ។
[កែប្រែ] root@host# កំណត់សេវាប្រព័ន្ធ ssh log-key-changes
ចំណាំ៖ នៅពេលដែល log-key-changes configuration statement ត្រូវបានបើក និងប្តេជ្ញាចិត្ត (ជាមួយនឹងពាក្យបញ្ជា commit ក្នុងទម្រង់ configuration) Junos OS កត់ត្រាការផ្លាស់ប្តូរទៅសំណុំនៃ SSH keys ដែលបានអនុញ្ញាតសម្រាប់អ្នកប្រើប្រាស់ម្នាក់ៗ (រួមទាំង keys ដែលត្រូវបានបន្ថែម ឬដកចេញ) . Junos OS កត់ត្រាភាពខុសគ្នាចាប់តាំងពីពេលចុងក្រោយដែលសេចក្តីថ្លែងការណ៍ការកំណត់រចនាសម្ព័ន្ធការផ្លាស់ប្តូរគន្លឹះត្រូវបានបើក។ ប្រសិនបើសេចក្តីថ្លែងការណ៍ការកំណត់រចនាសម្ព័ន្ធ log-key-changes មិនត្រូវបានបើកទេ នោះ Junos OS កត់ត្រាសោ SSH ដែលបានអនុញ្ញាតទាំងអស់។
7. ធ្វើការផ្លាស់ប្តូរ។
[កែប្រែ] root@host# ប្តេជ្ញា
ចំណាំ៖ ពាក្យសម្ងាត់ root គួរតែត្រូវបានកំណត់ឡើងវិញបន្ទាប់ពីការផ្លាស់ប្តូរទៅ sha256 / sha512 សម្រាប់ទ្រង់ទ្រាយផ្ទុកពាក្យសម្ងាត់។ វាធានាថាពាក្យសម្ងាត់ថ្មីត្រូវបានការពារដោយប្រើ sha256 / sha512 ។ ដើម្បីកំណត់ពាក្យសម្ងាត់ root ឡើងវិញ ប្រើពាក្យបញ្ជាកំណត់ពាក្យសម្ងាត់ប្រព័ន្ធ root-authentication plain-textpassword ហើយបញ្ជាក់ពាក្យសម្ងាត់ថ្មីនៅពេលត្រូវបានសួរ។
កំណត់ពេលវេលាតាមបំណង
ដើម្បីប្ដូរពេលវេលាតាមបំណង សូមបិទ NTP ហើយកំណត់កាលបរិច្ឆេទ។
38
1. បិទ NTP ។
[កែប្រែ] security-administrator@hostname:fips# deactivate group global system ntp security-administrator@hostname:fips# deactivate system ntp security-administrator@hostname:fips# commit security-administrator@hostname:fips# exit 2. ការកំណត់កាលបរិច្ឆេទ និង ពេលវេលា។ ទម្រង់កាលបរិច្ឆេទ និងពេលវេលាគឺ YYYYMMDDHHMM.ss ។
[កែប្រែ] security-administrator@hostname:fips# set date 201803202034.00 security-administrator@hostname:fips# set cli timesstamp
ការកំណត់រចនាសម្ព័ន្ធរយៈពេលអស់ពេលអសកម្ម និងការបញ្ចប់វគ្គទំនេរក្នុងតំបន់ និងពីចម្ងាយ
នៅក្នុងផ្នែកនេះ កំណត់រចនាសម្ព័ន្ធការបញ្ចប់វគ្គ | ៣៨ សample លទ្ធផលសម្រាប់ការបញ្ចប់សម័យរដ្ឋបាលមូលដ្ឋាន | ៤៣ សample លទ្ធផលសម្រាប់ការបញ្ចប់សម័យរដ្ឋបាលពីចម្ងាយ | ៤៣ សample លទ្ធផលសម្រាប់ការបញ្ចប់ដែលផ្តួចផ្តើមដោយអ្នកប្រើប្រាស់ | ៤១
កំណត់រចនាសម្ព័ន្ធការបញ្ចប់វគ្គ
បញ្ចប់វគ្គបន្ទាប់ពីអ្នកគ្រប់គ្រងសុវត្ថិភាពបញ្ជាក់រយៈពេលអស់ពេលអសកម្ម។
39
1. កំណត់ការអស់ពេលទំនេរ។
[កែប្រែ] security-administrator@host:fips# set system login class security-admin idle-timeout 2 2. កំណត់រចនាសម្ព័ន្ធសិទ្ធិចូលប្រើការចូល។
[កែប្រែ] security-administrator@host:fips# set system login class security-admin permissions all 3. commit the configuration.
[កែប្រែ] security-administrator@host:fips# commit
commit complete 4. កំណត់ពាក្យសម្ងាត់។
[កែប្រែ] security-administrator@host:fips# set system login user NDcPPv2-user authentication plaintext-password ពាក្យសម្ងាត់ថ្មី៖ វាយពាក្យសម្ងាត់ថ្មីឡើងវិញ៖ 5. កំណត់ថ្នាក់ចូល។
[កែប្រែ] security-administrator@host:fips# set system login user NDcPPv2-user class security-admin 6. ធ្វើការកំណត់រចនាសម្ព័ន្ធ។
[កែប្រែ] security-administrator@host:fips# commit
ប្តេជ្ញាចិត្តពេញលេញ
40
Sample លទ្ធផលសម្រាប់ការបញ្ចប់សម័យរដ្ឋបាលក្នុងតំបន់
con host កំពុងព្យាយាម abcd… 'autologin': អាគុយម៉ង់មិនស្គាល់ ('set?' សម្រាប់ជំនួយ)។ បានភ្ជាប់ទៅ device.example.com តួអក្សរគេចគឺ '^]' ។
វាយ hot key ដើម្បីផ្អាកការតភ្ជាប់៖ Z FreeBSD/amd64 (ម៉ាស៊ីន) (ttyu0) ចូល៖ NDcPPv2- ពាក្យសម្ងាត់អ្នកប្រើប្រាស់៖ ការចូលចុងក្រោយ៖ ថ្ងៃអាទិត្យ ទី២៣ ខែមិថុនា ម៉ោង ២២:៤២:២៧ ពី 23
— JUNOS 22.2R1.4 Kernel 64-bit JNPR-11.0-20190316.df99236_buil NDcPPv2-user@host> ការព្រមាន៖ វគ្គនឹងបិទក្នុងរយៈពេល 1 នាទី ប្រសិនបើគ្មានសកម្មភាព ព្រមាន៖ វគ្គនឹងត្រូវបានបិទក្នុងរយៈពេល 10 វិនាទី ប្រសិនបើមិនមាន សកម្មភាពអស់ពេលទំនេរហួសពេល៖ វគ្គបិទ
FreeBSD/amd64 (ម៉ាស៊ីន) (ttyu0)
Sample លទ្ធផលសម្រាប់ការបញ្ចប់សម័យរដ្ឋបាលពីចម្ងាយ
ssh NDcPPv2-user@host ពាក្យសម្ងាត់៖ ការចូលចុងក្រោយ៖ ថ្ងៃអាទិត្យ ទី 23 ខែមិថុនា ម៉ោង 22:48:05 2019 — JUNOS 22.2R1.4 Kernel 64-bit JNPR-11.0-20190316.df99236_buil NDcPPv2>-user
ការតភ្ជាប់ទៅម៉ាស៊ីនបានបិទ។ ssh NDcPPv2-user@host ពាក្យសម្ងាត់៖ ចូលចុងក្រោយ៖ ថ្ងៃអាទិត្យ ទី 23 មិថុនា 22:50:50 2019 ពី 10.224.33.70 — JUNOS 22.2R1.6 Kernel 64-bit JNPR-11.0-20190316.dfbuilningc> session នឹងត្រូវបានបិទក្នុងរយៈពេល 99236 នាទី ប្រសិនបើមិនមានសកម្មភាព ការព្រមាន៖ វគ្គនឹងត្រូវបានបិទក្នុងរយៈពេល 2 វិនាទី ប្រសិនបើមិនមានសកម្មភាពលើសពីពេលទំនេរ Idle: វគ្គបិទ
41
ការតភ្ជាប់ទៅម៉ាស៊ីនបានបិទ។
Sample លទ្ធផលសម្រាប់ការបញ្ចប់ដែលផ្តួចផ្តើមដោយអ្នកប្រើប្រាស់
ssh NDcPPv2-user@host ពាក្យសម្ងាត់៖ ចូលចុងក្រោយ៖ ថ្ងៃអាទិត្យ ទី 23 មិថុនា 22:48:05 2019 — JUNOS 22.2R1.4 Kernel 64-bit JNPR-11.0-20190316.df99236_buil NDcPPv2>-user.
4 ជំពូក
កំណត់រចនាសម្ព័ន្ធ SSH និងការតភ្ជាប់កុងសូល។
កំណត់រចនាសម្ព័ន្ធសារចូលប្រព័ន្ធ និងការប្រកាស | 43 កំណត់រចនាសម្ព័ន្ធ SSH លើការកំណត់រចនាសម្ព័ន្ធដែលបានវាយតម្លៃសម្រាប់ NDcPPv2.2e | 44 កំណត់ចំនួននៃការប៉ុនប៉ងចូលរបស់អ្នកប្រើសម្រាប់ SSH Sessions | ៤៥
43
កំណត់រចនាសម្ព័ន្ធសារចូលប្រព័ន្ធ និងការប្រកាស
សារចូលប្រព័ន្ធលេចឡើងមុនពេលអ្នកប្រើប្រាស់ចូល ហើយការប្រកាសចូលប្រព័ន្ធនឹងលេចឡើងបន្ទាប់ពីអ្នកប្រើប្រាស់ចូល។ តាមលំនាំដើម គ្មានសារចូល ឬការប្រកាសណាមួយត្រូវបានបង្ហាញនៅលើឧបករណ៍នោះទេ។ ដើម្បីកំណត់រចនាសម្ព័ន្ធសារចូលប្រព័ន្ធតាមរយៈកុងសូល ឬចំណុចប្រទាក់គ្រប់គ្រង សូមប្រើពាក្យបញ្ជាខាងក្រោម៖
[កែប្រែ] security-administrator@host:fips# set system login message login-message-banner-text ដើម្បីកំណត់រចនាសម្ព័ន្ធការប្រកាសប្រព័ន្ធ សូមប្រើពាក្យបញ្ជាខាងក្រោម៖
[កែប្រែ] security-administrator@host:fips# កំណត់ប្រព័ន្ធប្រកាសការចូលប្រព័ន្ធ system-announcement-text
កំណត់សម្គាល់៖ · ប្រសិនបើអត្ថបទសារមានចន្លោះណាមួយ បញ្ចូលវាទៅក្នុងសញ្ញាសម្រង់។ · អ្នកអាចធ្វើទ្រង់ទ្រាយសារដោយប្រើតួអក្សរពិសេសខាងក្រោម៖
· n-បន្ទាត់ថ្មី · t-ផ្ទាំងផ្ដេក · '-សញ្ញាសម្រង់តែមួយ · "-សញ្ញាសម្រង់ទ្វេ · \- សញ្ញាថយក្រោយ
44
កំណត់រចនាសម្ព័ន្ធ SSH នៅលើការកំណត់រចនាសម្ព័ន្ធដែលបានវាយតម្លៃសម្រាប់ NDcPPv2.2e
SSH តាមរយៈចំណុចប្រទាក់គ្រប់គ្រងពីចម្ងាយត្រូវបានអនុញ្ញាតនៅក្នុងការកំណត់រចនាសម្ព័ន្ធដែលបានវាយតម្លៃ។ ប្រធានបទនេះពិពណ៌នាអំពីរបៀបកំណត់រចនាសម្ព័ន្ធ SSH សម្រាប់ការគ្រប់គ្រងពីចម្ងាយនៃ TOE ។ ក្បួនដោះស្រាយខាងក្រោមដែលចាំបាច់ត្រូវកំណត់រចនាសម្ព័ន្ធដើម្បីធ្វើសុពលភាព SSH សម្រាប់ NDcPPv2.2e ។ ដើម្បីកំណត់រចនាសម្ព័ន្ធ SSH នៅលើ TOE: 1. បញ្ជាក់ក្បួនដោះស្រាយសោម៉ាស៊ីន SSH ដែលអនុញ្ញាតសម្រាប់សេវាកម្មប្រព័ន្ធ។
[កែប្រែ] security-administrator@host:fips# set system services ssh hostkey-algorithm ssh-ecdsa security-administrator@host:fips# set system services ssh hostkey-algorithm no-ssh-dss security-administrator@host:fips# set សេវាប្រព័ន្ធ ssh hostkey-algorithm ssh-rsa security-administrator@host:fips# set system services ssh hostkey-algorithm no-ssh-ed25519
2. បញ្ជាក់ការផ្លាស់ប្តូរសោ SSH សម្រាប់កូនសោ Diffie-Hellman សម្រាប់សេវាកម្មប្រព័ន្ធ។
[កែប្រែ] security-administrator@host:fips# set system services ssh key-exchange dh-group14-sha1 security-administrator@host:fips# set system services ssh key-exchange ecdh-sha2-nistp256 security-administrator@host:fips # កំណត់សេវាប្រព័ន្ធ ssh key-exchange ecdh-sha2-nistp384 security-administrator@host:fips# set system services ssh key-exchange ecdh-sha2-nistp521
3. បញ្ជាក់រាល់ក្បួនដោះស្រាយកូដផ្ទៀងផ្ទាត់សារដែលអាចអនុញ្ញាតបានសម្រាប់ SSHv2
[កែប្រែ] security-administrator@host:fips# set system services ssh macs hmac-sha1 security-administrator@host:fips# set system services ssh macs hmac-sha2-256 security-administrator@host:fips# set system services ssh macs hmac-sha2-512
4. បញ្ជាក់កូដសម្ងាត់ដែលអនុញ្ញាតសម្រាប់ពិធីការកំណែ 2 ។
[កែប្រែ] security-administrator@host:fips# set system services ssh ciphers aes128-cbc security-administrator@host:fips# set system services ssh ciphers aes256-cbc
45
security-administrator@host:fips# កំណត់សេវាប្រព័ន្ធ ssh ciphers aes128-ctr security-administrator@host:fips# កំណត់សេវាប្រព័ន្ធ ssh ciphers aes256-ctr
ក្បួនដោះស្រាយ SSH hostkey ដែលគាំទ្រ៖
ssh-ecdsa ssh-rsa
អនុញ្ញាតឱ្យបង្កើតកូនសោម៉ាស៊ីន ECDSA អនុញ្ញាតឱ្យបង្កើតកូនសោម៉ាស៊ីន RSA
ក្បួនដោះស្រាយការផ្លាស់ប្តូរសោ SSH ដែលគាំទ្រ៖
dh-group14-sha1 ecdh-sha2-nistp256 ecdh-sha2-nistp384 ecdh-sha2-nistp521
RFC 4253 កំណត់ក្រុម 14 ជាមួយ SHA1 hash The EC Diffie-Hellman on nistp256 with SHA2-256 The EC Diffie-Hellman on nistp384 with SHA2-384 The EC Diffie-Hellman on nistp521 with SHA2-512
ក្បួនដោះស្រាយ MACs ដែលគាំទ្រ៖
hmac-sha1 hmac-sha2-256 hmac-sha2-512
MAC ដែលមានមូលដ្ឋានលើ Hash ដោយប្រើ Secure Hash Algorithm (SHA1) Hash-based MAC ដោយប្រើ Secure Hash Algorithm (SHA2) Hash-based MAC ដោយប្រើ Secure Hash Algorithm (SHA2)
ក្បួនដោះស្រាយការសរសេរកូដ SSH ដែលគាំទ្រ៖
aes128-cbc aes128-ctr aes256-cbc aes256-ctr
AES 128-bit ជាមួយ Cipher Block Chaning 128-bit AES with Counter Mode 256-bit AES with Cipher Block Chaning 256-bit AES with Counter Mode
កំណត់ចំនួននៃការប៉ុនប៉ងចូលរបស់អ្នកប្រើសម្រាប់វគ្គ SSH
អ្នកគ្រប់គ្រងអាចចូលឧបករណ៍ពីចម្ងាយតាមរយៈ SSH ។ លិខិតសម្គាល់អ្នកគ្រប់គ្រងត្រូវបានរក្សាទុកក្នុងមូលដ្ឋាននៅលើឧបករណ៍។ ប្រសិនបើអ្នកគ្រប់គ្រងពីចម្ងាយបង្ហាញឈ្មោះអ្នកប្រើប្រាស់ និងពាក្យសម្ងាត់ត្រឹមត្រូវ ការចូលប្រើ TOE ត្រូវបានផ្តល់។ ប្រសិនបើព័ត៌មានសម្ងាត់មិនត្រឹមត្រូវ TOE អនុញ្ញាតឱ្យការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវឡើងវិញបន្ទាប់ពីចន្លោះពេលដែលចាប់ផ្តើមបន្ទាប់ពី 1 វិនាទី និងកើនឡើងជានិទស្សន្ត។ ប្រសិនបើចំនួននៃការព្យាយាមផ្ទៀងផ្ទាត់
46
លើសពីអតិបរមាដែលបានកំណត់រចនាសម្ព័ន្ធ គ្មានការព្យាយាមផ្ទៀងផ្ទាត់ត្រូវបានទទួលយកសម្រាប់ចន្លោះពេលដែលបានកំណត់រចនាសម្ព័ន្ធទេ។ នៅពេលដែលចន្លោះពេលផុតកំណត់ ការព្យាយាមផ្ទៀងផ្ទាត់ត្រូវបានទទួលយកម្តងទៀត។
អ្នកកំណត់រចនាសម្ព័ន្ធរយៈពេលដែលឧបករណ៍ត្រូវបានចាក់សោបន្ទាប់ពីការព្យាយាមមិនបានសម្រេច។ ចំនួនពេលវេលាក្នុងរយៈពេលប៉ុន្មាននាទី មុនពេលអ្នកប្រើប្រាស់អាចព្យាយាមចូលឧបករណ៍បន្ទាប់ពីត្រូវបានចាក់សោរចេញ ដោយសារតែចំនួននៃការព្យាយាមចូលដែលបរាជ័យដែលបានបញ្ជាក់នៅក្នុងសេចក្តីថ្លែងការណ៍ព្យាយាមមុនពេលផ្តាច់។ នៅពេលដែលអ្នកប្រើប្រាស់បរាជ័យក្នុងការចូលបានត្រឹមត្រូវបន្ទាប់ពីចំនួននៃការព្យាយាមអនុញ្ញាតដែលបានបញ្ជាក់ដោយសេចក្តីថ្លែងការណ៍ព្យាយាមមុនពេលផ្តាច់ អ្នកប្រើប្រាស់ត្រូវតែរង់ចាំចំនួនដែលបានកំណត់រចនាសម្ព័ន្ធនៃនាទី មុនពេលព្យាយាមចូលឧបករណ៍ម្តងទៀត។
រយៈពេលនៃការចាក់សោត្រូវតែធំជាងសូន្យ។ ជួរដែលអ្នកអាចកំណត់រចនាសម្ព័ន្ធរយៈពេលចាក់សោគឺពីមួយទៅ 43,200 នាទី។
[កែប្រែការចូលប្រព័ន្ធ] security-administrator@host:fips# set retry-options lockout-period
អ្នកអាចកំណត់រចនាសម្ព័ន្ធឧបករណ៍ដើម្បីកំណត់ចំនួននៃការព្យាយាមបញ្ចូលពាក្យសម្ងាត់ខណៈពេលចូលតាមរយៈ SSH ។ ដោយប្រើពាក្យបញ្ជាខាងក្រោមការតភ្ជាប់។
[កែប្រែការចូលប្រព័ន្ធ] security-administrator@host:fips# set retry-options tries-before-disconnect
នៅទីនេះ ការព្យាយាមមុនពេលផ្តាច់គឺជាចំនួនដងដែលអ្នកប្រើប្រាស់អាចព្យាយាមបញ្ចូលពាក្យសម្ងាត់នៅពេលចូល។ ការតភ្ជាប់នឹងបិទ ប្រសិនបើអ្នកប្រើបរាជ័យក្នុងការចូលបន្ទាប់ពីលេខដែលបានបញ្ជាក់។ ជួរគឺពី 1 ដល់ 10 ហើយតម្លៃលំនាំដើមគឺ 10 ។
ការចូលប្រើរបស់អ្នកគ្រប់គ្រងមូលដ្ឋាននឹងត្រូវបានរក្សាទុក ទោះបីជាការគ្រប់គ្រងពីចម្ងាយត្រូវបានធ្វើឡើងជាអចិន្ត្រៃយ៍ ឬមិនអាចប្រើបានជាបណ្ដោះអាសន្ន ដោយសារការព្យាយាមចូលមិនបានសម្រេចច្រើនដងក៏ដោយ។ ការចូលកុងសូលសម្រាប់ការគ្រប់គ្រងក្នុងតំបន់នឹងមានសម្រាប់អ្នកប្រើប្រាស់ក្នុងអំឡុងពេលនៃការចាក់សោ។
អ្នកក៏អាចកំណត់រចនាសម្ព័ន្ធការពន្យារពេលមួយវិនាទី មុនពេលអ្នកប្រើប្រាស់អាចព្យាយាមបញ្ចូលពាក្យសម្ងាត់បន្ទាប់ពីការព្យាយាមមិនបានសម្រេច។
[កែប្រែការចូលប្រព័ន្ធ] security-administrator@host:fips# set retry-options backoff-threshold
នៅទីនេះ backoff-threshold គឺជាកម្រិតកំណត់សម្រាប់ចំនួននៃការព្យាយាមចូលដែលបរាជ័យ មុនពេលអ្នកប្រើប្រាស់ជួបប្រទះការពន្យារពេលក្នុងការអាចបញ្ចូលពាក្យសម្ងាត់ម្តងទៀត។ ប្រើជម្រើស backoff-factor ដើម្បីបញ្ជាក់រយៈពេលនៃការពន្យារពេលគិតជាវិនាទី។ ជួរគឺពី 1 ដល់ 3 ហើយតម្លៃលំនាំដើមគឺ 2 វិនាទី។
47
លើសពីនេះ ឧបករណ៍អាចត្រូវបានកំណត់រចនាសម្ព័ន្ធដើម្បីបញ្ជាក់កម្រិតចាប់ផ្ដើមសម្រាប់ចំនួននៃការប៉ុនប៉ងបរាជ័យ មុនពេលអ្នកប្រើប្រាស់ជួបប្រទះការពន្យារពេលក្នុងការបញ្ចូលពាក្យសម្ងាត់ម្តងទៀត។
[កែប្រែការចូលប្រព័ន្ធ] security-administrator@host:fips# set retry-options backoff-factor
នៅទីនេះ backoff-factor គឺជារយៈពេលនៃពេលវេលាគិតជាវិនាទី មុនពេលអ្នកប្រើប្រាស់អាចព្យាយាមចូលបន្ទាប់ពីការប៉ុនប៉ងបរាជ័យ។ ការពន្យារពេលកើនឡើងដោយតម្លៃដែលបានបញ្ជាក់សម្រាប់ការប៉ុនប៉ងជាបន្តបន្ទាប់នីមួយៗបន្ទាប់ពីកម្រិត។ ជួរគឺចាប់ពី 5 ដល់ 10 ហើយតម្លៃលំនាំដើមគឺ 5 វិនាទី។ អ្នកអាចគ្រប់គ្រងការចូលប្រើរបស់អ្នកប្រើប្រាស់តាមរយៈ SSH ។ តាមរយៈការកំណត់ការបដិសេធការចូលជា root ssh អ្នកអាចធានាថាគណនី root នៅតែសកម្ម ហើយបន្តមានសិទ្ធិរដ្ឋបាលក្នុងតំបន់ចំពោះ TOE ទោះបីជាអ្នកប្រើប្រាស់ពីចម្ងាយផ្សេងទៀតត្រូវបានបិទក៏ដោយ។
[កែសម្រួលប្រព័ន្ធ] security-administrator@host:fips# set services ssh root-login deny
ពិធីការ SSH2 ផ្តល់នូវវគ្គស្ថានីយសុវត្ថិភាព ដោយប្រើប្រាស់ការអ៊ិនគ្រីបសុវត្ថិភាព។ ពិធីការ SSH2 បង្ខំឱ្យដំណើរការដំណាក់កាលផ្លាស់ប្តូរកូនសោ និងការផ្លាស់ប្តូរសោការអ៊ិនគ្រីប និងសុវត្ថិភាពសម្រាប់វគ្គ។ ការផ្លាស់ប្តូរសោត្រូវបានធ្វើជាទៀងទាត់ បន្ទាប់ពីវិនាទីដែលបានបញ្ជាក់ ឬបន្ទាប់ពីទិន្នន័យបៃដែលបានបញ្ជាក់បានឆ្លងកាត់ការតភ្ជាប់។ អ្នកអាចកំណត់រចនាសម្ព័ន្ធកម្រិតសម្រាប់ SSH rekeying, FCS_SSHS_EXT.1.8 និង FCS_SSHC_EXT.1.8 ។ TSF ធានាថានៅក្នុងការតភ្ជាប់ SSH គ្រាប់ចុចសម័យដូចគ្នាត្រូវបានប្រើសម្រាប់កម្រិតដែលមិនលើសពីមួយម៉ោង និងមិនលើសពីមួយជីហ្គាបៃនៃទិន្នន័យដែលបានបញ្ជូន។ នៅពេលដែលកម្រិតណាមួយត្រូវបានឈានដល់ ការចុចឡើងវិញត្រូវតែត្រូវបានអនុវត្ត។
[កែសម្រួលប្រព័ន្ធ] security-administrator@host:fips# set services ssh rekey time-limit
ពេលវេលាកំណត់មុនពេលធ្វើការចរចាឡើងវិញនូវសោសម័យគឺ 1 ដល់ 1440 នាទី។
[កែសម្រួលប្រព័ន្ធ] security-administrator@host:fips# set services ssh rekey data-limit
ដែនកំណត់ទិន្នន័យមុនពេលចរចាឡើងវិញនូវសោសម័យគឺ 51200 ដល់ 4294967295 បៃ។
ចំណាំ៖ ចាំបាច់ត្រូវចាប់ផ្តើមការភ្ជាប់ SSH ឡើងវិញ ក្នុងករណីដែលការតភ្ជាប់ត្រូវបានខូចដោយអចេតនា។
5 ជំពូក
កំណត់រចនាសម្ព័ន្ធម៉ាស៊ីនមេ Syslog ពីចម្ងាយ
Sample Syslog Server Configuration on a Linux System | ៦៦
49
Sample ការកំណត់រចនាសម្ព័ន្ធម៉ាស៊ីនមេ Syslog នៅលើប្រព័ន្ធលីនុច
បរិស្ថាន Junos OS ដែលមានសុវត្ថិភាពទាមទារឱ្យមានសវនកម្មនៃព្រឹត្តិការណ៍ និងរក្សាទុកពួកវានៅក្នុងសវនកម្មក្នុងតំបន់ file. ព្រឹត្តិការណ៍ដែលបានកត់ត្រាត្រូវបានផ្ញើក្នុងពេលដំណាលគ្នាទៅកាន់ម៉ាស៊ីនមេ syslog ខាងក្រៅ។ ម៉ាស៊ីនមេ syslog ទទួលសារ syslog ដែលផ្សាយចេញពីឧបករណ៍។ ម៉ាស៊ីនមេ syslog ត្រូវតែមានម៉ាស៊ីនភ្ញៀវ SSH ដែលមានការគាំទ្រ NETCONF ដែលបានកំណត់រចនាសម្ព័ន្ធដើម្បីទទួលសារ syslog ដែលបានផ្សាយ។ ប្រើព័ត៌មានលម្អិតនៃការកំណត់រចនាសម្ព័ន្ធ និងបង្កើតវគ្គមួយរវាងគោលដៅនៃការវាយតម្លៃ (TOE) និងម៉ាស៊ីនមេសវនកម្ម។ ពិនិត្យមើលចរាចរដែលឆ្លងកាត់រវាងម៉ាស៊ីនមេសវនកម្ម និង TOE ក្នុងអំឡុងពេលសកម្មភាពជាច្រើន និងទិន្នន័យសវនកម្មដែលបានបង្កើតដែលត្រូវផ្ទេរទៅម៉ាស៊ីនមេសវនកម្ម។ ពិនិត្យមើល TOE Summary Specification (TSS) ដើម្បីធានាថាវាបញ្ជាក់ពីមធ្យោបាយដែលទិន្នន័យសវនកម្មត្រូវបានផ្ទេរទៅម៉ាស៊ីនមេសវនកម្មខាងក្រៅ និងរបៀបដែលប៉ុស្តិ៍ដែលទុកចិត្តត្រូវបានផ្តល់។ កំណត់ហេតុ NDcPP ចាប់យកព្រឹត្តិការណ៍ដូចខាងក្រោម៖ · ការផ្លាស់ប្តូរដែលបានសន្យា · ការចាប់ផ្តើមប្រព័ន្ធ · ចូល និងចេញពីអ្នកប្រើប្រាស់ · បរាជ័យក្នុងការបង្កើតវគ្គ SSH · ការបង្កើត ឬបញ្ចប់វគ្គ SSH · ការផ្លាស់ប្តូរពេលវេលាប្រព័ន្ធ · ការចាប់ផ្តើមធ្វើបច្ចុប្បន្នភាពប្រព័ន្ធ ដើម្បីកំណត់រចនាសម្ព័ន្ធព្រឹត្តិការណ៍ ចូលទៅម៉ាស៊ីនមេពីចម្ងាយ នៅពេលដែលការតភ្ជាប់ SSH ទៅ ToE ត្រូវបានផ្តួចផ្តើមចេញពីម៉ាស៊ីនមេកំណត់ហេតុប្រព័ន្ធពីចម្ងាយ។ 1. បង្កើតកូនសោសាធារណៈ RSA នៅលើម៉ាស៊ីនមេ syslog ពីចម្ងាយ។
$ssh-keygen -b 2048 -t rsa -C 'syslog-monitor key pair' -f ~/.ssh/syslog-monitor
អ្នកនឹងត្រូវបានជម្រុញឱ្យបញ្ចូលឃ្លាដែលចង់បាន។ ទីតាំងផ្ទុកសម្រាប់គូសោ syslog-monitor ត្រូវបានបង្ហាញ។
50
2. នៅលើ TOE បង្កើតថ្នាក់មួយដែលមានឈ្មោះថា ម៉ូនីទ័រ ដែលមានការអនុញ្ញាតដើម្បីតាមដានព្រឹត្តិការណ៍។
[កែសម្រួលការចូលប្រព័ន្ធ] security-administrator@host:fips# កំណត់ការអនុញ្ញាតរបស់ម៉ូនីទ័រថ្នាក់
3. បង្កើតអ្នកប្រើប្រាស់ដែលមានឈ្មោះថា syslog-mon ជាមួយ class monitor ហើយជាមួយនឹងការផ្ទៀងផ្ទាត់ដែលប្រើគូសោ syslogmonitor ពី key pair file ដែលមានទីតាំងនៅលើម៉ាស៊ីនមេ syslog ពីចម្ងាយ។
[កែសម្រួលការចូលប្រព័ន្ធ] security-administrator@host:fips# កំណត់អ្នកប្រើប្រាស់ syslog-mon class monitor ការផ្ទៀងផ្ទាត់ ssh-rsa public key ពីគូសោ syslog-monitor
4. ដំឡើង NETCONF ជាមួយ SSH ។
[កែសម្រួលសេវាប្រព័ន្ធ] security-administrator@host:fips# set netconf ssh
5. កំណត់រចនាសម្ព័ន្ធ syslog ដើម្បីកត់ត្រាសារទាំងអស់នៅ /var/log/messages..
[កែសម្រួលសេវាកម្មប្រព័ន្ធ] security-administrator@host:fips# set syslog file សាររាល់ការប្រព្រឹត្ត
6. នៅលើម៉ាស៊ីនមេកំណត់ហេតុប្រព័ន្ធពីចម្ងាយ សូមចាប់ផ្តើមភ្នាក់ងារ SSH ssh-agent។ ការចាប់ផ្តើមគឺត្រូវបានទាមទារដើម្បីសម្រួលដល់ការដោះស្រាយសោ syslog-monitor ។
$ eval `ssh-agent -s`
7. នៅលើម៉ាស៊ីនមេ syslog ពីចម្ងាយ បន្ថែមគូសោ syslog-monitor ទៅ ssh-agent ។
$ssh-add ~/.ssh/syslog-monitor អ្នកនឹងត្រូវបានជម្រុញឱ្យបញ្ចូលឃ្លាសម្ងាត់ដែលចង់បាន។ បញ្ចូលឃ្លាសម្ងាត់ដូចគ្នាដែលបានប្រើក្នុងជំហានទី 1 ។
51
8. បន្ទាប់ពីចូលទៅក្នុងសម័យexternal_syslog_server បង្កើតផ្លូវរូងក្រោមដីទៅកាន់ឧបករណ៍ ហើយចាប់ផ្តើម NETCONF។
security-administrator@host:fips# $ssh syslog-mon@NDcPP_TOE -s netconf > test.out
9. បន្ទាប់ពី NETCONF ត្រូវបានបង្កើតឡើង កំណត់រចនាសម្ព័ន្ធការស្ទ្រីមសារព្រឹត្តិការណ៍កំណត់ហេតុប្រព័ន្ធ។ RPC នេះនឹងធ្វើឱ្យសេវា NETCONF ចាប់ផ្តើមបញ្ជូនសារនៅលើការតភ្ជាប់ SSH ដែលត្រូវបានបង្កើតឡើង។
សារ
10. អតីតamples សម្រាប់សារ syslog ត្រូវបានរាយខាងក្រោម។ ត្រួតពិនិត្យកំណត់ហេតុព្រឹត្តិការណ៍ដែលបានបង្កើតសម្រាប់សកម្មភាពអ្នកគ្រប់គ្រងនៅលើ TOE ត្រូវបានទទួលនៅលើម៉ាស៊ីនមេ syslog ។ ពិនិត្យមើលចរាចរណ៍ដែលឆ្លងកាត់រវាងម៉ាស៊ីនមេសវនកម្ម និង TOE ដោយសង្កេតឃើញថាទិន្នន័យទាំងនេះមិនមែនទេ។ viewed ក្នុងអំឡុងពេលផ្ទេរនេះ ហើយថាពួកគេត្រូវបានទទួលដោយជោគជ័យដោយម៉ាស៊ីនមេសវនកម្ម។ ផ្គូផ្គងកំណត់ហេតុរវាងការកត់ត្រាព្រឹត្តិការណ៍ក្នុងតំបន់ និងព្រឹត្តិការណ៍ពីចម្ងាយដែលបានចូលនៅក្នុងម៉ាស៊ីនមេ syslog ហើយកត់ត្រាកម្មវិធីពិសេស (ឈ្មោះ កំណែ) ដែលប្រើនៅលើម៉ាស៊ីនមេសវនកម្មអំឡុងពេលធ្វើតេស្ត។
លទ្ធផលខាងក្រោមបង្ហាញលទ្ធផលតេស្តសម្រាប់ syslog-server។
host@ssh-keygen -b 2048 -t rsa -C 'syslog-monitor key pair' -f ~/.ssh/syslog-monitor
កំពុងបង្កើតគូសោ rsa សាធារណៈ/ឯកជន។
បញ្ចូលឃ្លាសម្ងាត់ (ទទេសម្រាប់ឃ្លាសម្ងាត់ទេ)៖
បញ្ចូលឃ្លាសម្ងាត់ដដែលម្តងទៀត៖
អត្តសញ្ញាណរបស់អ្នកត្រូវបានរក្សាទុកនៅក្នុង /home/host/.ssh/syslog-monitor ។
សោសាធារណៈរបស់អ្នកត្រូវបានរក្សាទុកនៅក្នុង /home/host/.ssh/syslog-monitor.pub ។
ស្នាមម្រាមដៃសំខាន់គឺ៖
ef:75:d7:68:c5:ad:8d:6f:5e:7a:7e:9b:3d:f1:4d:3f syslog-monitor key pair
រូបភាពចៃដន្យរបស់គន្លឹះគឺ៖
+–[ RSA 2048]—-+
|
|
|
|
|
|
|
..|
|
S
+|
|
. បូ|
|
. . *.X|
|
. . o E@|
|
. .BX|
+——————–+
[host@nms5-vm-linux2 ~]$ cat /home/host/.ssh/syslog-monitor.pubssh-rsa
AAAAB3NzaC1yc2EAAAADAQABAAABAQCrUREJUBpjwAoIgRrGy9zgt+
52
D2pikk3Q/Wdf8I5vr+njeqJhCx2bUAkrRbYXNILQQAZbg7kLfi/8TqqL eon4HOP2e6oCSorKdx/GrOTzLONL4fh0EyuSAk8bs5JuwWNBUokV025BjxyfqbJsYF6 pUWb8m1/A9YjOFT+6esw+9S tF6Gbg+VpbYYk/Oday4z+z7tQHRFSrxj2G92aoliVDBLJparEMBc8w LdSUDxmgBTM2oadOmm+kreBUQjrmr6775RJnx9H/Y wodIEM9K4wXEHzAzNZ4oLmaAVqT syslog-monitor key pair [host@nms9-vm-linux2 ~ ]$ eval `ssh-agent -s` Agent pid 34 [host@nms0-vm-linux01 ~]$ ssh-add ~/.ssh/syslog-monitor បញ្ចូលឃ្លាសម្ងាត់សម្រាប់ /home/host/.ssh/syslog-monitor៖ បានបន្ថែមអត្តសញ្ញាណ៖ /home/host/.ssh/syslog-monitor (/home/host/.ssh/syslog-monitor)
បណ្តាញកំណត់រចនាសម្ព័ន្ធសុទ្ធ
host@nms5-vm-linux2 ~]$ ssh syslog-mon@starfire -s netconf
នេះគឺជាឧបករណ៍សាកល្បង NDcPP
urn:ietf:params:xml:ns:netconf:base:1.0 urn:ietf:params:xml:ns:netconf:capability:candidate:1.0 urn:ietf:params:xml:ns:netconf:capability:confirmed-commit:1.0 urn:ietf:params:xml:ns:netconf:capability:validate:1.0 urn:ietf:params:xml:ns:netconf:capability:url៖ 1.0?protocol=http,ftp,file</
សមត្ថភាព > http://xml.juniper.net/netconf/junos/1.0 http://xml.juniper.net/dmi/system/1.0
]]>]]>
លទ្ធផលខាងក្រោមបង្ហាញពីកំណត់ហេតុព្រឹត្តិការណ៍ដែលបានបង្កើតនៅលើ TOE ដែលត្រូវបានទទួលនៅលើម៉ាស៊ីនមេ syslog ។
មករា 20 17:04:51 មករា 20 17:04:51 មករា 20 17:04:53 55571 ssh2
starfire sshd[4182]: error: មិនអាចផ្ទុក host key: /etc/ssh/ssh_host_dsa_key starfire sshd[4182]: error: មិនអាចផ្ទុក host key: /etc/ssh/ssh_host_ecdsa_key starfire sshd[4182]៖ បានទទួលយក - អ្នកគ្រប់គ្រងពីច្រក 10.209.11.24
53
ថ្ងៃទី 20 ខែមករា 17:04:53 starfire mgd[4186]: UI_AUTH_EVENT: អ្នកប្រើប្រាស់ដែលបានផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ 'sec-admin' នៅកម្រិតអនុញ្ញាត 'j-administrator' ខែមករា 20 17:04:53 starfire mgd[4186]: UI_LOGIN_EVENT: Usermin 'sec-sec ' ចូល, ថ្នាក់ 'jadministrator' [4186], ssh-connection '10.209.11.24 55571 10.209.14.92 22', របៀបអតិថិជន 'cli'
បណ្តាញកំណត់រចនាសម្ព័ន្ធសុទ្ធ
host@nms5-vm-linux2 ~]$ ssh syslog-mon@starfire -s netconf នេះគឺជាឧបករណ៍សាកល្បង NDcPP
urn:ietf:params:xml:ns:netconf:base:1.0 urn:ietf:params:xml:ns:netconf:capability:candidate:1.0 urn:ietf:params:xml:ns:netconf:capability:confirmed-commit:1.0 urn:ietf:params:xml:ns:netconf:capability:validate:1.0 urn:ietf:params:xml:ns:netconf:capability:url៖ 1.0?protocol=http,ftp,file</
សមត្ថភាព > http://xml.juniper.net/netconf/junos/1.0 http://xml.juniper.net/dmi/system/1.0
]]>]]>
លទ្ធផលខាងក្រោមបង្ហាញថា syslogs មូលដ្ឋាន និង syslogs ពីចម្ងាយដែលបានទទួលគឺស្រដៀងគ្នា។
Local : an 20 17:09:30 starfire mgd[4186]: UI_COMMIT_PROGRESS: ប្រតិបត្តិការកំពុងដំណើរការ៖ ដំណើរការគ្រប់គ្រងចំណុចប្រទាក់ដែលមិនចាំបាច់ត្រូវពិនិត្យមើលការកំណត់រចនាសម្ព័ន្ធថ្មី ថ្ងៃទី 20 ខែមករា 17:09:30 starfire mgd[4186]: UI_CHILD_START: ការចាប់ផ្តើមកូន '/usr/ sbin/rdd' មករា 20 17:09:30 starfire mgd[4186]: UI_CHILD_STATUS: Cleanup child '/usr/sbin/rdd', PID 4317, ស្ថានភាព 0 Jan 20 ម៉ោង 17:09:30 starfire mgd[4186]: UI_COMMIT: ប្រតិបត្តិការកំពុងដំណើរការ៖ សេវាចាប់យកលំហូរថាមវន្តកំពុងពិនិត្យការកំណត់រចនាសម្ព័ន្ធថ្មី ថ្ងៃទី 20 ខែមករា ម៉ោង 17:09:30 starfire mgd[4186]: UI_CHILD_START: ការចាប់ផ្តើមកូន '/usr/sbin/dfcd' មករា 20 17:09:30 starfire mgd[4186]: UI_CHILD_STATUS៖ សម្អាតកូន '/usr/sbin/dfcd', PID 4318, ស្ថានភាព 0 មករា 20 17:09:30 starfire mgd[4186]: UI_COMMIT_PROGRESS៖ ដំណើរការប្រព្រឹត្តិកម្មកំពុងដំណើរការ៖ ដំណើរការគ្រប់គ្រងកំហុសនៃការតភ្ជាប់ កំពុងពិនិត្យមើលការកំណត់រចនាសម្ព័ន្ធថ្មី
54
ថ្ងៃទី 20 ខែមករា 17:09:30 starfire mgd[4186]: UI_CHILD_START: ចាប់ផ្តើមកូន '/usr/sbin/cfmd' ថ្ងៃទី 20 ខែមករា 17:09:30 starfire mgd[4186]: UI_CHILD_STATUS: កូនសម្អាត '/usr/sbin/cfmd' , PID 4319, ស្ថានភាព 0 មករា 20 17:09:30 starfire mgd[4186]: UI_COMMIT_PROGRESS: ដំណើរការប្រព្រឹត្តិកម្មកំពុងដំណើរការ៖ ស្រទាប់ទី 2 អាសយដ្ឋានលិចទឹក និងដំណើរការសិក្សាពិនិត្យការកំណត់រចនាសម្ព័ន្ធថ្មី ថ្ងៃទី 20 ខែមករា 17:09:30 starfire mgd[4186_START]៖ : ចាប់ផ្តើមកូន '/usr/sbin/l2ald' ថ្ងៃទី 20 ខែមករា 17:09:30 starfire mgd[4186]: UI_CHILD_STATUS: Cleanup child '/usr/sbin/l2ald', PID 4320, status 0 Jan 20 17:09:30 starfire mgd[4186]: UI_COMMIT_PROGRESS៖ អនុវត្តប្រតិបត្តិការដែលកំពុងដំណើរការ៖ ដំណើរការពិធីការត្រួតពិនិត្យស្រទាប់ 2 ពិនិត្យមើលការកំណត់រចនាសម្ព័ន្ធថ្មី ថ្ងៃទី 20 ខែមករា 17:09:30 starfire mgd[4186]: UI_CHILD_START: ចាប់ផ្តើមកូន '/usr/sbin/l2cpd' 20 មករា: 17 :09 starfire l30cp[2]: ការចាប់ផ្តើមម៉ាស៊ីនរបស់រដ្ឋ PNAC ថ្ងៃទី 4321 ខែមករា ម៉ោង 20:17:09 starfire l30cp[2]: ការចាប់ផ្ដើមម៉ាស៊ីនរបស់រដ្ឋ PNAC បានបញ្ចប់នៅថ្ងៃទី 4321 ខែមករា ម៉ោង 20:17:09 starfire l30cp[2]: ចាប់ផ្តើមម៉ាស៊ីន 4321Jan និង state 802.1 20 17:09:30 starfire l2cp[4321]: Read acess profile () config Jan 20 17:09:30 starfire mgd[4186]: UI_CHILD_STATUS: Cleanup child '/usr/sbin/l2cpd', PID 4321, status 0 Jan 20 ម៉ោង 17:09:30 starfire mgd[4186]: UIGR_COMMIT: ប្រតិបត្តិការកំពុងដំណើរការ៖ ដំណើរការ Multicast Snooping ពិនិត្យការកំណត់រចនាសម្ព័ន្ធថ្មី ថ្ងៃទី 20 ខែមករា ម៉ោង 17:09:30 starfire mgd[4186]: UI_CHILD_START: ចាប់ផ្តើមកូន '/usr/sbin/mcsnoopd' ថ្ងៃទី 20 ខែមករា ម៉ោង 17:09:30 starfire mgd[4186]: UI_CHILD_STAT សម្អាតកូន '/usr/sbin/mcsnoopd', PID 4325, ស្ថានភាព 0 មករា 20 17:09:30 starfire mgd[4186]: UI_COMMIT_PROGRESS: ប្រតិបត្តិការកំពុងដំណើរការ៖ commit wrapup… Jan 20 17:09:30 starfire mgd[4186 ]: UI_COMMIT_PROGRESS៖ អនុវត្តប្រតិបត្តិការដែលកំពុងដំណើរការ៖ កំពុងធ្វើឱ្យសកម្ម '/var/etc/ntp.conf' ខែមករា 20 17:09:30 starfire mgd[4186]: UI_COMMIT_PROGRESS៖ ប្រតិបត្តិការកំពុងដំណើរការ៖ ចាប់ផ្តើម ffp ធ្វើឱ្យសកម្ម ថ្ងៃទី 20 ខែមករា 17:09:30 starfire mgd[4186]: UI_CHILD_START: ការចាប់ផ្តើមកូន '/usr/sbin/ffp' ថ្ងៃទី 20 ខែមករា 17:09:30 starfire ffp[4326]: “dynamic-profiles”: គ្មានការផ្លាស់ប្តូរទៅ profileស……………
ពីចម្ងាយ : an 20 17:09:30 starfire mgd[4186]: UI_COMMIT_PROGRESS: ប្រតិបត្តិការប្រព្រឹត្តកំពុងដំណើរការ៖ ដំណើរការគ្រប់គ្រងចំណុចប្រទាក់ដែលលែងត្រូវការតទៅទៀត ពិនិត្យមើលការកំណត់រចនាសម្ព័ន្ធថ្មី ថ្ងៃទី 20 ខែមករា 17:09:30 starfire mgd[4186]: UI_CHILD_START: ចាប់ផ្តើម/កូន '/r us sbin/rdd' មករា 20 17:09:30 starfire mgd[4186]: UI_CHILD_STATUS: Cleanup child '/usr/sbin/rdd', PID 4317, ស្ថានភាព 0 Jan 20 ម៉ោង 17:09:30 starfire mgd[4186]: UI_COMMIT: ប្រតិបត្តិការកំពុងដំណើរការ៖ សេវាកម្មចាប់យកលំហូរថាមវន្តកំពុងពិនិត្យមើលការកំណត់រចនាសម្ព័ន្ធថ្មី 20 មករា 17:09:30 starfire mgd[4186]: UI_CHILD_START៖ ចាប់ផ្តើមកូន '/usr/sbin/dfcd'
55
ថ្ងៃទី 20 ខែមករា 17:09:30 starfire mgd[4186]: UI_CHILD_STATUS: សម្អាតកូន '/usr/sbin/dfcd', PID 4318, ស្ថានភាព 0 មករា 20 17:09:30 starfire mgd[4186]: UI_COMMIT_PROGRESS: ប្រតិបត្តិការកំពុងដំណើរការ ៖ ដំណើរការគ្រប់គ្រងកំហុសនៃការតភ្ជាប់កំពុងពិនិត្យមើលការកំណត់រចនាសម្ព័ន្ធថ្មី ថ្ងៃទី 20 ខែមករា 17:09:30 starfire mgd[4186]: UI_CHILD_START: ការចាប់ផ្តើមកូន '/usr/sbin/cfmd' មករា 20 17:09:30 starfire mgd[4186]: UI_CHILD_STATUS៖ សម្អាតកុមារ '/usr/sbin/cfmd', PID 4319, ស្ថានភាព 0 មករា 20 17:09:30 starfire mgd[4186]: UI_COMMIT_PROGRESS: ប្រតិបត្តិការកំពុងដំណើរការ៖ ស្រទាប់ទី 2 អាសយដ្ឋានលិចទឹក និងដំណើរការសិក្សា ពិនិត្យការកំណត់រចនាសម្ព័ន្ធថ្មី ថ្ងៃទី 20 មករា 17:09៖ 30 starfire mgd[4186]: UI_CHILD_START: ការចាប់ផ្តើមកូន '/usr/sbin/l2ald' ថ្ងៃទី 20 ខែមករា 17:09:30 starfire mgd[4186]: UI_CHILD_STATUS: កូនសម្អាត '/usr/sbin/l2ald', PID 4320, ស្ថានភាព ថ្ងៃទី 0 ខែមករា 20:17:09 starfire mgd[30]: UI_COMMIT_PROGRESS៖ ប្រតិបត្តិការកំពុងដំណើរការ៖ ដំណើរការពិធីការត្រួតពិនិត្យស្រទាប់ទី 4186 ពិនិត្យការកំណត់រចនាសម្ព័ន្ធថ្មី ថ្ងៃទី 2 ខែមករា ម៉ោង 20:17:09 starfire mgd[30]: UI_CHILD_START: ការចាប់ផ្តើមធុងកុមារ '/usr/usr/usr/usr/usr /l4186cpd' Jan 2 20:17:09 starfire l30cp[2]: ការចាប់ផ្តើមម៉ាស៊ីនរដ្ឋ PNAC ថ្ងៃទី 4321 ខែមករា ម៉ោង 20:17:09 starfire l30cp[2]: ការចាប់ផ្តើមម៉ាស៊ីនរដ្ឋ PNAC បញ្ចប់នៅថ្ងៃទី 4321 ខែមករា 20:17:09 [starfire l30c] ៖ ចាប់ផ្តើមដំណើរការម៉ូឌុល 2X និងម៉ាស៊ីនរដ្ឋ មករា 4321 802.1:20:17 starfire l09cp[30]៖ អាន acess profile () config Jan 20 17:09:30 starfire mgd[4186]: UI_CHILD_STATUS: Cleanup child '/usr/sbin/l2cpd', PID 4321, status 0 Jan 20 ម៉ោង 17:09:30 starfire mgd[4186]: UIGR_COMMIT: ប្រតិបត្តិការកំពុងដំណើរការ៖ ដំណើរការ Multicast Snooping ពិនិត្យការកំណត់រចនាសម្ព័ន្ធថ្មី ថ្ងៃទី 20 ខែមករា ម៉ោង 17:09:30 starfire mgd[4186]: UI_CHILD_START: ចាប់ផ្តើមកូន '/usr/sbin/mcsnoopd' ថ្ងៃទី 20 ខែមករា ម៉ោង 17:09:30 starfire mgd[4186]: UI_CHILD_STAT សម្អាតកូន '/usr/sbin/mcsnoopd', PID 4325, ស្ថានភាព 0 មករា 20 17:09:30 starfire mgd[4186]: UI_COMMIT_PROGRESS: ប្រតិបត្តិការកំពុងដំណើរការ៖ commit wrapup… Jan 20 17:09:30 starfire mgd[4186 ]: UI_COMMIT_PROGRESS៖ អនុវត្តប្រតិបត្តិការដែលកំពុងដំណើរការ៖ កំពុងធ្វើឱ្យសកម្ម '/var/etc/ntp.conf' ខែមករា 20 17:09:30 starfire mgd[4186]: UI_COMMIT_PROGRESS៖ ប្រតិបត្តិការកំពុងដំណើរការ៖ ចាប់ផ្តើម ffp ធ្វើឱ្យសកម្ម ថ្ងៃទី 20 ខែមករា 17:09:30 starfire mgd[4186]: UI_CHILD_START: ការចាប់ផ្តើមកូន '/usr/sbin/ffp' ថ្ងៃទី 20 ខែមករា 17:09:30 starfire ffp[4326]: “dynamic-profiles”: គ្មានការផ្លាស់ប្តូរទៅ profileស……………
6 ជំពូក
កំណត់រចនាសម្ព័ន្ធជម្រើសកំណត់ហេតុសវនកម្ម
កំណត់រចនាសម្ព័ន្ធជម្រើសកំណត់ហេតុសវនកម្មក្នុងការកំណត់រចនាសម្ព័ន្ធដែលបានវាយតម្លៃ | ៥៧ សample កូដសវនកម្មនៃការផ្លាស់ប្តូរការកំណត់រចនាសម្ព័ន្ធ | ៧៦
57
កំណត់រចនាសម្ព័ន្ធជម្រើសកំណត់ហេតុសវនកម្មក្នុងការកំណត់រចនាសម្ព័ន្ធដែលបានវាយតម្លៃ
នៅក្នុងផ្នែកនេះ កំណត់រចនាសម្ព័ន្ធជម្រើសកំណត់ហេតុសវនកម្ម | ៥៧
ផ្នែកខាងក្រោមពិពណ៌នាអំពីរបៀបកំណត់រចនាសម្ព័ន្ធជម្រើសកំណត់ហេតុសវនកម្មនៅក្នុងការកំណត់រចនាសម្ព័ន្ធដែលបានវាយតម្លៃ។
កំណត់រចនាសម្ព័ន្ធជម្រើសកំណត់ហេតុសវនកម្ម
ដើម្បីកំណត់រចនាសម្ព័ន្ធជម្រើសកំណត់ហេតុសវនកម្ម: 1. បញ្ជាក់ចំនួននៃ files នឹងត្រូវបានទុកក្នុងប័ណ្ណសារនៅក្នុងកន្លែងកត់ត្រាប្រព័ន្ធ។
[កែសម្រួលប្រព័ន្ធ syslog] security-administrator@host:fips# set archive files 2 2. បញ្ជាក់ file ក្នុងការកត់ត្រាទិន្នន័យ។ [កែសម្រួលប្រព័ន្ធ syslog] security-administrator@host:fips# set file syslog ណាមួយ 3. បញ្ជាក់ទំហំរបស់ files ដែលត្រូវទុកក្នុងប័ណ្ណសារ។ [កែសម្រួលប្រព័ន្ធ syslog] security-administrator@host:fips# set file ទំហំប័ណ្ណសារ syslog 10000000
58
4. បញ្ជាក់អាទិភាព និងមធ្យោបាយនៅក្នុងសារសម្រាប់កន្លែងកត់ត្រាប្រព័ន្ធ។
[កែសម្រួលប្រព័ន្ធ syslog] security-administrator@host:fips# set file syslog អាទិភាពច្បាស់លាស់
5. កត់ត្រាសារប្រព័ន្ធក្នុងទម្រង់រចនាសម្ព័ន្ធ។
[កែសម្រួលប្រព័ន្ធ syslog] security-administrator@host:fips# set file syslog រចនាសម្ព័ន្ធ - ទិន្នន័យ
Sample សវនកម្មកូដនៃការផ្លាស់ប្តូរការកំណត់រចនាសម្ព័ន្ធ
នេះ សample កូដធ្វើសវនកម្មលើការផ្លាស់ប្តូរទាំងអស់ចំពោះទិន្នន័យសម្ងាត់នៃការកំណត់រចនាសម្ព័ន្ធ ហើយផ្ញើកំណត់ហេតុទៅ a file ឈ្មោះ សវនកម្ម-File:.
[កែសម្រួលប្រព័ន្ធ] syslog {
file សវនកម្ម-File { ព័ត៌មានការអនុញ្ញាត; ព័ត៌មានផ្លាស់ប្តូរកំណត់ហេតុ; ព័ត៌មានអន្តរកម្ម - ពាក្យបញ្ជា;
} }
នេះ សample កូដពង្រីកវិសាលភាពនៃសវនកម្មអប្បបរមាដើម្បីធ្វើសវនកម្មការផ្លាស់ប្តូរទាំងអស់ចំពោះការកំណត់រចនាសម្ព័ន្ធ មិនត្រឹមតែទិន្នន័យសម្ងាត់ប៉ុណ្ណោះទេ ហើយផ្ញើកំណត់ហេតុទៅកាន់ file ឈ្មោះ សវនកម្ម-File:.
[កែសម្រួលប្រព័ន្ធ] syslog {
file សវនកម្ម-File { ណាមួយ; ព័ត៌មានការអនុញ្ញាត; ការផ្លាស់ប្តូរ - កំណត់ហេតុណាមួយ; ព័ត៌មានអន្តរកម្ម - ពាក្យបញ្ជា;
59
ព័ត៌មានខឺណែល; ព័ត៌មាន pfe; } }
Example: ការកត់ត្រាប្រព័ន្ធនៃការផ្លាស់ប្តូរការកំណត់រចនាសម្ព័ន្ធ
អតីតample បង្ហាញជាample ការកំណត់រចនាសម្ព័ន្ធ និងធ្វើការផ្លាស់ប្តូរអ្នកប្រើប្រាស់ និងទិន្នន័យសម្ងាត់។ បន្ទាប់មកវាបង្ហាញ
ព័ត៌មានដែលបានផ្ញើទៅម៉ាស៊ីនមេសវនកម្ម នៅពេលដែលទិន្នន័យសម្ងាត់ត្រូវបានបន្ថែមទៅការកំណត់រចនាសម្ព័ន្ធដើម និងបានប្តេជ្ញាចិត្តជាមួយនឹងពាក្យបញ្ជាផ្ទុក។
[កែប្រែប្រព័ន្ធ] ទីតាំង {
លេខកូដប្រទេសអាមេរិក; អគារ B1; } … ចូល { សារ “ការប្រើប្រាស់រ៉ោតទ័រនេះ ហាមប្រាមយ៉ាងតឹងរ៉ឹង!”;
អ្នកគ្រប់គ្រងអ្នកប្រើប្រាស់ { uid 2000; ថ្នាក់អ្នកប្រើជាន់ខ្ពស់;
ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ { ពាក្យសម្ងាត់ដែលបានអ៊ិនគ្រីប "$ ABC123"; # ទិន្នន័យសម្ងាត់
} } } radius-server 192.0.2.15 { secret “$ABC123” # SECRET-DATA } services { ssh; } syslog { អ្នកប្រើប្រាស់ *{
ការសង្គ្រោះបន្ទាន់ណាមួយ; } file សារ {
ការជូនដំណឹងណាមួយ; ព័ត៌មានការអនុញ្ញាត; }
60
file ពាក្យបញ្ជាអន្តរកម្ម {អន្តរកម្ម-បញ្ជាណាមួយ;
} } ……
ការកំណត់រចនាសម្ព័ន្ធថ្មីផ្លាស់ប្តូរសេចក្តីថ្លែងការណ៍កំណត់រចនាសម្ព័ន្ធទិន្នន័យសម្ងាត់ និងបន្ថែមអ្នកប្រើប្រាស់ថ្មី។
security-administrator@host:fips# បង្ហាញ | ប្រៀបធៀប
[កែសម្រួលការចូលប្រព័ន្ធការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវរបស់អ្នកប្រើគ្រប់គ្រង]ពាក្យសម្ងាត់ដែលបានអ៊ិនគ្រីប “$ABC123”; # ទិន្នន័យសម្ងាត់
+ ពាក្យសម្ងាត់ដែលបានអ៊ិនគ្រីប “$ABC123”; # ទិន្នន័យសម្ងាត់
[កែប្រែការចូលប្រព័ន្ធ]+ អ្នកគ្រប់គ្រងអ្នកប្រើប្រាស់ 2 {
+
uid 2001;
+
ប្រតិបត្តិករថ្នាក់;
+
ការផ្ទៀងផ្ទាត់ {
+
ពាក្យសម្ងាត់ដែលបានអ៊ិនគ្រីប “$ABC123”;
# ទិន្នន័យសម្ងាត់
+
}
+ }
[កែប្រែប្រព័ន្ធ radius-server 192.0.2.15]សម្ងាត់ “$ABC123”; # ទិន្នន័យសម្ងាត់
+ សម្ងាត់ “$ABC123″; # ទិន្នន័យសម្ងាត់
7 ជំពូក
កំណត់រចនាសម្ព័ន្ធការកត់ត្រាព្រឹត្តិការណ៍
ការកត់ត្រាព្រឹត្តិការណ៍view | 62 បកស្រាយសារព្រឹត្តិការណ៍ | 79 កំណត់ហេតុផ្លាស់ប្តូរទៅទិន្នន័យសម្ងាត់ | 80 ព្រឹត្តិការណ៍ចូល និងចេញដោយប្រើ SSH | 81 ការកត់ត្រាការចាប់ផ្តើមសវនកម្ម | ៨២
62
ការកត់ត្រាព្រឹត្តិការណ៍view
ការកំណត់រចនាសម្ព័ន្ធដែលបានវាយតម្លៃតម្រូវឱ្យធ្វើសវនកម្មនៃការផ្លាស់ប្តូរការកំណត់តាមរយៈកំណត់ហេតុប្រព័ន្ធ។ លើសពីនេះ Junos OS អាច៖ · ផ្ញើការឆ្លើយតបដោយស្វ័យប្រវត្តិទៅព្រឹត្តិការណ៍សវនកម្ម (ការបង្កើតធាតុ syslog) ។ · អនុញ្ញាតឱ្យអ្នកគ្រប់គ្រងដែលមានការអនុញ្ញាតពិនិត្យមើលកំណត់ហេតុសវនកម្ម។ ·ផ្ញើសវនកម្ម files ទៅម៉ាស៊ីនមេខាងក្រៅ។ · អនុញ្ញាតឱ្យអ្នកគ្រប់គ្រងដែលមានការអនុញ្ញាត ត្រឡប់ប្រព័ន្ធទៅស្ថានភាពដែលគេស្គាល់។ ការកត់ត្រាសម្រាប់ការកំណត់រចនាសម្ព័ន្ធដែលបានវាយតម្លៃត្រូវតែចាប់យកព្រឹត្តិការណ៍។ ព្រឹត្តិការណ៍នៃការកាប់ឈើមានរាយខាងក្រោម៖ តារាងទី 2 នៅទំព័រ 62 បង្ហាញ sample សម្រាប់ការធ្វើសវនកម្ម syslog សម្រាប់ NDcPPv2.2e៖ តារាងទី 2៖ ព្រឹត្តិការណ៍សវនកម្ម
តម្រូវការ
ព្រឹត្តិការណ៍សវនកម្ម
មាតិកានៃកំណត់ត្រាសវនកម្មបន្ថែម
របៀបដែលព្រឹត្តិការណ៍ត្រូវបានបង្កើតឡើង
FAU_GEN.1
គ្មាន
គ្មាន
FAU_GEN.2
គ្មាន
គ្មាន
FAU_STG_EXT.1
គ្មាន
គ្មាន
FAU_STG.1
គ្មាន
គ្មាន
FCS_CKM.1
គ្មាន
គ្មាន
FCS_CKM.2
គ្មាន
គ្មាន
FCS_CKM.4
គ្មាន
គ្មាន
63
តារាងទី ៤៖ ព្រឹត្តិការណ៍សវនកម្ម (ត)
តម្រូវការ
ព្រឹត្តិការណ៍សវនកម្ម
មាតិកានៃកំណត់ត្រាសវនកម្មបន្ថែម
របៀបដែលព្រឹត្តិការណ៍ត្រូវបានបង្កើតឡើង
FCS_COP.1/ ការអ៊ិនគ្រីបទិន្នន័យ
គ្មាន
គ្មាន
FCS_COP.1/SigGen គ្មាន
គ្មាន
FCS_COP.1/Hash
គ្មាន
គ្មាន
FCS_COP.1/ KeyedHash
គ្មាន
គ្មាន
FCS_RBG_EXT.1
គ្មាន
គ្មាន
FDP_RIP.២
គ្មាន
គ្មាន
FIA_AFL.1
ការព្យាយាមចូលដែលមិនជោគជ័យត្រូវបានបំពេញ ឬលើសកម្រិតកំណត់។
ប្រភពដើមនៃការប៉ុនប៉ង (ឧទាហរណ៍អាសយដ្ឋាន IP) ។
sshd SSHD_LOGIN_ATTEMPTS_THRESHOLD [junos@2636.1.1.1.2.164 limit=”3″ username=”root”] កម្រិតសម្រាប់ការព្យាយាមផ្ទៀងផ្ទាត់មិនជោគជ័យ (3) ឈានដល់ដោយអ្នកប្រើប្រាស់ 'root'
FIA_PMG_EXT.1
គ្មាន
គ្មាន
64
តារាងទី ៤៖ ព្រឹត្តិការណ៍សវនកម្ម (ត)
តម្រូវការ
ព្រឹត្តិការណ៍សវនកម្ម
មាតិកានៃកំណត់ត្រាសវនកម្មបន្ថែម
របៀបដែលព្រឹត្តិការណ៍ត្រូវបានបង្កើតឡើង
FIA_UIA_EXT.1
រាល់ការប្រើប្រាស់យន្តការកំណត់អត្តសញ្ញាណ និងការផ្ទៀងផ្ទាត់។
បានផ្តល់អត្តសញ្ញាណអ្នកប្រើប្រាស់ ប្រភពដើមនៃការប៉ុនប៉ង (ឧ. អាសយដ្ឋាន IP)។
ការចូលពីចម្ងាយដោយជោគជ័យ
mgd 70652 UI_AUTH_EVENT [junos@2636.1.1.1.2.164 username=”root” authentication-level=”super-user”] អ្នកប្រើប្រាស់ដែលផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ 'root' ត្រូវបានកំណត់ទៅថ្នាក់ 'super-user'
mgd 70652 UI_LOGIN_EVENT [junos@2636.1.1.1.2.164 username=”root” class-name=”super-user” local-peer=”” pid=”70652″ ssh-connection=”10.223.5.251 53476 client-mode=”cli”] អ្នកប្រើប្រាស់ 'root' ចូល, ថ្នាក់ 'super-user' [10.204.134.54], ssh-connection '22 70652 10.223.5.251 53476', client-mode 'cli'
ការចូលពីចម្ងាយមិនជោគជ័យ
sshd – SSHD_LOGIN_FAILED [junos@2636.1.1.1.2.164 username=”root” source-address=”10.223.5.251″] ការចូលបានបរាជ័យសម្រាប់អ្នកប្រើប្រាស់ 'root' ពីម៉ាស៊ីន '10.223.5.251'
ការចូលក្នុងតំបន់ដោយជោគជ័យ
ចូល 2671 LOGIN_INFORMATION [junos@2636.1.1.1.2.164 username=”root” hostname=”[unknown]” tty-name=”ttyu0″] អ្នកប្រើប្រាស់ root ចូលពី host [មិនស្គាល់] នៅលើឧបករណ៍ ttyu0
ចូល 2671 LOGIN_ROOT [junos@2636.1.1.1.2.164 username=”root” hostname=”[unknown]” tty-name=”ttyu0″] អ្នកប្រើប្រាស់ root ចូលជា root ពី host [មិនស្គាល់] នៅលើឧបករណ៍ ttyu0
ការចូលក្នុងតំបន់មិនជោគជ័យ
ចូល 70818 LOGIN_PAM_ERROR [junos@2636.1.1.1.2.164 username=”root” error-message=”error in service module”]
65
តារាងទី ៤៖ ព្រឹត្តិការណ៍សវនកម្ម (ត)
តម្រូវការ
ព្រឹត្តិការណ៍សវនកម្ម
មាតិកានៃកំណត់ត្រាសវនកម្មបន្ថែម
របៀបដែលព្រឹត្តិការណ៍ត្រូវបានបង្កើតឡើង
ការបរាជ័យខណៈពេលដែលការផ្ទៀងផ្ទាត់សិទ្ធិអ្នកប្រើ root: កំហុសនៅក្នុងម៉ូឌុលសេវាកម្ម
ចូល 70818 LOGIN_FAILED [junos@2636.1.1.1.2.164 username=”root” source-address=”ttyu0″] ការចូលបានបរាជ័យសម្រាប់អ្នកប្រើប្រាស់ root ពី host ttyu0
66
តារាងទី ៤៖ ព្រឹត្តិការណ៍សវនកម្ម (ត)
តម្រូវការ
ព្រឹត្តិការណ៍សវនកម្ម
មាតិកានៃកំណត់ត្រាសវនកម្មបន្ថែម
របៀបដែលព្រឹត្តិការណ៍ត្រូវបានបង្កើតឡើង
FIA_UAU_EXT.2
រាល់ការប្រើប្រាស់យន្តការកំណត់អត្តសញ្ញាណ និងការផ្ទៀងផ្ទាត់។
ប្រភពដើមនៃការប៉ុនប៉ង (ឧទាហរណ៍អាសយដ្ឋាន IP) ។
ការចូលពីចម្ងាយដោយជោគជ័យ
mgd 70652 UI_AUTH_EVENT [junos@2636.1.1.1.2.164 username=”root” authentication-level=”super-user”] អ្នកប្រើប្រាស់ដែលផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ 'root' ត្រូវបានកំណត់ទៅថ្នាក់ 'super-user'
mgd 70652 UI_LOGIN_EVENT [junos@2636.1.1.1.2.164 username=”root” class-name=”super-user” local-peer=”” pid=”70652″ ssh-connection=”10.223.5.251 53476 client-mode=”cli”] អ្នកប្រើប្រាស់ 'root' ចូល, ថ្នាក់ 'super-user' [10.204.134.54], ssh-connection '22 70652 10.223.5.251 53476', client-mode 'cli'
ការចូលពីចម្ងាយមិនជោគជ័យ
sshd – SSHD_LOGIN_FAILED [junos@2636.1.1.1.2.164 username=”root” source-address=”10.223.5.251″] ការចូលបានបរាជ័យសម្រាប់អ្នកប្រើប្រាស់ 'root' ពីម៉ាស៊ីន '10.223.5.251'
ការចូលក្នុងតំបន់ដោយជោគជ័យ
ចូល 2671 LOGIN_INFORMATION [junos@2636.1.1.1.2.164 username=”root” hostname=”[unknown]” tty-name=”ttyu0″] អ្នកប្រើប្រាស់ root ចូលពី host [មិនស្គាល់] នៅលើឧបករណ៍ ttyu0
ចូល 2671 LOGIN_ROOT [junos@2636.1.1.1.2.164 username=”root” hostname=”[unknown]” tty-name=”ttyu0″] អ្នកប្រើប្រាស់ root ចូលជា root ពី host [មិនស្គាល់] នៅលើឧបករណ៍ ttyu0
ការចូលក្នុងតំបន់មិនជោគជ័យ
ចូល 70818 LOGIN_PAM_ERROR [junos@2636.1.1.1.2.164 username=”root” error-message=”error in service module”]
67
តារាងទី ៤៖ ព្រឹត្តិការណ៍សវនកម្ម (ត)
តម្រូវការ
ព្រឹត្តិការណ៍សវនកម្ម
មាតិកានៃកំណត់ត្រាសវនកម្មបន្ថែម
របៀបដែលព្រឹត្តិការណ៍ត្រូវបានបង្កើតឡើង
ការបរាជ័យខណៈពេលដែលការផ្ទៀងផ្ទាត់សិទ្ធិអ្នកប្រើ root: កំហុសនៅក្នុងម៉ូឌុលសេវាកម្ម
ចូល 70818 LOGIN_FAILED [junos@2636.1.1.1.2.164 username=”root” source-address=”ttyu0″] ការចូលបានបរាជ័យសម្រាប់អ្នកប្រើប្រាស់ root ពី host ttyu0
FIA_UAU.7
គ្មាន
គ្មាន
FMT_MOF.1/ ការធ្វើបច្ចុប្បន្នភាពដោយដៃ
ការប៉ុនប៉ងណាមួយដើម្បីចាប់ផ្តើមការធ្វើបច្ចុប្បន្នភាពដោយដៃ។
គ្មាន
UI_CMDLINE_READ_LINE [junos@2636.1.1.1.2.164 username=”secofficer” command=”request system software add /var/tmp/junos-mx240-22.2R1.1.tgz novalidate “] User 'sec-officer', command 'request system កម្មវិធីបន្ថែម /var/tmp/ junos-mx240-22.2R1.1.tgz no-validate '
FMT_MTD.1/ ទិន្នន័យស្នូល
សកម្មភាពគ្រប់គ្រងទាំងអស់នៃទិន្នន័យ TSF
គ្មាន
សូមមើលព្រឹត្តិការណ៍សវនកម្មដែលបានរាយក្នុងតារាងនេះ។
FMT_SMF.1/IPS
គ្មាន
គ្មាន
គ្មាន
FMT_SMF.1/ND
គ្មាន
គ្មាន
គ្មាន
FMT_SMR.2
គ្មាន
គ្មាន
FPT_SKP_EXT.1
គ្មាន
គ្មាន
FPT_APW_EXT.1
គ្មាន
គ្មាន
FPT_TST_EXT.1
គ្មាន
គ្មាន
68
តារាងទី ៤៖ ព្រឹត្តិការណ៍សវនកម្ម (ត)
តម្រូវការ
ព្រឹត្តិការណ៍សវនកម្ម
មាតិកានៃកំណត់ត្រាសវនកម្មបន្ថែម
របៀបដែលព្រឹត្តិការណ៍ត្រូវបានបង្កើតឡើង
FPT_TUD_EXT.1
ការចាប់ផ្តើមនៃការធ្វើឱ្យទាន់សម័យ; លទ្ធផលនៃការព្យាយាមធ្វើបច្ចុប្បន្នភាព (ជោគជ័យ ឬបរាជ័យ)
គ្មាន
UI_CMDLINE_READ_LINE [junos@2636.1.1.1.2.164 username=”secofficer” command=”request system software add /var/tmp/junos-mx240-22.2R1.1.tgz novalidate “] User 'sec-officer', command 'request system កម្មវិធីបន្ថែម /var/tmp/ junos-mx240-22.2R1.1.tgz no-validate '
FPT_STM_EXT.1
ការផ្លាស់ប្តូរមិនឈប់ឈរចំពោះពេលវេលា ទាំងអ្នកគ្រប់គ្រងបានធ្វើសកម្មភាព ឬផ្លាស់ប្តូរតាមរយៈដំណើរការស្វ័យប្រវត្តិ។
សម្រាប់ការផ្លាស់ប្តូរដែលមិនបន្តបន្ទាប់គ្នាទៅនឹងពេលវេលា៖ តម្លៃចាស់ និងថ្មីសម្រាប់ពេលវេលា។ ប្រភពដើមនៃការព្យាយាមផ្លាស់ប្តូរពេលវេលាសម្រាប់ភាពជោគជ័យ និងបរាជ័យ (ដូចជាអាសយដ្ឋាន IP)។
mgd 71079 UI_CMDLINE_READ_LINE [junos@2636.1.1.1.2.164 username=”root” command=”set date 202005201815.00 “] User 'root', command 'set date 202005201815.00'
mgd 71079 UI_COMMIT_PROGRESS [junos@2636.1.1.1.2.164 message=”signaling 'Network security daemon', pid 2641, signal 31, status 0 with notification errors enabled”] ប្រតិបត្តិការកំពុងដំណើរការ៖ សញ្ញា 'Network security daemon, p2641, សញ្ញា 31 ស្ថានភាព 0 ជាមួយនឹងកំហុសការជូនដំណឹងត្រូវបានបើក nsd 2641 NSD_SYS_TIME_CHANGE – ពេលវេលាប្រព័ន្ធបានផ្លាស់ប្តូរ
FTA_SSL_EXT.1 (ប្រសិនបើការបញ្ចប់វគ្គត្រូវបានជ្រើសរើស)
ការបញ្ចប់វគ្គអន្តរកម្មក្នុងតំបន់ដោយយន្តការចាក់សោសម័យ។
គ្មាន
cli – UI_CLI_IDLE_TIMEOUT [junos@2636.1.1.1.2.164 username=”root”] អស់ពេលទំនេរសម្រាប់អ្នកប្រើប្រាស់ 'root' លើស ហើយវគ្គត្រូវបានបញ្ចប់
FTA_SSL.៣
ការបិទវគ្គពីចម្ងាយដោយយន្តការចាក់សោសម័យ។
គ្មាន
cli – UI_CLI_IDLE_TIMEOUT [junos@2636.1.1.1.2.164 username=”root”] អស់ពេលទំនេរសម្រាប់អ្នកប្រើប្រាស់ 'root' លើស ហើយវគ្គត្រូវបានបញ្ចប់
69
តារាងទី ៤៖ ព្រឹត្តិការណ៍សវនកម្ម (ត)
តម្រូវការ
ព្រឹត្តិការណ៍សវនកម្ម
មាតិកានៃកំណត់ត្រាសវនកម្មបន្ថែម
របៀបដែលព្រឹត្តិការណ៍ត្រូវបានបង្កើតឡើង
FTA_SSL.៣
ការបញ្ចប់វគ្គអន្តរកម្ម។
គ្មាន
mgd 71668 UI_LOGOUT_EVENT [junos@2636.1.1.1.2.164 username=”root”] អ្នកប្រើប្រាស់ 'root' ចេញ
FTA_TAB.1
គ្មាន
គ្មាន
FCS_SSHS_EXT.1
ការបរាជ័យក្នុងការបង្កើតហេតុផលសម្រាប់ការបរាជ័យវគ្គ SSH
sshd 72404 – – មិនអាចចរចាជាមួយ 1.1.1.2 port 42168៖ រកមិនឃើញលេខសម្ងាត់ដែលត្រូវគ្នា។ ការផ្តល់ជូនរបស់ពួកគេ៖ chacha20poly1305@openssh.com, aes128-ctr, aes192-ctr, aes256-ctr, aes128gcm@openssh.com, aes256gcm@openssh.com, aes128-cbc, aes192-cbc, aes
FTP_ITC.1
ការចាប់ផ្តើមនៃឆានែលដែលគួរឱ្យទុកចិត្ត។ ការបញ្ចប់ឆានែលដែលទុកចិត្ត។ ការបរាជ័យនៃមុខងារឆានែលដែលទុកចិត្ត
ការកំណត់អត្តសញ្ញាណអ្នកផ្តួចផ្តើម និងគោលដៅនៃការប៉ុនប៉ងបង្កើតប៉ុស្តិ៍ដែលគួរឱ្យទុកចិត្តដែលបរាជ័យ
ការចាប់ផ្តើមនៃផ្លូវដែលគួរឱ្យទុកចិត្ត
sshd 72418 – – ទទួលយក keyboardinteractive/pam សម្រាប់ root ពី 10.223.5.251 port 42482 ssh2
ការបញ្ចប់ផ្លូវដែលអាចទុកចិត្តបាន។
sshd 72418 – – ផ្តាច់ចេញពីអ្នកប្រើប្រាស់ root 10.223.5.251 ច្រក 42482 ការបរាជ័យនៃផ្លូវដែលទុកចិត្ត
sshd – SSHD_LOGIN_FAILED [junos@2636.1.1.1.2.164 username=”root” source-address=”10.223.5.251″] ការចូលបានបរាជ័យសម្រាប់អ្នកប្រើប្រាស់ 'root' ពីម៉ាស៊ីន '10.223.5.251'
70
តារាងទី ៤៖ ព្រឹត្តិការណ៍សវនកម្ម (ត)
តម្រូវការ
ព្រឹត្តិការណ៍សវនកម្ម
មាតិកានៃកំណត់ត្រាសវនកម្មបន្ថែម
របៀបដែលព្រឹត្តិការណ៍ត្រូវបានបង្កើតឡើង
FTP_TRP.1/អ្នកគ្រប់គ្រង
ការចាប់ផ្តើមនៃផ្លូវដែលគួរឱ្យទុកចិត្ត។ ការបញ្ចប់ផ្លូវដែលអាចទុកចិត្តបាន។ ការបរាជ័យនៃមុខងារផ្លូវដែលទុកចិត្ត។
គ្មាន
ការចាប់ផ្តើមនៃផ្លូវដែលគួរឱ្យទុកចិត្ត
sshd 72418 – – ទទួលយក keyboardinteractive/pam សម្រាប់ root ពី 10.223.5.251 port 42482 ssh2
ការបញ្ចប់ផ្លូវដែលអាចទុកចិត្តបាន។
sshd 72418 – – ផ្តាច់ចេញពីអ្នកប្រើប្រាស់ root 10.223.5.251 ច្រក 42482
ការបរាជ័យនៃផ្លូវដែលគួរឱ្យទុកចិត្ត
sshd – SSHD_LOGIN_FAILED [junos@2636.1.1.1.2.164 username=”root” source-address=”10.223.5.251″] ការចូលបានបរាជ័យសម្រាប់អ្នកប្រើប្រាស់ 'root' ពីម៉ាស៊ីន '10.223.5.251'
FCS_SSHS_EXT.1
ការបរាជ័យក្នុងការបង្កើតហេតុផលសម្រាប់ការបរាជ័យវគ្គ SSH
sshd 72404 – – មិនអាចចរចាជាមួយ 1.1.1.2 port 42168៖ រកមិនឃើញលេខសម្ងាត់ដែលត្រូវគ្នា។ ការផ្តល់ជូនរបស់ពួកគេ៖ chacha20poly1305@openssh.com, aes128-ctr, aes192ctr, aes256-ctr, aes128-gcm@openssh.com, aes256-gcm@openssh.com, aes128-cbc, aes192-cbc, aes256-cbc
FIA_X509_EXT.1/Rev
ការព្យាយាមមិនជោគជ័យក្នុងការផ្ទៀងផ្ទាត់វិញ្ញាបនបត្រ
ហេតុផលសម្រាប់ការបរាជ័យ
verify-sig 72830 – – មិនអាចធ្វើឱ្យមានសុពលភាព ecerts.pem បានទេ៖ អ្នកចេញប្រធានបទមិនត្រូវគ្នា៖ /C=US/ ST=CA/L=Sunnyvale/O=Juniper Networks/ OU=Juniper CA/CN=PackageProduction TestEc_2017_NO_DEFECTS/email. សុទ្ធ
FIA_X509_EXT.2
គ្មាន
គ្មាន
FIA_X509_EXT.3
គ្មាន
គ្មាន
71
តារាងទី ៤៖ ព្រឹត្តិការណ៍សវនកម្ម (ត)
តម្រូវការ
ព្រឹត្តិការណ៍សវនកម្ម
មាតិកានៃកំណត់ត្រាសវនកម្មបន្ថែម
របៀបដែលព្រឹត្តិការណ៍ត្រូវបានបង្កើតឡើង
FMT_MOF.1/ មុខងារ
ការកែប្រែឥរិយាបថនៃការបញ្ជូនទិន្នន័យសវនកម្មទៅកាន់អង្គភាព IT ខាងក្រៅ ការគ្រប់គ្រងទិន្នន័យសវនកម្ម មុខងារសវនកម្ម នៅពេលដែលទំហំផ្ទុកសវនកម្មមូលដ្ឋានពេញ។
គ្មាន
mgd 71891 UI_RESTART_EVENT [junos@2636.1.1.1.2.164 username=”root” process-name=”Network security daemon” description=”ភ្លាមៗ”] អ្នកប្រើប្រាស់ 'root' ចាប់ផ្តើមដេមិន 'Network security daemon' ភ្លាមៗ init ––– networksecurity (PID 72907) ត្រូវបានបញ្ចប់ដោយសញ្ញាលេខ 9! init – – – network-security (PID 72929) បានចាប់ផ្តើម
FMT_MOF.1/ សេវាកម្ម
ការចាប់ផ្តើមនិងបញ្ឈប់សេវាកម្ម។
គ្មាន
FMT_MTD.1/ CryptoKeys
ការគ្រប់គ្រងសោរគ្រីប។
គ្មាន
សោ SSH
ssh-keygen 2706 - បង្កើតកូនសោ SSH file /root/.ssh/id_rsa.pub ជាមួយស្នាមម្រាមដៃ SHA256:EQotXjlahhlVplg + YBLbFR3TdmJMpm6D1FSjRo6lVE4 ssh-keygen 2714 – – បង្កើតសោ SSH file /root/.ssh/id_ecdsa.pub ដែលមានស្នាមម្រាមដៃ SHA256:ubQWoesME9bpOT1e/ sYv871hwWUzSG8hNqyMUe1cNc0
គ្រាប់ចុច IPSEC
pkid 2458 PKID_PV_KEYPAIR_GEN [junos@2636.1.1.1.2.164 argument1=”384″ argument2=”ECDSA” argument3=”cert1″] A 384 bit ECDSA key-Pair ត្រូវបានបង្កើតសម្រាប់ cert1
pkid 2458 PKID_PV_KEYPAIR_GEN [junos@2636.1.1.1.2.164 argument1=”4096″ argument2=”RSA” argument3=”cert2″] A 4096 bit RSA key-Pair ត្រូវបានបង្កើតសម្រាប់ cert2
72
តារាងទី ៤៖ ព្រឹត្តិការណ៍សវនកម្ម (ត)
តម្រូវការ
ព្រឹត្តិការណ៍សវនកម្ម
មាតិកានៃកំណត់ត្រាសវនកម្មបន្ថែម
របៀបដែលព្រឹត្តិការណ៍ត្រូវបានបង្កើតឡើង
FCS_IPSEC_EXT.1
វគ្គបង្កើតជាមួយមិត្តភក្ដិ
មាតិកាកញ្ចប់ព័ត៌មានទាំងមូលនៃកញ្ចប់ព័ត៌មានដែលបានបញ្ជូន/ទទួលអំឡុងពេលបង្កើតវគ្គ
user@host:fips# run show log iked | គ្មានទៀតទេ | grep vpn
ខែមិថុនា 14 10:40:49.291712 [DET] [ATEC] [20.1.1.1 <-> 20.1.1.2] ការជ្រើសរើស ipsec-sa បានជោគជ័យសម្រាប់ spi (0x8a45e874) local-ip (20.1.1.1) remote-ip (20.1.1.2) vpn (IPSEC_VPN)
user@host:fips# run show log iked | គ្មានទៀតទេ | ជោគជ័យ grep
ខែមិថុនា 14 10:40:49.278061 [DET] [ATEC] [20.1.1.1 <-> 20.1.1.2] ike-atec-dh-បង្កើតការឆ្លើយតបដោយជោគជ័យដែលបានទទួលសម្រាប់ ipcindex=45109,local-ip=none,remote-ip=none
ខែមិថុនា 14 10:40:49.290742 [DET] [ATEC] [20.1.1.1 <-> 20.1.1.2] atec-validate-migrate សម្រាប់ ed (0x2c09028) ជោគជ័យក្នុងការផ្ទៀងផ្ទាត់លេខសម្គាល់ពីចម្ងាយ
ខែមិថុនា 14 10:40:49.291392 [DET] [ATEC] [20.1.1.1 <-> 20.1.1.2] TSi: traffic-selectormatch for ts-match Successful,C:ipv4(0.0.0.0-255.255.255.255.ipv4) R. (10.1.1.0-10.1.1.255) N:ipv4(10.1.1.0-10.1.1.255)
ខែមិថុនា 14 10:40:49.291656 [EXT] [TUNL] [20.1.1.1 <-> 20.1.1.2] ike_tunnel_anchor_node_tunnel_add: ផ្លូវរូងក្រោមដី Anchor បន្ថែមសម្រាប់ផ្លូវរូងក្រោមដី 500009: ជោគជ័យ សរុប tunnel បន្ថែម:9
ខែមិថុនា 14 10:40:49.291682 [DET] [TUNL] [20.1.1.1 <-> 20.1.1.2] tunnel-sadb-add success with local-spi (0x8a45e874)
ខែមិថុនា 14 10:40:49.291712 [DET] [ATEC] [20.1.1.1 <-> 20.1.1.2] ការជ្រើសរើស ipsec-sa បានជោគជ័យសម្រាប់ spi (0x8a45e874) local-ip
73
តារាងទី ៤៖ ព្រឹត្តិការណ៍សវនកម្ម (ត)
តម្រូវការ
ព្រឹត្តិការណ៍សវនកម្ម
មាតិកានៃកំណត់ត្រាសវនកម្មបន្ថែម
របៀបដែលព្រឹត្តិការណ៍ត្រូវបានបង្កើតឡើង
(20.1.1.1) remote-ip (20.1.1.2) vpn (IPSEC_VPN)
ខែមិថុនា 14 10:40:49.292404 [TER] [PEER] [20.1.1.1 <-> 20.1.1.2] IKE: Gateway N:IKE_GW L:20.1.1.1:500 R:20.1.1.2:500 Successful ike-id:20.1.1.2 .2 U:N/A IKE:IKEvXNUMX តួនាទី:R
ខែមិថុនា 14 10:40:49.294256 [DET] [DIST] [20.1.1.1 <-> 20.1.1.2] ike_dist_ipsec_tunnel_info_add: ព័ត៌មានផ្លូវរូងក្រោមដីចែកចាយ IPsec បន្ថែមទៅ db ជោគជ័យ Tunnel Id:500009:20អតិថិជន Istanbul
ខែមិថុនា 14 10:40:49.295072 [EXT] [IPSC] [20.1.1.1 <->20.1.1.2] ipsec_common_msg_send៖ បានផ្ញើសារ IPC ដោយជោគជ័យ tag 4 ពី iked ទៅ SPU.0.20
ខែមិថុនា 14 10:40:49.295292 [EXT] [IPSC] [20.1.1.1 <->20.1.1.2] ipsec_common_msg_send៖ បានផ្ញើសារ IPC ដោយជោគជ័យ tag 4 ពី iked ទៅ SPU.0.21
ខែមិថុនា 14 10:40:49.296004 [DET] [STER] [20.1.1.1 <-> 20.1.1.2] បានកែប្រែទិន្នន័យមេតាបន្ទាប់ st0 ដោយជោគជ័យសម្រាប់ផ្លូវរូងក្រោមដី 500009
ខែមិថុនា 14 10:40:49.297336 [EXT] [IPSC] [20.1.1.1 <->20.1.1.2] ipsec_common_msg_send៖ បានផ្ញើសារ IPC ដោយជោគជ័យ tag 4 ពី iked ទៅ SPU.0.20
ខែមិថុនា 14 10:42:24.328902 [DET] [ATEC] [20.1.1.1 <-> 20.1.1.2] ike-atec-dh-បង្កើតការឆ្លើយតបដោយជោគជ័យដែលបានទទួលសម្រាប់ ipcindex=45111,local-ip=none,remote-ip=none
ខែមិថុនា 14 10:42:24.332381 [DET] [ATEC] [20.1.1.1 <-> 20.1.1.2] ike-atec-dh-compute ការឆ្លើយតបជោគជ័យបានទទួលសម្រាប់ ipc-index=0
74
តារាងទី ៤៖ ព្រឹត្តិការណ៍សវនកម្ម (ត)
តម្រូវការ
ព្រឹត្តិការណ៍សវនកម្ម
មាតិកានៃកំណត់ត្រាសវនកម្មបន្ថែម
របៀបដែលព្រឹត្តិការណ៍ត្រូវបានបង្កើតឡើង
ខែមិថុនា 14 10:42:24.333295 [DET] [PUBL] [20.1.1.1 <-> 20.1.1.2] Publish-ike-sa ទទួលបានជោគជ័យសម្រាប់ ike-sa-index 11282 ike-sa 0x21dec24
ខែមិថុនា 14 10:42:29.316880 [DET] [ATEC] [20.1.1.1 <-> 20.1.1.2] TSi: traffic-selectormatch for ts-match Successful,C:ipv4(0.0.0.0-255.255.255.255.ipv4) R. (10.1.1.0-10.1.1.255) N:ipv4(10.1.1.0-10.1.1.255)
ខែមិថុនា 14 10:42:29.316889 [DET] [ATEC] [20.1.1.1 <-> 20.1.1.2] TSr: traffic-selectormatch for ts-match Successful,C:ipv4(0.0.0.0-255.255.255.255:ipv4) R. (30.1.1.0-30.1.1.255) N:ipv4(30.1.1.0-30.1.1.255)
ខែមិថុនា 14 10:42:29.317147 [DET] [TUNL] [20.1.1.1 <-> 20.1.1.2] tunnel-sadb-បន្ថែមភាពជោគជ័យជាមួយ local-spi (0x80eeab18)
ខែមិថុនា 14 10:42:29.317178 [DET] [ATEC] [20.1.1.1 <-> 20.1.1.2] ការជ្រើសរើស ipsec-sa បានជោគជ័យសម្រាប់ spi (0x80eeab18) local-ip (20.1.1.1) remote-ip (20.1.1.2) vpn (IPSEC_VPN)
ខែមិថុនា 14 10:42:29.320369 [DET] [ATEC] [20.1.1.1 <-> 20.1.1.2] ike-atec-dh-បង្កើតការឆ្លើយតបដោយជោគជ័យដែលបានទទួលសម្រាប់ ipcindex=45113,local-ip=none,remote-ip=none
ខែមិថុនា 14 10:42:29.323800 [DET] [ATEC] [20.1.1.1 <-> 20.1.1.2] ike-atec-dh-compute ការឆ្លើយតបជោគជ័យបានទទួលសម្រាប់ ipc-index=0
ខែមិថុនា 14 10:42:29.325513 [EXT] [IPSC] [20.1.1.1 <->20.1.1.2] ipsec_common_msg_send៖ បានផ្ញើសារ IPC ដោយជោគជ័យ tag 4 ពី iked ទៅ SPU.0.20
75
តារាងទី ៤៖ ព្រឹត្តិការណ៍សវនកម្ម (ត)
តម្រូវការ
ព្រឹត្តិការណ៍សវនកម្ម
មាតិកានៃកំណត់ត្រាសវនកម្មបន្ថែម
របៀបដែលព្រឹត្តិការណ៍ត្រូវបានបង្កើតឡើង
FIA_X509_EXT.1
ការបង្កើតសម័យជាមួយ CA
មាតិកាកញ្ចប់ព័ត៌មានទាំងមូលនៃកញ្ចប់ព័ត៌មានដែលបានបញ្ជូន/ទទួលអំឡុងពេលបង្កើតវគ្គ
kmd 7200 KMD_VPN_UP_ALARM_USER [junos@2636.1.1.1.2.164 vpnname=””vpn1″” remote-address=””5.5.5.1″” local-address=”””11.11.11.1″” ga tewayname=””g name=””vpn1″” tunnelid=”1″” interface-name=””st131073″” internal-ip=””Not-Available”” name=””0.0″” peer-name=” ”11.11.11.1″” client-name=””Not-Applicable”” vrrp-groupid=””5.5.5.1″” traffic-selector-name= “””” trafficselector-cfg-local-id=””ipv0_subnet(ណាមួយ៖ 4, [0..0]=7/0.0.0.0)”” traffic-selector-cfgremote-id= “”ipv0_subnet(any: 4, [0..0]=7/0.0.0.0)”” argument0= “”ឋិតិវន្ត””] VPN vpn1 ចាប់ពី 1 ឡើង។ Local-ip: 5.5.5.1, ឈ្មោះច្រកផ្លូវ: gw11.11.11.1, ឈ្មោះ vpn: vpn1, tunnel-id: 1, local tunnel-if: st131073, remote tunnel-ip: Not-Available, Local IKE-ID: 0.0 , IKE-ID ពីចម្ងាយ៖ 11.11.11.1, ឈ្មោះអ្នកប្រើ AAA: មិនអាចប្រើបាន, VR id: 5.5.5.1, Traffic-selector: , Traffic-selector local ID: ipv0_subnet(any:4,[0..0]=7/ 0.0.0.0), លេខសម្គាល់អ្នកជ្រើសរើសពីចម្ងាយ៖ ipv0_subnet(any:4, [0..0]=7/0.0.0.0), ប្រភេទ SA៖ ឋិតិវន្ត
76
តារាងទី ៤៖ ព្រឹត្តិការណ៍សវនកម្ម (ត)
តម្រូវការ
ព្រឹត្តិការណ៍សវនកម្ម
មាតិកានៃកំណត់ត្រាសវនកម្មបន្ថែម
របៀបដែលព្រឹត្តិការណ៍ត្រូវបានបង្កើតឡើង
FPF_RUL_EXT.1
ការអនុវត្តច្បាប់ដែលបានកំណត់រចនាសម្ព័ន្ធជាមួយប្រតិបត្តិការ 'កំណត់ហេតុ'
អាសយដ្ឋានប្រភព និងទិសដៅ។ ច្រកប្រភពនិងទិសដៅ។ ចំណុចប្រទាក់ TOE ពិធីការស្រទាប់ដឹកជញ្ជូន
[កែប្រែ] root@host:fips# រត់បង្ហាញជញ្ជាំងភ្លើងតម្រង៖ __default_bpdu_filter__
តម្រង៖ fw_filter1 បញ្ជរ៖ ឈ្មោះ
Bytes inc1
0 inc2
840
កញ្ចប់ 0 10
[កែប្រែ] root@host:fips# [edit]root@host:fips# រត់បង្ហាញកំណត់ហេតុជញ្ជាំងភ្លើង
កំណត់ហេតុ៖
ពេលវេលា
សកម្មភាពតម្រង
ចំណុចប្រទាក់
ពិធីការ
Src
បន្ថែម
ដេស បន្ថែម
១១:០៥:៣១ ទំ
R
st0.1
ICMP
30.1.1.1
10.1.1.1
១១:០៥:៣១ ទំ
R
st0.1
ICMP
30.1.1.1
10.1.1.1
១១:០៥:៣១ ទំ
R
st0.1
ICMP
30.1.1.1
10.1.1.1
១១:០៥:៣១ ទំ
R
st0.1
ICMP
30.1.1.1
10.1.1.1
root@host:fips# រត់បង្ហាញកំណត់ហេតុជញ្ជាំងភ្លើង
កំណត់ហេតុ៖
ពេលវេលា
សកម្មភាពតម្រង
ចំណុចប្រទាក់
ពិធីការ
Src
77
តារាងទី ៤៖ ព្រឹត្តិការណ៍សវនកម្ម (ត)
តម្រូវការ
ព្រឹត្តិការណ៍សវនកម្ម
មាតិកានៃកំណត់ត្រាសវនកម្មបន្ថែម
របៀបដែលព្រឹត្តិការណ៍ត្រូវបានបង្កើតឡើង
Addr 11:19:59 pfe st0.1 30.1.1.1
Dest Addr R TCP
10.1.1.1
root@host:fips# រត់បង្ហាញកំណត់ហេតុជញ្ជាំងភ្លើង
កំណត់ហេតុ៖
ពេលវេលា
សកម្មភាពតម្រង
ចំណុចប្រទាក់
ពិធីការ
Src
បន្ថែម
ដេស បន្ថែម
១១:០៥:៣១ ទំ
A
ge-0/0/4.0
ICMP
30.1.1.5
10.1.1.1
១១:០៥:៣១ ទំ
A
ge-0/0/4.0
ICMP
30.1.1.5
10.1.1.1
១១:០៥:៣១ ទំ
A
ge-0/0/4.0
ICMP
30.1.1.5
10.1.1.1
១១:០៥:៣១ ទំ
A
ge-0/0/4.0
ICMP
30.1.1.5
10.1.1.1
root@host:fips# រត់បង្ហាញកំណត់ហេតុជញ្ជាំងភ្លើង
កំណត់ហេតុ៖
ពេលវេលា
សកម្មភាពតម្រង
ចំណុចប្រទាក់
ពិធីការ
Src
បន្ថែម
ដេស បន្ថែម
១១:០៥:៣១ ទំ
A
ge-0/0/4.0
TCP
30.1.1.5
10.1.1.1
78
តារាងទី ៤៖ ព្រឹត្តិការណ៍សវនកម្ម (ត)
តម្រូវការ
ព្រឹត្តិការណ៍សវនកម្ម
មាតិកានៃកំណត់ត្រាសវនកម្មបន្ថែម
របៀបដែលព្រឹត្តិការណ៍ត្រូវបានបង្កើតឡើង
ការចង្អុលបង្ហាញអំពីកញ្ចប់ព័ត៌មានបានធ្លាក់ចុះដោយសារតែចរាចរណ៍បណ្តាញច្រើនពេក
ចំណុចប្រទាក់ TOE ដែលមិនអាចដំណើរការកញ្ចប់ព័ត៌មាន
RT_FLOW – RT_FLOW_SESSION_DENY [junos@2636.1.1.1.2.164 sourceaddress=” 1.1.1. 2″ source-port=”10001″ destination-address=”2.2.2.2″ destinationport=”21″ ការតភ្ជាប់-tag=”0″ servicename=”junos-ftp” protocol-id=”6″ icmptype=”0″ policy-name=”p2″ source-zone-na me=”ZO_A” destination-zone-name=”ZO_B” កម្មវិធី =”UNKNOWN” nestedapplication=”UNKNOWN” username=”N/A” roles=”N/A” packet-incominginterface=”ge-0/0/0.0″ encrypted=”No” reason=”D enied by policy” sessionid32 =”3″ application-category=”N/A” application-sub-category=”N/A” applicationrisk=”1″ លក្ខណៈកម្មវិធី=”N/A” src-vrf-grp=”N/A” dst -vrf-grp=” N/A”] សម័យត្រូវបានបដិសេធ 1.1.1.2/10001->2.2.2.2/21 0x0 junos-ftp 6(0) p2 ZO_A ZO_B UNKNOWN មិនស្គាល់ N/A(N/A) ge-0/ 0/0.0 No ត្រូវបានបដិសេធដោយគោលការណ៍ 3 N/AN/A -1 N/AN/AN/A
លើសពីនេះទៀត Juniper Networks ណែនាំថា: · ដើម្បីចាប់យកការផ្លាស់ប្តូរទាំងអស់ចំពោះការកំណត់។ · ដើម្បីរក្សាទុកព័ត៌មានកត់ត្រាពីចម្ងាយ។ សម្រាប់ព័ត៌មានបន្ថែមអំពីព័ត៌មានលម្អិតនៃកំណត់ហេតុ សូមមើលការបញ្ជាក់កំណត់ហេតុ File ទំហំ លេខ និងលក្ខណៈសម្បត្តិនៃការរក្សាទុក
79
បកស្រាយសារព្រឹត្តិការណ៍
លទ្ធផលខាងក្រោមបង្ហាញជាampសារព្រឹត្តិការណ៍។
ថ្ងៃទី 27 ខែកុម្ភៈ 02:33:04 bm-a mgd[6520]: UI_LOGIN_EVENT: អ្នកប្រើប្រាស់ 'security-officer' login, class 'j-superuser' [6520], ssh-connection ”, client-mode 'cli' Feb 27 02: 33:49 bm-a mgd[6520]: UI_DBASE_LOGIN_EVENT: អ្នកប្រើប្រាស់ 'security-officer' ចូលរបៀបកំណត់រចនាសម្ព័ន្ធ ថ្ងៃទី 27 ខែកុម្ភៈ ម៉ោង 02:38:29 bm-a mgd[6520]: UI_CMDLINE_READ_LINE៖ អ្នកប្រើប្រាស់ 'security', command-offic កំណត់ហេតុ Audit_log | ចូល grep
តារាងទី 3 នៅទំព័រ 79 ពិពណ៌នាអំពីវាលសម្រាប់សារព្រឹត្តិការណ៍មួយ។ ប្រសិនបើឧបករណ៍ប្រើប្រាស់ការកត់ត្រាប្រព័ន្ធមិនអាចកំណត់តម្លៃនៅក្នុងវាលជាក់លាក់មួយ សញ្ញាសម្គាល់ (–) លេចឡើងជំនួសវិញ។
តារាងទី 3៖ វាលនៅក្នុងសារព្រឹត្តិការណ៍
វាល
ដងបំផុតamp
ការពិពណ៌នា
Examples
ពេលវេលាដែលសារត្រូវបានបង្កើត នៅក្នុងការតំណាងមួយក្នុងចំណោមតំណាងពីរ៖
· MMM-DD HH:MM:SS.MS+/-HH:MM ជាខែ ថ្ងៃ ម៉ោង
នាទី វិនាទី និងមីលីវិនាទី ម៉ោងក្នុងស្រុក។ ម៉ោង និងនាទីដែលធ្វើតាមសញ្ញាបូក (+) ឬសញ្ញាដក (-) គឺជាអុហ្វសិតនៃតំបន់ម៉ោងក្នុងស្រុកពី Coordinated Universal Time (UTC)។
ថ្ងៃទី 27 ខែកុម្ភៈ 02:33:04 គឺជាពេលវេលាបំផុត។amp បានបង្ហាញជាម៉ោងក្នុងស្រុកនៅសហរដ្ឋអាមេរិក។ 2012-02-27T09:17:15.719Z គឺ 2:33 ព្រឹក UTC នៅថ្ងៃទី 27 ខែកុម្ភៈ ឆ្នាំ 2012។
· YYYY-MM-DDTHH:MM:SS.MSZ គឺជាឆ្នាំ ខែ ថ្ងៃ ម៉ោង
នាទី វិនាទី និងមីលីវិនាទីក្នុង UTC ។
ឈ្មោះម៉ាស៊ីន
ឈ្មោះរបស់ម៉ាស៊ីនដែលបង្កើតសារដំបូង។ រ៉ោតទ័រ ១
ដំណើរការ
ឈ្មោះនៃដំណើរការ Junos OS ដែលបង្កើត
សារ។
mgd
លេខសម្គាល់ដំណើរការ
UNIX process ID (PID) នៃដំណើរការ Junos OS នោះ។
បានបង្កើតសារ។
4153
80
តារាងទី 3៖ វាលនៅក្នុងសារព្រឹត្តិការណ៍ (ត)
វាល
ការពិពណ៌នា
TAG
សារកំណត់ហេតុប្រព័ន្ធ Junos OS tagដែលពិសេស
កំណត់អត្តសញ្ញាណសារ។
ឈ្មោះអ្នកប្រើប្រាស់
ឈ្មោះអ្នកប្រើរបស់អ្នកប្រើដែលចាប់ផ្តើមព្រឹត្តិការណ៍។
message-text ការពិពណ៌នាជាភាសាអង់គ្លេសនៃព្រឹត្តិការណ៍។
Examples UI_DBASE_LOGOUT_EVENT
"admin"
សំណុំ៖ [ប្រព័ន្ធកាំ-ម៉ាស៊ីនមេ ១.២.៣.៤ សម្ងាត់]
ព្រឹត្តិការណ៍ឯកសារដែលទាក់ទងការចូលview
កំណត់ហេតុផ្លាស់ប្តូរទៅទិន្នន័យសម្ងាត់
ខាងក្រោមនេះជាអតីតamples នៃកំណត់ហេតុសវនកម្មនៃព្រឹត្តិការណ៍ដែលផ្លាស់ប្តូរទិន្នន័យសម្ងាត់។ នៅពេលណាដែលមានការផ្លាស់ប្តូរនៅក្នុងការកំណត់ exampដូច្នេះ ព្រឹត្តិការណ៍ syslog គួរតែចាប់យកកំណត់ហេតុខាងក្រោម៖
ថ្ងៃទី 24 ខែកក្កដា ម៉ោង 17:43:28 រ៉ោតទ័រ1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: អ្នកប្រើប្រាស់ 'admin' set: [system radiusserver 1.2.3.4 secret] Jul 24 17:43:28 router1 mgd[4163]: UI_min_CFG_AUD: UI_min_CFG_AUD [system login user admin authentication encrypted-password] Jul 24 17:43:28 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: User 'admin' set: [system login user admin2 authentication encrypted-password] រាល់ពេលដែលការកំណត់រចនាសម្ព័ន្ធត្រូវបានធ្វើបច្ចុប្បន្នភាព ឬផ្លាស់ប្តូរ syslog គួរតែចាប់យកកំណត់ហេតុទាំងនេះ៖
ថ្ងៃទី 24 ខែកក្កដា ម៉ោង 18:29:09 រ៉ោតទ័រ1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET៖ អ្នកប្រើប្រាស់ 'admin' ជំនួស៖ [ប្រព័ន្ធកាំជ្រួច-សឺវើ 1.2.3.4 សម្ងាត់] ថ្ងៃទី 24 ខែកក្កដា ម៉ោង 18:29:09 រ៉ោតទ័រ1 mgd[4163]: UIDmin_CFG_AUD ជំនួស៖ [ចូលប្រព័ន្ធ
81
user admin authentication encrypted-password] Jul 24 18:29:09 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: User 'admin' replace: [system login user admin authentication encrypted-password]
ឯកសារពាក់ព័ន្ធ បកប្រែសារព្រឹត្តិការណ៍
ចូល និងចេញពីព្រឹត្តិការណ៍ដោយប្រើ SSH
សារកំណត់ហេតុប្រព័ន្ធត្រូវបានបង្កើតនៅពេលដែលអ្នកប្រើបានជោគជ័យ ឬព្យាយាមចូលប្រើ SSH មិនបានជោគជ័យ។ ព្រឹត្តិការណ៍ចេញពីគណនីក៏ត្រូវបានកត់ត្រាផងដែរ។ សម្រាប់អតីតampដូច្នេះ កំណត់ហេតុខាងក្រោមគឺជាលទ្ធផលនៃការព្យាយាមផ្ទៀងផ្ទាត់ដែលបរាជ័យចំនួនពីរ បន្ទាប់មកបានជោគជ័យមួយ ហើយចុងក្រោយគឺការចាកចេញ៖
ខែធ្នូ 20 23:17:35 ធ្នូ 20 23:17:42 ធ្នូ 20 23:17:53 ធ្នូ 20 23:17:53
ខែធ្នូ 20 23:17:53 ធ្នូ 20 23:17:56 ធ្នូ 20 23:17:56
bilbo sshd[16645]៖ ពាក្យសម្ងាត់បរាជ័យសម្រាប់ op ពី 172.17.58.45 ច្រក 1673 ssh2 bilbo sshd[16645]៖ ពាក្យសម្ងាត់ដែលបរាជ័យសម្រាប់ op ពី 172.17.58.45 ច្រក 1673 ssh2 [លេខសម្ងាត់ op16645] 172.17.58.45 ច្រក 1673 ssh2 bilbo mgd[16648]៖ UI_AUTH_EVENT៖ អ្នកប្រើប្រាស់ដែលបានផ្ទៀងផ្ទាត់ 'op' នៅកម្រិតអនុញ្ញាត
'j-operator' bilbo mgd[16648]: UI_LOGIN_EVENT: User 'op' login, class 'j-operator' [16648] bilbo mgd[16648]: UI_CMDLINE_READ_LINE: អ្នកប្រើប្រាស់ 'op', command 'quit' 16648 mgd[] ៖ UI_LOGOUT_EVENT៖ អ្នកប្រើប្រាស់ 'op' ចេញ
ឯកសារពាក់ព័ន្ធ បកប្រែសារព្រឹត្តិការណ៍
82
ការកត់ត្រាការចាប់ផ្តើមសវនកម្ម
ព័ត៌មានសវនកម្មដែលបានកត់ត្រារួមមានការចាប់ផ្តើមនៃ Junos OS ។ នេះកំណត់អត្តសញ្ញាណព្រឹត្តិការណ៍ចាប់ផ្តើមនៃប្រព័ន្ធសវនកម្ម ដែលមិនអាចត្រូវបានបិទ ឬបើកដំណើរការដោយឯករាជ្យ។ សម្រាប់អតីតample ប្រសិនបើ Junos OS ត្រូវបានចាប់ផ្តើមឡើងវិញ កំណត់ហេតុសវនកម្មមានព័ត៌មានខាងក្រោម៖
ខែធ្នូ 20 23:17:35 ធ្នូ 20 23:17:35 ធ្នូ 20 23:17:35 status=1 ធ្នូ 20 23:17:42 ធ្នូ 20 23:17:53
bilbo syslogd៖ ចេញនៅលើសញ្ញា 14 bilbo syslogd: ចាប់ផ្តើម bilbo syslogd ឡើងវិញ /kernel: ខែធ្នូ 20 23:17:35 init: syslogd (PID 19128) បានចេញជាមួយ
bilbo /kernel: init: syslogd (PID 19200) បានចាប់ផ្តើម
ឯកសារពាក់ព័ន្ធការចូល និងចេញព្រឹត្តិការណ៍ដោយប្រើ SSH
8 ជំពូក
កំណត់រចនាសម្ព័ន្ធ VPN
MOD_VPN | ៨៤
84
MOD_VPN
សេចក្តីសង្ខេប ផ្នែកនេះពិពណ៌នាអំពីរបៀបដែល MOD_VPN ដំណើរការ។
នៅក្នុងផ្នែកនេះ។
MOD_VPN ចប់view | 84 ក្បួនដោះស្រាយ IPsec-IKE ដែលគាំទ្រ | 85 កំណត់រចនាសម្ព័ន្ធ VPN នៅលើឧបករណ៍ដែលដំណើរការ Junos OS | 88 ការកំណត់រចនាសម្ព័ន្ធ Firewall Rules | ១១១
MOD_VPN ចប់view
MOD_VPN ពិពណ៌នាអំពីតម្រូវការសុវត្ថិភាពសម្រាប់ VPN Gateway។ នេះត្រូវបានកំណត់ថាជាឧបករណ៍នៅគែមនៃបណ្តាញឯកជនដែលបញ្ចប់ផ្លូវរូងក្រោមដី IPsec (គាំទ្រ IPsec នៅលើទម្រង់ផ្លូវរូងក្រោមដី) ដែលផ្តល់នូវការផ្ទៀងផ្ទាត់ឧបករណ៍ ការសម្ងាត់ និងភាពត្រឹមត្រូវនៃព័ត៌មានឆ្លងកាត់បណ្តាញសាធារណៈ ឬបណ្តាញដែលមិនគួរឱ្យទុកចិត្ត។ របៀបនេះគឺមានគោលបំណងផ្តល់នូវសំណុំនៃតម្រូវការមូលដ្ឋានតិចតួចបំផុត ដែលត្រូវបានកំណត់គោលដៅក្នុងការកាត់បន្ថយការគំរាមកំហែងដែលបានកំណត់យ៉ាងល្អ និងបានពិពណ៌នាចំពោះបច្ចេកវិទ្យា VPN Gateway ។ ការណែនាំនេះពិពណ៌នាអំពីលក្ខណៈពិសេសនៃការវាយតម្លៃគោលដៅដែលអនុលោមតាម (TOE) ហើយក៏ពិភាក្សាអំពីរបៀបប្រើ MOD_VPN ដោយភ្ជាប់ជាមួយ NDcPPv2 ។
ចំណាំ៖ សម្រាប់ការតភ្ជាប់ IPsec ត្រូវបានខូចដោយអចេតនា សូមសម្អាតវគ្គ IPsec ដោយប្រើពាក្យបញ្ជាដូចខាងក្រោម។ វាចាប់ផ្តើមឡើងវិញ និងបង្កើតវគ្គ IPsec ។
user@host# ដំណើរការសុវត្ថិភាព ipsec security-associations user@host# ដំណើរការសុវត្ថិភាពច្បាស់លាស់ ike security-associations
85
ក្បួនដោះស្រាយ IPsec-IKE ដែលគាំទ្រ
នៅក្នុងផ្នែកនេះ ក្បួនដោះស្រាយការអ៊ិនគ្រីបដែលបានគាំទ្រសម្រាប់ IPsec | 85 ក្បួនដោះស្រាយការអ៊ិនគ្រីបដែលគាំទ្រសម្រាប់ IKE | 86 ក្រុម IKE DH ដែលគាំទ្រ | 86 ក្បួនដោះស្រាយការផ្ទៀងផ្ទាត់ IPsec ដែលគាំទ្រ | 87 បានគាំទ្រក្បួនដោះស្រាយការផ្ទៀងផ្ទាត់ IKE | 87 វិធីសាស្ត្រផ្ទៀងផ្ទាត់ដែលគាំទ្រ | ៨៧
ឧបករណ៍របស់អ្នកគាំទ្រក្បួនដោះស្រាយ IPsec-IKE ខាងក្រោម៖
ក្បួនដោះស្រាយការអ៊ិនគ្រីបដែលបានគាំទ្រសម្រាប់ IPsec
aes-128-cbc aes-128-gcm aes-192-cbc aes-192-gcm aes-256-cbc aes-256-gcm
AES-CBC 128-bit encryption algorithm AES-GCM 128-bit encryption algorithm AES-CBC 192-bit encryption algorithm AES-GCM 192-bit AES-CBC encryption algorithm 256-bit AES-CBC
[កែប្រែ] user@host# កំណត់សុវត្ថិភាព ipsec proposal ipsec-proposal1 encryption-algorithm aes-128-cbc user@host# set security ipsec proposal ipsec-proposal1 encryption-algorithm aes-128-gcm user@host# set security ipsec proposal ipsec -proposal1 encryption-algorithm aes-192-cbc user@host# កំណត់សុវត្ថិភាព ipsec proposal ipsec-proposal1 encryption-algorithm aes-192-gcm user@host# កំណត់សុវត្ថិភាព ipsec proposal ipsec-proposal1 encryption-algorithm aes-256 host# កំណត់សុវត្ថិភាព ipsec proposal ipsec-proposal1 encryption-algorithm aes-256-gcm86
បានគាំទ្រក្បួនដោះស្រាយការអ៊ិនគ្រីបសម្រាប់ IKE
aes-128-cbc aes-128-gcm aes-192-cbc aes-256-cbc aes-256-gcm
AES-CBC 128-bit encryption algorithm AES-GCM 128-bit encryption algorithm AES-CBC 192-bit encryption algorithm AES-CBC 256-bit encryption algorithm AES-GCM 256-bit encryption algorithm
[កែប្រែ] user@host# កំណត់សុវត្ថិភាព ike proposal ipsec-proposal1 encryption-algorithm aes-128-cbc user@host# កំណត់សុវត្ថិភាព ike proposal ipsec-proposal1 encryption-algorithm aes-128-gcm user@host# កំណត់សុវត្ថិភាព ike proposal ipsec -proposal1 encryption-algorithm aes-192-cbc user@host# កំណត់សុវត្ថិភាព ike proposal ipsec-proposal1 encryption-algorithm aes-256-cbc user@host# កំណត់សុវត្ថិភាព ike proposal ipsec-proposal1 encryption-algorithm aes-256-gcmគាំទ្រក្រុម IKE DH
ក្រុម 14 ក្រុម 15 ក្រុម 16 ក្រុម 19 ក្រុម 20 ក្រុម 21 ក្រុម 24
ក្រុម Diffie-Hellman 14 ក្រុម Diffie-Hellman 15 ក្រុម Diffie-Hellman 16 ក្រុម Diffie-Hellman 19 ក្រុម Diffie-Hellman 20 ក្រុម Diffie-Hellman 21 Diffie-Hellman ក្រុម 24
[កែប្រែ] user@host# កំណត់សុវត្ថិភាព ike proposal ipsec-proposal1 dh-group group14 user@host# កំណត់សុវត្ថិភាព ike proposal ipsec-proposal1 dh-group group15 user@host# កំណត់សុវត្ថិភាព ike proposal ipsec-proposal1 dh-group group16 user@ host# កំណត់សុវត្ថិភាព ike proposal ipsec-proposal1 dh-group group19 user@host# set security ike proposal ipsec-proposal1 dh-group group20 user@host# set security ike proposal ipsec-proposal1 dh-group group21 user@host# កំណត់សុវត្ថិភាព ike សំណើរ ipsec-proposal1 dh-group group2487
ក្បួនដោះស្រាយការផ្ទៀងផ្ទាត់ IPsec ដែលគាំទ្រ
hmac-sha-256-128 hmac-sha-384 hmac-sha-512
ក្បួនដោះស្រាយការផ្ទៀងផ្ទាត់ HMAC-SHA-256-128 ក្បួនដោះស្រាយការផ្ទៀងផ្ទាត់ HMAC-SHA-384 ក្បួនដោះស្រាយការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ HMAC-SHA-512
[កែប្រែ] user@host# set security ipsec proposal ipsec-proposal1 authentication-algorithm hmac-sha-256-128 user@host# set security ipsec proposal ipsec-proposal1 authentication-algorithm hmac-sha-384 user@host# set security ipsec សំណើ ipsec-proposal1 authentication-algorithm hmac-sha-512បានគាំទ្រក្បួនដោះស្រាយការផ្ទៀងផ្ទាត់ IKE
sha-256 sha-384 sha-512
SHA 256-bit authentication algorithm SHA 384-bit authentication algorithm SHA 512-bit authentication algorithm
[កែប្រែ] user@host# កំណត់សុវត្ថិភាព ike proposal ipsec-proposal1 authentication-algorithm sha-256 user@host# set security ike proposal ipsec-proposal1 authentication-algorithm sha-384 user@host# set security ike proposal ipsec-proposal-1 authentication ក្បួនដោះស្រាយ sha-512បានគាំទ្រវិធីសាស្ត្រផ្ទៀងផ្ទាត់
វិញ្ញាបនបត្រ
អនុញ្ញាតឱ្យវិញ្ញាបនបត្រ ECDSA, RSA និង DSA ទាមទារ IKEv2
ecdsa-signatures-256 ECDSA signatures (256 bit modulus)
ecdsa-signatures-384 ECDSA signatures (384 bit modulus)
ecdsa-signatures-521 ECDSA signatures (521 bit modulus)
គ្រាប់ចុចដែលបានចែករំលែកជាមុន
សោដែលបានចែករំលែកជាមុន
rsa-ហត្ថលេខា
ហត្ថលេខា RSA
[កែប្រែ] user@host# កំណត់សុវត្ថិភាព ike proposal ipsec-proposal1 authentication-method certificates user@host# set security ike proposal ipsec-proposal1 authentication-method ecdsa-signatures-256 user@host# set security ike proposal ipsec-proposal-1 authentication វិធីសាស្រ្ត ecdsa-signatures-38488
user@host# កំណត់សុវត្ថិភាព ike proposal ipsec-proposal1 authentication-method ecdsa-signatures-521 user@host# កំណត់សុវត្ថិភាព ike proposal ipsec-proposal1 authentication-method pre-shared-keys user@host# កំណត់សុវត្ថិភាព ike proposal ipsec-proposal1 authentication វិធីសាស្រ្ត rsa-ហត្ថលេខា
កំណត់រចនាសម្ព័ន្ធ VPN នៅលើឧបករណ៍ដែលដំណើរការ Junos OS
នៅក្នុងផ្នែកនេះ ការកំណត់រចនាសម្ព័ន្ធ IPsec VPN ជាមួយនឹងគន្លឹះដែលបានចែករំលែកជាមុនសម្រាប់ការផ្ទៀងផ្ទាត់ IKE | 91 ការកំណត់រចនាសម្ព័ន្ធ IPsec VPN ជាមួយហត្ថលេខា RSA សម្រាប់ IKE Authentication | 98 ការកំណត់រចនាសម្ព័ន្ធ IPsec VPN ជាមួយហត្ថលេខា ECDSA សម្រាប់ IKE Authentication | ១០៤
ផ្នែកនេះពិពណ៌នាថាជាampការកំណត់រចនាសម្ព័ន្ធ IPsec VPN នៅលើឧបករណ៍ Junos OS ដោយប្រើវិធីសាស្ត្រផ្ទៀងផ្ទាត់ IKE ខាងក្រោម៖ · “កំណត់រចនាសម្ព័ន្ធ IPsec VPN ដោយប្រើសោដែលបានចែករំលែកជាមុនសម្រាប់ការផ្ទៀងផ្ទាត់ IKE” នៅលើទំព័រ 91 · “ការកំណត់រចនាសម្ព័ន្ធ IPsec VPN ជាមួយហត្ថលេខា RSA សម្រាប់ IKE Authentication” នៅលើ ទំព័រ 98 · “ការកំណត់រចនាសម្ព័ន្ធ IPsec VPN ជាមួយនឹងហត្ថលេខា ECDSA សម្រាប់ការផ្ទៀងផ្ទាត់ IKE” នៅលើទំព័រ 104 រូបភាពទី 1 នៅទំព័រ 89 បង្ហាញពីកំពូល VPN ដែលប្រើក្នុងអតីតទាំងអស់។amples បានពិពណ៌នានៅក្នុងផ្នែកនេះ។ នៅទីនេះ H0 និង H1 គឺជាម៉ាស៊ីន ហើយ R0 និង R1 គឺជាចំណុចបញ្ចប់ពីរនៃ IPsec VPN tunnel ។
89 រូបភាពទី 1៖ VPN Topology
តារាងទី 4 នៅទំព័រ 89 ផ្តល់នូវបញ្ជីពេញលេញនៃពិធីការ IKE ដែលគាំទ្រ របៀបផ្លូវរូងក្រោមដី របៀបចរចាដំណាក់កាលទី 1 វិធីសាស្ត្រផ្ទៀងផ្ទាត់ ឬក្បួនដោះស្រាយ ក្បួនដោះស្រាយការអ៊ិនគ្រីប ក្រុម DH ដែលគាំទ្រសម្រាប់ការផ្ទៀងផ្ទាត់ IKE និងការអ៊ិនគ្រីប (ដំណាក់កាលទី 1 សំណើ IKE) និងសម្រាប់ IPsec ការផ្ទៀងផ្ទាត់ និងការអ៊ិនគ្រីប (ដំណាក់កាលទី 2 សំណើ IPsec) ។ ពិធីការ របៀប និងក្បួនដោះស្រាយដែលបានរាយបញ្ជីត្រូវបានគាំទ្រ និងទាមទារសម្រាប់ 21.2R2 លក្ខណៈវិនិច្ឆ័យទូទៅ។
តារាងទី 4៖ ម៉ាទ្រីសរួមបញ្ចូលគ្នា VPN
IKE Protoc ol
របៀបផ្លូវរូងក្រោមដី
ដំណាក់កាលទី 1 ការចរចារ n របៀប
វិធីសាស្រ្តផ្ទៀងផ្ទាត់ដំណាក់កាលទី 1 (P1, IKE)
ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ DH Group Algorithm
ក្បួនដោះស្រាយការអ៊ិនគ្រីប
IKEv1 ផ្លូវសំខាន់
គ្រាប់ចុចដែលបានចែករំលែកជាមុន
sha-256
ក្រុម 14
aes-128-cbc
IKEv2
rsa-ហត្ថលេខា-2048
sha-384
ក្រុម 15
aes-128-gcm
ecdsa-ហត្ថលេខា-256
sha-512
ក្រុម 16
aes-192-cbc
ecdsa-ហត្ថលេខា-384
ក្រុម 19
aes-256-cbc
ecdsa-ហត្ថលេខា-521
ក្រុម 20
aes-256-gcm
90
តារាងទី 4៖ ម៉ាទ្រីសរួមបញ្ចូលគ្នា VPN (ត)
IKE Protoc ol
របៀបផ្លូវរូងក្រោមដី
ដំណាក់កាលទី 1 ការចរចារ n របៀប
វិធីសាស្រ្តផ្ទៀងផ្ទាត់ដំណាក់កាលទី 1 (P1, IKE)
ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ DH Group Algorithm
ក្បួនដោះស្រាយការអ៊ិនគ្រីប
ក្រុម 21
ក្រុម 24
IKE Protoc ol
Tunne l របៀប
ដំណាក់កាលទី 1 ការចរចារ n របៀប
ដំណាក់កាលទី 2 សំណើ (P2, IPsec) ក្បួនដោះស្រាយការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ
ក្រុម DH (PFS)
IKEv1 ផ្លូវសំខាន់
hmac-sha-256-128
ក្រុម 14
IKEv2
hmac-sha-384
ក្រុម 15
hmac-sha-512
ក្រុម 16
ក្រុម 19
ក្រុម 20
ក្រុម 21
ក្រុម 24
វិធីសាស្រ្តអ៊ិនគ្រីប
ក្បួនដោះស្រាយការអ៊ិនគ្រីប
អេស.ភី
aes-128-cbc
aes-128-gcm
aes-192-cbc
aes-192-gcm
aes-256-cbc
aes-256-gcm
ចំណាំ៖ ផ្នែកខាងក្រោមផ្តល់ sampការកំណត់រចនាសម្ព័ន្ធ IKEv1 IPsec VPN ឧamples សម្រាប់ក្បួនដោះស្រាយដែលបានជ្រើសរើស។ ក្បួនដោះស្រាយការផ្ទៀងផ្ទាត់អាចត្រូវបានជំនួសនៅក្នុងការកំណត់រចនាសម្ព័ន្ធទៅ
91
បំពេញការកំណត់ដែលចង់បានរបស់អ្នកប្រើ។ ប្រើការកំណត់សុវត្ថិភាព ike gateway gw-name version v2-only command សម្រាប់ IKEv2 IPsec VPN។
កំណត់រចនាសម្ព័ន្ធ IPsec VPN ដោយប្រើសោដែលបានចែករំលែកជាមុនសម្រាប់ការផ្ទៀងផ្ទាត់ IKE
នៅក្នុងផ្នែកនេះ អ្នកកំណត់រចនាសម្ព័ន្ធឧបករណ៍ដែលដំណើរការ Junos OS សម្រាប់ IPsec VPN ដោយប្រើសោដែលបានចែករំលែកជាមុនជាវិធីសាស្ត្រផ្ទៀងផ្ទាត់ IKE ។ ក្បួនដោះស្រាយដែលប្រើក្នុង IKE ឬ IPsec authentication ឬការអ៊ិនគ្រីបត្រូវបានបង្ហាញក្នុងតារាងទី 5 នៅទំព័រ 91
តារាងទី 5៖ IKE ឬ IPsec Authentication Example
IKE Protoc ol
របៀបផ្លូវរូងក្រោមដី
ដំណាក់កាលទី 1 ការចរចារ n របៀប
វិធីសាស្រ្តផ្ទៀងផ្ទាត់ដំណាក់កាលទី 1 (P1, IKE)
ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ DH Group Algorithm
ក្បួនដោះស្រាយការអ៊ិនគ្រីប
IKEv1 ផ្លូវសំខាន់
គ្រាប់ចុចដែលបានចែករំលែកជាមុន
sha-256
ក្រុម 14
aes-256-cbc
IKE Protoc ol
Tunne l របៀប
ដំណាក់កាលទី 1 ការចរចារ n របៀប
ដំណាក់កាលទី 2 សំណើ (P2, IPsec) ក្បួនដោះស្រាយការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ
ក្រុម DH (PFS)
IKEv1 ផ្លូវសំខាន់
hmac-sha-256-128
ក្រុម 14
វិធីសាស្រ្តអ៊ិនគ្រីប
ក្បួនដោះស្រាយការអ៊ិនគ្រីប
អេស.ភី
aes-256-cbc
ចំណាំ៖ ឧបករណ៍ដែលដំណើរការ Junos OS ប្រើការផ្ទៀងផ្ទាត់ផ្អែកលើវិញ្ញាបនបត្រ ឬសោដែលបានចែករំលែកជាមុនសម្រាប់ IPsec ។ TOE ទទួលយក ASCII preshared ឬ bit-based keys រហូតដល់ 255 តួអក្សរ (និងប្រព័ន្ធគោលពីររបស់វា) ដែលមានអក្សរធំ និងតូច លេខ និងតួអក្សរពិសេសដូចជា !, @, #, $, %, ^, &, *, ( , និង ). ឧបករណ៍ទទួលយកគ្រាប់ចុចអត្ថបទដែលបានចែករំលែកជាមុន ហើយបំប្លែងខ្សែអក្សរទៅជាតម្លៃការផ្ទៀងផ្ទាត់ដូចទៅនឹង RFC 2409 សម្រាប់ IKEv1 ឬ RFC 4306 សម្រាប់ IKEv2 ដោយប្រើ PRF ដែលត្រូវបានកំណត់រចនាសម្ព័ន្ធជាក្បួនដោះស្រាយសញ្ញាសម្រាប់ការផ្លាស់ប្តូរ IKE ។ Junos OS មិនកំណត់តម្រូវការភាពស្មុគស្មាញអប្បបរមាសម្រាប់សោដែលបានចែករំលែកជាមុនទេ។ អាស្រ័យហេតុនេះ អ្នកប្រើប្រាស់ត្រូវបានណែនាំឱ្យជ្រើសរើសដោយប្រុងប្រយ័ត្ននូវសោដែលបានចែករំលែកជាមុនដែលមានភាពស្មុគស្មាញគ្រប់គ្រាន់។
92
កំណត់រចនាសម្ព័ន្ធ IPsec VPN ដោយប្រើសោដែលបានចែករំលែកជាមុនជាការផ្ទៀងផ្ទាត់ IKE នៅលើអ្នកផ្តួចផ្តើម 1. កំណត់រចនាសម្ព័ន្ធសំណើ IKE៖
[កែប្រែ] user@host# កំណត់សុវត្ថិភាព ike proposal ike-proposal1 authentication-method pre-shared-keys user@host# set set security ike proposal ike-proposal1 dh-group group14 user@host# កំណត់សុវត្ថិភាព ike proposal ike-proposal1 ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ -algorithm sha256 user@host# កំណត់សុវត្ថិភាព ike proposal ike-proposal1 encryption-algorithm aes-256-cbc
ចំណាំ៖ នៅទីនេះ ike-proposal1 គឺជាឈ្មោះសំណើរបស់ IKE ដែលបានផ្តល់ឱ្យដោយអ្នកគ្រប់គ្រងដែលមានការអនុញ្ញាត។
2. កំណត់រចនាសម្ព័ន្ធគោលការណ៍ IKE៖
[កែប្រែ] user@host# កំណត់សុវត្ថិភាព ike policy ike-policy1 mode main user@host# set security ike policy ike-policy1 proposals ike-proposal1
ចំណាំ៖ នៅទីនេះ ike-policy1 គឺជាឈ្មោះគោលការណ៍ IKE ហើយ ike-proposal1 គឺជាឈ្មោះសំណើ IKE ដែលផ្តល់ដោយអ្នកគ្រប់គ្រងដែលមានការអនុញ្ញាត។
user@host# prompt security ike policy ike-policy1 pre-shared-key ascii-text New ascii-text (secret): វាយពាក្យ ascii-text ថ្មី (សម្ងាត់):
ចំណាំ៖ អ្នកត្រូវតែបញ្ចូល និងបញ្ចូលសោដែលបានចែករំលែកជាមុនឡើងវិញ នៅពេលត្រូវបានសួរ។ សម្រាប់អតីតampដូច្នេះ កូនសោដែលបានចែករំលែកជាមុនអាចជា Modvpn@jnpr1234។
ចំណាំ៖ គ្រាប់ចុចដែលបានចែករំលែកជាមុនអាចត្រូវបានបញ្ចូលជាទម្រង់លេខគោលដប់ប្រាំមួយ។ សម្រាប់អតីតample: [កែប្រែ] root@host# prompt security ike policy ike-policy1 pre-shared-key-hexadecimal
93
លេខគោលដប់ប្រាំមួយថ្មី (សម្ងាត់)៖ វាយបញ្ចូលលេខគោលដប់ប្រាំមួយថ្មីឡើងវិញ (សម្ងាត់)៖ បញ្ចូលតម្លៃគន្លឹះដែលចែករំលែកជាមុនលេខគោលដប់ប្រាំមួយ។
3. កំណត់រចនាសម្ព័ន្ធសំណើ IPsec៖
[កែប្រែ] user@host# កំណត់សុវត្ថិភាព ipsec security proposal ipsec-proposal1 protocol esp user@host# set security ipsec security proposal ipsec-proposal1 authentication-algorithm hmacsha-256-128 user@host# set security ipsec proposal ipsec-proposal1 ក្បួនដោះស្រាយ aes-256-cbc
ចំណាំ៖ នៅទីនេះ ipsec-proposal1 គឺជាឈ្មោះសំណើ IPsec ដែលផ្តល់ដោយអ្នកគ្រប់គ្រងដែលមានការអនុញ្ញាត។
4. កំណត់រចនាសម្ព័ន្ធគោលការណ៍ IPsec៖
[កែប្រែ] user@host# កំណត់សុវត្ថិភាព ipsec policy ipsec-policy1 perfect-forward-secrecy keys group14 user@host# set security ipsec policy ipsec-policy1 proposals ipsec-proposal1
ចំណាំ៖ នៅទីនេះ ipsec-policy1 គឺជាឈ្មោះគោលការណ៍ IPsec ហើយ ipsec-proposal1 គឺជាឈ្មោះសំណើ IPsec ដែលផ្តល់ដោយអ្នកគ្រប់គ្រងដែលមានការអនុញ្ញាត។
5. កំណត់រចនាសម្ព័ន្ធ IKE៖
[កែប្រែ] user@host# កំណត់សុវត្ថិភាព ike gateway gw1 ike-policy ike-policy1 user@host# កំណត់សុវត្ថិភាព ike gateway gw1 address 20.1.1.2 user@host# set security ike gateway gw1 local-identity inet 20.1.1.1 user@host # កំណត់សុវត្ថិភាព ike gateway gw1 ចំណុចប្រទាក់ខាងក្រៅ xe-0/0/2 user@host# កំណត់សុវត្ថិភាព ike gateway gw1 កំណែ v2-តែប៉ុណ្ណោះ
94
ចំណាំ៖ នៅទីនេះ gw1 គឺជាឈ្មោះ IKE gateway 20.1.1.2 គឺជា IP endpoint IP របស់ peer VPN endpoint IP 20.1.1.1 គឺជា local VPN endpoint IP ហើយ xe-0/0/2 គឺជា local outbound interface ជា VPN endpoint។ ការកំណត់រចនាសម្ព័ន្ធបន្ថែមខាងក្រោមក៏ត្រូវការផងដែរក្នុងករណី IKEv2 ។
6. កំណត់រចនាសម្ព័ន្ធ VPN៖
[កែប្រែ] user@host# កំណត់សុវត្ថិភាព ipsec vpn vpn1 ike gateway gw1 user@host# កំណត់សុវត្ថិភាព ipsec vpn vpn1 ike ipsec-policy ipsec-policy1 user@host# កំណត់សុវត្ថិភាព ipsec vpn vpn1 bind-interface st0.0 user@host# កំណត់សុវត្ថិភាព ipsec vpn vpn1 បង្កើតផ្លូវរូងក្រោមដីភ្លាមៗ
ចំណាំ៖ នៅទីនេះ vpn1 គឺជាឈ្មោះផ្លូវរូងក្រោមដី VPN ដែលផ្តល់ដោយអ្នកគ្រប់គ្រងដែលមានការអនុញ្ញាត។
7. កំណត់រចនាសម្ព័ន្ធសំណុំសេវាកម្ម៖
[កែប្រែ] user@host# set services-set IPSEC_SS_SPC3 next-hop-service inside-service-interface vms-5/0/0.1 user@host# set services-set IPSEC_SS_SPC3 next-hop-service outside-service-interface vms-5/0/0.2 user@host# set services-set services IPSEC_SS_SPC3 ipsec-vpn vpn1
8. កំណត់រចនាសម្ព័ន្ធចំណុចប្រទាក់ និងជម្រើសផ្លូវ៖
[កែប្រែ] user@host# set interfaces xe-0/0/2 unit 0 family inet address 20.1.1.1/24 user@host# set interfaces vms-5/0/0 unit 0 family inet user@host# set interfaces vms -5/0/0 unit 1 family inet user@host# set interfaces vms-5/0/0 unit 1 family inet6 user@host# set interfaces vms-5/0/0 unit 1 service-domain inside user@host# កំណត់ចំណុចប្រទាក់ vms-5/0/0 ឯកតា 2 family inet user@host# set interfaces vms-5/0/0 unit 2 family inet6 user@host# set interfaces vms-5/0/0 unit 2 service-domain អ្នកប្រើប្រាស់ខាងក្រៅ @host# កំណត់ចំណុចប្រទាក់ st0 ឯកតា 1 family inet user@host# set interfaces st0 unit 1 family inet6 user@host# set interfaces st0 unit 2 family inet
95
user@host# set interfaces st0 unit 2 family inet6 user@host# កំណត់ routing-options static route 30.1.1.0/24 next-hop st0.0
កំណត់រចនាសម្ព័ន្ធ IPsec VPN ដោយប្រើសោដែលបានចែករំលែកជាមុនជាការផ្ទៀងផ្ទាត់ IKE នៅលើអ្នកឆ្លើយតប 1. កំណត់រចនាសម្ព័ន្ធសំណើ IKE៖
[កែប្រែ] user@host# កំណត់សុវត្ថិភាព ike proposal ike-proposal1 authentication-method pre-shared-keys user@host# set security ike proposal ike-proposal1 dh-group group14 user@host# set security ike proposal ike-proposal1 authentication- algorithm sha256 user@host# កំណត់សុវត្ថិភាព ike proposal ike-proposal1 encryption-algorithm aes-128-cbc
ចំណាំ៖ នៅទីនេះ ike-proposal1 គឺជាឈ្មោះសំណើរបស់ IKE ដែលបានផ្តល់ឱ្យដោយអ្នកគ្រប់គ្រងដែលមានការអនុញ្ញាត។
2. កំណត់រចនាសម្ព័ន្ធគោលការណ៍ IKE៖
[កែប្រែ] user@host# កំណត់សុវត្ថិភាព ike policy ike-policy1 mode main user@host# set security ike policy ike-policy1 proposals ike-proposal1
ចំណាំ៖ នៅទីនេះ ike-policy1 គឺជាឈ្មោះគោលការណ៍ IKE ហើយ ike-proposal1 គឺជាឈ្មោះសំណើ IKE ដែលផ្តល់ដោយអ្នកគ្រប់គ្រងដែលមានការអនុញ្ញាត។
user@host# prompt security ike policy ike-policy1 pre-shared-key ascii-text New ascii-text (secret): វាយពាក្យ ascii-text ថ្មី (សម្ងាត់):
ចំណាំ៖ អ្នកត្រូវតែបញ្ចូល និងបញ្ចូលសោដែលបានចែករំលែកជាមុនឡើងវិញ នៅពេលត្រូវបានសួរ។ សម្រាប់អតីតampដូច្នេះ កូនសោដែលបានចែករំលែកជាមុនអាចជា Modvpn@jnpr1234។
96
ចំណាំ៖ គ្រាប់ចុចចែករំលែកជាមុនអាចត្រូវបានបញ្ចូលជាទម្រង់លេខគោលដប់ប្រាំមួយ។ សម្រាប់អតីតample, user@host# prompt security ike policy ike-policy1 pre-shared-key hexadecimal លេខគោលដប់ប្រាំមួយថ្មី (សម្ងាត់)៖ វាយបញ្ចូលលេខគោលដប់ប្រាំមួយថ្មីឡើងវិញ (សម្ងាត់)៖ នៅទីនេះ លេខកូដគោលដប់ប្រាំមួយដែលបានចែករំលែកជាមុនអាចជា cc2014bae9876543។
3. កំណត់រចនាសម្ព័ន្ធសំណើ IPsec៖
[កែប្រែ] user@host# កំណត់សុវត្ថិភាព ipsec proposal ipsec-proposal1 protocol esp user@host# set security ipsec proposal ipsec-proposal1 authentication-algorithm hmacsha-256-128 user@host# set security ipsec proposal ipsec-proposal1ithm encryption -cbcaes-3cbc
ចំណាំ៖ នៅទីនេះ ipsec-proposal1 គឺជាឈ្មោះសំណើ IPsec ដែលផ្តល់ដោយអ្នកគ្រប់គ្រងដែលមានការអនុញ្ញាត។
4. កំណត់រចនាសម្ព័ន្ធគោលការណ៍ IPsec៖
[កែប្រែ] user@host# កំណត់សុវត្ថិភាព ipsec policy ipsec-policy1 perfect-forward-secrecy keys group14 user@host# set security ipsec policy ipsec-policy1 proposals ipsec-proposal1
ចំណាំ៖ នៅទីនេះ ipsec-policy1 គឺជាឈ្មោះគោលការណ៍ IPsec ហើយ ipsec-proposal1 គឺជាឈ្មោះសំណើ IPsec ដែលផ្តល់ដោយអ្នកគ្រប់គ្រងដែលមានការអនុញ្ញាត។
5. កំណត់រចនាសម្ព័ន្ធ IKE ។
[កែប្រែ] user@host# កំណត់សុវត្ថិភាព ike gateway gw1 ike-policy ike-policy1 user@host# កំណត់សុវត្ថិភាព ike gateway gw1 address 20.1.1.1 user@host# set security ike gateway gw1 local-identity inet 20.1.1.2
97
user@host# កំណត់សុវត្ថិភាព ike gateway gw1 external-interface xe-0/0/3 user@host# set security ike gateway gw1 version v2-only
ចំណាំ៖ នៅទីនេះ gw1 គឺជាឈ្មោះ IKE gateway 20.1.1.1 គឺជា IP endpoint IP របស់ peer VPN endpoint IP 20.1.1.2 គឺជា local VPN endpoint IP ហើយ xe-0/0/3 គឺជា local outbound interface ជា VPN endpoint។ ការកំណត់រចនាសម្ព័ន្ធបន្ថែមខាងក្រោមក៏ត្រូវការផងដែរក្នុងករណី IKEv2 ។
6. កំណត់រចនាសម្ព័ន្ធ VPN៖
[កែប្រែ] user@host# កំណត់សុវត្ថិភាព ipsec vpn vpn1 ike gateway gw1 user@host# កំណត់សុវត្ថិភាព ipsec vpn vpn1 ike ipsec-policy ipsec-policy1 user@host# កំណត់សុវត្ថិភាព ipsec vpn vpn1 bind-interface st0.0 user@host# កំណត់សុវត្ថិភាព ipsec vpn vpn1 បង្កើតផ្លូវរូងក្រោមដីភ្លាមៗ
ចំណាំ៖ នៅទីនេះ vpn1 គឺជាឈ្មោះផ្លូវរូងក្រោមដី VPN ដែលផ្តល់ដោយអ្នកគ្រប់គ្រងដែលមានការអនុញ្ញាត។
7. កំណត់រចនាសម្ព័ន្ធសំណុំសេវាកម្ម៖
[កែប្រែ] user@host# set services-set IPSEC_SS_SPC3 next-hop-service inside-service-interface vms-4/0/0.1 user@host# set services-set IPSEC_SS_SPC3 next-hop-service outside-service-interface vms-4/0/0.2 user@host# set services-set services IPSEC_SS_SPC3 ipsec-vpn vpn1
8. កំណត់រចនាសម្ព័ន្ធចំណុចប្រទាក់ និងជម្រើសផ្លូវ៖
[កែប្រែ] user@host# set interfaces xe-0/0/3 unit 0 family inet address 20.1.1.2/24 user@host# set interfaces vms-4/0/0 unit 0 family inet user@host# set interfaces vms -4/0/0 unit 1 family inet user@host# set interfaces vms-4/0/0 unit 1 family inet6 user@host# set interfaces vms-4/0/0 unit 1 service-domain inside user@host# កំណត់ចំណុចប្រទាក់ vms-4/0/0 ឯកតា 2 family inet user@host# set interfaces vms-4/0/0 unit 2 family inet6
98
user@host# set interfaces vms-4/0/0 unit 2 service-domain outside user@host# set interfaces st0 unit 1 family inet user@host# set interfaces st0 unit 1 family inet6 user@host# set interfaces st0 unit 2 family inet user@host# set interfaces st0 unit 2 family inet6 user@host# set routing-options static route 10.1.1.0/24 next-hop st0.0
កំណត់រចនាសម្ព័ន្ធ IPsec VPN ដែលមានហត្ថលេខា RSA សម្រាប់ការផ្ទៀងផ្ទាត់ IKE
ផ្នែកខាងក្រោមផ្តល់នូវអតីតample ដើម្បីកំណត់រចនាសម្ព័ន្ធឧបករណ៍ Junos OS សម្រាប់ IPsec VPN ដោយប្រើ RSA Signature ជាវិធីសាស្ត្រផ្ទៀងផ្ទាត់ IKE ចំណែកឯក្បួនដោះស្រាយដែលប្រើក្នុង IKE/IPsec authentication/ encryption គឺដូចបង្ហាញក្នុងតារាងខាងក្រោម។ នៅក្នុងផ្នែកនេះ អ្នកកំណត់រចនាសម្ព័ន្ធឧបករណ៍ដែលដំណើរការ Junos OS forIPsec VPN ដោយប្រើហត្ថលេខា RSA ជាវិធីសាស្ត្រផ្ទៀងផ្ទាត់ IKE ។ ក្បួនដោះស្រាយដែលប្រើក្នុង IKE ឬ IPsec authentication ឬ encryption ត្រូវបានបង្ហាញក្នុងតារាងទី 6 នៅទំព័រ 98
តារាងទី 6៖ ការផ្ទៀងផ្ទាត់ IKE/IPsec និងការអ៊ិនគ្រីប Example
IKE Protoc ol
របៀបផ្លូវរូងក្រោមដី
ដំណាក់កាលទី 1 ការចរចារ n របៀប
វិធីសាស្រ្តផ្ទៀងផ្ទាត់ដំណាក់កាលទី 1 (P1, IKE)
ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ DH Group Algorithm
ក្បួនដោះស្រាយការអ៊ិនគ្រីប
IKEv1 ផ្លូវសំខាន់
rsa-ហត្ថលេខា-2048
sha-256
ក្រុម 19
aes-128-cbc
IKE Protoc ol
Tunne l របៀប
ដំណាក់កាលទី 1 ការចរចារ n របៀប
ដំណាក់កាលទី 2 សំណើ (P2, IPsec) ក្បួនដោះស្រាយការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ
ក្រុម DH (PFS)
IKEv1 ផ្លូវសំខាន់
hmac-sha-256-128
ក្រុម 19
វិធីសាស្រ្តអ៊ិនគ្រីប
ក្បួនដោះស្រាយការអ៊ិនគ្រីប
អេស.ភី
aes-128-cbc
កំណត់រចនាសម្ព័ន្ធ IPsec VPN ជាមួយហត្ថលេខា RSA ជា IKE Authentication នៅលើ Initiator 1. កំណត់រចនាសម្ព័ន្ធ PKI ។ សូមមើល Example: កំណត់រចនាសម្ព័ន្ធ PKI ។ 2. បង្កើតគូសោ RSA ។ សូមមើល Example៖ ការបង្កើតគូសោសាធារណៈ និងឯកជន។ 3. បង្កើត និងផ្ទុកវិញ្ញាបនបត្រ CA ។ សូមមើល Example: កំពុងផ្ទុក CA និងវិញ្ញាបនបត្រក្នុងស្រុកដោយដៃ។
99
4. ផ្ទុក CRL ។ សូមមើល Example: កំពុងផ្ទុក CRL ដោយដៃលើឧបករណ៍។ 5. បង្កើត និងផ្ទុកវិញ្ញាបនបត្រក្នុងស្រុក។ សូមមើល Example: កំពុងផ្ទុក CA និងវិញ្ញាបនបត្រក្នុងស្រុកដោយដៃ។ 6. កំណត់រចនាសម្ព័ន្ធសំណើ IKE៖
[កែប្រែ] user@host# កំណត់សុវត្ថិភាព ike proposal ike-proposal1 authentication-method rsa-signatures user@host# set security ike proposal ike-proposal1 dh-group group19 user@host# កំណត់សុវត្ថិភាព ike proposal ike-proposal1 authentication-algorithm sha -256 user@host# កំណត់សុវត្ថិភាព ike proposal ike-proposal1 encryption-algorithm aes-128-cbc
ចំណាំ៖ នៅទីនេះ ike-proposal1 គឺជាឈ្មោះដែលផ្តល់ដោយអ្នកគ្រប់គ្រងដែលមានការអនុញ្ញាត។
7. កំណត់រចនាសម្ព័ន្ធគោលការណ៍ IKE៖
[កែប្រែ] user@host# កំណត់សុវត្ថិភាព ike policy ike-policy1 mode main user@host# កំណត់សុវត្ថិភាព ike policy ike-policy1 proposals ike-proposal1 user@host# set security ike policy ike-policy1 certificate local-certificate cert1
ចំណាំ៖ នៅទីនេះ ឈ្មោះគោលការណ៍ ike-policy1 IKE ដែលបានផ្តល់ឱ្យដោយអ្នកគ្រប់គ្រងដែលមានការអនុញ្ញាត។
8. កំណត់រចនាសម្ព័ន្ធសំណើ IPsec៖
[កែប្រែ] user@host# កំណត់សុវត្ថិភាព ipsec proposal ipsec-proposal1 protocol esp user@host# set security ipsec proposal ipsec-proposal1 authentication-algorithm hmacsha-256-128 user@host# កំណត់សុវត្ថិភាព ipsec proposal ipsec-proposal1ithm encryption -128-cbc
ចំណាំ៖ នៅទីនេះ ipsec-proposal1 គឺជាឈ្មោះដែលផ្តល់ដោយអ្នកគ្រប់គ្រងដែលមានការអនុញ្ញាត។
កំណត់រចនាសម្ព័ន្ធគោលការណ៍ IPsec៖
[កែប្រែ] user@host# កំណត់សុវត្ថិភាព ipsec policy ipsec-policy1 perfect-forward-secrecy keys group19 user@host# set security ipsec policy ipsec-policy1 proposals ipsec-proposal1
ចំណាំ៖ នៅទីនេះ ipsec-policy1 គឺជាឈ្មោះដែលផ្តល់ដោយអ្នកគ្រប់គ្រងដែលមានការអនុញ្ញាត។
10. កំណត់រចនាសម្ព័ន្ធ IKE៖
[កែប្រែ] user@host# កំណត់សុវត្ថិភាព ike gateway gw1 ike-policy ike-policy1 user@host# កំណត់សុវត្ថិភាព ike gateway gw1 address 20.1.1.2 user@host# set security ike gateway gw1 local-identity inet 20.1.1.1 user@host # កំណត់សុវត្ថិភាព ike gateway gw1 ចំណុចប្រទាក់ខាងក្រៅ xe-0/0/3 user@host# កំណត់សុវត្ថិភាព ike gateway gw1 កំណែ v2-តែប៉ុណ្ណោះ
ចំណាំ៖ នៅទីនេះ 20.1.1.2 គឺជា IP ចុង VPN ដូចគ្នា 20.1.1.1 គឺជា IP ចុង VPN ក្នុងតំបន់ ហើយ xe-0/0/3 គឺជាចំណុចប្រទាក់ខាងក្រៅក្នុងតំបន់ជាចំណុចបញ្ចប់ VPN ។ ការកំណត់រចនាសម្ព័ន្ធខាងក្រោមក៏ត្រូវការសម្រាប់ IKEv2 ។
11. កំណត់រចនាសម្ព័ន្ធ VPN៖
[កែប្រែ] user@host# កំណត់សុវត្ថិភាព ipsec vpn vpn1 ike gateway gw1 user@host# កំណត់សុវត្ថិភាព ipsec vpn vpn1 ike ipsec-policy ipsec-policy1 user@host# កំណត់សុវត្ថិភាព i
ឯកសារ/ធនធាន
 |
ឧបករណ៍ Juniper NETWORKS MX240Junos OS ជាមួយនឹងកាតសេវាកម្ម [pdf] ការណែនាំអ្នកប្រើប្រាស់ ឧបករណ៍ប្រព័ន្ធប្រតិបត្តិការ MX240Junos ជាមួយកាតសេវាកម្ម, MX240Junos, ឧបករណ៍ OS ដែលមានកាតសេវាកម្ម, ឧបករណ៍ដែលមានកាតសេវាកម្ម, កាតសេវាកម្ម, កាត |