Logo tal-ĠUNIPERInġinerija Sempliċità
Junos® OS
Gwida ta' Konfigurazzjoni Evalwata FIPS għal
Apparati MX960, MX480, u MX240

Kontenut ħabi
1 JUNIPER NETWORKS Junos OS FIPS Apparati Evalwati
2 Fuqview
3 Konfigurazzjoni ta' Kredenzjali u Privileġġi Amministrattivi
4 Konfigurazzjoni ta' Rwoli u Metodi ta' Awtentikazzjoni
5 Konfigurazzjoni ta' SSH u Konnessjoni tal-Console
6 Konfigurazzjoni ta' MACsec
7 Konfigurazzjoni ta 'MACsec b'keychain għal Saff 2 Traffiku
8 Konfigurazzjoni tal-Logging tal-Avvenimenti
9 Twettiq ta' Awto-Testijiet fuq Apparat
10 Kmandi Operattivi
11 Dokumenti / Riżorsi
11.1 Referenzi

JUNIPER NETWORKS Junos OS FIPS Apparati Evalwati

JUNIPER NETWORKS Junos OS FIPS Apparati Evalwati 1ĦLAS
20.3X75-D30

Juniper Networks, Inc.
1133 Mod ta' Innovazzjoni
Sunnyvale, California 94089
USA
408-745-2000
www.juniper.net
Juniper Networks, il-logo Juniper Networks, Juniper, u Junos huma trademarks reġistrati ta’ Juniper Networks, Inc.
fl-Istati Uniti u pajjiżi oħra. It-trademarks l-oħra kollha, il-marki tas-servizz, il-marki reġistrati, jew il-marki tas-servizz irreġistrati huma l-proprjetà tas-sidien rispettivi tagħhom.
Juniper Networks ma jassumi l-ebda responsabbiltà għal xi ineżattezzi f'dan id-dokument. Juniper Networks jirriżerva d-dritt li jibdel, jimmodifika, jittrasferixxi, jew inkella jirrevedi din il-pubblikazzjoni mingħajr avviż.
Junos® OS FIPS Gwida ta' Konfigurazzjoni Evalwata għall-Apparati MX960, MX480, u MX240 20.3X75-D30
Copyright © 2023 Juniper Networks, Inc. Id-drittijiet kollha riżervati.
L-informazzjoni f'dan id-dokument hija attwali mid-data fuq il-paġna tat-titolu.
AVVIŻ SENA 2000
Il-prodotti tal-ħardwer u tas-softwer Juniper Networks huma konformi mas-Sena 2000. Junos OS m'għandu l-ebda limitazzjoni magħrufa relatata mal-ħin sas-sena 2038. Madankollu, l-applikazzjoni NTP hija magħrufa li għandha xi diffikultà fis-sena 2036.
FTEHIM TAL-LIĊENZJA DWAR L-UTENTE AĦĦARIEN
Il-prodott Juniper Networks li huwa s-suġġett ta’ din id-dokumentazzjoni teknika jikkonsisti minn (jew huwa maħsub għall-użu ma’) softwer Juniper Networks. L-użu ta’ tali softwer huwa suġġett għat-termini u l-kundizzjonijiet tal-Ftehim tal-Liċenzja tal-Utent Aħħar (“EULA”) imqiegħed fuq https://support.juniper.net/support/eula/. Billi tniżżel, tinstalla jew tuża tali softwer, taqbel mat-termini u l-kundizzjonijiet ta’ dak l-EULA.

Dwar Din il-Gwida
Uża din il-gwida biex tħaddem apparati MX960, MX480, u MX240 fl-ambjent tal-Livell 140 tal-Istandards Federali tal-Ipproċessar tal-Informazzjoni (FIPS) 2-1. FIPS 140-2 jiddefinixxi livelli ta 'sigurtà għal ħardwer u software li jwettqu funzjonijiet kriptografiċi.
DOKUMENTAZZJONI RELATATA
Kriterji Komuni u Ċertifikazzjonijiet FIPS

Fuqview

Nifhmu Junos OS fil-Modalità FIPS
F’DIN IT-TAQSIMA

  • Pjattaformi u Hardwares Appoġġjati | 2
  • Dwar il-Konfini Kriptografiku fuq it-Tagħmir Tiegħek | 3
  • Kif il-Modalità FIPS Tvarja mill-Modalità Mhux-FIPS | 3
  • Verżjoni vvalidata ta' Junos OS fil-Modalità FIPS | 3

L-Istandards Federali tal-Ipproċessar tal-Informazzjoni (FIPS) 140-2 jiddefinixxi l-livelli ta 'sigurtà għall-ħardwer u s-softwer li jwettqu funzjonijiet kriptografiċi. Dan ir-router Juniper Networks li jħaddem is-sistema operattiva Junos Networks Junos (Junos OS) fil-modalità FIPS jikkonforma mal-istandard FIPS 140-2 Livell 1.
It-tħaddim ta' dan ir-router f'ambjent FIPS 140-2 Livell 1 jeħtieġ li l-modalità FIPS tkun attivata u kkonfigurata fuq it-tagħmir mill-interface tal-linja tal-kmand (CLI) tal-OS Junos.
L-Uffiċjal Crypto jippermetti l-modalità FIPS f'Junos OS u jistabbilixxi ċwievet u passwords għas-sistema u utenti FIPS oħra.
Pjattaformi u Hardwares Appoġġjati
Għall-karatteristiċi deskritti f'dan id-dokument, il-pjattaformi li ġejjin jintużaw biex jikkwalifikaw iċ-ċertifikazzjoni FIPS:

Dwar il-Konfini Kriptografiku fuq it-Tagħmir Tiegħek
Il-konformità tal-FIPS 140-2 teħtieġ limitu kriptografiku definit madwar kull modulu kriptografiku fuq apparat. Junos OS fil-modalità FIPS jipprevjeni lill-modulu kriptografiku milli jesegwixxi kwalunkwe softwer li mhuwiex parti mid-distribuzzjoni ċertifikata mill-FIPS, u jippermetti biss li jintużaw algoritmi kriptografiċi approvati mill-FIPS. L-ebda parametri ta 'sigurtà kritiċi (CSPs), bħal passwords u ċwievet, ma jistgħu jaqsmu l-konfini kriptografiċi tal-modulu f'format mhux kriptat.
IL-KITTI u l-Inserzjonijiet tal-Konnessjoni tal-Fossa tan-Nar Serje OUTDOOR PLUS TOP - Ikona 1 ATTENZJONI: Il-karatteristiċi tax-Chassis Virtwali mhumiex appoġġjati fil-modalità FIPS. Tikkonfigurax Chassis Virtwali fil-modalità FIPS.

Kif il-Modalità FIPS Tvarja mill-Modalità Mhux-FIPS
Junos OS fil-modalità FIPS huwa differenti fil-modi li ġejjin minn Junos OS fil-modalità mhux FIPS:

  • L-awtotestijiet tal-algoritmi kriptografiċi kollha jitwettqu fl-istartjar.
  • L-awto-testijiet tan-numru każwali u l-ġenerazzjoni taċ-ċavetta jitwettqu kontinwament.
  • Algoritmi kriptografiċi dgħajfa bħal Data Encryption Standard (DES) u MD5 huma diżattivati.
  • Konnessjonijiet ta' ġestjoni dgħajfa jew mhux kriptati m'għandhomx jiġu kkonfigurati.
  • Il-passwords iridu jkunu encrypted b'algoritmi b'saħħithom one-way li ma jippermettux id-decryption.
  • Il-passwords tal-amministratur iridu jkunu twal tal-inqas 10 karattri.

Verżjoni Validata ta' Junos OS fil-Modalità FIPS
Biex tiddetermina jekk rilaxx tal-OS Junos huwiex ivvalidat mill-NIST, ara l-paġna tal-konsulent tal-konformità fuq in-Netwerks Juniper Web sit (https://apps.juniper.net/compliance/).
DOKUMENTAZZJONI RELATATA
Identifikazzjoni ta' Kunsinna Sikura tal-Prodott | 7

Nifhmu Terminoloġija FIPS u Algoritmi Kriptografiċi Appoġġjati
F’DIN IT-TAQSIMA
Terminoloġija | 4
Algoritmi Kriptografiċi Appoġġjati | 5
Uża d-definizzjonijiet tat-termini FIPS, u algoritmi appoġġjati biex jgħinuk tifhem Junos OS fil-mod FIPS.

Terminoloġija
Parametru kritiku tas-sigurtà (CSP)
Informazzjoni relatata mas-sigurtà—eżample, ċwievet kriptografiċi sigrieti u privati ​​u data ta 'awtentikazzjoni bħal passwords u numri ta' identifikazzjoni personali (PINs)— li l-iżvelar jew il-modifika tagħhom jistgħu jikkompromettu s-sigurtà ta 'modulu kriptografiku jew l-informazzjoni li jipproteġi. Għad-dettalji, ara “Nifhmu l-Ambjent Operattiv għal Junos OS fil-Modalità FIPS” f’paġna 16.
Modulu kriptografiku
Is-sett ta' ħardwer, softwer u firmware li jimplimenta funzjonijiet ta' sigurtà approvati (inklużi algoritmi kriptografiċi u ġenerazzjoni taċ-ċavetta) u jinsab fil-konfini kriptografiċi.
FIPS
Standards Federali ta' Ipproċessar ta' Informazzjoni. FIPS 140-2 jispeċifika rekwiżiti għas-sigurtà u l-moduli kriptografiċi. Junos OS fil-modalità FIPS jikkonforma mal-FIPS 140-2 Livell 1.
Rwol ta 'manutenzjoni tal-FIPS
Ir-rwol li jassumi l-Uffiċjal Crypto biex iwettaq manutenzjoni fiżika jew servizzi ta 'manutenzjoni loġika bħal dijanjostiċi ta' hardware jew software. Għall-konformità tal-FIPS 140-2, l-Uffiċjal Crypto iżerozza r-Routing Engine mad-dħul u l-ħruġ mir-rwol tal-manutenzjoni tal-FIPS biex iħassar iċ-ċwievet sigrieti u privati ​​kollha b'test sempliċi u CSPs mhux protetti.
NOTA: Ir-rwol tal-manutenzjoni tal-FIPS mhuwiex appoġġat fuq Junos OS fil-modalità FIPS.
KATs
Testijiet ta' tweġibiet magħrufa. Awto-testijiet tas-sistema li jivvalidaw l-output ta 'algoritmi kriptografiċi approvati għal FIPS u jittestjaw l-integrità ta' xi moduli Junos OS. Għad-dettalji, ara “Nifhmu l-Awto-Testijiet FIPS” f’paġna 73.
SSH
Protokoll li juża awtentikazzjoni u kriptaġġ b'saħħithom għal aċċess mill-bogħod fuq netwerk mhux sikur. SSH jipprovdi login mill-bogħod, eżekuzzjoni remota tal-programm, file kopja, u funzjonijiet oħra. Huwa maħsub bħala sostitut sigur għal rlogin, rsh, u rcp f'ambjent UNIX. Biex tiżgura l-informazzjoni mibgħuta fuq konnessjonijiet amministrattivi, uża SSHv2 għall-konfigurazzjoni CLI. F'Junos OS, SSHv2 huwa attivat b'mod awtomatiku, u SSHv1, li mhuwiex ikkunsidrat sigur, huwa diżattivat. Zeroization
Tħassir tas-CSPs kollha u data oħra maħluqa mill-utent fuq apparat qabel it-tħaddim tiegħu bħala modulu kriptografiku FIPS jew bi tħejjija għall-użu mill-ġdid tal-apparati għal tħaddim mhuxFIPS.
L-Uffiċjal Crypto jista 'żeroize s-sistema bi kmand operattiv CLI.
Algoritmi Kriptografiċi Appoġġjati
Tabella 1 f'paġna 6 tiġbor fil-qosor l-appoġġ tal-algoritmu tal-protokoll ta' livell għoli.
Tabella 1: Protokolli Permessi fil-Modalità FIPS

Protokoll  Skambju Ewlenin Awtentikazzjoni Ċifra Integrità
SSHv2 • dh-group14-sha1
• ECDH-sha2-nistp256
• ECDH-sha2-nistp384
• ECDH-sha2-nistp521		 Ospitanti (modulu):
• ECDSA P-256
• SSH-RSA
Klijent (utent):
• ECDSA P-256
• ECDSA P-384
• ECDSA P-521
• SSH-RSA		 • AES CTR 128
• AES CTR 192
• AES CTR 256
• AES CBC 128
• AES CBC 256		 • HMAC-SHA-1
• HMAC-SHA-256
• HMAC-SHA-512

Tabella 2 f'paġna 6 telenka ċ-ċifraturi appoġġjati minn MACsec LC.
Tabella 2: MACsec LC Supported Ciphers
Ċifri Sostnuti MACsec LC
AES-GCM-128
AES-GCM-256
Kull implimentazzjoni ta 'algoritmu hija ċċekkjata minn serje ta' test ta 'tweġiba magħrufa (KAT) awto-testijiet. Kwalunkwe falliment ta 'awto-test jirriżulta fi stat ta' żball FIPS.
L-AĦJAR PRATTIKA: Għall-konformità FIPS 140-2, uża biss algoritmi kriptografiċi approvati mill-FIPS F'Junos OS fil-modalità FIPS.
L-algoritmi kriptografiċi li ġejjin huma appoġġjati fil-modalità FIPS. Il-metodi simetriċi jużaw l-istess ċavetta għall-encryption u d-decryption, filwaqt li metodi asimmetriċi jużaw ċwievet differenti għall-encryption u d-decryption.
AES
L-Istandard ta 'Encryption Avvanzat (AES), definit fil-FIPS PUB 197. L-algoritmu AES juża ċwievet ta' 128, 192, jew 256 bit biex jikkripta u jiddeċifra d-dejta fi blokki ta '128 bit.
ECDH
Kurva ellittika Diffie-Hellman. Varjant ta 'l-algoritmu ta' skambju ta 'ċavetta Diffie-Hellman li juża kriptografija bbażata fuq l-istruttura alġebrin ta' kurvi ellittiċi fuq oqsma finiti. L-ECDH tippermetti lil żewġ partijiet, li kull waħda jkollha par ta' ċavetta pubblika-privata ta' kurva ellittika, biex jistabbilixxu sigriet kondiviż fuq kanal mhux sikur. Is-sigriet kondiviż jista 'jintuża jew bħala ċavetta jew biex tiġi derivata ċavetta oħra għall-kriptaġġ ta' komunikazzjonijiet sussegwenti bl-użu ta 'ċifra taċ-ċavetta simetrika.
ECDSA
Algoritmu ta' Firma Diġitali tal-Kurva Ellittika. Varjant tal-Algoritmu tal-Firma Diġitali (DSA) li juża l-kriptografija bbażata fuq l-istruttura alġebrin ta’ kurvi ellittiċi fuq oqsma finiti. Id-daqs tal-bit tal-kurva ellittika jiddetermina d-diffikultà tad-decrypting taċ-ċavetta. Iċ-ċavetta pubblika maħsuba li hija meħtieġa għall-ECDSA hija madwar id-doppju tal-livell tas-sigurtà, f'bits. L-ECDSA bl-użu tal-kurvi P-256, P-384, u P-521 jistgħu jiġu kkonfigurati taħt OpenSSH.
HMAC
Iddefinit bħala "Keyed-Hashing għall-Awtentikazzjoni tal-Messaġġ" fl-RFC 2104, HMAC jgħaqqad algoritmi ta' hashing ma' ċwievet kriptografiċi għall-awtentikazzjoni tal-messaġġi. Għal Junos OS fil-modalità FIPS, HMAC juża l-funzjonijiet hash kriptografiċi ripetuti SHA-1, SHA-256, u SHA-512 flimkien ma 'ċavetta sigrieta.
SHA-256 u SHA-512
Secure hash algorithms (SHA) li jappartjenu għall-istandard SHA-2 definit fil-FIPS PUB 180-2. Żviluppat minn NIST, SHA-256 jipproduċi diġest hash 256-bit, u SHA-512 jipproduċi diġest hash 512-bit.
DOKUMENTAZZJONI RELATATA
Nifhmu l-Awto-Testijiet tal-FIPS | 73
Nifhmu Zeroization biex Tiċċara Data tas-Sistema għall-Modalità FIPS | 25
Identifikazzjoni ta' Kunsinna Sikura tal-Prodott
Hemm diversi mekkaniżmi pprovduti fil-proċess tal-kunsinna biex jiġi żgurat li klijent jirċievi prodott li ma kienx tampered ma. Il-klijent għandu jwettaq il-kontrolli li ġejjin malli jirċievi apparat biex jivverifika l-integrità tal-pjattaforma.

  • Tikketta tat-tbaħħir—Aċċerta li t-tikketta tat-tbaħħir tidentifika b'mod korrett l-isem u l-indirizz tal-klijent korretti kif ukoll l-apparat.
  • Imballaġġ ta 'barra—Spezzjona l-kaxxa tat-tbaħħir ta' barra u t-tejp. Kun żgur li t-tejp tat-tbaħħir ma ġiex maqtugħ jew kompromess b'xi mod ieħor. Kun żgur li l-kaxxa ma ġietx maqtugħa jew imħassra biex tippermetti aċċess għall-apparat.
  • Ġewwa l-ippakkjar—Spezzjona l-borża tal-plastik u s-siġill. Kun żgur li l-borża ma tinqatax jew titneħħa. Kun żgur li s-siġill jibqa' intatt.

Jekk il-klijent jidentifika problema waqt l-ispezzjoni, hu jew hi għandu immedjatament jikkuntattja lill-fornitur. Ipprovdi n-numru tal-ordni, in-numru tat-traċċar, u deskrizzjoni tal-problema identifikata lill-fornitur.
Barra minn hekk, hemm diversi kontrolli li jistgħu jsiru biex jiġi żgurat li l-klijent ikun irċieva kaxxa mibgħuta minn Juniper Networks u mhux kumpanija differenti maskara bħala Juniper Networks. Il-klijent għandu jwettaq il-kontrolli li ġejjin malli jirċievi apparat biex jivverifika l-awtentiċità tal-apparat:

  • Ivverifika li l-apparat ġie ordnat permezz ta 'ordni ta' xiri. L-apparati Juniper Networks qatt ma jintbagħtu mingħajr ordni ta 'xiri.
  • Meta apparat jintbagħat, tintbagħat notifika tal-konsenja lill-indirizz elettroniku pprovdut mill-klijent meta tittieħed l-ordni. Ivverifika li din in-notifika bil-posta elettronika waslet. Ivverifika li l-email fih l-informazzjoni li ġejja:
  • Numru tal-ordni tax-xiri
  • In-numru tal-ordni ta' Juniper Networks użat biex jittraċċa l-vjeġġ
  • Numru tat-traċċar tat-trasportatur użat biex jintraċċa l-vjeġġ
  • Lista ta' oġġetti mibgħuta inklużi n-numri tas-serje
  • Indirizz u kuntatti kemm tal-fornitur kif ukoll tal-klijent
  • Ivverifika li l-vjeġġ inbeda minn Juniper Networks. Biex tivverifika li nbdiet vjeġġ minn Juniper Networks, għandek twettaq il-kompiti li ġejjin:
  • Qabbel in-numru tat-traċċar tat-trasportatur tan-numru tal-ordni ta 'Juniper Networks elenkat fin-notifika tat-tbaħħir ta' Juniper Networks man-numru tat-traċċar fuq il-pakkett riċevut.
  • Idħol fil-portal online ta' appoġġ għall-konsumatur ta' Juniper Networks fuq https://support.juniper.net/support/ biex view l-istatus tal-ordni. Qabbel in-numru tat-traċċar tat-trasportatur jew in-numru tal-ordni ta 'Juniper Networks elenkat fin-notifika tal-ġarr ta' Juniper Networks man-numru tat-traċċar fuq il-pakkett riċevut.

Fehim tal-Interfaces tal-Ġestjoni
L-interfaces ta' ġestjoni li ġejjin jistgħu jintużaw fil-konfigurazzjoni evalwata:

  • Interfaces ta' Ġestjoni Lokali — Il-port tal-console RJ-45 fuq l-apparat huwa kkonfigurat bħala tagħmir terminali tad-dejta (DTE) RS-232. Tista' tuża l-interface tal-linja tal-kmand (CLI) fuq dan il-port biex tikkonfigura l-apparat minn terminal.
  • Protokolli ta 'Ġestjoni Remota—L-apparat jista' jiġi ġestit mill-bogħod fuq kwalunkwe interface Ethernet. SSHv2 huwa l-uniku protokoll permess ta' ġestjoni remota li jista' jintuża fil-konfigurazzjoni evalwata. Il-protokolli ta' ġestjoni mill-bogħod J-Web u Telnet mhumiex disponibbli għall-użu fuq l-apparat.

Konfigurazzjoni ta' Kredenzjali u Privileġġi Amministrattivi

Nifhmu r-Regoli tal-Password Assoċjati għal Amministratur Awtorizzat
L-amministratur awtorizzat huwa assoċjat ma' klassi ta' login definita, u l-amministratur huwa assenjat bil-permessi kollha. Id-dejta tinħażen lokalment għall-awtentikazzjoni tal-password fissa.
NOTA: Tużax karattri ta' kontroll fil-passwords.
Uża l-linji gwida u l-għażliet ta’ konfigurazzjoni li ġejjin għall-passwords u meta tagħżel il-passwords għall-kontijiet ta’ amministratur awtorizzat. Il-passwords għandhom ikunu:

  • Faċli biex tiftakar sabiex l-utenti ma jitħajrux jiktbu.
  • Mibdula perjodikament.
  • Privat u mhux maqsum ma’ ħadd.
  • Fihom minimu ta' 10 karattri. It-tul minimu tal-password huwa 10 karattri.
    [ editja ] administrator@host# issettja l-password tal-login tas-sistema tul minimu 10
  • Inkludi kemm karattri alfanumeriċi kif ukoll ta' punteġġjatura, magħmulin minn kwalunkwe kombinazzjoni ta' ittri kbar u żgħar, numri, u karattri speċjali bħal, “!”, “@”, “#”, “$”, “%”, “^”, “ &”, “*”, “(“, u “)”.
    Għandu jkun hemm mill-inqas bidla f'każ wieħed, ċifra waħda jew aktar, u marka ta' punteġġjatura waħda jew aktar.
  • Fihom settijiet ta’ karattri. Settijiet ta' karattri validi jinkludu ittri kbar, ittri żgħar, numri, punteġġjatura, u karattri speċjali oħra.
    [ editja ] administrator@host# issettja l-password tal-login tas-sistema tibdil tat-tip ta' karattri
  • Fih in-numru minimu ta’ settijiet ta’ karattri jew bidliet fis-sett ta’ karattri. In-numru minimu ta' settijiet ta' karattri meħtieġ f'passwords b'test sempliċi f'Junos FIPS huwa 3.
    [ editja ] administrator@host# issettja l-password tal-login tas-sistema minimu-bidliet 3
  • L-algoritmu tal-hashing għall-passwords tal-utent jista 'jkun jew SHA256 jew SHA512 (SHA512 huwa l-algoritmu tal-hashing default).
    [ editja ] administrator@host# issettja l-format tal-password tal-login tas-sistema sha512
    NOTA: L-apparat jappoġġja tipi ta 'ċavetta ECDSA (P-256, P-384, u P-521) u RSA (2048, 3072, u 4092 modulus bit-tul).
    Il-passwords dgħajfa huma:
  • Kliem li jista 'jinstab jew jeżisti bħala forma permuta f'sistema file bħal /etc/passwd.
  • L-isem tal-host tas-sistema (dejjem l-ewwel raden).
  • Kwalunkwe kelma li tidher f'dizzjunarju. Dan jinkludi dizzjunarji minbarra l-Ingliż, u kliem misjub f’xogħlijiet bħal Shakespeare, Lewis Carroll, Roget’s Thesaurus, eċċ. Din il-projbizzjoni tinkludi kliem u frażijiet komuni mill-isports, kliem, films, u programmi televiżivi.
  • Permutazzjonijiet fuq xi wieħed minn hawn fuq. Per example, kelma dizzjunarju b'vokali mibdula b'ċifri (eżample f00t) jew b'ċifri miżjuda fl-aħħar.
  • Kwalunkwe password ġenerata mill-magni. L-algoritmi jnaqqsu l-ispazju ta' tfittxija ta' programmi ta' guessing tal-passwords u għalhekk m'għandhomx jintużaw.
    Passwords b'saħħithom li jistgħu jerġgħu jintużaw jistgħu jkunu bbażati fuq ittri minn frażi jew kelma favorita, u mbagħad magħquda ma' kliem ieħor mhux relatat, flimkien ma' ċifri u punteġġjatura addizzjonali.

DOKUMENTAZZJONI RELATATA
Identifikazzjoni ta' Kunsinna Sikura tal-Prodott | 7

Konfigurazzjoni ta' Rwoli u Metodi ta' Awtentikazzjoni

Nifhmu Rwoli u Servizzi għal Junos OS
F’DIN IT-TAQSIMA
Rwol u Responsabbiltajiet ta' Uffiċjal Crypto | 15
Rwol u Responsabbiltajiet ta' Utent FIPS | 15
X'inhu Mistenni mill-Utenti Kollha FIPS | 16
L-Amministratur tas-Sigurtà huwa assoċjat mal-klassi tal-login definita security-admin, li għandha s-sett tal-permess meħtieġ biex jippermetti lill-amministratur iwettaq il-kompiti kollha meħtieġa biex jimmaniġġja Junos OS. L-utenti amministrattivi (Amministratur tas-Sigurtà) għandhom jipprovdu data unika ta' identifikazzjoni u awtentikazzjoni qabel ma jingħata kwalunkwe aċċess amministrattiv għas-sistema.
Ir-rwoli u r-responsabbiltajiet tal-Amministratur tas-Sigurtà huma kif ġej:

  1. Amministratur tas-Sigurtà jista 'jamministra lokalment u mill-bogħod.
  2. Oħloq, immodifika, ħassar kontijiet tal-amministratur, inkluża l-konfigurazzjoni tal-parametri tal-falliment tal-awtentikazzjoni.
  3. Ippermetti mill-ġdid kont Amministratur.
  4. Responsabbli għall-konfigurazzjoni u l-manutenzjoni ta 'elementi kriptografiċi relatati mal-istabbiliment ta' konnessjonijiet sikuri lejn u mill-prodott evalwat.

Is-sistema operattiva Junos Networks Junos (Junos OS) li taħdem fil-modalità mhux FIPS tippermetti firxa wiesgħa ta 'kapaċitajiet għall-utenti, u l-awtentikazzjoni hija bbażata fuq l-identità. B'kuntrast, l-istandard FIPS 140-2 jiddefinixxi żewġ rwoli tal-utent: Uffiċjal Crypto u utent FIPS. Dawn ir-rwoli huma definiti f'termini ta' kapaċitajiet tal-utent ta' Junos OS.
It-tipi l-oħra kollha ta 'utent definiti għal Junos OS fil-modalità FIPS (operatur, utent amministrattiv, eċċ) għandhom jaqgħu f'waħda miż-żewġ kategoriji: Uffiċjal Crypto jew utent FIPS. Għal din ir-raġuni, l-awtentikazzjoni tal-utent fil-modalità FIPS hija bbażata fuq ir-rwoli aktar milli bbażata fuq l-identità.
Crypto Officer iwettaq il-kompiti kollha ta 'konfigurazzjoni relatati mal-modalità FIPS u joħroġ id-dikjarazzjonijiet u l-kmandi kollha għal Junos OS fil-modalità FIPS. Il-konfigurazzjonijiet tal-utent Crypto Officer u FIPS għandhom isegwu l-linji gwida għal Junos OS fil-modalità FIPS.
Rwol u Responsabbiltajiet ta' Uffiċjal Crypto
L-Uffiċjal Crypto huwa l-persuna responsabbli għall-attivazzjoni, il-konfigurazzjoni, il-monitoraġġ u ż-żamma tal-OS Junos fil-modalità FIPS fuq apparat. L-Uffiċjal Crypto jinstalla b'mod sigur Junos OS fuq l-apparat, jippermetti l-modalità FIPS, jistabbilixxi ċwievet u passwords għal utenti oħra u moduli tas-softwer, u jinizjalizza l-apparat qabel il-konnessjoni tan-netwerk.
L-AĦJAR PRATTIKA: Nirrakkomandaw li l-Uffiċjal Crypto jamministra s-sistema b'mod sikur billi jżomm il-passwords siguri u jiċċekkja l-awditjar files.
Il-permessi li jiddistingwu l-Uffiċjal Crypto minn utenti oħra tal-FIPS huma sigrieti, sigurtà, manutenzjoni u kontroll. Għall-konformità tal-FIPS, assenja l-Uffiċjal Crypto għal klassi tal-login li fiha dawn il-permessi kollha. Utent bil-permess ta' manutenzjoni ta' Junos OS jista' jaqra files li jkun fihom parametri kritiċi tas-sigurtà (CSPs).
NOTA: Junos OS fil-modalità FIPS ma jappoġġjax ir-rwol ta 'manutenzjoni FIPS 140-2, li huwa differenti mill-permess ta' manutenzjoni Junos OS.
Fost il-kompiti relatati ma' Junos OS fil-modalità FIPS, l-Uffiċjal Crypto huwa mistenni li:

  • Issettja l-password inizjali tal-għeruq. It-tul tal-password għandu jkun mill-inqas 10 karattri.
  • Irrisettja l-passwords tal-utent b'algoritmi approvati mill-FIPS.
  • Eżamina log u verifika files għal avvenimenti ta 'interess.
  • Ħassar iġġenerat mill-utent files, ċwievet, u data billi żeroizing l-apparat.

Rwol u Responsabbiltajiet tal-Utent FIPS
L-utenti kollha tal-FIPS, inkluż l-Uffiċjal Crypto, jistgħu view il-konfigurazzjoni. L-utent assenjat bħala l-Uffiċjal Crypto biss jista’ jimmodifika l-konfigurazzjoni.
Il-permessi li jiddistingwu l-Uffiċjali Crypto minn utenti oħra tal-FIPS huma sigrieti, sigurtà, manutenzjoni u kontroll. Għall-konformità tal-FIPS, assenja l-utent FIPS għal klassi li ma fiha ebda wieħed minn dawn il-permessi.
Utent FIPS jista ' view output tal-istatus iżda ma jistax jerġa 'jibda jew iżeroize l-apparat.
X'inhu Mistenni mill-Utenti Kollha tal-FIPS
L-utenti kollha tal-FIPS, inkluż l-Uffiċjal Crypto, għandhom josservaw il-linji gwida tas-sigurtà f'kull ħin.
L-utenti kollha tal-FIPS għandhom:

  • Żomm il-passwords kollha kunfidenzjali.
  • Aħżen tagħmir u dokumentazzjoni f'żona sigura.
  • Użu apparati f'żoni sikuri.
  • Iċċekkja l-verifika files perjodikament.
  • Konformi mar-regoli tas-sigurtà l-oħra kollha tal-FIPS 140-2.
  • Segwi dawn il-linji gwida:
    • L-utenti huma fdati.
    • L-utenti jirrispettaw il-linji gwida tas-sigurtà kollha.
    • L-utenti ma jikkompromettux is-sigurtà apposta
    • L-utenti jġibu ruħhom b'mod responsabbli f'kull ħin.

DOKUMENTAZZJONI RELATATA
Apparat ta' Juniper Networks li jħaddem is-sistema operattiva Junos ta' Juniper Networks (Junos OS) fil-modalità FIPS jifforma tip speċjali ta' ambjent operattiv ta' ħardwer u softwer li huwa differenti mill-ambjent ta' apparat fil-modalità mhux FIPS:

Ambjent tal-Hardware għal Junos OS fil-Modalità FIPS
Junos OS fil-modalità FIPS jistabbilixxi limitu kriptografiku fl-apparat li l-ebda parametri ta’ sigurtà kritiċi (CSPs) ma jistgħu jaqsmu bl-użu ta’ test sempliċi. Kull komponent tal-ħardwer tal-apparat li jeħtieġ limitu kriptografiku għall-konformità FIPS 140-2 huwa modulu kriptografiku separat. Hemm żewġ tipi ta 'hardware b'konfini kriptografiċi f'Junos OS fil-modalità FIPS: wieħed għal kull Routing Engine u wieħed għal chassis kollu li jinkludi karta LC MPC7E-10G. Kull komponent jifforma modulu kriptografiku separat. Il-komunikazzjonijiet li jinvolvu CSPs bejn dawn l-ambjenti sikuri għandhom isiru bl-użu tal-kriptaġġ.
Il-metodi kriptografiċi mhumiex sostituti għas-sigurtà fiżika. Il-ħardwer għandu jkun jinsab f'ambjent fiżiku sigur. Utenti ta' kull tip m'għandhomx jiżvelaw ċwievet jew passwords, jew jippermettu li r-rekords jew noti bil-miktub jidhru minn persunal mhux awtorizzat.
Ambjent tas-Software għal Junos OS fil-Modalità FIPS
Apparat tan-Netwerks Juniper li jħaddem Junos OS fil-modalità FIPS jifforma tip speċjali ta’ ambjent operattiv mhux modifikabbli. Biex jinkiseb dan l-ambjent fuq l-apparat, is-sistema tipprevjeni l-eżekuzzjoni ta 'kwalunkwe binarja file li ma kienx parti mill-OS ċertifikata Junos fid-distribuzzjoni tal-modalità FIPS. Meta apparat ikun fil-modalità FIPS, jista' jaħdem biss Junos OS.
L-ambjent tas-software Junos OS fil-modalità FIPS huwa stabbilit wara li l-Uffiċjal Crypto jippermetti b'suċċess il-mod FIPS fuq apparat. L-immaġni tal-OS Junos li tinkludi l-mod FIPS hija disponibbli fuq in-Netwerks Juniper websit u jistgħu jiġu installati fuq apparat li jiffunzjona.
Għall-konformità FIPS 140-2, nirrakkomandaw li tħassar kollha maħluqa mill-utent files u data billi żeroizing l-apparat qabel ma tippermetti modalità FIPS.
It-tħaddim tat-tagħmir tiegħek fil-Livell 1 FIPS jeħtieġ l-użu ta 'tamptikketti evidenti biex jissiġillaw il-Magni tar-Rotot fix-chassis.
L-attivazzjoni tal-modalità FIPS tiddiżattiva ħafna mill-protokolli u s-servizzi tas-soltu tal-OS Junos. B'mod partikolari, ma tistax tikkonfigura s-servizzi li ġejjin f'Junos OS fil-modalità FIPS:

  • subgħajh
  • ftp
  • rlogin
  • telnet
  • tftp
  • xnm-test ċar

Tentattivi biex jiġu kkonfigurati dawn is-servizzi, jew konfigurazzjonijiet ta' tagħbija b'dawn is-servizzi kkonfigurati, jirriżultaw fi żball ta' sintassi ta' konfigurazzjoni.
Tista' tuża SSH biss bħala servizz ta' aċċess mill-bogħod.
Il-passwords kollha stabbiliti għall-utenti wara li jaġġornaw għal Junos OS fil-modalità FIPS għandhom jikkonformaw ma' Junos OS fl-ispeċifikazzjonijiet tal-modalità FIPS. Il-passwords għandhom ikunu tul bejn 10 u 20 karattru u jeħtieġu l-użu ta’ mill-inqas tlieta mill-ħames settijiet ta’ karattri definiti (ittri kbar u żgħar, ċifri, marki tal-punteġġjatura, u karattri tat-tastiera, bħal % u &, mhux inklużi fl-oħra erba’ kategoriji).
Tentattivi biex jiġu kkonfigurati passwords li ma jikkonformawx ma' dawn ir-regoli jirriżultaw fi żball. Il-passwords u ċ-ċwievet kollha użati għall-awtentikazzjoni tal-pari għandhom ikunu tul mill-inqas 10 karattri, u f'xi każijiet it-tul irid jaqbel mad-daqs tad-diġest.
NOTA: Twaħħalx l-apparat ma 'netwerk sakemm l-Uffiċjal Crypto itemm il-konfigurazzjoni mill-konnessjoni tal-console lokali.
Għal konformità stretta, teżaminax informazzjoni dwar il-qalba u l-crash dump fuq il-console lokali f'Junos OS fil-modalità FIPS minħabba li xi CSPs jistgħu jintwerew f'test sempliċi.
Parametri Kritiċi tas-Sigurtà
Il-parametri kritiċi tas-sigurtà (CSPs) huma informazzjoni relatata mas-sigurtà bħal ċwievet kriptografiċi u passwords li jistgħu jikkompromettu s-sigurtà tal-modulu kriptografiku jew is-sigurtà tal-informazzjoni protetta mill-modulu jekk jiġu żvelati jew modifikati.
Iż-żerolizzazzjoni tas-sistema tħassar it-traċċi kollha tas-CSPs bi tħejjija għat-tħaddim tal-apparat jew il-Magna tar-Rotot bħala modulu kriptografiku.
Tabella 3 f'paġna 19 telenka CSPs fuq apparati li jħaddmu Junos OS.
Tabella 3: Parametri Kritiċi tas-Sigurtà

CSP Deskrizzjoni Zeroize

Użu
Ċavetta host privata SSHv2 Ċavetta ECDSA / RSA użata biex tidentifika l-host, ġġenerata l-ewwel darba li SSH jiġi kkonfigurat. Zeroize kmand. Użat biex jidentifika l-host.
Ċwievet tas-sessjoni SSHv2 Ċavetta tas-sessjoni użata ma 'SSHv2 u bħala ċavetta privata Diffie-Hellman. Encryption: AES-128, AES-192, AES-256. MACs: HMAC-SHA-1, HMAC- SHA-2-256, HMAC-SHA2-512. Skambju ewlieni: dh-group14-sha1, ECDH-sha2-nistp-256, ECDH-sha2-nistp-384, u ECDH-sha2-nistp-521. Iċ-ċiklu tal-enerġija u ttemm is-sessjoni. Ċavetta simmetrika użata biex tikkodifika d-dejta bejn il-host u l-klijent.
Ċavetta tal-awtentikazzjoni tal-utent Hash tal-password tal-utent: SHA256, SHA512. Zeroize kmand. Użat biex jawtentika utent għall-modulu kriptografiku.
Ċavetta tal-awtentikazzjoni tal-Uffiċjal Crypto Hash tal-password tal-Uffiċjal Crypto: SHA256, SHA512. Zeroize kmand. Użat biex jawtentika l-Uffiċjal Crypto mal-modulu kriptografiku.
Żerriegħa HMAC DRBG Żerriegħa għal ġeneratur tal-bit randon deterministiku (DRBG). Iż-żerriegħa mhix maħżuna mill-modulu kriptografiku. Użat għaż-żrigħ DRBG.
Valur HMAC DRBG V Il-valur (V) tat-tul tal-blokk tal-ħruġ (outlen) f'bits, li jiġi aġġornat kull darba li jiġu prodotti outlen bits ieħor ta' output. Ċiklu tal-enerġija. Valur kritiku tal-istat intern tad-DRBG.
CSP Deskrizzjoni Zeroize

Użu
Valur ewlieni HMAC DRBG Il-valur kurrenti taċ-ċavetta outlen-bit, li tiġi aġġornata mill-inqas darba kull darba li l-mekkaniżmu DRBG jiġġenera bits pseudorandom. Ċiklu tal-enerġija. Valur kritiku tal-istat intern tad-DRBG.
Entropija NDRNG Użat bħala string input entropy għall-HMAC DRBG. Ċiklu tal-enerġija. Valur kritiku tal-istat intern tad-DRBG.

F'Junos OS fil-modalità FIPS, is-CSPs kollha jridu jidħlu u jħallu l-modulu kriptografiku f'forma kriptata.
Kwalunkwe CSP encrypted b'algoritmu mhux approvat huwa kkunsidrat bħala test sempliċi mill-FIPS.
L-AĦJAR PRATTIKA: Għall-konformità tal-FIPS, ikkonfigura l-apparat fuq konnessjonijiet SSH minħabba li huma konnessjonijiet kriptati.
Il-passwords lokali huma hashed bl-algoritmu SHA256 jew SHA512. L-irkupru tal-password mhuwiex possibbli f'Junos OS fil-modalità FIPS. Junos OS fil-modalità FIPS ma jistax jibda fil-modalità ta 'utent wieħed mingħajr il-password ta' l-għeruq korretta.
Nifhmu l-Ispeċifikazzjonijiet tal-Password u l-Linji Gwida għal Junos OS fil-Modalità FIPS
Il-passwords kollha stabbiliti għall-utenti mill-Uffiċjal Crypto għandhom jikkonformaw mar-rekwiżiti tal-OS Junos li ġejjin fil-modalità FIPS. Tentattivi biex jiġu kkonfigurati passwords li ma jikkonformawx mal-ispeċifikazzjonijiet li ġejjin jirriżultaw fi żball.

  • Tul. Il-passwords għandu jkun fihom bejn 10 u 20 karattru.
  • Rekwiżiti ta' sett ta' karattri. Il-passwords għandu jkun fihom mill-inqas tlieta mill-ħames settijiet ta’ karattri definiti li ġejjin:
  • Ittri kbar
  • Ittri żgħar
  • Ċifri
  • Marki ta' punteġġjatura
  • Karattri tat-tastiera mhux inklużi fl-erba' settijiet l-oħra—bħas-sinjal tal-perċentwali (%) u l- ampersand (&)
  • Rekwiżiti ta' awtentikazzjoni. Il-passwords u ċ-ċwievet kollha użati għall-awtentikazzjoni tal-pari għandu jkun fihom mill-inqas 10 karattri, u f'xi każijiet in-numru ta 'karattri għandu jaqbel mad-daqs tad-diġest.
  • Encryption tal-password. Biex tbiddel il-metodu ta' kriptaġġ default (SHA512) inkludi d-dikjarazzjoni tal-format fil-livell tal-ġerarkija [editja l-password tal-login tas-sistema].

Linji gwida għal passwords b'saħħithom. Passwords b'saħħithom u li jistgħu jerġgħu jintużaw jistgħu jkunu bbażati fuq ittri minn frażi jew kelma favorita u mbagħad magħquda ma' kliem ieħor mhux relatat, flimkien ma' ċifri u punteġġjatura miżjuda. B'mod ġenerali, password b'saħħitha hija:

  • Faċli biex tiftakar sabiex l-utenti ma jitħajrux jiktbu.
  • Magħmul minn karattri alfanumeriċi mħallta u punteġġjatura. Għall-konformità FIPS jinkludu mill-inqas bidla waħda ta 'każ, ċifra waħda jew aktar, u marka waħda jew aktar ta' punteġġjatura.
  • Mibdula perjodikament.
  • Mhux żvelat lil ħadd.
    Karatteristiċi ta 'passwords dgħajfa. Tużax il-passwords dgħajfa li ġejjin:
  • Kliem li jista 'jinstab jew jeżisti bħala forma permuta f'sistema files bħal /etc/passwd.
  • L-isem tal-host tas-sistema (dejjem l-ewwel raden).
  • Kwalunkwe kelma jew frażi li tidher f'dizzjunarju jew sors ieħor magħruf sew, inklużi dizzjunarji u teżawri f'lingwi oħra minbarra l-Ingliż; xogħlijiet minn kittieba klassiċi jew popolari; jew kliem u frażijiet komuni minn sports, sayings, films jew programmi televiżivi.
  • Permutazzjonijiet fuq xi wieħed minn hawn fuq—per eżempjuample, kelma dizzjunarju b'ittri mibdula b'ċifri ( r00t) jew b'ċifri miżjuda fl-aħħar.
  • Kwalunkwe password ġġenerata mill-magna. L-algoritmi jnaqqsu l-ispazju ta' tfittxija ta' programmi ta' guessing tal-passwords u għalhekk m'għandhomx jintużaw.

Tniżżil ta' Pakketti tas-Software minn Juniper Networks
Tista' tniżżel il-pakkett tas-software Junos OS għat-tagħmir tiegħek min-Netwerks Juniper websit.
Qabel ma tibda tniżżel is-softwer, kun żgur li għandek Juniper Networks Web kont u kuntratt ta’ appoġġ validu. Biex tikseb kont, imla l-formola ta 'reġistrazzjoni fin-Netwerks Juniper websit: https://userregistration.juniper.net/.
Biex tniżżel pakketti tas-softwer minn Juniper Networks:

  1. Bl-użu ta' a Web browser, segwi l-links għat-tniżżil URL fuq in-Netwerks Juniper webpaġna. https://support.juniper.net/support/downloads/
  2. Idħol fis-sistema ta' awtentikazzjoni ta' Juniper Networks billi tuża l-isem tal-utent (ġeneralment l-indirizz tal-posta elettronika tiegħek) u l-password forniti mir-rappreżentanti ta' Juniper Networks.
  3. Niżżel is-softwer. Ara Tniżżil ta 'Softwer.

DOKUMENTAZZJONI RELATATA
Gwida għall-Installazzjoni u l-Aġġornament
Installazzjoni ta' Software fuq Apparat b'Magna ta' Rotot Uniku
Tista' tuża din il-proċedura biex taġġorna l-OS Junos fuq apparat b'Magna tar-Rotot waħda.
Biex tinstalla titjib tas-softwer fuq apparat b'Magna tar-Rotot waħda:

  1. Niżżel il-pakkett tas-softwer kif deskritt fi Tniżżil ta' Pakketti tas-Software minn Juniper Networks.
  2. Jekk ma tkunx diġà għamilt dan, qabbad mal-port tal-console fuq it-tagħmir mill-apparat ta 'ġestjoni tiegħek, u illoggja mal-Junos OS CLI.
  3. (Mhux obbligatorju) Agħmel backup tal-konfigurazzjoni tas-softwer attwali għat-tieni għażla tal-ħażna. Ara l- Gwida għall-Installazzjoni u l-Aġġornament tas-Softwer għal struzzjonijiet dwar kif twettaq dan il-kompitu.
  4. (Mhux obbligatorju) Ikkopja l-pakkett tas-softwer fuq l-apparat. Nirrakkomandaw li tuża FTP biex tikkopja l- file għad-direttorju /var/tmp/.
    Dan il-pass huwa fakultattiv minħabba li Junos OS jista 'jiġi aġġornat ukoll meta l-immaġni tas-softwer tinħażen f'post remot. Dawn l-istruzzjonijiet jiddeskrivu l-proċess ta’ aġġornament tas-softwer għaż-żewġ xenarji.
  5. Installa l-pakkett il-ġdid fuq l-apparat: Għal REMX2K-X8: user@host> talba vmhost software add
    Għal RE1800: user@host> titlob is-software tas-sistema żid
    Ibdel il-pakkett b'waħda mill-mogħdijiet li ġejjin:
    • Għal pakkett tas-softwer f'direttorju lokali fuq l-apparat, uża /var/tmp/package.tgz.
    • Għal pakkett ta' softwer fuq server remot, uża waħda mill-mogħdijiet li ġejjin, billi tissostitwixxi pakkett ta' għażla varjabbli bl-isem tal-pakkett tas-softwer.
    ftp://hostname/pathname/package.tgz
    • ftp://hostname/pathname/package.tgz
  6. Reboot l-apparat biex tagħbija l-installazzjoni:
    Għal REMX2K-X8:
    user@host> talba vmhost reboot
    Għal RE1800:
    user@host> titlob li s-sistema terġa' tibda
  7. Wara li jkun tlesta r-reboot, idħol u uża l-kmand tal-verżjoni tal-wirja biex tivverifika li l-verżjoni l-ġdida tas-softwer tkun installata b'suċċess.
    user@host> uri l-verżjoni
    Mudell: mx960
    Junos: 20.3X75-D30.1
    JUNOS OS Kernel 64-bit [20210722.b0da34e0_builder_stable_11-204ab] JUNOS OS libs [20210722.b0da34e0_builder_stable_11-204ab] JUNOS OS runtime [20210722_0_34.htm. informazzjoni dwar iż-żona [0.b11da204e20210722_builder_stable_0-34ab] munzell tan-netwerk u utilitajiet JUNOS [0_builder_junos_11_x204_d20210812.200100] JUNOS libs [203_builder_junos_75_x30_d20210812.200100] JUNOS OS libs compat203 [75_OSstable] -bit kompatibilità [30.b32da20210722e0_builder_stable_34-0ab] JUNOS libs compat11 [204_builder_junos_32_x20210722_d0] JUNOS runtime [34. fluss mx [0_builder_junos_11_x204_d32] JUNOS py extensions20210812.200100 [203_builder_junos_75_x30_d20210812.200100] JUNOS py extensions [203_builder_junos_75_x30_d20210812.200100] py base203 [75_builder_junos_30_x2_d20210812.200100] JUNOS py base [203_builder_junos_75_x30_d20210812.200100] JUNOS OS crypto [203_builder_junos_75_x30_d2] JUNOS OS crypto [20210812.200100_d203] files [20210722.b0da34e0_builder_stable_11-204ab] JUNOS na telemetrija [20.3X75-D30.1] JUNOS Security Intelligence [20210812.200100_builder_junos_203_x75_d30 lib] JUNOS [32] 20210812.200100_builder_junos_203_x75_d30] JUNOS mx runtime [20210812.200100_builder_junos_203_x75_d30] JUNOS RPD Telemetry Applikazzjoni [20.3X75-D30.1 .20210812.200100] Redis [203_builder_junos_75_x30_d20210812.200100] Utilità tas-sonda JUNOS [203_builder_junos_75_x30_d20210812.200100] Appoġġ tal-pjattaforma komuni JUNOS [203_75_30_20.3_75_30.1_20210812.200100F} JUNOS Openconfig [203X75-D30] JUNOS moduli tan-netwerk mtx [20210812.200100_builder_junos_203_x75_d30] JUNOS moduli [20210812.200100_builder_junos_203_x75_NOS_module] [30_builder_junos_20210812.200100_x203_d75] JUNOS mx libs [30_builder_junos_20210812.200100_x203_d75] JUNOS SQL Sync Daemon [30_20210812.200100. NOS mtx Data Plane Crypto Support [203_builder_junos_75_x30_d20210812.200100] JUNOS daemons [203_builder_junos_75_x30_d20210812.200100] JUNOS mx203_junos75_30 20210812.200100_d203] JUNOS appidd-mx daemon ta' identifikazzjoni tal-applikazzjoni [75_builder_junos_30_xXNUMX_dXNUMX] Servizzi JUNOS URL Pakkett tal-filtru [20210812.200100_builder_junos_203_x75_d30] JUNOS Services TLB Service PIC package [20210812.200100_builder_junos_203_x75_d30] JUNOS Services Telemetry [20210812.200100_builder_junos_203_x75_d30] 20210812.200100] JUNOS Services TCP-LOG [203_builder_junos_75_x30_d20210812.200100] JUNOS Services SSL [203_builder_junos_75_x30_d20210812.200100] JUNOS Services SOFTWIRE203_75_30 d20210812.200100] Servizzi JUNOS Firewall Stateful [203_builder_junos_75_x30_d20210812.200100] JUNOS Services RTCOM [203_builder_junos_75_x30_d20210812.200100] JUNOS Services RPM [203_75_builder_junos_d30] JUNOS Services RPM [20210812.200100_203_builder_junos_d75] pakkett [30_builder_junos_20210812.200100_x203_d75] JUNOS Services NAT [30_builder_junos_XNUMX_xXNUMX_dXNUMX] JUNOS Services Mobile Subscriber Service Pakkett tal-kontenitur
    [20210812.200100_builder_junos_203_x75_d30] JUNOS Services MobileNext Software package [20210812.200100_builder_junos_203_x75_d30] JUNOS Services Logging Report Framework package [20210812.200100_203 ] JUNOS Services LL-PDF Pakkett tal-Kontenitur [75_builder_junos_30_x20210812.200100_d203] JUNOS Services Pakkett tal-Kontenitur Jflow [75_builder_junos_30_x20210812.200100_d203] Pakkett ta' Spezzjoni JUNOS [Pakkett ta' Spezzjoni JUNOS 75_builder_junos_30_x20210812.200100_d203] JUNOS Services IPSec [75_builder_junos_30_x20210812.200100_d203] JUNOS Services IDS [75_builder_junos_d30] JUNOS Services IDS [20210812.200100_203_NOS [75_builder_junos_30_x20210812.200100_d203] JUNOS Services HTTP Content Management package [75_builder_junos_30_x20210812.200100_d203] JUNOS Services Crypto [75_builder_junos_30_x20210812.200100_d203] Pakkett tal-Kontenitur tal-Kontenut tal-Portal u l-Kontenut
    [20210812.200100_builder_junos_203_x75_d30] Servizzi JUNOS COS [20210812.200100_builder_junos_203_x75_d30] Servizzi AppId JUNOS [20210812.200100_203_Servizzi Lejnos_75en vel Gateways [30_builder_junos_20210812.200100_x203_d75] JUNOS Services AACL Container package [30_builder_junos_20210812.200100_x203_d75] JUNOS SDN Software Suite [30_20210812.200100_builder_junos_203_x75_d30] JUNOS SDN Software Suite [20210812.200100 ] Toolkit ta' Estensjoni JUNOS [203_builder_junos_75_x30_d9 ] JUNOS Packet Forwarding Engine Support (wrlinux20210812.200100) [203_builder_junos_75_x30_d20210812.200100] JUNOS Packet Forwarding Engine Support (ulc) [203_builder_junos_75_x30_d3] JUNOS Packet Forwarding Engine Support (ulc) [20.3_builder_junos_75_x30.1_d2000] JUNOS Supporting Engine X20210812.200100-D203] JUNOS Packet Forwarding Engine Support (X75) [ 30_builder_junos_20.3_x75_d30.1] Appoġġ għall-Magna ta' Tressiq ta' Pakketti ta' JUNOS (M/T Komuni)
    [20210812.200100_builder_junos_203_x75_d30] JUNOS Packet Forwarding Engine Support (wara)

Nifhmu Zeroization biex Ċara d-Dejta tas-Sistema għall-Modalità FIPS
F’DIN IT-TAQSIMA
Għaliex Zeroize? | 26
Meta tqiegħed iż-żero? | 26
Zeroization tħassar kompletament l-informazzjoni kollha tal-konfigurazzjoni fuq il-Magni tar-Rotot, inklużi l-passwords, is-sigrieti, u ċ-ċwievet privati ​​kollha għal SSH, encryption lokali, awtentikazzjoni lokali, u IPsec.
Crypto Officer jibda l-proċess ta 'zeroization billi jdaħħal it-talba ta' kmand operattiv vmhost zeroize no-forwarding għal REMX2K-X8 u titlob sistema ta 'zeroize għal RE1800.
Shearwater 17001 Trasmettitur tal-Pressjoni tal-Integrazzjoni tal-Arja - ikona 3 ATTENZJONI: Wettaq iż-żero tas-sistema b'attenzjoni. Wara li jitlesta l-proċess ta' żeroizzazzjoni, ma titħalla l-ebda data fuq il-Magna tar-Rotot. L-apparat jiġi rritornat għall-istat default tal-fabbrika, mingħajr ebda utent konfigurat jew konfigurazzjoni files.
Iż-żeroizzazzjoni tista' tieħu ħafna ħin. Għalkemm il-konfigurazzjonijiet kollha jitneħħew fi ftit sekondi, il-proċess ta 'zeroization ikompli biex jissostitwixxi l-midja kollha, li tista' tieħu ħin konsiderevoli skond id-daqs tal-midja.
Għaliex Zeroize?
It-tagħmir tiegħek mhuwiex ikkunsidrat bħala modulu kriptografiku FIPS validu sakemm il-parametri kritiċi tas-sigurtà (CSPs) kollha jkunu ġew imdaħħla—jew imdaħħla mill-ġdid—waqt li l-apparat ikun fil-modalità FIPS.
Għall-konformità FIPS 140-2, trid iżero s-sistema biex tneħħi informazzjoni sensittiva qabel ma tiddiżattiva l-modalità FIPS fuq l-apparat.
Meta tqiegħed iż-żero?
Bħala Uffiċjal Crypto, wettaq żeroizzazzjoni fis-sitwazzjonijiet li ġejjin:

  • Qabel ma tattiva l-modalità ta' tħaddim FIPS: Biex tipprepara t-tagħmir tiegħek għat-tħaddim bħala modulu kriptografiku FIPS, wettaq żeroizzazzjoni qabel ma tattiva l-modalità FIPS.
  • Qabel ma tiddiżattiva l-modalità ta' tħaddim FIPS: Biex tibda terġa' tuża t-tagħmir tiegħek għal tħaddim mhux FIPS, wettaq żeroizzazzjoni qabel ma tiddiżattiva l-modalità FIPS fuq l-apparat.
    NOTA: Juniper Networks ma jappoġġjax l-installazzjoni ta' softwer mhux tal-FIPS f'ambjent FIPS, iżda dan jista' jkun meħtieġ f'ċerti ambjenti tat-test. Kun żgur li żeroize s-sistema l-ewwel.

Zeroizing-Sistema
Biex tpoġġi żero l-apparat tiegħek, segwi l-proċedura hawn taħt:

  1. Idħol fl-apparat bħala Uffiċjal Crypto u minn CLI, daħħal il-kmand li ġej.
    Għal REMX2K-X8:
    crypto-officer@host> talba vmhost zeroize no-forwarding VMHost Zeroization : Ħassar id-dejta kollha, inkluż il-konfigurazzjoni u l-log files ? [iva, le] (le) iva
    re0:
    Għal REMX2K-X8:
    crypto-officer@host> sistema ta' talba zeroize
    Zeroization tas-Sistema : Ħassar id-dejta kollha, inklużi l-konfigurazzjoni u l-log files ?
    [iva, le] (le) iva
    re0:
  2. Biex tibda l-proċess ta' żeroizzazzjoni, ikteb iva fil-pront:
    Ħassar id-dejta kollha, inklużi l-konfigurazzjoni u l-log files? [iva, le] (le) iva Ħassar id-dejta kollha, inklużi l-konfigurazzjoni u l-log files? [iva, le] (le) iva
    re0: ———————–twissija: żeroizing
    re0 … …
    L-operazzjoni kollha tista 'tieħu żmien konsiderevoli skont id-daqs tal-midja, iżda l-parametri kritiċi tas-sigurtà (CSPs) kollha jitneħħew fi ftit sekondi. L-ambjent fiżiku għandu jibqa' sigur sakemm jitlesta l-proċess ta' żeroizzazzjoni.

Attivazzjoni tal-Modalità FIPS
Meta Junos OS jiġi installat fuq apparat u l-apparat ikun mixgħul, ikun lest biex jiġi kkonfigurat.
Inizjalment, tidħol bħala l-utent root mingħajr password. Meta tidħol bħala root, il-konnessjoni SSH tiegħek hija attivata awtomatikament.
Bħala Uffiċjal Crypto, trid tistabbilixxi password root li tikkonforma mar-rekwiżiti tal-password FIPS fi “Fhim tal-Ispeċifikazzjonijiet tal-Password u Linji Gwida għal Junos OS fil-Modalità FIPS” f’paġna 20. Meta tattiva l-mod FIPS f’Junos OS fuq it-tagħmir, ma tistax tikkonfigura passwords sakemm ma jilħqux dan l-istandard.
Il-passwords lokali huma encrypted bl-algoritmu hash sikur SHA256 jew SHA512. L-irkupru tal-password mhuwiex possibbli f'Junos OS fil-modalità FIPS. Junos OS fil-modalità FIPS ma jistax jibda fil-modalità ta 'utent wieħed mingħajr il-password ta' l-għeruq korretta.
Biex tattiva l-modalità FIPS f'Junos OS fuq it-tagħmir:

  1. Żero l-apparat biex tħassar is-CSPs kollha qabel ma tidħol fil-modalità FIPS. Irreferi għal “Fhim ta’ Zeroization biex Tiċċara d-Dejta tas-Sistema għall-Modalità FIPS” f’paġna 25 sezzjoni għad-dettalji.
  2. Wara li l-apparat joħroġ fil-'Modalità Amnesiac', illoggja billi tuża l-utent root u l-password “” (vojta).
    FreeBSD/amd64 (Amnesiac) (ttyu0) login: għerq
    — JUNOS 20.3X75-D30.1 Kernel 64-bit JNPR-11.0-20190701.269d466_buil root@:~ # cli root>
  3. Ikkonfigura l-awtentikazzjoni tal-għeruq b'password ta' mill-inqas 10 karattri jew aktar.
    root> edit Dħul fil-mod ta' konfigurazzjoni [edit] root# issettja sistema root-authentication plain-test-password
    Password ġdida:
    Erġa' ikteb il-password ġdida: [editja] root# commit commit komplut
  4. Tagħbija l-konfigurazzjoni fuq it-tagħmir u ikkommetti konfigurazzjoni ġdida. Ikkonfigura l-kripto-uffiċjal u lloginja bil-kredenzjali tal-kripto-uffiċjal.
  5. Installa l-pakkett tal-fips-mode meħtieġ għal Routing Engine KATS.
    root@hostname> titlob is-software tas-sistema żid optional://fips-mode.tgz
    Fips-mode ivverifikat iffirmat mill-metodu PackageDevelopmentEc_2017 ECDSA256+SHA256
  6. Għall-apparati MX Series,
    • Ikkonfigura l-fips tal-konfini tax-chassis billi tissettja l-livell 1 tax-chassis tas-sistema tal-fips u tikkommetti.
    • Ikkonfigura l-fips tal-konfini RE billi tissettja s-sistemi tal-fips livell 1 u tikkommetti.
    L-apparat jista' juri l-Encrypted-password trid tiġi kkonfigurata mill-ġdid biex tuża twissija hash konformi mal-FIPS biex tħassar is-CSPs anzjani fil-konfigurazzjoni mgħobbija.
  7. Wara li tħassar u tikkonfigura mill-ġdid is-CSPs, l-impenn jgħaddi u l-apparat jeħtieġ li jerġa 'jibda biex jidħol fil-modalità FIPS. [editja] crypto-officer@hostname# jikkommetti
    Tiġġenera ċavetta RSA /etc/ssh/fips_ssh_host_key
    Tiġġenera ċ-ċavetta RSA2 /etc/ssh/fips_ssh_host_rsa_key
    Tiġġenera ċ-ċavetta ECDSA /etc/ssh/fips_ssh_host_ecdsa_key
    [editja] sistema
    reboot huwa meħtieġ għat-tranżizzjoni għal FIPS livell 1 kommit komplut [editja] crypto-officer@hostname# run talba vmhost reboot
  8. Wara li terġa 'tibda l-apparat, l-awto-testijiet tal-FIPS se jibdew u l-apparat jidħol fil-modalità FIPS. crypto-officer@hostname: fips>

DOKUMENTAZZJONI RELATATA
Nifhmu l-Ispeċifikazzjonijiet tal-Password u l-Linji Gwida għal Junos OS fil-Modalità FIPS | 20
Konfigurazzjoni ta 'Crypto Officer u Identifikazzjoni u Aċċess ta' Utenti FIPS
F’DIN IT-TAQSIMA
Konfigurazzjoni tal-Aċċess għall-Uffiċjal Kripto | 30
Konfigurazzjoni tal-Aċċess għall-Logg tal-Utent FIPS | 32
Crypto Officer jippermetti l-modalità FIPS fuq it-tagħmir tiegħek u jwettaq il-kompiti kollha ta 'konfigurazzjoni għal Junos OS fil-modalità FIPS u joħroġ l-OS kollha Junos fil-modalità FIPS dikjarazzjonijiet u kmandi. Il-konfigurazzjonijiet tal-utent Crypto Officer u FIPS għandhom isegwu l-linji gwida tal-Junos OS fil-modalità FIPS.
Konfigurazzjoni tal-Aċċess għall-Uffiċjal Crypto
Junos OS fil-modalità FIPS joffri granularità aħjar tal-permessi tal-utent minn dawk obbligati mill-FIPS 140-2.
Għall-konformità FIPS 140-2, kull utent FIPS bis-sigriet, is-sigurtà, il-manutenzjoni u l-permessi tal-kontroll stabbiliti huwa Uffiċjal Crypto. Fil-biċċa l-kbira tal-każijiet il-klassi tas-super-utent hija biżżejjed għall-Uffiċjal Crypto.
Biex tikkonfigura l-aċċess għall-login għal Uffiċjal Crypto:

  1. Idħol fit-tagħmir bil-password tal-għerq jekk ma tkunx diġà għamilt dan, u daħħal il-mod ta' konfigurazzjoni: root@hostname> edit Dħul fil-mod ta' konfigurazzjoni [editja] root@name#
  2. Semmi l-utent kripto-uffiċjal u jassenja lill-Crypto Officer ID tal-utent (eżample, 6400, li għandu jkun numru uniku assoċjat mal-kont tal-login fil-medda ta' 100 sa 64000) u klassi (per example, super-utent). Meta tassenja l-klassi, tassenja l-permessi—eżample, sigriet, sigurtà, manutenzjoni, u kontroll.
    Għal lista ta’ permessi, ara Nifhmu l-Livelli ta’ Privileġġ ta’ Aċċess għall-OS Junos.
    [editja] root@hostname# issettja login tas-sistema utent username uid valur klassi isem-klassi
    Per example:
    [editja] root@hostname# issettja l-login tas-sistema utent kripto-uffiċjal uid 6400 klassi super-utent
  3. Wara l-linji gwida fi “Fhim tal-Ispeċifikazzjonijiet tal-Password u l-Linji Gwida għal Junos OS fil-Modalità FIPS” f’paġna 20, assenja lill-Uffiċjal Crypto password b’test sempliċi għall-awtentikazzjoni tal-login. Issettja l-password billi ttajpja password wara l-prompt Password ġdida u Erġa' ikteb password ġdida.
    [editja] root@hostname# issettja login tas-sistema utent username klassi isem klassi awtentikazzjoni (plain-testpassword |
    password kodifikata)
    Per example:
    [editja] root@hostname# issettja login tas-sistema utent kripto-uffiċjal klassi awtentikazzjoni super-utent sempliċi test-password
  4. B'għażla, uri l-konfigurazzjoni:
    [editja] root@hostname# teditja sistema
    [editja sistema] root@hostname# juru
    Idħol {
    utent kripto-uffiċjal {
    uid 6400;
    awtentikazzjoni {
    encrypted-password “ ”; ## SIGRIETA-DATA
    }
    super-utent tal-klassi;
    }
    }
  5. Jekk lestejt ikkonfigurat l-apparat, ikkommetti l-konfigurazzjoni u oħroġ:
    [editja] root@hostname# kommit kommit komplut
    root@hostname# ħruġ

Konfigurazzjoni tal-Aċċess għall-Logg tal-Utent FIPS
Utent tal-fips huwa definit bħala kwalunkwe utent tal-FIPS li m'għandux is-sigriet, is-sigurtà, il-manutenzjoni u l-permess tal-kontroll stabbiliti.
Bħala l-Uffiċjal Crypto inti twaqqaf utenti FIPS. L-utenti tal-FIPS ma jistgħux jingħataw permessi normalment riżervati għall-Uffiċjal Crypto—per eżempjuample, permess biex iżeroize s-sistema.
Biex tikkonfigura l-aċċess għall-login għal utent FIPS:

  1. Idħol fit-tagħmir bil-password tal-Crypto Officer tiegħek jekk ma tkunx diġà għamilt dan, u daħħal il-mod ta' konfigurazzjoni:
    crypto-officer@hostname:fips> editja
    Dħul fil-mod ta' konfigurazzjoni
    [editja] crypto-officer@hostname:fips#
  2. Agħti lill-utent, isem tal-utent, u jassenja lill-utent ID tal-utent (eżample, 6401, li għandu jkun numru uniku fil-medda minn 1 sa 64000) u klassi. Meta tassenja l-klassi, tassenja l-permessi—eżample, ċara, netwerk, resetview, u view-konfigurazzjoni.
    [editja] crypto-officer@hostname:fips# issettja login tas-sistema user username uid valur klassi isem-klassi Per example:
    [editja] crypto-officer@hostname:fips# issettja l-utent tal-login tas-sistema fips-user1 uid 6401 klassi read-only
  3. Wara l-linji gwida fi “Fhim tal-Ispeċifikazzjonijiet tal-Password u l-Linji Gwida għal Junos OS fi
    Modalità FIPS” f’paġna 20, assenja lill-utent FIPS password b’test sempliċi għall-awtentikazzjoni tal-login. Issettja l-password billi ttajpja password wara l-prompt Password ġdida u Erġa' ikteb password ġdida.
    [editja] crypto-officer@hostname:fips# issettja login tas-sistema isem tal-utent klassi isem tal-klassi awtentikazzjoni (password-test sempliċi | password-encrypted)
    Per example:
    [editja] crypto-officer@hostname:fips# issettja l-login tas-sistema utent fips-user1 klassi awtentikazzjoni ta' qari biss sempliċi-test-password
  4. B'għażla, uri l-konfigurazzjoni:
    [editja] crypto-officer@hostname:fips# editja sistema [editja sistema] crypto-officer@hostname:fips# juru
    Idħol {
    utent fips-utent1 {
    uid 6401;
    awtentikazzjoni {
    encrypted-password “ ”; ## SIGRIETA-DATA
    }
    klassi jinqara biss;
    }
    }
  5. Jekk lestejt ikkonfigurat l-apparat, ikkommetti l-konfigurazzjoni u oħroġ:
    [editja] crypto-officer@hostname:fips# kommit
    crypto-officer@hostname:fips# ħruġ

Konfigurazzjoni ta' SSH u Konnessjoni tal-Console

Konfigurazzjoni ta' SSH fuq il-Konfigurazzjoni Evalwata għall-FIPS
SSH permezz ta' interface ta' ġestjoni remota permess fil-konfigurazzjoni evalwata. Dan is-suġġett jiddeskrivi kif tikkonfigura SSH permezz ta' ġestjoni remota.
L-algoritmi li ġejjin li jeħtieġ li jiġu kkonfigurati biex jivvalidaw SSH għal FIPS.
Biex tikkonfigura SSH fuq id-DUT:

  1. Speċifika l-algoritmi permissibbli tal-host-key SSH għas-servizzi tas-sistema.
    [editja] user@host# issettja s-servizzi tas-sistema ssh hostkey-algorithm ssh-ecdsa
    user@host# issettja s-servizzi tas-sistema ssh hostkey-algorithm no-ssh-dss
    user@host# issettja s-servizzi tas-sistema ssh hostkey-algorithm ssh-rsa
  2. Speċifika l-iskambju taċ-ċwievet SSH għal ċwievet Diffie-Hellman għas-servizzi tas-sistema.
    [editja] user@host# issettja s-servizzi tas-sistema ssh key-exchange dh-group14-sha1
    user@host# issettja s-servizzi tas-sistema ssh key-exchange ecdh-sha2-nistp256
    user@host# issettja s-servizzi tas-sistema ssh key-exchange ecdh-sha2-nistp384
    user@host# issettja s-servizzi tas-sistema ssh key-exchange ecdh-sha2-nistp521
  3. Speċifika l-algoritmi kollha permissibbli tal-kodiċi tal-awtentikazzjoni tal-messaġġi għal SSHv2
    [editja] user@host# issettja s-servizzi tas-sistema ssh macs hmac-sha1
    user@host# issettja s-servizzi tas-sistema ssh macs hmac-sha2-256
    user@host# issettja s-servizzi tas-sistema ssh macs hmac-sha2-512
  4. Speċifika ċ-ċifraturi permessi għall-verżjoni tal-protokoll 2.
    [editja] user@host# issettja s-servizzi tas-sistema ssh ciphers aes128-cbc
    user@host# issettja s-servizzi tas-sistema ssh ciphers aes256-cbc
    user@host# issettja s-servizzi tas-sistema ssh ciphers aes128-ctr
    user@host# issettja s-servizzi tas-sistema ssh ciphers aes256-ctr
    user@host# issettja s-servizzi tas-sistema ssh ciphers aes192-cbc
    user@host# issettja s-servizzi tas-sistema ssh ciphers aes192-ctr
    Algoritmu SSH hostkey appoġġjat:
    ssh-ecdsa Ħalli l-ġenerazzjoni ta' ċavetta host ECDSA
    ssh-rsa Ħalli l-ġenerazzjoni ta' RSA host-key
    Algoritmu ta' skambju ta' ċavetta SSH appoġġjat:
    ecdh-sha2-nistp256 Il-KE Diffie-Hellman fuq nistp256 ma SHA2-256
    ecdh-sha2-nistp384 Il-KE Diffie-Hellman fuq nistp384 ma SHA2-384
    ecdh-sha2-nistp521 Il-KE Diffie-Hellman fuq nistp521 ma SHA2-512
    Algoritmu MAC appoġġjat:
    hmac-sha1 MAC ibbażat fuq Hash bl-użu ta' Secure Hash Algorithm (SHA1)
    hmac-sha2-256 MAC ibbażat fuq Hash bl-użu ta' Secure Hash Algorithm (SHA2)
    hmac-sha2-512 MAC ibbażat fuq Hash bl-użu ta' Secure Hash Algorithm (SHA2)
    Algoritmu ta' ċifraturi SSH appoġġjat:
    aes128-cbc 128-bit AES b'Cipher Block Chaining
    aes128-ctr 128-bit AES b'Modalità Counter
    aes192-cbc 192-bit AES b'Cipher Block Chaining
    aes192-ctr 192-bit AES b'Modalità Counter
    aes256-cbc 256-bit AES b'Cipher Block Chaining
    aes256-ctr 256-bit AES b'Modalità Counter

Konfigurazzjoni ta' MACsec

Nifhmu s-Sigurtà tal-Kontroll tal-Aċċess għall-Midja (MACsec) fil-modalità FIPS
Is-Sigurtà tal-Kontroll tal-Aċċess għall-Midja (MACsec) hija teknoloġija ta' sigurtà standard tal-industrija 802.1AE IEEE li tipprovdi komunikazzjoni sigura għat-traffiku kollu fuq links Ethernet. MACsec jipprovdi sigurtà minn punt għal punt fuq rabtiet Ethernet bejn nodi konnessi direttament u huwa kapaċi jidentifika u jipprevjeni l-biċċa l-kbira tat-theddid għas-sigurtà, inklużi ċaħda ta 'servizz, intrużjoni, man-in-the-middle, masquerading, wiretapping passiv, u attakki ta' daqq.
MACsec jippermettilek li tiżgura link Ethernet punt għal punt għal kważi t-traffiku kollu, inklużi frejms mill-Link Layer Discovery Protocol (LLDP), Link Aggregation Control Protocol (LACP), Dynamic Host Configuration Protocol (DHCP), Address Resolution Protocol (ARP), u protokolli oħra li mhumiex tipikament assigurati fuq konnessjoni Ethernet minħabba limitazzjonijiet ma 'soluzzjonijiet ta' sigurtà oħra. MACsec jista 'jintuża flimkien ma' protokolli ta 'sigurtà oħra bħal IP Security (IPsec) u Secure Sockets Layer (SSL) biex jipprovdu sigurtà tan-netwerk minn tarf sa tarf.
MACsec huwa standardizzat fl-IEEE 802.1AE. L-istandard IEEE 802.1AE jista 'jidher fuq l-organizzazzjoni IEEE websit fuq IEEE 802.1: BRIDGING U ĠESTJONI.
Kull implimentazzjoni ta 'algoritmu hija ċċekkjata minn serje ta' test ta 'tweġiba magħrufa (KAT) awto-testijiet u validazzjonijiet ta' algoritmi kripto (CAV). L-algoritmi kriptografiċi li ġejjin huma miżjuda speċifikament għal MACsec.

  • Standard ta' Encryption Avvanzat (AES)-Kodiċi ta' Awtentikazzjoni ta' Messaġġ Ċifriku (CMAC)
  • Avvanzata ta' Encryption Standard (AES) Key Wrap
    Għal MACsec, fil-mod ta 'konfigurazzjoni, uża l-kmand fil-pront biex iddaħħal valur ta' ċavetta sigrieta ta '64 karattru eżadeċimali għall-awtentikazzjoni.
    [editja] crypto-officer@hostname:fips# sigurtà fil-pront macsec connectivity-association pre-shared-key cak
    Kejk ġdid (sigriet):
    Ittajpja mill-ġdid cak ġdid (sigriet):

Customizing Ħin
Biex tippersonalizza l-ħin, iddiżattiva NTP u ssettja d-data.

  1. Itfi NTP.
    [editja] crypto-officer@hostname:fips# deattivate groups global system ntp
    crypto-officer@hostname:fips# iddiżattiva sistema ntp
    crypto-officer@hostname:fips# jikkommettu
    crypto-officer@hostname:fips# ħruġ
  2. L-issettjar tad-data u l-ħin. Il-format tad-data u l-ħin huwa YYYYMMDDHHMM.ss
    [editja] crypto-officer@hostname:fips# id-data stabbilita 201803202034.00
    crypto-officer@hostname:fips# issettja cli timestamp
  3. Issettja d-dettalji tal-kanal sikur tal-Ftehim Ewlenin MACsec (MKA).
    [editja] crypto-officer@hostname:fips# issettja s-sigurtà macsec konnettività-assoċjazzjoni konnettività isem-assoċjazzjoni secure-channel secure-channel-name direzzjoni (inbound | outbound) crypto-officer@hostname:fips# issettja sigurtà macsec konnettività-assoċjazzjoni connectivityassociation -name secure-channel secure-channel-name encryption (MACsec) crypto-officer@hostname:fips# set security macsec connectivity-association connectivityassociation-name secure-channel secure-channel-name id mac-address /”mac-address crypto- officer@hostname:fips# issettja s-sigurtà macsec connectivity-association connectivity-association-name secure-channel secure-channel-name id port-id port-id-number crypto-officer@hostname:fips# issettja s-sigurtà macsec konnettività-assoċjazzjoni-konnettività isem-assoċjazzjoni sigur -channel secure-channel-name offset “(0|30|50) crypto-officer@hostname:fips# issettja sigurtà macsec connectivity-association connectivityassociation-name secure-channel secure-channel-name security-association security-associationnumber key key- spag
  4. Issettja l-MKA għall-mod ta 'sigurtà.
    [editja] crypto-officer@hostname:fips# issettja s-sigurtà macsec connectivity-association connectivity-association-name security-mode security-mode
  5. Assenja l-assoċjazzjoni tal-konnettività kkonfigurata b'interface MACsec speċifikata.
    [editja] crypto-officer@hostname:fips# issettja s-sigurtà macsec interfaces isem-interface konnettività assoċjazzjoni isem-konnettività-assoċjazzjoni

Konfigurazzjoni Static MACsec ma ICMP Traffiku
Biex tikkonfigura Static MACsec billi tuża traffiku ICMP bejn it-tagħmir R0 u t-tagħmir R1:
F'R0:

  1. Oħloq iċ-ċavetta kondiviża minn qabel billi tikkonfigura l-isem taċ-ċavetta tal-assoċjazzjoni tal-konnettività (CKN) u ċ-ċavetta tal-assoċjazzjoni tal-konnettività (CAK)
    [editja] crypto-officer@hostname:fips# issettja sigurtà macsec connectivity-association CA1 pre-sharedkey ckn 2345678922334455667788992223334445556667778889992222333344445555
    crypto-officer@hostname:fips# issettja sigurtà macsec connectivity-association CA1 pre-sharedkey cak 23456789223344556677889922233344 crypto-officer@hostname:fips# issettja sigurtà macsec konnettività-assoċjazzjoni CA1 offset 30
  2. Issettja l-valuri tal-għażla tat-traċċa.
    [editja] crypto-officer@hostname:fips# issettja għażliet ta' traċċar macsec tas-sigurtà file MACsec.log
    crypto-officer@hostname:fips# issettja għażliet ta' traċċar macsec tas-sigurtà file daqs 4000000000
    crypto-officer@hostname:fips# issettja s-sigurtà macsec traceoptions bandiera kollha
  3. Assenja t-traċċa għal interface.
    [editja] crypto-officer@hostname:fips# issettja sigurtà macsec interfaces interface-name traceoptions file mka_xe daqs 1g crypto-officer@hostname:fips# issettja sigurtà macsec interfaces isem-interface traceoptions marka kollha
  4. Ikkonfigura l-mod ta 'sigurtà MACsec bħala static-cak għall-assoċjazzjoni tal-konnettività. [editja] crypto-officer@hostname:fips# issettja sigurtà macsec konnettività-assoċjazzjoni CA1 mod ta' sigurtà static-cak
  5. Issettja l-prijorità tas-server taċ-ċavetta MKA.
    [editja] crypto-officer@hostname:fips# issettja s-sigurtà macsec connectivity-association CA1 mka key-serverpriority 1
  6. Issettja l-intervall tat-trasmissjoni MKA.
    [editja] crypto-officer@hostname:fips# issettja sigurtà macsec konnettività-assoċjazzjoni CA1 mka transmitinterval 3000
  7. Ippermetti l-MKA sigur.
    [editja] crypto-officer@hostname:fips# issettja s-sigurtà macsec connectivity-association CA1 mka shouldsecure
    crypto-officer@hostname:fips# issettja sigurtà macsec konnettività-assoċjazzjoni CA1 include-sci
  8. Assenja l-assoċjazzjoni tal-konnettività għal interface.
    [editja] crypto-officer@hostname:fips# issettja s-sigurtà macsec interfaces isem l-interface connectivityassociation
    CA1
    crypto-officer@hostname:fips# issettja interfaces interface-name unit 0 family inet address 10.1.1.1/24

F'R1:

  1. Oħloq iċ-ċavetta kondiviża minn qabel billi tikkonfigura l-isem taċ-ċavetta tal-assoċjazzjoni tal-konnettività (CKN) u ċ-ċavetta tal-assoċjazzjoni tal-konnettività (CAK)
    [editja] Crypto-Ufficer @ HostName: FIPs # Set Security MacSec Connectivity Association CA1 Pre-SharedKey CNK 2345678922334455667788992223334445556667778889992222333344445555 Ocjation CA1 Pre-SharedKey CAK 23456789223344556677889922233344 Crypto-Ufficer @ HostName: FIPs # issettja sigurtà macsec konnettività-assoċjazzjoni CA1 offset 30
  2. Issettja l-valuri tal-għażla tat-traċċa.
    [editja] crypto-officer@hostname:fips# issettja għażliet ta' traċċar macsec tas-sigurtà file MACsec.log crypto-officer@hostname:fips# issettja għażliet ta' traċċar macsec tas-sigurtà file daqs 4000000000 crypto-officer@hostname:fips# issettja s-sigurtà macsec traceoptions bandiera kollha
  3. Assenja t-traċċa għal interface. [editja] crypto-officer@hostname:fips# issettja sigurtà macsec interfaces interface-name traceoptions file mka_xe daqs 1g crypto-officer@hostname:fips# issettja sigurtà macsec interfaces isem-interface traceoptions marka kollha
  4. Ikkonfigura l-mod ta 'sigurtà MACsec bħala static-cak għall-assoċjazzjoni tal-konnettività. [editja] crypto-officer@hostname:fips# issettja sigurtà macsec konnettività-assoċjazzjoni CA1 mod ta' sigurtà static-cak
  5. Issettja l-intervall tat-trasmissjoni MKA.
    [editja] crypto-officer@hostname:fips# issettja sigurtà macsec konnettività-assoċjazzjoni CA1 mka transmitinterval 3000
  6. Ippermetti l-MKA sigur. [editja] crypto-officer@hostname:fips# issettja sigurtà macsec connectivity-association CA1 mka shouldsecure crypto-officer@hostname:fips# issettja sigurtà macsec connectivity-association CA1 include-sci
  7. Assenja l-assoċjazzjoni tal-konnettività għal interface. [editja] crypto-officer@hostname:fips# issettja l-interfaces tas-sigurtà macsec interface-name connectivityassociation CA1 crypto-officer@hostname:fips# issettja l-interfaces interface-name unit 0 family inet address 10.1.1.2/24

Konfigurazzjoni ta 'MACsec b'keychain bl-użu ta' ICMP Traffic
Biex tikkonfigura MACsec b'keychain billi tuża traffiku ICMP bejn it-tagħmir R0 u t-tagħmir R1:
F'R0:

  1. Assenja valur ta' tolleranza lill-katina taċ-ċavetta ta' awtentikazzjoni. [editja] crypto-officer@hostname:fips# issettja sigurtà awtentikazzjoni-key-chains key-chain macsec-kc1 tolleranza 20
  2. Oħloq il-password sigrieta biex tuża. Hija sensiela ta' ċifri eżadeċimali twila sa 64 karattru. Il-password tista' tinkludi spazji jekk is-sekwenza ta' karattri tkun magħluqa fil-virgoletti. Id-dejta sigrieta tal-keychain tintuża bħala CAK.
    [editja] crypto-officer@hostname:fips# issettja sigurtà awtentikazzjoni-key-chains key-chain macsec-kc1 key 0 key-name 2345678922334455667788992223334445556667778889992222333344445551 kripto-isem is-sigurtà il-katina-ċwievet ta' l-antikazzjoni macsec- kc1 key 0 start-time 2018-03-20.20:35 crypto-officer@hostname:fips# issettja sigurtà awtentikazzjoni-key-chains key-chain macsec-kc1 key 1 key-name 2345678922334455667788992223334445556667778889992222333344445552 1 crypto-officer@hostname:fips# issettja s-sigurtà awtentikazzjoni-key-chains key-chain macsec-kc1 key 2018 start-time 03-20.20-37:1 crypto-officer@hostname:fips# issettja s-sigurtà awtentikazzjoni-key-chains key-chain macsec-kc2 key 2345678922334455667788992223334445556667778889992222333344445553 key-name 1 2 crypto-officer@hostname:fips# issettja sigurtà awtentikazzjoni-key-chains key-chain macsec-kc2018 key 03 start-time 20.20-39-1:3 crypto-officer@hostname:fips# issettja sigurtà awtentikazzjoni-key-chains key- katina macsec-kc2345678922334455667788992223334445556667778889992222333344445554 ċavetta 1 isem taċ-ċavetta 3 crypto-officer@hostname:fipsc-cha bidu tas-sigurtà key-time macsec-inc2018 03-20.20-41:1 crypto-officer@hostname:fips # issettja sigurtà awtentikazzjoni-key-chains key-chain macsec-kc4 key 2345678922334455667788992223334445556667778889992222333344445555 key-name 1 kripto-key-insem security-officers@chain-key-in: ċavetta sec-kc4 2018 ħin tal-bidu 03-20.20- 43:1 crypto-officer@hostname:fips# issettja sigurtà awtentikazzjoni-key-chains key-chain macsec-kc5 key 2345678922334455667788992223334445556667778889992222333344445556 key-name 1 fips# issettja sigurtà awtentikazzjoni-key-chains key-chain macsec- kc5 ċavetta 2018 ħin tal-bidu 03-20.20-45:1 crypto-officer@hostname:fips# issettja sigurtà awtentikazzjoni-key-chains key-chain macsec-kc6 key 2345678922334455667788992223334445556667778889992222333344445557 key-name 1 6 crypto-officer@hostname:fips# issettja s-sigurtà awtentikazzjoni-key-chains key-chain macsec-kc2018 key 03 start-time 20.20-47-1:7 crypto-officer@hostname:fips# issettja sigurtà awtentikazzjoni-key-chains key-chain macsec-kc2345678922334455667788992223334445556667778889992222333344445558 key 1 key-name 7 2018 crypto-officer@hostname:fips# issettja sigurtà awtentikazzjoni-key-chains key-chain macsec-kc03 key 20.20 start-time 49-XNUMX-XNUMX:XNUMX Uża l-kmand fil-pront biex iddaħħal valur taċ-ċavetta sigrieta. Per example, il-valur taċ-ċavetta sigrieta huwa 2345678922334455667788992223334123456789223344556677889922233341. cak (sigriet): kripto-uffiċjal @hostname:fips# sigurtà fil-pront awtentikazzjoni-key-chains key-chain macseckc1 key 0 secret Cak ġdid (sigriet):
    Ittajpja mill-ġdid cak ġdid (sigriet): crypto-officer@hostname:fips# sigurtà fil-pront awtentikazzjoni-key-chains key-chain macseckc1 key 2 secret New cak (sigriet):
    Ittajpja mill-ġdid cak ġdid (sigriet): crypto-officer@hostname:fips# sigurtà fil-pront awtentikazzjoni-key-chains key-chain macseckc1 key 3 secret New cak (sigriet): Erġa' ikteb cak ġdid (sigriet): crypto-officer@hostname:fips# sigurtà fil-pront awtentikazzjoni-key-chains key-chain macseckc1 key 4 secret New cak (sigriet): Retype new cak (sigriet): crypto-officer@hostname:fips# pront security authentication-key-chains key-chain macseckc1 key 5 secret New cak (sigriet): Retype new cak (sigriet): crypto-officer@hostname:fips# pront security authentication-key-chains key-chain macseckc1 key 6 secret New cak (sigriet): Retype new cak (sigriet): kripto-uffiċjal @hostname:fips# sigurtà fil-pront awtentikazzjoni-key-chains key-chain macseckc1 key 7 secret New cak (sigriet): Erġa' ikteb cak ġdid (sigriet):
  3. Assoċja l-isem tal-keychain kondiviż minn qabel mal-assoċjazzjoni tal-konnettività.
    [editja] crypto-officer@hostname:fips# issettja s-sigurtà macsec connectivity-association CA1 pre-sharedkey-chain macsec-kc1 crypto-officer@hostname:fips# issettja s-sigurtà macsec connectivity-association CA1 offset 50 crypto-officer@hostname:fips # issettja sigurtà macsec konnettività-assoċjazzjoni CA1 cipher-suite gcm-aes-256
    NOTA: Il-valur taċ-ċifra jista 'jiġi ssettjat ukoll bħala cipher-suite gcm-aes-128.
  4. Issettja l-valuri tal-għażla tat-traċċa.
    [editja] crypto-officer@hostname:fips# issettja għażliet ta' traċċar macsec tas-sigurtà file MACsec.log crypto-officer@hostname:fips# issettja għażliet ta' traċċar macsec tas-sigurtà file daqs 4000000000 crypto-officer@hostname:fips# issettja s-sigurtà macsec traceoptions bandiera kollha
  5. Assenja t-traċċa għal interface. [editja] crypto-officer@hostname:fips# issettja sigurtà macsec interfaces interface-name traceoptions file mka_xe daqs 1g crypto-officer@hostname:fips# issettja sigurtà macsec interfaces isem-interface traceoptions marka kollha
  6. Ikkonfigura l-mod ta 'sigurtà MACsec bħala static-cak għall-assoċjazzjoni tal-konnettività. [editja] crypto-officer@hostname:fips# issettja s-sigurtà macsec connectivity-association CA1 securitymode static-cak
  7. Issettja l-prijorità tas-server taċ-ċavetta MKA.
    [editja] crypto-officer@hostname:fips# issettja s-sigurtà macsec connectivity-association CA1 mka keyserver-priority 1
  8. Issettja l-intervall tat-trasmissjoni MKA.
    [editja] crypto-officer@hostname:fips# issettja sigurtà macsec konnettività-assoċjazzjoni CA1 mka transmitinterval 3000
  9. Ippermetti l-MKA sigur.
    [editja] crypto-officer@hostname:fips# issettja sigurtà macsec connectivity-association CA1 include-sci
  10. Assenja l-assoċjazzjoni tal-konnettività għal interface.
    [editja] crypto-officer@hostname:fips# issettja s-sigurtà macsec interfaces isem l-interface connectivityassociation CA1
    kripto-uffiċjal@hostname:fips#
    issettja l-interfaces interface-name unit 0 family inet address 10.1.1.1/24

Biex tikkonfigura MACsec b'keychain għat-traffiku ICMP:
F'R1:

  1. Assenja valur ta' tolleranza lill-katina taċ-ċavetta ta' awtentikazzjoni.
    [editja] crypto-officer@hostname:fips# issettja sigurtà awtentikazzjoni-key-chains key-chain macsec-kc1 tolleranza 20
  2. Oħloq il-password sigrieta biex tuża. Hija sensiela ta' ċifri eżadeċimali twila sa 64 karattru. Il-password tista' tinkludi spazji jekk is-sekwenza ta' karattri tkun magħluqa fil-virgoletti. Id-dejta sigrieta tal-keychain tintuża bħala CAK.
    [editja] crypto-officer@hostname:fips# issettja sigurtà awtentikazzjoni-key-chains key-chain macsec-kc1 key 0 key-name 2345678922334455667788992223334445556667778889992222333344445551 kripto-isem is-sigurtà il-katina-ċwievet ta' l-antikazzjoni macsec- kc1 key 0 start-time 2018-03-20.20:35 crypto-officer@hostname:fips# issettja sigurtà awtentikazzjoni-key-chains key-chain macsec-kc1 key 1 key-name 2345678922334455667788992223334445556667778889992222333344445552 1 crypto-officer@hostname:fips# issettja s-sigurtà awtentikazzjoni-key-chains key-chain macsec-kc1 key 2018 start-time 03-20.20-37:1 crypto-officer@hostname:fips# issettja s-sigurtà awtentikazzjoni-key-chains key-chain macsec-kc2 key 2345678922334455667788992223334445556667778889992222333344445553 key-name 1 2 crypto-officer@hostname:fips# issettja sigurtà awtentikazzjoni-key-chains key-chain macsec-kc2018 key 03 start-time 20.20-39-1:3 crypto-officer@hostname:fips# issettja sigurtà awtentikazzjoni-key-chains key- katina macsec-kc2345678922334455667788992223334445556667778889992222333344445554 ċavetta 1 isem taċ-ċavetta 3 crypto-officer@hostname:fipsc-cha bidu tas-sigurtà key-time macsec-inc2018 03-20.20-41:1 crypto-officer@hostname:fips # issettja sigurtà awtentikazzjoni-key-chains key-chain macsec-kc4 key 2345678922334455667788992223334445556667778889992222333344445555 key-name 1 kripto-key-insem security-officers@chain-key-in: ċavetta sec-kc4 2018 ħin tal-bidu 03-20.20- 43:1 crypto-officer@hostname:fips# issettja awtentikazzjoni tas-sigurtà-key-chains key-chain macsec-kc5 key 345678922334455667788992223334445556667778889992222333344445556 key-name 1 ps# issettja sigurtà awtentikazzjoni-key-chains key-chain macsec- kc5 ċavetta 2018 ħin tal-bidu 03-20.20-45:1 crypto-officer@hostname:fips# issettja sigurtà awtentikazzjoni-key-chains key-chain macsec-kc6 key 2345678922334455667788992223334445556667778889992222333344445557 key-name 1 6 crypto-officer@hostname:fips# issettja s-sigurtà awtentikazzjoni-key-chains key-chain macsec-kc2018 key 03 start-time 20.20-47-1:7 crypto-officer@hostname:fips# issettja sigurtà awtentikazzjoni-key-chains key-chain macsec-kc2345678922334455667788992223334445556667778889992222333344445558 key 1 key-name 7 2018 crypto-officer@hostname:fips# issettja sigurtà awtentikazzjoni-key-chains key-chain macsec-kc03 key 20.20 start-time 49-XNUMX-XNUMX:XNUMX
    Uża l-kmand fil-pront biex iddaħħal valur taċ-ċavetta sigrieta. Per example, il-valur taċ-ċavetta sigrieta huwa 2345678922334455667788992223334123456789223344556677889922233341.
    [editja] crypto-officer@hostname:fips# sigurtà fil-pront awtentikazzjoni-key-chains key-chain macseckc1 key 0 secret
    Kejk ġdid (sigriet):
    Ittajpja mill-ġdid cak ġdid (sigriet): crypto-officer@hostname:fips# sigurtà fil-pront awtentikazzjoni-key-chains key-chain macseckc1 key 1 secret New cak (sigriet): Retype new cak (sigriet): crypto-officer@hostname:fips# sigurtà fil-pront awtentikazzjoni-key-chains key-chain macseckc1 key 2 secret New cak (sigriet): Retype new cak (sigriet): crypto-officer@hostname:fips# pront security authentication-key-chains key-chain macseckc1 key 3 secret New cak (sigriet): Erġa' ikteb new cak (sigriet): crypto-officer@hostname:fips# pront security authentication-key-chains key-chain macseckc1 key 4 secret New cak (sigriet): Retype new cak
    (sigriet):
    crypto-officer@hostname:fips# sigurtà fil-pront awtentikazzjoni-key-chains key-chain macseckc1 key 5 secret New cak (sigriet): Erġa' ikteb cak ġdid (sigriet):
    crypto-officer@hostname:fips# sigurtà fil-pront awtentikazzjoni-key-chains key-chain macseckc1 key 6 secret Cak ġdid (sigriet):
    Ittajpja mill-ġdid cak ġdid (sigriet):
    crypto-officer@hostname:fips# sigurtà fil-pront awtentikazzjoni-key-chains key-chain macseckc1 key 7 secret Cak ġdid (sigriet):
    Ittajpja mill-ġdid cak ġdid (sigriet):
  3. Assoċja l-isem tal-keychain kondiviż minn qabel mal-assoċjazzjoni tal-konnettività.
    [editja] crypto-officer@hostname:fips# issettja sigurtà macsec connectivity-association CA1 pre-shared-key-chain macsec-kc1
    crypto-officer@hostname:fips# issettja sigurtà macsec connectivity-association CA1 offset 50 crypto-officer@hostname:fips# issettja sigurtà macsec connectivity-association CA1 cipher-suite gcm-aes-256
  4. Issettja l-valuri tal-għażla tat-traċċa.
    [editja] crypto-officer@hostname:fips# issettja għażliet ta' traċċar macsec tas-sigurtà file MACsec.log crypto-officer@hostname:fips# issettja għażliet ta' traċċar macsec tas-sigurtà file daqs 4000000000 crypto-officer@hostname:fips# issettja s-sigurtà macsec traceoptions bandiera kollha
  5. Assenja t-traċċa għal interface.
    [editja] crypto-officer@hostname:fips# issettja sigurtà macsec interfaces interface-name traceoptions file mka_xe daqs 1g crypto-officer@hostname:fips# issettja sigurtà macsec interfaces isem-interface traceoptions marka kollha
  6. Ikkonfigura l-mod ta 'sigurtà MACsec bħala static-cak għall-assoċjazzjoni tal-konnettività.
    [editja] crypto-officer@hostname:fips# issettja s-sigurtà macsec connectivity-association CA1 securitymode static-cak
  7. Issettja l-prijorità tas-server taċ-ċavetta MKA.
    [editja] crypto-officer@hostname:fips# issettja s-sigurtà macsec connectivity-association CA1 mka keyserver-priority 1
  8. Issettja l-intervall tat-trasmissjoni MKA.
    [editja] crypto-officer@hostname:fips# issettja sigurtà macsec konnettività-assoċjazzjoni CA1 mka transmitinterval 3000
  9. Ippermetti l-MKA sigur.
    [editja] crypto-officer@hostname:fips# issettja sigurtà macsec connectivity-association CA1 include-sci
  10. Assenja l-assoċjazzjoni tal-konnettività għal interface.
    [editja] crypto-officer@hostname:fips# issettja s-sigurtà macsec interfaces isem l-interface connectivityassociation
    CA1
    crypto-officer@hostname:fips# issettja interfaces interface-name unit 0 family inet address 10.1.1.2/24

Konfigurazzjoni Static MACsec għal Saff 2 Traffiku
Biex tikkonfigura MACsec statiku għat-traffiku tas-Saff 2 bejn it-tagħmir R0 u l-apparat R1:
F'R0:

  1. Issettja l-prijorità tas-server taċ-ċavetta MKA.
    [editja] crypto-officer@hostname:fips# issettja s-sigurtà macsec connectivity-association CA1 mka key server-priority 1
  2. Oħloq il-password sigrieta biex tuża. Hija sensiela ta' ċifri eżadeċimali twila sa 64 karattru. Il-password tista' tinkludi spazji jekk is-sekwenza ta' karattri tkun magħluqa fil-virgoletti. Id-dejta sigrieta tal-keychain tintuża bħala CAK.
    [editja] crypto-officer@hostname:fips# sigurtà fil-pront awtentikazzjoni-key-chains key-chain macseckc1 key 0 secret New cak (sigriet):
    Ittajpja mill-ġdid cak ġdid (sigriet):
    Per example, il-valur taċ-ċavetta sigrieta huwa 2345678922334455667788992223334123456789223344556677889922233341.
  3. Assoċja l-isem tal-keychain kondiviż minn qabel mal-assoċjazzjoni tal-konnettività. [editja] crypto-officer@hostname:fips# issettja s-sigurtà macsec connectivity-association CA1 pre-sharedkey-chain macsec-kc1 crypto-officer@hostname:fips# issettja s-sigurtà macsec connectivity-association CA1 offset 50 crypto-officer@hostname:fips # issettja sigurtà macsec konnettività-assoċjazzjoni CA1 cipher-suite gcm-aes-256
  4. Issettja l-valuri tal-għażla tat-traċċa. [editja] crypto-officer@hostname:fips# issettja għażliet ta' traċċar macsec tas-sigurtà file MACsec.log crypto-officer@hostname:fips# issettja għażliet ta' traċċar macsec tas-sigurtà file daqs 4000000000 crypto-officer@hostname:fips# issettja s-sigurtà macsec traceoptions bandiera kollha
  5. Assenja t-traċċa għal interface. [editja] crypto-officer@hostname:fips# issettja sigurtà macsec interfaces interface-name traceoptions file mka_xe daqs 1g crypto-officer@hostname:fips# issettja sigurtà macsec interfaces isem-interface traceoptions marka kollha
  6. Ikkonfigura l-mod ta 'sigurtà MACsec bħala static-cak għall-assoċjazzjoni tal-konnettività.
    [editja] crypto-officer@hostname:fips# issettja s-sigurtà macsec connectivity-association CA1 securitymode static-cak
  7. Issettja l-prijorità tas-server taċ-ċavetta MKA. [editja] crypto-officer@hostname:fips# issettja s-sigurtà macsec connectivity-association CA1 mka key server-priority 1
  8. Issettja l-intervall tat-trasmissjoni MKA.
    [editja] crypto-officer@hostname:fips# issettja sigurtà macsec konnettività-assoċjazzjoni CA1 mka transmitinterval 3000
  9. Ippermetti l-MKA sigur.
    [editja] crypto-officer@hostname:fips# issettja sigurtà macsec connectivity-association CA1 include-sci
  10. Assenja l-assoċjazzjoni tal-konnettività għal interface.
    [editja] crypto-officer@hostname:fips# issettja s-sigurtà macsec interfaces isem l-interface connectivityassociation
    CA1
  11. Ikkonfigura VLAN tagging.
    [editja] crypto-officer@hostname:fips# issettja l-interfaces interface-name1 flessibbli-vlan-tagging
    crypto-officer@hostname:fips# issettja interfaces interface-name1 inkapsulazzjoni flessibbli Ethernet-servizzi
    kripto-uffiċjal@hostname:fips#
    issettja interfaces interface-name1 unità 100 inkapsulament vlanbridge
    kripto-uffiċjal@hostname:fips#
    issettja l-interfaces interface-name1 unit 100 vlan-id 100
    crypto-officer@hostname:fips# issettja l-interfaces interface-name2 flessibbli-vlan-tagging
    crypto-officer@hostname:fips# issettja interfaces interface-name2 inkapsulazzjoni flessibbli Ethernet-servizzi
    kripto-uffiċjal@hostname:fips#
    issettja interfaces interface-name2 unità 100 inkapsulament vlanbridge
    kripto-uffiċjal@hostname:fips#
    issettja l-interfaces interface-name2 unit 100 vlan-id 100
  12. Ikkonfigura d-dominju tal-pont.
    [editja] crypto-officer@hostname:fips# issettja bridge-domains BD-110 domain-type bridge
    crypto-officer@hostname:fips# issettja bridge-domains BD-110 vlan-id 100
    crypto-officer@hostname:fips# issettja bridge-domains BD-110 interface interface-name1 100
    crypto-officer@hostname:fips# issettja bridge-domains BD-110 interface interface-name2 100

F'R1:

  1. Oħloq il-password sigrieta biex tuża. Hija sensiela ta' ċifri eżadeċimali twila sa 64 karattru. Il-
    password tista 'tinkludi spazji jekk is-sekwenza ta' karattri hija magħluqa fil-virgoletti. Il-keychain's
    id-data sigrieta tintuża bħala CAK.
    [editja] crypto-officer@hostname:fips# sigurtà fil-pront awtentikazzjoni-key-chains key-chain macseckc1 key 0 secret
    Kejk ġdid
    (sigriet):
    Ittajpja mill-ġdid cak ġdid
    (sigriet):
    Per example, il-valur taċ-ċavetta sigrieta huwa
    2345678922334455667788992223334123456789223344556677889922233341.
  2. Assoċja l-isem tal-keychain kondiviż minn qabel mal-assoċjazzjoni tal-konnettività.
    [editja] crypto-officer@hostname:fips# issettja s-sigurtà macsec connectivity-association CA1 pre-sharedkey-chain
    macsec-kc1 crypto-officer@hostname:fips#
    issettja sigurtà macsec konnettività-assoċjazzjoni CA1 offset 50
    crypto-officer@hostname:fips# issettja sigurtà macsec konnettività-assoċjazzjoni CA1 cipher-suite gcm-aes-256
  3. Issettja l-valuri tal-għażla tat-traċċa.
    [editja] crypto-officer@hostname:fips# issettja għażliet ta' traċċar macsec tas-sigurtà file MACsec.log
    crypto-officer@hostname:fips# issettja għażliet ta' traċċar macsec tas-sigurtà file daqs 4000000000
    crypto-officer@hostname:fips# issettja s-sigurtà macsec traceoptions bandiera kollha
  4. Assenja t-traċċa għal interface.
    [editja] crypto-officer@hostname:fips# issettja sigurtà macsec interfaces interface-name traceoptions file mka_xe daqs 1g
    crypto-officer@hostname:fips# issettja sigurtà macsec interfaces interface-name traceoptions
    bandiera kollha
  5. Ikkonfigura l-mod ta 'sigurtà MACsec bħala static-cak għall-assoċjazzjoni tal-konnettività.
    [editja] crypto-officer@hostname:fips# issettja sigurtà macsec konnettività-assoċjazzjoni CA1 mod tas-sigurtà
    static-cak
  6. Issettja l-prijorità tas-server taċ-ċavetta MKA.
    [editja] crypto-officer@hostname:fips# issettja s-sigurtà macsec connectivity-association CA1 mka key server-priority 1
  7. Issettja l-intervall tat-trasmissjoni MKA.
    [editja] crypto-officer@hostname:fips# issettja sigurtà macsec connectivity-association CA1 mka transmitinterval
    3000
  8. Ippermetti l-MKA sigur.
    [editja] crypto-officer@hostname:fips# issettja sigurtà macsec connectivity-association CA1 include-sci
  9. Assenja l-assoċjazzjoni tal-konnettività għal interface.
    [editja] crypto-officer@hostname:fips# issettja s-sigurtà macsec interfaces isem l-interface connectivityassociation CA1
  10. Ikkonfigura VLAN tagging.
    [editja] crypto-officer@hostname:fips# issettja l-interfaces interface-name1 flessibbli-vlan-tagging
    crypto-officer@hostname:fips# issettja interfaces interface-name1 inkapsulazzjoni flessibbli Ethernet-servizzi
    crypto-officer@hostname:fips# sett interfaces interface-name1 unità 100 inkapsulament vlanbridge
    kripto-uffiċjal@hostname:fips#
    issettja l-interfaces interface-name1 unit 100 vlan-id 100
    crypto-officer@hostname:fips# issettja l-interfaces interface-name2 flessibbli-vlan-tagging
    crypto-officer@hostname:fips# issettja interfaces interface-name2 inkapsulazzjoni flessibbli Ethernet-servizzi
    kripto-uffiċjal@hostname:fips#
    issettja interfaces interface-name2 unità 100 inkapsulament vlanbridge
    kripto-uffiċjal@hostname:fips#
    issettja l-interfaces interface-name2 unit 100 vlan-id 100
  11. Ikkonfigura d-dominju tal-pont.
    [editja] crypto-officer@hostname:fips# issettja bridge-domains BD-110 domain-type bridge
    crypto-officer@hostname:fips# issettja bridge-domains BD-110 vlan-id 100
    crypto-officer@hostname:fips# issettja bridge-domains BD-110 interface interface-name1 100
    crypto-officer@hostname:fips# issettja bridge-domains BD-110 interface interface-name2 100

Konfigurazzjoni ta 'MACsec b'keychain għal Saff 2 Traffiku

Biex tikkonfigura MACsec b'keychain għat-traffiku ICMP bejn it-tagħmir R0 u l-apparat R1:
F'R0:

  1. Assenja valur ta' tolleranza lill-katina taċ-ċavetta ta' awtentikazzjoni.
    [editja] crypto-officer@hostname:fips# issettja sigurtà awtentikazzjoni-key-chains key-chain macsec-kc1 tolleranza 20
  2. Oħloq il-password sigrieta biex tuża. Hija sensiela ta' ċifri eżadeċimali twila sa 64 karattru. Il-password tista' tinkludi spazji jekk is-sekwenza ta' karattri tkun magħluqa fil-virgoletti. Id-dejta sigrieta tal-keychain tintuża bħala CAK.
    [editja] crypto-officer@hostname:fips# issettja sigurtà awtentikazzjoni-key-chains key-chain macsec-kc1
    ċavetta 0 isem taċ-ċavetta 2345678922334455667788992223334445556667778889992222333344445551
    crypto-officer@hostname:fips# issettja sigurtà awtentikazzjoni-key-chains key-chain macsec-kc1
    ċavetta 0 ħin tal-bidu 2018-03-20.20:35
    crypto-officer@hostname:fips# issettja sigurtà awtentikazzjoni-key-chains key-chain macsec-kc1
    ċavetta 1 isem taċ-ċavetta 2345678922334455667788992223334445556667778889992222333344445552
    crypto-officer@hostname:fips# issettja sigurtà awtentikazzjoni-key-chains key-chain macsec-kc1
    ċavetta 1 ħin tal-bidu 2018-03-20.20:37
    crypto-officer@hostname:fips# issettja sigurtà awtentikazzjoni-key-chains key-chain macsec-kc1
    ċavetta 2 isem taċ-ċavetta 2345678922334455667788992223334445556667778889992222333344445553
    crypto-officer@hostname:fips# issettja sigurtà awtentikazzjoni-key-chains key-chain macsec-kc1
    ċavetta 2 ħin tal-bidu 2018-03-20.20:39
    crypto-officer@hostname:fips# issettja sigurtà awtentikazzjoni-key-chains key-chain macsec-kc1
    ċavetta 3 isem taċ-ċavetta 2345678922334455667788992223334445556667778889992222333344445554
    crypto-officer@hostname:fips# issettja sigurtà awtentikazzjoni-key-chains key-chain macsec-kc1
    ċavetta 3 ħin tal-bidu 2018-03-20.20:41
    crypto-officer@hostname:fips# issettja sigurtà awtentikazzjoni-key-chains key-chain macsec-kc1
    ċavetta 4 isem taċ-ċavetta 2345678922334455667788992223334445556667778889992222333344445555
    crypto-officer@hostname:fips# issettja sigurtà awtentikazzjoni-key-chains key-chain macsec-kc1
    ċavetta 4 ħin tal-bidu 2018-03-20.20:43
    crypto-officer@hostname:fips# issettja sigurtà awtentikazzjoni-key-chains key-chain macsec-kc1
    ċavetta 5 isem taċ-ċavetta 2345678922334455667788992223334445556667778889992222333344445556
    crypto-officer@hostname:fips# issettja sigurtà awtentikazzjoni-key-chains key-chain macsec-kc1
    ċavetta 5 ħin tal-bidu 2018-03-20.20:45
    crypto-officer@hostname:fips# issettja sigurtà awtentikazzjoni-key-chains key-chain macsec-kc1
    ċavetta 6 isem taċ-ċavetta 2345678922334455667788992223334445556667778889992222333344445557
    crypto-officer@hostname:fips# issettja sigurtà awtentikazzjoni-key-chains key-chain macsec-kc1
    ċavetta 6 ħin tal-bidu 2018-03-20.20:47
    crypto-officer@hostname:fips# issettja sigurtà awtentikazzjoni-key-chains key-chain macsec-kc1
    ċavetta 7 isem taċ-ċavetta 2345678922334455667788992223334445556667778889992222333344445558
    crypto-officer@hostname:fips# issettja sigurtà awtentikazzjoni-key-chains key-chain macsec-kc1
    ċavetta 7 ħin tal-bidu 2018-03-20.20:49
    Uża l-kmand fil-pront biex iddaħħal valur taċ-ċavetta sigrieta. Per example, il-valur taċ-ċavetta sigrieta huwa
    2345678922334455667788992223334123456789223344556677889922233341.
    [editja] crypto-officer@hostname:fips# sigurtà fil-pront awtentikazzjoni-key-chains key-chain macseckc1 key 0 secret
    Kejk ġdid
    (sigriet):
    Ittajpja mill-ġdid cak ġdid
    (sigriet):
    kripto-uffiċjal@hostname:fips#
    sigurtà fil-pront awtentikazzjoni-key-chains key-chain macseckc1 key 1 sigriet
    Kejk ġdid
    (sigriet):
    Ittajpja mill-ġdid cak ġdid
    (sigriet):
    crypto-officer@hostname:fips# sigurtà fil-pront awtentikazzjoni-key-chains key-chain macseckc1 key 2 sigriet
    Kejk ġdid
    (sigriet):
    Ittajpja mill-ġdid cak ġdid
    (sigriet):
    kripto-uffiċjal@hostname:fips#
    sigurtà fil-pront awtentikazzjoni-key-chains key-chain macseckc1 key 3 sigriet
    Kejk ġdid
    (sigriet):
    Ittajpja mill-ġdid cak ġdid
    (sigriet):
    kripto-uffiċjal@hostname:fips#
    sigurtà fil-pront awtentikazzjoni-key-chains key-chain macseckc1 key 4 sigriet
    Kejk ġdid
    (sigriet):
    Ittajpja mill-ġdid cak ġdid
    (sigriet):
    kripto-uffiċjal@hostname:fips#
    sigurtà fil-pront awtentikazzjoni-key-chains key-chain macseckc1 key 5 sigriet
    Kejk ġdid
    (sigriet):
    Ittajpja mill-ġdid cak ġdid
    (sigriet):
    kripto-uffiċjal@hostname:fips#
    sigurtà fil-pront awtentikazzjoni-key-chains key-chain macseckc1 key 6 sigriet
    Kejk ġdid
    (sigriet):
    Ittajpja mill-ġdid cak ġdid
    (sigriet):
    kripto-uffiċjal@hostname:fips#
    sigurtà fil-pront awtentikazzjoni-key-chains key-chain macseckc1 key 7 sigriet
    Kejk ġdid
    (sigriet):
    Ittajpja mill-ġdid cak ġdid
    (sigriet):
  3. Assoċja l-isem tal-keychain kondiviż minn qabel mal-assoċjazzjoni tal-konnettività.
    [editja] crypto-officer@hostname:fips# issettja s-sigurtà macsec connectivity-association CA1 pre-sharedkey-chain
    macsec-kc1
    kripto-uffiċjal@hostname:fips#
    issettja sigurtà macsec konnettività-assoċjazzjoni CA1 cipher-suite
    gcm-aes-256
  4. Issettja l-valuri tal-għażla tat-traċċa.
    [editja] crypto-officer@hostname:fips# issettja għażliet ta' traċċar macsec tas-sigurtà file MACsec.log
    crypto-officer@hostname:fips# issettja għażliet ta' traċċar macsec tas-sigurtà file daqs 4000000000
    crypto-officer@hostname:fips# issettja s-sigurtà macsec traceoptions bandiera kollha
  5.  Assenja t-traċċa għal interface.
    [editja] crypto-officer@hostname:fips# issettja sigurtà macsec interfaces interface-name traceoptions
    file mka_xe daqs 1g
    crypto-officer@hostname:fips# issettja sigurtà macsec interfaces interface-name traceoptions
    bandiera kollha
  6. Ikkonfigura l-mod ta 'sigurtà MACsec bħala static-cak għall-assoċjazzjoni tal-konnettività.
    [editja] crypto-officer@hostname:fips# issettja sigurtà macsec konnettività-assoċjazzjoni CA1 mod tas-sigurtà
    static-cak
  7. Issettja l-prijorità tas-server taċ-ċavetta MKA.
    [editja] crypto-officer@hostname:fips# issettja s-sigurtà macsec connectivity-association CA1 mka key server-priority 1
  8. Issettja l-intervall tat-trasmissjoni MKA.
    [editja] crypto-officer@hostname:fips# issettja sigurtà macsec connectivity-association CA1 mka transmitinterval
    3000
  9. Ippermetti l-MKA sigur.
    [editja] crypto-officer@hostname:fips# issettja sigurtà macsec connectivity-association CA1 include-sci
  10. Assenja l-assoċjazzjoni tal-konnettività għal interface.
    [editja] crypto-officer@hostname:fips# issettja s-sigurtà macsec interfaces isem l-interface connectivityassociation
    CA1
  11. Ikkonfigura VLAN tagging.
    [editja] crypto-officer@hostname:fips# issettja l-interfaces interface-name1 flessibbli-vlan-tagging
    crypto-officer@hostname:fips# issettja interfaces interface-name1 inkapsulazzjoni flexibleethernet-services
    kripto-uffiċjal@hostname:fips#
    issettja interfaces interface-name1 unità 100 inkapsulament vlanbridge
    kripto-uffiċjal@hostname:fips#
    issettja l-interfaces interface-name1 unit 100 vlan-id 100
    crypto-officer@hostname:fips# issettja l-interfaces interface-name2 flessibbli-vlan-tagging
    crypto-officer@hostname:fips# issettja interfaces interface-name2 inkapsulazzjoni flexibleethernet-services
    kripto-uffiċjal@hostname:fips#
    issettja interfaces interface-name2 unità 100 inkapsulament vlanbridge
    kripto-uffiċjal@hostname:fips#
    issettja l-interfaces interface-name2 unit 100 vlan-id 100
  12.  Ikkonfigura d-dominju tal-pont.
    [editja] crypto-officer@hostname:fips# issettja bridge-domains BD-110 domain-type bridge
    crypto-officer@hostname:fips# issettja bridge-domains BD-110 vlan-id 100
    crypto-officer@hostname:fips# issettja bridge-domains BD-110 interface interface-name1 100
    crypto-officer@hostname:fips# issettja bridge-domains BD-110 interface interface-name2 100

F'R1:

  1. Assenja valur ta' tolleranza lill-katina taċ-ċavetta ta' awtentikazzjoni.
    [editja] crypto-officer@hostname:fips# issettja sigurtà awtentikazzjoni-key-chains key-chain macsec-kc1 tolleranza 20
  2. Oħloq il-password sigrieta biex tuża. Hija sensiela ta' ċifri eżadeċimali twila sa 64 karattru. Il-password tista' tinkludi spazji jekk is-sekwenza ta' karattri tkun magħluqa fil-virgoletti. Id-dejta sigrieta tal-keychain tintuża bħala CAK.
    [editja] crypto-officer@hostname:fips# issettja sigurtà awtentikazzjoni-key-chains key-chain macsec-kc1
    ċavetta 0 isem taċ-ċavetta 2345678922334455667788992223334445556667778889992222333344445551
    crypto-officer@hostname:fips# issettja sigurtà awtentikazzjoni-key-chains key-chain macsec-kc1
    ċavetta 0 ħin tal-bidu 2018-03-20.20:35
    crypto-officer@hostname:fips# issettja sigurtà awtentikazzjoni-key-chains key-chain macsec-kc1
    ċavetta 1 isem taċ-ċavetta 2345678922334455667788992223334445556667778889992222333344445552
    crypto-officer@hostname:fips# issettja sigurtà awtentikazzjoni-key-chains key-chain macsec-kc1
    ċavetta 1 ħin tal-bidu 2018-03-20.20:37
    crypto-officer@hostname:fips# issettja sigurtà awtentikazzjoni-key-chains key-chain macsec-kc1
    ċavetta 2 isem taċ-ċavetta 2345678922334455667788992223334445556667778889992222333344445553
    crypto-officer@hostname:fips# issettja sigurtà awtentikazzjoni-key-chains key-chain macsec-kc1
    ċavetta 2 ħin tal-bidu 2018-03-20.20:39
    crypto-officer@hostname:fips# issettja sigurtà awtentikazzjoni-key-chains key-chain macsec-kc1
    ċavetta 3 isem taċ-ċavetta 2345678922334455667788992223334445556667778889992222333344445554
    crypto-officer@hostname:fips# issettja sigurtà awtentikazzjoni-key-chains key-chain macsec-kc1
    ċavetta 3 ħin tal-bidu 2018-03-20.20:41
    crypto-officer@hostname:fips# issettja sigurtà awtentikazzjoni-key-chains key-chain macsec-kc1
    ċavetta 4 isem taċ-ċavetta 2345678922334455667788992223334445556667778889992222333344445555
    crypto-officer@hostname:fips# issettja sigurtà awtentikazzjoni-key-chains key-chain macsec-kc1
    ċavetta 4 ħin tal-bidu 2018-03-20.20:43
    crypto-officer@hostname:fips# issettja sigurtà awtentikazzjoni-key-chains key-chain macsec-kc1
    ċavetta 5 isem taċ-ċavetta 2345678922334455667788992223334445556667778889992222333344445556
    crypto-officer@hostname:fips# issettja sigurtà awtentikazzjoni-key-chains key-chain macsec-kc1
    ċavetta 5 ħin tal-bidu 2018-03-20.20:45
    crypto-officer@hostname:fips# issettja sigurtà awtentikazzjoni-key-chains key-chain macsec-kc1
    ċavetta 6 isem taċ-ċavetta 2345678922334455667788992223334445556667778889992222333344445557
    crypto-officer@hostname:fips# issettja sigurtà awtentikazzjoni-key-chains key-chain macsec-kc1
    ċavetta 6 ħin tal-bidu 2018-03-20.20:47
    crypto-officer@hostname:fips# issettja sigurtà awtentikazzjoni-key-chains key-chain macsec-kc1
    ċavetta 7 isem taċ-ċavetta 2345678922334455667788992223334445556667778889992222333344445558
    crypto-officer@hostname:fips# issettja sigurtà awtentikazzjoni-key-chains key-chain macsec-kc1
    ċavetta 7 ħin tal-bidu 2018-03-20.20:49
    Uża l-kmand fil-pront biex iddaħħal valur taċ-ċavetta sigrieta. Per example, il-valur taċ-ċavetta sigrieta huwa
    2345678922334455667788992223334123456789223344556677889922233341.
    [editja] crypto-officer@hostname:fips# sigurtà fil-pront awtentikazzjoni-key-chains key-chain macseckc1 key 0 secret
    Kejk ġdid
    (sigriet):
    Ittajpja mill-ġdid cak ġdid
    (sigriet):
    kripto-uffiċjal@hostname:fips#
    sigurtà fil-pront awtentikazzjoni-key-chains key-chain macseckc1 key 1 sigriet
    Kejk ġdid
    (sigriet):
    Ittajpja mill-ġdid cak ġdid (sigriet):
    crypto-officer@hostname:fips# sigurtà fil-pront awtentikazzjoni-key-chains key-chain macseckc1 key 2 sigriet
    Kejk ġdid
    (sigriet):
    Ittajpja mill-ġdid cak ġdid
    (sigriet):
    kripto-uffiċjal@hostname:fips#
    sigurtà fil-pront awtentikazzjoni-key-chains key-chain macseckc1 key 3 sigriet
    Kejk ġdid
    (sigriet):
    Ittajpja mill-ġdid cak ġdid
    (sigriet):
    kripto-uffiċjal@hostname:fips#
    sigurtà fil-pront awtentikazzjoni-key-chains key-chain macseckc1 key 4 sigriet
    Kejk ġdid
    (sigriet):
    Ittajpja mill-ġdid cak ġdid
    (sigriet):
    kripto-uffiċjal@hostname:fips#
    sigurtà fil-pront awtentikazzjoni-key-chains key-chain macseckc1 key 5 sigriet
    Kejk ġdid
    (sigriet):
    Ittajpja mill-ġdid cak ġdid
    (sigriet):
    kripto-uffiċjal@hostname:fips#
    sigurtà fil-pront awtentikazzjoni-key-chains key-chain macseckc1 key 6 sigriet
    Kejk ġdid
    (sigriet):
    Ittajpja mill-ġdid cak ġdid
    (sigriet):
    kripto-uffiċjal@hostname:fips#
    sigurtà fil-pront awtentikazzjoni-key-chains key-chain macseckc1 key 7 sigriet
    Kejk ġdid
    (sigriet):
    Ittajpja mill-ġdid cak ġdid (sigriet):
  3. Assoċja l-isem tal-keychain kondiviż minn qabel mal-assoċjazzjoni tal-konnettività.
    [editja] crypto-officer@hostname:fips# issettja s-sigurtà macsec connectivity-association CA1 pre-sharedkey-chain
    macsec-kc1
    kripto-uffiċjal@hostname:fips#
    issettja sigurtà macsec konnettività-assoċjazzjoni CA1 cipher-suite
    gcm-aes-256
  4. Issettja l-valuri tal-għażla tat-traċċa.
    [editja] crypto-officer@hostname:fips# issettja għażliet ta' traċċar macsec tas-sigurtà file MACsec.log
    crypto-officer@hostname:fips# issettja għażliet ta' traċċar macsec tas-sigurtà file daqs 4000000000
    crypto-officer@hostname:fips# issettja s-sigurtà macsec traceoptions bandiera kollha
  5. Assenja t-traċċa għal interface.
    [editja] crypto-officer@hostname:fips# issettja sigurtà macsec interfaces interface-name traceoptions
    file mka_xe daqs 1g
    crypto-officer@hostname:fips# issettja sigurtà macsec interfaces interface-name traceoptions
    bandiera kollha
  6. Ikkonfigura l-mod ta 'sigurtà MACsec bħala static-cak għall-assoċjazzjoni tal-konnettività.
    [editja] crypto-officer@hostname:fips# issettja sigurtà macsec konnettività-assoċjazzjoni CA1 mod tas-sigurtà
    static-cak
  7. Issettja l-prijorità tas-server taċ-ċavetta MKA.
    [editja] crypto-officer@hostname:fips# issettja s-sigurtà macsec connectivity-association CA1 mka keyserver-priority
  8. Issettja l-intervall tat-trasmissjoni MKA.
    [editja] crypto-officer@hostname:fips# issettja sigurtà macsec connectivity-association CA1 mka transmitinterval
    3000
  9. Ippermetti l-MKA sigur.
    [editja] crypto-officer@hostname:fips# issettja sigurtà macsec connectivity-association CA1 include-sci
  10. Assenja l-assoċjazzjoni tal-konnettività għal interface.
    [editja] crypto-officer@hostname:fips# issettja s-sigurtà macsec interfaces isem l-interface connectivityassociation
    CA1
  11. Ikkonfigura VLAN tagging.
    [editja] crypto-officer@hostname:fips# issettja l-interfaces interface-name1 flessibbli-vlan-tagging
    crypto-officer@hostname:fips# issettja interfaces interface-name1 inkapsulazzjoni flexibleethernet-services
    kripto-uffiċjal@hostname:fips#
    issettja interfaces interface-name1 unità 100 inkapsulament vlanbridge
    kripto-uffiċjal@hostname:fips#
    issettja l-interfaces interface-name1 unit 100 vlan-id 100
    crypto-officer@hostname:fips# issettja l-interfaces interface-name2 flessibbli-vlan-tagging
    crypto-officer@hostname:fips# issettja interfaces interface-name2 inkapsulazzjoni flessibbli Ethernet-servizzi
    kripto-uffiċjal@hostname:fips#
    issettja interfaces interface-name2 unità 100 inkapsulament vlanbridge
    kripto-uffiċjal@hostname:fips#
    issettja l-interfaces interface-name2 unit 100 vlan-id 100
  12. Ikkonfigura d-dominju tal-pont.
    [editja] crypto-officer@hostname:fips# issettja bridge-domains BD-110 domain-type bridge
    crypto-officer@hostname:fips# issettja bridge-domains BD-110 vlan-id 100
    crypto-officer@hostname:fips# issettja bridge-domains BD-110 interface interface-name1 100
    crypto-officer@hostname:fips# issettja bridge-domains BD-110 interface interface-name2 100

Konfigurazzjoni tal-Logging tal-Avvenimenti

Avveniment Logging Overview
Il-konfigurazzjoni evalwata teħtieġ l-awditjar tal-bidliet fil-konfigurazzjoni permezz tal-log tas-sistema.
Barra minn hekk, Junos OS jista’:

  • Ibgħat tweġibiet awtomatizzati għall-avvenimenti tal-awditjar (ħolqien tad-dħul syslog).
  • Ħalli l-maniġers awtorizzati jeżaminaw ir-reġistri tal-awditjar.
  • Ibgħat verifika files għal servers esterni.
  • Ħalli maniġers awtorizzati jirritornaw is-sistema għal stat magħruf.

Il-logging għall-konfigurazzjoni evalwata għandu jiġbor l-avvenimenti li ġejjin:

  • Bidliet fid-dejta taċ-ċavetta sigrieta fil-konfigurazzjoni.
  • Bidliet impenjati.
  • Login/logout tal-utenti.
  • L-istartjar tas-sistema.
  • Nuqqas li tiġi stabbilita sessjoni SSH.
  • Twaqqif/terminazzjoni ta' sessjoni SSH.
  • Bidliet fil-ħin (sistema).
  • Tmiem ta' sessjoni remota mill-mekkaniżmu ta' qfil tas-sessjoni.
  • Tmiem ta' sessjoni interattiva.

Barra minn hekk, Juniper Networks jirrakkomanda li l-illoggjar ukoll:

  • Aqbad il-bidliet kollha għall-konfigurazzjoni.
  • Aħżen l-informazzjoni tal-illoggjar mill-bogħod.

Konfigurazzjoni tal-Logging tal-Avvenimenti għal Lokali File
Tista 'tikkonfigura l-ħażna ta' informazzjoni tal-verifika għal lokali file bid-dikjarazzjoni syslog. Dan example taħżen zkuk fi a file jismu Verifika-File:
[editja sistema] syslog {
file Verifika-File;
}
Interpretazzjoni ta' Messaġġi ta' Avvenimenti
L-output li ġej juri bħalaample messaġġ tal-avveniment.
27 ta' Frar 02:33:04 bm-a mgd[6520]: UI_LOGIN_EVENT: Login tal-utent 'uffiċjal tas-sigurtà', klassi 'j-superuser'
[6520],
ssh-connection ”, mod tal-klijent
'cli'
27 ta' Frar 02:33:49 bm-a mgd[6520]: UI_DBASE_LOGIN_EVENT: Utent 'uffiċjal tas-sigurtà' qed jidħol fil-konfigurazzjoni
mod
27 ta' Frar 02:38:29 bm-a mgd[6520]: UI_CMDLINE_READ_LINE: Utent 'uffiċjal tas-sigurtà', kmand 'run show
log
Ġurnal tal-verifika | grep LOGIN
Tabella 4 f’paġna 69 jiddeskrivi l-oqsma għal messaġġ ta' avveniment. Jekk l-utilità tal-illoggjar tas-sistema ma tistax tiddetermina l-valur f'qasam partikolari, jidher sing ( – ) minflok.
Tabella 4: Oqsma f'Messaġġi ta' Avvenimenti

Qasam Deskrizzjoni Examples
timestamp Ħin meta ġie ġġenerat il-messaġġ, f'waħda minn żewġ rappreżentazzjonijiet:
• MMM-DD HH:MM:SS.MS+/-HH:MM, huwa x-xahar, jum, siegħa, minuta, sekonda u millisekonda fil-ħin lokali. Is-siegħa u l-minuta li jsegwu s-sinjal plus (+) jew minus (-) huma l-offset taż-żona tal-ħin lokali mill-Ħin Universali Koordinat (UTC).
• YYYY-MM-DDTHH:MM:SS.MSZ hija s-sena, ix-xahar, il-jum, is-siegħa, il-minuta, it-tieni u l-millisekondi f'UTC.		  27 ta’ Frar 02:33:04 huwa l-iktar ħinamp espress bħala ħin lokali fl-Istati Uniti.

2012-02-27T03:17:15.713Z is

2:33 AM UTC fis-27 ta’ Frar

2012.
hostname Isem tal-host li oriġinarjament iġġenera l-messaġġ.  router1
proċess Isem tal-proċess Junos OS li ġġenera l-messaġġ.  mgd
proċessID ID tal-proċess UNIX (PID) tal-proċess Junos OS li ġġenera l-messaġġ.  4153
TAG Messaġġ log tas-sistema Junos OS tag, li jidentifika b'mod uniku l-messaġġ.  UI_DBASE_LOGOUT_EVENT
username Isem tal-utent tal-utent li jibda l-avveniment.  "amministratur"
messaġġ-test Deskrizzjoni tal-avveniment bil-lingwa Ingliża .  sett: [sistema tar-raġġ-server 1.2.3.4 sigriet]

Logging Bidliet għad-Dejta Sigrieta
Dawn li ġejjin huma examples ta 'ġurnali ta' verifika ta 'avvenimenti li jibdlu d-dejta sigrieta. Kull meta jkun hemm bidla fil-konfigurazzjoni example, l-avveniment syslog għandu jaqbad il-logs hawn taħt:
24 ta' Lulju 17:43:28 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: Issettjat 'admin' tal-utent:
[system radius-server 1.2.3.4 sigriet] Jul 24 17:43:28 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: Issettjat 'admin' tal-utent:
[sistema login utent admin awtentikazzjoni encrypted-password] Lulju 24 17:43:28 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: Utent 'admin' sett:
[system login user admin2 authentication encrypted-password] Kull darba li konfigurazzjoni tiġi aġġornata jew mibdula, is-syslog għandu jaqbad dawn il-logs:
Lulju 24 18:29:09 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: Utent 'admin' jissostitwixxi:
[system radius-server 1.2.3.4 sigriet] Jul 24 18:29:09 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: Utent 'admin' jissostitwixxi:
[sistema login utent admin awtentikazzjoni encrypted-password] Lulju 24 18:29:09 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: Utent 'admin' jissostitwixxi:
[system login user admin authentication encrypted-password] Għal aktar informazzjoni dwar il-konfigurazzjoni tal-parametri u l-ġestjoni tal-log files, ara s-Sistema OS Junos
Referenza tal-Messaġġi tal-Logg.
Avvenimenti Login u Logout Bl-użu ta' SSH
Il-messaġġi log tas-sistema huma ġġenerati kull meta utent jipprova b'suċċess jew mingħajr suċċess aċċess SSH. L-avvenimenti tal-logout huma rreġistrati wkoll. Per example, ir-reġistri li ġejjin huma r-riżultat ta' żewġ tentattivi ta' awtentikazzjoni falluti, imbagħad wieħed ta' suċċess, u finalment logout:
20 ta' Diċembru 23:17:35 bilbo sshd[16645]: Falliet il-password għall-op minn 172.17.58.45 port 1673 ssh2
20 ta' Diċembru 23:17:42 bilbo sshd[16645]: Falliet il-password għall-op minn 172.17.58.45 port 1673 ssh2
20 ta' Diċembru 23:17:53 bilbo sshd[16645]: Password aċċettata għal op minn 172.17.58.45 port 1673 ssh2
Dec 20 23:17:53 bilbo mgd[16648]: UI_AUTH_EVENT: Utent awtentikat 'op' fil-livell ta' permess
'j-operatur'
Dec 20 23:17:53 bilbo mgd[16648]: UI_LOGIN_EVENT: User 'op' login, klassi 'j-operator' [16648] Dec 20 23:17:56 bilbo mgd[16648]: UI_CMDLINE_READ_LINE: User 'op', kmand 'nieqaf'
20 ta' Diċembru 23:17:56 bilbo mgd[16648]: UI_LOGOUT_EVENT: L-utent 'op' jagħlaq
Logging tal-Istartjar tal-Verifika
L-informazzjoni tal-verifika rreġistrata tinkludi startups ta’ Junos OS. Dan imbagħad jidentifika l-avvenimenti tal-istartjar tas-sistema tal-awditjar, li ma jistgħux jiġu diżattivati ​​jew attivati ​​b'mod indipendenti. Per example, jekk Junos OS jerġa' jinbeda, ir-reġistru tal-verifika fih l-informazzjoni li ġejja:
20 ta' Diċembru 23:17:35 bilbo syslogd: ħierġa fuq is-sinjal 14
Dec 20 23:17:35 bilbo syslogd: jerġa' jibda
20 ta' Diċembru 23:17:35 bilbo syslogd /kernel: 20 ta' Diċembru 23:17:35 init: syslogd (PID 19128) ħareġ bi
status=1
Dec 20 23:17:42 bilbo /kernel:
20 ta' Diċembru 23:17:53 init: syslogd (PID 19200) beda

Twettiq ta' Awto-Testijiet fuq Apparat

Nifhmu l-Awto-Testijiet tal-FIPS
Il-modulu kriptografiku jinforza regoli ta 'sigurtà biex jiżgura li l-Juniper Netwerks Junos joperaw
sistema (Junos OS) fil-modalità FIPS tissodisfa r-rekwiżiti tas-sigurtà tal-FIPS 140-2 Livell 1. Biex tivvalida l-
output ta 'algoritmi kriptografiċi approvati għal FIPS u tittestja l-integrità ta' xi moduli tas-sistema,
l-apparat iwettaq is-serje li ġejja ta’ awto-testijiet tat-test tat-tweġiba magħrufa (KAT):

  • kernel_kats—KAT għal rutini kriptografiċi tal-qalba
  • md_kats—KAT għal riġlejn u libc
  • openssl_kats—KAT għall-implimentazzjoni kriptografika OpenSSL
  • quicksec_kats—KAT għall-implimentazzjoni kriptografika ta' QuickSec Toolkit
  •  ssh_ipsec_kats—KAT għall-implimentazzjoni kriptografika ta' SSH IPsec Toolkit
  • macsec_kats—KAT għall-implimentazzjoni kriptografika MACsec

L-awtotestijiet tal-KAT jitwettqu awtomatikament mal-istartjar. L-awtotestijiet kondizzjonali jsiru wkoll awtomatikament biex jivverifikaw pakketti ta’ softwer iffirmati diġitalment, numri każwali ġġenerati, pari ta’ ċwievet RSA u ECDSA, u ċwievet imdaħħla manwalment.
Jekk il-KATs jitlestew b'suċċess, ir-reġistru tas-sistema (syslog) file huwa aġġornat biex juri t-testijiet li ġew esegwiti.
Jekk ikun hemm falliment tal-KAT, l-apparat jikteb id-dettalji fil-log tas-sistema file, jidħol fi stat ta' żball FIPS (paniku) u jerġa' jibda.
Il- file show /var/log/messages kmand juri l-log tas-sistema.
Tista 'wkoll tmexxi l-awtotest tal-FIPS billi toħroġ kmand ta' reboot request vmhost. Tista 'tara r-zkuk tal-awtotest tal-FIPS fuq il-console meta s-sistema tkun ġejja.
Example: Ikkonfigura l-Awto-Testijiet tal-FIPS
Dan example turi kif tikkonfigura l-awto-testijiet tal-FIPS biex jaħdmu perjodikament.
Ħtiġijiet ta' ħardwer u softwer

  • Irid ikollok privileġġi amministrattivi biex tikkonfigura l-awto-testijiet FIPS.
  • L-apparat irid ikun qed iħaddem il-verżjoni evalwata ta' Junos OS fis-softwer tal-modalità FIPS.

Fuqview
L-awtotest tal-FIPS jikkonsisti f'dawn il-gruppi ta' testijiet ta' tweġibiet magħrufa (KATs) li ġejjin:

  • kernel_kats—KAT għal rutini kriptografiċi tal-qalba
  • md_kats—KAT għal libmd u libc
  • quicksec_kats—KAT għall-implimentazzjoni kriptografika ta' QuickSec Toolkit
  • openssl_kats—KAT għall-implimentazzjoni kriptografika OpenSSL
  • ssh_ipsec_kats—KAT għall-implimentazzjoni kriptografika ta' SSH IPsec Toolkit
  • macsec_kats—KAT għall-implimentazzjoni kriptografika MACsec
    F'dan example, l-awtotest tal-FIPS isir fid-9:00 AM fi New York City, l-Istati Uniti, kull nhar ta’ Erbgħa.

NOTA: Minflok testijiet ta 'kull ġimgħa, tista' tikkonfigura testijiet ta 'kull xahar billi tinkludi d-dikjarazzjonijiet tax-xahar u tal-ġurnata tax-xahar.
Meta self-test KAT ifalli, messaġġ log jinkiteb fil-messaġġi log tas-sistema file bid-dettalji tal-falliment tat-test. Imbagħad is-sistema tinfetaħ u terġa 'tibda.
Konfigurazzjoni Quick CLI
Biex tikkonfigura malajr dan example, kopja l-kmandi li ġejjin, waħħalhom f'test file, neħħi kwalunkwe waqfiet tal-linja, ibdel kwalunkwe dettalji meħtieġa biex taqbel mal-konfigurazzjoni tan-netwerk tiegħek, u mbagħad ikkupja u waħħal il-kmandi fis-CLI fil-livell tal-ġerarkija [editja].
issettja sistema fips awto-test perjodiku bidu ħin 09:00
issettja sistema fips awto-test perjodiku jum tal-ġimgħa 3
Proċedura pass pass
Biex tikkonfigura l-awtotest tal-FIPS, illoggja mal-apparat bil-kredenzjali tal-kripto-uffiċjali:

  1. Ikkonfigura l-awtotest tal-FIPS biex iwettaq fid-9:00 AM kull nhar ta' Erbgħa.
    [editja sistema fips awto-test] crypto-officer@hostname:fips# issettja l-ħin tal-bidu perjodiku 09:00
    crypto-officer@hostname:fips# sett perjodiku jum tal-ġimgħa 3
  2. Jekk lest il-konfigurazzjoni tal-apparat, ikkommetti l-konfigurazzjoni.
    [editja sistema fips awto-test] crypto-officer@hostname:fips# kommit

Riżultati
Mill-mod ta 'konfigurazzjoni, ikkonferma l-konfigurazzjoni tiegħek billi toħroġ il-kmand tas-sistema ta' l-ispettaklu. Jekk l-output ma jurix il-konfigurazzjoni maħsuba, irrepeti l-istruzzjonijiet f'dan l-eżample biex tikkoreġi l-konfigurazzjoni.
crypto-officer@hostname:fips# juru sistema
fippi {
awtotest {
perjodiku {
ħin tal-bidu "09:00";
jum tal-ġimgħa 3;
}
}
}

Verifika

Ikkonferma li l-konfigurazzjoni qed taħdem sew.
Il-verifika tal-Awto-Test tal-FIPS

Għan
Ivverifika li l-awtotest tal-FIPS huwa attivat.
Azzjoni
Mexxi l-awtotest tal-FIPS manwalment billi toħroġ il-kmand tal-awtotest tal-fips tas-sistema tat-talba jew ibda mill-ġdid l-apparat.
Wara li toħroġ is-sistema tat-talba fips awto-test kmand jew reboot l-apparat, il-log tas-sistema file huwa aġġornat biex juri l-KATs li huma esegwiti. Biex view ir-reġistru tas-sistema file, toħroġ il- file juru /var/log/ messaġġi kmand.
utent@host# file juru /var/log/messages
RE KATS:
mgd: Tmexxi Awto-testijiet FIPS
mgd: Ittestjar tal-qalba KATS:
mgd: NIST 800-90 HMAC DRBG Test Tweġiba Magħrufa: Għadda
mgd: DES3-CBC Test Tweġiba Magħrufa: Għadda
mgd: HMAC-SHA1 Test Tweġiba Magħrufa: Għadda
mgd: HMAC-SHA2-256 Test Tweġiba Magħrufa: Għadda
mgd: SHA-2-384 Test Tweġiba Magħrufa: Għadda
mgd: SHA-2-512 Test Tweġiba Magħrufa: Għadda
mgd: AES128-CMAC Test Tweġiba Magħrufa: Għadda
mgd: Test ta' Tweġiba Magħrufa AES-CBC: Għadda
mgd: Ittestjar MACSec KATS:
mgd: AES128-CMAC Test Tweġiba Magħrufa: Għadda
mgd: AES256-CMAC Test Tweġiba Magħrufa: Għadda
mgd: Test ta' Tweġiba Magħrufa AES-ECB: Għadda
mgd: AES-KEYWRAP Test Tweġiba Magħrufa: Għadda
mgd: Test ta' Tweġiba Magħrufa KBKDF: Għadda
mgd: Ittestjar libmd KATS:
mgd: HMAC-SHA1 Test Tweġiba Magħrufa: Għadda
mgd: HMAC-SHA2-256 Test Tweġiba Magħrufa: Għadda
mgd: SHA-2-512 Test Tweġiba Magħrufa: Għadda
mgd: Ittestjar OpenSSL KATS:
mgd: NIST 800-90 HMAC DRBG Test Tweġiba Magħrufa: Għadda
mgd: Test ta' Tweġiba Magħrufa FIPS ECDSA: Għadda
mgd: FIPS ECDH Tweġiba Magħrufa Test: Għadda
mgd: FIPS RSA Tweġiba Magħrufa Test: Għadda
mgd: DES3-CBC Test Tweġiba Magħrufa: Għadda
mgd: HMAC-SHA1 Test Tweġiba Magħrufa: Għadda
mgd: HMAC-SHA2-224 Test Tweġiba Magħrufa: Għadda
mgd: HMAC-SHA2-256 Test Tweġiba Magħrufa: Għadda
mgd: HMAC-SHA2-384 Test Tweġiba Magħrufa: Għadda
mgd: HMAC-SHA2-512 Test Tweġiba Magħrufa: Għadda
mgd: Test ta' Tweġiba Magħrufa AES-CBC: Għadda
mgd: Test ta' Tweġiba Magħrufa AES-GCM: Għadda
mgd: ECDSA-SIGN Tweġiba Magħrufa Test: Għadda
mgd: KDF-IKE-V1 Test Tweġiba Magħrufa: Għadda
mgd: KDF-SSH-SHA256 Test Tweġiba Magħrufa: Għadda
mgd: KAS-ECC-EPHEM-UNIFIED-NOKC Test Tweġiba Magħrufa: Għadda
mgd: KAS-FFC-EPHEM-NOKC Test Tweġiba Magħrufa: Għadda
mgd: Ittestjar ta' QuickSec 7.0 KATS:
mgd: NIST 800-90 HMAC DRBG Test Tweġiba Magħrufa: Għadda
mgd: DES3-CBC Test Tweġiba Magħrufa: Għadda
mgd: HMAC-SHA1 Test Tweġiba Magħrufa: Għadda
mgd: HMAC-SHA2-224 Test Tweġiba Magħrufa: Għadda
mgd: HMAC-SHA2-256 Test Tweġiba Magħrufa: Għadda
mgd: HMAC-SHA2-384 Test Tweġiba Magħrufa: Għadda
mgd: HMAC-SHA2-512 Test Tweġiba Magħrufa: Għadda
mgd: Test ta' Tweġiba Magħrufa AES-CBC: Għadda
mgd: Test ta' Tweġiba Magħrufa AES-GCM: Għadda
mgd: SSH-RSA-ENC Test Tweġiba Magħrufa: Għadda
mgd: SSH-RSA-SIGN Tweġiba Magħrufa Test: Għadda
mgd: SSH-ECDSA-SIGN Tweġiba Magħrufa Test: Għadda
mgd: KDF-IKE-V1 Test Tweġiba Magħrufa: Għadda
mgd: KDF-IKE-V2 Test Tweġiba Magħrufa: Għadda
mgd: Ittestjar QuickSec KATS:
mgd: NIST 800-90 HMAC DRBG Test Tweġiba Magħrufa: Għadda
mgd: DES3-CBC Test Tweġiba Magħrufa: Għadda
mgd: HMAC-SHA1 Test Tweġiba Magħrufa: Għadda
mgd: HMAC-SHA2-224 Test Tweġiba Magħrufa: Għadda
mgd: HMAC-SHA2-256 Test Tweġiba Magħrufa: Għadda
mgd: HMAC-SHA2-384 Test Tweġiba Magħrufa: Għadda
mgd: HMAC-SHA2-512 Test Tweġiba Magħrufa: Għadda
mgd: Test ta' Tweġiba Magħrufa AES-CBC: Għadda
mgd: Test ta' Tweġiba Magħrufa AES-GCM: Għadda
mgd: SSH-RSA-ENC Test Tweġiba Magħrufa: Għadda
mgd: SSH-RSA-SIGN Tweġiba Magħrufa Test: Għadda
mgd: KDF-IKE-V1 Test Tweġiba Magħrufa: Għadda
mgd: KDF-IKE-V2 Test Tweġiba Magħrufa: Għadda
mgd: Ittestjar SSH IPsec KATS:
mgd: NIST 800-90 HMAC DRBG Test Tweġiba Magħrufa: Għadda
mgd: DES3-CBC Test Tweġiba Magħrufa: Għadda
mgd: HMAC-SHA1 Test Tweġiba Magħrufa: Għadda
mgd: HMAC-SHA2-256 Test Tweġiba Magħrufa: Għadda
mgd: Test ta' Tweġiba Magħrufa AES-CBC: Għadda
mgd: SSH-RSA-ENC Test Tweġiba Magħrufa: Għadda
mgd: SSH-RSA-SIGN Tweġiba Magħrufa Test: Għadda
mgd: KDF-IKE-V1 Test Tweġiba Magħrufa: Għadda
mgd: Ittestjar file integrità:
mgd: File integrità Test Tweġiba Magħrufa: Għadda
mgd: Ittestjar tal-integrità tal-kripto:
mgd: Integrità Crypto Test Tweġiba Magħrufa: Għadda
mgd: Stenna exec AuthenticatiMAC/veriexec: ebda marki tas-swaba' (file=/sbin/kats/cannot-exec
fsid=246 fileid=49356 gen=1 uid=0 pid=9384 ppid=9354 gppid=9352) fuq żball...
mgd: /sbin/kats/run-tests: /sbin/kats/cannot-exec: Żball ta' awtentikazzjoni
mgd: Awto-testijiet FIPS Għaddew
LC KATS:
12 ta’ Settembru 10:50:44 network_macsec_kats_input xe- /0/0:0:
le> pic:0 port:0 chan:0 FIPS AES-256-GCM MACsec KATS encryption għadda
12 ta’ Settembru 10:50:50 network_macsec_kats_input xe- /0/1:0:
le> pic:0 port:1 chan:0 FIPS AES-256-GCM MACsec KATS encryption għadda
12 ta’ Settembru 10:50:55 network_macsec_kats_input xe- /0/0:0:
le> pic:0 port:0 chan:0 FIPS AES-256-GCM MACsec KATS decryption għadda
12 ta’ Settembru 10:50:56 network_macsec_kats_input xe- /0/2:0:
le> pic:0 port:2 chan:0 FIPS AES-256-GCM MACsec KATS encryption għadda
12 ta’ Settembru 10:51:01 network_macsec_kats_input xe- /0/1:0:
le> pic:0 port:1 chan:0 FIPS AES-256-GCM MACsec KATS decryption għadda
12 ta’ Settembru 10:51:02 network_macsec_kats_input xe- /0/2:0:
le> pic:0 port:2 chan:0 FIPS AES-256-GCM MACsec KATS decryption għadda
12 ta’ Settembru 10:51:06 network_macsec_kats_input xe- /0/3:0:
le> pic:0 port:3 chan:0 FIPS AES-256-GCM MACsec KATS encryption għadda
12 ta’ Settembru 10:51:12 network_macsec_kats_input xe- /0/3:0:
le> pic:0 port:3 chan:0 FIPS AES-256-GCM MACsec KATS decryption għadda
12 ta’ Settembru 10:51:17 network_macsec_kats_input xe- /0/4:0:
le> pic:0 port:4 chan:0 FIPS AES-256-GCM MACsec KATS encryption għadda
12 ta’ Settembru 10:51:17 network_macsec_kats_input xe- /0/4:0:
le> pic:0 port:4 chan:0 FIPS AES-256-GCM MACsec KATS decryption għadda
12 ta’ Settembru 10:51:26 network_macsec_kats_input xe- /0/5:0:
le> pic:0 port:5 chan:0 FIPS AES-256-GCM MACsec KATS encryption għadda
12 ta’ Settembru 10:51:27 network_macsec_kats_input xe- /0/5:0:
le> pic:0 port:5 chan:0 FIPS AES-256-GCM MACsec KATS decryption għadda
12 ta’ Settembru 10:51:36 network_macsec_kats_input xe- /0/6:0:
le> pic:0 port:6 chan:0 FIPS AES-256-GCM MACsec KATS encryption għadda
12 ta’ Settembru 10:51:36 network_macsec_kats_input xe- /0/6:0:
le> pic:0 port:6 chan:0 FIPS AES-256-GCM MACsec KATS decryption għadda
12 ta’ Settembru 10:51:44 network_macsec_kats_input xe- /0/7:0:
le> pic:0 port:7 chan:0 FIPS AES-256-GCM MACsec KATS encryption għadda
12 ta’ Settembru 10:51:44 network_macsec_kats_input xe- /0/7:0:
le> pic:0 port:7 chan:0 FIPS AES-256-GCM MACsec KATS decryption għadda
12 ta’ Settembru 10:51:51 network_macsec_kats_input xe- /0/8:0:
le> pic:0 port:8 chan:0 FIPS AES-256-GCM MACsec KATS encryption għadda
12 ta’ Settembru 10:51:51 network_macsec_kats_input xe- /0/8:0:
le> pic:0 port:8 chan:0 FIPS AES-256-GCM MACsec KATS decryption għadda
12 ta’ Settembru 10:51:58 network_macsec_kats_input xe- /0/9:0:
le> pic:0 port:9 chan:0 FIPS AES-256-GCM MACsec KATS encryption għadda
12 ta’ Settembru 10:51:58 network_macsec_kats_input xe- /0/9:0:
le> pic:0 port:9 chan:0 FIPS AES-256-GCM MACsec KATS decryption għadda
12 ta’ Settembru 10:52:05 network_macsec_kats_input xe- /0/10:0:
Slot no> pic:0 port:10 chan:0 FIPS AES-256-GCM MACsec KATS encryption għadda
12 ta’ Settembru 10:52:05 network_macsec_kats_input xe- /0/10:0:
Slot Nru> pic:0 port:10 chan:0 FIPS AES-256-GCM MACsec KATS decryption għadda
12 ta’ Settembru 10:52:12 network_macsec_kats_input xe- /0/11:0:
Slot no> pic:0 port:11 chan:0 FIPS AES-256-GCM MACsec KATS encryption għadda
12 ta’ Settembru 10:52:12 network_macsec_kats_input xe- /0/11:0:
Slot Nru> pic:0 port:11 chan:0 FIPS AES-256-GCM MACsec KATS decryption għadda
12 ta’ Settembru 10:52:20 network_macsec_kats_input xe- /1/0:0:
le> pic:1 port:0 chan:0 FIPS AES-256-GCM MACsec KATS encryption għadda
12 ta’ Settembru 10:52:20 network_macsec_kats_input xe- /1/0:0:
le> pic:1 port:0 chan:0 FIPS AES-256-GCM MACsec KATS decryption għadda
12 ta’ Settembru 10:52:27 network_macsec_kats_input xe- /1/1:0:
le> pic:1 port:1 chan:0 FIPS AES-256-GCM MACsec KATS encryption għadda
12 ta’ Settembru 10:52:28 network_macsec_kats_input xe- /1/1:0:
le> pic:1 port:1 chan:0 FIPS AES-256-GCM MACsec KATS decryption għadda
12 ta’ Settembru 10:52:34 network_macsec_kats_input xe- /1/2:0:
le> pic:1 port:2 chan:0 FIPS AES-256-GCM MACsec KATS encryption għadda
Tifsira
Il-log tas-sistema file juri d-data u l-ħin li fihom il-KATs ġew esegwiti u l-istatus tagħhom.

Kmandi Operattivi

Sintassi
sistema talba zeroize
Deskrizzjoni
Għal RE1800, neħħi l-informazzjoni kollha tal-konfigurazzjoni fuq il-Magni tar-Rotot u reset il-valuri ewlenin kollha. Jekk l-apparat għandu doppju Routing Engines, il-kmand jixxandar lill-Roting Engines kollha fuq l-apparat. Il-kmand ineħħi d-dejta kollha  files, inkluż konfigurazzjoni personalizzata u log files, billi tgħaqqad il- files mid-direttorji tagħhom. Il-kmand ineħħi kull maħluq mill-utent files mis-sistema inklużi l-passwords, sigrieti, u ċwievet privati ​​kollha għal SSH, encryption lokali, awtentikazzjoni lokali, IPsec, RADIUS, TACACS +, u SNMP.
Dan il-kmand jerġa 'jibda l-apparat u jistabbilixxih għall-konfigurazzjoni default tal-fabbrika. Wara r-reboot, ma tistax taċċessa l-apparat permezz tal-interface Ethernet ta 'ġestjoni. Idħol permezz tal-console bħala root u ibda l-Junos OS CLI billi ttajpja cli fil-pront.
Livell ta' Privileġġ Meħtieġa
manutenzjoni
talba vmhost zeroize no-forwarding
Sintassi
talba vmhost zeroize no-forwarding
Deskrizzjoni
Għal REMX2K-X8, neħħi l-informazzjoni kollha tal-konfigurazzjoni fuq il-Magni tar-Rotot u reset il-valuri ewlenin kollha. Jekk l-apparat għandu doppju Routing Engines, il-kmand jixxandar liż-żewġ Routing Engines fuq l-apparat.
Il-kmand ineħħi d-dejta kollha files, inkluż konfigurazzjoni personalizzata u log files, billi tgħaqqad il- files mid-direttorji tagħhom. Il-kmand ineħħi kull maħluq mill-utent files mis-sistema inklużi l-passwords kollha b'test sempliċi, sigrieti, u ċwievet privati ​​għal SSH, encryption lokali, awtentikazzjoni lokali, IPsec, RADIUS, TACACS +, u SNMP.
Dan il-kmand jerġa 'jibda l-apparat u jistabbilixxih għall-konfigurazzjoni default tal-fabbrika. Wara r-reboot, ma tistax taċċessa l-apparat permezz tal-interface Ethernet ta 'ġestjoni. Idħol permezz tal-console bħala l-utent għerq u ibda l-Junos OS CLI billi ttajpja cli fil-pront.
Sample Output
talba vmhost zeroize no-forwarding
user@host> talba vmhost zeroize no-forwarding
VMHost Zeroization : Ħassar id-dejta kollha, inklużi l-konfigurazzjoni u l-log files ?
[iva, le] (le) iva
re0:
twissija: Vmhost se jerġa 'jibda u jista' ma jibda mingħajr
konfigurazzjoni
twissija: Proċedi bil-vmhost
zeroize
Zeroise disk intern sekondarju
Proċedi b'zeroize fuq sekondarju
disk
Apparat tal-immuntar bi tħejjija għal
iżerolizza...
Tindif id-diska fil-mira għal zeroize
Zeroize magħmul fuq il-mira
disk.
Zeroize tad-disk sekondarju
kompletati
Zeroize diska interna primarja
Proċedi b'zeroize fuq primarja
disk
/etc/ssh/ssh_host_ecdsa_key.pub
/etc/ssh/ssh_host_rsa_key
/etc/ssh/ssh_host_dsa_key.pub
/etc/ssh/ssh_host_rsa_key.pub
/etc/ssh/ssh_host_ecdsa_key
/etc/ssh/ssh_host_dsa_key
Apparat tal-immuntar bi tħejjija għal
iżerolizza...
Tindif id-diska fil-mira għal zeroize
Zeroize magħmul fuq il-mira
disk.
Zeroize tad-disk primarju
kompletati
Zeroize
sar
—(aktar)— Waqfien
cron.
Stennija għall-PIDS:
6135.
.
16 ta' Frar 14:59:33 jlaunchd: perjodiċi-packet-services (PID 6181) ittemm is-sinjal 15 mibgħut
16 ta' Frar 14:59:33 jlaunchd: smg-service (PID 6234) ittemm is-sinjal 15 mibgħut
16 ta' Frar 14:59:33 jlaunchd: identifikazzjoni tal-applikazzjoni (PID 6236) ittemm is-sinjal 15 mibgħut
Frar 16 14:59:33 jlaunchd: ifstate-tracing-process (PID 6241) ittemm is-sinjal 15 mibgħut
Frar 16 14:59:33 jlaunchd: ġestjoni tar-riżorsi (PID 6243) ittemm is-sinjal 15 mibgħut
Frar 16 14:59:33 jlaunchd: iċċarġjat (PID 6246) ittemm is-sinjal 15 mibgħut
Frar 16 14:59:33 jlaunchd: servizz-liċenzja (PID 6255) ittemm is-sinjal 15 mibgħut
Frar 16 14:59:33 jlaunchd: ntp (PID 6620) ittemm is-sinjal 15 mibgħut
16 ta' Frar 14:59:33 jlaunchd: gkd-chassis (PID 6621) ittemm is-sinjal 15 mibgħut
Frar 16 14:59:33 jlaunchd: gkd-lchassis (PID 6622) ittemm is-sinjal 15 mibgħut
16 ta' Frar 14:59:33 jlaunchd: ir-rotta (PID 6625) ittemm is-sinjal 15 mibgħut
Frar 16 14:59:33 jlaunchd: sonet-aps (PID 6626) ittemm is-sinjal 15 mibgħut
Frar 16 14:59:33 jlaunchd: operazzjonijiet remoti (PID 6627) ittemm is-sinjal 15 mibgħut
16 ta’ Frar 14:59:33 jlaunchd: class-of-service
……..
99Logo tal-ĠUNIPER

Dokumenti / Riżorsi

JUNIPER NETWORKS Junos OS FIPS Apparati Evalwati [pdfGwida għall-Utent
Apparati Evalwati Junos OS FIPS, Junos OS, Apparati Evalwati FIPS, Apparati Evalwati, Apparati

Referenzi

Ħalli kumment

L-indirizz elettroniku tiegħek mhux se jiġi ppubblikat. L-oqsma meħtieġa huma mmarkati *