د جونیپر لوگود انجینرۍ سادگي
Junos® OS
لپاره د FIPS ارزول شوي ترتیب لارښود
MX960، MX480، او MX240 وسایل

منځپانګې پټول
1 JUNIPER NETWORKS Junos OS FIPS ارزول شوي وسایل
2 اوورview
3 د اداري اعتبار او امتیازاتو ترتیب کول
4 د رولونو او تصدیق کولو میتودونو ترتیب کول
5 د SSH او کنسول پیوستون تنظیم کول
6 د MACsec ترتیب کول
7 د پرت 2 ترافیک لپاره د کیچین سره د MACsec تنظیم کول
8 د پیښې د ننوتلو ترتیب کول
9 په یوه وسیله د ځان ازموینې ترسره کول
10 عملیاتي قوماندې
11 اسناد / سرچینې
11.1 حوالې

JUNIPER NETWORKS Junos OS FIPS ارزول شوي وسایل

JUNIPER NETWORKS Junos OS FIPS ارزول شوي وسایل 1خوشې کول
20.3X75-D30

Juniper Networks, Inc.
1133 د نوښت لاره
سني ویل، کالیفورنیا 94089
USA
408-745-2000
www.juniper.net
د جونیپر شبکې، د جونیپر شبکې لوگو، جونیپر، او جونوس د Juniper Networks، Inc راجستر شوي سوداګریزې نښې دي.
په متحده ایالاتو او نورو هیوادونو کې. نور ټول سوداګریز نښانونه، د خدماتو نښانونه، راجستر شوي نښانونه، یا راجستر شوي خدمت نښان د دوی د اړوندو مالکینو ملکیت دی.
د جونیپر شبکې په دې سند کې د کومې غلطۍ لپاره هیڅ مسؤلیت په غاړه نه اخلي. د جونیپر شبکه پرته له خبرتیا پرته د دې خپرونې د بدلون، تعدیل، لیږد، یا بل ډول بیاکتنې حق لري.
د MX960، MX480، او MX240 وسیلو 20.3X75-D30 لپاره د Junos® OS FIPS ارزول شوي ترتیب لارښود
د چاپ حق © 2023 Juniper Networks, Inc. ټول حقونه خوندي دي.
په دې سند کې معلومات د سرلیک په پاڼه کې د نیټې پورې اوسني دي.
د 2000 کال خبرتیا
د جونیپر شبکې هارډویر او سافټویر محصولات د 2000 کال مطابق دي. د جونوس OS د 2038 کال په اوږدو کې د وخت پورې اړوند محدودیتونه ندي پیژندل شوي. په هرصورت، د NTP غوښتنلیک په 2036 کال کې یو څه ستونزې لري.
د پای کارونکي جواز تړون
د جونیپر شبکې محصول چې د دې تخنیکي اسنادو موضوع ده د جونیپر شبکې سافټویر څخه جوړ دی (یا د کارولو لپاره دی). د دې ډول سافټویر کارول د پای کارونکي جواز تړون ("EULA") د شرایطو او شرایطو تابع دي. https://support.juniper.net/support/eula/. د داسې سافټویر ډاونلوډ، نصب یا کارولو سره، تاسو د EULA شرایطو او شرایطو سره موافق یاست.

د دې لارښود په اړه
د فدرالي معلوماتو پروسس کولو معیارونو (FIPS) 960-480 کچه 240 چاپیریال کې د MX140، MX2، او MX1 وسیلو چلولو لپاره دا لارښود وکاروئ. FIPS 140-2 د هارډویر او سافټویر لپاره د امنیت کچه ​​تعریفوي چې د کریپټوګرافیک دندې ترسره کوي.
اړونده اسناد
عام معیارونه او د FIPS سندونه

اوورview

په FIPS حالت کې د جونوس OS پوهیدل
په دې برخه کې

  • ملاتړ شوي پلیټ فارمونه او هارډویرونه | 2
  • ستاسو په وسیله د کریپټوګرافیک سرحد په اړه | 3
  • د FIPS حالت څنګه د غیر FIPS حالت څخه توپیر لري | 3
  • د جونوس OS تایید شوی نسخه په FIPS حالت کې | 3

د فدرالي معلوماتو پروسس کولو معیارونه (FIPS) 140-2 د هارډویر او سافټویر لپاره د امنیت کچه ​​ټاکي چې د کریپټوګرافیک دندې ترسره کوي. دا د جونیپر شبکې روټر په FIPS موډ کې د Juniper Networks Junos عملیاتي سیسټم (Junos OS) چلوي د FIPS 140-2 کچې 1 معیار سره مطابقت لري.
د FIPS 140-2 لیول 1 چاپیریال کې د دې روټر چلول د Junos OS کمانډ لاین انٹرفیس (CLI) څخه په وسیلو کې د FIPS حالت فعال او تنظیم کولو ته اړتیا لري.
د کریپټو افسر په جونوس OS کې FIPS موډ فعالوي او د سیسټم او نورو FIPS کاروونکو لپاره کیلي او پاسورډونه تنظیموي.
ملاتړ شوي پلیټ فارمونه او هارډویرونه
په دې سند کې بیان شوي ځانګړتیاو لپاره، لاندې پلیټ فارمونه د FIPS تصدیق کولو لپاره کارول کیږي:

ستاسو په وسیله د کریپټوګرافیک سرحد په اړه
د FIPS 140-2 اطاعت په وسیله کې د هر کریپټوګرافیک ماډل شاوخوا تعریف شوي کریپټوګرافیک حد ته اړتیا لري. جونوس OS په FIPS موډ کې د کریپټوګرافیک ماډل د هر هغه سافټویر اجرا کولو مخه نیسي چې د FIPS - تصدیق شوي توزیع برخه نه وي ، او یوازې د FIPS - تصویب شوي کریپټوګرافیک الګوریتمونو کارولو ته اجازه ورکوي. هیڅ مهم امنیتي پارامترونه (CSPs)، لکه پاسورډونه او کیلي، نشي کولی د ماډل کریپټوګرافیک حد په غیر کوډ شوي شکل کې تیر کړي.
د بیروني پلس ټاپ لړۍ د فائر پیټ اتصال کټونه او داخلونه - آیکون 1 احتیاط: د مجازی چیسس ځانګړتیاوې په FIPS حالت کې نه ملاتړ کیږي. په FIPS حالت کې مجازی چیسس مه تنظیم کړئ.

د FIPS حالت څنګه د غیر FIPS حالت څخه توپیر لري
جونوس OS په FIPS حالت کې په غیر FIPS حالت کې د Junos OS څخه په لاندې لارو کې توپیر لري:

  • د ټولو کریپټوګرافیک الګوریتمونو ځان ازموینې په پیل کې ترسره کیږي.
  • د تصادفي شمیرې او کلیدي نسل ځان ازموینې په دوامداره توګه ترسره کیږي.
  • کمزوری کریپټوګرافیک الګوریتمونه لکه د ډیټا کوډ کولو معیار (DES) او MD5 غیر فعال دي.
  • ضعیف یا نه کوډ شوي مدیریت اړیکې باید تنظیم نه شي.
  • پاسورډونه باید د قوي یو طرفه الګوریتم سره کوډ شوي وي چې د کوډ کولو اجازه نه ورکوي.
  • د مدیر پاسورډونه باید لږترلږه 10 حروف اوږد وي.

د جونوس OS تایید شوی نسخه په FIPS حالت کې
د دې لپاره چې معلومه کړي چې ایا د جونوس OS خوشې کول د NIST لخوا تایید شوي، د جونیپر شبکې کې د موافقت مشاور پاڼه وګورئ Web سایټ (https://apps.juniper.net/compliance/).
اړونده اسناد
د خوندي محصول تحویلي پیژندنه | ۸

د FIPS اصطلاحاتو پوهیدل او ملاتړ شوي کریپټوګرافیک الګوریتم
په دې برخه کې
اصطلاحات | 4
ملاتړ شوی کریپټوګرافیک الګوریتم | 5
د FIPS شرایطو تعریفونه وکاروئ ، او ملاتړ شوي الګوریتمونه تاسو سره د FIPS حالت کې د جونوس OS په پوهیدو کې مرسته وکړئ.

اصطلاحات
مهم امنیتي پیرامیټر (CSP)
د امنیت اړوند معلومات — د مثال لپارهample، پټ او شخصي کریپټوګرافیک کیلي او د تصدیق ډیټا لکه پاسورډونه او د شخصي پیژندنې شمیرې (PINs) - چې افشا کول یا ترمیم کولی شي د کریپټوګرافیک ماډل امنیت یا هغه معلومات چې دا یې خوندي کوي موافقت وکړي. د جزیاتو لپاره، په 16 پاڼه کې "د جونوس OS لپاره د عملیاتي چاپیریال پوهیدل په FIPS موډ کې" وګورئ.
د کریپټوګرافیک ماډل
د هارډویر، سافټویر، او فرم ویئر سیټ چې تصویب شوي امنیتي دندې پلي کوي (د کریپټوګرافیک الګوریتم او کلیدي نسل په شمول) او د کریپټوګرافیک حد کې شامل دي.
FIPS
د فدرالي معلوماتو پروسس کولو معیارونه. FIPS 140-2 د امنیت او کریپټوګرافیک ماډلونو لپاره اړتیاوې مشخصوي. جونوس OS په FIPS حالت کې د FIPS 140-2 کچې 1 سره مطابقت لري.
د FIPS د ساتنې رول
هغه رول چې د کریپټو افسر د فزیکي ساتنې یا منطقي ساتنې خدماتو ترسره کولو لپاره فرض کوي لکه هارډویر یا سافټویر تشخیص. د FIPS 140-2 موافقت لپاره، د کریپټو افسر د FIPS د ساتنې رول ته د ننوتلو او وتلو په وخت کې د روټینګ انجن صفر کوي ترڅو ټول ساده متن پټ او شخصي کیلي او غیر خوندي CSPs له مینځه یوسي.
یادونه: د FIPS د ساتنې رول په جونوس OS کې په FIPS حالت کې ملاتړ نه کوي.
KATs
پیژندل شوي ځواب ازموینې. د سیسټم ځان ازموینې چې د FIPS لپاره تصویب شوي د کریپټوګرافیک الګوریتم محصول تاییدوي او د ځینې جونوس OS ماډلونو بشپړتیا ازموینه کوي. د جزیاتو لپاره، په 73 پاڼه کې "د FIPS ځان ازموینې پوهیدل" وګورئ.
SSH
یو پروتوکول چې په غیر خوندي شبکې کې د لرې لاسرسي لپاره قوي تصدیق او کوډ کول کاروي. SSH د ریموټ ننوت چمتو کوي، د ریموټ پروګرام اجرا کول، file کاپي، او نورې دندې. دا په UNIX چاپیریال کې د rlogin، rsh، او rcp لپاره د خوندي بدیل په توګه ټاکل شوی. د اداري اړیکو له لارې لیږل شوي معلوماتو خوندي کولو لپاره، د CLI ترتیب لپاره SSHv2 وکاروئ. په جونوس OS کې، SSHv2 په ډیفالټ فعال شوی، او SSHv1، چې خوندي نه ګڼل کیږي، غیر فعال دی. زیرو کول
د ټولو CSPs او نورو کاروونکو لخوا رامینځته شوي ډیټا له مینځه وړل مخکې له دې چې د FIPS کریپټوګرافیک ماډل په توګه عملیات وکړي یا د غیر FIPS عملیاتو لپاره د وسیلو بیا تنظیم کولو لپاره چمتووالی کې.
د کریپټو افسر کولی شي سیسټم د CLI عملیاتي قوماندې سره صفر کړي.
د کریپټوګرافیک الګوریتم ملاتړ شوی
جدول 1 په 6 مخ کې د لوړې کچې پروتوکول الګوریتم ملاتړ لنډیز کوي.
جدول 1: پروتوکولونه په FIPS حالت کې اجازه لري

پروتوکول  کیلي تبادله تصدیق کول سیفر بشپړتیا
SSHv2 • dh-group14-sha1
• ECDH-sha2-nistp256
• ECDH-sha2-nistp384
• ECDH-sha2-nistp521		 کوربه (ماډول):
• ECDSA P-256
• SSH-RSA
پیرودونکي (کاروونکی):
• ECDSA P-256
• ECDSA P-384
• ECDSA P-521
• SSH-RSA		 • AES CTR 128
• AES CTR 192
• AES CTR 256
• AES CBC 128
• AES CBC 256		 • HMAC-SHA-1
• HMAC-SHA-256
• HMAC-SHA-512

جدول 2 په 6 مخ کې د MACsec LC ملاتړ شوي سایفرونه لیست کوي.
جدول 2: د MACsec LC ملاتړ شوي سیفرونه
د MACsec LC ملاتړ شوي سیفرونه
AES-GCM-128
AES-GCM-256
د الګوریتم هر پلي کول د پیژندل شوي ځواب ازموینې (KAT) ځان ازموینې لړۍ لخوا چک کیږي. د ځان ازموینې هرډول ناکامي د FIPS خطا حالت کې پایلې لري.
غوره عمل: د FIPS 140-2 موافقت لپاره ، یوازې د FIPS - تصویب شوي کریپټوګرافیک الګوریتمونه په جونوس OS کې په FIPS حالت کې وکاروئ.
لاندې کریپټوګرافیک الګوریتمونه په FIPS حالت کې ملاتړ کیږي. سمیټریک میتودونه د کوډ کولو او کوډ کولو لپاره ورته کیلي کاروي پداسې حال کې چې غیر متناسب میتودونه د کوډ کولو او کوډ کولو لپاره مختلف کیلي کاروي.
AES
د پرمختللي کوډ کولو معیار (AES)، چې په FIPS PUB 197 کې تعریف شوی. د AES الګوریتم د 128 بټونو په بلاکونو کې د ډیټا کوډ کولو او کوډ کولو لپاره د 192، 256، یا 128 بټونو کیلي کاروي.
ECDH
Elliptic curve Diffie-Hellman. د Diffie-Hellman کلیدي تبادلې الګوریتم یو ډول چې د محدودو ساحو په اوږدو کې د ایلیپټیک منحني الجبریک جوړښت پراساس کریپټوګرافي کاروي. ECDH دوه اړخونو ته اجازه ورکوي، چې هر یو د بیضوي منحني عامه - خصوصي کلیدي جوړه لري، د ناامنه چینل په اړه یو ګډ راز رامینځته کړي. شریک شوی راز یا هم د کیلي په توګه کارول کیدی شي یا د سمیټریک کیلي سایفر په کارولو سره د راتلونکو مخابراتو کوډ کولو لپاره بل کیلي ترلاسه کولو لپاره.
ECDSA
Elliptic curve ډیجیټل لاسلیک الګوریتم. د ډیجیټل لاسلیک الګوریتم (DSA) یو ډول چې د محدود ساحو په اوږدو کې د بیضوي منحني الجبریک جوړښت پراساس کریپټوګرافي کاروي. د ایلیپټیک وکر بټ اندازه د کیلي د کوډ کولو مشکل ټاکي. عامه کیلي چې باور کیږي د ECDSA لپاره ورته اړتیا وي د امنیت کچې دوه چنده اندازه ده، په بټونو کې. ECDSA د P-256، P-384، او P-521 curves په کارولو سره د OpenSSH لاندې تنظیم کیدی شي.
HMAC
په RFC 2104 کې د "د پیغام تصدیق کولو لپاره کلیدي-هیشنګ" په توګه تعریف شوی، HMAC د پیغام تصدیق کولو لپاره د کریپټوګرافیک کیلي سره د هیشینګ الګوریتم ترکیب کوي. په FIPS موډ کې د Junos OS لپاره، HMAC د پټ کیلي سره د تکرار شوي کریپټوګرافیک هش فنکشن SHA-1، SHA-256، او SHA-512 کاروي.
SHA-256 او SHA-512
خوندي هش الګوریتم (SHA) د SHA-2 معیار سره تړاو لري چې په FIPS PUB 180-2 کې تعریف شوي. د NIST لخوا رامینځته شوی، SHA-256 د 256-bit هش هضم تولیدوي، او SHA-512 د 512-bit هش هضم تولیدوي.
اړونده اسناد
د FIPS ځان ازموینو درک کول | ۱۸۵
د FIPS حالت لپاره د سیسټم ډیټا پاکولو لپاره د صفر کولو پوهیدل | ۲۵
د خوندي محصول تحویلۍ پیژندنه
د تحویلي پروسې کې ډیری میکانیزمونه چمتو شوي ترڅو ډاډ ترلاسه شي چې پیرودونکي داسې محصول ترلاسه کوي چې نه ويampسره جوړ شوی. پیرودونکي باید د وسیلې په ترلاسه کولو سره لاندې چکونه ترسره کړي ترڅو د پلیټ فارم بشپړتیا تایید کړي.

  • د بار وړلو لیبل - ډاډ ترلاسه کړئ چې د بار وړلو لیبل په سمه توګه د پیرودونکي سم نوم او پته او همدارنګه وسیله پیژني.
  • بهر بسته بندي - د بهر بار وړلو بکس او ټیپ معاینه کړئ. ډاډ ترلاسه کړئ چې د بار وړلو ټیپ نه دی پرې شوی یا بل ډول موافقت شوی نه دی. ډاډ ترلاسه کړئ چې بکس پرې شوی یا خراب شوی نه دی ترڅو وسیله ته د لاسرسي اجازه ورکړي.
  • د بسته بندۍ دننه - پلاستيکي کڅوړه او مهر معاینه کړئ. ډاډ ترلاسه کړئ چې کڅوړه پرې شوې یا لرې شوې نه ده. ډاډ ترلاسه کړئ چې مهر ثابت پاتې دی.

که چیرې پیرودونکي د تفتیش په جریان کې ستونزه وپیژني، هغه باید سمدستي د عرضه کونکي سره اړیکه ونیسي. عرضه کوونکي ته د امر شمیره، د تعقیب شمیره، او د پیژندل شوي ستونزې توضیحات چمتو کړئ.
سربیره پردې، ډیری چکونه شتون لري چې ترسره کیدی شي ترڅو ډاډ ترلاسه شي چې پیرودونکي د جونیپر شبکې لخوا لیږل شوی بکس ترلاسه کړی او نه د مختلف شرکت لخوا د جونیپر شبکې په توګه مخ کیږي. پیرودونکی باید د وسیلې په ترلاسه کولو سره لاندې چکونه ترسره کړي ترڅو د وسیلې اعتبار تصدیق کړي:

  • تایید کړئ چې وسیله د پیرود امر په کارولو سره امر شوې. د جونیپر شبکې وسایل هیڅکله د پیرود امر پرته نه لیږدول کیږي.
  • کله چې وسیله لیږدول کیږي، د بار وړلو خبرتیا د پیرودونکي لخوا چمتو شوي بریښنالیک آدرس ته لیږل کیږي کله چې امر اخیستل کیږي. ډاډ ترلاسه کړئ چې دا بریښنالیک خبرتیا ترلاسه شوې. ډاډ ترلاسه کړئ چې بریښنالیک لاندې معلومات لري:
  • د پیرود امر شمیره
  • د جونیپر شبکې امر شمیره د بار وړلو تعقیب لپاره کارول کیږي
  • د بار وړونکي تعقیب شمیره د بار وړلو تعقیب لپاره کارول کیږي
  • د لیږل شوي توکو لیست د سریال نمبرونو په شمول
  • د عرضه کوونکي او پیرودونکي دواړو پته او اړیکې
  • تایید کړئ چې بار وړل د جونیپر شبکې لخوا پیل شوي. د دې تصدیق کولو لپاره چې د جونیپر شبکې لخوا بار وړل پیل شوي، تاسو باید لاندې دندې ترسره کړئ:
  • د جونیپر شبکې د لیږدونې خبرتیا کې لیست شوي د جونیپر شبکې د کیریر تعقیب شمیره په ترلاسه شوي بسته کې د تعقیب شمیرې سره پرتله کړئ.
  • د جونیپر شبکې آنلاین پیرودونکي ملاتړ پورټل ته ننوتل https://support.juniper.net/support/ ته view د امر حالت. د کیریر تعقیب شمیره یا د جونیپر شبکې امر شمیره چې د جونیپر شبکې بار وړلو خبرتیا کې لیست شوي د ترلاسه شوي بسته بندۍ تعقیب شمیرې سره پرتله کړئ.

د مدیریت انٹرفیس پوهیدل
لاندې مدیریت انٹرفیسونه په ارزول شوي ترتیب کې کارول کیدی شي:

  • د ځایی مدیریت انٹرفیس - په وسیله کې د RJ-45 کنسول پورټ د RS-232 ډیټا ترمینل تجهیزاتو (DTE) په توګه تنظیم شوی. تاسو کولی شئ په دې بندر کې د کمانډ لاین انٹرفیس (CLI) وکاروئ ترڅو وسیله له ټرمینل څخه تنظیم کړئ.
  • د ریموټ مدیریت پروتوکولونه - وسیله په هر ایترنیټ انٹرفیس کې په لیرې توګه اداره کیدی شي. SSHv2 یوازینی اجازه ورکړل شوی ریموټ مدیریت پروتوکول دی چې په ارزول شوي ترتیب کې کارول کیدی شي. د ریموټ مدیریت پروتوکول J-Web او Telnet په وسیله کې د کارولو لپاره شتون نلري.

د اداري اعتبار او امتیازاتو ترتیب کول

د مجاز مدیر لپاره د تړل شوي پاسورډ قواعدو پوهیدل
مجاز مدیر د تعریف شوي ننوتلو ټولګي سره تړاو لري، او مدیر د ټولو اجازو سره ګمارل شوی. ډاټا په محلي توګه د ثابت رمز تصدیق کولو لپاره ساتل کیږي.
یادونه: په پاسورډونو کې د کنټرول حروف مه کاروئ.
د پاسورډونو لپاره لاندې لارښوونې او د ترتیب کولو اختیارونه وکاروئ او کله چې د مجاز مدیر حسابونو لپاره پاسورډونه غوره کړئ. پاسورډونه باید وي:

  • د یادولو لپاره اسانه دی ترڅو کاروونکي د دې لیکلو لپاره لیوالتیا ونه لري.
  • په دوره توګه بدل شوی.
  • شخصي او له هیچا سره نه شریکول.
  • لږترلږه 10 حروف ولري. د پاسورډ لږترلږه اوږدوالی 10 حروف دی.
    administrator@host# د سیسټم د ننوتلو پټنوم ترتیب کړئ لږترلږه اوږدوالی 10
  • د الفانومریک او ټکي حروف دواړه شامل کړئ، د هر ډول لوی او کوچني حروفونو، شمیرو، او ځانګړو حروفونو لکه "!"، "@"، "#"، "$"، "%"، "^"، " &"، "*"، "("، او ")".
    په یوه قضیه کې باید لږ تر لږه بدلون راشي، یو یا څو عددونه، او یو یا څو ټکي نښان.
  • د کرکټر سیټونه لري. د کریکټ معتبر سیټونو کې لوی توري، کوچني توري، شمیرې، ټکي، او نور ځانګړي حروف شامل دي.
    administrator@host# د سیسټم د ننوتلو پټنوم د بدلون ډول ډول کرکټر-سیټونو تنظیم کړئ
  • د کرکټرونو لږترلږه شمیره یا د کرکټر سیټ بدلونونه شامل دي. په Junos FIPS کې د ساده متن پاسورډونو کې د اړتیا وړ د کرکټرونو لږترلږه شمیر 3 دی.
    administrator@host# د سیسټم د ننوتلو پټنوم ترتیب کړئ لږترلږه بدلونونه 3
  • د کارن پاسورډونو لپاره د هیشینګ الګوریتم کیدی شي یا هم SHA256 یا SHA512 وي (SHA512 د ډیفالټ هیشینګ الګوریتم دی).
    administrator@host# د سیسټم د ننوتلو پټنوم شکل sha512 ترتیب کړئ
    یادونه: دا وسیله د ECDSA (P-256، P-384، او P-521) او RSA (2048، 3072، او 4092 موډولس بټ اوږدوالی) کلیدي ډولونو ملاتړ کوي.
    ضعیف پاسورډونه دي:
  • هغه کلمې چې ممکن په سیسټم کې د اجازې شکل په توګه وموندل شي یا شتون ولري file لکه /etc/passwd.
  • د سیسټم کوربه نوم (تل لومړی اټکل).
  • هر هغه کلمې چې په لغت کې ښکاري. پدې کې د انګلیسي پرته نور لغاتونه شامل دي، او هغه کلمې چې په کارونو کې موندل شوي لکه شکسپیر، لیوس کارول، د روجټ تیسورس، او داسې نور. پدې ممانعت کې د سپورتونو، ویناوو، فلمونو، او تلویزیوني خپرونو څخه عام کلمې او عبارتونه شامل دي.
  • د پورتنیو څخه هر یو ته اجازه ورکول. د مثال لپارهample، د لغتونو یوه کلمه چې د تورو سره ځای په ځای شوي وي (د مثال په توګهample f00t) یا په پای کې د عددونو اضافه کولو سره.
  • هر ډول ماشین جوړ شوي پاسورډونه. الګوریتم د پاسورډ اټکل کولو برنامو لټون ځای کموي او له همدې امله باید ونه کارول شي.
    قوي د بیا کارونې وړ پاسورډونه د خوښې جملې یا کلمې څخه د لیکونو پراساس کیدی شي ، او بیا د نورو ، غیر اړونده کلمو سره د اضافي عددونو او ټکو سره یوځای شي.

اړونده اسناد
د خوندي محصول تحویلي پیژندنه | ۸

د رولونو او تصدیق کولو میتودونو ترتیب کول

د جونوس OS لپاره د رولونو او خدماتو پوهیدل
په دې برخه کې
د کریپټو افسر رول او مسؤلیتونه | ۱۵
د FIPS کارن رول او مسؤلیتونه | ۱۵
د ټولو FIPS کاروونکو څخه څه تمه کیږي | 16
د امنیت مدیر د تعریف شوي ننوتلو ټولګي امنیت - اډمین سره تړاو لري ، کوم چې د جونوس OS اداره کولو لپاره اړین ټولې دندې ترسره کولو لپاره مدیر ته اجازه ورکولو لپاره اړین اجازې لري. اداري کارونکي (د امنیت مدیر) باید د ځانګړي پیژندنې او تصدیق ډیټا چمتو کړي مخکې لدې چې سیسټم ته کوم اداري لاسرسی ورکړل شي.
د امنیتي مدیر رول او مسؤلیتونه په لاندې ډول دي:

  1. د امنیت مدیر کولی شي په محلي او لیرې توګه اداره کړي.
  2. د مدیر حسابونه رامینځته کول ، تعدیل کول ، حذف کول ، پشمول د تصدیق ناکامي پیرامیټونو تنظیم کول.
  3. د مدیر حساب بیا فعال کړئ.
  4. د ارزول شوي محصول سره د خوندي اړیکو رامینځته کولو پورې اړوند د کریپټوګرافیک عناصرو ترتیب او ساتنې لپاره مسؤل.

د Juniper Networks Junos عملیاتي سیسټم (Junos OS) په غیر FIPS حالت کې چلول د کاروونکو لپاره د وړتیاوو پراخه لړۍ ته اجازه ورکوي، او تصدیق د هویت پر بنسټ دی. په مقابل کې، د FIPS 140-2 معیار دوه کاروونکي رولونه تعریفوي: کریپټو افسر او FIPS کارن. دا رولونه د جونوس OS کارونکي وړتیاو له مخې تعریف شوي.
ټول نور کارونکي ډولونه چې د جونوس OS لپاره په FIPS حالت کې تعریف شوي (آپریټر، اداري کارونکي، او داسې نور) باید په دوو کټګوریو کې راشي: کریپټو افسر یا FIPS کارن. د دې دلیل لپاره، د FIPS موډ کې د کاروونکي تصدیق د پیژندنې پر بنسټ د رول پر بنسټ دی.
د کریپټو افسر ټول FIPS - موډ پورې اړوند تشکیلاتي دندې ترسره کوي او د جونوس OS لپاره ټول بیانات او حکمونه په FIPS حالت کې صادروي. د کریپټو افسر او د FIPS کارونکي تشکیلات باید په FIPS حالت کې د جونوس OS لپاره لارښوونې تعقیب کړي.
د کریپټو افسر رول او مسؤلیتونه
د کریپټو افسر هغه کس دی چې په وسیلې کې د FIPS موډ کې د جونوس OS فعالولو ، تنظیم کولو ، نظارت کولو او ساتلو مسؤلیت لري. د کریپټو افسر په وسیلې کې جونوس OS په خوندي ډول نصبوي ، د FIPS حالت فعالوي ، د نورو کاروونکو او سافټویر ماډلونو لپاره کیلي او پاسورډونه رامینځته کوي ، او د شبکې اتصال دمخه وسیله پیل کوي.
غوره بوختیا: موږ وړاندیز کوو چې د کریپټو افسر سیسټم په خوندي ډول اداره کړي د پاسورډونو خوندي ساتلو او د پلټنې چیک کولو سره files.
هغه اجازې چې د کریپټو افسر د نورو FIPS کاروونکو څخه توپیر کوي پټ، امنیت، ساتنه، او کنټرول دي. د FIPS د موافقت لپاره، د کریپټو افسر د ننوتلو ټولګي ته وټاکئ چې دا ټولې اجازې لري. د Junos OS ساتنې اجازې سره یو کارن لوستل کیدی شي files چې مهم امنیتي پیرامیټونه لري (CSPs).
یادونه: جونوس OS په FIPS حالت کې د FIPS 140-2 ساتنې رول ملاتړ نه کوي ، کوم چې د جونوس OS ساتنې اجازې څخه توپیر لري.
په FIPS موډ کې د جونوس OS پورې اړوند دندو په مینځ کې ، د کریپټو افسر تمه کیږي چې:

  • د لومړني روټ پټنوم تنظیم کړئ. د پاسورډ اوږدوالی باید لږترلږه 10 حروف وي.
  • د FIPS - تصویب شوي الګوریتمونو سره د کارن پاسورډونه بیا تنظیم کړئ.
  • د ننوتلو او پلټنې معاینه کول fileد علاقې وړ پیښو لپاره.
  • د کارونکي لخوا رامینځته شوی پاک کړئ fileد آلې په صفر کولو سره s، کیلي، او ډاټا.

د FIPS کاروونکي رول او مسؤلیتونه
ټول FIPS کاروونکي، د کریپټو افسر په ګډون، کولی شي view تشکیلات یوازې هغه کارن چې د کریپټو افسر په توګه ګمارل شوی کولی شي تشکیلات بدل کړي.
هغه اجازې چې د نورو FIPS کاروونکو څخه د کریپټو افسرانو توپیر کوي پټ، امنیت، ساتنه، او کنټرول دي. د FIPS د موافقت لپاره، د FIPS کاروونکي ټولګي ته وټاکئ چې د دې اجازې څخه هیڅ یو نلري.
FIPS کارن کولی شي view د حالت محصول مګر نشي کولی وسیله ریبوټ یا صفر کړي.
د ټولو FIPS کاروونکو څخه څه تمه کیږي
د FIPS ټول کاروونکي، د کریپټو افسر په ګډون، باید هر وخت د امنیت لارښوونې تعقیب کړي.
ټول FIPS کاروونکي باید:

  • ټول پاسورډونه محرم وساتئ.
  • وسایل او اسناد په خوندي سیمه کې ذخیره کړئ.
  • په خوندي سیمو کې وسایل ځای پر ځای کړئ.
  • پلټنه وګورئ fileپه دوره توګه.
  • د نورو ټولو FIPS 140-2 امنیتي مقرراتو سره موافقت وکړئ.
  • دا لارښوونې تعقیب کړئ:
    • کاروونکي باوري دي.
    • کاروونکي د ټولو امنیتي لارښوونو اطاعت کوي.
    • کاروونکي په قصدي توګه د امنیت سره موافقت نه کوي
    • کاروونکي په هر وخت کې مسؤلانه چلند کوي.

اړونده اسناد
د جونیپر شبکې وسیله چې په FIPS موډ کې د جونیپر شبکې جونوس عملیاتي سیسټم (جونوس OS) پرمخ وړي یو ځانګړی ډول هارډویر او سافټویر عملیاتي چاپیریال رامینځته کوي چې په غیر FIPS حالت کې د وسیلې چاپیریال څخه توپیر لري:

د جونوس OS لپاره د هارډویر چاپیریال په FIPS حالت کې
جونوس OS په FIPS موډ کې په وسیله کې کریپټوګرافیک حد رامینځته کوي چې هیڅ مهم امنیتي پیرامیټرې (CSPs) نشي کولی د ساده متن په کارولو سره تیر شي. د وسیلې هر هارډویر برخه چې د FIPS 140-2 اطاعت لپاره کریپټوګرافیک حد ته اړتیا لري یو جلا کریپټوګرافیک ماډل دی. په FIPS موډ کې د جونوس OS کې د کریپټوګرافیک حدودو سره دوه ډوله هارډویر شتون لري: یو د هر روټینګ انجن لپاره او بل د ټول چیسس لپاره چې د LC MPC7E-10G کارت پکې شامل دی. هره برخه جلا کریپټوګرافیک ماډل جوړوي. د دې خوندي چاپیریالونو ترمینځ اړیکې چې CSPs پکې شامل دي باید د کوډ کولو په کارولو سره ترسره شي.
کریپټوګرافیک میتودونه د فزیکي امنیت بدیل ندي. هارډویر باید په خوندي فزیکي چاپیریال کې موقعیت ولري. د ټولو ډولونو کاروونکي باید کیلي یا پاسورډونه ښکاره نکړي، یا اجازه ورنکړي چې لیکلي ریکارډونه یا نوټونه د غیر مجاز پرسونل لخوا لیدل کیږي.
د FIPS موډ کې د جونوس OS لپاره د سافټویر چاپیریال
د جونیپر شبکې وسیله چې جونوس OS په FIPS حالت کې پرمخ وړي یو ځانګړی ډول نه بدلیدونکي عملیاتي چاپیریال رامینځته کوي. په وسیله کې د دې چاپیریال ترلاسه کولو لپاره، سیسټم د هر ډول بائنری اجرا کولو مخه نیسي file دا د FIPS موډ توزیع کې د تصدیق شوي جونوس OS برخه نه وه. کله چې یو وسیله په FIPS حالت کې وي، دا یوازې د جونوس OS چلولی شي.
د FIPS موډ سافټویر چاپیریال کې جونوس OS وروسته له هغه رامینځته کیږي چې د کریپټو افسر په بریالیتوب سره په وسیله کې FIPS موډ فعالوي. د جونوس OS عکس چې د FIPS موډ پکې شامل دی د جونیپر شبکې کې شتون لري webسایټ او په فعاله وسیله نصب کیدی شي.
د FIPS 140-2 موافقت لپاره، موږ وړاندیز کوو چې تاسو ټول د کاروونکي جوړ شوي حذف کړئ fileد FIPS موډ فعالولو دمخه د آلې په صفر کولو سره s او ډاټا.
د FIPS په کچه 1 کې ستاسو وسیله چلول د t کارولو ته اړتیا لريampپه چیسس کې د روټینګ انجنونو مهر کولو لپاره واضح لیبلونه.
د FIPS حالت فعالول ډیری معمول جونوس OS پروتوکولونه او خدمات غیر فعالوي. په ځانګړې توګه، تاسو نشئ کولی لاندې خدمتونه په جونوس OS کې په FIPS حالت کې تنظیم کړئ:

  • ګوتې
  • ftp
  • ننوتل
  • telnet
  • tftp
  • xnm-پاک-متن

د دې خدماتو د تنظیم کولو هڅې، یا د دې خدماتو سره د ترتیب شوي ترتیباتو بار کولو لپاره، د ترتیب کولو نحوي خطا پایله ده.
تاسو کولی شئ یوازې SSH د لرې لاسرسي خدمت په توګه وکاروئ.
ټول پاسورډونه چې د FIPS موډ کې جونوس OS ته لوړولو وروسته د کاروونکو لپاره رامینځته شوي باید د FIPS حالت مشخصاتو کې د جونوس OS سره مطابقت ولري. پاسورډونه باید د 10 او 20 حروف اوږدوالی ولري او لږترلږه د پنځو ټاکل شوي کریکټ سیټونو څخه د دریو څخه کار اخیستلو ته اړتیا لري (لوړ او کوچني حروفونه، عددونه، د ټکي نښه نښه، او د کیبورډ حروف، لکه٪ او &، په نورو کې شامل ندي څلور کټګورۍ).
د پاسورډونو د تنظیم کولو هڅې چې د دې قواعدو سره سمون نه لري د یوې تېروتنې پایله ده. ټول پاسورډونه او کیلي چې د ملګرو د تصدیق کولو لپاره کارول کیږي باید لږترلږه 10 حروف اوږدوالی ولري، او په ځینو مواردو کې اوږدوالی باید د هضم اندازې سره سمون ولري.
یادونه: وسیله له شبکې سره مه نښلوئ تر هغه چې د کریپټو افسر د ځایی کنسول اتصال څخه تشکیلات بشپړ کړي.
د سخت اطاعت لپاره، په FIPS موډ کې په جونوس OS کې په محلي کنسول کې د اصلي او کریش ډمپ معلومات معاینه مه کوئ ځکه چې ځینې CSPs ممکن په ساده متن کې وښودل شي.
مهم امنیتي پارامترونه
د امنیت مهم پیرامیټونه (CSPs) د امنیت پورې اړوند معلومات دي لکه د کریپټوګرافیک کیلي او پاسورډونه چې کولی شي د کریپټوګرافیک ماډل امنیت یا د ماډل لخوا خوندي شوي معلوماتو امنیت سره موافقت وکړي که چیرې دوی افشا یا بدل شي.
د سیسټم صفر کول د کریپټوګرافیک ماډل په توګه د وسیلې یا روټینګ انجن چلولو لپاره چمتووالي کې د CSPs ټولې نښې له مینځه وړي.
په 3 پاڼه کې 19 جدول د جونوس OS چلولو وسیلو کې CSPs لیست کوي.
جدول 3: مهم امنیتي پارامترونه

CSP تفصیل صفراوی

کارول
SSHv2 شخصي کوربه کیلي د ECDSA / RSA کلید د کوربه پیژندلو لپاره کارول کیږي، د لومړي ځل لپاره SSH ترتیب شوی. د صفر کولو قومانده. د کوربه پیژندلو لپاره کارول کیږي.
د SSHv2 سیشن کیلي د سیشن کیلي د SSHv2 سره او د Diffie-Hellman خصوصي کیلي په توګه کارول کیږي. کوډ کول: AES-128، AES-192، AES-256. MACs: HMAC-SHA-1، HMAC-SHA-2-256، HMAC-SHA2-512. کلیدي تبادله: dh-group14-sha1، ECDH-sha2-nistp-256، ECDH-sha2-nistp-384، او ECDH-sha2-nistp-521. د بریښنا دوره او سیشن ختمول. سیمالټ کیلي د کوربه او پیرودونکي ترمنځ د معلوماتو کوډ کولو لپاره کارول کیږي.
د کارن تصدیق کیلي د کارونکي پټنوم هش: SHA256، SHA512. د صفر کولو قومانده. د کریپټوګرافیک ماډل ته د کارونکي تصدیق کولو لپاره کارول کیږي.
د کریپټو افسر تصدیق کیلي د کریپټو افسر پټنوم هش: SHA256, SHA512. د صفر کولو قومانده. د کریپټوګرافیک ماډل ته د کریپټو افسر تصدیق کولو لپاره کارول کیږي.
د HMAC DRBG تخم د تعییناتي رینډون بټ جنراتور (DRBG) لپاره تخم. تخم د کریپټوګرافیک ماډل لخوا نه زیرمه کیږي. د DRBG تخم کولو لپاره کارول کیږي.
د HMAC DRBG V ارزښت په بټونو کې د آوټ پوټ بلاک اوږدوالی (آؤټلین) ارزښت (V)، کوم چې هرکله چې د محصول بل آوټلین بټ تولید شي تازه کیږي. د بریښنا دوره. د DRBG داخلي حالت یو مهم ارزښت.
CSP تفصیل صفراوی

کارول
د HMAC DRBG کلیدي ارزښت د outlen-bit کیلي اوسنی ارزښت، کوم چې لږترلږه یو ځل هر ځل تازه کیږي کله چې د DRBG میکانیزم د pseudorandom بټونه تولیدوي. د بریښنا دوره. د DRBG داخلي حالت یو مهم ارزښت.
د NDRNG انټروپي HMAC DRBG ته د انټروپي ان پټ تار په توګه کارول کیږي. د بریښنا دوره. د DRBG داخلي حالت یو مهم ارزښت.

په جونوس OS کې په FIPS حالت کې، ټول CSPs باید په کوډ شوي شکل کې د کریپټوګرافیک ماډل داخل او پریږدي.
هر CSP د غیر تصویب شوي الګوریتم سره کوډ شوی د FIPS لخوا ساده متن ګڼل کیږي.
غوره تمرین: د FIPS د موافقت لپاره، وسیله د SSH اتصالونو له لارې تنظیم کړئ ځکه چې دوی کوډ شوي اړیکې دي.
ځایی پاسورډونه د SHA256 یا SHA512 الګوریتم سره هش شوي. په جونوس OS کې په FIPS موډ کې د پاسورډ بیا رغونه امکان نلري. جونوس OS په FIPS حالت کې نشي کولی د سم روټ پاسورډ پرته د واحد کارونکي حالت کې بوټ شي.
د FIPS موډ کې د جونوس OS لپاره د پاسورډ مشخصاتو او لارښودونو پوهیدل
ټول پاسورډونه چې د کریپټو افسر لخوا د کاروونکو لپاره رامینځته شوي باید د FIPS حالت اړتیاو کې لاندې جونوس OS سره مطابقت ولري. د پاسورډونو د تنظیم کولو هڅې چې د لاندې مشخصاتو سره سمون نه لري د تېروتنې پایله ده.

  • اوږدوالی. پاسورډونه باید د 10 او 20 حروفو ترمنځ وي.
  • د کرکټر ټاکلو اړتیاوې. پاسورډونه باید لږ تر لږه د لاندې پنځه تعریف شوي کریکټ سیټونو څخه درې ولري:
  • لوی توري
  • کوچني توري
  • عددونه
  • د وقفې نښې
  • د کیبورډ کرکټرونه په نورو څلورو سیټونو کې ندي شامل شوي — لکه د سلنه نښه (%) او د ampارسند (&)
  • د تصدیق اړتیاوې. ټول پاسورډونه او کیلي چې د ملګرو د تصدیق کولو لپاره کارول کیږي باید لږترلږه 10 حروف ولري، او په ځینو مواردو کې د حروفونو شمیر باید د هضم اندازه سره سمون ولري.
  • د پټنوم کوډ کول. د ډیفالټ کوډ کولو میتود بدلولو لپاره (SHA512) د [سیسټم د ننوتلو پاسورډ ترمیم] د درجې درجې کې د فارمیټ بیان شامل کړئ.

د قوي پاسورډونو لپاره لارښوونې. قوي، د بیا کارونې وړ پاسورډونه د خوښې جملې یا کلمې څخه د لیکونو پراساس کیدی شي او بیا د نورو غیر تړلو کلمو سره یوځای شوي، د اضافه شمیرو او ټکو سره. په عموم کې، یو پیاوړی پاسورډ دی:

  • د یادولو لپاره اسانه دی ترڅو کاروونکي د دې لیکلو لپاره لیوالتیا ونه لري.
  • د مخلوط الفانومیریک حروفونو او ټکو څخه جوړ شوی. د FIPS د موافقت لپاره لږترلږه د قضیې یو بدلون، یو یا څو عددونه، او یو یا څو ټکي نښه شامل دي.
  • په دوره توګه بدل شوی.
  • هیچا ته نه دی څرګند شوی.
    د ضعیف پاسورډونو ځانګړتیاوې. لاندې ضعیف پاسورډونه مه کاروئ:
  • هغه کلمې چې ممکن په سیسټم کې د اجازې شکل په توګه وموندل شي یا شتون ولري files لکه /etc/passwd.
  • د سیسټم کوربه نوم (تل لومړی اټکل).
  • هر هغه کلمه یا جمله چې په لغت یا نورو پیژندل شویو سرچینو کې ښکاري، په شمول د انګلیسي ژبې پرته په نورو ژبو کې لغتونه او تیسورز؛ د کلاسیک یا مشهور لیکوالانو کار؛ یا د سپورتونو، ویناوو، فلمونو یا تلویزیون برنامو څخه عام کلمې او جملې.
  • د پورتني هر یو لپاره اجازې - د مثال لپارهample، د لغت یوه کلمه چې د حروفو سره د (r00t) سره بدل شوي یا په پای کې د عددونو سره اضافه شوي.
  • هر ډول ماشین جوړ شوی پاسورډ. الګوریتمونه د پټنوم اټکل کولو برنامو لټون ځای کموي او له همدې امله باید ونه کارول شي.

د جونیپر شبکې څخه د سافټویر کڅوړو ډاونلوډ کول
تاسو کولی شئ د جونیپر شبکې څخه د خپل وسیلې لپاره د جونوس OS سافټویر کڅوړه ډاونلوډ کړئ webسایټ
مخکې لدې چې تاسو د سافټویر ډاونلوډ پیل کړئ ، ډاډ ترلاسه کړئ چې تاسو د جونیپر شبکه لرئ Web حساب او یو معتبر ملاتړ قرارداد. د حساب ترلاسه کولو لپاره، د جونیپر شبکې کې د راجستریشن فورمه ډکه کړئ webسایټ: https://userregistration.juniper.net/.
د جونیپر شبکې څخه د سافټویر کڅوړو ډاونلوډ کولو لپاره:

  1. په کارولو سره a Web براوزر، د ډاونلوډ لپاره لینکونه تعقیب کړئ URL د جونیپر شبکې کې webپاڼه https://support.juniper.net/support/downloads/
  2. د جونیپر شبکې تصدیق کولو سیسټم ته د کارن نوم (عموما ستاسو بریښنالیک آدرس) او د جونیپر شبکې استازو لخوا چمتو شوي پټنوم په کارولو سره ننوتل.
  3. سافټویر ډاونلوډ کړئ. وګورئ د سافټویر ډاونلوډ کول.

اړونده اسناد
د نصبولو او لوړولو لارښود
د واحد روټینګ انجن سره په وسیله کې د سافټویر نصب کول
تاسو کولی شئ دا کړنلاره د یو واحد روټینګ انجن سره په وسیله کې د جونوس OS لوړولو لپاره وکاروئ.
د یو واحد روټینګ انجن سره په وسیله کې د سافټویر اپ گریڈونو نصبولو لپاره:

  1. د سافټویر کڅوړه ډاونلوډ کړئ لکه څنګه چې تشریح شوي د جونیپر شبکې څخه د سافټویر کڅوړو ډاونلوډ کول.
  2. که تاسو دمخه دا نه وي کړی، د خپل مدیریت وسیله څخه په وسیله کې د کنسول بندر سره وصل شئ، او د جونوس OS CLI ته ننوتل.
  3. (اختیاري) د اوسني سافټویر ترتیب دوهم ذخیره کولو اختیار ته بیک اپ کړئ. وګورئ د سافټویر نصبولو او لوړولو لارښود د دې دندې ترسره کولو لارښوونې لپاره.
  4. (اختیاري) وسیله ته د سافټویر کڅوړه کاپي کړئ. موږ وړاندیز کوو چې تاسو د کاپي کولو لپاره FTP وکاروئ file /var/tmp/ لارښود ته.
    دا مرحله اختیاري ده ځکه چې جونوس OS هم لوړ کیدی شي کله چې د سافټویر عکس په لیرې ځای کې زیرمه شي. دا لارښوونې د دواړو سناریوګانو لپاره د سافټویر اپ گریڈ پروسه تشریح کوي.
  5. په وسیله کې نوی کڅوړه نصب کړئ: د REMX2K-X8 لپاره: user@host> د vmhost سافټویر اضافه کولو غوښتنه وکړئ
    د RE1800 لپاره: user@host> د سیسټم سافټویر اضافه کولو غوښتنه وکړئ
    بسته د لاندې لارو څخه یوه سره بدل کړئ:
    • په آلې کې په محلي لارښود کې د سافټویر کڅوړې لپاره، /var/tmp/package.tgz وکاروئ.
    • په ریموټ سرور کې د سافټویر کڅوړې لپاره ، د لاندې لارو څخه یوه وکاروئ ، د سافټویر کڅوړې نوم سره د متغیر اختیار کڅوړې ځای په ځای کول.
    ftp://hostname/pathname/package.tgz
    • ftp://hostname/pathname/package.tgz
  6. د نصبولو لپاره وسیله ریبوټ کړئ:
    د REMX2K-X8 لپاره:
    user@host> د vmhost ریبوټ غوښتنه وکړئ
    د RE1800 لپاره:
    user@host> د سیسټم ریبوټ غوښتنه وکړئ
  7. د ریبوټ بشپړیدو وروسته ، ننوتل او د شو نسخه کمانډ وکاروئ ترڅو تصدیق کړي چې د سافټویر نوې نسخه په بریالیتوب سره نصب شوې.
    user@host> د ښودلو نسخه
    ماډل: mx960
    جونوس: 20.3X75-D30.1
    د JUNOS OS Kernel 64-bit [20210722.b0da34e0_builder_stable_11-204ab] JUNOS OS libs [20210722.b0da34e0_builder_stable_11-204ab] JUNOS OS د چلولو وړ وخت ab] د JUNOS OS د وخت زون معلومات [20210722.b0da34e0_builder_stable_11-204ab] د JUNOS شبکې سټیک او اسانتیاوې [20210722_builder_junos_0_x34_d0] JUNOS libs [11_builder_junos_204_x20210812.200100_d203] JUNOS OS libs compat75 [30_builder_junos] د OS 20210812.200100-bit مطابقت [203.b75da30e32_builder_stable_20210722-0ab] JUNOS libs compat34 [0_builder_junos_11_x204_d32] JUNOS runtime [20210722_0_34_0_builder_junos d11] JUNOS sflow mx [204_builder_junos_32_x20210812.200100_d203] JUNOS py توسیعونه75 [30_builder_junos_20210812.200100_x203_d75] JUNOS py توسیعونه ] JUNOS py base30 [20210812.200100_builder_junos_203_x75_d30] JUNOS py اساس [2_builder_junos_20210812.200100_x203_d75] JUNOS OS crypto_30_b20210812.200100_builder. 203ab] JUNOS OS بوټ-ve files [20210722.b0da34e0_builder_stable_11-204ab] JUNOS د ټیلی میټری سره [20.3X75-D30.1] د JUNOS امنیت استخبارات [20210812.200100_builder_junos_203_x75_30m] JUNOS 32_x20210812.200100_203 کمپ 75_builder_junos_30_x20210812.200100_d203] JUNOS mx چلولو وخت [75_builder_junos_30_x20.3_d75] JUNOS RPD ټیلی میټري غوښتنلیک [30.1X20210812.200100-D203 .75] ریډیس [30_builder_junos_20210812.200100_x203_d75] JUNOS probe utility [30_builder_junos_20210812.200100_x203_d75] JUNOS عام پلیټ فارم ملاتړ d30] JUNOS Openconfig [20.3X75-D30.1] د JUNOS mtx شبکې ماډلونه [20210812.200100_builder_junos_203_x75_d30] JUNOS ماډلونه [20210812.200100_JUNOS_builder] mtx_builder. [203_builder_junos_75_x30_d20210812.200100] JUNOS mx libs [203_builder_junos_75_x30_d20210812.200100] JUNOS SQL Sync ډیمون [203] JUNOS SQL Sync Daemon [75x30x_20210812.200100x203 ] JUNOS mtx ډیټا پلین کریپټو ملاتړ [75_builder_junos_30_x20210812.200100_d203] JUNOS daemons [75_builder_junos_30_x20210812.200100_d203_builder. junos_75_x30_d20210812.200100] JUNOS appidd-mx غوښتنلیک-پیژندنه ډیمون [203_builder_junos_75_x30_d20210812.200100] JUNOS خدمات URL د فلټر کڅوړه [20210812.200100_builder_junos_203_x75_d30] د JUNOS خدماتو TLB خدمت PIC بسته [20210812.200100_builder_junos_203_x75_d30] JUNOS Services Telemetry20210812.200100_203_builder. _x75_d30] د JUNOS خدمتونه TCP-LOG [20210812.200100_builder_junos_203_x75_d30] د JUNOS خدمتونه SSL [20210812.200100_builder_junos_203_x75_d30_20210812.200100_x203_d75. builder_junos_30_x20210812.200100_d203] د JUNOS خدمتونه دولتي فایر وال د JUNOS خدمتونه RTCOM د JUNOS خدماتو PCEF بسته [75_builder_junos_30_x20210812.200100_d203] JUNOS Services NAT [75_builder_junos_30_x20210812.200100_d203] JUNOS خدمتونه د ګرځنده پیرودونکي خدمت کڅوړه لري
    [20210812.200100_builder_junos_203_x75_d30] د JUNOS خدمتونه MobileNext Software Package [20210812.200100_builder_junos_203_x75_d30] JUNOS خدمات د ننوتلو راپور 20210812.200100_x203_d75] د JUNOS خدمتونه LL-PDF کانټینر بسته [30_builder_junos_20210812.200100_x203_d75] JUNOS خدمات Jflow کانټینر بسته [30_builder_20210812.200100_package] JUNOS_Builder_203_Builder_75_JUNOS پیکج Inspection 30_builder_junos_20210812.200100_x203_d75] د JUNOS خدمتونه IPSec [30_builder_junos_20210812.200100_x203_d75] د JUNOS خدماتو IDS [30 JUNOS خدمات IDS [20210812.200100_junos_203 JUNOS. د UNOS IDP خدمتونه [75_builder_junos_30_x20210812.200100_d203] د JUNOS خدمتونه HTTP د منځپانګې مدیریت بسته [75_builder_junos_30_x20210812.200100_d203] [JUNOS Services Cry75_30_builder _x20210812.200100_d203] د JUNOS خدماتو کیپټیو پورټل او د مینځپانګې تحویلي کانټینر کڅوړه
    [20210812.200100_builder_junos_203_x75_d30] د JUNOS خدماتو COS [20210812.200100_builder_junos_203_x75_d30] JUNOS AppId خدمتونه [20210812.200100 JUNOS 203 JUNOS_builder_75_30. د UNOS خدماتو غوښتنلیک لیول ګیټس [20210812.200100_builder_junos_203_x75_d30] JUNOS خدمتونه AACL کانټینر بسته [20210812.200100_builder_junos_203_x75_d30 Suite. ilder_junos_20210812.200100_x203_d75] JUNOS د تمدید وسیله [30_builder_junos_20210812.200100_x203_d75 ] د JUNOS پیکټ فارورډینګ انجن سپورټ (wrlinux30) [9_builder_junos_20210812.200100_x203_d75] د JUNOS پیکټ فارورډینګ انجن سپورټ (ulc) [30_builder_junos] د انجن سپورټ (MXSPC20210812.200100) [203X75-D30] د JUNOS پیکټ فارورډنګ انجن سپورټ (X3) [ 20.3_builder_junos_75_x30.1_d2000] د JUNOS پیکټ فارورډینګ انجن ایف ایف سی سپورټ [20210812.200100X203-D75] JUNOS پیکټ فارورډینګ انجن سپورټ (M/T کامن)
    [20210812.200100_builder_junos_203_x75_d30] د JUNOS پیکټ فارورډینګ انجن ملاتړ (افټ)

د FIPS حالت لپاره د سیسټم ډیټا پاکولو لپاره د صفر کولو پوهیدل
په دې برخه کې
ولې صفر کړئ؟ | ۲۶
کله صفر کړئ؟ | ۲۶
صفر کول په بشپړ ډول د روټینګ انجنونو ټول ترتیب معلومات له مینځه وړي ، پشمول ټول ساده متن پاسورډونه ، رازونه ، او د SSH لپاره شخصي کیلي ، ځایی کوډ کول ، ځایی تصدیق ، او IPsec.
د کریپټو افسر د REMX2K-X8 لپاره د عملیاتي کمانډ غوښتنې vmhost zeroize no-forwarding په داخلولو سره د صفر کولو پروسه پیل کوي او د RE1800 لپاره د سیسټم صفر کولو غوښتنه کوي.
SHEARWATER 17001 د هوا ادغام فشار لیږدونکی - icon 3 احتیاط: د سیسټم صفر کول په احتیاط سره ترسره کړئ. وروسته له دې چې د صفر کولو پروسه بشپړه شي، د روټینګ انجن کې هیڅ معلومات نه پاتې کیږي. وسیله د فابریکې ډیفالټ حالت ته راستون کیږي ، پرته له کوم ترتیب شوي کارونکي یا تشکیلاتو files.
صفر کول د وخت ضایع کول کیدی شي. که څه هم ټول تشکیلات په څو ثانیو کې لیرې کیږي، د صفر کولو پروسه د ټولو رسنیو د بیا لیکلو لپاره پرمخ ځي، کوم چې د میډیا اندازې پورې اړه لري د پام وړ وخت نیسي.
ولې صفر کړئ؟
ستاسو وسیله د اعتبار وړ FIPS کریپټوګرافیک ماډل نه ګڼل کیږي تر هغه چې ټول مهم امنیتي پیرامیټونه (CSPs) داخل شوي نه وي — یا بیا داخل شوي — پداسې حال کې چې وسیله د FIPS حالت کې وي.
د FIPS 140-2 موافقت لپاره، تاسو باید سیسټم صفر کړئ ترڅو حساس معلومات لرې کړئ مخکې له دې چې په وسیله کې د FIPS حالت غیر فعال کړئ.
کله صفر کول؟
د کریپټو افسر په توګه ، په لاندې حالتونو کې صفر کول ترسره کړئ:

  • مخکې له دې چې د FIPS عملیاتو حالت فعال کړئ: د FIPS کریپټوګرافیک ماډل په توګه د عملیاتو لپاره خپل وسیله چمتو کولو لپاره، د FIPS موډ فعالولو دمخه صفر کول ترسره کړئ.
  • مخکې لدې چې د FIPS عملیاتو حالت غیر فعال کړئ: د غیر FIPS عملیاتو لپاره ستاسو د وسیلې له سره تنظیم کولو پیل کولو لپاره ، په وسیله کې د FIPS حالت غیر فعال کولو دمخه صفر کول ترسره کړئ.
    یادونه: د جونیپر شبکې په FIPS چاپیریال کې د غیر FIPS سافټویر نصبولو ملاتړ نه کوي ، مګر دا کار ممکن په ځانګړي ازموینې چاپیریال کې اړین وي. ډاډ ترلاسه کړئ چې لومړی سیسټم صفر کړئ.

د سیسټم صفر کول
د خپل وسیله صفر کولو لپاره، لاندې کړنلاره تعقیب کړئ:

  1. وسیله ته د کریپټو افسر په توګه ننوتل او له CLI څخه ، لاندې کمانډ دننه کړئ.
    د REMX2K-X8 لپاره:
    crypto-officer@host> غوښتنه وکړئ vmhost zeroize no-forwarding VMHost Zeroization : ټول معلومات پاک کړئ، په شمول ترتیب او لاګ fileد؟ [هو، نه] (نه) هو
    بیا 0:
    د REMX2K-X8 لپاره:
    crypto-officer@host> د سیسټم صفر کولو غوښتنه وکړئ
    د سیسټم صفر کول: ټول معلومات پاک کړئ، په شمول ترتیب او لاګ fileد؟
    [هو، نه] (نه) هو
    بیا 0:
  2. د صفر کولو پروسې پیل کولو لپاره، په سمال کې هو ټایپ کړئ:
    ټول معلومات پاک کړئ، په شمول ترتیب او لاګ files؟ [هو، نه] (نه) هو ټول معلومات پاک کړئ، په شمول ترتیب او لاګ files؟ [هو، نه] (نه) هو
    re0: ————————خبرداری: صفر کول
    re0 ……
    ټول عملیات د میډیا اندازې پورې اړه لري د پام وړ وخت نیسي، مګر ټول مهم امنیتي پیرامیټونه (CSPs) په څو ثانیو کې لرې کیږي. فزیکي چاپیریال باید د صفر کولو پروسې بشپړیدو پورې خوندي پاتې شي.

د FIPS حالت فعالول
کله چې جونوس OS په یوه وسیله نصب شي او وسیله فعاله شي، دا د ترتیب کولو لپاره چمتو دی.
په پیل کې، تاسو د کارونکي روټ په توګه د پټنوم پرته ننوتل. کله چې تاسو د روټ په توګه ننوتل، ستاسو د SSH پیوستون په ډیفالټ فعال شوی.
د کریپټو افسر په توګه، تاسو باید د روټ پاسورډ رامینځته کړئ چې د FIPS پاسورډ اړتیاو سره مطابقت لري "په FIPS موډ کې د جونوس OS لپاره د پاسورډ مشخصاتو او لارښودونو پوهیدل په 20 پاڼه کې". پرته لدې چې دوی دا معیار پوره کړي.
ځایی پاسورډونه د خوندي هش الګوریتم SHA256 یا SHA512 سره کوډ شوي دي. په جونوس OS کې په FIPS موډ کې د پاسورډ بیا رغونه امکان نلري. جونوس OS په FIPS حالت کې نشي کولی د سم روټ پاسورډ پرته د واحد کارونکي حالت کې بوټ شي.
په آلې کې د جونوس OS کې د FIPS موډ فعالولو لپاره:

  1. د FIPS حالت ته د ننوتلو دمخه د ټولو CSPs حذف کولو لپاره وسیله صفر کړئ. د جزیاتو لپاره په 25 مخ کې د "FIPS موډ لپاره د سیسټم ډیټا پاکولو لپاره د صفر کولو پوهیدل" ته مراجعه وکړئ.
  2. وروسته له دې چې وسیله په 'امنیسیاک حالت' کې راشي، د کارن نوم روټ او پټنوم "" (خالي) په کارولو سره ننوتل.
    FreeBSD/amd64 (Amnesiac) (ttyu0) ننوتل: روټ
    — JUNOS 20.3X75-D30.1 کرنل 64-bit JNPR-11.0-20190701.269d466_buil root@:~ # cli root>
  3. لږترلږه د 10 حروف یا ډیرو پاسورډ سره د روټ تصدیق تنظیم کړئ.
    روټ> تدوین د ترتیب کولو حالت ته ننوځي
    نوی پټنوم:
    نوی پټنوم بیا ټایپ کړئ: [ترمیم] روټ # ژمنه بشپړ کړه
  4. په وسیلې کې تنظیمات بار کړئ او نوي تشکیلات ژمن کړئ. د کریپټو-افسر تنظیم کړئ او د کریپټو-افسر اسنادو سره ننوتل.
  5. د روټینګ انجن KATS لپاره اړین د فیپس موډ کڅوړه نصب کړئ.
    root@hostname> د سیسټم سافټویر د اختیاري اضافه کولو غوښتنه وکړئ: //fips-mode.tgz
    تایید شوی فیپس موډ د PackageDevelopmentEc_2017 میتود ECDSA256+SHA256 لخوا لاسلیک شوی
  6. د MX لړۍ وسیلو لپاره،
    • د سیسټم فیپس چیسیس لیول 1 او کمیټ تنظیم کولو له لارې د چیسس حدود فیپس تنظیم کړئ.
    • د ټاکل شوي سیسټمونو فیپس کچه 1 او ژمنې تنظیم کولو له لارې د RE حدود فیپس تنظیم کړئ.
    وسیله ممکن کوډ شوی پاسورډ وښیې چې په بار شوي ترتیب کې د زړو CSPs حذف کولو لپاره د FIPS مطابقت لرونکي هش خبرداری کارولو لپاره باید بیا تنظیم شي.
  7. د CSPs له مینځه وړلو او تنظیم کولو وروسته ، ژمنې به تیریږي او وسیله د FIPS حالت ته د ننوتلو لپاره ریبوټ ته اړتیا لري. [سمول] crypto-officer@hostname# ژمنه
    د RSA کیلي تولید کول /etc/ssh/fips_ssh_host_key
    د RSA2 کیلي تولید کول /etc/ssh/fips_ssh_host_rsa_key
    د ECDSA کیلي تولید کول /etc/ssh/fips_ssh_host_ecdsa_key
    سیسټم[سمول]
    ریبوټ د FIPS کچې 1 ته د لیږد لپاره اړین دی چې بشپړ کړي [سمول] crypto-officer@hostname# د چلولو غوښتنه vmhost reboot
  8. د وسیلې له ریبوټ کولو وروسته ، د FIPS ځان ازموینې به پرمخ ځي او وسیله FIPS حالت ته ننوځي. crypto-officer@hostname: fips>

اړونده اسناد
د FIPS موډ کې د جونوس OS لپاره د پاسورډ مشخصاتو او لارښودونو پوهیدل | 20
د کریپټو افسر تنظیم کول او د FIPS کارن پیژندنه او لاسرسی
په دې برخه کې
د کریپټو افسر لاسرسي تنظیم کول | ۳۰
د FIPS کارن ننوتلو لاسرسی ترتیب کول | ۳۲
کریپټو افسر ستاسو په آلې کې FIPS موډ فعالوي او د جونوس OS لپاره د FIPS حالت کې د ترتیب کولو ټولې دندې ترسره کوي او ټول جونوس OS په FIPS حالت بیاناتو او کمانډونو کې صادروي. د کریپټو افسر او د FIPS کارونکي تشکیلات باید د FIPS موډ لارښودونو کې جونوس OS تعقیب کړي.
د کریپټو افسر لاسرسي تنظیم کول
جونوس OS په FIPS موډ کې د FIPS 140-2 لخوا ټاکل شوي په پرتله د کارونکي اجازې خورا ښه دانه وړاندې کوي.
د FIPS 140-2 موافقت لپاره، هر FIPS کارن د پټ، امنیت، ساتنې، او کنټرول اجازې بټونو سره د کریپټو افسر دی. په ډیری قضیو کې د سپر کارونکي ټولګي د کریپټو افسر لپاره کافي دي.
د کریپټو افسر لپاره د ننوتلو لاسرسي تنظیم کولو لپاره:

  1. د روټ پاسورډ سره وسیلې ته ننوتل که تاسو دمخه دا کار نه وي کړی ، او د تنظیم کولو حالت ته ننوځئ: root@hostname> ترمیم د تنظیم کولو حالت ته ننوځي [edit] root@hostname#
  2. د کارونکي کریپټو افسر نوم ورکړئ او د کریپټو افسر ته د کارونکي ID وټاکئ (د مثال لپارهample، 6400، کوم چې باید یو ځانګړی شمیر وي چې د 100 څخه تر 64000 پورې د ننوتلو حساب سره تړلی وي) او یو ټولګي (د پخوا لپارهample, super-user). کله چې تاسو ټولګي وټاکئ، تاسو اجازه ورکړئ - د مثال لپارهampلی، پټ، امنیت، ساتنه، او کنټرول.
    د اجازې لیست لپاره، د Junos OS لاسرسي امتیازاتو کچې پوهیدل وګورئ.
    [ترمیم] root@hostname# د سیسټم د ننوتلو کارونکي کارن نوم uid ارزښت د ټولګي ټولګي نوم ترتیب کړئ
    د مثال لپارهampLe:
    [ترمیم] root@hostname# د سیسټم ننوتلو کاروونکي crypto-officer uid 6400 کلاس سوپر کارن تنظیم کړئ
  3. په 20 مخ کې "د جونوس OS په FIPS موډ کې د پاسورډ مشخصاتو او لارښودونو پوهیدل" کې د لارښوونو تعقیب ، د کریپټو افسر ته د ننوتلو تصدیق لپاره ساده متن پاسورډ ورکړئ. د اشارو وروسته د پاسورډ ټایپ کولو سره پاسورډ تنظیم کړئ نوی پاسورډ او نوی پټنوم بیا ټایپ کړئ.
    [سمول] root@hostname# د سیسټم ننوتل د کارونکي کارن نوم ټولګي ټولګي نوم تصدیق کول (د ساده ټیسټ پاسورډ
    کوډ شوی پاسورډ)
    د مثال لپارهampLe:
    [ترمیم] root@hostname# د سیسټم ننوتلو کاروونکي کریپټو-افسر کلاس د سپر کارونکي تصدیق ساده متن-پاسورډ تنظیم کړئ
  4. په اختیاري توګه، ترتیب ښکاره کړئ:
    [ترمیم] root@hostname# د سیسټم ترمیم
    [سیسټم ترمیم] root@hostname# شو
    د ننه کیدل {
    کارن کریپټو افسر {
    uid 6400;
    تصدیق {
    کوډ شوی پاسورډ " "; ## پټ معلومات
    }
    ټولګي سپر کارونکي؛
    }
    }
  5. که تاسو د وسیلې تنظیم کول پای ته ورسوئ ، تشکیلات ژمن کړئ او وځئ:
    [ترمیم] root@hostname# ژمنې بشپړې شوې
    root@hostname# وتل

د FIPS کارن ننوتلو لاسرسي تنظیم کول
د فیپس کارونکي د هر FIPS کارونکي په توګه تعریف شوي چې پټ، امنیت، ساتنه، او د کنټرول اجازې بټونه نلري.
د کریپټو افسر په توګه تاسو د FIPS کاروونکي تنظیم کړئ. د FIPS کاروونکو ته اجازه نه ورکول کیږي چې په نورمال ډول د کریپټو افسر لپاره خوندي وي — د مثال لپارهample، د سیسټم د صفر کولو اجازه.
د FIPS کارونکي لپاره د ننوتلو لاسرسي تنظیم کولو لپاره:

  1. د خپل کریپټو افسر پاسورډ سره وسیلې ته ننوتل که تاسو دمخه دا نه وي کړی ، او د تنظیم کولو حالت ته ننوځئ:
    crypto-officer@hostname:fips> سمون
    د ترتیب کولو حالت ته ننوتل
    [سمول] crypto-officer@hostname:fips#
  2. کارونکي ته یو کارن نوم ورکړئ او کارونکي ته د کارن ID ورکړئ (د مثال لپارهample، 6401، کوم چې باید د 1 څخه تر 64000 پورې یو ځانګړی شمیر وي) او یو ټولګي. کله چې تاسو ټولګي وټاکئ، تاسو اجازه ورکړئ - د مثال لپارهample, clear, network, resetview، او view- ترتیب.
    [سمول] crypto-officer@hostname:fips# د سیسټم د ننوتلو کاروونکي کارن نوم uid ارزښت د ټولګي ټولګي نوم د پخواني لپارهampLe:
    [سمول] crypto-officer@hostname:fips# د سیسټم د ننوتلو کاروونکي fips-user1 uid 6401 ټولګي یوازې لوستل
  3. د "د جونوس OS لپاره د پاسورډ مشخصاتو او لارښودونو پوهیدل" کې لارښوونې تعقیب کړئ
    FIPS موډ" په 20 مخ کې، د FIPS کارونکي ته د ننوتلو تصدیق کولو لپاره ساده متن پاسورډ ورکړئ. د اشارو وروسته د پاسورډ ټایپ کولو سره پاسورډ تنظیم کړئ نوی پاسورډ او نوی پټنوم بیا ټایپ کړئ.
    [سمول] crypto-officer@hostname:fips# د سیسټم د ننوتلو کارونکي نوم د ټولګي ټولګي-نوم تصدیق کول
    د مثال لپارهampLe:
    [سمول] crypto-officer@hostname:fips# د سیسټم ننوتلو کاروونکي fips-user1 ټولګي یوازې د لوستلو تصدیق کول ساده متن-پټوم
  4. په اختیاري توګه، ترتیب ښکاره کړئ:
    [edit] crypto-officer@hostname:fips# سیسټم تدوین [سیسټم ترمیم] crypto-officer@hostname:fips# شو
    د ننه کیدل {
    کارن fips-user1 {
    uid 6401;
    تصدیق {
    کوډ شوی پاسورډ " "; ## پټ معلومات
    }
    ټولګي یوازې لوستل؛
    }
    }
  5. که تاسو د وسیلې تنظیم کول پای ته ورسوئ ، تشکیلات ژمن کړئ او وځئ:
    [سمول] crypto-officer@hostname:fips# ژمنه
    crypto-officer@hostname:fips# وتلو

د SSH او کنسول پیوستون تنظیم کول

د FIPS لپاره ارزول شوي ترتیب کې د SSH تنظیم کول
SSH د ریموټ مدیریت انٹرفیس له لارې ارزول شوي ترتیب کې اجازه ورکړل شوې. دا موضوع د ریموټ مدیریت له لارې د SSH تنظیم کولو څرنګوالی تشریح کوي.
لاندې الګوریتمونه چې د FIPS لپاره د SSH اعتبار کولو لپاره تنظیم کولو ته اړتیا لري.
په DUT کې د SSH تنظیم کولو لپاره:

  1. د سیسټم خدماتو لپاره د جواز وړ SSH کوربه کلیدي الګوریتم مشخص کړئ.
    [سمول] user@host# د سیسټم خدمتونه ssh hostkey-algorithm ssh-ecdsa
    user@host# د سیسټم خدمتونه ssh hostkey-algorithm no-ssh-dss
    user@host# د سیسټم خدمتونه ssh hostkey-algorithm ssh-rsa
  2. د سیسټم خدماتو لپاره د Diffie-Hellman کیلي لپاره د SSH کیلي تبادله مشخص کړئ.
    [سمول] user@host# د سیسټم خدمتونه ssh کلیدي تبادله dh-group14-sha1
    user@host# د سیسټم خدمتونه ssh کلیدي تبادله ecdh-sha2-nistp256
    user@host# د سیسټم خدمتونه ssh کلیدي تبادله ecdh-sha2-nistp384
    user@host# د سیسټم خدمتونه ssh کلیدي تبادله ecdh-sha2-nistp521
  3. د SSHv2 لپاره ټول د جواز وړ پیغام تصدیق کوډ الګوریتم مشخص کړئ
    user@host# د سیسټم خدمتونه ssh macs hmac-sha1 ترتیب کړئ
    user@host# د سیسټم خدمات تنظیم کړئ ssh macs hmac-sha2-256
    user@host# د سیسټم خدمات تنظیم کړئ ssh macs hmac-sha2-512
  4. د پروتوکول نسخه 2 لپاره اجازه ورکړل شوي سیفرونه مشخص کړئ.
    [ترمیم] user@host# سیټ سیسټم خدمات ssh سیفرونه aes128-cbc
    user@host# د سیسټم خدمتونه ssh ciphers aes256-cbc
    user@host# د سیسټم خدمات تنظیم کړئ ssh ciphers aes128-ctr
    user@host# د سیسټم خدمات تنظیم کړئ ssh ciphers aes256-ctr
    user@host# د سیسټم خدمتونه ssh ciphers aes192-cbc
    user@host# د سیسټم خدمات تنظیم کړئ ssh ciphers aes192-ctr
    ملاتړ شوی SSH کوربه الګوریتم:
    ssh-ecdsa د ECDSA کوربه کیلي تولید ته اجازه ورکړئ
    ssh-rsa د RSA کوربه کیلي تولید ته اجازه ورکړئ
    د SSH کلیدي تبادلې الګوریتم ملاتړ شوی:
    ecdh-sha2-nistp256 EC Diffie-Hellman په nistp256 کې د SHA2-256 سره
    ecdh-sha2-nistp384 EC Diffie-Hellman په nistp384 کې د SHA2-384 سره
    ecdh-sha2-nistp521 EC Diffie-Hellman په nistp521 کې د SHA2-512 سره
    ملاتړ شوی MAC الګوریتم:
    hmac-sha1 Hash-based MAC د خوندي هش الګوریتم (SHA1) په کارولو سره
    hmac-sha2-256 هش میشته MAC د خوندي هش الګوریتم (SHA2) په کارولو سره
    hmac-sha2-512 هش میشته MAC د خوندي هش الګوریتم (SHA2) په کارولو سره
    ملاتړ شوی SSH سیفر الګوریتم:
    aes128-cbc 128-bit AES د سیفر بلاک چینینګ سره
    aes128-ctr 128-bit AES د کاونټر موډ سره
    aes192-cbc 192-bit AES د سیفر بلاک چینینګ سره
    aes192-ctr 192-bit AES د کاونټر موډ سره
    aes256-cbc 256-bit AES د سیفر بلاک چینینګ سره
    aes256-ctr 256-bit AES د کاونټر موډ سره

د MACsec ترتیب کول

په FIPS حالت کې د رسنیو لاسرسي کنټرول امنیت (MACsec) پوهیدل
د میډیا لاسرسي کنټرول امنیت (MACsec) د 802.1AE IEEE صنعت معیاري امنیت ټیکنالوژي ده چې په ایترنیټ لینکونو کې د ټولو ترافیک لپاره خوندي اړیکه چمتو کوي. MACsec د مستقیم وصل شوي نوډونو تر مینځ په ایترنیټ لینکونو کې د نقطې څخه ټکي امنیت چمتو کوي او د ډیری امنیتي ګواښونو پیژندلو او مخنیوي توان لري ، پشمول د خدماتو انکار ، مداخله ، په مینځ کې مینځ کې مینځل ، نقاب کول ، غیر فعال ویټپینګ ، او پلے بیک بریدونه.
MACsec تاسو ته اجازه درکوي چې د نږدې ټولو ټرافیک لپاره ایترنیټ لینک ته د پوائنټ ټکي خوندي کړئ، په شمول د لینک پرت کشف پروتوکول (LLDP) چوکاټونو، د لینک راټولولو کنټرول پروتوکول (LACP)، د متحرک کوربه ترتیب پروتوکول (DHCP)، د پته حل پروتوکول (ARP)، او نور پروتوکولونه چې د نورو امنیتي حلونو سره د محدودیتونو له امله عموما په ایترنیټ لینک کې خوندي ندي. MACsec د نورو امنیتي پروتوکولونو سره په ترکیب کې کارول کیدی شي لکه IP امنیت (IPsec) او د خوندي ساکټ پرت (SSL) د پای څخه تر پای پورې د شبکې امنیت چمتو کولو لپاره.
MACsec په IEEE 802.1AE کې معیاري شوی. د IEEE 802.1AE معیار په IEEE سازمان کې لیدل کیدی شي webپه IEEE 802.1 کې سایټ: پلونه او مدیریت.
د الګوریتم هر پلي کول د پیژندل شوي ځواب ازموینې (KAT) ځان ازموینې او د کریپټو الګوریتم اعتبار (CAV) لخوا چک کیږي. لاندې کریپټوګرافیک الګوریتمونه په ځانګړي ډول د MACsec لپاره اضافه شوي.

  • د پرمختللي کوډ کولو معیار (AES) - د سیفر پیغام تصدیق کوډ (CMAC)
  • د پرمختللي کوډ کولو معیاري (AES) کلیدي لفاف
    د MACsec لپاره، په ترتیب کولو حالت کې، د تصدیق کولو لپاره د 64 هیکساډیسیمل حروفونو پټ کلیدي ارزښت داخلولو لپاره پرامپټ کمانډ وکاروئ.
    [ترمیم] crypto-officer@hostname:fips# پرامپټ امنیت میکسیک ارتباط-ایسوسی ایشن پری-شریک کیلي کیک
    نوی کیک (پټ):
    نوی کیک بیا ټایپ کړئ (پټ):

د وخت تنظیم کول
د وخت تنظیم کولو لپاره، NTP غیر فعال کړئ او نیټه وټاکئ.

  1. NTP غیر فعال کړئ.
    [ترمیم] crypto-officer@hostname:fips# غیر فعال ګروپونه نړیوال سیسټم ntp
    crypto-officer@hostname:fips# سیسټم غیر فعال کړئ ntp
    crypto-officer@hostname:fips# ژمنه
    crypto-officer@hostname:fips# وتلو
  2. نیټه او وخت ټاکل. د نیټې او وخت بڼه YYYYMMDDHHMM.ss ده
    [سمول] crypto-officer@hostname:fips# ټاکل شوې نیټه 201803202034.00
    crypto-officer@hostname:fips# cli timest ټاکلamp
  3. د MACsec کلیدي تړون (MKA) خوندي چینل توضیحات تنظیم کړئ.
    [ترمیم] crypto-officer@hostname:fips# د امنیت macsec نښلول تنظیمول-انجمن ارتباط انجمن-نوم safe-channel safe-channel-name direction (inbound | outbound) crypto-officer@hostname:fips# د امنیت macsec ارتباط تنظیم کول -نوم خوندي-چینل خوندي-چینل-نوم کوډ کول (MACsec) crypto-officer@hostname:fips# د امنیت میکسیک اتصال-انجمن ارتباط تنظیم تنظیم-نوم خوندي-چینل خوندي-چینل-نوم id mac-address /"mac-address crypto- Officer@hostname:fips# د امنیت macsec ارتباط-انجمن ارتباط تنظیم کړئ-نوم safe-channel safe-channel-name id port-id port-id-number crypto-officer@hostname:fips# د امنیت macsec نښلول-ټولنه نښلول-نوم خوندي -چینل خوندي-چینل-نوم آفسیټ "(0|30|50) crypto-officer@hostname:fips# د امنیت میکسیک ارتباط تنظیم کړئ-انجمن ارتباط association-نوم safe-channel safe-channel-name security-association security-associationnumber کلیدي کلیدي- تار
  4. MKA د امنیت حالت ته تنظیم کړئ.
    [ترمیم] crypto-officer@hostname:fips# د امنیت میکسیک نښلول تنظیم کړئ-انجمن ارتباط ارتباط-نوم امنیت-موډ امنیت-موډ
  5. د مشخص شوي MACsec انٹرفیس سره تنظیم شوي ارتباط اتحادیه وټاکئ.
    [ترمیم] crypto-officer@hostname:fips# د امنیت میکسیک انٹرفیس د انٹرفیس-نوم ارتباط تنظیم کول ارتباط-انجمن-نوم

د ICMP ترافیک سره د جامد MACsec ترتیب کول
د آلې R0 او وسیلې R1 ترمنځ د ICMP ترافیک په کارولو سره د جامد MACsec تنظیم کولو لپاره:
په R0 کې:

  1. د ارتباطي اتحادیې کلیدي نوم (CKN) او د ارتباط اتحادیې کیلي (CAK) تنظیم کولو سره مخکینۍ شریکه کیلي رامینځته کړئ
    [ترمیم] crypto-officer@hostname:fips# د امنیت میکسیک ارتباطي اتحادیه CA1 مخکینۍ شریکول ckn 2345678922334455667788992223334445556667778889992222333344445555
    crypto-officer@hostname:fips# د امنیت میکسیک ارتباط تنظیم کړئ CA1 پری-شریک کیک کیک 23456789223344556677889922233344 crypto-officer@hostname:fips# د امنیت میکسیک ارتباط تنظیم کړئ - CA1 offset30.
  2. د ټریس اختیار ارزښتونه تنظیم کړئ.
    [سمول] crypto-officer@hostname:fips# د امنیت میکسیک تعقیب انتخابونه تنظیم کړئ file MACsec.log
    crypto-officer@hostname:fips# د امنیت میکسیک ټریس اپشنونه تنظیم کړئ file اندازه 4000000000
    crypto-officer@hostname:fips# د امنیت میکسیک ټریس اپشن بیرغ ټول تنظیم کړئ
  3. ټریس یو انٹرفیس ته وټاکئ.
    [ترمیم] crypto-officer@hostname:fips# د امنیت میکسیک انٹرفیس انٹرفیس-نوم ټریس اپشنونه تنظیم کړئ file mka_xe اندازه 1g crypto-officer@hostname:fips# د امنیت میکسیک انٹرفیس تنظیم کړئ انٹرفیس نوم traceoptions بیرغ ټول
  4. د اتصال اتحادیې لپاره د MACsec امنیت حالت د جامد کیک په توګه تنظیم کړئ. [ترمیم] crypto-officer@hostname:fips# د امنیت میکسیک ارتباط تنظیم کول CA1 امنیت-موډ سټیټیک-کیک
  5. د MKA کلیدي سرور لومړیتوب تنظیم کړئ.
    [ترمیم] crypto-officer@hostname:fips# د امنیت میکسیک ارتباط تنظیم CA1 mka کلیدي-سرور لومړیتوب 1
  6. د MKA لیږد وقفه تنظیم کړئ.
    [ترمیم] crypto-officer@hostname:fips# د امنیت میکسیک ارتباط تنظیم کول CA1 mka transmitinterval 3000
  7. د MKA خوندي فعال کړئ.
    [ترمیم] crypto-officer@hostname:fips# د امنیت میکسیک ارتباط تنظیم کړئ CA1 mka باید خوندي شي
    crypto-officer@hostname:fips# د امنیت میکسیک ارتباط تنظیم کړه- CA1 شامل-sci
  8. د ارتباط اتحادیه یو انٹرفیس ته وټاکئ.
    [ترمیم] crypto-officer@hostname:fips# د امنیت میکسیک انٹرفیس د انٹرفیس-نوم ارتباط ایسوسی ایشن تنظیم کړئ
    CA1
    crypto-officer@hostname:fips# د انٹرفیس انٹرفیس-نوم واحد 0 د کورنۍ انټ پته 10.1.1.1/24

په R1 کې:

  1. د ارتباطي اتحادیې کلیدي نوم (CKN) او د ارتباط اتحادیې کیلي (CAK) تنظیم کولو سره مخکینۍ شریکه کیلي رامینځته کړئ
    [ترمیم] crypto-officer@hostname:fips# د امنیت میکسیک ارتباط تنظیم کول CA1 پری-شریک کیکی ckn 2345678922334455667788992223334445556667778889992222333344445555# امنیت ته د macsec ارتباطي اتحادیه CA1 پری شریک شوي کیک 23456789223344556677889922233344 crypto-officer@hostname:fips # د امنیت میکسیک ارتباط - انجمن CA1 آفسیټ 30 تنظیم کړئ
  2. د ټریس اختیار ارزښتونه تنظیم کړئ.
    [سمول] crypto-officer@hostname:fips# د امنیت میکسیک تعقیب انتخابونه تنظیم کړئ file MACsec.log crypto-officer@hostname:fips# امنیت macsec ټریس اپشنونه تنظیم کړئ file اندازه 4000000000 crypto-officer@hostname:fips# د امنیت میکسیک ټریس اپشن بیرغ ټول تنظیم کړئ
  3. ټریس یو انٹرفیس ته وټاکئ. [ترمیم] crypto-officer@hostname:fips# د امنیت میکسیک انٹرفیس انٹرفیس-نوم ټریس اپشنونه تنظیم کړئ file mka_xe اندازه 1g crypto-officer@hostname:fips# د امنیت میکسیک انٹرفیس تنظیم کړئ انٹرفیس نوم traceoptions بیرغ ټول
  4. د اتصال اتحادیې لپاره د MACsec امنیت حالت د جامد کیک په توګه تنظیم کړئ. [ترمیم] crypto-officer@hostname:fips# د امنیت میکسیک ارتباط تنظیم کول CA1 امنیت-موډ سټیټیک-کیک
  5. د MKA لیږد وقفه تنظیم کړئ.
    [ترمیم] crypto-officer@hostname:fips# د امنیت میکسیک ارتباط تنظیم کول CA1 mka transmitinterval 3000
  6. د MKA خوندي فعال کړئ. [ترمیم] crypto-officer@hostname:fips# د امنیت macsec ارتباط-ایسوسی ایشن CA1 mka باید خوندي کړي crypto-officer@hostname:fips# د امنیت میکسیک ارتباط تنظیم CA1 شامل کړئ
  7. د ارتباط اتحادیه یو انٹرفیس ته وټاکئ. [ترمیم] crypto-officer@hostname:fips# د امنیت میکسیک انٹرفیسونه د انٹرفیس-نوم ارتباط تنظیم CA1 crypto-officer@hostname:fips# د انټرفیس د انٹرفیس نوم واحد 0 کورنۍ انټ پته 10.1.1.2/24

د ICMP ترافیک په کارولو سره د کیچین سره MACsec تنظیم کول
د وسیلې R0 او وسیلې R1 ترمینځ د ICMP ترافیک په کارولو سره د کیچین سره MACsec تنظیم کولو لپاره:
په R0 کې:

  1. د تصدیق کیلي سلسلې ته د زغم ارزښت وټاکئ. [ترمیم] crypto-officer@hostname:fips# د امنیت تصدیق کول-کیلي زنځیرونه کیلي زنځیر macsec-kc1 زغم 20
  2. د کارولو لپاره پټ پټنوم جوړ کړئ. دا د هیکساډیسیمل عددونو تار دی چې تر 64 حروف پورې اوږد دی. پاسورډ کې ځایونه شامل کیدی شي که چیرې د کرکټر تار د نرخ نښو کې تړل شوی وي. د کیچین پټ ډیټا د CAK په توګه کارول کیږي.
    crypto-officer@hostname:fips# د امنیت تصدیق کول-کیلي زنځیرونه کیلي زنځیر macsec-kc1 کیلي 0 کلیدي نوم 2345678922334455667788992223334445556667778889992222333344445551 :fips# د امنیت تصدیق-کیلي زنځیرونو کیلي چین میکسیک تنظیم کړئ kc1 کیلي 0 د پیل وخت 2018-03-20.20:35 crypto-officer@hostname:fips# د امنیت تصدیق کول-کیلي زنځیرونه کیلي زنځیر macsec-kc1 کیلي 1 کیلي نوم 2345678922334455667788992223334445556667778889992222333344445552 1 crypto-officer@hostname:fips# امنیت ټاکل د اعتبار-کلیدي کلسین کلي - چین میکسیک-KC1 کی 2018 د 03 crypto-officer@hostname:fips# د امنیت تصدیق کول-کیلي زنځیرونه کیلي زنځیر macsec-kc20.20 کیلي 37 د پیل وخت 1-2-2345678922334455667788992223334445556667778889992222333344445553:1 crypto-officer@hostname:fips# د امنیت تصدیق کول-کیلي زنځیرونه ټاکل د زنځیر macsec-kc2 کیلي 2018 کیلي نوم 03 crypto-officer@hostname:fipseccha-time key-name start 20.20-39-1:3 crypto-officer@hostname:fips # د امنیت تصدیق کول-کیلي زنځیرونه کیلي زنځیر macsec-kc2345678922334455667788992223334445556667778889992222333344445554 کیلي 1 کلیدي نوم 3 key-name@securitation-cp-nof زنځیر macsec-kc2018 کلی 03 د پیل وخت 20.20-41- 1:4 crypto-officer@hostname:fips# د امنیت تصدیق کول-کیلي زنځیرونه کیلي زنځیر macsec-kc2345678922334455667788992223334445556667778889992222333344445555 کیلي 1 کلیدي نوم 4 icer@hostname:fips# د امنیت تصدیق کول-کیلي زنځیرونه کیلي چین میکسیک- kc2018 کیلي 03 د پیل وخت 20.20-43-1:5 crypto-officer@hostname:fips# د امنیت تصدیق کول-کیلي زنځیرونه کیلي زنځیر macsec-kc2345678922334455667788992223334445556667778889992222333344445556 کیلي 1 کلیدي نوم 5 2018 crypto-officer@hostname:fips# امنیت ټاکل authentication-key-chains key-chain macsec-kc03 key 20.20 start-time 45-1-6:2345678922334455667788992223334445556667778889992222333344445557 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 6 key-name 2018 crypto-officer@hostname:fips# د امنیت تصدیق-کیلي چینز key-chain macsec-kc03 key 20.20 د پیل وخت 47-1-7:2345678922334455667788992223334445556667778889992222333344445558 د پټ کلیدي ارزښت د ننوتلو لپاره د پرامپټ کمانډ وکاروئ. د مثال لپارهample، د پټ کیلي ارزښت 2345678922334455667788992223334123456789223344556677889922233341 دی. [سمول] crypto-officer@hostname:fips# promptticcha-key1-ca-ca-cacheckation key k (پټ): نوی کیک بیا ټایپ کړئ (راز): کریپټو-افسر @hostname:fips# پرامپټ امنیتي تصدیق-کیلي زنځیر کیلي زنځیر macseckc0 کیلي 1 پټ نوی کیک (پټ):
    نوی کیک بیا ټایپ کړئ (پټ): crypto-officer@hostname:fips# پرامپټ امنیت تصدیق-کیلي زنځیر کی-چین macseckc1 کیلي 2 پټ نوی کیک (راز):
    نوی کیک بیا ټایپ کړئ (راز): crypto-officer@hostname:fips# پرامپټ امنیت تصدیق-کیلي زنځیر کیلي چین macseckc1 کیلي 3 پټ نوی کیک (راز): نوی کیک بیا ټایپ کړئ (راز): crypto-officer@hostname:fips# د پرامپټ امنیت تصدیق-کیلي زنځیر کلیدي زنځیر macseckc1 کیلي 4 پټ نوی کیک (پټ): نوی کیک بیا ټایپ کړئ (پټ): crypto-officer@hostname:fips# prompt امنیت تصدیق-key-chains key-chain macseckc1 کیلي 5 راز نوی cak (پټ): نوی کیک بیا ټایپ کړئ (راز): crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macseckc1 کلید 6 پټ نوی کیک (پټ): نوی کیک بیا ټایپ کړئ (راز): کریپټو افسر @hostname:fips# prompt security authentication-key-chains key-chain macseckc1 key 7 secret نوی کیک (پټ): نوی کیک بیا ټایپ کړئ (راز):
  3. د مخکینۍ کیچین نوم د ارتباط اتحادیې سره وصل کړئ.
    [ترمیم] crypto-officer@hostname:fips# د امنیت macsec ارتباط-ایسوسی ایشن CA1 pre-sharedkey-chain macsec-kc1 crypto-officer@hostname:fips# د امنیت macsec ارتباط-ایسوسی ایشن CA1 د 50 crypto-officer@hostname آفسټ کړئ:fips # د امنیت میکسیک ارتباط تنظیم کړئ CA1 cipher-suite gcm-aes-256
    یادونه: د سایفر ارزښت هم د cipher-suite gcm-aes-128 په توګه ټاکل کیدی شي.
  4. د ټریس اختیار ارزښتونه تنظیم کړئ.
    [سمول] crypto-officer@hostname:fips# د امنیت میکسیک تعقیب انتخابونه تنظیم کړئ file MACsec.log crypto-officer@hostname:fips# امنیت macsec ټریس اپشنونه تنظیم کړئ file اندازه 4000000000 crypto-officer@hostname:fips# د امنیت میکسیک ټریس اپشن بیرغ ټول تنظیم کړئ
  5. ټریس یو انٹرفیس ته وټاکئ. [ترمیم] crypto-officer@hostname:fips# د امنیت میکسیک انٹرفیس انٹرفیس-نوم ټریس اپشنونه تنظیم کړئ file mka_xe اندازه 1g crypto-officer@hostname:fips# د امنیت میکسیک انٹرفیس تنظیم کړئ انٹرفیس نوم traceoptions بیرغ ټول
  6. د اتصال اتحادیې لپاره د MACsec امنیت حالت د جامد کیک په توګه تنظیم کړئ. [ترمیم] crypto-officer@hostname:fips# د امنیت میکسیک ارتباط تنظیم کول CA1 securitymode static-cak
  7. د MKA کلیدي سرور لومړیتوب تنظیم کړئ.
    [ترمیم] crypto-officer@hostname:fips# د امنیت میکسیک ارتباط تنظیم کول CA1 mka keyserver-priority 1
  8. د MKA لیږد وقفه تنظیم کړئ.
    [ترمیم] crypto-officer@hostname:fips# د امنیت میکسیک ارتباط تنظیم کول CA1 mka transmitinterval 3000
  9. د MKA خوندي فعال کړئ.
    [ترمیم] crypto-officer@hostname:fips# د امنیت میکسیک ارتباط تنظیم کول CA1 include-sci
  10. د ارتباط اتحادیه یو انٹرفیس ته وټاکئ.
    [ترمیم] crypto-officer@hostname:fips# د امنیت میکسیک انٹرفیس انٹرفیس-نوم ارتباطي اتحادیه CA1 تنظیم کړه
    crypto-officer@hostname:fips#
    د انٹرفیس د انٹرفیس نوم واحد 0 د کورنۍ انټ پته 10.1.1.1/24 ترتیب کړئ

د ICMP ترافیک لپاره د کیچین سره MACsec تنظیم کولو لپاره:
په R1 کې:

  1. د تصدیق کیلي سلسلې ته د زغم ارزښت وټاکئ.
    [ترمیم] crypto-officer@hostname:fips# د امنیت تصدیق کول-کیلي زنځیرونه کیلي زنځیر macsec-kc1 زغم 20
  2. د کارولو لپاره پټ پټنوم جوړ کړئ. دا د هیکساډیسیمل عددونو تار دی چې تر 64 حروف پورې اوږد دی. پاسورډ کې ځایونه شامل کیدی شي که چیرې د کرکټر تار د نرخ نښو کې تړل شوی وي. د کیچین پټ ډیټا د CAK په توګه کارول کیږي.
    crypto-officer@hostname:fips# د امنیت تصدیق کول-کیلي زنځیرونه کیلي زنځیر macsec-kc1 کیلي 0 کلیدي نوم 2345678922334455667788992223334445556667778889992222333344445551 :fips# د امنیت تصدیق-کیلي زنځیرونو کیلي چین میکسیک تنظیم کړئ kc1 کیلي 0 د پیل وخت 2018-03-20.20:35 crypto-officer@hostname:fips# د امنیت تصدیق کول-کیلي زنځیرونه کیلي زنځیر macsec-kc1 کیلي 1 کیلي نوم 2345678922334455667788992223334445556667778889992222333344445552 1 crypto-officer@hostname:fips# امنیت ټاکل د اعتبار-کلیدي کلسین کلي - چین میکسیک-KC1 کی 2018 د 03 crypto-officer@hostname:fips# د امنیت تصدیق کول-کیلي زنځیرونه کیلي زنځیر macsec-kc20.20 کیلي 37 د پیل وخت 1-2-2345678922334455667788992223334445556667778889992222333344445553:1 crypto-officer@hostname:fips# د امنیت تصدیق کول-کیلي زنځیرونه ټاکل د زنځیر macsec-kc2 کیلي 2018 کیلي نوم 03 crypto-officer@hostname:fipseccha-time key-name start 20.20-39-1:3 crypto-officer@hostname:fips # د امنیت تصدیق کول-کیلي زنځیرونه کیلي زنځیر macsec-kc2345678922334455667788992223334445556667778889992222333344445554 کیلي 1 کلیدي نوم 3 key-name@securitation-cp-nof زنځیر macsec-kc2018 کلی 03 د پیل وخت 20.20-41- 1:4 crypto-officer@hostname:fips# د امنیت تصدیق کول-کیلي زنځیرونه کیلي زنځیر macsec-kc2345678922334455667788992223334445556667778889992222333344445555 کیلي 1 کلیدي نوم 4. er@hostname:fips# د امنیت تصدیق-کیلي زنځیرونو کیلي چین میکسیک تنظیم کړئ kc2018 کیلي 03 د پیل وخت 20.20-43-1:5 crypto-officer@hostname:fips# د امنیت تصدیق کول-کیلي زنځیرونه کیلي زنځیر macsec-kc345678922334455667788992223334445556667778889992222333344445556 کیلي 1 کلیدي نوم 5 2018 crypto-officer@hostname:fips# امنیت ټاکل authentication-key-chains key-chain macsec-kc03 key 20.20 start-time 45-1-6:2345678922334455667788992223334445556667778889992222333344445557 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 6 key-name 2018 crypto-officer@hostname:fips# د امنیت تصدیق کول-کیلي زنځیرونه کیلي زنځیر macsec-kc03 کیلي 20.20 د پیل وخت 47-1-7:2345678922334455667788992223334445556667778889992222333344445558
    د پټ کلیدي ارزښت داخلولو لپاره پرامپټ کمانډ وکاروئ. د مثال لپارهample، د پټ کلیدي ارزښت 2345678922334455667788992223334123456789223344556677889922233341 دی.
    [ترمیم] crypto-officer@hostname:fips# پرامپټ امنیت تصدیق-کی-چینز کلیدي زنځیر macseckc1 کیلي 0 راز
    نوی کیک (پټ):
    نوی کیک بیا ټایپ کړئ (راز): crypto-officer@hostname:fips# پرامپټ امنیت تصدیق-کیلي زنځیر کیلي زنځیر macseckc1 کیلي 1 پټ نوی کیک (راز): نوی کیک بیا ټایپ کړئ (راز): crypto-officer@hostname:fips# د پرامپټ امنیت تصدیق-کیلي زنځیرونه کیلي زنځیر macseckc1 کیلي 2 پټ نوی کیک (پټ): نوی کیک بیا ټایپ کړئ (راز): crypto-officer@hostname:fips# prompt د امنیت تصدیق-key-chains key-chain macseckc1 کلیدي 3 راز نوی cak (پټ): نوی کیک بیا ټایپ کړئ (راز): crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macseckc1 key 4 secret نوی کیک (راز): نوی کیک بیا ټایپ کړئ
    (پټ):
    crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macseckc1 کیلي 5 پټ نوی کیک (راز): نوی کیک بیا ټایپ کړئ (راز):
    crypto-officer@hostname:fips# پرامپټ امنیتي تصدیق-کیلي زنځیر کلیدي زنځیر macseckc1 کیلي 6 پټ نوی کیک (راز):
    نوی کیک بیا ټایپ کړئ (پټ):
    crypto-officer@hostname:fips# پرامپټ امنیتي تصدیق-کیلي زنځیر کلیدي زنځیر macseckc1 کیلي 7 پټ نوی کیک (راز):
    نوی کیک بیا ټایپ کړئ (پټ):
  3. د مخکینۍ کیچین نوم د ارتباط اتحادیې سره وصل کړئ.
    [ترمیم] crypto-officer@hostname:fips# د امنیت میکسیک ارتباط تنظیم CA1 مخکې شریک شوی- کیلي چین macsec-kc1
    crypto-officer@hostname:fips# د امنیت macsec ارتباط-ایسوسی ایشن CA1 آفسیټ 50 crypto-officer@hostname:fips# د امنیت میکسیک ارتباط-ایسوسی ایشن CA1 سیفر-سویټ gcm-aes-256 تنظیم کړئ
  4. د ټریس اختیار ارزښتونه تنظیم کړئ.
    [سمول] crypto-officer@hostname:fips# د امنیت میکسیک تعقیب انتخابونه تنظیم کړئ file MACsec.log crypto-officer@hostname:fips# امنیت macsec ټریس اپشنونه تنظیم کړئ file اندازه 4000000000 crypto-officer@hostname:fips# د امنیت میکسیک ټریس اپشن بیرغ ټول تنظیم کړئ
  5. ټریس یو انٹرفیس ته وټاکئ.
    [ترمیم] crypto-officer@hostname:fips# د امنیت میکسیک انٹرفیس انٹرفیس-نوم ټریس اپشنونه تنظیم کړئ file mka_xe اندازه 1g crypto-officer@hostname:fips# د امنیت میکسیک انٹرفیس تنظیم کړئ انٹرفیس نوم traceoptions بیرغ ټول
  6. د اتصال اتحادیې لپاره د MACsec امنیت حالت د جامد کیک په توګه تنظیم کړئ.
    [ترمیم] crypto-officer@hostname:fips# د امنیت میکسیک ارتباط تنظیم کول CA1 securitymode static-cak
  7. د MKA کلیدي سرور لومړیتوب تنظیم کړئ.
    [ترمیم] crypto-officer@hostname:fips# د امنیت میکسیک ارتباط تنظیم کول CA1 mka keyserver-priority 1
  8. د MKA لیږد وقفه تنظیم کړئ.
    [ترمیم] crypto-officer@hostname:fips# د امنیت میکسیک ارتباط تنظیم کول CA1 mka transmitinterval 3000
  9. د MKA خوندي فعال کړئ.
    [ترمیم] crypto-officer@hostname:fips# د امنیت میکسیک ارتباط تنظیم کول CA1 include-sci
  10. د ارتباط اتحادیه یو انٹرفیس ته وټاکئ.
    [ترمیم] crypto-officer@hostname:fips# د امنیت میکسیک انٹرفیس د انٹرفیس-نوم ارتباط ایسوسی ایشن تنظیم کړئ
    CA1
    crypto-officer@hostname:fips# د انٹرفیس انٹرفیس-نوم واحد 0 د کورنۍ انټ پته 10.1.1.2/24

د پرت 2 ترافیک لپاره د جامد MACsec ترتیب کول
د وسیلې R2 او وسیلې R0 ترمینځ د پرت 1 ترافیک لپاره د جامد MACsec تنظیم کولو لپاره:
په R0 کې:

  1. د MKA کلیدي سرور لومړیتوب تنظیم کړئ.
    [ترمیم] crypto-officer@hostname:fips# د امنیت میکسیک ارتباط تنظیم کول CA1 mka کلیدي سرور لومړیتوب 1
  2. د کارولو لپاره پټ پټنوم جوړ کړئ. دا د هیکساډیسیمل عددونو تار دی چې تر 64 حروف پورې اوږد دی. پاسورډ کې ځایونه شامل کیدی شي که چیرې د کرکټر تار د نرخ نښو کې تړل شوی وي. د کیچین پټ ډیټا د CAK په توګه کارول کیږي.
    [ترمیم] crypto-officer@hostname:fips# پرامپټ امنیت تصدیق-کی-چینز کلیدي زنځیر macseckc1 کیلي 0 پټ نوی کیک (راز):
    نوی کیک بیا ټایپ کړئ (پټ):
    د مثال لپارهample، د پټ کلیدي ارزښت 2345678922334455667788992223334123456789223344556677889922233341 دی.
  3. د مخکینۍ کیچین نوم د ارتباط اتحادیې سره وصل کړئ. [ترمیم] crypto-officer@hostname:fips# د امنیت macsec ارتباط-ایسوسی ایشن CA1 pre-sharedkey-chain macsec-kc1 crypto-officer@hostname:fips# د امنیت macsec ارتباط-ایسوسی ایشن CA1 د 50 crypto-officer@hostname آفسټ کړئ:fips # د امنیت میکسیک ارتباط تنظیم کړئ CA1 cipher-suite gcm-aes-256
  4. د ټریس اختیار ارزښتونه تنظیم کړئ. [سمول] crypto-officer@hostname:fips# د امنیت میکسیک تعقیب انتخابونه تنظیم کړئ file MACsec.log crypto-officer@hostname:fips# امنیت macsec ټریس اپشنونه تنظیم کړئ file اندازه 4000000000 crypto-officer@hostname:fips# د امنیت میکسیک ټریس اپشن بیرغ ټول تنظیم کړئ
  5. ټریس یو انٹرفیس ته وټاکئ. [ترمیم] crypto-officer@hostname:fips# د امنیت میکسیک انٹرفیس انٹرفیس-نوم ټریس اپشنونه تنظیم کړئ file mka_xe اندازه 1g crypto-officer@hostname:fips# د امنیت میکسیک انٹرفیس تنظیم کړئ انٹرفیس نوم traceoptions بیرغ ټول
  6. د اتصال اتحادیې لپاره د MACsec امنیت حالت د جامد کیک په توګه تنظیم کړئ.
    [ترمیم] crypto-officer@hostname:fips# د امنیت میکسیک ارتباط تنظیم کول CA1 securitymode static-cak
  7. د MKA کلیدي سرور لومړیتوب تنظیم کړئ. [ترمیم] crypto-officer@hostname:fips# د امنیت میکسیک ارتباط تنظیم کول CA1 mka کلیدي سرور لومړیتوب 1
  8. د MKA لیږد وقفه تنظیم کړئ.
    [ترمیم] crypto-officer@hostname:fips# د امنیت میکسیک ارتباط تنظیم کول CA1 mka transmitinterval 3000
  9. د MKA خوندي فعال کړئ.
    [ترمیم] crypto-officer@hostname:fips# د امنیت میکسیک ارتباط تنظیم کول CA1 include-sci
  10. د ارتباط اتحادیه یو انٹرفیس ته وټاکئ.
    [ترمیم] crypto-officer@hostname:fips# د امنیت میکسیک انٹرفیس د انٹرفیس-نوم ارتباط ایسوسی ایشن تنظیم کړئ
    CA1
  11. VLAN تنظیم کړئ tagګینګ.
    [ترمیم] crypto-officer@hostname:fips# د انټرفیسونو انٹرفیس ترتیب کړیtagging
    crypto-officer@hostname:fips# د انعطاف وړ ایترنیټ خدمات
    crypto-officer@hostname:fips#
    د انٹرفیس انٹرفیس تنظیم کړئ - name1 واحد 100 encapsulation vlanbridge
    crypto-officer@hostname:fips#
    د انٹرفیس انٹرفیس-نوم1 واحد 100 vlan-id 100 ترتیب کړئ
    crypto-officer@hostname:fips# د انٹرفیس انٹرفیس ترتیب کړئ-name2 flexible-vlan-tagging
    crypto-officer@hostname:fips# د انعطاف وړ ایترنیټ خدمات
    crypto-officer@hostname:fips#
    د انٹرفیس انٹرفیس تنظیم کړئ - name2 واحد 100 encapsulation vlanbridge
    crypto-officer@hostname:fips#
    د انٹرفیس انٹرفیس-نوم2 واحد 100 vlan-id 100 ترتیب کړئ
  12. د پل ډومین تنظیم کړئ.
    crypto-officer@hostname:fips# BD-110 ډومین ډوله پل سیټ پل-ډومینونه
    crypto-officer@hostname:fips# BD-110 vlan-id 100 سیټ پل-ډومینونه
    crypto-officer@hostname:fips# set bridge-domains BD-110 انٹرفیس انٹرفیس-name1 100
    crypto-officer@hostname:fips# set bridge-domains BD-110 انٹرفیس انٹرفیس-name2 100

په R1 کې:

  1. د کارولو لپاره پټ پټنوم جوړ کړئ. دا د هیکساډیسیمل عددونو تار دی چې تر 64 حروف پورې اوږد دی. د
    پاسورډ کې ځایونه شامل کیدی شي که چیرې د کرکټر تار د نرخ نښو کې تړل شوی وي. د کیچین
    پټ معلومات د CAK په توګه کارول کیږي.
    [ترمیم] crypto-officer@hostname:fips# پرامپټ امنیت تصدیق-کی-چینز کلیدي زنځیر macseckc1 کیلي 0 راز
    نوی کیک
    (پټ):
    نوی کیک بیا ټایپ کړئ
    (پټ):
    د مثال لپارهample، د پټ کلیدي ارزښت دی
    2345678922334455667788992223334123456789223344556677889922233341.
  2. د مخکینۍ کیچین نوم د ارتباط اتحادیې سره وصل کړئ.
    [ترمیم] crypto-officer@hostname:fips# د امنیت میکسیک ارتباط تنظیم CA1 پری-شریک کی-چین
    macsec-kc1 crypto-officer@hostname:fips#
    د امنیت میکسیک ارتباط تنظیم کړئ CA1 آفسیټ 50
    crypto-officer@hostname:fips# د امنیت میکسیک ارتباط تنظیم - CA1 cipher-suite gcm-aes-256
  3. د ټریس اختیار ارزښتونه تنظیم کړئ.
    [سمول] crypto-officer@hostname:fips# د امنیت میکسیک تعقیب انتخابونه تنظیم کړئ file MACsec.log
    crypto-officer@hostname:fips# د امنیت میکسیک ټریس اپشنونه تنظیم کړئ file اندازه 4000000000
    crypto-officer@hostname:fips# د امنیت میکسیک ټریس اپشن بیرغ ټول تنظیم کړئ
  4. ټریس یو انٹرفیس ته وټاکئ.
    [ترمیم] crypto-officer@hostname:fips# د امنیت میکسیک انٹرفیس انٹرفیس-نوم ټریس اپشنونه تنظیم کړئ file mka_xe اندازه 1g
    crypto-officer@hostname:fips# د امنیت میکسیک انٹرفیس انٹرفیس-نوم ټریس اپشنونه تنظیم کړئ
    ټول بیرغ
  5. د اتصال اتحادیې لپاره د MACsec امنیت حالت د جامد کیک په توګه تنظیم کړئ.
    [ترمیم] crypto-officer@hostname:fips# د امنیت میکسیک ارتباط تنظیم CA1 امنیت موډ
    static-cak
  6. د MKA کلیدي سرور لومړیتوب تنظیم کړئ.
    [ترمیم] crypto-officer@hostname:fips# د امنیت میکسیک ارتباط تنظیم کول CA1 mka کلیدي سرور لومړیتوب 1
  7. د MKA لیږد وقفه تنظیم کړئ.
    [ترمیم] crypto-officer@hostname:fips# د امنیت میکسیک ارتباط تنظیم CA1 mka transmitinterval
    3000
  8. د MKA خوندي فعال کړئ.
    [ترمیم] crypto-officer@hostname:fips# د امنیت میکسیک ارتباط تنظیم کول CA1 include-sci
  9. د ارتباط اتحادیه یو انٹرفیس ته وټاکئ.
    [ترمیم] crypto-officer@hostname:fips# د امنیت میکسیک انٹرفیس انٹرفیس-نوم ارتباطي اتحادیه CA1 تنظیم کړه
  10. VLAN تنظیم کړئ tagګینګ.
    [ترمیم] crypto-officer@hostname:fips# د انټرفیسونو انٹرفیس ترتیب کړیtagging
    crypto-officer@hostname:fips# د انعطاف وړ ایترنیټ خدمات
    crypto-officer@hostname:fips# د انټرفیس انٹرفیس ترتیب کړئ-name1 واحد 100 encapsulation vlanbridge
    crypto-officer@hostname:fips#
    د انٹرفیس انٹرفیس-نوم1 واحد 100 vlan-id 100 ترتیب کړئ
    crypto-officer@hostname:fips# د انٹرفیس انٹرفیس ترتیب کړئ-name2 flexible-vlan-tagging
    crypto-officer@hostname:fips# د انعطاف وړ ایترنیټ خدمات
    crypto-officer@hostname:fips#
    د انٹرفیس انٹرفیس تنظیم کړئ - name2 واحد 100 encapsulation vlanbridge
    crypto-officer@hostname:fips#
    د انٹرفیس انٹرفیس-نوم2 واحد 100 vlan-id 100 ترتیب کړئ
  11. د پل ډومین تنظیم کړئ.
    crypto-officer@hostname:fips# BD-110 ډومین ډوله پل سیټ پل-ډومینونه
    crypto-officer@hostname:fips# BD-110 vlan-id 100 سیټ پل-ډومینونه
    crypto-officer@hostname:fips# set bridge-domains BD-110 انٹرفیس انٹرفیس-name1 100
    crypto-officer@hostname:fips# set bridge-domains BD-110 انٹرفیس انٹرفیس-name2 100

د پرت 2 ترافیک لپاره د کیچین سره د MACsec تنظیم کول

د وسیلې R0 او وسیلې R1 ترمینځ د ICMP ترافیک لپاره د کیچین سره MACsec تنظیم کولو لپاره:
په R0 کې:

  1. د تصدیق کیلي سلسلې ته د زغم ارزښت وټاکئ.
    [ترمیم] crypto-officer@hostname:fips# د امنیت تصدیق کول-کیلي زنځیرونه کیلي زنځیر macsec-kc1 زغم 20
  2. د کارولو لپاره پټ پټنوم جوړ کړئ. دا د هیکساډیسیمل عددونو تار دی چې تر 64 حروف پورې اوږد دی. پاسورډ کې ځایونه شامل کیدی شي که چیرې د کرکټر تار د نرخ نښو کې تړل شوی وي. د کیچین پټ ډیټا د CAK په توګه کارول کیږي.
    [ترمیم] crypto-officer@hostname:fips# د امنیت تصدیق کول-کیلي زنځیرونه کیلي چین macsec-kc1
    کلیدي 0 کلیدي نوم
    crypto-officer@hostname:fips# د امنیت تصدیق کول-کیلي زنځیرونه کیلي چین macsec-kc1
    کلیدي 0 د پیل وخت 2018-03-20.20:35
    crypto-officer@hostname:fips# د امنیت تصدیق کول-کیلي زنځیرونه کیلي چین macsec-kc1
    کلیدي 1 کلیدي نوم
    crypto-officer@hostname:fips# د امنیت تصدیق کول-کیلي زنځیرونه کیلي چین macsec-kc1
    کلیدي 1 د پیل وخت 2018-03-20.20:37
    crypto-officer@hostname:fips# د امنیت تصدیق کول-کیلي زنځیرونه کیلي چین macsec-kc1
    کلیدي 2 کلیدي نوم
    crypto-officer@hostname:fips# د امنیت تصدیق کول-کیلي زنځیرونه کیلي چین macsec-kc1
    کلیدي 2 د پیل وخت 2018-03-20.20:39
    crypto-officer@hostname:fips# د امنیت تصدیق کول-کیلي زنځیرونه کیلي چین macsec-kc1
    کلیدي 3 کلیدي نوم
    crypto-officer@hostname:fips# د امنیت تصدیق کول-کیلي زنځیرونه کیلي چین macsec-kc1
    کلیدي 3 د پیل وخت 2018-03-20.20:41
    crypto-officer@hostname:fips# د امنیت تصدیق کول-کیلي زنځیرونه کیلي چین macsec-kc1
    کلیدي 4 کلیدي نوم
    crypto-officer@hostname:fips# د امنیت تصدیق کول-کیلي زنځیرونه کیلي چین macsec-kc1
    کلیدي 4 د پیل وخت 2018-03-20.20:43
    crypto-officer@hostname:fips# د امنیت تصدیق کول-کیلي زنځیرونه کیلي چین macsec-kc1
    کلیدي 5 کلیدي نوم
    crypto-officer@hostname:fips# د امنیت تصدیق کول-کیلي زنځیرونه کیلي چین macsec-kc1
    کلیدي 5 د پیل وخت 2018-03-20.20:45
    crypto-officer@hostname:fips# د امنیت تصدیق کول-کیلي زنځیرونه کیلي چین macsec-kc1
    کلیدي 6 کلیدي نوم
    crypto-officer@hostname:fips# د امنیت تصدیق کول-کیلي زنځیرونه کیلي چین macsec-kc1
    کلیدي 6 د پیل وخت 2018-03-20.20:47
    crypto-officer@hostname:fips# د امنیت تصدیق کول-کیلي زنځیرونه کیلي چین macsec-kc1
    کلیدي 7 کلیدي نوم
    crypto-officer@hostname:fips# د امنیت تصدیق کول-کیلي زنځیرونه کیلي چین macsec-kc1
    کلیدي 7 د پیل وخت 2018-03-20.20:49
    د پټ کلیدي ارزښت داخلولو لپاره پرامپټ کمانډ وکاروئ. د مثال لپارهample، د پټ کلیدي ارزښت دی
    2345678922334455667788992223334123456789223344556677889922233341.
    [ترمیم] crypto-officer@hostname:fips# پرامپټ امنیت تصدیق-کی-چینز کلیدي زنځیر macseckc1 کیلي 0 راز
    نوی کیک
    (پټ):
    نوی کیک بیا ټایپ کړئ
    (پټ):
    crypto-officer@hostname:fips#
    سمدستي امنیتي تصدیق-کیلي زنځیرونه کیلي زنځیر macseckc1 کیلي 1 راز
    نوی کیک
    (پټ):
    نوی کیک بیا ټایپ کړئ
    (پټ):
    crypto-officer@hostname:fips# پرامپټ امنیتي تصدیق-کیلي زنځیر کیلي زنځیر macseckc1 کیلي 2 راز
    نوی کیک
    (پټ):
    نوی کیک بیا ټایپ کړئ
    (پټ):
    crypto-officer@hostname:fips#
    سمدستي امنیتي تصدیق-کیلي زنځیرونه کیلي زنځیر macseckc1 کیلي 3 راز
    نوی کیک
    (پټ):
    نوی کیک بیا ټایپ کړئ
    (پټ):
    crypto-officer@hostname:fips#
    سمدستي امنیتي تصدیق-کیلي زنځیرونه کیلي زنځیر macseckc1 کیلي 4 راز
    نوی کیک
    (پټ):
    نوی کیک بیا ټایپ کړئ
    (پټ):
    crypto-officer@hostname:fips#
    سمدستي امنیتي تصدیق-کیلي زنځیرونه کیلي زنځیر macseckc1 کیلي 5 راز
    نوی کیک
    (پټ):
    نوی کیک بیا ټایپ کړئ
    (پټ):
    crypto-officer@hostname:fips#
    سمدستي امنیتي تصدیق-کیلي زنځیرونه کیلي زنځیر macseckc1 کیلي 6 راز
    نوی کیک
    (پټ):
    نوی کیک بیا ټایپ کړئ
    (پټ):
    crypto-officer@hostname:fips#
    سمدستي امنیتي تصدیق-کیلي زنځیرونه کیلي زنځیر macseckc1 کیلي 7 راز
    نوی کیک
    (پټ):
    نوی کیک بیا ټایپ کړئ
    (پټ):
  3. د مخکینۍ کیچین نوم د ارتباط اتحادیې سره وصل کړئ.
    [ترمیم] crypto-officer@hostname:fips# د امنیت میکسیک ارتباط تنظیم CA1 پری-شریک کی-چین
    macsec-kc1
    crypto-officer@hostname:fips#
    د امنیت میکسیک ارتباط تنظیم کړئ CA1 cipher-suite
    gcm-aes-256
  4. د ټریس اختیار ارزښتونه تنظیم کړئ.
    [سمول] crypto-officer@hostname:fips# د امنیت میکسیک تعقیب انتخابونه تنظیم کړئ file MACsec.log
    crypto-officer@hostname:fips# د امنیت میکسیک ټریس اپشنونه تنظیم کړئ file اندازه 4000000000
    crypto-officer@hostname:fips# د امنیت میکسیک ټریس اپشن بیرغ ټول تنظیم کړئ
  5.  ټریس یو انٹرفیس ته وټاکئ.
    [ترمیم] crypto-officer@hostname:fips# د امنیت میکسیک انٹرفیس انٹرفیس-نوم ټریس اپشنونه تنظیم کړئ
    file mka_xe اندازه 1g
    crypto-officer@hostname:fips# د امنیت میکسیک انٹرفیس انٹرفیس-نوم ټریس اپشنونه تنظیم کړئ
    ټول بیرغ
  6. د اتصال اتحادیې لپاره د MACsec امنیت حالت د جامد کیک په توګه تنظیم کړئ.
    [ترمیم] crypto-officer@hostname:fips# د امنیت میکسیک ارتباط تنظیم CA1 امنیت موډ
    static-cak
  7. د MKA کلیدي سرور لومړیتوب تنظیم کړئ.
    [ترمیم] crypto-officer@hostname:fips# د امنیت میکسیک ارتباط تنظیم کول CA1 mka کلیدي سرور لومړیتوب 1
  8. د MKA لیږد وقفه تنظیم کړئ.
    [ترمیم] crypto-officer@hostname:fips# د امنیت میکسیک ارتباط تنظیم CA1 mka transmitinterval
    3000
  9. د MKA خوندي فعال کړئ.
    [ترمیم] crypto-officer@hostname:fips# د امنیت میکسیک ارتباط تنظیم کول CA1 include-sci
  10. د ارتباط اتحادیه یو انٹرفیس ته وټاکئ.
    [ترمیم] crypto-officer@hostname:fips# د امنیت میکسیک انٹرفیس د انٹرفیس-نوم ارتباط ایسوسی ایشن تنظیم کړئ
    CA1
  11. VLAN تنظیم کړئ tagګینګ.
    [ترمیم] crypto-officer@hostname:fips# د انټرفیسونو انٹرفیس ترتیب کړیtagging
    crypto-officer@hostname:fips# د انټرفیس انٹرفیس ترتیب کړئ-name1 encapsulation flexibleethernet-services
    crypto-officer@hostname:fips#
    د انٹرفیس انٹرفیس تنظیم کړئ - name1 واحد 100 encapsulation vlanbridge
    crypto-officer@hostname:fips#
    د انٹرفیس انٹرفیس-نوم1 واحد 100 vlan-id 100 ترتیب کړئ
    crypto-officer@hostname:fips# د انٹرفیس انٹرفیس ترتیب کړئ-name2 flexible-vlan-tagging
    crypto-officer@hostname:fips# د انټرفیس انٹرفیس ترتیب کړئ-name2 encapsulation flexibleethernet-services
    crypto-officer@hostname:fips#
    د انٹرفیس انٹرفیس تنظیم کړئ - name2 واحد 100 encapsulation vlanbridge
    crypto-officer@hostname:fips#
    د انٹرفیس انٹرفیس-نوم2 واحد 100 vlan-id 100 ترتیب کړئ
  12.  د پل ډومین تنظیم کړئ.
    crypto-officer@hostname:fips# BD-110 ډومین ډوله پل سیټ پل-ډومینونه
    crypto-officer@hostname:fips# BD-110 vlan-id 100 سیټ پل-ډومینونه
    crypto-officer@hostname:fips# set bridge-domains BD-110 انٹرفیس انٹرفیس-name1 100
    crypto-officer@hostname:fips# set bridge-domains BD-110 انٹرفیس انٹرفیس-name2 100

په R1 کې:

  1. د تصدیق کیلي سلسلې ته د زغم ارزښت وټاکئ.
    [ترمیم] crypto-officer@hostname:fips# د امنیت تصدیق کول-کیلي زنځیرونه کیلي زنځیر macsec-kc1 زغم 20
  2. د کارولو لپاره پټ پټنوم جوړ کړئ. دا د هیکساډیسیمل عددونو تار دی چې تر 64 حروف پورې اوږد دی. پاسورډ کې ځایونه شامل کیدی شي که چیرې د کرکټر تار د نرخ نښو کې تړل شوی وي. د کیچین پټ ډیټا د CAK په توګه کارول کیږي.
    [ترمیم] crypto-officer@hostname:fips# د امنیت تصدیق کول-کیلي زنځیرونه کیلي چین macsec-kc1
    کلیدي 0 کلیدي نوم
    crypto-officer@hostname:fips# د امنیت تصدیق کول-کیلي زنځیرونه کیلي چین macsec-kc1
    کلیدي 0 د پیل وخت 2018-03-20.20:35
    crypto-officer@hostname:fips# د امنیت تصدیق کول-کیلي زنځیرونه کیلي چین macsec-kc1
    کلیدي 1 کلیدي نوم
    crypto-officer@hostname:fips# د امنیت تصدیق کول-کیلي زنځیرونه کیلي چین macsec-kc1
    کلیدي 1 د پیل وخت 2018-03-20.20:37
    crypto-officer@hostname:fips# د امنیت تصدیق کول-کیلي زنځیرونه کیلي چین macsec-kc1
    کلیدي 2 کلیدي نوم
    crypto-officer@hostname:fips# د امنیت تصدیق کول-کیلي زنځیرونه کیلي چین macsec-kc1
    کلیدي 2 د پیل وخت 2018-03-20.20:39
    crypto-officer@hostname:fips# د امنیت تصدیق کول-کیلي زنځیرونه کیلي چین macsec-kc1
    کلیدي 3 کلیدي نوم
    crypto-officer@hostname:fips# د امنیت تصدیق کول-کیلي زنځیرونه کیلي چین macsec-kc1
    کلیدي 3 د پیل وخت 2018-03-20.20:41
    crypto-officer@hostname:fips# د امنیت تصدیق کول-کیلي زنځیرونه کیلي چین macsec-kc1
    کلیدي 4 کلیدي نوم
    crypto-officer@hostname:fips# د امنیت تصدیق کول-کیلي زنځیرونه کیلي چین macsec-kc1
    کلیدي 4 د پیل وخت 2018-03-20.20:43
    crypto-officer@hostname:fips# د امنیت تصدیق کول-کیلي زنځیرونه کیلي چین macsec-kc1
    کلیدي 5 کلیدي نوم
    crypto-officer@hostname:fips# د امنیت تصدیق کول-کیلي زنځیرونه کیلي چین macsec-kc1
    کلیدي 5 د پیل وخت 2018-03-20.20:45
    crypto-officer@hostname:fips# د امنیت تصدیق کول-کیلي زنځیرونه کیلي چین macsec-kc1
    کلیدي 6 کلیدي نوم
    crypto-officer@hostname:fips# د امنیت تصدیق کول-کیلي زنځیرونه کیلي چین macsec-kc1
    کلیدي 6 د پیل وخت 2018-03-20.20:47
    crypto-officer@hostname:fips# د امنیت تصدیق کول-کیلي زنځیرونه کیلي چین macsec-kc1
    کلیدي 7 کلیدي نوم
    crypto-officer@hostname:fips# د امنیت تصدیق کول-کیلي زنځیرونه کیلي چین macsec-kc1
    کلیدي 7 د پیل وخت 2018-03-20.20:49
    د پټ کلیدي ارزښت داخلولو لپاره پرامپټ کمانډ وکاروئ. د مثال لپارهample، د پټ کلیدي ارزښت دی
    2345678922334455667788992223334123456789223344556677889922233341.
    [ترمیم] crypto-officer@hostname:fips# پرامپټ امنیت تصدیق-کی-چینز کلیدي زنځیر macseckc1 کیلي 0 راز
    نوی کیک
    (پټ):
    نوی کیک بیا ټایپ کړئ
    (پټ):
    crypto-officer@hostname:fips#
    سمدستي امنیتي تصدیق-کیلي زنځیرونه کیلي زنځیر macseckc1 کیلي 1 راز
    نوی کیک
    (پټ):
    نوی کیک بیا ټایپ کړئ (پټ):
    crypto-officer@hostname:fips# پرامپټ امنیتي تصدیق-کیلي زنځیر کیلي زنځیر macseckc1 کیلي 2 راز
    نوی کیک
    (پټ):
    نوی کیک بیا ټایپ کړئ
    (پټ):
    crypto-officer@hostname:fips#
    سمدستي امنیتي تصدیق-کیلي زنځیرونه کیلي زنځیر macseckc1 کیلي 3 راز
    نوی کیک
    (پټ):
    نوی کیک بیا ټایپ کړئ
    (پټ):
    crypto-officer@hostname:fips#
    سمدستي امنیتي تصدیق-کیلي زنځیرونه کیلي زنځیر macseckc1 کیلي 4 راز
    نوی کیک
    (پټ):
    نوی کیک بیا ټایپ کړئ
    (پټ):
    crypto-officer@hostname:fips#
    سمدستي امنیتي تصدیق-کیلي زنځیرونه کیلي زنځیر macseckc1 کیلي 5 راز
    نوی کیک
    (پټ):
    نوی کیک بیا ټایپ کړئ
    (پټ):
    crypto-officer@hostname:fips#
    سمدستي امنیتي تصدیق-کیلي زنځیرونه کیلي زنځیر macseckc1 کیلي 6 راز
    نوی کیک
    (پټ):
    نوی کیک بیا ټایپ کړئ
    (پټ):
    crypto-officer@hostname:fips#
    سمدستي امنیتي تصدیق-کیلي زنځیرونه کیلي زنځیر macseckc1 کیلي 7 راز
    نوی کیک
    (پټ):
    نوی کیک بیا ټایپ کړئ (پټ):
  3. د مخکینۍ کیچین نوم د ارتباط اتحادیې سره وصل کړئ.
    [ترمیم] crypto-officer@hostname:fips# د امنیت میکسیک ارتباط تنظیم CA1 پری-شریک کی-چین
    macsec-kc1
    crypto-officer@hostname:fips#
    د امنیت میکسیک ارتباط تنظیم کړئ CA1 cipher-suite
    gcm-aes-256
  4. د ټریس اختیار ارزښتونه تنظیم کړئ.
    [سمول] crypto-officer@hostname:fips# د امنیت میکسیک تعقیب انتخابونه تنظیم کړئ file MACsec.log
    crypto-officer@hostname:fips# د امنیت میکسیک ټریس اپشنونه تنظیم کړئ file اندازه 4000000000
    crypto-officer@hostname:fips# د امنیت میکسیک ټریس اپشن بیرغ ټول تنظیم کړئ
  5. ټریس یو انٹرفیس ته وټاکئ.
    [ترمیم] crypto-officer@hostname:fips# د امنیت میکسیک انٹرفیس انٹرفیس-نوم ټریس اپشنونه تنظیم کړئ
    file mka_xe اندازه 1g
    crypto-officer@hostname:fips# د امنیت میکسیک انٹرفیس انٹرفیس-نوم ټریس اپشنونه تنظیم کړئ
    ټول بیرغ
  6. د اتصال اتحادیې لپاره د MACsec امنیت حالت د جامد کیک په توګه تنظیم کړئ.
    [ترمیم] crypto-officer@hostname:fips# د امنیت میکسیک ارتباط تنظیم CA1 امنیت موډ
    static-cak
  7. د MKA کلیدي سرور لومړیتوب تنظیم کړئ.
    [ترمیم] crypto-officer@hostname:fips# د امنیت میکسیک ارتباط تنظیم کول CA1 mka keyserver-priority
  8. د MKA لیږد وقفه تنظیم کړئ.
    [ترمیم] crypto-officer@hostname:fips# د امنیت میکسیک ارتباط تنظیم CA1 mka transmitinterval
    3000
  9. د MKA خوندي فعال کړئ.
    [ترمیم] crypto-officer@hostname:fips# د امنیت میکسیک ارتباط تنظیم کول CA1 include-sci
  10. د ارتباط اتحادیه یو انٹرفیس ته وټاکئ.
    [ترمیم] crypto-officer@hostname:fips# د امنیت میکسیک انٹرفیس د انٹرفیس-نوم ارتباط ایسوسی ایشن تنظیم کړئ
    CA1
  11. VLAN تنظیم کړئ tagګینګ.
    [ترمیم] crypto-officer@hostname:fips# د انټرفیسونو انٹرفیس ترتیب کړیtagging
    crypto-officer@hostname:fips# د انټرفیس انٹرفیس ترتیب کړئ-name1 encapsulation flexibleethernet-services
    crypto-officer@hostname:fips#
    د انٹرفیس انٹرفیس تنظیم کړئ - name1 واحد 100 encapsulation vlanbridge
    crypto-officer@hostname:fips#
    د انٹرفیس انٹرفیس-نوم1 واحد 100 vlan-id 100 ترتیب کړئ
    crypto-officer@hostname:fips# د انٹرفیس انٹرفیس ترتیب کړئ-name2 flexible-vlan-tagging
    crypto-officer@hostname:fips# د انعطاف وړ ایترنیټ خدمات
    crypto-officer@hostname:fips#
    د انٹرفیس انٹرفیس تنظیم کړئ - name2 واحد 100 encapsulation vlanbridge
    crypto-officer@hostname:fips#
    د انٹرفیس انٹرفیس-نوم2 واحد 100 vlan-id 100 ترتیب کړئ
  12. د پل ډومین تنظیم کړئ.
    crypto-officer@hostname:fips# BD-110 ډومین ډوله پل سیټ پل-ډومینونه
    crypto-officer@hostname:fips# BD-110 vlan-id 100 سیټ پل-ډومینونه
    crypto-officer@hostname:fips# set bridge-domains BD-110 انٹرفیس انٹرفیس-name1 100
    crypto-officer@hostname:fips# set bridge-domains BD-110 انٹرفیس انٹرفیس-name2 100

د پیښې د ننوتلو ترتیب کول

د پیښې ثبت کولview
ارزول شوی ترتیب د سیسټم لاګ له لارې د تشکیلاتو بدلونونو پلټنې ته اړتیا لري.
سربیره پردې ، جونوس OS کولی شي:

  • د پلټنې پیښو ته اتوماتیک ځوابونه واستوئ (syslog entry create).
  • مجاز مدیرانو ته اجازه ورکړئ چې د پلټنې لاګ معاینه کړي.
  • د پلټنې لیږل files بهرنیو سرورونو ته.
  • مجاز مدیرانو ته اجازه ورکړئ چې سیسټم یو پیژندل شوي حالت ته راستانه کړي.

د ارزول شوي ترتیب لپاره ننوتل باید لاندې پیښې ونیسي:

  • په ترتیب کې د پټو کلیدي معلوماتو کې بدلون.
  • ژمن بدلونونه.
  • د کاروونکو ننوتل / ننوتل.
  • د سیسټم پیل کول.
  • د SSH ناستې په جوړولو کې ناکامي.
  • د SSH ناستې تاسیس / ختمول.
  • د (سیسټم) وخت کې بدلون.
  • د سیشن لاک کولو میکانیزم لخوا د لیرې ناستې پای ته رسیدل.
  • د متقابلې ناستې ختمول.

برسېره پردې، د جونیپر شبکې وړاندیز کوي چې لاګنګ هم:

  • په ترتیب کې ټول بدلونونه ونیسئ.
  • د ننوتلو معلومات لیرې وساتئ.

ځایی ته د پیښې د ننوتلو تنظیم کول File
تاسو کولی شئ محلي ته د پلټنې معلوماتو ذخیره کول تنظیم کړئ file د syslog بیان سره. دا پخوانیampد پلورنځیو ننوتل file د پلټنې په نومFile:
[سیسټم تدوین] syslog {
file پلټنه-File;
}
د پیښې پیغامونه تشریح کول
لاندې محصول په توګه ښیيampد پیښې پیغام.
فبروري 27 02:33:04 bm-a mgd[6520]: UI_LOGIN_EVENT: د کارن 'امنیت-افسر' ننوتل، ټولګي 'j-superuser'
[6520]،
ssh-connection”، د مراجعینو حالت
'کلی'
فبروري 27 02:33:49 bm-a mgd[6520]: UI_DBASE_LOGIN_EVENT: د کارن 'امنیت-افسر' د تشکیلاتو داخلول
حالت
فبروري 27 02:38:29 bm-a mgd[6520]: UI_CMDLINE_READ_LINE: کارن 'امنیت-افسر'، کمانډ 'رن شو
ننوتل
د پلټنې log | grep ننوت
جدول 4 په 69 پا onه کې د پیښې پیغام لپاره ساحې تشریح کوي. که چیرې د سیسټم د ننوتلو اسانتیا نشي کولی په ځانګړي ساحه کې ارزښت وټاکي، یو هایفین (-) پرځای ښکاري.
جدول 4: د پیښې په پیغامونو کې ساحې

ډګر تفصیل Examples
وختamp هغه وخت چې پیغام تولید شوی و، په دوو نمایندګیو کې:
• MMM-DD HH:MM:SS.MS+/-HH:MM، په محلي وخت کې میاشت، ورځ، ساعت، دقیقه، ثانیه او ملی ثانیه ده. هغه ساعت او دقیقه چې د جمع نښه (+) یا منفي نښه (-) تعقیبوي د همغږي شوي نړیوال وخت (UTC) څخه د ځایی وخت زون آف سیٹ دی.
• YYYY-MM-DDTHH:MM:SS.MSZ په UTC کې کال، میاشت، ورځ، ساعت، دقیقه، ثانیه او ملی ثانیه ده.		  فبروري 27 02:33:04 وخت دیamp په متحده ایالاتو کې د ځایی وخت په توګه څرګند شوی.

2012-02-27T03:17:15.713Z is

2:33 AM UTC په 27 فبروري

2012.
کوربه نوم د کوربه نوم چې په اصل کې پیغام تولیدوي.  روټر ۱
پروسه د جونوس OS پروسې نوم چې پیغام یې رامینځته کړی.  mgd
پروسس ID د جونوس OS پروسې UNIX پروسې ID (PID) چې پیغام یې رامینځته کړی.  4153
TAG د جونوس OS سیسټم لاګ پیغام tag، کوم چې په ځانګړي ډول پیغام پیژني.  UI_DBASE_LOGOUT_EVENT
کارن نوم د هغه کارن نوم چې د پیښې پیل کوي.  "اډمین"
پیغام متن د پیښې په انګلیسي ژبه توضیحات.  سیټ: [سیسټم ریډیس-سرور 1.2.3.4 پټ]

په پټو معلوماتو کې د بدلونونو ننوتل
لاندې مثالونه ديampد پیښو د پلټنې لاګونه چې پټ معلومات بدلوي. هرکله چې په ترتیب کې بدلون شتون ولري example، د syslog پیښه باید لاندې لاګونه ونیسي:
جولای 24 17:43:28 روټر1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: د کارونکي 'اډمین' سیټ:
[سیسټم ریډیس-سرور 1.2.3.4 پټ] جولای 24 17:43:28 روټر1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: د کارونکي 'اډمین' سیټ:
[سیسټم د ننوتلو کارونکي اډمین تصدیق کوډ شوی پاسورډ] جولای 24 17:43:28 روټر1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: د کارن 'اډمین' سیټ:
[سیسټم د ننوتلو کاروونکي admin2 تصدیق کوډ شوی پاسورډ] هرکله چې یو ترتیب تازه یا بدل شي، سیسلاګ باید دا لاګونه ونیسي:
جولای 24 18:29:09 روټر1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: د کارونکي 'اډمین' ځای په ځای کول:
[سیسټم ریډیس-سرور 1.2.3.4 پټ] جولای 24 18:29:09 روټر1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: د کارونکي 'اډمین' ځای په ځای کول:
[سیسټم د ننوتلو کاروونکي اډمین تصدیق کوډ شوی پاسورډ] جولای 24 18:29:09 روټر1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: د کارن 'اډمین' ځای په ځای کول:
[سیسټم د ننوتلو کاروونکي اډمین تصدیق کوډ شوی پاسورډ] د پیرامیټونو تنظیم کولو او د لاګ اداره کولو په اړه د نورو معلوماتو لپاره files، د جونوس OS سیسټم وګورئ
د پیغامونو حواله
د SSH په کارولو سره د ننوتلو او ننوتلو پیښې
د سیسټم لاګ پیغامونه رامینځته کیږي کله چې یو کارونکي په بریالیتوب یا ناکامه توګه د SSH لاسرسي هڅه کوي. د ننوتلو پیښې هم ثبت شوي. د مثال لپارهample، لاندې لاګونه د دوو ناکامو تصدیق کولو هڅو پایله ده، بیا یو بریالی، او په پای کې یو لاګ آوټ:
ډیسمبر 20 23:17:35 bilbo sshd[16645]: د 172.17.58.45 پورټ 1673 ssh2 څخه د op لپاره ناکام پټنوم
ډیسمبر 20 23:17:42 bilbo sshd[16645]: د 172.17.58.45 پورټ 1673 ssh2 څخه د op لپاره ناکام پټنوم
دسمبر 20 23:17:53 bilbo sshd[16645]: د 172.17.58.45 پورټ 1673 ssh2 څخه د op لپاره منل شوی پټنوم
دسمبر 20 23:17:53 bilbo mgd[16648]: UI_AUTH_EVENT: د اجازې په کچه مستند کارونکي 'op'
'j-operator'
ډیسمبر 20 23:17:53 bilbo mgd[16648]: UI_LOGIN_EVENT: د کارن 'op' ننوتنه، د ټولګي 'j-operator' [16648] Dec 20 23:17:56 bilbo mgd[16648]: UI_CMDLINE:'User'adline_REop د 'پریږدې' امر
Dec 20 23:17:56 bilbo mgd[16648]: UI_LOGOUT_EVENT: کارن 'op' logout
د پلټنې د پیل کولو ننوتل
د پلټنې معلوماتو ته ننوتل د جونوس OS پیل کول شامل دي. دا په بدل کې د پلټنې سیسټم د پیل پیښې پیژني، کوم چې نشي کولی په خپلواکه توګه غیر فعال یا فعال شي. د مثال لپارهample، که د جونوس OS بیا پیل شي، د پلټنې لاګ لاندې معلومات لري:
ډیسمبر 20 23:17:35 بلبو سیسلګډ: په سیګنال 14 کې وتل
Dec 20 23:17:35 bilbo syslogd: بیا پیل کړئ
Dec 20 23:17:35 bilbo syslogd /kernel: Dec 20 23:17:35 init: syslogd (PID 19128) سره وتل
حالت=1
د ډسمبر 20 23:17:42 بلبو / کرنل:
د دسمبر 20 23:17:53 پیل: syslogd (PID 19200) پیل شو

په یوه وسیله د ځان ازموینې ترسره کول

د FIPS ځان ازموینې پوهیدل
د کریپټوګرافیک ماډل د امنیت مقررات پلي کوي ترڅو ډاډ ترلاسه کړي چې د جونیپر شبکې جونوس فعالیت کوي
سیسټم (جونوس OS) په FIPS حالت کې د FIPS 140-2 لیول 1 امنیتي اړتیاوې پوره کوي.
د کریپټوګرافیک الګوریتم محصول د FIPS لپاره تصویب شوی او د ځینې سیسټم ماډلونو بشپړتیا ازموي،
وسیله د پیژندل شوي ځواب ازموینې (KAT) ځان ازموینې لاندې لړۍ ترسره کوي:

  • kernel_kats—KAT د کرنل کریپټوګرافیک معمولونو لپاره
  • md_kats — KAT د غړو او libc لپاره
  • openssl_kats—KAT د OpenSSL کریپټوګرافیک پلي کولو لپاره
  • quicksec_kats—KAT د QuickSec Toolkit کریپټوګرافیک تطبیق لپاره
  •  ssh_ipsec_kats—KAT د SSH IPsec Toolkit کریپټوګرافیک تطبیق لپاره
  • macsec_kats—KAT د MACsec کریپټوګرافیک پلي کولو لپاره

د KAT ځان ازموینې په اوتومات ډول په پیل کې ترسره کیږي. مشروط ځان ازموینې هم په اوتومات ډول ترسره کیږي ترڅو د ډیجیټل لاسلیک شوي سافټویر کڅوړې تصدیق کړي ، رامینځته شوي تصادفي شمیرې ، RSA او ECDSA کلیدي جوړې ، او په لاسي ډول داخل شوي کیليونه.
که KATs په بریالیتوب سره بشپړ شي، د سیسټم لاګ (syslog) file د ازموینو ښودلو لپاره تازه شوی چې اجرا شوي.
که چیرې د KAT ناکامي شتون ولري، وسیله د سیسټم لاګ ته توضیحات لیکي file، د FIPS خطا حالت (ډار) ته ننوځي او ریبوټ کوي.
د file show /var/log/messages کمانډ د سیسټم لاګ ښیې.
تاسو کولی شئ د غوښتنې vmhost ریبوټ کمانډ په صادرولو سره د FIPS ځان ازموینه هم پرمخ وړئ. تاسو کولی شئ په کنسول کې د FIPS ځان ازموینې لاګونه وګورئ کله چې سیسټم راځي.
Example: د FIPS ځان ازموینې تنظیم کړئ
دا پخوانیample ښیې چې څنګه په دوره توګه د چلولو لپاره د FIPS ځان ازموینې تنظیم کړئ.
د هارډویر او سافټویر اړتیاوې

  • تاسو باید د FIPS ځان ازموینې تنظیم کولو لپاره اداري امتیازات ولرئ.
  • وسیله باید د FIPS موډ سافټویر کې د جونوس OS ارزول شوې نسخه پرمخ وړي.

اوورview
د FIPS ځان ازموینه د پیژندل شوي ځواب ازموینې (KATs) لاندې سویټونه لري:

  • kernel_kats—KAT د کرنل کریپټوګرافیک معمولونو لپاره
  • md_kats—KAT د libmd او libc لپاره
  • quicksec_kats—KAT د QuickSec Toolkit کریپټوګرافیک تطبیق لپاره
  • openssl_kats—KAT د OpenSSL کریپټوګرافیک پلي کولو لپاره
  • ssh_ipsec_kats—KAT د SSH IPsec Toolkit کریپټوګرافیک تطبیق لپاره
  • macsec_kats—KAT د MACsec کریپټوګرافیک پلي کولو لپاره
    په دې کې پخوانيample، د FIPS ځان ازموینه هره چهارشنبه د متحده ایالاتو په نیویارک ښار کې د سهار په 9:00 بجو ترسره کیږي.

یادونه: د اونۍ ازموینې پرځای ، تاسو کولی شئ میاشتنۍ ازموینې تنظیم کړئ د میاشتې او ورځې بیانونو په شمول.
کله چې د KAT ځان ازموینه ناکامه شي، د لاګ پیغام د سیسټم لاګ پیغامونو ته لیکل کیږي file د ازموینې ناکامۍ توضیحاتو سره. بیا سیسټم ویره او ریبوټ کوي.
د CLI چټک ترتیب
د دې پخوانی تنظیم کولو لپارهample، لاندې کمانډونه کاپي کړئ، په متن کې یې پیسټ کړئ file، د لاین هر ډول وقفې لرې کړئ ، د خپل شبکې ترتیب سره سمون لپاره اړین توضیحات بدل کړئ ، او بیا د [ترمیم] درجه بندي په CLI کې کمانډونه کاپي او پیسټ کړئ.
د سیسټم فیپس د ځان ازموینې دوره ایز پیل وخت 09:00 تنظیم کړئ
د سیسټم فیپس ځان آزموینه د اونۍ دوره 3 تنظیم کړئ
ګام په ګام طرزالعمل
د FIPS ځان ازموینې تنظیم کولو لپاره ، د کریپټو - افسر سندونو سره وسیلې ته ننوتل:

  1. هره چهارشنبه د سهار په 9:00 بجو د اجرا کولو لپاره د FIPS ځان ازموینه تنظیم کړئ.
    [سیسټم فیپس د ځان ازموینه ترمیم کړئ] crypto-officer@hostname:fips# د وخت د پیل وخت ټاکل 09:00
    crypto-officer@hostname:fips# د اونۍ 3 دوره ورځ ټاکي
  2. که تاسو د وسیلې تنظیم کول سرته رسولي وي ، تشکیلات ژمن کړئ.
    [سیسټم فیپس د ځان ازموینه ترمیم کړئ] crypto-officer@hostname:fips# ژمنه

پایلې
د ترتیب کولو حالت څخه، د شو سیسټم کمانډ په صادرولو سره خپل ترتیب تایید کړئ. که چیرې محصول مطلوب ترتیب ونه ښیې، په دې مثال کې لارښوونې تکرار کړئampد تشکیلاتو د سمولو لپاره.
crypto-officer@hostname:fips# شو سیسټم
فیپس {
ځان ازموینه {
دوراني {
د پیل وخت "09:00"؛
د اونۍ 3 ورځ
}
}
}

تایید

ډاډ ترلاسه کړئ چې تنظیم په سمه توګه کار کوي.
د FIPS ځان ازموینه تایید کول

موخه
تایید کړئ چې د FIPS ځان ازموینه فعاله شوې ده.
عمل
د غوښتنې سیسټم فیپس د ځان ازموینې کمانډ په صادرولو سره په لاسي ډول د FIPS ځان ازموینه پرمخ وړئ یا وسیله ریبوټ کړئ.
د غوښتنې د صادرولو وروسته د سیسټم فیپس د ځان ازموینې کمانډ یا وسیله ریبوټ کړئ ، سیسټم لاګ file د KATs ښودلو لپاره تازه کیږي چې اجرا کیږي. ته view د سیسټم لاګ file، مسله file د /var/log/ پیغامونو کمانډ ښکاره کړئ.
user@host# file ښودل /var/log/messages
RE KATS:
mgd: د FIPS ځان ازموینې چلول
mgd: د کرنل KATS ازموینه:
mgd: NIST 800-90 HMAC DRBG پېژندل شوي ځواب ازموینه: پاس شوی
mgd: DES3-CBC پیژندل شوی ځواب ازموینه: پاس شوی
mgd: HMAC-SHA1 پېژندل شوي ځواب ازموینه: پاس شوی
mgd: HMAC-SHA2-256 پېژندل شوي ځواب ازموینه: پاس شوی
mgd: SHA-2-384 پېژندل شوي ځواب ازموینه: پاس شوی
mgd: SHA-2-512 پېژندل شوي ځواب ازموینه: پاس شوی
mgd: AES128-CMAC پېژندل شوي ځواب ازموینه: پاس شوی
mgd: AES-CBC پیژندل شوی ځواب ازموینه: پاس شوی
mgd: د MACSec KATS ازموینه:
mgd: AES128-CMAC پېژندل شوي ځواب ازموینه: پاس شوی
mgd: AES256-CMAC پېژندل شوي ځواب ازموینه: پاس شوی
mgd: AES-ECB پیژندل شوی ځواب ازموینه: پاس شوی
mgd: AES-KEYWRAP پېژندل شوي ځواب ازموینه: پاس شوی
mgd: KBKDF پیژندل شوی ځواب ازموینه: پاس شوی
mgd: ازموینه libmd KATS:
mgd: HMAC-SHA1 پېژندل شوي ځواب ازموینه: پاس شوی
mgd: HMAC-SHA2-256 پېژندل شوي ځواب ازموینه: پاس شوی
mgd: SHA-2-512 پېژندل شوي ځواب ازموینه: پاس شوی
mgd: د OpenSSL KATS ازموینه:
mgd: NIST 800-90 HMAC DRBG پېژندل شوي ځواب ازموینه: پاس شوی
mgd: FIPS ECDSA پیژندل شوی ځواب ازموینه: پاس شوی
mgd: FIPS ECDH پېژندل شوي ځواب ازموینه: پاس شوی
mgd: FIPS RSA پیژندل شوی ځواب ازموینه: پاس شوی
mgd: DES3-CBC پیژندل شوی ځواب ازموینه: پاس شوی
mgd: HMAC-SHA1 پېژندل شوي ځواب ازموینه: پاس شوی
mgd: HMAC-SHA2-224 پېژندل شوي ځواب ازموینه: پاس شوی
mgd: HMAC-SHA2-256 پېژندل شوي ځواب ازموینه: پاس شوی
mgd: HMAC-SHA2-384 پېژندل شوي ځواب ازموینه: پاس شوی
mgd: HMAC-SHA2-512 پېژندل شوي ځواب ازموینه: پاس شوی
mgd: AES-CBC پیژندل شوی ځواب ازموینه: پاس شوی
mgd: AES-GCM پېژندل شوي ځواب ازموینه: پاس شوی
mgd: ECDSA-SIGN پیژندل شوی ځواب ازموینه: پاس شوی
mgd: KDF-IKE-V1 پېژندل شوي ځواب ازموینه: پاس شوی
mgd: KDF-SSH-SHA256 پېژندل شوي ځواب ازموینه: پاس شوی
mgd: KAS-ECC-EPHEM-UNIFED-NOKC پېژندل شوي ځواب ازموینه: پاس شوی
mgd: KAS-FFC-EPHEM-NOKC پېژندل شوي ځواب ازموینه: پاس شوی
mgd: د QuickSec 7.0 KATS ازموینه:
mgd: NIST 800-90 HMAC DRBG پېژندل شوي ځواب ازموینه: پاس شوی
mgd: DES3-CBC پیژندل شوی ځواب ازموینه: پاس شوی
mgd: HMAC-SHA1 پېژندل شوي ځواب ازموینه: پاس شوی
mgd: HMAC-SHA2-224 پېژندل شوي ځواب ازموینه: پاس شوی
mgd: HMAC-SHA2-256 پېژندل شوي ځواب ازموینه: پاس شوی
mgd: HMAC-SHA2-384 پېژندل شوي ځواب ازموینه: پاس شوی
mgd: HMAC-SHA2-512 پېژندل شوي ځواب ازموینه: پاس شوی
mgd: AES-CBC پیژندل شوی ځواب ازموینه: پاس شوی
mgd: AES-GCM پېژندل شوي ځواب ازموینه: پاس شوی
mgd: SSH-RSA-ENC پېژندل شوي ځواب ازموینه: پاس شوی
mgd: SSH-RSA-SIGN پېژندل شوي ځواب ازموینه: پاس شوی
mgd: SSH-ECDSA-SIGN پېژندل شوي ځواب ازموینه: پاس شوی
mgd: KDF-IKE-V1 پېژندل شوي ځواب ازموینه: پاس شوی
mgd: KDF-IKE-V2 پېژندل شوي ځواب ازموینه: پاس شوی
mgd: د QuickSec KATS ازموینه:
mgd: NIST 800-90 HMAC DRBG پېژندل شوي ځواب ازموینه: پاس شوی
mgd: DES3-CBC پیژندل شوی ځواب ازموینه: پاس شوی
mgd: HMAC-SHA1 پېژندل شوي ځواب ازموینه: پاس شوی
mgd: HMAC-SHA2-224 پېژندل شوي ځواب ازموینه: پاس شوی
mgd: HMAC-SHA2-256 پېژندل شوي ځواب ازموینه: پاس شوی
mgd: HMAC-SHA2-384 پېژندل شوي ځواب ازموینه: پاس شوی
mgd: HMAC-SHA2-512 پېژندل شوي ځواب ازموینه: پاس شوی
mgd: AES-CBC پیژندل شوی ځواب ازموینه: پاس شوی
mgd: AES-GCM پېژندل شوي ځواب ازموینه: پاس شوی
mgd: SSH-RSA-ENC پېژندل شوي ځواب ازموینه: پاس شوی
mgd: SSH-RSA-SIGN پېژندل شوي ځواب ازموینه: پاس شوی
mgd: KDF-IKE-V1 پېژندل شوي ځواب ازموینه: پاس شوی
mgd: KDF-IKE-V2 پېژندل شوي ځواب ازموینه: پاس شوی
mgd: د SSH IPsec KATS ازموینه:
mgd: NIST 800-90 HMAC DRBG پېژندل شوي ځواب ازموینه: پاس شوی
mgd: DES3-CBC پیژندل شوی ځواب ازموینه: پاس شوی
mgd: HMAC-SHA1 پېژندل شوي ځواب ازموینه: پاس شوی
mgd: HMAC-SHA2-256 پېژندل شوي ځواب ازموینه: پاس شوی
mgd: AES-CBC پیژندل شوی ځواب ازموینه: پاس شوی
mgd: SSH-RSA-ENC پېژندل شوي ځواب ازموینه: پاس شوی
mgd: SSH-RSA-SIGN پېژندل شوي ځواب ازموینه: پاس شوی
mgd: KDF-IKE-V1 پېژندل شوي ځواب ازموینه: پاس شوی
mgd: ازموینه file صداقت:
mgd: File بشپړتیا پیژندل شوی ځواب ازموینه: پاس شوی
mgd: د کریپټو بشپړتیا ازموینه:
mgd: د کریپټو بشپړتیا پیژندل شوی ځواب ازموینه: پاس شوی
mgd: د یو اجرایی تصدیق کولو تمه وکړئ AuthenticatiMAC/veriexec: د ګوتو نښه نشته (file=/sbin/kats/cannot-exec
fsid=246 fileid=49356 gen=1 uid=0 pid=9384 ppid=9354 gppid=9352) په تېروتنه…
mgd: /sbin/kats/run-tests: /sbin/kats/cannot-exec: د تصدیق کولو تېروتنه
mgd: FIPS د ځان ازموینې تیرې شوې
LC KATS:
سپتمبر 12 10:50:44 network_macsec_kats_input xe- /0/0:0:
no> pic:0 port:0 chan:0 FIPS AES-256-GCM MACsec KATS کوډ شوی
سپتمبر 12 10:50:50 network_macsec_kats_input xe- /0/1:0:
no> pic:0 port:1 chan:0 FIPS AES-256-GCM MACsec KATS کوډ شوی
سپتمبر 12 10:50:55 network_macsec_kats_input xe- /0/0:0:
no> pic:0 port:0 chan:0 FIPS AES-256-GCM MACsec KATS ډیکرپشن منظور شو
سپتمبر 12 10:50:56 network_macsec_kats_input xe- /0/2:0:
no> pic:0 port:2 chan:0 FIPS AES-256-GCM MACsec KATS کوډ شوی
سپتمبر 12 10:51:01 network_macsec_kats_input xe- /0/1:0:
no> pic:0 port:1 chan:0 FIPS AES-256-GCM MACsec KATS ډیکرپشن منظور شو
سپتمبر 12 10:51:02 network_macsec_kats_input xe- /0/2:0:
no> pic:0 port:2 chan:0 FIPS AES-256-GCM MACsec KATS ډیکرپشن منظور شو
سپتمبر 12 10:51:06 network_macsec_kats_input xe- /0/3:0:
no> pic:0 port:3 chan:0 FIPS AES-256-GCM MACsec KATS کوډ شوی
سپتمبر 12 10:51:12 network_macsec_kats_input xe- /0/3:0:
no> pic:0 port:3 chan:0 FIPS AES-256-GCM MACsec KATS ډیکرپشن منظور شو
سپتمبر 12 10:51:17 network_macsec_kats_input xe- /0/4:0:
no> pic:0 port:4 chan:0 FIPS AES-256-GCM MACsec KATS کوډ شوی
سپتمبر 12 10:51:17 network_macsec_kats_input xe- /0/4:0:
no> pic:0 port:4 chan:0 FIPS AES-256-GCM MACsec KATS ډیکرپشن منظور شو
سپتمبر 12 10:51:26 network_macsec_kats_input xe- /0/5:0:
no> pic:0 port:5 chan:0 FIPS AES-256-GCM MACsec KATS کوډ شوی
سپتمبر 12 10:51:27 network_macsec_kats_input xe- /0/5:0:
no> pic:0 port:5 chan:0 FIPS AES-256-GCM MACsec KATS ډیکرپشن منظور شو
سپتمبر 12 10:51:36 network_macsec_kats_input xe- /0/6:0:
no> pic:0 port:6 chan:0 FIPS AES-256-GCM MACsec KATS کوډ شوی
سپتمبر 12 10:51:36 network_macsec_kats_input xe- /0/6:0:
no> pic:0 port:6 chan:0 FIPS AES-256-GCM MACsec KATS ډیکرپشن منظور شو
سپتمبر 12 10:51:44 network_macsec_kats_input xe- /0/7:0:
no> pic:0 port:7 chan:0 FIPS AES-256-GCM MACsec KATS کوډ شوی
سپتمبر 12 10:51:44 network_macsec_kats_input xe- /0/7:0:
no> pic:0 port:7 chan:0 FIPS AES-256-GCM MACsec KATS ډیکرپشن منظور شو
سپتمبر 12 10:51:51 network_macsec_kats_input xe- /0/8:0:
no> pic:0 port:8 chan:0 FIPS AES-256-GCM MACsec KATS کوډ شوی
سپتمبر 12 10:51:51 network_macsec_kats_input xe- /0/8:0:
no> pic:0 port:8 chan:0 FIPS AES-256-GCM MACsec KATS ډیکرپشن منظور شو
سپتمبر 12 10:51:58 network_macsec_kats_input xe- /0/9:0:
no> pic:0 port:9 chan:0 FIPS AES-256-GCM MACsec KATS کوډ شوی
سپتمبر 12 10:51:58 network_macsec_kats_input xe- /0/9:0:
no> pic:0 port:9 chan:0 FIPS AES-256-GCM MACsec KATS ډیکرپشن منظور شو
سپتمبر 12 10:52:05 network_macsec_kats_input xe- /0/10:0:
سلاټ نمبر> pic:0 port:10 chan:0 FIPS AES-256-GCM MACsec KATS کوډ شوی
سپتمبر 12 10:52:05 network_macsec_kats_input xe- /0/10:0:
سلاټ نمبر> pic:0 port:10 chan:0 FIPS AES-256-GCM MACsec KATS ډیکریپشن منظور شو
سپتمبر 12 10:52:12 network_macsec_kats_input xe- /0/11:0:
سلاټ نمبر> pic:0 port:11 chan:0 FIPS AES-256-GCM MACsec KATS کوډ شوی
سپتمبر 12 10:52:12 network_macsec_kats_input xe- /0/11:0:
سلاټ نمبر> pic:0 port:11 chan:0 FIPS AES-256-GCM MACsec KATS ډیکریپشن منظور شو
سپتمبر 12 10:52:20 network_macsec_kats_input xe- /1/0:0:
no> pic:1 port:0 chan:0 FIPS AES-256-GCM MACsec KATS کوډ شوی
سپتمبر 12 10:52:20 network_macsec_kats_input xe- /1/0:0:
no> pic:1 port:0 chan:0 FIPS AES-256-GCM MACsec KATS ډیکرپشن منظور شو
سپتمبر 12 10:52:27 network_macsec_kats_input xe- /1/1:0:
no> pic:1 port:1 chan:0 FIPS AES-256-GCM MACsec KATS کوډ شوی
سپتمبر 12 10:52:28 network_macsec_kats_input xe- /1/1:0:
no> pic:1 port:1 chan:0 FIPS AES-256-GCM MACsec KATS ډیکرپشن منظور شو
سپتمبر 12 10:52:34 network_macsec_kats_input xe- /1/2:0:
no> pic:1 port:2 chan:0 FIPS AES-256-GCM MACsec KATS کوډ شوی
مطلب
د سیسټم لاګ file هغه نیټه او وخت ښیې چې KATs اعدام شوي او د دوی حالت.

عملیاتي قوماندې

نحو
د سیسټم صفر کولو غوښتنه وکړئ
تفصیل
د RE1800 لپاره، د روټینګ انجنونو ټول ترتیب معلومات لیرې کړئ او ټول کلیدي ارزښتونه بیا تنظیم کړئ. که چیرې وسیله دوه ګونی روټینګ انجنونه ولري، کمانډ په وسیله کې ټولو روټینګ انجنونو ته خپریږي. کمانډ ټول معلومات لرې کوي  files، د دودیز ترتیب او لاګ په شمول files، د تړلو په واسطه files د دوی د لارښوونو څخه. کمانډ ټول د کارونکي لخوا جوړ شوي لیرې کوي fileد سیسټم څخه s په شمول ټول ساده متن پاسورډونه، رازونه، او د SSH لپاره شخصي کیلي، محلي کوډ کول، محلي تصدیق، IPsec، RADIUS، TACACS +، او SNMP.
دا کمانډ وسیله ریبوټ کوي او د فابریکې ډیفالټ ترتیب ته یې تنظیموي. د ریبوټ وروسته ، تاسو نشئ کولی د مدیریت ایترنیټ انٹرفیس له لارې وسیلې ته لاسرسی ومومئ. د کنسول له لارې د روټ په توګه ننوتل او د جونوس OS CLI په پرامټ کې کلیک کولو سره پیل کړئ.
د اړتیا وړ امتیاز کچه
ساتنه
vmhost zeroize no-forwarding غوښتنه وکړئ
نحو
vmhost zeroize no-forwarding غوښتنه وکړئ
تفصیل
د REMX2K-X8 لپاره، د روټینګ انجنونو ټول ترتیب معلومات لیرې کړئ او ټول کلیدي ارزښتونه بیا تنظیم کړئ. که چیرې وسیله دوه ګونی روټینګ انجنونه ولري، کمانډ په وسیله کې دواړو روټینګ انجنونو ته خپریږي.
کمانډ ټول معلومات لرې کوي files، د دودیز ترتیب او لاګ په شمول files، د تړلو په واسطه files د دوی د لارښوونو څخه. کمانډ ټول د کارونکي لخوا جوړ شوي لیرې کوي fileد سیسټم څخه s په شمول ټول ساده متن پاسورډونه، رازونه، او د SSH لپاره شخصي کیلي، محلي کوډ کول، محلي تصدیق، IPsec، RADIUS، TACACS +، او SNMP.
دا کمانډ وسیله ریبوټ کوي او د فابریکې ډیفالټ ترتیب ته یې تنظیموي. د ریبوټ وروسته ، تاسو نشئ کولی د مدیریت ایترنیټ انٹرفیس له لارې وسیلې ته لاسرسی ومومئ. د روټ کارونکي په توګه د کنسول له لارې ننوتل او د جونوس OS CLI په پرامپټ کې د کلیک ټایپ کولو سره پیل کړئ.
Sample محصول
vmhost zeroize no-forwarding غوښتنه وکړئ
user@host> غوښتنه وکړئ vmhost zeroize no-forwarding
د VMHost زیرو کول: ټول معلومات پاک کړئ ، پشمول ترتیب او لاګ fileد؟
[هو، نه] (نه) هو
بیا 0:
خبرداری: Vmhost به بیا پیل شي او پرته له دې بوټ نشي
ترتیب
خبرداری: د vmhost سره پرمخ وړل
صفر کول
زیرویز ثانوي داخلي ډیسک
په ثانوي کې د صفر کولو سره پرمخ وړل
ډیسک
د نصبولو وسیله د چمتو کولو لپاره
صفر کول…
د صفر کولو لپاره د هدف ډیسک پاکول
صفر په هدف ترسره شو
ډیسک
د ثانوي ډیسک صفر کول
بشپړ شوی
لومړني داخلي ډیسک صفر کړئ
په ابتدايي کې د صفر کولو سره پرمخ وړل
ډیسک
/etc/ssh/ssh_host_ecdsa_key.pub
/ نور / ssh / ssh_host_rsa_key
/etc/ssh/ssh_host_dsa_key.pub
/etc/ssh/ssh_host_rsa_key.pub
/etc/ssh/ssh_host_ecdsa_key
/etc/ssh/ssh_host_dsa_key
د نصبولو وسیله د چمتو کولو لپاره
صفر کول…
د صفر کولو لپاره د هدف ډیسک پاکول
صفر په هدف ترسره شو
ډیسک
د لومړني ډیسک صفر کول
بشپړ شوی
صفراوی
ترسره شوی
—(نور)— ودرول
کرون
د PIDS لپاره انتظار کول:
6135.
.
فبروري 16 14:59:33 jlaunchd: د دوراني-پاکټ-خدمات (PID 6181) د ختمولو سیګنال 15 لیږل شوی
فبروري 16 14:59:33 jlaunchd: smg-service (PID 6234) د ختمولو سیګنال 15 لیږل شوی
فبروري 16 14:59:33 jlaunchd: د غوښتنلیک پیژندنه (PID 6236) د ختمولو سیګنال 15 لیږل شوی
فبروري 16 14:59:33 jlaunchd: ifstate-tracing-process (PID 6241) د ختمولو سیګنال 15 لیږل شوی
فبروري 16 14:59:33 jlaunchd: د سرچینو مدیریت (PID 6243) د ختمولو سیګنال 15 لیږل شوی
فبروري 16 14:59:33 jlaunchd: چارج شوی (PID 6246) د ختمولو سیګنال 15 لیږل شوی
فبروري 16 14:59:33 jlaunchd: د جواز خدمت (PID 6255) د ختمولو سیګنال 15 لیږل شوی
فبروري 16 14:59:33 jlaunchd: ntp (PID 6620) د ختمولو سیګنال 15 لیږل شوی
فبروري 16 14:59:33 jlaunchd: gkd-chassis (PID 6621) د ختمولو سیګنال 15 لیږل شوی
فبروري 16 14:59:33 jlaunchd: gkd-lchassis (PID 6622) د ختمولو سیګنال 15 لیږل شوی
فبروري 16 14:59:33 jlaunchd: روټینګ (PID 6625) د ختمولو سیګنال 15 لیږل شوی
فبروري 16 14:59:33 jlaunchd: sonet-aps (PID 6626) د ختمولو سیګنال 15 لیږل شوی
فبروري 16 14:59:33 jlaunchd: ریموټ عملیات (PID 6627) د ختمولو سیګنال 15 لیږل شوی
فبروري 16 14:59:33 jlaunchd: د خدمت ټولګي
…….
99د جونیپر لوگو

اسناد / سرچینې

JUNIPER NETWORKS Junos OS FIPS ارزول شوي وسایل [pdf] د کارونکي لارښود
د جونوس OS FIPS ارزول شوي وسایل، جونوس OS، د FIPS ارزول شوي وسایل، ارزول شوي وسایل، وسایل

حوالې

یو نظر پریږدئ

ستاسو بریښنالیک پته به خپره نشي. اړین ساحې په نښه شوي *