Nembo ya JUNIPERUrahisi wa Uhandisi
Junos® OS
Mwongozo wa Usanidi Uliopimwa wa FIPS wa
MX960, MX480, na MX240 Devices

Yaliyomo kujificha
1 JUNIPER NETWORKS Junos OS FIPS Valuated Devices
2 Zaidiview
3 Inasanidi Kitambulisho na Haki za Utawala
4 Kusanidi Majukumu na Mbinu za Uthibitishaji
5 Inasanidi Muunganisho wa SSH na Console
6 Inasanidi MACsec
7 Inasanidi MACsec na mnyororo wa vitufe kwa Trafiki ya Tabaka la 2
8 Inasanidi Uwekaji kumbukumbu za Tukio
9 Kufanya Majaribio ya Kibinafsi kwenye Kifaa
10 Amri za Utendaji
11 Nyaraka / Rasilimali
11.1 Marejeleo

JUNIPER NETWORKS Junos OS FIPS Valuated Devices

JUNIPER NETWORKS Junos OS FIPS Valuated Devices 1ACHILIA
20.3X75-D30

Juniper Networks, Inc.
1133 Njia ya Ubunifu
Sunnyvale, California 94089
Marekani
408-745-2000
www.juniper.net
Juniper Networks, nembo ya Mitandao ya Mreteni, Mreteni, na Junos ni alama za biashara zilizosajiliwa za Juniper Networks, Inc.
nchini Marekani na nchi nyingine. Alama zingine zote za biashara, alama za huduma, alama zilizosajiliwa, au alama za huduma zilizosajiliwa ni mali ya wamiliki husika.
Mitandao ya Juniper haichukui jukumu kwa makosa yoyote katika hati hii. Mitandao ya Juniper inahifadhi haki ya kubadilisha, kurekebisha, kuhamisha au kusasisha chapisho hili bila notisi.
Junos® OS FIPS Evaluated Configuration Guide for MX960, MX480, na MX240 Devices 20.3X75-D30
Hakimiliki © 2023 Juniper Networks, Inc. Haki zote zimehifadhiwa.
Taarifa katika hati hii ni ya sasa kama ya tarehe kwenye ukurasa wa kichwa.
TAARIFA YA MWAKA 2000
Vifaa vya Mitandao ya Juniper na bidhaa za programu zinatii Mwaka wa 2000. Junos OS haina vikwazo vinavyojulikana vinavyohusiana na wakati hadi mwaka wa 2038. Hata hivyo, programu ya NTP inajulikana kuwa na ugumu fulani katika mwaka wa 2036.
MALIZA MKATABA WA LESENI YA MTUMIAJI
Bidhaa ya Juniper Networks ambayo ni mada ya hati hii ya kiufundi ina (au imekusudiwa kutumiwa na) programu ya Mitandao ya Juniper. Matumizi ya programu kama hizi yanategemea sheria na masharti ya Makubaliano ya Leseni ya Mtumiaji wa Hatima (“EULA”) yaliyotumwa kwa https://support.juniper.net/support/eula/. Kwa kupakua, kusakinisha au kutumia programu kama hizo, unakubali sheria na masharti ya EULA hiyo.

Kuhusu Mwongozo huu
Tumia mwongozo huu ili kuendesha vifaa vya MX960, MX480, na MX240 katika Viwango vya Shirikisho vya Usindikaji wa Taarifa (FIPS) 140-2 Level 1 mazingira. FIPS 140-2 inafafanua viwango vya usalama vya maunzi na programu zinazofanya kazi za kriptografia.
HATI INAZOHUSIANA
Vigezo vya Kawaida na Vyeti vya FIPS

Zaidiview

Kuelewa Junos OS katika Hali ya FIPS
KATIKA SEHEMU HII

  • Majukwaa na Vifaa Vinavyotumika | 2
  • Kuhusu Mpaka wa Cryptographic kwenye Kifaa Chako | 3
  • Jinsi Hali ya FIPS Inatofautiana na Hali Isiyo ya FIPS | 3
  • Toleo Lililoidhinishwa la Junos OS katika Hali ya FIPS | 3

Viwango vya Shirikisho vya Uchakataji wa Taarifa (FIPS) 140-2 hufafanua viwango vya usalama vya maunzi na programu zinazofanya kazi za siri. Kipanga njia hiki cha Mitandao ya Juniper inayoendesha mfumo wa uendeshaji wa Juniper Networks Junos (Junos OS) katika hali ya FIPS inatii kiwango cha FIPS 140-2 Level 1.
Kuendesha kipanga njia hiki katika mazingira ya FIPS 140-2 Kiwango cha 1 kunahitaji kuwezesha na kusanidi hali ya FIPS kwenye vifaa kutoka kwa kiolesura cha mstari wa amri cha Junos OS (CLI).
Afisa wa Crypto huwezesha hali ya FIPS katika Mfumo wa Uendeshaji wa Junos na kuweka funguo na nywila kwa mfumo na watumiaji wengine wa FIPS.
Majukwaa na Vifaa Vinavyotumika
Kwa vipengele vilivyofafanuliwa katika hati hii, mifumo ifuatayo inatumika kuhitimu uidhinishaji wa FIPS:

Kuhusu Mpaka wa Cryptographic kwenye Kifaa Chako
Utiifu wa FIPS 140-2 unahitaji mpaka uliobainishwa wa kriptografia karibu na kila sehemu ya kriptografia kwenye kifaa. Junos OS katika hali ya FIPS huzuia moduli ya kriptografia kutekeleza programu yoyote ambayo si sehemu ya usambazaji ulioidhinishwa na FIPS, na inaruhusu algoriti za kriptografia zilizoidhinishwa tu na FIPS kutumika. Hakuna vigezo muhimu vya usalama (CSPs), kama vile manenosiri na funguo, vinaweza kuvuka mpaka wa siri wa moduli katika umbizo ambalo halijasimbwa.
Vifaa na Vyeo vya Muunganisho wa Shimo la Moto la OUTDOOR PLUS TOP TOP - Aikoni ya 1 TAHADHARI: Vipengele vya Virtual Chassis havitumiki katika hali ya FIPS. Usisanidi Chassis Pekee katika hali ya FIPS.

Jinsi Hali ya FIPS Inatofautiana na Hali Isiyo ya FIPS
Junos OS katika hali ya FIPS hutofautiana kwa njia zifuatazo kutoka kwa Junos OS katika hali isiyo ya FIPS:

  • Majaribio ya kibinafsi ya algoriti zote za kriptografia hufanywa wakati wa kuanza.
  • Majaribio ya kibinafsi ya nambari ya nasibu na uundaji wa ufunguo hufanywa kwa mfululizo.
  • Algoriti dhaifu za kriptografia kama vile Kiwango cha Usimbaji Data (DES) na MD5 zimezimwa.
  • Miunganisho dhaifu ya usimamizi au ambayo haijasimbwa lazima isanidiwe.
  • Nenosiri lazima lisimbwe kwa njia fiche kwa algoriti kali za njia moja ambazo haziruhusu usimbuaji.
  • Nenosiri la msimamizi lazima liwe na urefu wa angalau vibambo 10.

Toleo Lililoidhinishwa la Junos OS katika Hali ya FIPS
Ili kubaini ikiwa toleo la Junos OS limeidhinishwa na NIST, angalia ukurasa wa mshauri wa kufuata kwenye Mitandao ya Juniper. Web tovuti (https://apps.juniper.net/compliance/).
HATI INAZOHUSIANA
Kutambua Utoaji Salama wa Bidhaa | 7

Kuelewa Istilahi za FIPS na Kanuni za Kikrografia Zinazotumika
KATIKA SEHEMU HII
Istilahi | 4
Algorithms Cryptographic Inayotumika | 5
Tumia ufafanuzi wa istilahi za FIPS, na algoriti zinazotumika ili kukusaidia kuelewa Junos OS katika hali ya FIPS.

Istilahi
Kigezo muhimu cha usalama (CSP)
Taarifa zinazohusiana na usalama-kwa mfanoample, funguo za siri na za faragha za siri na data ya uthibitishaji kama vile manenosiri na nambari za utambulisho wa kibinafsi (PIN)— ambazo ufichuzi au urekebishaji wake unaweza kuhatarisha usalama wa sehemu ya siri au taarifa inayoilinda. Kwa maelezo zaidi, angalia “Kuelewa Mazingira ya Uendeshaji kwa Junos OS katika Hali ya FIPS” kwenye ukurasa wa 16.
Moduli ya kriptografia
Seti ya maunzi, programu, na programu dhibiti ambayo hutekelezea vipengele vya usalama vilivyoidhinishwa (ikiwa ni pamoja na algoriti za kriptografia na uundaji wa ufunguo) na iko ndani ya mpaka wa kriptografia.
FIPS
Viwango vya Uchakataji wa Taarifa za Shirikisho. FIPS 140-2 inabainisha mahitaji ya moduli za usalama na kriptografia. Junos OS katika hali ya FIPS inatii FIPS 140-2 Kiwango cha 1.
jukumu la matengenezo ya FIPS
Jukumu ambalo Afisa wa Crypto huchukua kutekeleza matengenezo ya kimwili au huduma za kimantiki kama vile uchunguzi wa maunzi au programu. Kwa utiifu wa FIPS 140-2, Afisa wa Crypto huzuia Injini ya Kuelekeza inapoingia na kutoka kwenye jukumu la urekebishaji wa FIPS ili kufuta funguo zote za siri na za faragha zenye maandishi wazi na CSP zisizolindwa.
KUMBUKA: Jukumu la urekebishaji wa FIPS halitumiki kwenye Junos OS katika hali ya FIPS.
KATs
Vipimo vya majibu vinavyojulikana. Majaribio ya kibinafsi ya mfumo ambayo yanathibitisha matokeo ya algoriti za kriptografia zilizoidhinishwa kwa FIPS na kupima uadilifu wa baadhi ya moduli za Junos OS. Kwa maelezo, angalia "Kuelewa Majaribio ya Kibinafsi ya FIPS" kwenye ukurasa wa 73.
SSH
Itifaki inayotumia uthibitishaji thabiti na usimbaji fiche kwa ufikiaji wa mbali kwenye mtandao usio salama. SSH hutoa kuingia kwa mbali, utekelezaji wa programu ya mbali, file nakala, na kazi zingine. Imekusudiwa kama mbadala salama wa rlogin, rsh, na rcp katika mazingira ya UNIX. Ili kulinda maelezo yaliyotumwa kupitia miunganisho ya msimamizi, tumia SSHv2 kwa usanidi wa CLI. Katika Junos OS, SSHv2 imewezeshwa kwa chaguo-msingi, na SSHv1, ambayo haizingatiwi kuwa salama, imezimwa. Kupunguza sifuri
Kufuta CSP zote na data nyingine iliyoundwa na mtumiaji kwenye kifaa kabla ya kufanya kazi kama moduli ya kriptografia ya FIPS au katika maandalizi ya kurejesha vifaa kwa ajili ya uendeshaji usio na FIPS.
Afisa wa Crypto anaweza kufuta mfumo kwa amri ya uendeshaji ya CLI.
Algorithms Cryptographic inayotumika
Jedwali la 1 kwenye ukurasa wa 6 linatoa muhtasari wa usaidizi wa algorithm ya itifaki ya kiwango cha juu.
Jedwali la 1: Itifaki Zinazoruhusiwa katika Hali ya FIPS

Itifaki  Kubadilishana Muhimu Uthibitishaji Cipher Uadilifu
SSHv2 • dh-group14-sha1
• ECDH-sha2-nistp256
• ECDH-sha2-nistp384
• ECDH-sha2-nistp521		 Mpangishi (moduli):
• ECDSA P-256
• SSH-RSA
Mteja (mtumiaji):
• ECDSA P-256
• ECDSA P-384
• ECDSA P-521
• SSH-RSA		 • AES CTR 128
• AES CTR 192
• AES CTR 256
• AES CBC 128
• AES CBC 256		 • HMAC-SHA-1
• HMAC-SHA-256
• HMAC-SHA-512

Jedwali la 2 kwenye ukurasa wa 6 linaorodhesha misimbo inayotumika ya MACsec LC.
Jedwali la 2: Sifa Zinazotumika za MACsec LC
Sifa Zinazotumika za MACsec LC
AES-GCM-128
AES-GCM-256
Kila utekelezaji wa algoriti huangaliwa na mfululizo wa majaribio ya kujipima yanayojulikana (KAT). Kushindwa kwa jaribio lolote la kibinafsi husababisha hali ya hitilafu ya FIPS.
UTENDAJI BORA: Kwa kufuata FIPS 140-2, tumia algoriti za kriptografia zilizoidhinishwa na FIPS Katika Mfumo wa Uendeshaji wa Junos katika hali ya FIPS.
Algoriti zifuatazo za kriptografia zinatumika katika hali ya FIPS. Mbinu za ulinganifu hutumia ufunguo sawa kwa usimbaji fiche na usimbuaji, ilhali mbinu zisizolinganishwa hutumia vitufe tofauti kwa usimbaji fiche na usimbuaji.
AES
Kiwango cha Juu cha Usimbaji Fiche (AES), kimefafanuliwa katika FIPS PUB 197. Kanuni ya AES hutumia funguo za biti 128, 192, au 256 kusimba na kusimbua data katika vizuizi vya biti 128.
ECDH
Mviringo wa mviringo Diffie-Hellman. Kibadala cha algoriti ya kubadilishana vitufe vya Diffie-Hellman inayotumia kriptografia kulingana na muundo wa aljebra wa mikunjo ya duaradufu juu ya sehemu zenye ukomo. ECDH inaruhusu pande mbili, kila moja ikiwa na jozi ya ufunguo wa elliptic curve ya umma na ya faragha, kuanzisha siri iliyoshirikiwa juu ya njia isiyo salama. Siri iliyoshirikiwa inaweza kutumika kama ufunguo au kupata ufunguo mwingine wa kusimba mawasiliano yanayofuata kwa kutumia msimbo wa misimbo ya ulinganifu.
ECDSA
Algorithm ya Sahihi ya Mviringo Digitali. Kibadala cha Kanuni ya Sahihi ya Dijiti (DSA) inayotumia usimbaji fiche kulingana na muundo wa aljebra wa mikunjo ya duaradufu juu ya sehemu zisizo na kikomo. Ukubwa kidogo wa curve ya mviringo huamua ugumu wa kusimbua ufunguo. Ufunguo wa umma unaoaminika kuhitajika kwa ECDSA ni takriban mara mbili ya kiwango cha usalama, kwa vipande. ECDSA kwa kutumia mikunjo ya P-256, P-384, na P-521 inaweza kusanidiwa chini ya OpenSSH.
HMAC
Inafafanuliwa kama "Keyed-Hashing kwa Uthibitishaji wa Ujumbe" katika RFC 2104, HMAC inachanganya algoriti za hashing na vitufe vya kriptografia kwa uthibitishaji wa ujumbe. Kwa Junos OS katika hali ya FIPS, HMAC hutumia vitendaji vya heshi vya kriptografia vilivyorudiwa mara kwa mara SHA-1, SHA-256, na SHA-512 pamoja na ufunguo wa siri.
SHA-256 na SHA-512
Salama algoriti za hashi (SHA) zinazomilikiwa na kiwango cha SHA-2 kilichobainishwa katika FIPS PUB 180-2. Imetengenezwa na NIST, SHA-256 hutoa muhtasari wa hashi wa 256-bit, na SHA-512 hutoa muhtasari wa 512-bit.
HATI INAZOHUSIANA
Kuelewa Majaribio ya Kibinafsi ya FIPS | 73
Kuelewa Sifuri ili Kufuta Data ya Mfumo kwa Hali ya FIPS | 25
Kutambua Utoaji wa Bidhaa Salama
Kuna njia kadhaa zinazotolewa katika mchakato wa uwasilishaji ili kuhakikisha kuwa mteja anapokea bidhaa ambayo haijatekelezwaampered na. Mteja anapaswa kufanya ukaguzi ufuatao anapopokea kifaa ili kuthibitisha uadilifu wa mfumo.

  • Lebo ya usafirishaji—Hakikisha kwamba lebo ya usafirishaji inatambua kwa usahihi jina na anwani sahihi ya mteja pamoja na kifaa.
  • Ufungaji wa nje - Kagua kisanduku cha usafirishaji cha nje na mkanda. Hakikisha kwamba mkanda wa usafirishaji haujakatwa au kuathiriwa vinginevyo. Hakikisha kuwa kisanduku hakijakatwa au kuharibiwa ili kuruhusu ufikiaji wa kifaa.
  • Ndani ya kifungashio-Kagua mfuko wa plastiki na ufunge. Hakikisha kwamba mfuko haujakatwa au kuondolewa. Hakikisha kuwa muhuri unabaki bila kubadilika.

Ikiwa mteja atatambua tatizo wakati wa ukaguzi, anapaswa kuwasiliana mara moja na mtoa huduma. Toa nambari ya agizo, nambari ya ufuatiliaji, na maelezo ya shida iliyotambuliwa kwa mtoaji.
Kwa kuongezea, kuna ukaguzi kadhaa ambao unaweza kufanywa ili kuhakikisha kuwa mteja amepokea kisanduku kilichotumwa na Mitandao ya Juniper na sio kampuni tofauti inayojifanya kama Mitandao ya Juniper. Mteja anapaswa kufanya ukaguzi ufuatao anapopokea kifaa ili kuthibitisha uhalisi wa kifaa:

  • Thibitisha kuwa kifaa kiliagizwa kwa kutumia agizo la ununuzi. Vifaa vya Mitandao ya Juniper haviwahi kusafirishwa bila agizo la ununuzi.
  • Wakati kifaa kinasafirishwa, arifa ya usafirishaji hutumwa kwa anwani ya barua pepe iliyotolewa na mteja wakati agizo linachukuliwa. Thibitisha kuwa arifa hii ya barua pepe ilipokelewa. Thibitisha kuwa barua pepe ina maelezo yafuatayo:
  • Nambari ya agizo la ununuzi
  • Nambari ya agizo la Juniper Networks inayotumika kufuatilia usafirishaji
  • Nambari ya ufuatiliaji ya mtoa huduma inayotumika kufuatilia usafirishaji
  • Orodha ya bidhaa zilizosafirishwa ikiwa ni pamoja na nambari za serial
  • Anwani na anwani za muuzaji na mteja
  • Thibitisha kuwa usafirishaji ulianzishwa na Mitandao ya Juniper. Ili kuthibitisha kuwa usafirishaji ulianzishwa na Mitandao ya Juniper, unapaswa kufanya kazi zifuatazo:
  • Linganisha nambari ya ufuatiliaji ya mtoa huduma ya nambari ya agizo ya Mitandao ya Juniper iliyoorodheshwa katika arifa ya usafirishaji ya Juniper Networks na nambari ya ufuatiliaji kwenye kifurushi kilichopokelewa.
  • Ingia kwenye tovuti ya usaidizi wa wateja mtandaoni ya Juniper Networks kwa https://support.juniper.net/support/ kwa view hali ya utaratibu. Linganisha nambari ya kufuatilia mtoa huduma au nambari ya agizo ya Mitandao ya Juniper iliyoorodheshwa katika arifa ya usafirishaji ya Juniper Networks na nambari ya ufuatiliaji kwenye kifurushi kilichopokelewa.

Kuelewa Violesura vya Usimamizi
Miingiliano ifuatayo ya usimamizi inaweza kutumika katika usanidi uliotathminiwa:

  • Violesura vya Usimamizi wa Mitaa—Lango la dashibodi la RJ-45 kwenye kifaa limesanidiwa kuwa kifaa cha terminal cha data cha RS-232 (DTE). Unaweza kutumia kiolesura cha mstari wa amri (CLI) juu ya mlango huu ili kusanidi kifaa kutoka kwenye terminal.
  • Itifaki za Usimamizi wa Mbali—Kifaa kinaweza kudhibitiwa kwa mbali kupitia kiolesura chochote cha Ethaneti. SSHv2 ndiyo itifaki pekee inayoruhusiwa ya usimamizi wa mbali ambayo inaweza kutumika katika usanidi uliotathminiwa. Itifaki za usimamizi wa kijijini J-Web na Telnet hazipatikani kwa matumizi kwenye kifaa.

Inasanidi Kitambulisho na Haki za Utawala

Kuelewa Sheria za Nenosiri Zinazohusishwa kwa Msimamizi Aliyeidhinishwa
Msimamizi aliyeidhinishwa anahusishwa na darasa la kuingia lililofafanuliwa, na msimamizi amepewa ruhusa zote. Data huhifadhiwa ndani kwa ajili ya uthibitishaji usiobadilika wa nenosiri.
KUMBUKA: Usitumie vibambo vya kudhibiti katika manenosiri.
Tumia miongozo ifuatayo na chaguo za usanidi kwa manenosiri na unapochagua manenosiri kwa akaunti za msimamizi zilizoidhinishwa. Nywila zinapaswa kuwa:

  • Rahisi kukumbuka ili watumiaji wasijaribiwe kuiandika.
  • Ilibadilishwa mara kwa mara.
  • Faragha na haijashirikiwa na mtu yeyote.
  • Ina angalau herufi 10. Urefu wa chini wa nenosiri ni vibambo 10.
    [hariri] administrator@host# weka nenosiri la kuingia la mfumo wa chini-urefu 10
  • Jumuisha herufi za alphanumeric na uakifishaji, zinazojumuisha mchanganyiko wowote wa herufi kubwa na ndogo, nambari na herufi maalum kama vile, “!”, “@”, “#”, “$”, “%”, “^”, “ &”, “*”, “(“, na “)”.
    Lazima kuwe na angalau mabadiliko katika kisa kimoja, tarakimu moja au zaidi, na alama moja au zaidi za uakifishaji.
  • Ina seti za wahusika. Seti halali za herufi ni pamoja na herufi kubwa, herufi ndogo, nambari, uakifishaji na herufi nyingine maalum.
    [hariri] administrator@host# weka nenosiri la kuingia kwenye mfumo badilisha-seti za vibambo
  • Ina idadi ya chini ya seti za wahusika au mabadiliko ya seti ya wahusika. Idadi ya chini zaidi ya seti za herufi zinazohitajika katika manenosiri ya maandishi wazi katika Junos FIPS ni 3.
    [hariri] administrator@host# weka nenosiri la kuingia kwenye mfumo-mabadiliko ya chini zaidi 3
  • Kanuni ya hashing ya manenosiri ya mtumiaji inaweza kuwa SHA256 au SHA512 (SHA512 ndiyo kanuni chaguomsingi ya hashing).
    [hariri] administrator@host# weka umbizo la nenosiri la kuingia kwenye mfumo sha512
    KUMBUKA: Kifaa hiki kinaauni aina za funguo za ECDSA (P-256, P-384, na P-521) na RSA (2048, 3072, na 4092 modulus biti urefu).
    Manenosiri dhaifu ni:
  • Maneno ambayo yanaweza kupatikana ndani au kuwepo kama fomu iliyoidhinishwa katika mfumo file kama vile /etc/passwd.
  • Jina la mpangishaji la mfumo (bashiri la kwanza kila wakati).
  • Maneno yoyote yanayotokea katika kamusi. Hii inajumuisha kamusi zingine isipokuwa Kiingereza, na maneno yanayopatikana katika kazi kama vile Shakespeare, Lewis Carroll, Thesaurus ya Roget, na kadhalika. Marufuku haya yanajumuisha maneno na misemo ya kawaida kutoka kwa michezo, misemo, filamu na vipindi vya televisheni.
  • Ruhusa za yoyote kati ya zilizo hapo juu. Kwa mfanoample, neno la kamusi lenye vokali zilizobadilishwa na tarakimu (kwa mfanoample f00t) au na tarakimu zilizoongezwa hadi mwisho.
  • Nywila zozote zinazozalishwa na mashine. Algorithms hupunguza nafasi ya utaftaji ya programu za kubahatisha nywila na kwa hivyo haipaswi kutumiwa.
    Nywila zenye nguvu zinazoweza kutumika tena zinaweza kutegemea herufi kutoka kwa kifungu cha maneno au neno unalopenda, na kisha kuunganishwa na maneno mengine, yasiyohusiana, pamoja na tarakimu za ziada na alama za uakifishi.

HATI INAZOHUSIANA
Kutambua Utoaji Salama wa Bidhaa | 7

Kusanidi Majukumu na Mbinu za Uthibitishaji

Kuelewa Majukumu na Huduma za Junos OS
KATIKA SEHEMU HII
Afisa wa Crypto Jukumu na Majukumu | 15
FIPS Wajibu na Majukumu ya Mtumiaji | 15
Nini Kinachotarajiwa kwa Watumiaji Wote wa FIPS | 16
Msimamizi wa Usalama anahusishwa na msimamizi aliyebainishwa wa usalama wa darasa la kuingia, ambaye ana ruhusa muhimu iliyowekwa ili kumruhusu msimamizi kufanya kazi zote muhimu ili kudhibiti Junos OS. Watumiaji wa utawala (Msimamizi wa Usalama) lazima watoe data ya kipekee ya utambulisho na uthibitishaji kabla ya ufikiaji wowote wa msimamizi kwa mfumo kutolewa.
Majukumu na majukumu ya Msimamizi wa Usalama ni kama ifuatavyo:

  1. Msimamizi wa Usalama anaweza kusimamia ndani ya nchi na kwa mbali.
  2. Unda, rekebisha, futa akaunti za msimamizi, ikiwa ni pamoja na usanidi wa vigezo vya kushindwa kwa uthibitishaji.
  3. Washa tena akaunti ya Msimamizi.
  4. Kuwajibika kwa usanidi na matengenezo ya vipengee vya siri vinavyohusiana na uanzishaji wa miunganisho salama kutoka na kutoka kwa bidhaa iliyotathminiwa.

Mfumo wa uendeshaji wa Juniper Networks Junos (Junos OS) unaoendesha katika hali isiyo ya FIPS huruhusu uwezo mbalimbali kwa watumiaji, na uthibitishaji unategemea utambulisho. Kinyume chake, kiwango cha FIPS 140-2 kinafafanua majukumu mawili ya mtumiaji: Afisa wa Crypto na mtumiaji wa FIPS. Majukumu haya yamefafanuliwa kulingana na uwezo wa mtumiaji wa Junos OS.
Aina nyingine zote za watumiaji zilizofafanuliwa kwa Junos OS katika hali ya FIPS (opereta, mtumiaji wa utawala, na kadhalika) lazima iwe katika mojawapo ya makundi mawili: Afisa wa Crypto au mtumiaji wa FIPS. Kwa sababu hii, uthibitishaji wa mtumiaji katika hali ya FIPS unategemea jukumu badala ya utambulisho.
Crypto Officer hufanya kazi zote za usanidi zinazohusiana na hali ya FIPS na kutoa taarifa na amri zote za Junos OS katika hali ya FIPS. Afisa wa Crypto na usanidi wa mtumiaji wa FIPS lazima ufuate miongozo ya Junos OS katika hali ya FIPS.
Wajibu na Wajibu wa Afisa wa Crypto
Afisa wa Crypto ndiye anayehusika na kuwezesha, kusanidi, kufuatilia na kudumisha Junos OS katika hali ya FIPS kwenye kifaa. Afisa wa Crypto husakinisha Mfumo wa Uendeshaji wa Junos kwenye kifaa kwa usalama, huwasha hali ya FIPS, huweka funguo na nenosiri kwa watumiaji wengine na moduli za programu, na kuanzisha kifaa kabla ya kuunganisha mtandao.
MAZOEZI BORA: Tunapendekeza kwamba Afisa wa Crypto asimamie mfumo kwa njia salama kwa kuweka manenosiri salama na kukagua ukaguzi files.
Ruhusa zinazotofautisha Afisa wa Crypto na watumiaji wengine wa FIPS ni siri, usalama, matengenezo, na udhibiti. Kwa kufuata FIPS, mpe Afisa wa Crypto kwa darasa la kuingia ambalo lina ruhusa hizi zote. Mtumiaji aliye na ruhusa ya matengenezo ya Mfumo wa Uendeshaji wa Junos anaweza kusoma files zenye vigezo muhimu vya usalama (CSPs).
KUMBUKA: Mfumo wa Uendeshaji wa Junos katika hali ya FIPS hauauni dhima ya urekebishaji ya FIPS 140-2, ambayo ni tofauti na ruhusa ya matengenezo ya Mfumo wa Uendeshaji wa Junos.
Kati ya kazi zinazohusiana na Junos OS katika hali ya FIPS, Afisa wa Crypto anatarajiwa:

  • Weka nenosiri la mizizi ya awali. Urefu wa nenosiri unapaswa kuwa angalau vibambo 10.
  • Weka upya manenosiri ya mtumiaji kwa kutumia algoriti zilizoidhinishwa na FIPS.
  • Chunguza logi na ukaguzi files kwa matukio ya kuvutia.
  • Futa iliyozalishwa na mtumiaji files, funguo na data kwa kuweka sifuri kwenye kifaa.

FIPS Wajibu na Majukumu ya Mtumiaji
Watumiaji wote wa FIPS, pamoja na Afisa wa Crypto, wanaweza view usanidi. Ni mtumiaji aliyepewa tu kama Afisa wa Crypto anaweza kurekebisha usanidi.
Ruhusa zinazotofautisha Maafisa wa Crypto kutoka kwa watumiaji wengine wa FIPS ni siri, usalama, matengenezo, na udhibiti. Kwa kufuata FIPS, mpe mtumiaji wa FIPS kwa darasa ambalo halina ruhusa hizi.
mtumiaji wa FIPS anaweza view pato la hali lakini haiwezi kuwasha upya au kuweka sifuri kifaa.
Nini Kinachotarajiwa kwa Watumiaji Wote wa FIPS
Watumiaji wote wa FIPS, pamoja na Afisa wa Crypto, lazima wazingatie miongozo ya usalama kila wakati.
Watumiaji wote wa FIPS lazima:

  • Weka nywila zote kwa siri.
  • Hifadhi vifaa na nyaraka katika eneo salama.
  • Sambaza vifaa katika maeneo salama.
  • Angalia ukaguzi filemara kwa mara.
  • Kuzingatia sheria zingine zote za usalama za FIPS 140-2.
  • Fuata miongozo hii:
    • Watumiaji wanaaminika.
    • Watumiaji hutii miongozo yote ya usalama.
    • Watumiaji hawahatarishi usalama kimakusudi
    • Watumiaji hutenda kwa kuwajibika wakati wote.

HATI INAZOHUSIANA
Kifaa cha Mitandao ya Juniper kinachoendesha mfumo wa uendeshaji wa Juniper Networks Junos (Junos OS) katika hali ya FIPS huunda aina maalum ya mazingira ya uendeshaji wa maunzi na programu ambayo ni tofauti na mazingira ya kifaa katika hali isiyo ya FIPS:

Mazingira ya Maunzi kwa Junos OS katika Hali ya FIPS
Mfumo wa Uendeshaji wa Junos katika hali ya FIPS huweka mpaka wa kriptografia katika kifaa ambacho hakuna vigezo muhimu vya usalama (CSPs) vinaweza kuvuka kwa kutumia maandishi wazi. Kila sehemu ya maunzi ya kifaa ambayo inahitaji mpaka wa kriptografia kwa kufuata FIPS 140-2 ni moduli tofauti ya kriptografia. Kuna aina mbili za maunzi zilizo na mipaka ya kriptografia katika Junos OS katika hali ya FIPS: moja kwa kila Injini ya Kuelekeza na moja kwa chasi nzima inayojumuisha kadi ya LC MPC7E-10G. Kila sehemu huunda moduli tofauti ya kriptografia. Mawasiliano yanayohusisha CSP kati ya mazingira haya salama lazima yafanyike kwa kutumia usimbaji fiche.
Mbinu za kriptografia si mbadala wa usalama wa kimwili. Vifaa lazima viwe katika mazingira salama ya kimwili. Watumiaji wa aina zote hawapaswi kufichua funguo au manenosiri, au kuruhusu rekodi zilizoandikwa au madokezo kuonekana na wafanyakazi ambao hawajaidhinishwa.
Mazingira ya Programu ya Junos OS katika Hali ya FIPS
Kifaa cha Mitandao ya Juniper kinachoendesha Junos OS katika hali ya FIPS huunda aina maalum ya mazingira ya utendakazi yasiyoweza kurekebishwa. Ili kufikia mazingira haya kwenye kifaa, mfumo huzuia utekelezaji wa binary yoyote file ambayo haikuwa sehemu ya Mfumo wa Uendeshaji wa Junos ulioidhinishwa katika usambazaji wa hali ya FIPS. Kifaa kikiwa katika hali ya FIPS, kinaweza kutumia Junos OS pekee.
Mfumo wa Uendeshaji wa Junos katika mazingira ya programu ya hali ya FIPS huanzishwa baada ya Afisa wa Crypto kuwezesha hali ya FIPS kwenye kifaa. Picha ya Junos OS inayojumuisha hali ya FIPS inapatikana kwenye Mitandao ya Juniper webtovuti na inaweza kusakinishwa kwenye kifaa kinachofanya kazi.
Kwa kufuata FIPS 140-2, tunapendekeza kwamba ufute yote yaliyoundwa na mtumiaji files na data kwa kuweka sifuri kwenye kifaa kabla ya kuwezesha hali ya FIPS.
Kuendesha kifaa chako katika Kiwango cha 1 cha FIPS kunahitaji matumizi ya tamplebo zinazoonekana ili kuziba Injini za Kuelekeza kwenye chasi.
Kuwasha hali ya FIPS huzima itifaki na huduma nyingi za kawaida za Mfumo wa Uendeshaji wa Junos. Hasa, huwezi kusanidi huduma zifuatazo katika Junos OS katika hali ya FIPS:

  • kidole
  • ftp
  • rlogin
  • telnet
  • tftp
  • xnm-wazi-maandishi

Majaribio ya kusanidi huduma hizi, au kupakia usanidi na huduma hizi zilizosanidiwa, husababisha hitilafu ya sintaksia ya usanidi.
Unaweza kutumia SSH pekee kama huduma ya ufikiaji wa mbali.
Nenosiri zote zilizoanzishwa kwa watumiaji baada ya kupata toleo jipya la Mfumo wa Uendeshaji wa Junos katika hali ya FIPS lazima zilingane na Mfumo wa Uendeshaji wa Junos katika vipimo vya hali ya FIPS. Nenosiri lazima liwe na urefu wa kati ya vibambo 10 na 20 na kuhitaji matumizi ya angalau seti tatu kati ya tano zilizobainishwa (herufi kubwa na ndogo, tarakimu, alama za uakifishaji na herufi za kibodi, kama vile % na &, zisizojumuishwa katika nyinginezo. makundi manne).
Majaribio ya kusanidi manenosiri ambayo hayaambatani na sheria hizi husababisha hitilafu. Manenosiri na funguo zote zinazotumiwa kuthibitisha programu zingine lazima ziwe na urefu wa angalau vibambo 10, na katika hali nyingine urefu lazima ulingane na saizi ya muhtasari.
KUMBUKA: Usiambatishe kifaa kwenye mtandao hadi Afisa wa Crypto amalize usanidi kutoka kwa muunganisho wa kiweko cha ndani.
Kwa kufuata madhubuti, usichunguze maelezo ya msingi na ya kuacha kufanya kazi kwenye dashibodi ya ndani katika Junos OS katika hali ya FIPS kwa sababu baadhi ya CSP zinaweza kuonyeshwa kwa maandishi wazi.
Vigezo Muhimu vya Usalama
Vigezo muhimu vya usalama (CSPs) ni maelezo yanayohusiana na usalama kama vile funguo za siri na manenosiri ambayo yanaweza kuhatarisha usalama wa moduli ya kriptografia au usalama wa maelezo yanayolindwa na moduli iwapo yatafichuliwa au kurekebishwa.
Uzuiaji wa mfumo hufuta athari zote za CSP katika maandalizi ya kuendesha kifaa au Injini ya Kuelekeza kama moduli ya kriptografia.
Jedwali la 3 kwenye ukurasa wa 19 linaorodhesha CSP kwenye vifaa vinavyoendesha Junos OS.
Jedwali 3: Vigezo Muhimu vya Usalama

CSP Maelezo Sifuri

Tumia
Ufunguo wa mwenyeji wa kibinafsi wa SSHv2 Kitufe cha ECDSA / RSA kinachotumika kutambua seva pangishi, kilichotolewa mara ya kwanza SSH inaposanidiwa. Amri ya sifuri. Hutumika kutambua mwenyeji.
Vifunguo vya kipindi cha SSHv2 Kitufe cha kipindi kinachotumiwa na SSHv2 na kama ufunguo wa faragha wa Diffie-Hellman. Usimbaji fiche: AES-128, AES-192, AES-256. MAC: HMAC-SHA-1, HMAC- SHA-2-256, HMAC-SHA2-512. Kubadilishana muhimu: dh-group14-sha1, ECDH-sha2-nistp-256, ECDH-sha2- nistp-384, na ECDH-sha2-nistp-521. Mzunguko wa nguvu na kusitisha kikao. Ufunguo wa ulinganifu unaotumika kusimba data kati ya seva pangishi na mteja.
Kitufe cha uthibitishaji wa mtumiaji Hashi ya nenosiri la mtumiaji: SHA256, SHA512. Amri ya sifuri. Hutumika kuthibitisha mtumiaji kwa moduli ya kriptografia.
Ufunguo wa uthibitishaji wa Afisa wa Crypto Hash ya nenosiri la Afisa wa Crypto: SHA256, SHA512. Amri ya sifuri. Inatumika kuthibitisha Afisa wa Crypto kwa moduli ya kriptografia.
Mbegu ya HMAC DRBG Mbegu ya jenereta ya kubaini bila mpangilio (DRBG). Mbegu haihifadhiwi na moduli ya kriptografia. Inatumika kwa mbegu DRBG.
Thamani ya HMAC DRBG V  Thamani (V) ya urefu wa sehemu ya pato (outlen) katika biti, ambayo inasasishwa kila mara biti nyingine za pato zinapotolewa. Mzunguko wa nguvu. Thamani muhimu ya hali ya ndani ya DRBG.
CSP Maelezo Sifuri

Tumia
Thamani muhimu ya HMAC DRBG Thamani ya sasa ya kitufe cha outlen-bit, ambacho husasishwa angalau mara moja kila wakati utaratibu wa DRBG huzalisha biti bandia. Mzunguko wa nguvu. Thamani muhimu ya hali ya ndani ya DRBG.
NDRNG entropy Inatumika kama mfuatano wa uingizaji wa entropy kwa HMAC DRBG. Mzunguko wa nguvu. Thamani muhimu ya hali ya ndani ya DRBG.

Katika Junos OS katika hali ya FIPS, CSP zote lazima ziingie na ziache moduli ya kriptografia katika umbo lililosimbwa.
CSP yoyote iliyosimbwa kwa njia fiche isiyoidhinishwa inachukuliwa kuwa maandishi wazi na FIPS.
MAZOEA BORA: Kwa kufuata FIPS, sanidi kifaa kupitia miunganisho ya SSH kwa sababu ni miunganisho iliyosimbwa kwa njia fiche.
Manenosiri ya ndani yanaharakishwa kwa kutumia algoriti ya SHA256 au SHA512. Urejeshaji wa nenosiri hauwezekani katika Junos OS katika hali ya FIPS. Mfumo wa Uendeshaji wa Junos katika hali ya FIPS hauwezi kuanza katika hali ya mtumiaji mmoja bila nenosiri sahihi la mzizi.
Kuelewa Viainisho vya Nenosiri na Miongozo ya Junos OS katika Hali ya FIPS
Nenosiri zote zilizoanzishwa kwa watumiaji na Afisa wa Crypto lazima ziambatane na Mfumo wa Uendeshaji wa Junos katika mahitaji ya hali ya FIPS. Majaribio ya kusanidi manenosiri ambayo hayaambatani na vipimo vifuatavyo husababisha hitilafu.

  • Urefu. Nenosiri lazima liwe na kati ya vibambo 10 na 20.
  • Mahitaji ya kuweka tabia. Nenosiri lazima liwe na angalau seti tatu kati ya zifuatazo tano zilizofafanuliwa:
  • Herufi kubwa
  • Herufi ndogo
  • Nambari
  • Alama za uakifishaji
  • Herufi za kibodi hazijajumuishwa katika seti zingine nne--kama vile ishara ya asilimia (%) na ampfuata (&)
  • Mahitaji ya uthibitishaji. Manenosiri na funguo zote zinazotumiwa kuthibitisha programu zingine lazima ziwe na angalau vibambo 10, na katika baadhi ya matukio lazima idadi ya vibambo ilingane na saizi ya muhtasari.
  • Usimbaji wa nenosiri. Ili kubadilisha mbinu chaguo-msingi ya usimbaji fiche (SHA512) jumuisha taarifa ya umbizo katika kiwango cha [hariri nenosiri la kuingia kwenye mfumo] ngazi ya daraja.

Miongozo ya manenosiri thabiti. Nywila zenye nguvu, zinazoweza kutumika tena zinaweza kutegemea herufi kutoka kwa kifungu cha maneno au neno unalopenda na kisha kuunganishwa na maneno mengine ambayo hayahusiani, pamoja na tarakimu na alama za uakifishaji zilizoongezwa. Kwa ujumla, nenosiri kali ni:

  • Rahisi kukumbuka ili watumiaji wasijaribiwe kuiandika.
  • Inaundwa na herufi mchanganyiko za alphanumeric na uakifishaji. Kwa kufuata kwa FIPS ni pamoja na angalau mabadiliko moja ya kesi, tarakimu moja au zaidi, na alama moja au zaidi za uakifishaji.
  • Ilibadilishwa mara kwa mara.
  • Haijatolewa kwa mtu yeyote.
    Tabia za nywila dhaifu. Usitumie nywila dhaifu zifuatazo:
  • Maneno ambayo yanaweza kupatikana ndani au kuwepo kama fomu iliyoidhinishwa katika mfumo files kama vile /etc/passwd.
  • Jina la mpangishaji la mfumo (bashiri la kwanza kila wakati).
  • Neno au kifungu chochote cha maneno kinachoonekana katika kamusi au chanzo kingine kinachojulikana, ikiwa ni pamoja na kamusi na thesaurus katika lugha zingine isipokuwa Kiingereza; kazi na waandishi wa classical au maarufu; au maneno na misemo ya kawaida kutoka kwa michezo, misemo, sinema au vipindi vya televisheni.
  • Ruhusa kwa lolote kati ya yaliyo hapo juu—kwa mfanoample, neno la kamusi lenye herufi kubadilishwa na tarakimu ( r00t) au tarakimu zilizoongezwa hadi mwisho.
  • Nenosiri lolote linalozalishwa na mashine. Algorithms hupunguza nafasi ya utafutaji ya programu za kubashiri nywila na kwa hivyo lazima zisitumike.

Inapakua Vifurushi vya Programu kutoka kwa Mitandao ya Juniper
Unaweza kupakua kifurushi cha programu cha Junos OS kwa kifaa chako kutoka kwa Mitandao ya Juniper webtovuti.
Kabla ya kuanza kupakua programu, hakikisha kuwa una Mitandao ya Juniper Web akaunti na mkataba halali wa usaidizi. Ili kupata akaunti, jaza fomu ya usajili katika Mitandao ya Juniper webtovuti: https://userregistration.juniper.net/.
Ili kupakua vifurushi vya programu kutoka kwa Mitandao ya Juniper:

  1. Kwa kutumia a Web kivinjari, fuata viungo vya kupakua URL kwenye Mitandao ya Juniper webukurasa. https://support.juniper.net/support/downloads/
  2. Ingia kwenye mfumo wa uthibitishaji wa Mitandao ya Juniper kwa kutumia jina la mtumiaji (kwa ujumla anwani yako ya barua pepe) na nenosiri linalotolewa na wawakilishi wa Mitandao ya Juniper.
  3. Pakua programu. Tazama Inapakua Programu.

HATI INAZOHUSIANA
Mwongozo wa Ufungaji na Uboreshaji
Kusakinisha Programu kwenye Kifaa chenye Injini Moja ya Uelekezaji
Unaweza kutumia utaratibu huu kuboresha Junos OS kwenye kifaa na Injini moja ya Kuelekeza.
Ili kusakinisha masasisho ya programu kwenye kifaa kilicho na Injini moja ya Kuelekeza:

  1. Pakua kifurushi cha programu kama ilivyoelezewa katika Inapakua Vifurushi vya Programu kutoka kwa Mitandao ya Juniper.
  2. Ikiwa hujafanya hivyo, unganisha kwenye bandari ya console kwenye kifaa kutoka kwa kifaa chako cha usimamizi, na uingie kwenye Junos OS CLI.
  3. (Si lazima) Hifadhi nakala ya usanidi wa sasa wa programu kwenye chaguo la pili la hifadhi. Angalia Mwongozo wa Kusakinisha na Kuboresha Programu kwa maelekezo ya kufanya kazi hii.
  4. (Si lazima) Nakili kifurushi cha programu kwenye kifaa. Tunapendekeza kwamba utumie FTP kunakili file kwa saraka ya /var/tmp/.
    Hatua hii ni ya hiari kwa sababu Junos OS pia inaweza kuboreshwa wakati picha ya programu imehifadhiwa katika eneo la mbali. Maagizo haya yanaelezea mchakato wa kuboresha programu kwa hali zote mbili.
  5. Sakinisha kifurushi kipya kwenye kifaa: Kwa REMX2K-X8: user@host> omba vmhost programu ongeza
    Kwa RE1800: user@host> omba programu ya mfumo ongeza
    Badilisha kifurushi na mojawapo ya njia zifuatazo:
    • Kwa kifurushi cha programu katika saraka ya ndani kwenye kifaa, tumia /var/tmp/package.tgz.
    • Kwa kifurushi cha programu kwenye seva ya mbali, tumia mojawapo ya njia zifuatazo, ukibadilisha kifurushi cha chaguo tofauti na jina la kifurushi cha programu.
    ftp://hostname/pathname/package.tgz
    • ftp://hostname/pathname/package.tgz
  6. Washa upya kifaa ili kupakia usakinishaji:
    Kwa REMX2K-X8:
    user@host> ombi vmhost kuwasha upya
    Kwa RE1800:
    user@host> omba mfumo kuwasha upya
  7. Baada ya kuwasha upya kukamilika, ingia na utumie amri ya toleo la maonyesho ili kuthibitisha kuwa toleo jipya la programu limesakinishwa kwa ufanisi.
    user@host> onyesha toleo
    Mfano: mx960
    Junos: 20.3X75-D30.1
    JUNOS OS Kernel 64-bit [20210722.b0da34e0_builder_stable_11-204ab] JUNOS OS libs [20210722.b0da34e0_builder_stable_11-204ab] Muda wa utekelezaji wa Mfumo wa Uendeshaji wa JUNOS [20210722.b0da34e0_builder_stable_11-204ab] Taarifa za saa za eneo la JUNOS OS [20210722.b0da34e0_builder_stable_11-204ab] Msururu wa mtandao wa JUNOS na huduma [20210812.200100_builder_junos_203_x75_d30] JUNOS libs [20210812.200100_builder_junos_203_x75_d30] JUNOS OS libs compat32 [20210722.b0da34e0_builder_stable_11-204ab] JUNOS OS 32-bit uoanifu [20210722.b0da34e0_builder_stable_11-204ab] JUNOS libs compat32 [20210812.200100_builder_junos_203_x75_d30] Wakati wa utekelezaji wa JUNOS [20210812.200100_builder_junos_203_x75_d30] JUNOS sflow mx [20210812.200100_builder_junos_203_x75_d30] JUNOS py viendelezi2 [20210812.200100_builder_junos_203_x75_d30] Viendelezi vya py ya JUNOS [20210812.200100_builder_junos_203_x75_d30] JUNOS py base2 [20210812.200100_builder_junos_203_x75_d30] JUNOS py base [20210812.200100_builder_junos_203_x75_d30] JUNOS OS crypto [20210722.b0da34e0_builder_stable_11-204ab] JUNOS OS boot-ve files [20210722.b0da34e0_builder_stable_11-204ab] JUNOS telemetry jina [20.3X75-D30.1] Ushauri wa Usalama wa JUNOS [20210812.200100_builder_junos_203_x75_d30] JUNOS mx libs compat32 [20210812.200100_builder_junos_203_x75_d30] JUNOS mx wakati wa utekelezaji [20210812.200100_builder_junos_203_x75_d30] Maombi ya Telemetry ya JUNOS RPD [20.3X75-D30.1] Redis [20210812.200100_builder_junos_203_x75_d30] Huduma ya uchunguzi wa JUNOS [20210812.200100_builder_junos_203_x75_d30] Usaidizi wa jukwaa la kawaida la JUNOS [20210812.200100_builder_junos_203_x75_d30] JUNOS Openconfig [20.3X75-D30.1] moduli za mtandao za JUNOS mtx [20210812.200100_builder_junos_203_x75_d30] moduli za JUNOS [20210812.200100_builder_junos_203_x75_d30] moduli za JUNOS mx [20210812.200100_builder_junos_203_x75_d30] JUNOS mx libs [20210812.200100_builder_junos_203_x75_d30] Daemon ya Usawazishaji ya JUNOS SQL [20210812.200100_builder_junos_203_x75_d30] JUNOS mtx Data Plane Crypto Support [20210812.200100_builder_junos_203_x75_d30] daemons za JUNOS [20210812.200100_builder_junos_203_x75_d30] JUNOS mx daemons [20210812.200100_builder_junos_203_x75_d30] Daemoni ya utambulisho wa programu ya JUNOS appidd-mx [20210812.200100_builder_junos_203_x75_d30] Huduma za JUNOS URL Chuja kifurushi [20210812.200100_builder_junos_203_x75_d30] Huduma za JUNOS Kifurushi cha PIC cha Huduma ya TLB [20210812.200100_builder_junos_203_x75_d30] Telemetry ya Huduma za JUNOS [20210812.200100_builder_junos_203_x75_d30] Huduma za JUNOS TCP-LOG [20210812.200100_builder_junos_203_x75_d30] Huduma za JUNOS SSL [20210812.200100_builder_junos_203_x75_d30] Huduma za JUNOS SOFTWIRE [20210812.200100_builder_junos_203_x75_d30] Huduma za JUNOS Firewall Stateful [20210812.200100_builder_junos_203_x75_d30] Huduma za JUNOS RTCOM [20210812.200100_builder_junos_203_x75_d30] Huduma za JUNOS RPM [20210812.200100_builder_junos_203_x75_d30] Kifurushi cha PCEF cha Huduma za JUNOS [20210812.200100_builder_junos_203_x75_d30] Huduma za JUNOS NAT [20210812.200100_builder_junos_203_x75_d30] Kifurushi cha Kontena ya Kontena ya Huduma ya Msajili wa Huduma ya JUNOS
    [20210812.200100_builder_junos_203_x75_d30] Kifurushi cha Programu cha JUNOS MobileNext Software [20210812.200100_builder_junos_203_x75_d30] Kifurushi cha Mfumo wa Ripoti ya Kuingia kwa Huduma za JUNOS [20210812.200100_builder_junos_203_x75_d30] Kifurushi cha Kontena cha Huduma za JUNOS LL-PDF [20210812.200100_builder_junos_203_x75_d30] Kifurushi cha Vyombo vya Huduma za JUNOS [20210812.200100_builder_junos_203_x75_d30] Kifurushi cha Ukaguzi wa Kifurushi cha Huduma za JUNOS [20210812.200100_builder_junos_203_x75_d30] Huduma za JUNOS IPSec [20210812.200100_builder_junos_203_x75_d30] Vitambulisho vya Huduma za JUNOS [20210812.200100_builder_junos_203_x75_d30] Huduma za IDP za JUNOS [20210812.200100_builder_junos_203_x75_d30] Kifurushi cha Usimamizi wa Maudhui ya HTTP cha Huduma za JUNOS [20210812.200100_builder_junos_203_x75_d30] Huduma za JUNOS Crypto [20210812.200100_builder_junos_203_x75_d30] Huduma za JUNOS Kifurushi cha Kifurushi cha Kontena ya Uwasilishaji ya Maudhui
    [20210812.200100_builder_junos_203_x75_d30] Huduma za JUNOS COS [20210812.200100_builder_junos_203_x75_d30] Huduma za JUNOS AppId [20210812.200100_builder_junos_203_x75_d30] Milango ya Kiwango cha Maombi ya Huduma za JUNOS [20210812.200100_builder_junos_203_x75_d30] Huduma za JUNOS Kifurushi cha Kontena cha AACL [20210812.200100_builder_junos_203_x75_d30] JUNOS SDN Software Suite [20210812.200100_builder_junos_203_x75_d30] Zana ya Kiendelezi ya JUNOS [20210812.200100_builder_junos_203_x75_d30] Usaidizi wa Injini ya Kusambaza Pakiti ya JUNOS (wrlinux9) [20210812.200100_builder_junos_203_x75_d30] Usaidizi wa Injini ya Kusambaza Pakiti ya JUNOS (ulc) [20210812.200100_builder_junos_203_x75_d30] Usaidizi wa Injini ya Kusambaza Pakiti ya JUNOS (MXSPC3) [20.3X75-D30.1] Usaidizi wa Injini ya Kusambaza Pakiti ya JUNOS (X2000) [20210812.200100_builder_junos_203_x75_d30] Usaidizi wa Injini ya Kusambaza Pakiti ya JUNOS [20.3X75-D30.1] Usaidizi wa Injini ya Kusambaza Pakiti ya JUNOS (M/T Kawaida)
    [20210812.200100_builder_junos_203_x75_d30] Usaidizi wa Injini ya Kusambaza Pakiti ya JUNOS (aft)

Kuelewa Sifuri ili Kufuta Data ya Mfumo kwa Hali ya FIPS
KATIKA SEHEMU HII
Kwa nini Usifanye Sifuri? | 26
Wakati wa Kupunguza Sifuri? | 26
Upungufu hufuta kabisa maelezo yote ya usanidi kwenye Injini za Kuelekeza, ikijumuisha manenosiri yote ya maandishi wazi, siri, na funguo za faragha za SSH, usimbaji fiche wa ndani, uthibitishaji wa ndani, na IPsec.
Afisa wa Crypto huanzisha mchakato wa kuweka sufuri kwa kuweka ombi la amri ya uendeshaji vmhost sifuri kutosambaza kwa REMX2K-X8 na kuomba mfumo upunguze sufuri kwa RE1800.
SHEARWATER 17001 Air Integration Pressure Transmitter - ikoni 3 TAHADHARI: Fanya sifuri kwa mfumo kwa uangalifu. Baada ya mchakato wa sifuri kukamilika, hakuna data iliyobaki kwenye Injini ya Njia. Kifaa kinarejeshwa katika hali chaguo-msingi ya kiwanda, bila watumiaji wowote waliosanidiwa au usanidi files.
Sufuri inaweza kuchukua muda. Ingawa usanidi wote huondolewa kwa sekunde chache, mchakato wa kufuta sufuri unaendelea kubatilisha midia yote, ambayo inaweza kuchukua muda mwingi kulingana na ukubwa wa maudhui.
Kwa nini Usifanye Sifuri?
Kifaa chako hakizingatiwi kuwa moduli halali ya kriptografia ya FIPS hadi vigezo vyote muhimu vya usalama (CSPs) vimeingizwa—au kuingizwa tena—wakati kifaa kiko katika hali ya FIPS.
Kwa utiifu wa FIPS 140-2, lazima uweke sifuri kwenye mfumo ili kuondoa taarifa nyeti kabla ya kuzima hali ya FIPS kwenye kifaa.
Wakati wa Kupunguza Sifuri?
Kama Afisa wa Crypto, fanya sifuri katika hali zifuatazo:

  • Kabla ya kuwezesha hali ya utendakazi ya FIPS: Ili kutayarisha kifaa chako kwa ajili ya kufanya kazi kama sehemu ya kriptografia yenye FIPS, fanya sufuri kabla ya kuwezesha hali ya FIPS.
  • Kabla ya kulemaza hali ya utendakazi ya FIPS: Ili kuanza kubadilisha kifaa chako kwa utendakazi usio wa FIPS, fanya sifuri kabla ya kuzima hali ya FIPS kwenye kifaa.
    KUMBUKA: Mitandao ya Juniper haiauni kusakinisha programu isiyo ya FIPS katika mazingira yenye FIPS, lakini kufanya hivyo kunaweza kuhitajika katika mazingira fulani ya majaribio. Hakikisha umepunguza sifuri kwenye mfumo kwanza.

Kupunguza Mfumo
Ili kupunguza kifaa chako, fuata utaratibu ufuatao:

  1. Ingia kwenye kifaa kama Afisa wa Crypto na kutoka kwa CLI, ingiza amri ifuatayo.
    Kwa REMX2K-X8:
    crypto-officer@host> ombi vmhost ondoa sifuri bila kusambaza VMHost : Futa data yote, ikijumuisha usanidi na kumbukumbu files ? [ndiyo, hapana] (hapana) ndiyo
    re0:
    Kwa REMX2K-X8:
    crypto-officer@host> omba mfumo upunguze sifuri
    Upunguzaji Sifuri wa Mfumo : Futa data yote, ikijumuisha usanidi na kumbukumbu files ?
    [ndiyo, hapana] (hapana) ndiyo
    re0:
  2. Ili kuanzisha mchakato wa kuondoa sifuri, andika ndiyo kwa dodoso:
    Futa data yote, ikijumuisha usanidi na kumbukumbu files? [ndiyo, hapana] (hapana) ndiyo Futa data yote, ikijumuisha usanidi na kumbukumbu files? [ndiyo, hapana] (hapana) ndiyo
    re0: ————————– onyo: kupunguza sifuri
    re0……
    Operesheni nzima inaweza kuchukua muda mwingi kulingana na saizi ya media, lakini vigezo vyote muhimu vya usalama (CSPs) huondolewa ndani ya sekunde chache. Mazingira ya kimwili lazima yabaki salama hadi mchakato wa sifuri ukamilike.

Inawezesha Hali ya FIPS
Wakati Junos OS imesakinishwa kwenye kifaa na kifaa kimewashwa, kiko tayari kusanidiwa.
Hapo awali, unaingia kama mzizi wa mtumiaji bila nywila. Unapoingia kama mzizi, muunganisho wako wa SSH huwashwa kwa chaguo-msingi.
Kama Crypto Officer, lazima uweke nenosiri la msingi linalolingana na mahitaji ya nenosiri la FIPS katika "Kuelewa Viainisho vya Nenosiri na Miongozo ya Junos OS katika Hali ya FIPS" kwenye ukurasa wa 20. Unapowasha hali ya FIPS katika Junos OS kwenye kifaa, huwezi kusanidi nenosiri. isipokuwa wanakidhi kiwango hiki.
Manenosiri ya ndani yamesimbwa kwa njia fiche kwa kanuni salama ya hashi SHA256 au SHA512. Urejeshaji wa nenosiri hauwezekani katika Junos OS katika hali ya FIPS. Mfumo wa Uendeshaji wa Junos katika hali ya FIPS hauwezi kuanza katika hali ya mtumiaji mmoja bila nenosiri sahihi la mzizi.
Ili kuwezesha hali ya FIPS katika Junos OS kwenye kifaa:

  1. Sifuri kifaa ili kufuta CSP zote kabla ya kuingia katika hali ya FIPS. Rejelea "Kuelewa Kupunguza Sifuri ili Kufuta Data ya Mfumo kwa Hali ya FIPS" kwenye sehemu ya 25 ya ukurasa kwa maelezo.
  2. Baada ya kifaa kuja katika 'Modi ya Amnesiac', ingia kwa kutumia mzizi wa jina la mtumiaji na nenosiri "" (tupu).
    FreeBSD/amd64 (Amnesiac) (ttyu0) kuingia: mzizi
    — JUNOS 20.3X75-D30.1 Kernel 64-bit JNPR-11.0-20190701.269d466_buil root@:~ #cli root>
  3. Sanidi uthibitishaji wa mizizi na nenosiri angalau vibambo 10 au zaidi.
    mzizi> hariri Kuingiza modi ya usanidi [hariri] root# weka mfumo wa uthibitishaji wa mzizi-maandishi-wazi-nenosiri
    Nenosiri jipya:
    Andika upya nenosiri jipya: [edit] root# ahadi imekamilika
  4. Pakia usanidi kwenye kifaa na uweke usanidi mpya. Sanidi afisa-crypto na uingie ukitumia kitambulisho cha afisa-crypto.
  5. Sakinisha kifurushi cha fips-mode kinachohitajika kwa Injini ya Kuelekeza KATS.
    root@hostname> omba programu ya mfumo ongeza hiari://fips-mode.tgz
    Fips-mode iliyothibitishwa iliyotiwa saini na PackageDevelopmentEc_2017 mbinu ECDSA256+SHA256
  6. Kwa vifaa vya MX Series,
    • Sanidi fips za mpaka za chassis kwa kuweka mfumo wa fips chassis ngazi ya 1 na ujitume.
    • Sanidi fips za mpaka za RE kwa kuweka mifumo ya kuweka kiwango cha 1 na utume.
    Kifaa kinaweza kuonyesha Nenosiri-Lililosimbwa lazima kusanidiwa upya ili kutumia onyo la heshi linalotii FIPS ili kufuta CSP za zamani katika usanidi uliopakiwa.
  7. Baada ya kufuta na kusanidi upya CSP, ahadi itatekelezwa na kifaa kinahitaji kuwashwa upya ili kuingia katika hali ya FIPS. [hariri] crypto-officer@hostname# ahadi
    Inazalisha kitufe cha RSA /etc/ssh/fips_ssh_host_key
    Inazalisha kitufe cha RSA2 /etc/ssh/fips_ssh_host_rsa_key
    Inazalisha kitufe cha ECDSA /etc/ssh/fips_ssh_host_ecdsa_key
    [hariri] mfumo
    kuwasha upya inahitajika ili kuhamia FIPS kiwango cha 1 ahadi kamili [hariri] crypto-officer@hostname# endesha ombi vmhost reboot
  8. Baada ya kuwasha kifaa upya, majaribio ya FIPS binafsi yataendeshwa na kifaa huingia katika hali ya FIPS. crypto-officer@jina la mwenyeji: fips>

HATI INAZOHUSIANA
Kuelewa Viainisho vya Nenosiri na Miongozo ya Junos OS katika Hali ya FIPS | 20
Inasanidi Afisa wa Crypto na Utambulisho wa Mtumiaji wa FIPS na Ufikiaji
KATIKA SEHEMU HII
Inasanidi Ufikiaji wa Afisa wa Crypto | 30
Inasanidi Ufikiaji wa Kuingia kwa Mtumiaji wa FIPS | 32
Crypto Officer huwasha hali ya FIPS kwenye kifaa chako na hufanya kazi zote za usanidi za Junos OS katika hali ya FIPS na kutoa Junos OS yote katika taarifa na amri za hali ya FIPS. Afisa wa Crypto na usanidi wa mtumiaji wa FIPS lazima ufuate Junos OS katika miongozo ya hali ya FIPS.
Inasanidi Ufikiaji wa Afisa wa Crypto
Mfumo wa Uendeshaji wa Junos katika hali ya FIPS hutoa uzito mdogo zaidi wa ruhusa za mtumiaji kuliko zile zinazoagizwa na FIPS 140-2.
Kwa utiifu wa FIPS 140-2, mtumiaji yeyote wa FIPS aliye na seti ya vipande vya siri, usalama, matengenezo, na udhibiti ni Afisa wa Crypto. Katika hali nyingi, darasa la mtumiaji bora linatosha kwa Afisa wa Crypto.
Ili kusanidi ufikiaji wa kuingia kwa Afisa wa Crypto:

  1. Ingia kwenye kifaa na nenosiri la msingi ikiwa bado hujafanya hivyo, na uweke modi ya usanidi: root@hostname> hariri Kuingiza modi ya usanidi [hariri] root@hostname#
  2. Taja jina la mtumiaji crypto-officer na umkabidhi Afisa wa Crypto kitambulisho cha mtumiaji (kwa mfanoample, 6400, ambayo lazima iwe nambari ya kipekee inayohusishwa na akaunti ya kuingia kati ya 100 hadi 64000) na darasa (kwa ex.ample, mtumiaji bora). Unapogawa darasa, unapeana ruhusa—kwa mfanoample, siri, usalama, matengenezo, na udhibiti.
    Kwa orodha ya ruhusa, angalia Kuelewa Viwango vya Mapendeleo ya Ufikiaji wa Junos OS.
    [hariri] mzizi@hostname# weka jina la mtumiaji la kuingia kwa mfumo wa uid darasa darasa-jina
    Kwa mfanoample:
    [hariri] root@hostname# weka mfumo wa kuingia kwa mtumiaji crypto-officer uid 6400 class super-user
  3. Kwa kufuata miongozo katika “Kuelewa Viainisho vya Nenosiri na Miongozo ya Mfumo wa Uendeshaji wa Junos katika Hali ya FIPS” kwenye ukurasa wa 20, mpe Afisa wa Crypto nenosiri la maandishi wazi kwa uthibitishaji wa kuingia. Weka nenosiri kwa kuandika nenosiri baada ya vidokezo Nenosiri mpya na Chapa upya nenosiri jipya.
    [hariri] mzizi@jina la mwenyeji# weka mfumo wa kuingia kwa mtumiaji uthibitishaji wa jina la darasa la jina la mtumiaji (neno-siri-wazi la mtihani |
    nenosiri lililosimbwa)
    Kwa mfanoample:
    [hariri] mzizi@jina la mwenyeji# weka mtumiaji wa kuingia kwa mfumo wa darasa la mtumiaji-mtumiaji bora wa uthibitishaji wa maandishi-siri.
  4. Kwa hiari, onyesha usanidi:
    [hariri] root@hostname# hariri mfumo
    [hariri mfumo] mzizi@jina la mwenyeji# onyesho
    Ingia {
    mtumiaji crypto-afisa {
    uid 6400;
    uthibitisho {
    neno-siri-iliyosimbwa “”; ## DATA-YA-SIRI
    }
    darasa super-user;
    }
    }
  5. Ikiwa umemaliza kusanidi kifaa, fanya usanidi na uondoke:
    [hariri] root@hostname# ahadi imekamilika
    mzizi@jina la mwenyeji# toka

Inasanidi Ufikiaji wa Kuingia kwa Mtumiaji wa FIPS
Mtumiaji wa fips anafafanuliwa kama mtumiaji yeyote wa FIPS ambaye hana siri, usalama, matengenezo na udhibiti wa vipande vya ruhusa.
Kama Afisa wa Crypto unaweka watumiaji wa FIPS. Watumiaji wa FIPS hawawezi kupewa ruhusa ambazo kwa kawaida zimehifadhiwa kwa Afisa wa Crypto—kwa mfanoample, ruhusa ya kuweka sifuri kwenye mfumo.
Ili kusanidi ufikiaji wa kuingia kwa mtumiaji aliye na FIPS:

  1. Ingia kwenye kifaa na nenosiri lako la Afisa wa Crypto ikiwa bado hujafanya hivyo, na uweke hali ya usanidi:
    crypto-officer@hostname:fips> hariri
    Inaingiza hali ya usanidi
    [hariri] crypto-officer@hostname:fips#
  2. Mpe mtumiaji, jina la mtumiaji, na mpe mtumiaji kitambulisho cha mtumiaji (kwa mfanoample, 6401, ambayo lazima iwe nambari ya kipekee katika safu ya 1 hadi 64000) na darasa. Unapogawa darasa, unapeana ruhusa—kwa mfanoample, wazi, mtandao, weka upyaview, na view-usanidi.
    [hariri] crypto-officer@hostname:fips# weka mfumo wa kuingia kwa mtumiaji jina la mtumiaji uid darasa darasa-jina Kwa zamaniample:
    [hariri] crypto-officer@hostname:fips# weka mtumiaji wa kuingia kwa mfumo fips-user1 uid 6401 darasa soma-tu
  3. Kufuatia miongozo katika "Kuelewa Viainisho vya Nenosiri na Miongozo ya Junos OS in
    Hali ya FIPS” kwenye ukurasa wa 20, mpe mtumiaji wa FIPS nenosiri la maandishi wazi kwa ajili ya uthibitishaji wa kuingia. Weka nenosiri kwa kuandika nenosiri baada ya vidokezo Nenosiri mpya na Chapa upya nenosiri jipya.
    [hariri] crypto-officer@jina la mwenyeji:fips# weka uthibitishaji wa jina la mtumiaji darasa la jina la mtumiaji la kuingia kwenye mfumo (maandishi-wazi-nenosiri | nenosiri-iliyosimbwa)
    Kwa mfanoample:
    [hariri] crypto-officer@hostname:fips# weka mfumo wa kuingia kwa mtumiaji fips-user1 darasa la kusoma-tu uthibitishaji wa maandishi-wazi-nenosiri
  4. Kwa hiari, onyesha usanidi:
    [hariri] crypto-officer@hostname:fips# hariri mfumo [edit system] crypto-officer@hostname:fips# show
    Ingia {
    mtumiaji fips-user1 {
    uid 6401;
    uthibitisho {
    neno-siri-iliyosimbwa “”; ## DATA-YA-SIRI
    }
    kusoma tu kwa darasa;
    }
    }
  5. Ikiwa umemaliza kusanidi kifaa, fanya usanidi na uondoke:
    [hariri] crypto-officer@hostname:fips# ahadi
    crypto-officer@hostname:fips# toka

Inasanidi Muunganisho wa SSH na Console

Inasanidi SSH kwenye Usanidi Uliotathminiwa wa FIPS
SSH kupitia kiolesura cha usimamizi wa mbali kinachoruhusiwa katika usanidi uliotathminiwa. Mada hii inaelezea jinsi ya kusanidi SSH kupitia usimamizi wa mbali.
Kanuni zifuatazo zinazohitaji kusanidiwa ili kuthibitisha SSH kwa FIPS.
Ili kusanidi SSH kwenye DUT:

  1. Bainisha algoriti zinazoruhusiwa za ufunguo-pangishi wa SSH kwa huduma za mfumo.
    [hariri] user@host# weka huduma za mfumo ssh hostkey-algorithm ssh-ecdsa
    user@host# weka huduma za mfumo ssh hostkey-algorithm no-ssh-dss
    user@host# weka huduma za mfumo ssh hostkey-algorithm ssh-rsa
  2. Bainisha ubadilishanaji wa vitufe vya SSH kwa vitufe vya Diffie-Hellman kwa huduma za mfumo.
    [hariri] user@host# weka huduma za mfumo ssh key-exchange dh-group14-sha1
    user@host# weka huduma za mfumo ssh key-exchange ecdh-sha2-nistp256
    user@host# weka huduma za mfumo ssh key-exchange ecdh-sha2-nistp384
    user@host# weka huduma za mfumo ssh key-exchange ecdh-sha2-nistp521
  3. Bainisha algoriti zote zinazoruhusiwa za msimbo wa uthibitishaji wa SSHv2
    [hariri] user@host# weka huduma za mfumo ssh macs hmac-sha1
    user@host# weka huduma za mfumo ssh macs hmac-sha2-256
    user@host# weka huduma za mfumo ssh macs hmac-sha2-512
  4. Bainisha misimbo inayoruhusiwa kwa toleo la 2 la itifaki.
    [hariri] user@host# weka huduma za mfumo ssh ciphers aes128-cbc
    user@host# weka huduma za mfumo ssh ciphers aes256-cbc
    user@host# weka huduma za mfumo ssh ciphers aes128-ctr
    user@host# weka huduma za mfumo ssh ciphers aes256-ctr
    user@host# weka huduma za mfumo ssh ciphers aes192-cbc
    user@host# weka huduma za mfumo ssh ciphers aes192-ctr
    Algorithm ya ufunguo wa mwenyeji wa SSH unaotumika:
    ssh-ecdsa Ruhusu uundaji wa ufunguo-wenyeshi wa ECDSA
    ssh-rsa Ruhusu utengenezaji wa ufunguo wa mwenyeji wa RSA
    Algorithm ya kubadilishana ufunguo wa SSH inayotumika:
    ecdh-sha2-nistp256 The EC Diffie-Hellman kwenye nistp256 na SHA2-256
    ecdh-sha2-nistp384 The EC Diffie-Hellman kwenye nistp384 na SHA2-384
    ecdh-sha2-nistp521 The EC Diffie-Hellman kwenye nistp521 na SHA2-512
    Algorithm ya MAC inayotumika:
    hmac-sha1 Hash-based MAC kwa kutumia Secure Hash Algorithm (SHA1)
    hmac-sha2-256 MAC inayotokana na Hash kwa kutumia Secure Hash Algorithm (SHA2)
    hmac-sha2-512 MAC inayotokana na Hash kwa kutumia Secure Hash Algorithm (SHA2)
    Algorithm ya misimbo ya SSH inayotumika:
    aes128-cbc 128-bit AES yenye Mnyororo wa Kizuizi cha Cipher
    aes128-ctr 128-bit AES yenye Hali ya Kukabiliana
    aes192-cbc 192-bit AES yenye Mnyororo wa Kizuizi cha Cipher
    aes192-ctr 192-bit AES yenye Hali ya Kukabiliana
    aes256-cbc 256-bit AES yenye Mnyororo wa Kizuizi cha Cipher
    aes256-ctr 256-bit AES yenye Hali ya Kukabiliana

Inasanidi MACsec

Kuelewa Usalama wa Kudhibiti Ufikiaji wa Vyombo vya Habari (MACsec) katika hali ya FIPS
Usalama wa Kudhibiti Ufikiaji wa Vyombo vya Habari (MACsec) ni teknolojia ya usalama ya kiwango cha 802.1AE IEEE ambayo hutoa mawasiliano salama kwa trafiki yote kwenye viungo vya Ethaneti. MACsec hutoa usalama wa uhakika kwa uhakika kwenye viungo vya Ethaneti kati ya nodi zilizounganishwa moja kwa moja na ina uwezo wa kutambua na kuzuia vitisho vingi vya usalama, ikiwa ni pamoja na kunyimwa huduma, kuingiliwa, mtu katikati, kujifanya, kugonga waya na mashambulizi ya kucheza tena.
MACsec hukuruhusu kupata uhakika wa kiungo cha Ethaneti kwa takriban trafiki yote, ikijumuisha fremu kutoka kwa Itifaki ya Ugunduzi wa Tabaka la Kiungo (LLDP), Itifaki ya Udhibiti wa Ujumlisho wa Kiungo (LACP), Itifaki ya Usanidi wa Mwenyeji Nguvu (DHCP), Itifaki ya Azimio la Anwani (ARP), na itifaki zingine ambazo kwa kawaida hazilindwa kwenye kiungo cha Ethaneti kwa sababu ya vikwazo vya suluhu zingine za usalama. MACsec inaweza kutumika pamoja na itifaki zingine za usalama kama vile Usalama wa IP (IPsec) na Safu ya Soketi Salama (SSL) ili kutoa usalama wa mtandao kutoka mwisho hadi mwisho.
MACsec imesanifishwa katika IEEE 802.1AE. Kiwango cha IEEE 802.1AE kinaweza kuonekana kwenye shirika la IEEE webtovuti kwa IEEE 802.1: DARAJA NA USIMAMIZI.
Kila utekelezaji wa algoriti huangaliwa na mfululizo wa majaribio ya kujipima yanayojulikana (KAT) na uthibitishaji wa algoriti za crypto (CAV). Algoriti zifuatazo za kriptografia huongezwa mahususi kwa MACsec.

  • Kiwango cha Kina cha Usimbaji Fiche (AES)-Msimbo wa Uthibitishaji wa Ujumbe wa Sifa (CMAC)
  • Ufungaji wa Ufunguo wa Hali ya Juu wa Usimbaji (AES).
    Kwa MACsec, katika hali ya usanidi, tumia amri ya haraka ili kuingiza thamani ya siri ya ufunguo wa hexadecimal 64 kwa uthibitishaji.
    [hariri] crypto-officer@hostname:fips# muunganisho wa uunganisho wa usalama wa macsec-chama cha ufunguo ulioshirikiwa mapema
    Keki mpya (siri):
    Chapa keki mpya (siri):

Kubinafsisha Wakati
Ili kubinafsisha muda, zima NTP na uweke tarehe.

  1. Zima NTP.
    [hariri] crypto-officer@hostname:fips# lemaza vikundi mfumo wa kimataifa wa ntp
    crypto-officer@hostname:fips# zima mfumo wa ntp
    crypto-officer@hostname:fips# ahadi
    crypto-officer@hostname:fips# toka
  2. Kuweka tarehe na wakati. Umbizo la tarehe na saa ni YYYYMMMDDHHMM.ss
    [hariri] crypto-officer@hostname:fips# kuweka tarehe 201803202034.00
    crypto-officer@hostname:fips# set cli timesamp
  3. Weka maelezo salama ya njia ya MACsec Key Agreement (MKA).
    [hariri] crypto-officer@jina la mwenyeji:fips# weka muunganisho wa usalama wa macsec-chama cha muunganisho cha ushirika-jina uelekeo salama-chaneli-salama-jina-jina (inayoingia | inayotoka) crypto-officer@jina la mwenyeji:fips# weka muunganisho wa usalama wa macsec-chama cha muunganisho cha ushirika-jina salama. -usimbaji wa jina-salama-channel-jina (MACsec) crypto-officer@jina la mwenyeji:fips# weka muunganisho wa muunganisho wa mtandao wa macsec-chama cha ushirika-jina salama-channel-salama-jina kitambulisho cha mac-anwani /”mac-anwani crypto-officer@jina la mwenyeji :fips# weka muunganisho wa kiunganishi cha macsec-chama cha usalama-chama-jina salama-chaneli-salama-chaneli-jina kitambulisho cha bandari-kitambulisho-nambari ya kitambulisho crypto-officer@jina la mwenyeji:fips# weka muunganisho wa usalama wa macsec-chama cha muunganishochama-jina salama-chaneli salama. -jina la kituo “(0|30|50) crypto-officer@jina la mwenyeji:fips# weka muunganisho wa muunganisho wa muungano wa macsec-chama cha usalama-chaneli-salama-chaneli-salama-jina-salama-chama-chama-salama-chama-chama nambari ya ufunguo-mfuatano wa ufunguo.
  4. Weka MKA kwa hali ya usalama.
    [hariri] crypto-officer@hostname:fips# weka muunganisho wa usalama wa macsec-chama cha muunganishoassociation-jina hali ya usalama ya hali ya usalama
  5. Kabidhi muunganisho uliosanidiwa na kiolesura maalum cha MACsec.
    [hariri] crypto-officer@jina la mwenyeji:fips# weka miingiliano ya usalama ya macsec ya kiolesura-jina muunganishokama muunganisho wa chama-chama-jina

Inasanidi MACsec tuli na Trafiki ya ICMP
Ili kusanidi MACsec tuli kwa kutumia trafiki ya ICMP kati ya kifaa R0 na kifaa R1:
Katika R0:

  1. Unda ufunguo ulioshirikiwa mapema kwa kusanidi jina la ufunguo wa kuunganisha muunganisho (CKN) na ufunguo wa kuunganisha muunganisho (CAK)
    [hariri] crypto-officer@hostname:fips# weka usalama macsec muunganisho-chama CA1 pre-sharedkey ckn 2345678922334455667788992223334445556667778889992222333344445555
    crypto-officer@hostname:fips# set security macsec connectivity-association CA1 pre-sharedkey cak 23456789223344556677889922233344 crypto-officer@hostname:fips# set security macsec connectivity-association 1 CA30 off
  2. Weka maadili ya chaguo la ufuatiliaji.
    [hariri] crypto-officer@hostname:fips# weka ufuatiliaji wa macsec ya usalama file MACsec.log
    crypto-officer@hostname:fips# weka ufuatiliaji wa macsec ya usalama file ukubwa 4000000000
    crypto-officer@hostname:fips# seti usalama wa macsec traceoptions zote
  3. Agiza ufuatiliaji kwa kiolesura.
    [hariri] crypto-officer@jina la mwenyeji:fips# weka violesura vya usalama vya macsec violesura vya ufuatiliaji wa jina file mka_xe saizi 1g crypto-officer@jina la mwenyeji:fips# weka violesura vya usalama vya macsec kiolesura-jina alama za ufuatiliaji zote
  4. Sanidi modi ya usalama ya MACsec kama static-cak kwa muunganisho wa muunganisho. [hariri] crypto-officer@hostname:fips# weka muunganisho wa usalama wa macsec-chama cha CA1 hali ya usalama-tuli-cak
  5. Weka kipaumbele cha seva muhimu ya MKA.
    [hariri] crypto-officer@hostname:fips# weka muunganisho wa usalama wa macsec-chama CA1 mka key-serverpriority 1
  6. Weka muda wa kusambaza wa MKA.
    [hariri] crypto-officer@hostname:fips# set security macsec connectivity-chama cha CA1 mka transmitinterval 3000
  7. Washa usalama wa MKA.
    [hariri] crypto-officer@hostname:fips# set security macsec connectivity-chama cha CA1 mka shouldsecure
    crypto-officer@hostname:fips# set security macsec connectivity-chama cha CA1 include-sci
  8. Agiza uhusiano wa muunganisho kwa kiolesura.
    [hariri] crypto-officer@jina la mwenyeji:fips# weka violesura vya kiolesura cha kiolesura-jinachamaisha
    CA1
    crypto-officer@hostname:fips# seti ya violesura-jina kitengo 0 anwani ya ajizi ya familia 10.1.1.1/24

Katika R1:

  1. Unda ufunguo ulioshirikiwa mapema kwa kusanidi jina la ufunguo wa kuunganisha muunganisho (CKN) na ufunguo wa kuunganisha muunganisho (CAK)
    [hariri] crypto-officer@hostname:fips# weka usalama wa macsec muunganisho-chama cha CA1 ufunguo wa kushirikiwa awali ckn 2345678922334455667788992223334445556667778889992222333344445555psseti-security sociation CA1 pre-sharedkey keki 23456789223344556677889922233344 crypto-officer@hostname:fips# weka usalama muunganisho wa macsec-chama cha CA1 kukabiliana na 30
  2. Weka maadili ya chaguo la ufuatiliaji.
    [hariri] crypto-officer@hostname:fips# weka ufuatiliaji wa macsec ya usalama file MACsec.log crypto-officer@hostname:fips# weka ufuatiliaji wa macsec ya usalama file saizi 4000000000 crypto-officer@hostname:fips# weka alama za ufuatiliaji wa usalama wa macsec zote
  3. Agiza ufuatiliaji kwa kiolesura. [hariri] crypto-officer@jina la mwenyeji:fips# weka violesura vya usalama vya macsec violesura vya ufuatiliaji wa jina file mka_xe saizi 1g crypto-officer@jina la mwenyeji:fips# weka violesura vya usalama vya macsec kiolesura-jina  alama za ufuatiliaji zote
  4. Sanidi modi ya usalama ya MACsec kama static-cak kwa muunganisho wa muunganisho. [hariri] crypto-officer@hostname:fips# weka muunganisho wa usalama wa macsec-chama cha CA1 hali ya usalama-tuli-cak
  5. Weka muda wa kusambaza wa MKA.
    [hariri] crypto-officer@hostname:fips# weka muunganisho wa usalama wa macsec-chama cha CA1 mka transmitinterval 3000
  6. Washa usalama wa MKA. [hariri] crypto-officer@hostname:fips# seti usalama wa macsec muunganisho-chama CA1 mka inapaswa kulinda crypto-officer@jina mwenyeji:fips# kuweka usalama macsec kuunganishwa-chama CA1 include-sci
  7. Agiza uhusiano wa muunganisho kwa kiolesura. [hariri] crypto-officer@jina la mwenyeji:fips# weka violesura vya usalama vya macsec violesura vya kiolesura-jina muunganishochama cha CA1 crypto-officer@jina la mwenyeji:fips# seti kiolesura cha kiolesura-jina kitengo 0 anwani ya kiolesura cha familia 10.1.1.2/24

Inasanidi MACsec kwa mnyororo wa vitufe kwa kutumia Trafiki ya ICMP
Ili kusanidi MACsec na keychain kwa kutumia trafiki ya ICMP kati ya kifaa R0 na kifaa R1:
Katika R0:

  1. Weka thamani ya uvumilivu kwa msururu wa vitufe vya uthibitishaji. [hariri] crypto-officer@hostname:fips# weka uthibitishaji wa usalama-key-chains key-chain macsec-kc1 tolerance 20
  2. Unda nenosiri la siri la kutumia. Ni mfuatano wa tarakimu za heksadesimali hadi urefu wa vibambo 64. Nenosiri linaweza kujumuisha nafasi ikiwa mfuatano wa herufi umefungwa katika alama za nukuu. Data ya siri ya keychain inatumika kama CAK.
    [hariri] crypto-officer@hostname:fips# weka uthibitishaji wa usalama-key-chains key-chain macsec-kc1 ufunguo 0 jina la ufunguo 2345678922334455667788992223334445556667778889992222333344445551officert-seti ya usalama @ crypto1 ntication-key-chains key-chain macsec-kc0 ufunguo 2018 wakati wa kuanza 03-20.20-35:1 crypto-officer@hostname:fips# weka uthibitishaji wa usalama-key-chains key-chain macsec-kc1 ufunguo 2345678922334455667788992223334445556667778889992222333344445552 key-name 1 1 crypto-officer@hostname:fips# weka ufunguo wa uthibitishaji wa usalama -chains key-chain macsec-kc2018 key 03 start-time 20.20-37-1:2 crypto-officer@hostname:fips# set uthibitishaji wa usalama-key-chains key-chain macsec-kc2345678922334455667788992223334445556667778889992222333344445553 ufunguo 1 key-name 2afisa-officernamefip-fips authentiation-fips 2018 crypto-afisa @hostname:fips# weka uthibitishaji wa usalama-key-chains key-chain macsec-kc03 ufunguo 20.20 wa kuanza 39-1-3:2345678922334455667788992223334445556667778889992222333344445554 crypto-officer@jina mwenyeji:fips# weka uthibitishaji wa usalama-key-chains key-chain macsec- kc1 ufunguo 3 ufunguo-jina 2018 crypto-officer@jina la mwenyeji:fips# weka uthibitishaji wa usalama-kifunguo-03-kifunguo-20.20 weka uthibitishaji-kifunguo-41-kifungo-kifunguo cha 1-kifunguo-4-kifunguo-2345678922334455667788992223334445556667778889992222333344445555 weka uthibitishaji-kifunguo-1-kifunguo -4:2018 crypto-officer@hostname:fips# kuweka usalama uthibitishaji-ufunguo-minyororo ufunguo-mnyororo macsec-kc03 ufunguo 20.20 ufunguo-jina 43 ufunguo wa kuweka- usalama- ufunguo wa ufunguo- crypto-officer- ufunguo- ufunguo- ufunguo wa usalama- ufunguo wa ufunguo- crypto-officer kc1 muhimu 5 wakati wa kuanza 2345678922334455667788992223334445556667778889992222333344445556-1-5:2018 crypto-officer@hostname:fips# weka uthibitishaji wa usalama-key-chains key-chain macsec-kc03 ufunguo 20.20 ufunguo-jina 45ps usalama@seti-1officer ntication-key-chains key-chain macsec-kc6 ufunguo 2345678922334455667788992223334445556667778889992222333344445557 wakati wa kuanza 1-6-2018:03 crypto-officer@hostname:fips# weka uthibitishaji wa usalama-key-chains key-chain macsec-kc20.20 ufunguo 47 key-name 1 7 crypto-officer@hostname:fips# weka ufunguo wa uthibitishaji wa usalama -chains key-chain macsec-kc2345678922334455667788992223334445556667778889992222333344445558 key 1 start-time 7-2018-03:20.20 crypto-officer@hostname:fips# set uthibitishaji wa usalama-key-chains key-chain macsec-kc49 ufunguo XNUMX key-name XNUMX tena-XNUMX uthibitishaji uthibitishaji uthibitishaji uthibitisho-afisa uthibitishaji-name-macsec macsec-kc ufunguo ufunguo-fips uthibitisho uthibitisho-fips uthibitishaji-fips uthibitisho ufunguo pia uthibitisho uthibitishaji wa uthibitishaji-jina ufunguo. XNUMX crypto-afisa @hostname:fips# weka uthibitishaji wa usalama-key-chains key-chain macsec-kcXNUMX ufunguo XNUMX wakati wa kuanza XNUMX-XNUMX-XNUMX:XNUMX Tumia amri ya papo hapo kuweka thamani ya ufunguo wa siri. Kwa mfanoample, thamani ya ufunguo wa siri ni 2345678922334455667788992223334123456789223344556677889922233341. [hariri] crypto-officer@jina la mwenyeji:fips# prompt security key macseckkey-key-key macseck ufunguo wa usalama-ufunguo mpya wa uthibitishaji Andika tena keki mpya (siri): afisa wa crypto @hostname:fips# uthibitishaji wa usalama wa haraka-key-chains key-chain macseckc1 ufunguo 0 siri Keki mpya (siri):
    Chapa upya keki mpya (siri): crypto-officer@jina la mwenyeji:fips# uthibitishaji wa usalama wa haraka-key-chains key-chain macseckc1 ufunguo 2 siri Keki mpya (siri):
    Chapa upya keki mpya (siri): crypto-officer@jina la mwenyeji:fips# uthibitishaji wa usalama wa haraka-key-chains key-chain macseckc1 ufunguo 3 siri Keki mpya (siri): Chapa upya cak mpya (siri): crypto-officer@jina la mwenyeji:fips# uthibitishaji wa usalama wa haraka-ufunguo-minyororo ya ufunguo-mnyororo wa macseckc1 ufunguo 4 siri Keki mpya (siri): Chapa upya keki mpya (siri): crypto-officer@jina la mwenyeji:fips# haraka uthibitishaji wa usalama-key-chains key-chain macseckc1 ufunguo 5 siri Mpya cak (siri): Chapa upya keki mpya (siri): crypto-officer@jina la mwenyeji:fips# uthibitishaji wa usalama wa haraka-key-chains key-chain macseckc1 ufunguo 6 siri Keki mpya (siri): Chapa upya keki mpya (siri): crypto-officer @hostname:fips# uthibitishaji wa usalama wa haraka-key-chains key-chain macseckc1 ufunguo 7 siri Keki mpya (siri): Chapa upya keki mpya (siri):
  3. Husisha jina la mnyororo wa vitufe ulioshirikiwa awali na uhusiano wa muunganisho.
    [hariri] crypto-officer@hostname:fips# weka usalama wa macsec muunganisho-chama cha CA1 kabla ya kushirikiwa key-chain macsec-kc1 crypto-officer@jina mwenyeji:fips# kuweka usalama macsec muunganisho-chama CA1 kukabiliana 50 crypto-officer@jina mwenyeji:fips # weka muunganisho wa usalama wa macsec-chama cha CA1 cipher-suite gcm-aes-256
    KUMBUKA: Thamani ya cipher pia inaweza kuwekwa kama cipher-suite gcm-aes-128.
  4. Weka maadili ya chaguo la ufuatiliaji.
    [hariri] crypto-officer@hostname:fips# weka ufuatiliaji wa macsec ya usalama file MACsec.log crypto-officer@hostname:fips# weka ufuatiliaji wa macsec ya usalama file saizi 4000000000 crypto-officer@hostname:fips# weka alama za ufuatiliaji wa usalama wa macsec zote
  5. Agiza ufuatiliaji kwa kiolesura. [hariri] crypto-officer@jina la mwenyeji:fips# weka violesura vya usalama vya macsec violesura vya ufuatiliaji wa jina file mka_xe saizi 1g crypto-officer@jina la mwenyeji:fips# weka violesura vya usalama vya macsec kiolesura-jina alama za ufuatiliaji zote
  6. Sanidi modi ya usalama ya MACsec kama static-cak kwa muunganisho wa muunganisho. [hariri] crypto-officer@hostname:fips# weka muunganisho wa usalama wa macsec-chama cha CA1 hali ya usalama tuli-cak
  7. Weka kipaumbele cha seva muhimu ya MKA.
    [hariri] crypto-officer@hostname:fips# weka muunganisho wa usalama wa macsec-chama CA1 mka keyserver-priority 1
  8. Weka muda wa kusambaza wa MKA.
    [hariri] crypto-officer@hostname:fips# weka muunganisho wa usalama wa macsec-chama cha CA1 mka transmitinterval 3000
  9. Washa usalama wa MKA.
    [hariri] crypto-officer@hostname:fips# set security macsec connectivity-chama cha CA1 include-sci
  10. Agiza uhusiano wa muunganisho kwa kiolesura.
    [hariri] crypto-officer@hostname:fips# weka violesura vya usalama vya macsec violesura-jina muunganishochama cha CA1
    crypto-officer@hostname:fips#
    weka violesura vya kiolesura-jina kitengo 0 anwani ya ajizi ya familia 10.1.1.1/24

Ili kusanidi MACsec na keychain kwa trafiki ya ICMP:
Katika R1:

  1. Weka thamani ya uvumilivu kwa msururu wa vitufe vya uthibitishaji.
    [hariri] crypto-officer@hostname:fips# weka uthibitishaji wa usalama-key-chains key-chain macsec-kc1 tolerance 20
  2. Unda nenosiri la siri la kutumia. Ni mfuatano wa tarakimu za heksadesimali hadi urefu wa vibambo 64. Nenosiri linaweza kujumuisha nafasi ikiwa mfuatano wa herufi umefungwa katika alama za nukuu. Data ya siri ya keychain inatumika kama CAK.
    [hariri] crypto-officer@hostname:fips# weka uthibitishaji wa usalama-key-chains key-chain macsec-kc1 ufunguo 0 jina la ufunguo 2345678922334455667788992223334445556667778889992222333344445551officert-seti ya usalama @ crypto1 ntication-key-chains key-chain macsec-kc0 ufunguo 2018 wakati wa kuanza 03-20.20-35:1 crypto-officer@hostname:fips# weka uthibitishaji wa usalama-key-chains key-chain macsec-kc1 ufunguo 2345678922334455667788992223334445556667778889992222333344445552 key-name 1 1 crypto-officer@hostname:fips# weka ufunguo wa uthibitishaji wa usalama -chains key-chain macsec-kc2018 key 03 start-time 20.20-37-1:2 crypto-officer@hostname:fips# set uthibitishaji wa usalama-key-chains key-chain macsec-kc2345678922334455667788992223334445556667778889992222333344445553 ufunguo 1 key-name 2afisa-officernamefip-fips authentiation-fips 2018 crypto-afisa @hostname:fips# weka uthibitishaji wa usalama-key-chains key-chain macsec-kc03 ufunguo 20.20 wa kuanza 39-1-3:2345678922334455667788992223334445556667778889992222333344445554 crypto-officer@jina mwenyeji:fips# weka uthibitishaji wa usalama-key-chains key-chain macsec- kc1 ufunguo 3 ufunguo-jina 2018 crypto-officer@jina la mwenyeji:fips# weka uthibitishaji wa usalama-kifunguo-03-kifunguo-20.20 weka uthibitishaji-kifunguo-41-kifungo-kifunguo cha 1-kifunguo-4-kifunguo-2345678922334455667788992223334445556667778889992222333344445555 weka uthibitishaji-kifunguo-1-kifunguo -4:2018 crypto-officer@hostname:fips# kuweka usalama uthibitishaji-ufunguo-minyororo ufunguo-mnyororo macsec-kc03 ufunguo 20.20 ufunguo-jina 43 ufunguo wa kuweka- usalama- ufunguo wa ufunguo- crypto-officer- ufunguo- ufunguo- ufunguo wa usalama- ufunguo wa ufunguo- crypto-officer kc1 muhimu 5 wakati wa kuanza 345678922334455667788992223334445556667778889992222333344445556-1-5:2018 crypto-officer@hostname:fips# weka uthibitishaji wa usalama-key-chains key-chain macsec-kc03 ufunguo 20.20 ufunguo-jina  45#seti-usalama#1#seti-seti-seti ya usalama @ crypto6 ntication-key-chains key-chain macsec-kc2345678922334455667788992223334445556667778889992222333344445557 ufunguo 1 wakati wa kuanza 6-2018-03:20.20 crypto-officer@hostname:fips# weka uthibitishaji wa usalama-key-chains key-chain macsec-kc47 ufunguo 1 key-name 7 2345678922334455667788992223334445556667778889992222333344445558 crypto-officer@hostname:fips# weka ufunguo wa uthibitishaji wa usalama -chains key-chain macsec-kc1 key 7 start-time 2018-03-20.20:49 crypto-officer@hostname:fips# set uthibitishaji wa usalama-key-chains key-chain macsec-kcXNUMX ufunguo XNUMX key-name XNUMX tena-XNUMX uthibitishaji uthibitishaji uthibitishaji uthibitisho-afisa uthibitishaji-name-macsec macsec-kc ufunguo ufunguo-fips uthibitisho uthibitisho-fips uthibitishaji-fips uthibitisho ufunguo pia uthibitisho uthibitishaji wa uthibitishaji-jina ufunguo. XNUMX crypto-afisa @hostname:fips# weka uthibitishaji wa usalama-key-chains key-chain macsec-kcXNUMX ufunguo XNUMX wakati wa kuanza XNUMX-XNUMX-XNUMX:XNUMX
    Tumia amri ya haraka kuingiza thamani ya ufunguo wa siri. Kwa mfanoample, dhamana ya ufunguo wa siri ni 2345678922334455667788992223334123456789223344556677889922233341.
    [hariri] crypto-officer@hostname:fips# uthibitishaji wa usalama wa haraka-key-chains key-chain macseckc1 ufunguo 0 siri
    Keki mpya (siri):
    Andika tena keki mpya (siri): crypto-officer@jina la mwenyeji:fips# uthibitishaji wa usalama wa haraka-key-chains key-chain macseckc1 ufunguo 1 siri Keki mpya (siri): Chapa upya cak mpya (siri): crypto-officer@jina la mwenyeji:fips# uthibitishaji wa usalama wa haraka-ufunguo-minyororo ya ufunguo-mnyororo wa macseckc1 ufunguo 2 siri Keki mpya (siri): Chapa upya keki mpya (siri): crypto-officer@jina la mwenyeji:fips# haraka uthibitishaji wa usalama-key-chains key-chain macseckc1 ufunguo 3 siri Mpya cak (siri): Chapa upya keki mpya (siri): crypto-officer@jina la mwenyeji:fips# uthibitishaji wa usalama wa haraka-ufunguo-minyororo key-chain macseckc1 ufunguo 4 siri Keki mpya (siri): Chapa upya keki mpya
    (siri):
    crypto-officer@hostname:fips# uthibitishaji wa usalama wa papo hapo-key-chains key-chain macseckc1 ufunguo 5 siri Keki mpya (siri): Chapa upya keki mpya (siri):
    crypto-officer@hostname:fips# uthibitishaji wa usalama wa haraka-key-chains key-chain macseckc1 ufunguo 6 siri Keki mpya (siri):
    Chapa keki mpya (siri):
    crypto-officer@hostname:fips# uthibitishaji wa usalama wa haraka-key-chains key-chain macseckc1 ufunguo 7 siri Keki mpya (siri):
    Chapa keki mpya (siri):
  3. Husisha jina la mnyororo wa vitufe ulioshirikiwa awali na uhusiano wa muunganisho.
    [hariri] crypto-officer@jina la mwenyeji:fips# weka muunganisho wa usalama wa macsec-chama cha CA1 kilichoshirikiwa awali- mnyororo wa ufunguo macsec-kc1
    crypto-officer@hostname:fips# set security macsec connectivity-association CA1 offset 50 crypto-officer@hostname:fips# set security macsec connectivity-association CA1 cipher-suite gcm-aes-256
  4. Weka maadili ya chaguo la ufuatiliaji.
    [hariri] crypto-officer@hostname:fips# weka ufuatiliaji wa macsec ya usalama file MACsec.log crypto-officer@hostname:fips# weka ufuatiliaji wa macsec ya usalama file saizi 4000000000 crypto-officer@hostname:fips# weka alama za ufuatiliaji wa usalama wa macsec zote
  5. Agiza ufuatiliaji kwa kiolesura.
    [hariri] crypto-officer@jina la mwenyeji:fips# weka violesura vya usalama vya macsec violesura vya ufuatiliaji wa jina file mka_xe saizi 1g crypto-officer@jina la mwenyeji:fips# weka violesura vya usalama vya macsec kiolesura-jina alama za ufuatiliaji zote
  6. Sanidi modi ya usalama ya MACsec kama static-cak kwa muunganisho wa muunganisho.
    [hariri] crypto-officer@hostname:fips# weka muunganisho wa usalama wa macsec-chama cha CA1 hali ya usalama tuli-cak
  7. Weka kipaumbele cha seva muhimu ya MKA.
    [hariri] crypto-officer@hostname:fips# weka muunganisho wa usalama wa macsec-chama cha CA1 mka keyserver-kipaumbele 1
  8. Weka muda wa kusambaza wa MKA.
    [hariri] crypto-officer@hostname:fips# set security macsec connectivity-chama cha CA1 mka transmitinterval 3000
  9. Washa usalama wa MKA.
    [hariri] crypto-officer@hostname:fips# set security macsec connectivity-chama cha CA1 include-sci
  10. Agiza uhusiano wa muunganisho kwa kiolesura.
    [hariri] crypto-officer@jina la mwenyeji:fips# weka violesura vya kiolesura cha kiolesura-jinachamaisha
    CA1
    crypto-officer@hostname:fips# seti ya violesura-jina kitengo 0 anwani ya ajizi ya familia 10.1.1.2/24

Inasanidi MACsec Tuli kwa Trafiki ya Tabaka la 2
Ili kusanidi MACsec tuli ya trafiki ya Tabaka la 2 kati ya kifaa R0 na kifaa R1:
Katika R0:

  1. Weka kipaumbele cha seva muhimu ya MKA.
    [hariri] crypto-officer@hostname:fips# weka muunganisho wa usalama wa macsec-chama cha CA1 mka muhimu seva-kipaumbele 1
  2. Unda nenosiri la siri la kutumia. Ni mfuatano wa tarakimu za heksadesimali hadi urefu wa vibambo 64. Nenosiri linaweza kujumuisha nafasi ikiwa mfuatano wa herufi umefungwa katika alama za nukuu. Data ya siri ya keychain inatumika kama CAK.
    [hariri] crypto-officer@hostname:fips# uthibitishaji wa usalama wa haraka-key-chains key-chain macseckc1 ufunguo 0 siri Keki mpya (siri):
    Chapa keki mpya (siri):
    Kwa mfanoample, dhamana ya ufunguo wa siri ni 2345678922334455667788992223334123456789223344556677889922233341.
  3. Husisha jina la mnyororo wa vitufe ulioshirikiwa awali na uhusiano wa muunganisho. [hariri] crypto-officer@hostname:fips# weka usalama wa macsec muunganisho-chama cha CA1 kabla ya kushirikiwa key-chain macsec-kc1 crypto-officer@jina mwenyeji:fips# kuweka usalama macsec muunganisho-chama CA1 kukabiliana 50 crypto-officer@jina mwenyeji:fips # weka muunganisho wa usalama wa macsec-chama cha CA1 cipher-suite gcm-aes-256
  4. Weka maadili ya chaguo la ufuatiliaji. [hariri] crypto-officer@hostname:fips# weka ufuatiliaji wa macsec wa usalama file MACsec.log crypto-officer@hostname:fips# weka ufuatiliaji wa macsec ya usalama file saizi 4000000000 crypto-officer@hostname:fips# weka alama za ufuatiliaji wa usalama wa macsec zote
  5. Agiza ufuatiliaji kwa kiolesura. [hariri] crypto-officer@jina la mwenyeji:fips# weka violesura vya usalama vya macsec violesura vya ufuatiliaji wa jina file mka_xe saizi 1g crypto-officer@jina la mwenyeji:fips# weka violesura vya usalama vya macsec kiolesura-jina alama za ufuatiliaji zote
  6. Sanidi modi ya usalama ya MACsec kama static-cak kwa muunganisho wa muunganisho.
    [hariri] crypto-officer@hostname:fips# weka muunganisho wa usalama wa macsec-chama cha CA1 hali ya usalama tuli-cak
  7. Weka kipaumbele cha seva muhimu ya MKA. [hariri] crypto-officer@hostname:fips# weka muunganisho wa usalama wa macsec-chama cha CA1 mka muhimu seva-kipaumbele 1
  8. Weka muda wa kusambaza wa MKA.
    [hariri] crypto-officer@hostname:fips# set security macsec connectivity-chama cha CA1 mka transmitinterval 3000
  9. Washa usalama wa MKA.
    [hariri] crypto-officer@hostname:fips# set security macsec connectivity-chama cha CA1 include-sci
  10. Agiza uhusiano wa muunganisho kwa kiolesura.
    [hariri] crypto-officer@jina la mwenyeji:fips# weka violesura vya kiolesura cha kiolesura-jinachamaisha
    CA1
  11. Sanidi VLAN tagkuungua.
    [hariri] crypto-officer@jina la mwenyeji:fips# seti violesura-jina1 flexible-vlan-tagging
    crypto-officer@jina la mwenyeji:fips# seti violesura vya kiolesura-jina1 usimbaji-huduma zinazonyumbulika za Ethernet
    crypto-officer@hostname:fips#
    weka violesura vya kiolesura-jina1 kitengo 100 usimbaji vlanbridge
    crypto-officer@hostname:fips#
    weka miingiliano ya kiolesura-jina1 kitengo 100 vlan-id 100
    crypto-officer@jina la mwenyeji:fips# seti violesura-jina2 flexible-vlan-tagging
    crypto-officer@jina la mwenyeji:fips# seti violesura vya kiolesura-jina2 usimbaji-huduma zinazonyumbulika za Ethernet
    crypto-officer@hostname:fips#
    weka violesura vya kiolesura-jina2 kitengo 100 usimbaji vlanbridge
    crypto-officer@hostname:fips#
    weka miingiliano ya kiolesura-jina2 kitengo 100 vlan-id 100
  12. Sanidi kikoa cha daraja.
    [hariri] crypto-officer@hostname:fips# set bridge-domains BD-110 domain-aina ya daraja
    crypto-officer@hostname:fips# set bridge-domains BD-110 vlan-id 100
    crypto-officer@hostname:fips# set bridge-domains BD-110 interface-name1 100
    crypto-officer@hostname:fips# set bridge-domains BD-110 interface-name2 100

Katika R1:

  1. Unda nenosiri la siri la kutumia. Ni mfuatano wa tarakimu za heksadesimali hadi urefu wa vibambo 64. The
    nenosiri linaweza kujumuisha nafasi ikiwa mfuatano wa herufi umefungwa katika alama za nukuu. Keychain ya
    data ya siri inatumika kama CAK.
    [hariri] crypto-officer@hostname:fips# uthibitishaji wa usalama wa haraka-key-chains key-chain macseckc1 ufunguo 0 siri
    Keki mpya
    (siri):
    Andika tena keki mpya
    (siri):
    Kwa mfanoample, dhamana ya ufunguo wa siri ni
    2345678922334455667788992223334123456789223344556677889922233341.
  2. Husisha jina la mnyororo wa vitufe ulioshirikiwa awali na uhusiano wa muunganisho.
    [hariri] crypto-officer@hostname:fips# weka muunganisho wa usalama wa macsec-chama cha CA1 kabla ya mnyororo wa ufunguo ulioshirikiwa.
    macsec-kc1 crypto-officer@jina la mwenyeji:fips#
    weka muunganisho wa usalama wa macsec-chama cha CA1 kukabiliana na 50
    crypto-officer@hostname:fips# set security macsec connectivity-association CA1 cipher-suite gcm-aes-256
  3. Weka maadili ya chaguo la ufuatiliaji.
    [hariri] crypto-officer@hostname:fips# weka ufuatiliaji wa macsec ya usalama file MACsec.log
    crypto-officer@hostname:fips# weka ufuatiliaji wa macsec ya usalama file ukubwa 4000000000
    crypto-officer@hostname:fips# seti usalama wa macsec traceoptions zote
  4. Agiza ufuatiliaji kwa kiolesura.
    [hariri] crypto-officer@jina la mwenyeji:fips# weka violesura vya usalama vya macsec violesura vya ufuatiliaji wa jina file mka_xe ukubwa 1g
    crypto-officer@jina la mwenyeji:fips# weka violesura vya usalama vya macsec violesura vya ufuatiliaji wa jina
    bendera zote
  5. Sanidi modi ya usalama ya MACsec kama static-cak kwa muunganisho wa muunganisho.
    [hariri] crypto-officer@hostname:fips# weka muunganisho wa usalama wa macsec-chama cha usalama mode ya CA1
    tuli-cak
  6. Weka kipaumbele cha seva muhimu ya MKA.
    [hariri] crypto-officer@jina la mwenyeji:fips# weka muunganisho wa usalama wa macsec-chama cha CA1 mka muhimu seva-kipaumbele 1
  7. Weka muda wa kusambaza wa MKA.
    [hariri] crypto-officer@jina la mwenyeji:fips# weka muunganisho wa usalama wa macsec-chama cha CA1 mka transmitinterval
    3000
  8. Washa usalama wa MKA.
    [hariri] crypto-officer@hostname:fips# set security macsec connectivity-chama cha CA1 include-sci
  9. Agiza uhusiano wa muunganisho kwa kiolesura.
    [hariri] crypto-officer@jina la mwenyeji:fips# weka violesura vya usalama vya macsec vya kiolesura-jina muunganishochama cha CA1
  10. Sanidi VLAN tagkuungua.
    [hariri] crypto-officer@jina la mwenyeji:fips# seti violesura-jina1 flexible-vlan-tagging
    crypto-officer@jina la mwenyeji:fips# seti violesura vya kiolesura-jina1 usimbaji-huduma zinazonyumbulika za Ethernet
    crypto-officer@hostname:fips# seti violesura vya kiolesura-jina1 kitengo 100 encapsulation vlanbridge
    crypto-officer@hostname:fips#
    weka miingiliano ya kiolesura-jina1 kitengo 100 vlan-id 100
    crypto-officer@jina la mwenyeji:fips# seti violesura-jina2 flexible-vlan-tagging
    crypto-officer@jina la mwenyeji:fips# seti violesura vya kiolesura-jina2 usimbaji-huduma zinazonyumbulika za Ethernet
    crypto-officer@hostname:fips#
    weka violesura vya kiolesura-jina2 kitengo 100 usimbaji vlanbridge
    crypto-officer@hostname:fips#
    weka miingiliano ya kiolesura-jina2 kitengo 100 vlan-id 100
  11. Sanidi kikoa cha daraja.
    [hariri] crypto-officer@hostname:fips# set bridge-domains BD-110 domain-aina ya daraja
    crypto-officer@hostname:fips# set bridge-domains BD-110 vlan-id 100
    crypto-officer@hostname:fips# set bridge-domains BD-110 interface-name1 100
    crypto-officer@hostname:fips# set bridge-domains BD-110 interface-name2 100

Inasanidi MACsec na mnyororo wa vitufe kwa Trafiki ya Tabaka la 2

Ili kusanidi MACsec na mnyororo wa vitufe kwa trafiki ya ICMP kati ya kifaa R0 na kifaa R1:
Katika R0:

  1. Weka thamani ya uvumilivu kwa msururu wa vitufe vya uthibitishaji.
    [hariri] crypto-officer@hostname:fips# weka uthibitishaji wa usalama-key-chains key-chain macsec-kc1 tolerance 20
  2. Unda nenosiri la siri la kutumia. Ni mfuatano wa tarakimu za heksadesimali hadi urefu wa vibambo 64. Nenosiri linaweza kujumuisha nafasi ikiwa mfuatano wa herufi umefungwa katika alama za nukuu. Data ya siri ya keychain inatumika kama CAK.
    [hariri] crypto-officer@hostname:fips# weka uthibitishaji wa usalama-key-chains key-chain macsec-kc1
    ufunguo 0 jina la ufunguo 2345678922334455667788992223334445556667778889992222333344445551
    crypto-officer@hostname:fips# weka uthibitishaji wa usalama-key-chains key-chain macsec-kc1
    muhimu 0 wakati wa kuanza 2018-03-20.20:35
    crypto-officer@hostname:fips# weka uthibitishaji wa usalama-key-chains key-chain macsec-kc1
    ufunguo 1 jina la ufunguo 2345678922334455667788992223334445556667778889992222333344445552
    crypto-officer@hostname:fips# weka uthibitishaji wa usalama-key-chains key-chain macsec-kc1
    muhimu 1 wakati wa kuanza 2018-03-20.20:37
    crypto-officer@hostname:fips# weka uthibitishaji wa usalama-key-chains key-chain macsec-kc1
    ufunguo 2 jina la ufunguo 2345678922334455667788992223334445556667778889992222333344445553
    crypto-officer@hostname:fips# weka uthibitishaji wa usalama-key-chains key-chain macsec-kc1
    muhimu 2 wakati wa kuanza 2018-03-20.20:39
    crypto-officer@hostname:fips# weka uthibitishaji wa usalama-key-chains key-chain macsec-kc1
    ufunguo 3 jina la ufunguo 2345678922334455667788992223334445556667778889992222333344445554
    crypto-officer@hostname:fips# weka uthibitishaji wa usalama-key-chains key-chain macsec-kc1
    muhimu 3 wakati wa kuanza 2018-03-20.20:41
    crypto-officer@hostname:fips# weka uthibitishaji wa usalama-key-chains key-chain macsec-kc1
    ufunguo 4 jina la ufunguo 2345678922334455667788992223334445556667778889992222333344445555
    crypto-officer@hostname:fips# weka uthibitishaji wa usalama-key-chains key-chain macsec-kc1
    muhimu 4 wakati wa kuanza 2018-03-20.20:43
    crypto-officer@hostname:fips# weka uthibitishaji wa usalama-key-chains key-chain macsec-kc1
    ufunguo 5 jina la ufunguo 2345678922334455667788992223334445556667778889992222333344445556
    crypto-officer@hostname:fips# weka uthibitishaji wa usalama-key-chains key-chain macsec-kc1
    muhimu 5 wakati wa kuanza 2018-03-20.20:45
    crypto-officer@hostname:fips# weka uthibitishaji wa usalama-key-chains key-chain macsec-kc1
    ufunguo 6 jina la ufunguo 2345678922334455667788992223334445556667778889992222333344445557
    crypto-officer@hostname:fips# weka uthibitishaji wa usalama-key-chains key-chain macsec-kc1
    muhimu 6 wakati wa kuanza 2018-03-20.20:47
    crypto-officer@hostname:fips# weka uthibitishaji wa usalama-key-chains key-chain macsec-kc1
    ufunguo 7 jina la ufunguo 2345678922334455667788992223334445556667778889992222333344445558
    crypto-officer@hostname:fips# weka uthibitishaji wa usalama-key-chains key-chain macsec-kc1
    muhimu 7 wakati wa kuanza 2018-03-20.20:49
    Tumia amri ya haraka kuingiza thamani ya ufunguo wa siri. Kwa mfanoample, dhamana ya ufunguo wa siri ni
    2345678922334455667788992223334123456789223344556677889922233341.
    [hariri] crypto-officer@hostname:fips# uthibitishaji wa usalama wa haraka-key-chains key-chain macseckc1 ufunguo 0 siri
    Keki mpya
    (siri):
    Andika tena keki mpya
    (siri):
    crypto-officer@hostname:fips#
    uthibitishaji wa haraka wa uthibitishaji-ufunguo-minyororo ya ufunguo-mnyororo wa macseckc1 ufunguo 1 wa siri
    Keki mpya
    (siri):
    Andika tena keki mpya
    (siri):
    crypto-officer@hostname:fips# uthibitishaji wa usalama wa haraka-key-chains key-chain macseckc1 key 2 secret
    Keki mpya
    (siri):
    Andika tena keki mpya
    (siri):
    crypto-officer@hostname:fips#
    uthibitishaji wa haraka wa uthibitishaji-ufunguo-minyororo ya ufunguo-mnyororo wa macseckc1 ufunguo 3 wa siri
    Keki mpya
    (siri):
    Andika tena keki mpya
    (siri):
    crypto-officer@hostname:fips#
    uthibitishaji wa haraka wa uthibitishaji-ufunguo-minyororo ya ufunguo-mnyororo wa macseckc1 ufunguo 4 wa siri
    Keki mpya
    (siri):
    Andika tena keki mpya
    (siri):
    crypto-officer@hostname:fips#
    uthibitishaji wa haraka wa uthibitishaji-ufunguo-minyororo ya ufunguo-mnyororo wa macseckc1 ufunguo 5 wa siri
    Keki mpya
    (siri):
    Andika tena keki mpya
    (siri):
    crypto-officer@hostname:fips#
    uthibitishaji wa haraka wa uthibitishaji-ufunguo-minyororo ya ufunguo-mnyororo wa macseckc1 ufunguo 6 wa siri
    Keki mpya
    (siri):
    Andika tena keki mpya
    (siri):
    crypto-officer@hostname:fips#
    uthibitishaji wa haraka wa uthibitishaji-ufunguo-minyororo ya ufunguo-mnyororo wa macseckc1 ufunguo 7 wa siri
    Keki mpya
    (siri):
    Andika tena keki mpya
    (siri):
  3. Husisha jina la mnyororo wa vitufe ulioshirikiwa awali na uhusiano wa muunganisho.
    [hariri] crypto-officer@hostname:fips# weka muunganisho wa usalama wa macsec-chama cha CA1 kabla ya mnyororo wa ufunguo ulioshirikiwa.
    macsec-kc1
    crypto-officer@hostname:fips#
    weka muunganisho wa usalama wa macsec-chama cha CA1 cipher-suite
    gcm-aes-256
  4. Weka maadili ya chaguo la ufuatiliaji.
    [hariri] crypto-officer@hostname:fips# weka ufuatiliaji wa macsec ya usalama file MACsec.log
    crypto-officer@hostname:fips# weka ufuatiliaji wa macsec ya usalama file ukubwa 4000000000
    crypto-officer@hostname:fips# seti usalama wa macsec traceoptions zote
  5.  Agiza ufuatiliaji kwa kiolesura.
    [hariri] crypto-officer@jina la mwenyeji:fips# weka violesura vya usalama vya macsec violesura vya ufuatiliaji wa jina
    file mka_xe ukubwa 1g
    crypto-officer@jina la mwenyeji:fips# weka violesura vya usalama vya macsec violesura vya ufuatiliaji wa jina
    bendera zote
  6. Sanidi modi ya usalama ya MACsec kama static-cak kwa muunganisho wa muunganisho.
    [hariri] crypto-officer@hostname:fips# weka muunganisho wa usalama wa macsec-chama cha usalama mode ya CA1
    tuli-cak
  7. Weka kipaumbele cha seva muhimu ya MKA.
    [hariri] crypto-officer@jina la mwenyeji:fips# weka muunganisho wa usalama wa macsec-chama cha CA1 mka muhimu seva-kipaumbele 1
  8. Weka muda wa kusambaza wa MKA.
    [hariri] crypto-officer@jina la mwenyeji:fips# weka muunganisho wa usalama wa macsec-chama cha CA1 mka transmitinterval
    3000
  9. Washa usalama wa MKA.
    [hariri] crypto-officer@hostname:fips# set security macsec connectivity-chama cha CA1 include-sci
  10. Agiza uhusiano wa muunganisho kwa kiolesura.
    [hariri] crypto-officer@jina la mwenyeji:fips# weka violesura vya kiolesura cha kiolesura-jinachamaisha
    CA1
  11. Sanidi VLAN tagkuungua.
    [hariri] crypto-officer@jina la mwenyeji:fips# seti violesura-jina1 flexible-vlan-tagging
    crypto-officer@hostname:fips# seti violesura vya kiolesura-jina1 ufungaji huduma flexibleethernet-services
    crypto-officer@hostname:fips#
    weka violesura vya kiolesura-jina1 kitengo 100 usimbaji vlanbridge
    crypto-officer@hostname:fips#
    weka miingiliano ya kiolesura-jina1 kitengo 100 vlan-id 100
    crypto-officer@jina la mwenyeji:fips# seti violesura-jina2 flexible-vlan-tagging
    crypto-officer@hostname:fips# seti violesura vya kiolesura-jina2 ufungaji huduma flexibleethernet-services
    crypto-officer@hostname:fips#
    weka violesura vya kiolesura-jina2 kitengo 100 usimbaji vlanbridge
    crypto-officer@hostname:fips#
    weka miingiliano ya kiolesura-jina2 kitengo 100 vlan-id 100
  12.  Sanidi kikoa cha daraja.
    [hariri] crypto-officer@hostname:fips# set bridge-domains BD-110 domain-aina ya daraja
    crypto-officer@hostname:fips# set bridge-domains BD-110 vlan-id 100
    crypto-officer@hostname:fips# set bridge-domains BD-110 interface-name1 100
    crypto-officer@hostname:fips# set bridge-domains BD-110 interface-name2 100

Katika R1:

  1. Weka thamani ya uvumilivu kwa msururu wa vitufe vya uthibitishaji.
    [hariri] crypto-officer@hostname:fips# weka uthibitishaji wa usalama-key-chains key-chain macsec-kc1 tolerance 20
  2. Unda nenosiri la siri la kutumia. Ni mfuatano wa tarakimu za heksadesimali hadi urefu wa vibambo 64. Nenosiri linaweza kujumuisha nafasi ikiwa mfuatano wa herufi umefungwa katika alama za nukuu. Data ya siri ya keychain inatumika kama CAK.
    [hariri] crypto-officer@hostname:fips# weka uthibitishaji wa usalama-key-chains key-chain macsec-kc1
    ufunguo 0 jina la ufunguo 2345678922334455667788992223334445556667778889992222333344445551
    crypto-officer@hostname:fips# weka uthibitishaji wa usalama-key-chains key-chain macsec-kc1
    muhimu 0 wakati wa kuanza 2018-03-20.20:35
    crypto-officer@hostname:fips# weka uthibitishaji wa usalama-key-chains key-chain macsec-kc1
    ufunguo 1 jina la ufunguo 2345678922334455667788992223334445556667778889992222333344445552
    crypto-officer@hostname:fips# weka uthibitishaji wa usalama-key-chains key-chain macsec-kc1
    muhimu 1 wakati wa kuanza 2018-03-20.20:37
    crypto-officer@hostname:fips# weka uthibitishaji wa usalama-key-chains key-chain macsec-kc1
    ufunguo 2 jina la ufunguo 2345678922334455667788992223334445556667778889992222333344445553
    crypto-officer@hostname:fips# weka uthibitishaji wa usalama-key-chains key-chain macsec-kc1
    muhimu 2 wakati wa kuanza 2018-03-20.20:39
    crypto-officer@hostname:fips# weka uthibitishaji wa usalama-key-chains key-chain macsec-kc1
    ufunguo 3 jina la ufunguo 2345678922334455667788992223334445556667778889992222333344445554
    crypto-officer@hostname:fips# weka uthibitishaji wa usalama-key-chains key-chain macsec-kc1
    muhimu 3 wakati wa kuanza 2018-03-20.20:41
    crypto-officer@hostname:fips# weka uthibitishaji wa usalama-key-chains key-chain macsec-kc1
    ufunguo 4 jina la ufunguo 2345678922334455667788992223334445556667778889992222333344445555
    crypto-officer@hostname:fips# weka uthibitishaji wa usalama-key-chains key-chain macsec-kc1
    muhimu 4 wakati wa kuanza 2018-03-20.20:43
    crypto-officer@hostname:fips# weka uthibitishaji wa usalama-key-chains key-chain macsec-kc1
    ufunguo 5 jina la ufunguo 2345678922334455667788992223334445556667778889992222333344445556
    crypto-officer@hostname:fips# weka uthibitishaji wa usalama-key-chains key-chain macsec-kc1
    muhimu 5 wakati wa kuanza 2018-03-20.20:45
    crypto-officer@hostname:fips# weka uthibitishaji wa usalama-key-chains key-chain macsec-kc1
    ufunguo 6 jina la ufunguo 2345678922334455667788992223334445556667778889992222333344445557
    crypto-officer@hostname:fips# weka uthibitishaji wa usalama-key-chains key-chain macsec-kc1
    muhimu 6 wakati wa kuanza 2018-03-20.20:47
    crypto-officer@hostname:fips# weka uthibitishaji wa usalama-key-chains key-chain macsec-kc1
    ufunguo 7 jina la ufunguo 2345678922334455667788992223334445556667778889992222333344445558
    crypto-officer@hostname:fips# weka uthibitishaji wa usalama-key-chains key-chain macsec-kc1
    muhimu 7 wakati wa kuanza 2018-03-20.20:49
    Tumia amri ya haraka kuingiza thamani ya ufunguo wa siri. Kwa mfanoample, dhamana ya ufunguo wa siri ni
    2345678922334455667788992223334123456789223344556677889922233341.
    [hariri] crypto-officer@hostname:fips# uthibitishaji wa usalama wa haraka-key-chains key-chain macseckc1 ufunguo 0 siri
    Keki mpya
    (siri):
    Andika tena keki mpya
    (siri):
    crypto-officer@hostname:fips#
    uthibitishaji wa haraka wa uthibitishaji-ufunguo-minyororo ya ufunguo-mnyororo wa macseckc1 ufunguo 1 wa siri
    Keki mpya
    (siri):
    Chapa keki mpya (siri):
    crypto-officer@hostname:fips# uthibitishaji wa usalama wa haraka-key-chains key-chain macseckc1 key 2 secret
    Keki mpya
    (siri):
    Andika tena keki mpya
    (siri):
    crypto-officer@hostname:fips#
    uthibitishaji wa haraka wa uthibitishaji-ufunguo-minyororo ya ufunguo-mnyororo wa macseckc1 ufunguo 3 wa siri
    Keki mpya
    (siri):
    Andika tena keki mpya
    (siri):
    crypto-officer@hostname:fips#
    uthibitishaji wa haraka wa uthibitishaji-ufunguo-minyororo ya ufunguo-mnyororo wa macseckc1 ufunguo 4 wa siri
    Keki mpya
    (siri):
    Andika tena keki mpya
    (siri):
    crypto-officer@hostname:fips#
    uthibitishaji wa haraka wa uthibitishaji-ufunguo-minyororo ya ufunguo-mnyororo wa macseckc1 ufunguo 5 wa siri
    Keki mpya
    (siri):
    Andika tena keki mpya
    (siri):
    crypto-officer@hostname:fips#
    uthibitishaji wa haraka wa uthibitishaji-ufunguo-minyororo ya ufunguo-mnyororo wa macseckc1 ufunguo 6 wa siri
    Keki mpya
    (siri):
    Andika tena keki mpya
    (siri):
    crypto-officer@hostname:fips#
    uthibitishaji wa haraka wa uthibitishaji-ufunguo-minyororo ya ufunguo-mnyororo wa macseckc1 ufunguo 7 wa siri
    Keki mpya
    (siri):
    Chapa keki mpya (siri):
  3. Husisha jina la mnyororo wa vitufe ulioshirikiwa awali na uhusiano wa muunganisho.
    [hariri] crypto-officer@hostname:fips# weka muunganisho wa usalama wa macsec-chama cha CA1 kabla ya mnyororo wa ufunguo ulioshirikiwa.
    macsec-kc1
    crypto-officer@hostname:fips#
    weka muunganisho wa usalama wa macsec-chama cha CA1 cipher-suite
    gcm-aes-256
  4. Weka maadili ya chaguo la ufuatiliaji.
    [hariri] crypto-officer@hostname:fips# weka ufuatiliaji wa macsec ya usalama file MACsec.log
    crypto-officer@hostname:fips# weka ufuatiliaji wa macsec ya usalama file ukubwa 4000000000
    crypto-officer@hostname:fips# seti usalama wa macsec traceoptions zote
  5. Agiza ufuatiliaji kwa kiolesura.
    [hariri] crypto-officer@jina la mwenyeji:fips# weka violesura vya usalama vya macsec violesura vya ufuatiliaji wa jina
    file mka_xe ukubwa 1g
    crypto-officer@jina la mwenyeji:fips# weka violesura vya usalama vya macsec violesura vya ufuatiliaji wa jina
    bendera zote
  6. Sanidi modi ya usalama ya MACsec kama static-cak kwa muunganisho wa muunganisho.
    [hariri] crypto-officer@hostname:fips# weka muunganisho wa usalama wa macsec-chama cha usalama mode ya CA1
    tuli-cak
  7. Weka kipaumbele cha seva muhimu ya MKA.
    [hariri] crypto-officer@hostname:fips# weka muunganisho wa usalama wa macsec-chama cha CA1 mka keyserver-kipaumbele
  8. Weka muda wa kusambaza wa MKA.
    [hariri] crypto-officer@jina la mwenyeji:fips# weka muunganisho wa usalama wa macsec-chama cha CA1 mka transmitinterval
    3000
  9. Washa usalama wa MKA.
    [hariri] crypto-officer@hostname:fips# set security macsec connectivity-chama cha CA1 include-sci
  10. Agiza uhusiano wa muunganisho kwa kiolesura.
    [hariri] crypto-officer@jina la mwenyeji:fips# weka violesura vya kiolesura cha kiolesura-jinachamaisha
    CA1
  11. Sanidi VLAN tagkuungua.
    [hariri] crypto-officer@jina la mwenyeji:fips# seti violesura-jina1 flexible-vlan-tagging
    crypto-officer@hostname:fips# seti violesura vya kiolesura-jina1 ufungaji huduma flexibleethernet-services
    crypto-officer@hostname:fips#
    weka violesura vya kiolesura-jina1 kitengo 100 usimbaji vlanbridge
    crypto-officer@hostname:fips#
    weka miingiliano ya kiolesura-jina1 kitengo 100 vlan-id 100
    crypto-officer@jina la mwenyeji:fips# seti violesura-jina2 flexible-vlan-tagging
    crypto-officer@jina la mwenyeji:fips# seti violesura vya kiolesura-jina2 usimbaji-huduma zinazonyumbulika za Ethernet
    crypto-officer@hostname:fips#
    weka violesura vya kiolesura-jina2 kitengo 100 usimbaji vlanbridge
    crypto-officer@hostname:fips#
    weka miingiliano ya kiolesura-jina2 kitengo 100 vlan-id 100
  12. Sanidi kikoa cha daraja.
    [hariri] crypto-officer@hostname:fips# set bridge-domains BD-110 domain-aina ya daraja
    crypto-officer@hostname:fips# set bridge-domains BD-110 vlan-id 100
    crypto-officer@hostname:fips# set bridge-domains BD-110 interface-name1 100
    crypto-officer@hostname:fips# set bridge-domains BD-110 interface-name2 100

Inasanidi Uwekaji kumbukumbu za Tukio

Uwekaji Magogo wa Tukioview
Mipangilio iliyotathminiwa inahitaji ukaguzi wa mabadiliko ya usanidi kupitia kumbukumbu ya mfumo.
Kwa kuongeza, Junos OS inaweza:

  • Tuma majibu ya kiotomatiki kwa matukio ya ukaguzi (uundaji wa ingizo la syslog).
  • Ruhusu wasimamizi walioidhinishwa kuchunguza kumbukumbu za ukaguzi.
  • Tuma ukaguzi files kwa seva za nje.
  • Ruhusu wasimamizi walioidhinishwa kurudisha mfumo kwa hali inayojulikana.

Kuweka kumbukumbu kwa usanidi uliotathminiwa lazima kunasa matukio yafuatayo:

  • Mabadiliko ya data ya siri katika usanidi.
  • Mabadiliko yaliyowekwa.
  • Ingia/toka kwa watumiaji.
  • Kuanzisha mfumo.
  • Imeshindwa kuanzisha kipindi cha SSH.
  • Kuanzishwa/kukomeshwa kwa kipindi cha SSH.
  • Mabadiliko ya wakati (mfumo).
  • Kukomesha kikao cha mbali kwa utaratibu wa kufunga kipindi.
  • Kukomesha kikao cha mwingiliano.

Kwa kuongezea, Mitandao ya Juniper inapendekeza kwamba ukataji miti pia:

  • Nasa mabadiliko yote kwenye usanidi.
  • Hifadhi maelezo ya kumbukumbu kwa mbali.

Inasanidi Kuingia kwa Tukio kwa Karibu Nawe File
Unaweza kusanidi uhifadhi wa taarifa za ukaguzi kwa wenyeji file na taarifa ya syslog. Ex huyuamphuhifadhi kumbukumbu katika a file iliyoitwa Ukaguzi-File:
[hariri mfumo] syslog {
file Ukaguzi-File;
}
Kutafsiri Ujumbe wa Tukio
Matokeo yafuatayo yanaonyesha sampna ujumbe wa tukio.
Feb 27 02:33:04 bm-a mgd[6520]: UI_LOGIN_EVENT: Kuingia kwa mtumiaji ‘afisa-usalama’, darasa la ‘j-superuser’
[6520],
ssh-connection ”, hali ya mteja
'cli'
Feb 27 02:33:49 bm-a mgd[6520]: UI_DBASE_LOGIN_EVENT: Mtumiaji ‘afisa usalama’ anaingiza mipangilio
hali
Feb 27 02:38:29 bm-a mgd[6520]: UI_CMDLINE_READ_LINE: Mtumiaji ‘afisa-usalama’, amri ‘endesha onyesho
logi
Rekodi ya ukaguzi | grep INGIA
Jedwali 4 kwenye ukurasa wa 69 inaelezea sehemu za ujumbe wa tukio. Ikiwa shirika la uwekaji kumbukumbu la mfumo haliwezi kubainisha thamani katika sehemu fulani, kistari ( - ) huonekana badala yake.
Jedwali la 4: Sehemu katika Ujumbe wa Tukio

Shamba Maelezo Exampchini
nyakatiamp Wakati ambapo ujumbe ulitolewa, katika mojawapo ya viwakilishi viwili:
•   MMM-DD HH:MM:SS.MS+/-HH:MM, ni mwezi, siku, saa, dakika, sekunde na milisekunde katika saa za ndani. Saa na dakika inayofuata ishara ya kujumlisha (+) au ishara ya kuondoa (-) ni mkato wa saa za eneo la ndani kutoka Saa za Coordinated Universal (UTC).
•   YYYY-MM-DDTHH:MM:SS.MSZ ni mwaka, mwezi, siku, saa, dakika, sekunde na milisekunde katika UTC.		  Feb 27 02:33:04 ndio saaamp imeonyeshwa  kama saa za ndani nchini Marekani.

2012-02-27T03:17:15.713Z is

2:33 AM UTC mnamo 27 Feb

2012.
jina la mwenyeji Jina la mpangishaji ambaye alitoa ujumbe huo.  kipanga njia 1
mchakato Jina la mchakato wa Junos OS ambao ulitoa ujumbe.  mgd
kitambulisho cha mchakato Kitambulisho cha mchakato cha UNIX (PID) cha mchakato wa Junos OS ambao ulitoa ujumbe.  4153
TAG Ujumbe wa kumbukumbu ya mfumo wa Junos OS tag, ambayo hutambulisha ujumbe kwa njia ya kipekee.  UI_DBASE_LOGOUT_EVENT
jina la mtumiaji Jina la mtumiaji la mtumiaji anayeanzisha tukio.  "admin"
ujumbe-maandishi Maelezo ya tukio kwa lugha ya Kiingereza.  seti: [siri ya mfumo wa radius-server 1.2.3.4]

Mabadiliko ya Kuingia kwa Data ya Siri
Wafuatao ni wa zamaniampkumbukumbu za ukaguzi wa matukio ambayo hubadilisha data ya siri. Wakati wowote kunapokuwa na badiliko katika ex ya usanidiampna, tukio la syslog linapaswa kunasa magogo hapa chini:
Julai 24 17:43:28 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: Seti ya 'msimamizi' wa mtumiaji:
[siri ya mfumo wa radius-server 1.2.3.4] Julai 24 17:43:28 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: Seti ya 'msimamizi' wa mtumiaji:
[uthibitishaji wa msimamizi wa mtumiaji wa kuingia kwenye mfumo] Julai 24 17:43:28 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: Seti ya ‘msimamizi’ wa mtumiaji:
[uthibitishaji wa mtumiaji wa kuingia kwa mfumo wa admin2 uliosimbwa-nenosiri] Kila wakati usanidi unasasishwa au kubadilishwa, syslog inapaswa kunasa kumbukumbu hizi:
Julai 24 18:29:09 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: Mtumiaji ‘msimamizi’ badilisha:
[siri ya mfumo wa radius-server 1.2.3.4] Julai 24 18:29:09 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: Mtumiaji ‘msimamizi’ badilisha:
[uthibitishaji wa msimamizi wa mtumiaji wa kuingia kwenye mfumo] Julai 24 18:29:09 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: Mtumiaji ‘msimamizi’ badilisha:
[uthibitishaji wa msimamizi wa mtumiaji wa kuingia kwenye mfumo] Kwa habari zaidi kuhusu kusanidi vigezo na logi ya kusimamia files, angalia Mfumo wa Uendeshaji wa Junos
Ingia Ujumbe Rejea.
Ingia na Toka Matukio Kwa Kutumia SSH
Ujumbe wa kumbukumbu za mfumo huzalishwa wakati wowote mtumiaji anapojaribu kufikia SSH kwa mafanikio au bila mafanikio. Matukio ya kuondoka pia yanarekodiwa. Kwa mfanoample, magogo yafuatayo ni matokeo ya majaribio mawili ya uthibitishaji yaliyoshindwa, kisha yaliyofaulu, na hatimaye kuondoka:
Des 20 23:17:35 bilbo sshd[16645]: Nenosiri lililoshindwa kwa op kutoka 172.17.58.45 bandari 1673 ssh2
Des 20 23:17:42 bilbo sshd[16645]: Nenosiri lililoshindwa kwa op kutoka 172.17.58.45 bandari 1673 ssh2
Des 20 23:17:53 bilbo sshd[16645]: Nenosiri lililokubaliwa la op kutoka 172.17.58.45 bandari 1673 ssh2
Des 20 23:17:53 bilbo mgd[16648]: UI_AUTH_EVENT: Mtumiaji aliyeidhinishwa ‘op’ katika kiwango cha ruhusa
'j-operator'
Des 20 23:17:53 bilbo mgd[16648]: UI_LOGIN_EVENT: Mtumiaji ‘op’ kuingia, darasa la ‘j-operator’ [16648] Des 20 23:17:56 bilbo mgd[16648]: UI_CMDLINE_READ_LINE: Mtumiaji ‘op’, amri ‘quit’
Des 20 23:17:56 bilbo mgd[16648]: UI_LOGOUT_EVENT: Kuondoka kwa mtumiaji ‘op’
Uwekaji kumbukumbu wa Uanzishaji wa Ukaguzi
Taarifa za ukaguzi zilizowekwa ni pamoja na kuanza kwa Junos OS. Hii nayo hubainisha matukio ya uanzishaji wa mfumo wa ukaguzi, ambao hauwezi kuzimwa au kuwezeshwa kwa kujitegemea. Kwa mfanoampna, ikiwa Junos OS imeanzishwa tena, logi ya ukaguzi ina habari ifuatayo:
Des 20 23:17:35 bilbo syslogd: inatoka kwa ishara 14
Des 20 23:17:35 bilbo syslogd: anzisha upya
Des 20 23:17:35 bilbo syslogd /kernel: Des 20 23:17:35 init: syslogd (PID 19128) ilitoka kwa
hali=1
Des 20 23:17:42 bilbo /kernel:
Des 20 23:17:53 init: syslogd (PID 19200) ilianza

Kufanya Majaribio ya Kibinafsi kwenye Kifaa

Kuelewa Majaribio ya Kibinafsi ya FIPS
Moduli ya kriptografia hutekeleza sheria za usalama ili kuhakikisha kuwa Mitandao ya Juniper Junos inafanya kazi
mfumo (Junos OS) katika hali ya FIPS inakidhi mahitaji ya usalama ya FIPS 140-2 Kiwango cha 1. Ili kuthibitisha
matokeo ya algoriti za kriptografia zilizoidhinishwa kwa FIPS na kupima uadilifu wa baadhi ya moduli za mfumo,
kifaa hufanya mfululizo ufuatao wa majaribio ya jibu yanayojulikana (KAT):

  • kernel_kats-KAT kwa utaratibu wa kriptografia ya kernel
  • md_kats—KAT kwa kiungo na libc
  • openssl_kats—KAT kwa utekelezaji wa kriptografia ya OpenSSL
  • quicksec_kats—KAT ya utekelezaji wa kriptografia ya QuickSec Toolkit
  •  ssh_ipsec_kats—KAT ya utekelezaji wa kriptografia ya Zana ya SSH IPsec
  • macsec_kats—KAT kwa utekelezaji wa kriptografia ya MACsec

Majaribio ya kibinafsi ya KAT hufanywa kiotomatiki wakati wa kuanza. Majaribio ya kibinafsi ya masharti pia hufanywa kiotomatiki ili kuthibitisha vifurushi vya programu vilivyotiwa saini kidijitali, nambari zilizotengenezwa nasibu, jozi za vitufe vya RSA na ECDSA, na vitufe vilivyoingizwa kwa mikono.
Ikiwa KAT zimekamilishwa kwa mafanikio, logi ya mfumo (syslog) file inasasishwa ili kuonyesha majaribio ambayo yalitekelezwa.
Ikiwa kuna kushindwa kwa KAT, kifaa kinaandika maelezo kwenye logi ya mfumo file, huingia katika hali ya hitilafu ya FIPS (hofu) na kuwasha upya.
The file onyesha /var/log/messages amri inaonyesha logi ya mfumo.
Unaweza pia kufanya jaribio la FIPS binafsi kwa kutoa ombi vmhost reboot amri. Unaweza kuona kumbukumbu za majaribio ya FIPS kwenye kiweko wakati mfumo unakuja.
Example: Sanidi Majaribio ya Kibinafsi ya FIPS
Ex huyuample inaonyesha jinsi ya kusanidi majaribio ya kibinafsi ya FIPS ili kufanya kazi mara kwa mara.
Mahitaji ya Vifaa na Programu

  • Lazima uwe na haki za usimamizi ili kusanidi majaribio ya FIPS binafsi.
  • Ni lazima kifaa kiwe kinaendesha toleo lililotathminiwa la Junos OS katika programu ya hali ya FIPS.

Zaidiview
Jaribio la kujipima la FIPS linajumuisha safu zifuatazo za majaribio ya majibu yanayojulikana (KATs):

  • kernel_kats-KAT kwa utaratibu wa kriptografia ya kernel
  • md_kats—KAT kwa libmd na libc
  • quicksec_kats—KAT ya utekelezaji wa kriptografia ya QuickSec Toolkit
  • openssl_kats—KAT kwa utekelezaji wa kriptografia ya OpenSSL
  • ssh_ipsec_kats—KAT ya utekelezaji wa kriptografia ya Zana ya SSH IPsec
  • macsec_kats—KAT kwa utekelezaji wa kriptografia ya MACsec
    Katika hii exampHata hivyo, jaribio la kujipima FIPS hutekelezwa saa 9:00 asubuhi katika Jiji la New York, Marekani, kila Jumatano.

KUMBUKA: Badala ya majaribio ya kila wiki, unaweza kusanidi majaribio ya kila mwezi kwa kujumuisha taarifa za mwezi na siku ya mwezi.
Wakati mtihani wa kujitegemea wa KAT unashindwa, ujumbe wa logi umeandikwa kwa ujumbe wa logi ya mfumo file na maelezo ya kushindwa kwa mtihani. Kisha mfumo unaogopa na kuanza tena.
Usanidi wa Haraka wa CLI
Ili kusanidi haraka hii example, nakili amri zifuatazo, uzibandike kwenye maandishi file, ondoa mapumziko yoyote ya laini, badilisha maelezo yoyote muhimu ili kulingana na usanidi wa mtandao wako, na kisha unakili na ubandike amri kwenye CLI katika kiwango cha [hariri] ngazi.
weka mfumo wa fips jipime mara kwa mara wakati wa kuanza 09:00
weka mfumo wa fips kujipima mara kwa mara siku ya wiki 3
Utaratibu wa Hatua kwa Hatua
Ili kusanidi jaribio la kujipima la FIPS, ingia kwenye kifaa ukitumia kitambulisho cha afisa wa crypto:

  1. Sanidi jaribio la kujipima la FIPS ili litekelezwe saa 9:00 asubuhi kila Jumatano.
    [hariri jaribio la kibinafsi la fips] crypto-officer@hostname:fips# weka muda wa kuanza mara kwa mara 09:00
    crypto-officer@hostname:fips# kuweka mara kwa mara siku ya wiki 3
  2. Ikiwa umemaliza kusanidi kifaa, fanya usanidi.
    [hariri jaribio la kibinafsi la fips] crypto-officer@hostname:fips# ahadi

Matokeo
Kutoka kwa hali ya usanidi, thibitisha usanidi wako kwa kutoa amri ya mfumo wa kuonyesha. Ikiwa pato halionyeshi usanidi uliokusudiwa, rudia maagizo katika ex hiiample kurekebisha usanidi.
crypto-officer@hostname:fips# show system
fips {
jipime {
mara kwa mara {
wakati wa kuanza "09:00";
siku ya wiki 3;
}
}
}

Uthibitishaji

Thibitisha kuwa usanidi unafanya kazi ipasavyo.
Inathibitisha Jaribio la Kibinafsi la FIPS

Kusudi
Thibitisha kuwa jaribio la kujipima la FIPS limewezeshwa.
Kitendo
Fanya jaribio la kujipima la FIPS wewe mwenyewe kwa kutoa amri ya kujijaribu ya mfumo wa ombi au washa kifaa upya.
Baada ya kutoa mfumo wa ombi fips amri ya kujijaribu au kuwasha upya kifaa, logi ya mfumo file inasasishwa ili kuonyesha KAT ambazo zinatekelezwa. Kwa view logi ya mfumo file, toleo la file onyesha /var/log/ ujumbe amri.
mtumiaji@mwenyeji# file onyesha /var/log/messages
RE KATS:
mgd: Kuendesha Majaribio ya Kibinafsi ya FIPS
mgd: Kujaribu kernel KATS:
mgd: NIST 800-90 HMAC DRBG Jaribio la Jibu Linalojulikana: Limefaulu
mgd: Jaribio la Jibu Linalojulikana la DES3-CBC: Limefaulu
mgd: HMAC-SHA1 Jaribio la Jibu Linalojulikana: Limefaulu
mgd: HMAC-SHA2-256 Jaribio la Jibu Linalojulikana: Limefaulu
mgd: SHA-2-384 Jaribio la Jibu Linalojulikana: Limefaulu
mgd: SHA-2-512 Jaribio la Jibu Linalojulikana: Limefaulu
mgd: Jaribio la Jibu Linalojulikana la AES128-CMAC: Limefaulu
mgd: Jaribio la Jibu Linalojulikana la AES-CBC: Limefaulu
mgd: Kujaribu MACSec KATS:
mgd: Jaribio la Jibu Linalojulikana la AES128-CMAC: Limefaulu
mgd: Jaribio la Jibu Linalojulikana la AES256-CMAC: Limefaulu
mgd: Jaribio la Jibu Linalojulikana la AES-ECB: Limepita
mgd: AES-KEYWRAP Jaribio la Jibu Linalojulikana: Limefaulu
mgd: Mtihani wa Jibu Linalojulikana la KBKDF: Umefaulu
mgd: Kujaribu libmd KATS:
mgd: HMAC-SHA1 Jaribio la Jibu Linalojulikana: Limefaulu
mgd: HMAC-SHA2-256 Jaribio la Jibu Linalojulikana: Limefaulu
mgd: SHA-2-512 Jaribio la Jibu Linalojulikana: Limefaulu
mgd: Kujaribu OpenSSL KATS:
mgd: NIST 800-90 HMAC DRBG Jaribio la Jibu Linalojulikana: Limefaulu
mgd: FIPS ECDSA Jaribio la Jibu Linalojulikana: Limefaulu
mgd: FIPS ECDH Jaribio la Jibu Linalojulikana: Imefaulu
mgd: FIPS RSA Jaribio la Jibu Linalojulikana: Limefaulu
mgd: Jaribio la Jibu Linalojulikana la DES3-CBC: Limefaulu
mgd: HMAC-SHA1 Jaribio la Jibu Linalojulikana: Limefaulu
mgd: HMAC-SHA2-224 Jaribio la Jibu Linalojulikana: Limefaulu
mgd: HMAC-SHA2-256 Jaribio la Jibu Linalojulikana: Limefaulu
mgd: HMAC-SHA2-384 Jaribio la Jibu Linalojulikana: Limefaulu
mgd: HMAC-SHA2-512 Jaribio la Jibu Linalojulikana: Limefaulu
mgd: Jaribio la Jibu Linalojulikana la AES-CBC: Limefaulu
mgd: Jaribio la Jibu Linalojulikana la AES-GCM: Limefaulu
mgd: Jaribio la Jibu Linalojulikana la ECDSA-SIGN: Limefaulu
mgd: KDF-IKE-V1 Jibu Linalojulikana Jaribio: Limefaulu
mgd: KDF-SSH-SHA256 Jibu Linalojulikana Jaribio: Limefaulu
mgd: KAS-ECC-EPHEM-UNIFIED-NOKC Jaribio Linalojulikana la Jibu: Umefaulu
mgd: KAS-FFC-EPHEM-NOKC Jibu Linalojulikana Mtihani: Umefaulu
mgd: Kujaribu QuickSec 7.0 KATS:
mgd: NIST 800-90 HMAC DRBG Jaribio la Jibu Linalojulikana: Limefaulu
mgd: Jaribio la Jibu Linalojulikana la DES3-CBC: Limefaulu
mgd: HMAC-SHA1 Jaribio la Jibu Linalojulikana: Limefaulu
mgd: HMAC-SHA2-224 Jaribio la Jibu Linalojulikana: Limefaulu
mgd: HMAC-SHA2-256 Jaribio la Jibu Linalojulikana: Limefaulu
mgd: HMAC-SHA2-384 Jaribio la Jibu Linalojulikana: Limefaulu
mgd: HMAC-SHA2-512 Jaribio la Jibu Linalojulikana: Limefaulu
mgd: Jaribio la Jibu Linalojulikana la AES-CBC: Limefaulu
mgd: Jaribio la Jibu Linalojulikana la AES-GCM: Limefaulu
mgd: SSH-RSA-ENC Jaribio la Jibu Linalojulikana: Limefaulu
mgd: SSH-RSA-SIGN Jaribio la Jibu Linalojulikana: Limefaulu
mgd: SSH-ECDSA-SIGN Jaribio la Jibu Linalojulikana: Limefaulu
mgd: KDF-IKE-V1 Jibu Linalojulikana Jaribio: Limefaulu
mgd: KDF-IKE-V2 Jibu Linalojulikana Jaribio: Limefaulu
mgd: Kujaribu QuickSec KATS:
mgd: NIST 800-90 HMAC DRBG Jaribio la Jibu Linalojulikana: Limefaulu
mgd: Jaribio la Jibu Linalojulikana la DES3-CBC: Limefaulu
mgd: HMAC-SHA1 Jaribio la Jibu Linalojulikana: Limefaulu
mgd: HMAC-SHA2-224 Jaribio la Jibu Linalojulikana: Limefaulu
mgd: HMAC-SHA2-256 Jaribio la Jibu Linalojulikana: Limefaulu
mgd: HMAC-SHA2-384 Jaribio la Jibu Linalojulikana: Limefaulu
mgd: HMAC-SHA2-512 Jaribio la Jibu Linalojulikana: Limefaulu
mgd: Jaribio la Jibu Linalojulikana la AES-CBC: Limefaulu
mgd: Jaribio la Jibu Linalojulikana la AES-GCM: Limefaulu
mgd: SSH-RSA-ENC Jaribio la Jibu Linalojulikana: Limefaulu
mgd: SSH-RSA-SIGN Jaribio la Jibu Linalojulikana: Limefaulu
mgd: KDF-IKE-V1 Jibu Linalojulikana Jaribio: Limefaulu
mgd: KDF-IKE-V2 Jibu Linalojulikana Jaribio: Limefaulu
mgd: Kujaribu SSH IPsec KATS:
mgd: NIST 800-90 HMAC DRBG Jaribio la Jibu Linalojulikana: Limefaulu
mgd: Jaribio la Jibu Linalojulikana la DES3-CBC: Limefaulu
mgd: HMAC-SHA1 Jaribio la Jibu Linalojulikana: Limefaulu
mgd: HMAC-SHA2-256 Jaribio la Jibu Linalojulikana: Limefaulu
mgd: Jaribio la Jibu Linalojulikana la AES-CBC: Limefaulu
mgd: SSH-RSA-ENC Jaribio la Jibu Linalojulikana: Limefaulu
mgd: SSH-RSA-SIGN Jaribio la Jibu Linalojulikana: Limefaulu
mgd: KDF-IKE-V1 Jibu Linalojulikana Jaribio: Limefaulu
mgd: Majaribio file uadilifu:
mgd: File uadilifu Mtihani wa Jibu Unaojulikana: Umefaulu
mgd: Inajaribu uadilifu wa crypto:
mgd: Uadilifu wa Crypto Jaribio Linalojulikana la Jibu: Limepita
mgd: Tarajia kutekeleza AuthenticatiMAC/veriexec: hakuna alama za vidole (file=/sbin/kats/cannot-exec
fsid=246 fileid=49356 gen=1 uid=0 pid=9384 ppid=9354 gppid=9352)kwa hitilafu...
mgd: /sbin/kats/run-test: /sbin/kats/cannot-exec: Hitilafu ya uthibitishaji
mgd: Majaribio ya Kibinafsi ya FIPS Yamefaulu
LC KATS:
Sep 12 10:50:44 network_macsec_kats_input xe-/0/0:0: <LC: Slot
no> pic:0 port:0 chan:0 Usimbaji fiche wa AES-256-GCM MACsec KATS umepitishwa
Sep 12 10:50:50 network_macsec_kats_input xe-/0/1:0: <LC: Slot
no> pic:0 port:1 chan:0 Usimbaji fiche wa AES-256-GCM MACsec KATS umepitishwa
Sep 12 10:50:55 network_macsec_kats_input xe-/0/0:0: <LC: Slot
no> pic:0 port:0 chan:0 Usimbaji fiche wa AES-256-GCM MACsec KATS umepitishwa
Sep 12 10:50:56 network_macsec_kats_input xe-/0/2:0: <LC: Slot
no> pic:0 port:2 chan:0 Usimbaji fiche wa AES-256-GCM MACsec KATS umepitishwa
Sep 12 10:51:01 network_macsec_kats_input xe-/0/1:0: <LC: Slot
no> pic:0 port:1 chan:0 Usimbaji fiche wa AES-256-GCM MACsec KATS umepitishwa
Sep 12 10:51:02 network_macsec_kats_input xe-/0/2:0: <LC: Slot
no> pic:0 port:2 chan:0 Usimbaji fiche wa AES-256-GCM MACsec KATS umepitishwa
Sep 12 10:51:06 network_macsec_kats_input xe-/0/3:0: <LC: Slot
no> pic:0 port:3 chan:0 Usimbaji fiche wa AES-256-GCM MACsec KATS umepitishwa
Sep 12 10:51:12 network_macsec_kats_input xe-/0/3:0: <LC: Slot
no> pic:0 port:3 chan:0 Usimbaji fiche wa AES-256-GCM MACsec KATS umepitishwa
Sep 12 10:51:17 network_macsec_kats_input xe-/0/4:0: <LC: Slot
no> pic:0 port:4 chan:0 Usimbaji fiche wa AES-256-GCM MACsec KATS umepitishwa
Sep 12 10:51:17 network_macsec_kats_input xe-/0/4:0: <LC: Slot
no> pic:0 port:4 chan:0 Usimbaji fiche wa AES-256-GCM MACsec KATS umepitishwa
Sep 12 10:51:26 network_macsec_kats_input xe-/0/5:0: <LC: Slot
no> pic:0 port:5 chan:0 Usimbaji fiche wa AES-256-GCM MACsec KATS umepitishwa
Sep 12 10:51:27 network_macsec_kats_input xe-/0/5:0: <LC: Slot
no> pic:0 port:5 chan:0 Usimbaji fiche wa AES-256-GCM MACsec KATS umepitishwa
Sep 12 10:51:36 network_macsec_kats_input xe-/0/6:0: <LC: Slot
no> pic:0 port:6 chan:0 Usimbaji fiche wa AES-256-GCM MACsec KATS umepitishwa
Sep 12 10:51:36 network_macsec_kats_input xe-/0/6:0: <LC: Slot
no> pic:0 port:6 chan:0 Usimbaji fiche wa AES-256-GCM MACsec KATS umepitishwa
Sep 12 10:51:44 network_macsec_kats_input xe-/0/7:0: <LC: Slot
no> pic:0 port:7 chan:0 Usimbaji fiche wa AES-256-GCM MACsec KATS umepitishwa
Sep 12 10:51:44 network_macsec_kats_input xe-/0/7:0: <LC: Slot
no> pic:0 port:7 chan:0 Usimbaji fiche wa AES-256-GCM MACsec KATS umepitishwa
Sep 12 10:51:51 network_macsec_kats_input xe-/0/8:0: <LC: Slot
no> pic:0 port:8 chan:0 Usimbaji fiche wa AES-256-GCM MACsec KATS umepitishwa
Sep 12 10:51:51 network_macsec_kats_input xe-/0/8:0: <LC: Slot
no> pic:0 port:8 chan:0 Usimbaji fiche wa AES-256-GCM MACsec KATS umepitishwa
Sep 12 10:51:58 network_macsec_kats_input xe-/0/9:0: <LC: Slot
no> pic:0 port:9 chan:0 Usimbaji fiche wa AES-256-GCM MACsec KATS umepitishwa
Sep 12 10:51:58 network_macsec_kats_input xe-/0/9:0: <LC: Slot
no> pic:0 port:9 chan:0 Usimbaji fiche wa AES-256-GCM MACsec KATS umepitishwa
Sep 12 10:52:05 network_macsec_kats_input xe-/0/10:0: <LC:
Nafasi no> pic:0 bandari:10 chan:0 Usimbaji fiche wa AES-256-GCM MACsec KATS umepitishwa
Sep 12 10:52:05 network_macsec_kats_input xe-/0/10:0: <LC:
Nafasi no> pic:0 bandari:10 chan:0 Utembuaji wa AES-256-GCM MACsec KATS umepitishwa
Sep 12 10:52:12 network_macsec_kats_input xe-/0/11:0: <LC:
Nafasi no> pic:0 bandari:11 chan:0 Usimbaji fiche wa AES-256-GCM MACsec KATS umepitishwa
Sep 12 10:52:12 network_macsec_kats_input xe-/0/11:0: <LC:
Nafasi no> pic:0 bandari:11 chan:0 Utembuaji wa AES-256-GCM MACsec KATS umepitishwa
Sep 12 10:52:20 network_macsec_kats_input xe-/1/0:0: <LC: Slot
no> pic:1 port:0 chan:0 Usimbaji fiche wa AES-256-GCM MACsec KATS umepitishwa
Sep 12 10:52:20 network_macsec_kats_input xe-/1/0:0: <LC: Slot
no> pic:1 port:0 chan:0 Usimbaji fiche wa AES-256-GCM MACsec KATS umepitishwa
Sep 12 10:52:27 network_macsec_kats_input xe-/1/1:0: <LC: Slot
no> pic:1 port:1 chan:0 Usimbaji fiche wa AES-256-GCM MACsec KATS umepitishwa
Sep 12 10:52:28 network_macsec_kats_input xe-/1/1:0: <LC: Slot
no> pic:1 port:1 chan:0 Usimbaji fiche wa AES-256-GCM MACsec KATS umepitishwa
Sep 12 10:52:34 network_macsec_kats_input xe-/1/2:0: <LC: Slot
no> pic:1 port:2 chan:0 Usimbaji fiche wa AES-256-GCM MACsec KATS umepitishwa
Maana
Logi ya mfumo file huonyesha tarehe na wakati ambapo KAT zilitekelezwa na hali zao.

Amri za Utendaji

Sintaksia
omba mfumo upunguze sifuri
Maelezo
Kwa RE1800, ondoa maelezo yote ya usanidi kwenye Injini za Kuelekeza na uweke upya thamani zote muhimu. Ikiwa kifaa kina Injini mbili za Uelekezaji, amri hiyo inatangazwa kwa Injini zote za Usambazaji kwenye kifaa. Amri huondoa data zote  files, pamoja na usanidi uliobinafsishwa na logi files, kwa kutenganisha files kutoka kwa saraka zao. Amri huondoa yote iliyoundwa na mtumiaji files kutoka kwa mfumo ikijumuisha manenosiri yote, siri na funguo za faragha za SSH, usimbaji fiche wa ndani, uthibitishaji wa ndani, IPsec, RADIUS, TACACS+ na SNMP.
Amri hii huwasha upya kifaa na kukiweka kwenye usanidi chaguo-msingi wa kiwanda. Baada ya kuwasha upya, huwezi kufikia kifaa kupitia kiolesura cha Ethaneti cha usimamizi. Ingia kupitia koni kama mzizi na anza Junos OS CLI kwa kuandika cli kwa haraka.
Kiwango cha Upendeleo kinachohitajika
matengenezo
omba vmhost ondoa sifuri bila usambazaji
Sintaksia
omba vmhost ondoa sifuri bila usambazaji
Maelezo
Kwa REMX2K-X8, ondoa maelezo yote ya usanidi kwenye Injini za Kuelekeza na uweke upya thamani zote muhimu. Ikiwa kifaa kina Injini mbili za Uelekezaji, amri hiyo inatangazwa kwa Injini zote mbili za Usambazaji kwenye kifaa.
Amri huondoa data zote files, pamoja na usanidi uliobinafsishwa na logi files, kwa kutenganisha files kutoka kwa saraka zao. Amri huondoa yote iliyoundwa na mtumiaji files kutoka kwa mfumo ikijumuisha manenosiri yote ya maandishi wazi, siri,  na funguo za faragha za SSH, usimbaji fiche wa ndani, uthibitishaji wa ndani, IPsec, RADIUS, TACACS+ na SNMP.
Amri hii huwasha upya kifaa na kukiweka kwenye usanidi chaguo-msingi wa kiwanda. Baada ya kuwasha upya, huwezi kufikia kifaa kupitia kiolesura cha Ethaneti cha usimamizi. Ingia kupitia kiweko kama mtumiaji mzizi na uanzishe Junos  OS CLI kwa kuandika cli kwa kidokezo.
SampPato
omba vmhost ondoa sifuri bila usambazaji
user@host> ombi vmhost ondoa sifuri ya kutosambaza
Uondoaji Sifuri wa VMHost : Futa data yote, ikijumuisha usanidi na kumbukumbu files ?
[ndiyo, hapana] (hapana) ndiyo
re0:
onyo: Vmhost itaanza upya na haiwezi kuwasha bila
usanidi
onyo: Kuendelea na vmhost
zeroze
Zeroise sekondari ya diski ya ndani
Inaendelea na sifuri kwenye upili
diski
Kifaa cha kupachika katika maandalizi ya
zeroze...
Kusafisha diski lengwa kwa sifuri
Sifuri imefanywa kwenye lengo
diski.
Sufuri ya diski ya sekondari
imekamilika
Punguza sifuri kwenye diski ya msingi ya ndani
Inaendelea na sifuri kwenye msingi
diski
/etc/ssh/ssh_host_ecdsa_key.pub
/etc/ssh/ssh_host_rsa_key
/etc/ssh/ssh_host_dsa_key.pub
/etc/ssh/ssh_host_rsa_key.pub
/etc/ssh/ssh_host_ecdsa_key
/etc/ssh/ssh_host_dsa_key
Kifaa cha kupachika katika maandalizi ya
zeroze...
Kusafisha diski lengwa kwa sifuri
Sifuri imefanywa kwenye lengo
diski.
Sifuri wa diski ya msingi
imekamilika
Sifuri
kufanyika
—(zaidi)— Kusimamisha
cron.
Inasubiri PIDS:
6135.
.
Feb 16 14:59:33 jlaunchd: huduma za mara kwa mara-pakiti (PID 6181) kusitisha mawimbi 15 imetumwa
Feb 16 14:59:33 jlaunchd: smg-service (PID 6234) simamisha mawimbi 15 imetumwa
Feb 16 14:59:33 jlaunchd: kitambulisho-programu (PID 6236) simamisha mawimbi 15 imetumwa
Feb 16 14:59:33 jlaunchd: ifstate-tracing-process (PID 6241) sitisha mawimbi 15 imetumwa
Feb 16 14:59:33 jlaunchd: usimamizi wa rasilimali (PID 6243) simamisha mawimbi 15 imetumwa
Feb 16 14:59:33 jlaunchd: imechajiwa (PID 6246) simamisha mawimbi 15 imetumwa
Feb 16 14:59:33 jlaunchd: leseni-huduma (PID 6255) ishara ya kusitisha 15 imetumwa
Feb 16 14:59:33 jlaunchd: ntp (PID 6620) simamisha ishara 15 imetumwa
Feb 16 14:59:33 jlaunchd: gkd-chassis (PID 6621) simamisha mawimbi 15 imetumwa
Feb 16 14:59:33 jlaunchd: gkd-lchassis (PID 6622) sitisha mawimbi 15 imetumwa
Feb 16 14:59:33 jlaunchd: uelekezaji (PID 6625) sitisha mawimbi 15 imetumwa
Feb 16 14:59:33 jlaunchd: sonet-aps (PID 6626) simamisha mawimbi 15 imetumwa
Feb 16 14:59:33 jlaunchd: shughuli za mbali (PID 6627) simamisha mawimbi 15 imetumwa
Feb 16 14:59:33 jlaunchd: darasa-ya-huduma
……..
99Nembo ya JUNIPER

Nyaraka / Rasilimali

JUNIPER NETWORKS Junos OS FIPS Valuated Devices [pdf] Mwongozo wa Mtumiaji
Vifaa Vilivyotathminiwa na Mfumo wa Uendeshaji wa Junos, Mfumo wa Uendeshaji wa Junos, Vifaa Vilivyotathminiwa FIPS, Vifaa Vilivyotathminiwa, Vifaa

Marejeleo

Acha maoni

Barua pepe yako haitachapishwa. Sehemu zinazohitajika zimetiwa alama *