Logo JUNIPERKesederhanaan Teknik
Junos® OS
FIPS Dievaluasi Guide Konfigurasi kanggo
Piranti MX960, MX480, lan MX240

Isine ndhelikake
1 JUNIPER NETWORKS Junos OS FIPS Piranti sing dievaluasi
2 Swaraview
3 Konfigurasi Kredensial Administratif lan Hak Istimewa
4 Konfigurasi Peran lan Metode Authentication
5 Konfigurasi SSH lan Sambungan Konsol
6 Konfigurasi MACsec
7 Konfigurasi MACsec nganggo gantungan kunci kanggo Lapisan 2 Lalu Lintas
8 Konfigurasi Logging Acara
9 Nindakake Self-Test ing Piranti
10 Perintah Operasional
11 Dokumen / Sumber Daya
11.1 Referensi

JUNIPER NETWORKS Junos OS FIPS Piranti sing dievaluasi

JUNIPER NETWORKS Junos OS FIPS Piranti Evaluasi 1RELEASE
20.3X75-D30

Juniper Networks, Inc.
1133 Cara Inovasi
Sunnyvale, California 94089
USA
408-745-2000
www.juniper.net
Juniper Networks, logo Juniper Networks, Juniper, lan Junos minangka merek dagang kadhaptar saka Juniper Networks, Inc.
ing Amerika Serikat lan negara liyane. Kabeh merek dagang liyane, merek layanan, merek kadhaptar, utawa merek layanan sing kadhaptar minangka properti sing nduweni.
Juniper Networks ora tanggung jawab kanggo akurasi ing dokumen iki. Juniper Networks nduweni hak kanggo ngganti, ngowahi, nransfer, utawa ngowahi publikasi iki tanpa kabar.
Pandhuan Konfigurasi Evaluasi Junos® OS FIPS kanggo Piranti MX960, MX480, lan MX240 20.3X75-D30
Hak cipta © 2023 Juniper Networks, Inc. Kabeh hak dilindhungi undhang-undhang.
Informasi ing dokumen iki saiki ing tanggal ing kaca judhul.
WARTA TAHUN 2000
Produk hardware lan software Juniper Networks cocog karo taun 2000. Junos OS ora duwe watesan sing ana gandhengane karo wektu nganti taun 2038. Nanging, aplikasi NTP dikenal ngalami sawetara kesulitan ing taun 2036.
Agreement LISENSI pangguna pungkasan
Product Juniper Networks sing subyek saka dokumentasi technical iki kasusun saka (utawa dimaksudaké kanggo nggunakake) lunak Juniper Networks. Panggunaan piranti lunak kasebut tundhuk karo syarat lan kahanan Perjanjian Lisensi Panganggo Akhir ("EULA") sing dikirim ing https://support.juniper.net/support/eula/. Kanthi ndownload, nginstal utawa nggunakake piranti lunak kasebut, sampeyan setuju karo syarat lan kahanan EULA kasebut.

Babagan Pandhuan Iki
Gunakake pandhuan iki kanggo operate piranti MX960, MX480, lan MX240 ing Federal Information Processing Standards (FIPS) 140-2 Level 1 lingkungan. FIPS 140-2 nemtokake tingkat keamanan kanggo hardware lan piranti lunak sing nindakake fungsi cryptographic.
DOKUMENTASI RELATED
Kriteria Umum lan Sertifikasi FIPS

Swaraview

Ngerteni Junos OS ing Mode FIPS
ING BAGIAN IKI

  • Platform lan Hardware sing Didhukung | 2
  • Babagan Watesan Kriptografi ing Piranti Sampeyan | 3
  • Carane FIPS Mode Beda saka Non-FIPS Mode | 3
  • Versi Divalidasi Junos OS ing Mode FIPS | 3

Federal Information Processing Standards (FIPS) 140-2 nemtokake tingkat keamanan kanggo hardware lan software sing nindakake fungsi kriptografi. Router Juniper Networks iki nganggo sistem operasi Juniper Networks Junos (Junos OS) ing mode FIPS tundhuk karo standar FIPS 140-2 Level 1.
Ngoperasikake router iki ing lingkungan FIPS 140-2 Level 1 mbutuhake ngaktifake lan ngonfigurasi mode FIPS ing piranti saka antarmuka baris perintah (CLI) Junos OS.
Petugas Crypto mbisakake mode FIPS ing Junos OS lan nyetel kunci lan sandhi kanggo sistem lan pangguna FIPS liyane.
Platform lan Hardware sing Didhukung
Kanggo fitur sing diterangake ing dokumen iki, platform ing ngisor iki digunakake kanggo nduweni sertifikasi FIPS:

Babagan Watesan Kriptografi ing Piranti Sampeyan
Kepatuhan FIPS 140-2 mbutuhake wates kriptografi sing ditetepake ing saben modul kriptografi ing piranti. Junos OS ing mode FIPS ngalangi modul cryptographic saka nglakokaké sembarang piranti lunak sing ora bagean saka distribusi FIPS-certified, lan ngidini mung kalkulus kriptografi FIPS disetujoni digunakake. Ora ana parameter keamanan kritis (CSP), kayata sandhi lan kunci, sing bisa ngliwati wates kriptografi modul ing format sing ora dienkripsi.
The OUTDOOR PLUS TOP Series Kit Sambungan Fire Pit lan Sisipan - Ikon 1 AWAS: Fitur Sasis Virtual ora didhukung ing mode FIPS. Aja ngatur sasis Virtual ing mode FIPS.

Carane FIPS Mode Beda saka Non-FIPS Mode
Junos OS ing mode FIPS beda-beda ing cara ing ngisor iki saka Junos OS ing mode non-FIPS:

  • Tes mandhiri kabeh algoritma kriptografi ditindakake nalika wiwitan.
  • Tes otomatis nomer acak lan generasi kunci ditindakake terus-terusan.
  • Algoritma kriptografi sing lemah kayata Data Encryption Standard (DES) lan MD5 dipateni.
  • Sambungan manajemen sing lemah utawa ora dienkripsi ora kudu dikonfigurasi.
  • Tembung sandhi kudu dienkripsi nganggo algoritma siji-arah sing kuwat sing ora ngidini dekripsi.
  • Tembung sandhi administrator kudu paling sethithik 10 karakter.

Versi Divalidasi Junos OS ing Mode FIPS
Kanggo nemtokake manawa rilis Junos OS wis divalidasi NIST, deleng kaca penasehat kepatuhan ing Juniper Networks Web situs (https://apps.juniper.net/compliance/).
DOKUMENTASI RELATED
Ngenali Pangiriman Produk Aman | 7

Ngerteni Terminologi FIPS lan Algoritma Kriptografi sing Didhukung
ING BAGIAN IKI
Terminologi | 4
Algoritma Kriptografi sing Didhukung | 5
Gunakake definisi istilah FIPS, lan algoritma sing didhukung kanggo mbantu sampeyan ngerti Junos OS ing mode FIPS.

Terminologi
Parameter keamanan kritis (CSP)
Informasi sing gegandhengan karo keamanan-kanggo example, kunci kriptografi rahasia lan pribadi lan data otentikasi kayata sandhi lan nomer identifikasi pribadhi (PIN)- sing pambocoran utawa modifikasi bisa kompromi keamanan modul kriptografi utawa informasi sing dilindhungi. Kanggo rincian, deleng "Ngerteni Lingkungan Operasional kanggo Junos OS ing Mode FIPS" ing kaca 16.
Modul kriptografi
Set hardware, software, lan firmware sing ngetrapake fungsi keamanan sing disetujoni (kalebu algoritma kriptografi lan generasi kunci) lan ana ing wates kriptografi.
FIPS
Standar Pangolahan Informasi Federal. FIPS 140-2 nemtokake syarat kanggo modul keamanan lan cryptographic. Junos OS ing mode FIPS tundhuk karo FIPS 140-2 Level 1.
peran pangopènan FIPS
Peran Crypto Officer nganggep nindakake pangopènan fisik utawa layanan pangopènan logis kayata hardware utawa piranti lunak diagnostik. Kanggo kepatuhan FIPS 140-2, Crypto Officer nul Engine Routing nalika mlebu lan metu saka peran pangopènan FIPS kanggo mbusak kabeh rahasia teks kosong lan kunci pribadi lan CSP sing ora dilindhungi.
CATETAN: Peran pangopènan FIPS ora didhukung ing Junos OS ing mode FIPS.
KATs
Tes jawaban sing dikenal. Tes otomatis sistem sing validasi output algoritma kriptografi sing disetujoni kanggo FIPS lan nguji integritas sawetara modul Junos OS. Kanggo katrangan rinci, deleng "Ngerteni Tes Mandhiri FIPS" ing kaca 73.
SSH
Protokol sing nggunakake otentikasi lan enkripsi sing kuat kanggo akses remot ing jaringan sing ora aman. SSH nyedhiyakake login remot, eksekusi program jarak jauh, file salinan, lan fungsi liyane. Iki dimaksudake minangka panggantos aman kanggo rlogin, rsh, lan rcp ing lingkungan UNIX. Kanggo ngamanake informasi sing dikirim liwat sambungan administratif, nggunakake SSHv2 kanggo konfigurasi CLI. Ing Junos OS, SSHv2 diaktifake kanthi standar, lan SSHv1, sing ora dianggep aman, dipateni. Zeroization
Mbusak kabeh CSP lan data liyane sing digawe pangguna ing piranti sadurunge operasi minangka modul kriptografi FIPS utawa minangka persiapan kanggo nggunakake piranti kasebut kanggo operasi nonFIPS.
Petugas Crypto bisa nul sistem kasebut kanthi perintah operasional CLI.
Algoritma Kriptografi sing Didhukung
Tabel 1 ing kaca 6 ngringkes dhukungan algoritma protokol tingkat dhuwur.
Tabel 1: Protokol Diijini ing Mode FIPS

Protokol  Exchange Utami Authentication Cipher Integritas
SSHv2 • dh-group14-sha1
• ECDH-sha2-nistp256
• ECDH-sha2-nistp384
• ECDH-sha2-nistp521		 Host (modul):
• ECDSA P-256
• SSH-RSA
Klien (user):
• ECDSA P-256
• ECDSA P-384
• ECDSA P-521
• SSH-RSA		 • AES CTR 128
• AES CTR 192
• AES CTR 256
• AES CBC 128
• AES CBC 256		 • HMAC-SHA-1
• HMAC-SHA-256
• HMAC-SHA-512

Tabel 2 ing kaca 6 nampilake cipher sing didhukung MACsec LC.
Tabel 2: MACsec LC Didhukung Ciphers
MACsec LC Didhukung Ciphers
AES-GCM-128
AES-GCM-256
Saben implementasi algoritma dicenthang dening seri tes jawaban sing dikenal (KAT) tes mandiri. Sembarang kegagalan self-test nyebabake negara kesalahan FIPS.
PRAKTEK TERBAIK: Kanggo kepatuhan FIPS 140-2, gunakake mung algoritma kriptografi sing disetujoni FIPS Ing Junos OS ing mode FIPS.
Algoritma kriptografi ing ngisor iki didhukung ing mode FIPS. Cara simetris nggunakake kunci sing padha kanggo enkripsi lan dekripsi, dene cara asimetris nggunakake kunci sing beda kanggo enkripsi lan dekripsi.
AES
Advanced Encryption Standard (AES), ditetepake ing FIPS PUB 197. Algoritma AES nggunakake tombol 128, 192, utawa 256 bit kanggo ndhelik lan dekripsi data ing blok 128 bit.
ECDH
Elliptic Curve Diffie-Hellman. Varian saka algoritma ijol-ijolan kunci Diffie-Hellman sing nggunakake kriptografi adhedhasar struktur aljabar kurva eliptik ing lapangan sing winates. ECDH ngidini loro pihak, saben duwe kurva eliptik pasangan kunci publik-pribadi, kanggo nggawe rahasia bareng liwat saluran ora aman. Rahasia sing dienggo bareng bisa digunakake minangka kunci utawa entuk kunci liyane kanggo ngenkripsi komunikasi sakteruse nggunakake cipher kunci simetris.
ECDSA
Algoritma Tandha Digital Kurva Eliptik. Varian saka Digital Signature Algorithm (DSA) sing nggunakake kriptografi adhedhasar struktur aljabar kurva eliptik ing lapangan sing winates. Ukuran bit saka kurva elliptic nemtokake kangelan decrypting tombol. Kunci umum sing dipercaya dibutuhake kanggo ECDSA kira-kira kaping pindho ukuran tingkat keamanan, ing bit. ECDSA nggunakake kurva P-256, P-384, lan P-521 bisa dikonfigurasi ing OpenSSH.
HMAC
Ditetepake minangka "Keyed-Hashing kanggo Otentikasi Pesen" ing RFC 2104, HMAC nggabungake algoritma hashing karo kunci kriptografi kanggo otentikasi pesen. Kanggo Junos OS ing mode FIPS, HMAC nggunakake fungsi hash cryptographic iterated SHA-1, SHA-256, lan SHA-512 bebarengan karo kunci rahasia.
SHA-256 lan SHA-512
Algoritma hash aman (SHA) kalebu standar SHA-2 sing ditetepake ing FIPS PUB 180-2. Dikembangake dening NIST, SHA-256 ngasilake hash digest 256-bit, lan SHA-512 ngasilake hash digest 512-bit.
DOKUMENTASI RELATED
Pangerten FIPS Self-Tests | 73
Ngerti Zeroization kanggo Mbusak Data Sistem kanggo Mode FIPS | 25
Ngenali Pangiriman Produk sing Aman
Ana sawetara mekanisme kasedhiya ing proses pangiriman kanggo mesthekake yen customer ditampa produk sing durung tampedan karo. Pelanggan kudu nindakake mriksa ing ngisor iki sawise nampa piranti kanggo verifikasi integritas platform kasebut.

  • Label pengiriman—Pesthekake yen label pengiriman kanthi bener ngenali jeneng lan alamat pelanggan sing bener uga piranti.
  • Kemasan njaba - Priksa kothak lan tape pengiriman ing njaba. Priksa manawa tape pengiriman ora dipotong utawa dikompromi. Priksa manawa kothak kasebut ora dipotong utawa rusak kanggo ngidini akses menyang piranti kasebut.
  • Kemasan njero - Priksa tas plastik lan segel. Priksa manawa tas ora dipotong utawa dicopot. Priksa manawa segel tetep utuh.

Yen pelanggan ngenali masalah nalika mriksa, dheweke kudu langsung hubungi supplier. Nyedhiyakake nomer pesenan, nomer nelusuri, lan katrangan babagan masalah sing diidentifikasi menyang supplier.
Kajaba iku, ana sawetara mriksa sing bisa ditindakake kanggo mesthekake yen pelanggan wis nampa kothak sing dikirim dening Juniper Networks lan dudu perusahaan liyane sing nyamar minangka Juniper Networks. Pelanggan kudu nindakake mriksa ing ngisor iki nalika nampa piranti kanggo verifikasi keaslian piranti kasebut:

  • Priksa manawa piranti kasebut dipesen nggunakake pesenan tuku. Piranti Juniper Networks ora tau dikirim tanpa pesenan tuku.
  • Nalika piranti dikirim, kabar kiriman dikirim menyang alamat e-mail sing diwenehake dening pelanggan nalika pesenan dijupuk. Priksa manawa kabar e-mail iki ditampa. Priksa manawa email kasebut ngemot informasi ing ngisor iki:
  • Nomer pesenan tuku
  • Juniper Networks nomer pesenan digunakake kanggo trek kiriman
  • Nomer nelusuri operator sing digunakake kanggo nglacak kiriman
  • Dhaptar item sing dikirim kalebu nomer seri
  • Alamat lan kontak saka loro supplier lan customer
  • Priksa manawa kiriman kasebut diwiwiti dening Juniper Networks. Kanggo verifikasi manawa kiriman diwiwiti dening Juniper Networks, sampeyan kudu nindakake tugas ing ngisor iki:
  • Bandingake nomer nelusuri operator saka Juniper Networks pesenan nomer kadhaptar ing kabar kapal Juniper Networks karo nomer nelusuri ing paket ditampa.
  • Mlebu menyang Juniper Networks portal dhukungan pelanggan online ing https://support.juniper.net/support/ kanggo view status pesenan. Bandingake nomer nelusuri operator utawa nomer pesenan Juniper Networks kadhaptar ing kabar kiriman Juniper Networks karo nomer nelusuri ing paket ditampa.

Pangertosan Antarmuka Manajemen
Antarmuka manajemen ing ngisor iki bisa digunakake ing konfigurasi sing dievaluasi:

  • Antarmuka Manajemen Lokal-Port konsol RJ-45 ing piranti dikonfigurasi minangka peralatan terminal data RS-232 (DTE). Sampeyan bisa nggunakake antarmuka baris printah (CLI) liwat port iki kanggo ngatur piranti saka terminal.
  • Protokol Manajemen Jarak Jauh-Piranti bisa dikelola kanthi jarak adoh liwat antarmuka Ethernet apa wae. SSHv2 mung siji-sijine protokol manajemen remot sing bisa digunakake ing konfigurasi sing dievaluasi. Protokol manajemen jarak jauh J-Web lan Telnet ora kasedhiya kanggo digunakake ing piranti.

Konfigurasi Kredensial Administratif lan Hak Istimewa

Ngerteni Aturan Sandi Gegandhengan kanggo Administrator Sah
Administrator sing sah digandhengake karo kelas mlebu sing ditetepake, lan administrator diwenehi kabeh ijin. Data disimpen sacara lokal kanggo otentikasi sandi tetep.
CATETAN: Aja nggunakake karakter kontrol ing sandhi.
Gunakake pedoman lan opsi konfigurasi ing ngisor iki kanggo sandhi lan nalika milih sandhi kanggo akun administrator sing sah. Tembung sandhi kudu:

  • Gampang kanggo ngelingi supaya pangguna ora kegodha kanggo nulis.
  • Diowahi sacara periodik.
  • Pribadi lan ora dienggo bareng karo sapa wae.
  • Isine minimal 10 karakter. Dawane tembung sandhi minimal 10 karakter.
    [ sunting ] administrator@host# nyetel sandi login sistem minimal-dawa 10
  • Kalebu karakter alfanumerik lan tanda baca, sing dumadi saka kombinasi huruf gedhe lan cilik, angka, lan karakter khusus kayata, "!", "@", "#", "$", "%", "^", " &", "*", "(", lan ")".
    Paling ora ana owah-owahan ing siji cilik, siji utawa luwih digit, lan siji utawa luwih tandha wacan.
  • Ngemot set karakter. Set karakter sing bener kalebu huruf gedhe, huruf cilik, angka, tanda baca, lan karakter khusus liyane.
    [ sunting ] administrator@host# set sistem login sandi ngganti-jenis karakter-set
  • Ngemot jumlah minimal set karakter utawa owah-owahan set karakter. Jumlah minimal set karakter sing dibutuhake ing sandhi teks kosong ing Junos FIPS yaiku 3.
    [ sunting ] administrator@host# nyetel sandi login sistem minimal-owahan 3
  • Algoritma hashing kanggo sandhi pangguna bisa dadi SHA256 utawa SHA512 (SHA512 minangka algoritma hashing standar).
    [ sunting ] administrator@host# atur format sandi login sistem sha512
    CATETAN: Piranti kasebut ndhukung jinis kunci ECDSA (P-256, P-384, lan P-521) lan RSA (2048, 3072, lan 4092 modulus bit length).
    Tembung sandhi sing lemah yaiku:
  • Tembung sing bisa ditemokake ing utawa ana minangka wangun permuted ing sistem file kayata /etc/passwd.
  • Jeneng host sistem (tansah guess pisanan).
  • Tembung apa wae sing ana ing kamus. Iki kalebu kamus liyane saka Inggris, lan tembung sing ditemokake ing karya kayata Shakespeare, Lewis Carroll, Thesaurus Roget, lan liya-liyane. Larangan iki kalebu tembung lan frasa umum saka olahraga, paribasan, film, lan acara televisi.
  • Permutations ing samubarang ndhuwur. Kanggo example, tembung kamus kanthi aksara swara diganti digit (kanggo example f00t) utawa kanthi digit ditambahake ing pungkasan.
  • Sembarang sandhi digawe mesin. Algoritma nyuda ruang telusuran program guess-password lan mulane ora bisa digunakake.
    Tembung sandhi sing bisa digunakake maneh bisa adhedhasar huruf saka frasa utawa tembung favorit, banjur digabung karo tembung liyane sing ora ana hubungane, bebarengan karo digit tambahan lan tanda baca.

DOKUMENTASI RELATED
Ngenali Pangiriman Produk Aman | 7

Konfigurasi Peran lan Metode Authentication

Pangerten Peran lan Layanan kanggo Junos OS
ING BAGIAN IKI
Peran lan Tanggung Jawab Petugas Crypto | 15
Peran lan Tanggung Jawab Panganggo FIPS | 15
Apa sing Dikarepake Kabeh Panganggo FIPS | 16
Administrator Keamanan digandhengake karo kelas login keamanan-admin sing ditetepake, sing nduweni ijin sing dibutuhake kanggo ngidini administrator nindakake kabeh tugas sing dibutuhake kanggo ngatur Junos OS. Pangguna administratif (Administrator Keamanan) kudu menehi data identifikasi lan otentikasi unik sadurunge akses administratif menyang sistem diwenehake.
Peran lan tanggung jawab Administrator Keamanan kaya ing ngisor iki:

  1. Administrator Keamanan bisa ngatur sacara lokal lan adoh.
  2. Nggawe, ngowahi, mbusak akun administrator, kalebu konfigurasi parameter gagal otentikasi.
  3. Aktifake maneh akun Administrator.
  4. Tanggung jawab kanggo konfigurasi lan pangopènan unsur kriptografi sing ana hubungane karo panyiapan sambungan aman menyang lan saka produk sing dievaluasi.

Sistem operasi Juniper Networks Junos (Junos OS) mlaku ing mode non-FIPS ngidini sawetara saka sudhut Kapabilitas kanggo pangguna, lan otentikasi adhedhasar identitas. Ing kontras, standar FIPS 140-2 nemtokake rong peran pangguna: Pegawai Crypto lan pangguna FIPS. Peran kasebut ditetepake miturut kemampuan pangguna Junos OS.
Kabeh jinis pangguna liyane sing ditetepake kanggo Junos OS ing mode FIPS (operator, pangguna administratif, lan liya-liyane) kudu kalebu ing salah siji saka rong kategori: Crypto Officer utawa pangguna FIPS. Mulane, otentikasi pangguna ing mode FIPS adhedhasar peran tinimbang adhedhasar identitas.
Petugas Crypto nindakake kabeh tugas konfigurasi sing gegandhengan karo mode FIPS lan ngetokake kabeh statement lan printah kanggo Junos OS ing mode FIPS. Konfigurasi pangguna Crypto Officer lan FIPS kudu ngetutake pedoman kanggo Junos OS ing mode FIPS.
Peran lan Tanggung Jawab Petugas Crypto
Petugas Crypto minangka wong sing tanggung jawab kanggo ngaktifake, ngatur, ngawasi, lan njaga Junos OS ing mode FIPS ing piranti. Crypto Officer kanthi aman nginstal Junos OS ing piranti kasebut, ngaktifake mode FIPS, netepake kunci lan sandhi kanggo pangguna liyane lan modul piranti lunak, lan miwiti piranti sadurunge sambungan jaringan.
Laku paling apik: Disaranake Petugas Crypto ngatur sistem kanthi aman kanthi njaga sandhi lan mriksa audit files.
Ijin sing mbedakake Crypto Officer saka pangguna FIPS liyane yaiku rahasia, keamanan, pangopènan, lan kontrol. Kanggo kepatuhan FIPS, aturake Crypto Officer menyang kelas login sing ngemot kabeh ijin kasebut. Pangguna sing duwe ijin pangopènan Junos OS bisa maca files ngemot paramèter keamanan kritis (CSP).
CATETAN: Junos OS ing mode FIPS ora ndhukung peran pangopènan FIPS 140-2, sing beda karo ijin pangopènan Junos OS.
Antarane tugas sing ana gandhengane karo Junos OS ing mode FIPS, Crypto Officer samesthine:

  • Setel sandhi root dhisikan. Dawane tembung sandhi kudu paling sethithik 10 karakter.
  • Reset sandhi pangguna kanthi algoritma sing disetujoni FIPS.
  • Priksa log lan audit files kanggo acara saka kapentingan.
  • Busak sing digawe pangguna files, tombol, lan data kanthi nul piranti.

FIPS Panganggo Peran lan Responsibilities
Kabeh pangguna FIPS, kalebu Crypto Officer, bisa view konfigurasi. Mung pangguna sing ditugasake minangka Petugas Crypto sing bisa ngowahi konfigurasi kasebut.
Ijin sing mbedakake Petugas Crypto saka pangguna FIPS liyane yaiku rahasia, keamanan, pangopènan, lan kontrol. Kanggo kepatuhan FIPS, nemtokake pangguna FIPS menyang kelas sing ora ana ijin kasebut.
FIPS pangguna bisa view output status nanging ora bisa urip maneh utawa nul piranti.
Apa sing Dikarepake Kabeh Panganggo FIPS
Kabeh pangguna FIPS, kalebu Crypto Officer, kudu mirsani pedoman keamanan sawayah-wayah.
Kabeh pangguna FIPS kudu:

  • Tansah rahasia kabeh sandhi.
  • Simpen piranti lan dokumentasi ing wilayah sing aman.
  • Pasang piranti ing wilayah sing aman.
  • Priksa audit files periodik.
  • Selaras karo kabeh aturan keamanan FIPS 140-2 liyane.
  • Tindakake pedoman iki:
    • Pangguna dipercaya.
    • Pangguna manut kabeh pedoman keamanan.
    • Pangguna ora sengaja kompromi keamanan
    • Pangguna tumindak tanggung jawab ing kabeh wektu.

DOKUMENTASI RELATED
Piranti Juniper Networks sing nganggo sistem operasi Juniper Networks Junos (Junos OS) ing mode FIPS mbentuk jinis khusus lingkungan operasional hardware lan piranti lunak sing beda karo lingkungan piranti ing mode non-FIPS:

Lingkungan Hardware kanggo Junos OS ing Mode FIPS
Junos OS ing mode FIPS netepake wates kriptografi ing piranti sing ora ana paramèter keamanan kritis (CSP) sing bisa ngliwati nganggo teks biasa. Saben komponèn hardware saka piranti sing mbutuhake wates cryptographic kanggo FIPS 140-2 selaras modul cryptographic kapisah. Ana rong jinis hardware kanthi wates kriptografi ing Junos OS ing mode FIPS: siji kanggo saben Routing Engine lan siji kanggo kabeh sasis sing kalebu kertu LC MPC7E-10G. Saben komponen mbentuk modul kriptografi sing kapisah. Komunikasi sing nglibatake CSP ing antarane lingkungan sing aman iki kudu ditindakake nggunakake enkripsi.
Cara kriptografi ora ngganti keamanan fisik. Hardware kudu dumunung ing lingkungan fisik aman. Pangguna saka kabeh jinis ora kudu mbukak kunci utawa sandhi, utawa ngidini cathetan utawa cathetan sing ditulis bisa dideleng dening personel sing ora sah.
Lingkungan Perangkat Lunak kanggo Junos OS ing Mode FIPS
Piranti Juniper Networks sing nganggo Junos OS ing mode FIPS mbentuk jinis khusus lingkungan operasional sing ora bisa diowahi. Kanggo entuk lingkungan iki ing piranti, sistem ngalangi eksekusi binar sembarang file sing ora bagean saka Junos OS certified ing distribusi mode FIPS. Nalika piranti ing mode FIPS, mung bisa mbukak Junos OS.
Junos OS ing lingkungan piranti lunak mode FIPS ditetepake sawise Crypto Officer kasil ngaktifake mode FIPS ing piranti. Gambar Junos OS sing kalebu mode FIPS kasedhiya ing Juniper Networks websitus lan bisa diinstal ing piranti fungsi.
Kanggo netepi FIPS 140-2, disaranake sampeyan mbusak kabeh sing digawe pangguna files lan data kanthi nul piranti sadurunge ngaktifake mode FIPS.
Ngoperasikake piranti ing FIPS Level 1 mbutuhake panggunaan tamplabel er-bukti kanggo segel Engine Routing menyang sasis.
Ngaktifake mode FIPS mateni akeh protokol lan layanan Junos OS sing biasa. Utamane, sampeyan ora bisa ngatur layanan ing ngisor iki ing Junos OS ing mode FIPS:

  • driji
  • ftp
  • mlebu
  • telnet
  • tftp
  • xnm-clear-text

Nyoba kanggo ngatur layanan iki, utawa mbukak konfigurasi karo layanan iki diatur, nyebabake kesalahan sintaksis konfigurasi.
Sampeyan mung bisa nggunakake SSH minangka layanan akses remot.
Kabeh sandhi sing ditetepake kanggo pangguna sawise nganyarke menyang Junos OS ing mode FIPS kudu cocog karo Junos OS ing spesifikasi mode FIPS. Tembung sandhi kudu dawane antarane 10 lan 20 karakter lan mbutuhake panggunaan paling ora telung saka limang set karakter sing ditetepake (huruf gedhe lan cilik, digit, tandha wacan, lan karakter keyboard, kayata % lan &, ora kalebu ing liyane. papat kategori).
Upaya kanggo ngatur sandhi sing ora cocog karo aturan kasebut nyebabake kesalahan. Kabeh sandhi lan tombol sing digunakake kanggo otentikasi kanca kudu paling sethithik 10 karakter, lan ing sawetara kasus, dawane kudu cocog karo ukuran pencernaan.
CATETAN: Aja masang piranti menyang jaringan nganti Crypto Officer ngrampungake konfigurasi saka sambungan konsol lokal.
Kanggo kepatuhan sing ketat, aja mriksa informasi mbucal inti lan kacilakan ing konsol lokal ing Junos OS ing mode FIPS amarga sawetara CSP bisa ditampilake ing teks biasa.
Parameter Keamanan Kritis
Parameter keamanan kritis (CSPs) yaiku informasi sing gegandhengan karo keamanan kayata kunci kriptografi lan sandhi sing bisa kompromi keamanan modul kriptografi utawa keamanan informasi sing dilindhungi modul kasebut yen dibeberke utawa diowahi.
Zeroisasi sistem mbusak kabeh jejak CSP minangka persiapan kanggo ngoperasikake piranti utawa Routing Engine minangka modul kriptografi.
Tabel 3 ing kaca 19 nampilake CSP ing piranti sing nganggo Junos OS.
Tabel 3: Parameter Keamanan Kritis

CSP Katrangan Zeroize

Gunakake
Kunci host pribadi SSHv2 ECDSA / tombol RSA digunakake kanggo ngenali inang, kui pisanan SSH diatur. perintah Zeroize. Digunakake kanggo ngenali host.
tombol sesi SSHv2 Tombol sesi digunakake karo SSHv2 lan minangka kunci pribadi Diffie-Hellman. Enkripsi: AES-128, AES-192, AES-256. MAC: HMAC-SHA-1, HMAC- SHA-2-256, HMAC-SHA2-512. Ijol-ijolan tombol: dh-group14-sha1, ECDH-sha2-nistp-256, ECDH-sha2- nistp-384, lan ECDH-sha2-nistp-521. Siklus daya lan mungkasi sesi. Tombol simetris digunakake kanggo ndhelik data antarane host lan klien.
Tombol otentikasi pangguna Hash sandhi pangguna: SHA256, SHA512. perintah Zeroize. Digunakake kanggo otentikasi pangguna menyang modul kriptografi.
Kunci otentikasi Crypto Officer Hash saka sandi Crypto Officer: SHA256, SHA512. perintah Zeroize. Digunakake kanggo otentikasi Crypto Officer menyang modul cryptographic.
Wiji HMAC DRBG Wiji kanggo generator bit randon deterministik (DRBG). Wiji ora disimpen dening modul kriptografi. Digunakake kanggo seeding DRBG.
Nilai HMAC DRBG V Nilai (V) saka dawa pemblokiran output (outlen) ing bit, kang dianyari saben wektu liyane outlen bit output diprodhuksi. Siklus daya. Nilai kritis saka negara internal DRBG.
CSP Katrangan Zeroize

Gunakake
Nilai kunci HMAC DRBG Nilai saiki saka tombol outlen-bit, kang dianyari ing paling sapisan saben wektu mekanisme DRBG ngasilake bit pseudorandom. Siklus daya. Nilai kritis saka negara internal DRBG.
NDRNG entropi Digunakake minangka string input entropi menyang HMAC DRBG. Siklus daya. Nilai kritis saka negara internal DRBG.

Ing Junos OS ing mode FIPS, kabeh CSP kudu ngetik lan ninggalake modul kriptografi ing wangun ndhelik.
Sembarang CSP sing dienkripsi nganggo algoritma sing ora disetujoni dianggep minangka teks biasa dening FIPS.
PRAKTEK BEST: Kanggo netepi FIPS, ngatur piranti liwat sambungan SSH amarga padha sambungan ndhelik.
Tembung sandhi lokal digayuh nganggo algoritma SHA256 utawa SHA512. Recovery sandi ora bisa ing Junos OS ing mode FIPS. Junos OS ing mode FIPS ora bisa boot menyang mode pangguna siji tanpa tembung sandhi root sing bener.
Ngerteni Spesifikasi Sandi lan Pedoman kanggo Junos OS ing Mode FIPS
Kabeh sandhi sing ditetepake kanggo pangguna dening Crypto Officer kudu cocog karo OS Junos ing ngisor iki ing syarat mode FIPS. Usaha kanggo ngatur sandhi sing ora cocog karo spesifikasi ing ngisor iki nyebabake kesalahan.

  • dawa. Tembung sandhi kudu ngemot antarane 10 lan 20 karakter.
  • Syarat set karakter. Tembung sandhi kudu ngemot paling ora telung saka limang set karakter ing ngisor iki:
  • Huruf gedhe
  • Huruf cilik
  • Digit
  • Tandha wacan
  • Karakter keyboard ora kalebu ing papat set liyane-kayata tandha persen (%) lan ampersand (&)
  • Syarat otentikasi. Kabeh tembung sandhi lan tombol sing digunakake kanggo otentikasi kanca kudu ngemot paling ora 10 karakter, lan ing sawetara kasus, jumlah karakter kudu cocog karo ukuran pencernaan.
  • Enkripsi sandhi. Kanggo ngganti cara enkripsi standar (SHA512) kalebu statement format ing tingkat hirarki [sunting sandi login sistem].

Pedoman kanggo sandhi sing kuwat. Tembung sandhi sing kuwat lan bisa digunakake maneh bisa adhedhasar huruf saka frasa utawa tembung favorit banjur digabung karo tembung liyane sing ora ana hubungane, uga ditambahake digit lan tanda baca. Umumé, tembung sandhi sing kuwat yaiku:

  • Gampang kanggo ngelingi supaya pangguna ora kegodha kanggo nulis.
  • Digawe saka campuran karakter alfanumerik lan tanda baca. Kanggo kepatuhan FIPS kalebu paling ora siji owah-owahan cilik, siji utawa luwih digit, lan siji utawa luwih tandha wacan.
  • Diowahi sacara periodik.
  • Ora diungkapake marang sapa wae.
    Karakteristik tembung sandhi sing ringkih. Aja nggunakake tembung sandhi sing lemah ing ngisor iki:
  • Tembung sing bisa ditemokake ing utawa ana minangka wangun permuted ing sistem files kayata /etc/passwd.
  • Jeneng host sistem (tansah guess pisanan).
  • Tembung utawa frasa apa wae sing katon ing kamus utawa sumber kondhang liyane, kalebu kamus lan tesaurus ing basa liyane saka Inggris; karya dening penulis klasik utawa populer; utawa tembung lan frasa umum saka olahraga, paribasan, film utawa acara televisi.
  • Permutations ing samubarang ndhuwur-kanggo example, tembung kamus kanthi huruf diganti karo digit ( r00t) utawa karo digit ditambahake ing pungkasan.
  • Sandhi apa wae sing digawe mesin. Algoritma nyuda ruang telusuran program guess-password lan mulane ora kudu digunakake.

Ngundhuh Paket Software saka Juniper Networks
Sampeyan bisa ngundhuh paket piranti lunak Junos OS kanggo piranti saka Juniper Networks websitus.
Sadurunge miwiti ndownload piranti lunak, priksa manawa sampeyan duwe Juniper Networks Web akun lan kontrak dhukungan sing sah. Kanggo entuk akun, ngrampungake formulir registrasi ing Juniper Networks websitus: https://userregistration.juniper.net/.
Kanggo ndownload paket piranti lunak saka Juniper Networks:

  1. Nggunakake a Web browser, tindakake pranala menyang download URL ing Juniper Networks webkaca. https://support.juniper.net/support/downloads/
  2. Mlebu menyang sistem otentikasi Juniper Networks nggunakake jeneng pangguna (umume alamat e-mail sampeyan) lan sandhi sing diwenehake dening perwakilan Juniper Networks.
  3. Ngundhuh piranti lunak. Delengen Ngundhuh Piranti Lunak.

DOKUMENTASI RELATED
Pandhuan Instalasi lan Nganyarke
Nginstal Piranti Lunak ing Piranti kanthi Mesin Nuntun Tunggal
Sampeyan bisa nggunakake prosedur iki kanggo nganyarke Junos OS ing piranti karo siji Routing Engine.
Kanggo nginstal nganyarke piranti lunak ing piranti kanthi Engine Routing siji:

  1. Download paket piranti lunak kaya sing diterangake ing Ngundhuh Paket Software saka Juniper Networks.
  2. Yen sampeyan durung rampung, sambungake menyang port console ing piranti saka piranti manajemen, lan mlebu menyang Junos OS CLI.
  3. (Opsional) Gawe serep konfigurasi piranti lunak saiki menyang pilihan panyimpenan kapindho. Waca Pandhuan Instalasi lan Nganyarke Software kanggo instruksi kanggo nindakake tugas iki.
  4. (Opsional) Nyalin paket piranti lunak menyang piranti. Disaranake sampeyan nggunakake FTP kanggo nyalin file file menyang direktori /var/tmp/.
    Langkah iki opsional amarga Junos OS uga bisa nganyarke nalika gambar piranti lunak disimpen ing lokasi sing adoh. Pandhuan iki njlèntrèhaké proses upgrade piranti lunak kanggo loro skenario.
  5. Instal paket anyar ing piranti: Kanggo REMX2K-X8: user@host> njaluk vmhost software add
    Kanggo RE1800: user@host> njaluk piranti lunak sistem nambah
    Ganti paket nganggo salah sawijining jalur ing ngisor iki:
    • Kanggo paket piranti lunak ing direktori lokal ing piranti, gunakake /var/tmp/package.tgz.
    • Kanggo paket piranti lunak ing server remot, gunakake salah siji saka dalan ing ngisor iki, ngganti paket pilihan variabel karo jeneng paket piranti lunak.
    ftp://hostname/pathname/package.tgz
    • ftp://hostname/pathname/package.tgz
  6. Urip maneh piranti kanggo mbukak instalasi:
    Kanggo REMX2K-X8:
    pangguna @ host> njaluk vmhost urip maneh
    Kanggo RE1800:
    user@host> njaluk reboot sistem
  7. Sawise urip maneh wis rampung, mlebu lan gunakake printah versi show kanggo verifikasi yen versi anyar piranti lunak wis kasil diinstal.
    pangguna @ host> nuduhake versi
    Model: mx960
    Ukuran: 20.3X75-D30.1
    JUNOS OS Kernel 64-bit [20210722.b0da34e0_builder_stable_11-204ab] JUNOS OS libs [20210722.b0da34e0_builder_stable_11-204ab] JUNOS OS runtime [20210722.sb] JUNOS OS runtime [0. informasi zona [34.b0da11e204_builder_stable_20210722-0ab] tumpukan jaringan lan utilitas JUNOS [34_builder_junos_0_x11_d204] JUNOS libs [20210812.200100_builder_junos_203_x75_d30] JUNOS OS libs compat20210812.200100 [203_builder_junos_75_x30_d32] JUNOS OS libs compat20210722 [0.b34 -kompatibilitas bit [0.b11da204e32_builder_stable_20210722-0ab] JUNOS libs compat34 [0_builder_junos_11_x204_d32] JUNOS runtime [20210812.200100_builder_junos_203_x75_d30] JUNOS runtime [20210812.200100] mlumpat mx [203_builder_junos_75_x30_d20210812.200100] JUNOS py extensions203 [75_builder_junos_30_x2_d20210812.200100] JUNOS py extensions [203_builder_junos_75_x30_d20210812.200100] JUNOS py extensions [203_builder_junos_75_x30_d2] JUNOS py extensions [20210812.200100_builder_junos_203_x75_d30]. [20210812.200100_builder_junos_203_x75_d30] JUNOS py base [20210722_builder_junos_0_x34_d0] JUNOS OS crypto [11.b204dada_XNUMXeXNUMX_booting files [20210722.b0da34e0_builder_stable_11-204ab] JUNOS lan telemetri [20.3X75-D30.1] JUNOS Security Intelligence [20210812.200100_builder_junos_203_x75_d30 libs] JUNOS 32 er_junos_20210812.200100_x203_d75] JUNOS mx runtime [30_builder_junos_20210812.200100_x203_d75] Aplikasi Telemetri JUNOS RPD [30X20.3-D75 .30.1] Redis [20210812.200100_builder_junos_203_x75_d30] Utilitas probe JUNOS [20210812.200100_builder_junos_203_x75_d30] Dhukungan platform umum JUNOS [20210812.200100_203_75. UNOS Openconfig [30X20.3-D75] Modul jaringan JUNOS mtx [30.1_builder_junos_20210812.200100_x203_d75] Modul JUNOS [30_builder_junos_20210812.200100_x203] modul JUNOS_75_x30 [20210812.200100_builder_junos_203_x75_d30] JUNOS mx libs [20210812.200100_builder_junos_203_x75_d30] JUNOS SQL Sync Daemon [20210812.200100_builder_junos_203_x75_d30] JUNOS SQL Sync Daemon [20210812.200100] mtx Data Plane Crypto Dhukungan [203_builder_junos_75_x30_d20210812.200100] JUNOS daemons [203_builder_junos_75_x30_d20210812.200100] JUNOS mx daemons [203_75_30_20210812.200100_builder d203] JUNOS appidd-mx aplikasi-identifikasi daemon [75_builder_junos_30_xXNUMX_dXNUMX] Layanan JUNOS URL Paket Filter [20210812.200100_builder_junos_203_x75_d30] Layanan JUNOS Paket PIC Layanan TLB [20210812.200100_builder_junos_203_x75_d30] Layanan JUNOS Telemetri [20210812.200100_203_75. Layanan UNOS TCP-LOG [30_builder_junos_20210812.200100_x203_d75] Layanan JUNOS SSL [30_builder_junos_20210812.200100_x203_d75] Layanan JUNOS SOFTWIRE [30_builder_junos_20210812.200100_x203_d75] JUNOS Services SOFTWIRE [30_20210812.200100 JUNOS Services Stateful Firewall [203_builder_junos_75_x30_d20210812.200100] JUNOS Services RTCOM [203_builder_junos_75_x30_d20210812.200100] JUNOS Services RPM [203_75_builder_junos_30_x20210812.200100_d203] JUNOS Services RPM [75_30_builder paket [20210812.200100_builder_junos_203_x75_d30] Layanan JUNOS NAT [XNUMX_builder_junos_XNUMX_xXNUMX_dXNUMX] Layanan JUNOS Paket Kontainer Layanan Pelanggan Seluler
    [20210812.200100_builder_junos_203_x75_d30] Paket Perangkat Lunak JUNOS Services MobileNext [20210812.200100_builder_junos_203_x75_d30] Paket Kerangka Laporan Logging Layanan JUNOS [20210812.200100_builder_junos_203_x75_d30] Paket Kerangka Laporan Logging Layanan JUNOS [20210812.200100 ] Paket Kontainer JUNOS Services LL-PDF [203_builder_junos_75_x30_d20210812.200100] Paket Kontainer JUNOS Services Jflow [203_builder_junos_75_x30_d20210812.200100] Paket Inspection JUNOS 203_builder_junos_75_x30_d20210812.200100] JUNOS Services IPSec [203_builder_junos_75_x30_d20210812.200100] JUNOS Services IDS [203_builder_junos_75_x30_d20210812.200100] JUNOS Services IDS [203_builder_junos_75_x30_d20210812.200100] JUNOS Services IDS [203_builder [75_builder_junos_30_x20210812.200100_d203] Layanan JUNOS Paket Manajemen Konten HTTP [75_builder_junos_30_xXNUMX_dXNUMX] Layanan JUNOS Crypto [XNUMX_builder_junos_XNUMX_xXNUMX_dXNUMX] Layanan JUNOS Crypto [XNUMX_builder_junos_XNUMX_xXNUMX_d. al lan paket Kontainer Pangiriman Konten
    [20210812.200100_builder_junos_203_x75_d30] JUNOS Services COS [20210812.200100_builder_junos_203_x75_d30] JUNOS AppId Services [20210812.200100_builder_junos_203_x75_d30] JUNOS AppId Services [20210812.200100_Aplikasi JUNOS_builder Gateways [203_builder_junos_75_x30_d20210812.200100] Layanan JUNOS Paket Kontainer AACL [203_builder_junos_75_x30_d20210812.200100] JUNOS SDN Software Suite [203_75] JUNOS SDN Software Suite [30_20210812.200100] UNOS Extension Toolkit [203_builder_junos_75_x30_d9 ] Dukungan Mesin Penerusan Paket JUNOS (wrlinux20210812.200100) [203_builder_junos_75_x30_d20210812.200100] Dhukungan Mesin Penerusan Paket JUNOS (ulc) [203_builder_junos_75_30. X3-D20.3] Dukungan Mesin Penerusan Paket JUNOS (X75) [ 30.1_builder_junos_2000_x20210812.200100_d203] JUNOS Packet Forwarding Engine FIPS Dhukungan [75X30-D20.3] JUNOS Packet Forwarding Engine Support (M/T Common)
    [20210812.200100_builder_junos_203_x75_d30] Dhukungan Mesin Penerusan Paket JUNOS (mburi)

Ngerti Zeroization kanggo Mbusak Data Sistem kanggo Mode FIPS
ING BAGIAN IKI
Kenapa Zeroize? | 26
Nalika kanggo Zeroize? | 26
Zeroization mbusak kabeh informasi konfigurasi ing Routing Engines, kalebu kabeh sandhi plaintext, rahasia, lan kunci pribadi kanggo SSH, enkripsi lokal, otentikasi lokal, lan IPsec.
Crypto Officer miwiti proses zeroization kanthi ngetik panjalukan printah operasional vmhost zeroize no-forwarding kanggo REMX2K-X8 lan njaluk sistem zeroize kanggo RE1800.
SHEARWATER 17001 Pemancar Tekanan Integrasi Udara - ikon 3 AWAS: Nindakake sistem zeroization kanthi ati-ati. Sawise proses zeroization rampung, ora ana data sing isih ana ing Routing Engine. Piranti kasebut bali menyang status standar pabrik, tanpa pangguna utawa konfigurasi sing dikonfigurasi files.
Zeroization bisa njupuk wektu. Senajan kabeh konfigurasi dibusak ing sawetara detik, proses zeroization terus kanggo nimpa kabeh media, kang bisa njupuk wektu owahan gumantung ing ukuran media.
Kenapa Zeroize?
Piranti sampeyan ora dianggep minangka modul kriptografi FIPS sing bener nganti kabeh parameter keamanan kritis (CSP) wis dilebokake-utawa dilebokake maneh-nalika piranti ing mode FIPS.
Kanggo tundhuk FIPS 140-2, sampeyan kudu nul sistem kanggo mbusak informasi sensitif sadurunge mateni mode FIPS ing piranti.
Nalika kanggo Zeroize?
Minangka Crypto Officer, nindakake zeroization ing kahanan ing ngisor iki:

  • Sadurunge ngaktifake mode FIPS operasi: Kanggo nyiapake piranti kanggo operasi minangka modul kriptografi FIPS, nindakake zeroization sadurunge ngaktifake mode FIPS.
  • Sadurunge mateni mode FIPS operasi: Kanggo miwiti repurposing piranti kanggo operasi non-FIPS, nindakake zeroization sadurunge mateni mode FIPS ing piranti.
    CATETAN: Juniper Networks ora ndhukung nginstal piranti lunak non-FIPS ing lingkungan FIPS, nanging bisa uga dibutuhake ing lingkungan tes tartamtu. Dadi manawa kanggo nul sistem dhisik.

Zeroizing Sistem
Kanggo nul piranti, tindakake prosedur ing ngisor iki:

  1. Mlebu menyang piranti minangka Crypto Officer lan saka CLI, ketik printah ing ngisor iki.
    Kanggo REMX2K-X8:
    crypto-officer@host> njaluk vmhost zeroize no-forwarding VMHost Zeroization : Mbusak kabeh data, kalebu konfigurasi lan log files ? [ya, ora] (ora) ya
    re0:
    Kanggo REMX2K-X8:
    crypto-officer@host> njaluk sistem nul
    Sistem Zeroization: Mbusak kabeh data, kalebu konfigurasi lan log files ?
    [ya, ora] (ora) ya
    re0:
  2. Kanggo miwiti proses zeroization, ketik ya ing pituduh:
    Busak kabeh data, kalebu konfigurasi lan log files? [ya, ora] (ora) ya Busak kabeh data, kalebu konfigurasi lan log files? [ya, ora] (ora) ya
    re0: ————————warning: zeroizing
    maneh 0……
    Kabeh operasi bisa njupuk wektu owahan gumantung saka ukuran media, nanging kabeh parameter keamanan kritis (CSPs) dibusak ing sawetara detik. Lingkungan fisik kudu tetep aman nganti proses zeroization rampung.

Ngaktifake Mode FIPS
Nalika Junos OS diinstal ing piranti lan piranti diuripake, iku siap kanggo diatur.
Kaping pisanan, sampeyan mlebu minangka root pangguna tanpa sandhi. Nalika sampeyan mlebu minangka root, sambungan SSH sampeyan diaktifake kanthi standar.
Minangka Crypto Officer, sampeyan kudu nggawe tembung sandhi root sing cocog karo syarat sandi FIPS ing "Ngerteni Spesifikasi Sandi lan Pedoman kanggo Junos OS ing Mode FIPS" ing kaca 20. Nalika sampeyan ngaktifake mode FIPS ing Junos OS ing piranti, sampeyan ora bisa ngatur sandhi. kajaba padha ketemu standar iki.
Sandi lokal dienkripsi nganggo algoritma hash aman SHA256 utawa SHA512. Recovery sandi ora bisa ing Junos OS ing mode FIPS. Junos OS ing mode FIPS ora bisa boot menyang mode pangguna siji tanpa tembung sandhi root sing bener.
Kanggo ngaktifake mode FIPS ing Junos OS ing piranti:

  1. Zeroize piranti kanggo mbusak kabeh CSP sadurunge ngetik mode FIPS. Deleng "Ngerteni Zeroization kanggo Mbusak Data Sistem kanggo Mode FIPS" ing kaca 25 bagean kanggo rincian.
  2. Sawise piranti muncul ing 'mode Amnesiac', mlebu nganggo jeneng pangguna root lan sandhi "" (kosong).
    FreeBSD/amd64 (Amnesia) (ttyu0) login: root
    — JUNOS 20.3X75-D30.1 Kernel 64-bit JNPR-11.0-20190701.269d466_buil root@:~ # cli root>
  3. Konfigurasi otentikasi root nganggo sandhi paling ora 10 karakter utawa luwih.
    ROOT> sunting Mlebet mode konfigurasi [sunting] root# atur sistem root-authentication plain-text-password
    Sandi anyar:
    Ketik maneh tembung sandhi anyar: [sunting] root# commit commit complete
  4. Muat konfigurasi menyang piranti lan gawe konfigurasi anyar. Konfigurasi crypto-officer lan login nganggo kredensial crypto-officer.
  5. Instal paket mode fips sing dibutuhake kanggo Routing Engine KATS.
    root@hostname> njaluk piranti lunak sistem nambah opsional: //fips-mode.tgz
    Mode fips sing diverifikasi ditandatangani dening metode PackageDevelopmentEc_2017 ECDSA256+SHA256
  6. Kanggo piranti MX Series,
    • Ngatur fips wates sasis kanthi nyetel tingkat sasis fips sistem 1 lan tundhuk.
    • Ngatur fips wates RE kanthi nyetel sistem fips tingkat 1 lan tundhuk.
    Piranti bisa nampilake tembung sandhi sing dienkripsi kudu dikonfigurasi maneh kanggo nggunakake bebaya hash sing cocog karo FIPS kanggo mbusak CSP lawas ing konfigurasi sing dimuat.
  7. Sawise mbusak lan konfigurasi maneh CSP, commit bakal ditindakake lan piranti kudu urip maneh kanggo mlebu mode FIPS. [sunting] crypto-officer@hostname# commit
    Ngasilake kunci RSA /etc/ssh/fips_ssh_host_key
    Ngasilake kunci RSA2 /etc/ssh/fips_ssh_host_rsa_key
    Ngasilake kunci ECDSA /etc/ssh/fips_ssh_host_ecdsa_key
    [sunting] sistem
    reboot dibutuhake kanggo transisi menyang FIPS level 1 commit lengkap [sunting] crypto-officer@hostname# run request vmhost reboot
  8. Sawise urip maneh piranti, tes mandiri FIPS bakal mbukak lan piranti bakal mlebu ing mode FIPS. crypto-officer@hostname: fips>

DOKUMENTASI RELATED
Ngerteni Spesifikasi Sandi lan Pedoman kanggo Junos OS ing Mode FIPS | 20
Konfigurasi Petugas Crypto lan Identifikasi lan Akses Pangguna FIPS
ING BAGIAN IKI
Konfigurasi Akses Petugas Crypto | 30
Konfigurasi Akses Login Panganggo FIPS | 32
Petugas Crypto ngaktifake mode FIPS ing piranti lan nindakake kabeh tugas konfigurasi kanggo Junos OS ing mode FIPS lan ngetokake kabeh Junos OS ing statement lan printah mode FIPS. Konfigurasi pangguna Crypto Officer lan FIPS kudu ngetutake Junos OS ing pedoman mode FIPS.
Konfigurasi Akses Petugas Crypto
Junos OS ing mode FIPS nawakake ijin pangguna sing luwih apik tinimbang sing diwenehake dening FIPS 140-2.
Kanggo kepatuhan FIPS 140-2, pangguna FIPS sing duwe bit ijin rahasia, keamanan, pangopènan, lan kontrol minangka Crypto Officer. Ing sawetara kasus, kelas super-user cukup kanggo Crypto Officer.
Kanggo ngatur akses mlebu kanggo Petugas Crypto:

  1. Mlebu menyang piranti nganggo tembung sandhi root yen sampeyan durung rampung, banjur ketik mode konfigurasi: root@hostname> sunting Ketik mode konfigurasi [sunting] root@hostname#
  2. Sebutake petugas kripto pangguna lan wenehi Petugas Crypto ID pangguna (kanggo example, 6400, sing kudu dadi nomer unik sing ana gandhengane karo akun login ing kisaran 100 nganti 64000) lan kelas (kanggo mantanample, pangguna super). Nalika sampeyan nemtokake kelas, sampeyan nemtokake ijin-kanggo example, rahasia, keamanan, pangopènan, lan kontrol.
    Kanggo dhaptar ijin, deleng Ngerteni Tingkat Hak Istimewa Akses Junos OS.
    [sunting] root@hostname# atur sistem login user username uid value class class-name
    Kanggo example:
    [sunting] root@hostname# atur pangguna login sistem crypto-officer uid 6400 kelas super-user
  3. Sawise pandhuan ing "Ngerteni Spesifikasi Sandi lan Pedoman kanggo Junos OS ing Mode FIPS" ing kaca 20, nemtokake Petugas Crypto sandhi teks kosong kanggo otentikasi login. Setel sandhi kanthi ngetik sandhi sawise njaluk sandhi anyar lan Ketik maneh sandhi anyar.
    [sunting] root@hostname# set sistem login user username class-name otentikasi (plain-testpassword |
    enkripsi-sandi)
    Kanggo example:
    [sunting] root@hostname# atur login sistem pangguna crypto-officer kelas super-user otentikasi plaintext-sandi
  4. Opsional, nampilake konfigurasi:
    [sunting] root@hostname# sistem edit
    [sunting sistem] root@hostname# show
    mlebu {
    panganggo crypto-office {
    uid 6400;
    otentikasi {
    tembung sandhi sing dienkripsi " ”; ## RAHASIA-DATA
    }
    kelas super-user;
    }
    }
  5. Yen sampeyan wis rampung ngatur piranti, tindakake konfigurasi lan metu:
    [sunting] root@hostname# commit commit rampung
    root@hostname# metu

Konfigurasi Akses Login Panganggo FIPS
Pangguna fips ditetepake minangka pangguna FIPS sing ora duwe bit ijin rahasia, keamanan, pangopènan, lan kontrol.
Minangka Petugas Crypto sampeyan nyiyapake pangguna FIPS. Pangguna FIPS ora bisa diwenehi ijin biasane dilindhungi undhang-undhang kanggo Crypto Officer-kanggo example, ijin kanggo nul sistem.
Kanggo ngatur akses mlebu kanggo pangguna FIPS:

  1. Mlebu menyang piranti nganggo sandhi Crypto Officer yen sampeyan durung nglakoni, lan ketik mode konfigurasi:
    crypto-officer@hostname:fips> sunting
    Ketik mode konfigurasi
    [sunting] crypto-officer@hostname:fips#
  2. Menehi pangguna, jeneng panganggo, lan nemtokake pangguna ID pangguna (kanggo example, 6401, sing kudu nomer unik ing sawetara saka 1 kanggo 64000) lan kelas. Nalika sampeyan nemtokake kelas, sampeyan nemtokake ijin-kanggo example, cetha, jaringan, ngresetview, lan view-konfigurasi.
    [sunting] crypto-officer@hostname:fips# set sistem login user username uid value class class-name For example:
    [sunting] crypto-officer@hostname:fips# nyetel pangguna mlebu sistem kelas fips-user1 uid 6401 mung diwaca
  3. Nderek pedoman ing "Ngerteni Spesifikasi Sandi lan Pedoman kanggo Junos OS ing
    Mode FIPS" ing kaca 20, wenehake sandhi teks kosong kanggo pangguna FIPS kanggo otentikasi login. Setel sandhi kanthi ngetik sandhi sawise njaluk sandhi anyar lan Ketik maneh sandhi anyar.
    [sunting] crypto-officer@hostname:fips# set sistem login user username class-name otentikasi (plain-text-password | encrypted-password)
    Kanggo example:
    [sunting] crypto-officer@hostname:fips# set sistem login user fips-user1 class read-only authentication plain-text-password
  4. Opsional, nampilake konfigurasi:
    [sunting] crypto-officer@hostname:fips# sistem edit [sunting sistem] crypto-officer@hostname:fips# show
    mlebu {
    panganggo fips-user1 {
    uid 6401;
    otentikasi {
    tembung sandhi sing dienkripsi " ”; ## RAHASIA-DATA
    }
    kelas mung diwaca;
    }
    }
  5. Yen sampeyan wis rampung ngatur piranti, tindakake konfigurasi lan metu:
    [sunting] crypto-officer@hostname:fips# commit
    crypto-officer@hostname:fips# metu

Konfigurasi SSH lan Sambungan Konsol

Konfigurasi SSH ing Konfigurasi Evaluasi kanggo FIPS
SSH liwat antarmuka manajemen remot diijini ing konfigurasi sing dievaluasi. Topik iki nerangake carane ngatur SSH liwat manajemen remot.
Algoritma ing ngisor iki sing kudu dikonfigurasi kanggo validasi SSH kanggo FIPS.
Kanggo ngatur SSH ing DUT:

  1. Nemtokake algoritma kunci host SSH sing diidini kanggo layanan sistem.
    [sunting] pangguna @ host# nyetel layanan sistem ssh hostkey-algoritma ssh-ecdsa
    pangguna @ host # nyetel layanan sistem ssh hostkey-algoritma no-ssh-dss
    pangguna @ host # nyetel layanan sistem ssh hostkey-algoritma ssh-rsa
  2. Nemtokake pertukaran kunci SSH kanggo tombol Diffie-Hellman kanggo layanan sistem.
    [sunting] pangguna @ host# nyetel layanan sistem ssh key-exchange dh-group14-sha1
    pangguna @ host # nyetel layanan sistem ssh key-exchange ecdh-sha2-nistp256
    pangguna @ host # nyetel layanan sistem ssh key-exchange ecdh-sha2-nistp384
    pangguna @ host # nyetel layanan sistem ssh key-exchange ecdh-sha2-nistp521
  3. Nemtokake kabeh algoritma kode otentikasi pesen sing diidinake kanggo SSHv2
    [sunting] pangguna @ host# nyetel layanan sistem ssh macs hmac-sha1
    pangguna @ host # nyetel layanan sistem ssh macs hmac-sha2-256
    pangguna @ host # nyetel layanan sistem ssh macs hmac-sha2-512
  4. Nemtokake cipher sing diidini kanggo versi protokol 2.
    [sunting] pangguna @ host# nyetel layanan sistem ssh ciphers aes128-cbc
    pangguna @ host # nyetel layanan sistem ssh ciphers aes256-cbc
    pangguna @ host # nyetel layanan sistem ssh ciphers aes128-ctr
    pangguna @ host # nyetel layanan sistem ssh ciphers aes256-ctr
    pangguna @ host # nyetel layanan sistem ssh ciphers aes192-cbc
    pangguna @ host # nyetel layanan sistem ssh ciphers aes192-ctr
    Algoritma kunci host SSH sing didhukung:
    ssh-ecdsa Allow generasi ECDSA host-key
    ssh-rsa Allow generasi RSA host-key
    Algoritma pertukaran kunci SSH sing didhukung:
    ecdh-sha2-nistp256 EC Diffie-Hellman ing nistp256 karo SHA2-256
    ecdh-sha2-nistp384 EC Diffie-Hellman ing nistp384 karo SHA2-384
    ecdh-sha2-nistp521 EC Diffie-Hellman ing nistp521 karo SHA2-512
    Algoritma MAC sing didhukung:
    hmac-sha1 MAC basis hash nggunakake Algoritma Hash Aman (SHA1)
    hmac-sha2-256 MAC basis hash nggunakake Algoritma Hash Aman (SHA2)
    hmac-sha2-512 MAC basis hash nggunakake Algoritma Hash Aman (SHA2)
    Algoritma cipher SSH sing didhukung:
    aes128-cbc 128-bit AES karo Cipher Block Chaining
    aes128-ctr 128-dicokot AES karo Counter Mode
    aes192-cbc 192-bit AES karo Cipher Block Chaining
    aes192-ctr 192-dicokot AES karo Counter Mode
    aes256-cbc 256-bit AES karo Cipher Block Chaining
    aes256-ctr 256-dicokot AES karo Counter Mode

Konfigurasi MACsec

Ngerteni Keamanan Kontrol Akses Media (MACsec) ing mode FIPS
Keamanan Akses Kontrol Media (MACsec) minangka teknologi keamanan standar industri 802.1AE IEEE sing nyedhiyakake komunikasi sing aman kanggo kabeh lalu lintas ing tautan Ethernet. MACsec nyedhiyakake keamanan point-to-point ing sambungan Ethernet ing antarane simpul sing disambungake langsung lan bisa ngenali lan nyegah paling akeh ancaman keamanan, kalebu penolakan layanan, intrusi, man-in-the-middle, masquerading, penyadapan pasif, lan serangan puter maneh.
MACsec ngidini sampeyan ngamanake link Ethernet titik menyang titik kanggo meh kabeh lalu lintas, kalebu pigura saka Link Layer Discovery Protocol (LLDP), Link Aggregation Control Protocol (LACP), Dynamic Host Configuration Protocol (DHCP), Address Resolution Protocol (ARP), lan protokol liyane sing biasane ora diamanake ing link Ethernet amarga watesan karo solusi keamanan liyane. MACsec bisa digunakake kanthi kombinasi karo protokol keamanan liyane kayata IP Security (IPsec) lan Secure Sockets Layer (SSL) kanggo nyedhiyakake keamanan jaringan end-to-end.
MACsec wis standar ing IEEE 802.1AE. Standar IEEE 802.1AE bisa dideleng ing organisasi IEEE websitus ing IEEE 802.1: BRIDGING & MANAJEMEN.
Saben implementasi algoritma dicenthang dening seri tes jawaban sing dikenal (KAT) lan validasi algoritma crypto (CAV). Algoritma kriptografi ing ngisor iki ditambahake khusus kanggo MACsec.

  • Advanced Encryption Standard (AES)-Cipher Message Authentication Code (CMAC)
  • Bungkus Kunci Standar Enkripsi Lanjut (AES).
    Kanggo MACsec, ing mode konfigurasi, gunakake printah cepet kanggo ngetik nilai kunci rahasia 64 karakter heksadesimal kanggo otentikasi.
    [sunting] crypto-officer@hostname:fips# prompt security macsec connectivity-association pre-shared-key cak
    Cak anyar (rahasia):
    Ketik maneh cak anyar (rahasia):

Kustomisasi Wektu
Kanggo ngatur wektu, mateni NTP lan nyetel tanggal.

  1. Pateni NTP.
    [sunting] crypto-officer@hostname:fips# mateni grup sistem global ntp
    crypto-officer@hostname:fips# mateni sistem ntp
    crypto-officer@hostname:fips# commit
    crypto-officer@hostname:fips# metu
  2. Setelan tanggal lan wektu. Format tanggal lan wektu yaiku YYYYMMDDHHMM.ss
    [sunting] crypto-officer@hostname:fips# set tanggal 201803202034.00
    crypto-officer@hostname:fips# nyetel wektu cliamp
  3. Setel rincian saluran aman MACsec Key Agreement (MKA).
    [sunting] crypto-officer@hostname:fips# nyetel keamanan macsec konektivitas-asosiasi konektivitas asosiasi-jeneng saluran aman-saluran-aman-jeneng arah (mlebu | metu) crypto-officer@hostname:fips# nyetel keamanan macsec konektivitas-asosiasi koneksi asosiasi -jeneng saluran aman saluran aman enkripsi (MACsec) crypto-officer@hostname:fips# atur keamanan macsec konektivitas-asosiasi konektivitasassociation-jeneng saluran aman saluran aman-jeneng id mac-address /”mac-address crypto- officer@hostname:fips# set keamanan macsec connectivity-asosiasi connectivityassociation-name secure-channel secure-channel-name id port-id port-id-nomor crypto-officer@hostname:fips# set keamanan macsec connectivity-asosiasi connectivityassociation-name secure -channel secure-channel-name offset “(0|30|50) crypto-officer@hostname:fips# set security macsec connectivity-asosiasi connectivityassociation-name secure-channel secure-channel-name security-association security-associationnomer key key- senar
  4. Setel MKA menyang mode keamanan.
    [sunting] crypto-officer@hostname:fips# set keamanan macsec konektivitas-asosiasi konektivitasassociation-jeneng keamanan-mode keamanan-mode
  5. Nemtokake asosiasi panyambungan sing dikonfigurasi karo antarmuka MACsec sing ditemtokake.
    [sunting] crypto-officer@hostname:fips# atur keamanan antarmuka macsec antarmuka-jeneng konektivitaskonektivitas asosiasi-jeneng-asosiasi

Konfigurasi statis MACsec karo Lintas ICMP
Kanggo ngatur MACsec Statis nggunakake lalu lintas ICMP antarane piranti R0 lan piranti R1:
Ing R0:

  1. Gawe kunci sing wis dienggo bareng kanthi ngatur jeneng kunci asosiasi konektivitas (CKN) lan kunci asosiasi konektivitas (CAK)
    [sunting] crypto-officer@hostname:fips# set keamanan Macsec connectivity-asosiasi CA1 pra-sharedkey ckn 2345678922334455667788992223334445556667778889992222333344445555
    crypto-officer@hostname:fips# set keamanan macsec connectivity-association CA1 pre-sharedkey key cak 23456789223344556677889922233344 crypto-officer@hostname:fips# set keamanan macsec connectivity-asociation CA1 offset 30
  2. Setel nilai pilihan tilak.
    [sunting] crypto-officer@hostname:fips# nyetel traceoptions macsec keamanan file MACsec.log
    crypto-officer@hostname:fips# nyetel traceoptions macsec keamanan file ukuran 4000000000
    crypto-officer@hostname: fips # nyetel keamanan macsec traceoptions flag kabeh
  3. Nemtokake tilak menyang antarmuka.
    [sunting] crypto-officer@hostname:fips# atur keamanan antarmuka macsec antarmuka-jeneng traceoptions file mka_xe ukuran 1g crypto-officer@hostname:fips# atur keamanan antarmuka macsec antarmuka-jeneng traceoptions flag kabeh
  4. Ngatur mode keamanan MACsec minangka statis-cak kanggo asosiasi panyambungan. [sunting] crypto-officer@hostname:fips# set keamanan macsec connectivity-asosiasi CA1 security-mode static-cak
  5. Setel prioritas server tombol MKA.
    [sunting] crypto-officer@hostname:fips# set keamanan macsec connectivity-association CA1 mka key-serverpriority 1
  6. Setel interval ngirim MKA.
    [sunting] crypto-officer@hostname:fips# set keamanan macsec connectivity-association CA1 mka transmitinterval 3000
  7. Aktifake MKA aman.
    [sunting] crypto-officer@hostname:fips# set keamanan macsec connectivity-association CA1 mka shouldsecure
    crypto-officer@hostname:fips# set keamanan konektivitas-asosiasi macsec CA1 kalebu-sci
  8. Nemtokake asosiasi panyambungan menyang antarmuka.
    [sunting] crypto-officer@hostname:fips# atur keamanan antarmuka macsec antarmuka-jeneng asosiasi konektivitas
    CA1
    crypto-officer@hostname:fips# nyetel antarmuka antarmuka-jeneng unit 0 alamat inet kulawarga 10.1.1.1/24

Ing R1:

  1. Gawe kunci sing wis dienggo bareng kanthi ngatur jeneng kunci asosiasi konektivitas (CKN) lan kunci asosiasi konektivitas (CAK)
    [sunting] crypto-officer@hostname:fips# set keamanan macsec connectivity-association CA1 pra-sharedkey ckn 2345678922334455667788992223334445556667778889992222333344445555 set cryptooffiv1 asosiasi CA23456789223344556677889922233344 pre-sharedkey cak 1 crypto-officer@hostname:fips # nyetel keamanan macsec konektivitas-asosiasi CA30 ngimbangi XNUMX
  2. Setel nilai pilihan tilak.
    [sunting] crypto-officer@hostname:fips# nyetel traceoptions macsec keamanan file MACsec.log crypto-officer@hostname:fips# ngeset traceoptions macsec keamanan file ukuran 4000000000 crypto-officer@hostname:fips# set keamanan macsec traceoptions flag kabeh
  3. Nemtokake tilak menyang antarmuka. [sunting] crypto-officer@hostname:fips# atur keamanan antarmuka macsec antarmuka-jeneng traceoptions file mka_xe ukuran 1g crypto-officer@hostname:fips# atur keamanan antarmuka macsec antarmuka-jeneng traceoptions flag kabeh
  4. Ngatur mode keamanan MACsec minangka statis-cak kanggo asosiasi panyambungan. [sunting] crypto-officer@hostname:fips# set keamanan macsec connectivity-asosiasi CA1 security-mode static-cak
  5. Setel interval ngirim MKA.
    [sunting] crypto-officer@hostname:fips# set keamanan macsec connectivity-association CA1 mka transmitinterval 3000
  6. Aktifake MKA aman. [sunting] crypto-officer@hostname:fips# set keamanan macsec connectivity-association CA1 mka shouldsecure crypto-officer@hostname:fips# set security macsec connectivity-association CA1 include-sci
  7. Nemtokake asosiasi panyambungan menyang antarmuka. [sunting] crypto-officer@hostname:fips# set keamanan antarmuka macsec interface-name connectivityassociation CA1 crypto-officer@hostname:fips# set interface interface-name unit 0 alamat inet kulawarga 10.1.1.2/24

Konfigurasi MACsec karo keychain nggunakake Lintas ICMP
Kanggo ngatur MACsec karo keychain nggunakake lalu lintas ICMP antarane piranti R0 lan piranti R1:
Ing R0:

  1. Nemtokake nilai toleransi menyang rantai kunci otentikasi. [sunting] crypto-officer@hostname:fips# set keamanan otentikasi-key-chains key-chain macsec-kc1 toleransi 20
  2. Nggawe sandi rahasia kanggo nggunakake. Iki minangka senar saka digit heksadesimal nganti 64 karakter. Tembung sandhi bisa kalebu spasi yen senar karakter dilebokake ing tanda petik. Data rahasia keychain digunakake minangka CAK.
    [sunting] crypto-officer@hostname:fips# set keamanan otentikasi-key-chains key-chain macsec-kc1 key 0 key-name 2345678922334455667788992223334445556667778889992222333344445551 set a crypto-host otentikasi-key-chain key-chain macsec- kc1 key 0 start-time 2018-03-20.20:35 crypto-officer@hostname:fips# set keamanan otentikasi-key-chains key-chain macsec-kc1 key 1 key-name 2345678922334455667788992223334445556667778889992222333344445552 1 crypto-officer@hostname:fips# nyetel keamanan otentikasi-key-chains key-chains macsec-kc1 key 2018 start-time 03-20.20-37:1 crypto-officer@hostname:fips# set keamanan otentikasi-key-chains key-chains macsec-kc2 key 2345678922334455667788992223334445556667778889992222333344445553 key-name 1 2 crypto-officer@hostname:fips# atur keamanan otentikasi-key-chains key-chain macsec-kc2018 key 03 start-time 20.20-39-1:3 crypto-officer@hostname:fips# set keamanan otentikasi-key-chains key- chain macsec-kc2345678922334455667788992223334445556667778889992222333344445554 key 1 key-name 3 crypto-officer@hostname:fips-set keamanan-chainecscchain 2018 keychain03 20.20-41-1:4 crypto-officer@hostname:fips # atur keamanan otentikasi-key-chains key-chain macsec-kc2345678922334455667788992223334445556667778889992222333344445555 key 1 key-name 4 set crypto-name-keyficer@ sec-kc2018 tombol 03 wektu wiwitan 20.20-43- 1:5 crypto-officer@hostname:fips# set keamanan otentikasi-key-chains key-chain macsec-kc2345678922334455667788992223334445556667778889992222333344445556 key 1 key-name 5 crypto-host fips# nyetel otentikasi keamanan-key-chain key-chain macsec- kc2018 key 03 wiwitan-wektu 20.20-45-1:6 crypto-officer@hostname:fips# set keamanan otentikasi-key-chains key-chain macsec-kc2345678922334455667788992223334445556667778889992222333344445557 key 1 key-name 6 2018 crypto-officer@hostname:fips# nyetel keamanan otentikasi-key-chains key-chains macsec-kc03 key 20.20 wektu wiwitan 47-1-7:2345678922334455667788992223334445556667778889992222333344445558 crypto-officer@hostname:fips# set keamanan otentikasi-key-chains key-chains macsec-kc1 key 7 key-name 2018 03 crypto-officer@hostname: fips # nyetel otentikasi keamanan-key-chains key-chain macsec-kc20.20 key 49 wiwitan-wektu XNUMX-XNUMX-XNUMX:XNUMX Gunakake printah cepet kanggo ngetik nilai kunci rahasia. Kanggo example, nilai kunci rahasia yaiku 2345678922334455667788992223334123456789223344556677889922233341. [sunting] crypto-officer@hostname:fips# prompt security authentication-key-chainsecret-chack1 key-chainsecret-channel anyar cak (rahasia): crypto-petugas @hostname:fips# prompt keamanan otentikasi-key-chains key-chain macseckc0 key 1 rahasia Cak anyar (rahasia):
    Ketik maneh cak anyar (rahasia): crypto-officer@hostname:fips# prompt keamanan otentikasi-key-chains key-chain macseckc1 key 2 rahasia Cak anyar (rahasia):
    Ketik maneh cak anyar (rahasia): crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macseckc1 key 3 rahasia Cak anyar (rahasia): Ketik maneh cak anyar (rahasia): crypto-officer@hostname:fips# keamanan cepet otentikasi-key-chains key-chain macseckc1 key 4 rahasia Cak anyar (rahasia): Ketik maneh cak anyar (rahasia): crypto-officer@hostname:fips# prompt keamanan otentikasi-key-chains key-chain macseckc1 key 5 rahasia Anyar cak (rahasia): Ketik maneh cak anyar (rahasia): crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macseckc1 key 6 rahasia Cak anyar (rahasia): Ketik maneh cak anyar (rahasia): crypto-officer @hostname:fips# prompt keamanan otentikasi-key-chains key-chain macseckc1 key 7 rahasia Cak anyar (rahasia): Ketik maneh cak anyar (rahasia):
  3. Gathukake jeneng gantungan kunci sing wis dienggo bareng karo asosiasi konektivitas.
    [sunting] crypto-officer@hostname:fips# set keamanan macsec connectivity-association CA1 pre-sharedkey-chain macsec-kc1 crypto-officer@hostname:fips# set security macsec connectivity-association CA1 offset 50 crypto-officer@hostname:fips # nyetel keamanan macsec konektivitas-asosiasi CA1 cipher-suite gcm-aes-256
    CATETAN: Nilai cipher uga bisa disetel minangka cipher-suite gcm-aes-128.
  4. Setel nilai pilihan tilak.
    [sunting] crypto-officer@hostname:fips# nyetel traceoptions macsec keamanan file MACsec.log crypto-officer@hostname:fips# ngeset traceoptions macsec keamanan file ukuran 4000000000 crypto-officer@hostname:fips# set keamanan macsec traceoptions flag kabeh
  5. Nemtokake tilak menyang antarmuka. [sunting] crypto-officer@hostname:fips# atur keamanan antarmuka macsec antarmuka-jeneng traceoptions file mka_xe ukuran 1g crypto-officer@hostname:fips# atur keamanan antarmuka macsec antarmuka-jeneng traceoptions flag kabeh
  6. Ngatur mode keamanan MACsec minangka statis-cak kanggo asosiasi panyambungan. [sunting] crypto-officer@hostname:fips# set keamanan macsec connectivity-asosiasi CA1 securitymode static-cak
  7. Setel prioritas server tombol MKA.
    [sunting] crypto-officer@hostname:fips# set keamanan macsec connectivity-association CA1 mka keyserver-priority 1
  8. Setel interval ngirim MKA.
    [sunting] crypto-officer@hostname:fips# set keamanan macsec connectivity-association CA1 mka transmitinterval 3000
  9. Aktifake MKA aman.
    [sunting] crypto-officer@hostname:fips# set keamanan macsec connectivity-asosiasi CA1 include-sci
  10. Nemtokake asosiasi panyambungan menyang antarmuka.
    [sunting] crypto-officer@hostname:fips# atur keamanan antarmuka macsec antarmuka-jeneng konektivitas asosiasi CA1
    crypto-officer@hostname:fips#
    nyetel antarmuka antarmuka-jeneng unit 0 alamat inet kulawarga 10.1.1.1/24

Kanggo ngatur MACsec nganggo keychain kanggo lalu lintas ICMP:
Ing R1:

  1. Nemtokake nilai toleransi menyang rantai kunci otentikasi.
    [sunting] crypto-officer@hostname:fips# set keamanan otentikasi-key-chains key-chain macsec-kc1 toleransi 20
  2. Nggawe sandi rahasia kanggo nggunakake. Iki minangka senar saka digit heksadesimal nganti 64 karakter. Tembung sandhi bisa kalebu spasi yen senar karakter dilebokake ing tanda petik. Data rahasia keychain digunakake minangka CAK.
    [sunting] crypto-officer@hostname:fips# set keamanan otentikasi-key-chains key-chain macsec-kc1 key 0 key-name 2345678922334455667788992223334445556667778889992222333344445551 set a crypto-host otentikasi-key-chain key-chain macsec- kc1 key 0 start-time 2018-03-20.20:35 crypto-officer@hostname:fips# set keamanan otentikasi-key-chains key-chain macsec-kc1 key 1 key-name 2345678922334455667788992223334445556667778889992222333344445552 1 crypto-officer@hostname:fips# nyetel keamanan otentikasi-key-chains key-chains macsec-kc1 key 2018 start-time 03-20.20-37:1 crypto-officer@hostname:fips# set keamanan otentikasi-key-chains key-chains macsec-kc2 key 2345678922334455667788992223334445556667778889992222333344445553 key-name 1 2 crypto-officer@hostname:fips# atur keamanan otentikasi-key-chains key-chain macsec-kc2018 key 03 start-time 20.20-39-1:3 crypto-officer@hostname:fips# set keamanan otentikasi-key-chains key- chain macsec-kc2345678922334455667788992223334445556667778889992222333344445554 key 1 key-name 3 crypto-officer@hostname:fips-set keamanan-chainecscchain 2018 keychain03 20.20-41-1:4 crypto-officer@hostname:fips # atur keamanan otentikasi-key-chains key-chain macsec-kc2345678922334455667788992223334445556667778889992222333344445555 key 1 key-name 4 set crypto-name-keyficer@ sec-kc2018 tombol 03 wektu wiwitan 20.20-43- 1: 5 pejabat crypto @ hostname: fips # set jeneng Keamanan-Key-Chain MacSEC-Key-Key-Chain Key-Chain Key-Chain Tombol- Chain MacSEC- kc345678922334455667788992223334445556667778889992222333344445556 key 1 wiwitan-wektu 5-2018-03:20.20 crypto-officer@hostname:fips# set keamanan otentikasi-key-chains key-chain macsec-kc45 key 1 key-name 6 2345678922334455667788992223334445556667778889992222333344445557 crypto-officer@hostname:fips# nyetel keamanan otentikasi-key-chains key-chains macsec-kc1 key 6 wektu wiwitan 2018-03-20.20:47 crypto-officer@hostname:fips# set keamanan otentikasi-key-chains key-chains macsec-kc1 key 7 key-name 2345678922334455667788992223334445556667778889992222333344445558 1 crypto-officer@hostname:fips# nyetel otentikasi keamanan-key-chains key-chain macsec-kc7 key 2018 wektu wiwitan 03-20.20-49:XNUMX
    Gunakake printah pituduh kanggo ngetik nilai kunci rahasia. Kanggo example, nilai kunci rahasia yaiku 2345678922334455667788992223334123456789223344556677889922233341.
    [sunting] crypto-officer@hostname:fips# prompt keamanan otentikasi-key-chains key-chain macseckc1 key 0 rahasia
    Cak anyar (rahasia):
    Ketik maneh cak anyar (rahasia): crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macseckc1 key 1 rahasia Cak anyar (rahasia): Ketik maneh cak anyar (rahasia): crypto-officer@hostname:fips# keamanan cepet otentikasi-key-chains key-chain macseckc1 key 2 rahasia Cak anyar (rahasia): Ketik maneh cak anyar (rahasia): crypto-officer@hostname:fips# cepet keamanan otentikasi-key-chains key-chain macseckc1 key 3 rahasia Anyar cak (rahasia): Ketik maneh cak anyar (rahasia): crypto-officer@hostname:fips# prompt keamanan otentikasi-key-chains key-chain macseckc1 key 4 rahasia Cak anyar (rahasia): Ketik maneh cak anyar
    (rahasia):
    crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macseckc1 key 5 rahasia Cak anyar (rahasia): Ketik maneh cak anyar (rahasia):
    crypto-officer@hostname:fips# prompt keamanan otentikasi-key-chains key-chain macseckc1 key 6 rahasia Cak anyar (rahasia):
    Ketik maneh cak anyar (rahasia):
    crypto-officer@hostname:fips# prompt keamanan otentikasi-key-chains key-chain macseckc1 key 7 rahasia Cak anyar (rahasia):
    Ketik maneh cak anyar (rahasia):
  3. Gathukake jeneng gantungan kunci sing wis dienggo bareng karo asosiasi konektivitas.
    [sunting] crypto-officer@hostname:fips# set keamanan macsec connectivity-association CA1 pre-shared- key-chain macsec-kc1
    crypto-officer@hostname:fips# set keamanan macsec connectivity-association CA1 offset 50 crypto-officer@hostname:fips# set security macsec connectivity-association CA1 cipher-suite gcm-aes-256
  4. Setel nilai pilihan tilak.
    [sunting] crypto-officer@hostname:fips# nyetel traceoptions macsec keamanan file MACsec.log crypto-officer@hostname:fips# ngeset traceoptions macsec keamanan file ukuran 4000000000 crypto-officer@hostname:fips# set keamanan macsec traceoptions flag kabeh
  5. Nemtokake tilak menyang antarmuka.
    [sunting] crypto-officer@hostname:fips# atur keamanan antarmuka macsec antarmuka-jeneng traceoptions file mka_xe ukuran 1g crypto-officer@hostname:fips# atur keamanan antarmuka macsec antarmuka-jeneng traceoptions flag kabeh
  6. Ngatur mode keamanan MACsec minangka statis-cak kanggo asosiasi panyambungan.
    [sunting] crypto-officer@hostname:fips# set keamanan macsec connectivity-asosiasi CA1 securitymode static-cak
  7. Setel prioritas server tombol MKA.
    [sunting] crypto-officer@hostname:fips# set keamanan macsec connectivity-association CA1 mka keyserver-priority 1
  8. Setel interval ngirim MKA.
    [sunting] crypto-officer@hostname:fips# set keamanan macsec connectivity-association CA1 mka transmitinterval 3000
  9. Aktifake MKA aman.
    [sunting] crypto-officer@hostname:fips# set keamanan macsec connectivity-asosiasi CA1 include-sci
  10. Nemtokake asosiasi panyambungan menyang antarmuka.
    [sunting] crypto-officer@hostname:fips# atur keamanan antarmuka macsec antarmuka-jeneng asosiasi konektivitas
    CA1
    crypto-officer@hostname:fips# nyetel antarmuka antarmuka-jeneng unit 0 alamat inet kulawarga 10.1.1.2/24

Konfigurasi statis MACsec kanggo Lapisan 2 Lalu lintas
Kanggo ngatur MACsec statis kanggo lalu lintas Layer 2 antarane piranti R0 lan piranti R1:
Ing R0:

  1. Setel prioritas server tombol MKA.
    [sunting] crypto-officer@hostname:fips# set keamanan macsec connectivity-asosiasi CA1 kunci mka server-prioritas 1
  2. Nggawe sandi rahasia kanggo nggunakake. Iki minangka senar saka digit heksadesimal nganti 64 karakter. Tembung sandhi bisa kalebu spasi yen senar karakter dilebokake ing tanda petik. Data rahasia keychain digunakake minangka CAK.
    [sunting] crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macseckc1 key 0 rahasia Cak anyar (rahasia):
    Ketik maneh cak anyar (rahasia):
    Kanggo example, nilai kunci rahasia yaiku 2345678922334455667788992223334123456789223344556677889922233341.
  3. Gathukake jeneng gantungan kunci sing wis dienggo bareng karo asosiasi konektivitas. [sunting] crypto-officer@hostname:fips# set keamanan macsec connectivity-association CA1 pre-sharedkey-chain macsec-kc1 crypto-officer@hostname:fips# set security macsec connectivity-association CA1 offset 50 crypto-officer@hostname:fips # nyetel keamanan macsec konektivitas-asosiasi CA1 cipher-suite gcm-aes-256
  4. Setel nilai pilihan tilak. [sunting] crypto-officer@hostname:fips# nyetel traceoptions macsec keamanan file MACsec.log crypto-officer@hostname:fips# ngeset traceoptions macsec keamanan file ukuran 4000000000 crypto-officer@hostname:fips# set keamanan macsec traceoptions flag kabeh
  5. Nemtokake tilak menyang antarmuka. [sunting] crypto-officer@hostname:fips# atur keamanan antarmuka macsec antarmuka-jeneng traceoptions file mka_xe ukuran 1g crypto-officer@hostname:fips# atur keamanan antarmuka macsec antarmuka-jeneng traceoptions flag kabeh
  6. Ngatur mode keamanan MACsec minangka statis-cak kanggo asosiasi panyambungan.
    [sunting] crypto-officer@hostname:fips# set keamanan macsec connectivity-asosiasi CA1 securitymode static-cak
  7. Setel prioritas server tombol MKA. [sunting] crypto-officer@hostname:fips# set keamanan macsec connectivity-asosiasi CA1 kunci mka server-prioritas 1
  8. Setel interval ngirim MKA.
    [sunting] crypto-officer@hostname:fips# set keamanan macsec connectivity-association CA1 mka transmitinterval 3000
  9. Aktifake MKA aman.
    [sunting] crypto-officer@hostname:fips# set keamanan macsec connectivity-asosiasi CA1 include-sci
  10. Nemtokake asosiasi panyambungan menyang antarmuka.
    [sunting] crypto-officer@hostname:fips# atur keamanan antarmuka macsec antarmuka-jeneng asosiasi konektivitas
    CA1
  11. Konfigurasi VLAN tagging
    [sunting] crypto-officer@hostname:fips# atur antarmuka antarmuka-name1 fleksibel-vlan-tagging
    crypto-officer@hostname:fips# atur antarmuka antarmuka-name1 enkapsulasi layanan Ethernet fleksibel
    crypto-officer@hostname:fips#
    nyetel antarmuka antarmuka-name1 unit 100 enkapsulasi vlanbridge
    crypto-officer@hostname:fips#
    atur antarmuka antarmuka-name1 unit 100 vlan-id 100
    crypto-officer@hostname:fips# atur antarmuka antarmuka-name2 fleksibel-vlan-tagging
    crypto-officer@hostname:fips# atur antarmuka antarmuka-name2 enkapsulasi layanan Ethernet fleksibel
    crypto-officer@hostname:fips#
    nyetel antarmuka antarmuka-name2 unit 100 enkapsulasi vlanbridge
    crypto-officer@hostname:fips#
    atur antarmuka antarmuka-name2 unit 100 vlan-id 100
  12. Konfigurasi domain jembatan.
    [sunting] crypto-officer@hostname:fips# set bridge-domains BD-110 domain-type bridge
    crypto-officer@hostname:fips# set bridge-domains BD-110 vlan-id 100
    crypto-officer@hostname:fips# nyetel bridge-domains BD-110 antarmuka antarmuka-name1 100
    crypto-officer@hostname:fips# nyetel bridge-domains BD-110 antarmuka antarmuka-name2 100

Ing R1:

  1. Nggawe sandi rahasia kanggo nggunakake. Iki minangka senar saka digit heksadesimal nganti 64 karakter. Ing
    sandi bisa kalebu spasi yen senar karakter wis terlampir ing tandha petik. Gantungan kuncine
    rahasia-data digunakake minangka CAK.
    [sunting] crypto-officer@hostname:fips# prompt keamanan otentikasi-key-chains key-chain macseckc1 key 0 rahasia
    Cak anyar
    (rahasia):
    Ketik maneh cak
    (rahasia):
    Kanggo example, Nilai kunci rahasia punika
    2345678922334455667788992223334123456789223344556677889922233341.
  2. Gathukake jeneng gantungan kunci sing wis dienggo bareng karo asosiasi konektivitas.
    [sunting] crypto-officer@hostname:fips# set keamanan macsec connectivity-association CA1 pre-sharedkey-chain
    macsec-kc1 crypto-officer@hostname:fips#
    nyetel keamanan macsec konektivitas-asosiasi CA1 ngimbangi 50
    crypto-officer@hostname:fips# nyetel keamanan macsec connectivity-asosiasi CA1 cipher-suite gcm-aes-256
  3. Setel nilai pilihan tilak.
    [sunting] crypto-officer@hostname:fips# nyetel traceoptions macsec keamanan file MACsec.log
    crypto-officer@hostname:fips# nyetel traceoptions macsec keamanan file ukuran 4000000000
    crypto-officer@hostname: fips # nyetel keamanan macsec traceoptions flag kabeh
  4. Nemtokake tilak menyang antarmuka.
    [sunting] crypto-officer@hostname:fips# atur keamanan antarmuka macsec antarmuka-jeneng traceoptions file ukuran mka_xe 1g
    crypto-officer@hostname:fips# nyetel keamanan antarmuka macsec antarmuka-jeneng traceoptions
    gendera kabeh
  5. Ngatur mode keamanan MACsec minangka statis-cak kanggo asosiasi panyambungan.
    [sunting] crypto-officer@hostname:fips# nyetel keamanan macsec connectivity-asosiasi CA1 securitymode
    statis-cak
  6. Setel prioritas server tombol MKA.
    [sunting] crypto-officer@hostname:fips# set keamanan macsec connectivity-asosiasi CA1 kunci mka server-prioritas 1
  7. Setel interval ngirim MKA.
    [sunting] crypto-officer@hostname:fips# set keamanan macsec connectivity-asosiasi CA1 mka transmitinterval
    3000
  8. Aktifake MKA aman.
    [sunting] crypto-officer@hostname:fips# set keamanan macsec connectivity-asosiasi CA1 include-sci
  9. Nemtokake asosiasi panyambungan menyang antarmuka.
    [sunting] crypto-officer@hostname:fips# atur keamanan antarmuka macsec antarmuka-jeneng konektivitas asosiasi CA1
  10. Konfigurasi VLAN tagging
    [sunting] crypto-officer@hostname:fips# atur antarmuka antarmuka-name1 fleksibel-vlan-tagging
    crypto-officer@hostname:fips# atur antarmuka antarmuka-name1 enkapsulasi layanan Ethernet fleksibel
    crypto-officer@hostname:fips# atur antarmuka antarmuka-name1 unit 100 enkapsulasi vlanbridge
    crypto-officer@hostname:fips#
    atur antarmuka antarmuka-name1 unit 100 vlan-id 100
    crypto-officer@hostname:fips# atur antarmuka antarmuka-name2 fleksibel-vlan-tagging
    crypto-officer@hostname:fips# atur antarmuka antarmuka-name2 enkapsulasi layanan Ethernet fleksibel
    crypto-officer@hostname:fips#
    nyetel antarmuka antarmuka-name2 unit 100 enkapsulasi vlanbridge
    crypto-officer@hostname:fips#
    atur antarmuka antarmuka-name2 unit 100 vlan-id 100
  11. Konfigurasi domain jembatan.
    [sunting] crypto-officer@hostname:fips# set bridge-domains BD-110 domain-type bridge
    crypto-officer@hostname:fips# set bridge-domains BD-110 vlan-id 100
    crypto-officer@hostname:fips# nyetel bridge-domains BD-110 antarmuka antarmuka-name1 100
    crypto-officer@hostname:fips# nyetel bridge-domains BD-110 antarmuka antarmuka-name2 100

Konfigurasi MACsec nganggo gantungan kunci kanggo Lapisan 2 Lalu Lintas

Kanggo ngatur MACsec karo keychain kanggo lalu lintas ICMP antarane piranti R0 lan piranti R1:
Ing R0:

  1. Nemtokake nilai toleransi menyang rantai kunci otentikasi.
    [sunting] crypto-officer@hostname:fips# set keamanan otentikasi-key-chains key-chain macsec-kc1 toleransi 20
  2. Nggawe sandi rahasia kanggo nggunakake. Iki minangka senar saka digit heksadesimal nganti 64 karakter. Tembung sandhi bisa kalebu spasi yen senar karakter dilebokake ing tanda petik. Data rahasia keychain digunakake minangka CAK.
    [sunting] crypto-officer@hostname:fips# set keamanan otentikasi-key-chains key-chain macsec-kc1
    kunci 0 jeneng kunci 2345678922334455667788992223334445556667778889992222333344445551
    crypto-officer@hostname:fips# set keamanan otentikasi-key-chains key-chain macsec-kc1
    tombol 0 wiwitan-wektu 2018-03-20.20:35
    crypto-officer@hostname:fips# set keamanan otentikasi-key-chains key-chain macsec-kc1
    kunci 1 jeneng kunci 2345678922334455667788992223334445556667778889992222333344445552
    crypto-officer@hostname:fips# set keamanan otentikasi-key-chains key-chain macsec-kc1
    tombol 1 wiwitan-wektu 2018-03-20.20:37
    crypto-officer@hostname:fips# set keamanan otentikasi-key-chains key-chain macsec-kc1
    kunci 2 jeneng kunci 2345678922334455667788992223334445556667778889992222333344445553
    crypto-officer@hostname:fips# set keamanan otentikasi-key-chains key-chain macsec-kc1
    tombol 2 wiwitan-wektu 2018-03-20.20:39
    crypto-officer@hostname:fips# set keamanan otentikasi-key-chains key-chain macsec-kc1
    kunci 3 jeneng kunci 2345678922334455667788992223334445556667778889992222333344445554
    crypto-officer@hostname:fips# set keamanan otentikasi-key-chains key-chain macsec-kc1
    tombol 3 wiwitan-wektu 2018-03-20.20:41
    crypto-officer@hostname:fips# set keamanan otentikasi-key-chains key-chain macsec-kc1
    kunci 4 jeneng kunci 2345678922334455667788992223334445556667778889992222333344445555
    crypto-officer@hostname:fips# set keamanan otentikasi-key-chains key-chain macsec-kc1
    tombol 4 wiwitan-wektu 2018-03-20.20:43
    crypto-officer@hostname:fips# set keamanan otentikasi-key-chains key-chain macsec-kc1
    kunci 5 jeneng kunci 2345678922334455667788992223334445556667778889992222333344445556
    crypto-officer@hostname:fips# set keamanan otentikasi-key-chains key-chain macsec-kc1
    tombol 5 wiwitan-wektu 2018-03-20.20:45
    crypto-officer@hostname:fips# set keamanan otentikasi-key-chains key-chain macsec-kc1
    kunci 6 jeneng kunci 2345678922334455667788992223334445556667778889992222333344445557
    crypto-officer@hostname:fips# set keamanan otentikasi-key-chains key-chain macsec-kc1
    tombol 6 wiwitan-wektu 2018-03-20.20:47
    crypto-officer@hostname:fips# set keamanan otentikasi-key-chains key-chain macsec-kc1
    kunci 7 jeneng kunci 2345678922334455667788992223334445556667778889992222333344445558
    crypto-officer@hostname:fips# set keamanan otentikasi-key-chains key-chain macsec-kc1
    tombol 7 wiwitan-wektu 2018-03-20.20:49
    Gunakake printah pituduh kanggo ngetik nilai kunci rahasia. Kanggo example, Nilai kunci rahasia punika
    2345678922334455667788992223334123456789223344556677889922233341.
    [sunting] crypto-officer@hostname:fips# prompt keamanan otentikasi-key-chains key-chain macseckc1 key 0 rahasia
    Cak anyar
    (rahasia):
    Ketik maneh cak
    (rahasia):
    crypto-officer@hostname:fips#
    keamanan cepet otentikasi-key-chains key-chain macseckc1 key 1 rahasia
    Cak anyar
    (rahasia):
    Ketik maneh cak
    (rahasia):
    crypto-officer@hostname:fips# otentikasi keamanan cepet-key-chains key-chain macseckc1 kunci 2 rahasia
    Cak anyar
    (rahasia):
    Ketik maneh cak
    (rahasia):
    crypto-officer@hostname:fips#
    keamanan cepet otentikasi-key-chains key-chain macseckc1 key 3 rahasia
    Cak anyar
    (rahasia):
    Ketik maneh cak
    (rahasia):
    crypto-officer@hostname:fips#
    keamanan cepet otentikasi-key-chains key-chain macseckc1 key 4 rahasia
    Cak anyar
    (rahasia):
    Ketik maneh cak
    (rahasia):
    crypto-officer@hostname:fips#
    keamanan cepet otentikasi-key-chains key-chain macseckc1 key 5 rahasia
    Cak anyar
    (rahasia):
    Ketik maneh cak
    (rahasia):
    crypto-officer@hostname:fips#
    keamanan cepet otentikasi-key-chains key-chain macseckc1 key 6 rahasia
    Cak anyar
    (rahasia):
    Ketik maneh cak
    (rahasia):
    crypto-officer@hostname:fips#
    keamanan cepet otentikasi-key-chains key-chain macseckc1 key 7 rahasia
    Cak anyar
    (rahasia):
    Ketik maneh cak
    (rahasia):
  3. Gathukake jeneng gantungan kunci sing wis dienggo bareng karo asosiasi konektivitas.
    [sunting] crypto-officer@hostname:fips# set keamanan macsec connectivity-association CA1 pre-sharedkey-chain
    macsec-kc1
    crypto-officer@hostname:fips#
    nyetel keamanan macsec panyambungan-asosiasi CA1 cipher-Suite
    gcm-aes-256
  4. Setel nilai pilihan tilak.
    [sunting] crypto-officer@hostname:fips# nyetel traceoptions macsec keamanan file MACsec.log
    crypto-officer@hostname:fips# nyetel traceoptions macsec keamanan file ukuran 4000000000
    crypto-officer@hostname: fips # nyetel keamanan macsec traceoptions flag kabeh
  5.  Nemtokake tilak menyang antarmuka.
    [sunting] crypto-officer@hostname:fips# atur keamanan antarmuka macsec antarmuka-jeneng traceoptions
    file ukuran mka_xe 1g
    crypto-officer@hostname:fips# nyetel keamanan antarmuka macsec antarmuka-jeneng traceoptions
    gendera kabeh
  6. Ngatur mode keamanan MACsec minangka statis-cak kanggo asosiasi panyambungan.
    [sunting] crypto-officer@hostname:fips# nyetel keamanan macsec connectivity-asosiasi CA1 securitymode
    statis-cak
  7. Setel prioritas server tombol MKA.
    [sunting] crypto-officer@hostname:fips# set keamanan macsec connectivity-asosiasi CA1 kunci mka server-prioritas 1
  8. Setel interval ngirim MKA.
    [sunting] crypto-officer@hostname:fips# set keamanan macsec connectivity-asosiasi CA1 mka transmitinterval
    3000
  9. Aktifake MKA aman.
    [sunting] crypto-officer@hostname:fips# set keamanan macsec connectivity-asosiasi CA1 include-sci
  10. Nemtokake asosiasi panyambungan menyang antarmuka.
    [sunting] crypto-officer@hostname:fips# atur keamanan antarmuka macsec antarmuka-jeneng asosiasi konektivitas
    CA1
  11. Konfigurasi VLAN tagging
    [sunting] crypto-officer@hostname:fips# atur antarmuka antarmuka-name1 fleksibel-vlan-tagging
    crypto-officer@hostname:fips# atur antarmuka antarmuka-name1 enkapsulasi flexibleethernet-services
    crypto-officer@hostname:fips#
    nyetel antarmuka antarmuka-name1 unit 100 enkapsulasi vlanbridge
    crypto-officer@hostname:fips#
    atur antarmuka antarmuka-name1 unit 100 vlan-id 100
    crypto-officer@hostname:fips# atur antarmuka antarmuka-name2 fleksibel-vlan-tagging
    crypto-officer@hostname:fips# atur antarmuka antarmuka-name2 enkapsulasi flexibleethernet-services
    crypto-officer@hostname:fips#
    nyetel antarmuka antarmuka-name2 unit 100 enkapsulasi vlanbridge
    crypto-officer@hostname:fips#
    atur antarmuka antarmuka-name2 unit 100 vlan-id 100
  12.  Konfigurasi domain jembatan.
    [sunting] crypto-officer@hostname:fips# set bridge-domains BD-110 domain-type bridge
    crypto-officer@hostname:fips# set bridge-domains BD-110 vlan-id 100
    crypto-officer@hostname:fips# nyetel bridge-domains BD-110 antarmuka antarmuka-name1 100
    crypto-officer@hostname:fips# nyetel bridge-domains BD-110 antarmuka antarmuka-name2 100

Ing R1:

  1. Nemtokake nilai toleransi menyang rantai kunci otentikasi.
    [sunting] crypto-officer@hostname:fips# set keamanan otentikasi-key-chains key-chain macsec-kc1 toleransi 20
  2. Nggawe sandi rahasia kanggo nggunakake. Iki minangka senar saka digit heksadesimal nganti 64 karakter. Tembung sandhi bisa kalebu spasi yen senar karakter dilebokake ing tanda petik. Data rahasia keychain digunakake minangka CAK.
    [sunting] crypto-officer@hostname:fips# set keamanan otentikasi-key-chains key-chain macsec-kc1
    kunci 0 jeneng kunci 2345678922334455667788992223334445556667778889992222333344445551
    crypto-officer@hostname:fips# set keamanan otentikasi-key-chains key-chain macsec-kc1
    tombol 0 wiwitan-wektu 2018-03-20.20:35
    crypto-officer@hostname:fips# set keamanan otentikasi-key-chains key-chain macsec-kc1
    kunci 1 jeneng kunci 2345678922334455667788992223334445556667778889992222333344445552
    crypto-officer@hostname:fips# set keamanan otentikasi-key-chains key-chain macsec-kc1
    tombol 1 wiwitan-wektu 2018-03-20.20:37
    crypto-officer@hostname:fips# set keamanan otentikasi-key-chains key-chain macsec-kc1
    kunci 2 jeneng kunci 2345678922334455667788992223334445556667778889992222333344445553
    crypto-officer@hostname:fips# set keamanan otentikasi-key-chains key-chain macsec-kc1
    tombol 2 wiwitan-wektu 2018-03-20.20:39
    crypto-officer@hostname:fips# set keamanan otentikasi-key-chains key-chain macsec-kc1
    kunci 3 jeneng kunci 2345678922334455667788992223334445556667778889992222333344445554
    crypto-officer@hostname:fips# set keamanan otentikasi-key-chains key-chain macsec-kc1
    tombol 3 wiwitan-wektu 2018-03-20.20:41
    crypto-officer@hostname:fips# set keamanan otentikasi-key-chains key-chain macsec-kc1
    kunci 4 jeneng kunci 2345678922334455667788992223334445556667778889992222333344445555
    crypto-officer@hostname:fips# set keamanan otentikasi-key-chains key-chain macsec-kc1
    tombol 4 wiwitan-wektu 2018-03-20.20:43
    crypto-officer@hostname:fips# set keamanan otentikasi-key-chains key-chain macsec-kc1
    kunci 5 jeneng kunci 2345678922334455667788992223334445556667778889992222333344445556
    crypto-officer@hostname:fips# set keamanan otentikasi-key-chains key-chain macsec-kc1
    tombol 5 wiwitan-wektu 2018-03-20.20:45
    crypto-officer@hostname:fips# set keamanan otentikasi-key-chains key-chain macsec-kc1
    kunci 6 jeneng kunci 2345678922334455667788992223334445556667778889992222333344445557
    crypto-officer@hostname:fips# set keamanan otentikasi-key-chains key-chain macsec-kc1
    tombol 6 wiwitan-wektu 2018-03-20.20:47
    crypto-officer@hostname:fips# set keamanan otentikasi-key-chains key-chain macsec-kc1
    kunci 7 jeneng kunci 2345678922334455667788992223334445556667778889992222333344445558
    crypto-officer@hostname:fips# set keamanan otentikasi-key-chains key-chain macsec-kc1
    tombol 7 wiwitan-wektu 2018-03-20.20:49
    Gunakake printah pituduh kanggo ngetik nilai kunci rahasia. Kanggo example, Nilai kunci rahasia punika
    2345678922334455667788992223334123456789223344556677889922233341.
    [sunting] crypto-officer@hostname:fips# prompt keamanan otentikasi-key-chains key-chain macseckc1 key 0 rahasia
    Cak anyar
    (rahasia):
    Ketik maneh cak
    (rahasia):
    crypto-officer@hostname:fips#
    keamanan cepet otentikasi-key-chains key-chain macseckc1 key 1 rahasia
    Cak anyar
    (rahasia):
    Ketik maneh cak anyar (rahasia):
    crypto-officer@hostname:fips# otentikasi keamanan cepet-key-chains key-chain macseckc1 kunci 2 rahasia
    Cak anyar
    (rahasia):
    Ketik maneh cak
    (rahasia):
    crypto-officer@hostname:fips#
    keamanan cepet otentikasi-key-chains key-chain macseckc1 key 3 rahasia
    Cak anyar
    (rahasia):
    Ketik maneh cak
    (rahasia):
    crypto-officer@hostname:fips#
    keamanan cepet otentikasi-key-chains key-chain macseckc1 key 4 rahasia
    Cak anyar
    (rahasia):
    Ketik maneh cak
    (rahasia):
    crypto-officer@hostname:fips#
    keamanan cepet otentikasi-key-chains key-chain macseckc1 key 5 rahasia
    Cak anyar
    (rahasia):
    Ketik maneh cak
    (rahasia):
    crypto-officer@hostname:fips#
    keamanan cepet otentikasi-key-chains key-chain macseckc1 key 6 rahasia
    Cak anyar
    (rahasia):
    Ketik maneh cak
    (rahasia):
    crypto-officer@hostname:fips#
    keamanan cepet otentikasi-key-chains key-chain macseckc1 key 7 rahasia
    Cak anyar
    (rahasia):
    Ketik maneh cak anyar (rahasia):
  3. Gathukake jeneng gantungan kunci sing wis dienggo bareng karo asosiasi konektivitas.
    [sunting] crypto-officer@hostname:fips# set keamanan macsec connectivity-association CA1 pre-sharedkey-chain
    macsec-kc1
    crypto-officer@hostname:fips#
    nyetel keamanan macsec panyambungan-asosiasi CA1 cipher-Suite
    gcm-aes-256
  4. Setel nilai pilihan tilak.
    [sunting] crypto-officer@hostname:fips# nyetel traceoptions macsec keamanan file MACsec.log
    crypto-officer@hostname:fips# nyetel traceoptions macsec keamanan file ukuran 4000000000
    crypto-officer@hostname: fips # nyetel keamanan macsec traceoptions flag kabeh
  5. Nemtokake tilak menyang antarmuka.
    [sunting] crypto-officer@hostname:fips# atur keamanan antarmuka macsec antarmuka-jeneng traceoptions
    file ukuran mka_xe 1g
    crypto-officer@hostname:fips# nyetel keamanan antarmuka macsec antarmuka-jeneng traceoptions
    gendera kabeh
  6. Ngatur mode keamanan MACsec minangka statis-cak kanggo asosiasi panyambungan.
    [sunting] crypto-officer@hostname:fips# nyetel keamanan macsec connectivity-asosiasi CA1 securitymode
    statis-cak
  7. Setel prioritas server tombol MKA.
    [sunting] crypto-officer@hostname:fips# set keamanan macsec connectivity-asosiasi CA1 mka keyserver-priority
  8. Setel interval ngirim MKA.
    [sunting] crypto-officer@hostname:fips# set keamanan macsec connectivity-asosiasi CA1 mka transmitinterval
    3000
  9. Aktifake MKA aman.
    [sunting] crypto-officer@hostname:fips# set keamanan macsec connectivity-asosiasi CA1 include-sci
  10. Nemtokake asosiasi panyambungan menyang antarmuka.
    [sunting] crypto-officer@hostname:fips# atur keamanan antarmuka macsec antarmuka-jeneng asosiasi konektivitas
    CA1
  11. Konfigurasi VLAN tagging
    [sunting] crypto-officer@hostname:fips# atur antarmuka antarmuka-name1 fleksibel-vlan-tagging
    crypto-officer@hostname:fips# atur antarmuka antarmuka-name1 enkapsulasi flexibleethernet-services
    crypto-officer@hostname:fips#
    nyetel antarmuka antarmuka-name1 unit 100 enkapsulasi vlanbridge
    crypto-officer@hostname:fips#
    atur antarmuka antarmuka-name1 unit 100 vlan-id 100
    crypto-officer@hostname:fips# atur antarmuka antarmuka-name2 fleksibel-vlan-tagging
    crypto-officer@hostname:fips# atur antarmuka antarmuka-name2 enkapsulasi layanan Ethernet fleksibel
    crypto-officer@hostname:fips#
    nyetel antarmuka antarmuka-name2 unit 100 enkapsulasi vlanbridge
    crypto-officer@hostname:fips#
    atur antarmuka antarmuka-name2 unit 100 vlan-id 100
  12. Konfigurasi domain jembatan.
    [sunting] crypto-officer@hostname:fips# set bridge-domains BD-110 domain-type bridge
    crypto-officer@hostname:fips# set bridge-domains BD-110 vlan-id 100
    crypto-officer@hostname:fips# nyetel bridge-domains BD-110 antarmuka antarmuka-name1 100
    crypto-officer@hostname:fips# nyetel bridge-domains BD-110 antarmuka antarmuka-name2 100

Konfigurasi Logging Acara

Acara Logging Overview
Konfigurasi sing dievaluasi mbutuhake audit owah-owahan konfigurasi liwat log sistem.
Kajaba iku, Junos OS bisa:

  • Kirimi tanggapan otomatis kanggo acara audit (nyipta entri syslog).
  • Ngidini manajer sing sah kanggo mriksa log audit.
  • Kirim audit files menyang server njaba.
  • Ngidini manajer sing sah kanggo ngasilake sistem kasebut menyang negara sing dikenal.

Log kanggo konfigurasi sing dievaluasi kudu njupuk acara ing ngisor iki:

  • Owah-owahan menyang data kunci rahasia ing konfigurasi.
  • owah-owahan setya.
  • Mlebet / logout pangguna.
  • Sistem wiwitan.
  • Gagal nggawe sesi SSH.
  • Pembentukan / mungkasi sesi SSH.
  • Owah-owahan menyang (sistem) wektu.
  • Mandap sesi remot dening mekanisme ngunci sesi.
  • Mungkasi sesi interaktif.

Kajaba iku, Juniper Networks nyaranake supaya logging uga:

  • Jupuk kabeh owah-owahan ing konfigurasi.
  • Simpen informasi logging saka adoh.

Konfigurasi Log Acara menyang Lokal File
Sampeyan bisa ngatur nyimpen informasi audit menyang lokal file karo statement syslog. Mantan ikiample nyimpen log in a file jenenge Audit-File:
[sunting sistem] syslog {
file audit-File;
}
Interpreting Pesen Acara
Output ing ngisor iki nuduhake minangkaamppesen acara.
27 Feb 02:33:04 bm-a mgd[6520]: UI_LOGIN_EVENT: Login 'petugas keamanan', kelas 'j-superuser'
[6520],
ssh-koneksi ”, klien-mode
'cli'
27 Feb 02:33:49 bm-a mgd[6520]: UI_DBASE_LOGIN_EVENT: Panganggo 'petugas keamanan' ngetik konfigurasi
modus
27 Feb 02:38:29 bm-a mgd[6520]: UI_CMDLINE_READ_LINE: Panganggo 'petugas keamanan', perintah 'run show
log
Log audit | grep LOGIN
Tabel 4 ing kaca 69 nggambarake kolom kanggo pesen acara. Yen utilitas log sistem ora bisa nemtokake nilai ing kolom tartamtu, tandha hubung (-) katon.
Tabel 4: Kolom ing Pesen Acara

lapangan Katrangan Examples
kapingamp Wektu nalika pesen digawe, ing salah siji saka rong perwakilan:
• MMM-DD HH: MM: SS.MS +/-HH: MM, iku sasi, dina, jam, menit, detik lan milidetik ing wektu lokal. Jam lan menit sing ngetutake tandha plus (+) utawa tandha minus (-) minangka offset zona wektu lokal saka Coordinated Universal Time (UTC).
• YYYY-MM-DDTHH:MM:SS.MSZ yaiku taun, sasi, dina, jam, menit, detik lan milidetik ing UTC.		  27 Feb 02:33:04 iku wektuamp ditulis minangka wektu lokal ing Amerika Serikat.

2012-02-27T03:17:15.713Z is

2 Februari jam 33:27 UTC

2012.
jeneng host Jeneng host sing asline nggawe pesen kasebut.  router1
proses Jeneng proses Junos OS sing ngasilake pesen kasebut.  mgd
prosesID ID proses UNIX (PID) saka proses Junos OS sing ngasilake pesen.  4153
TAG Pesen log sistem Junos OS tag, sing unik ngenali pesen.  UI_DBASE_LOGOUT_EVENT
jeneng panganggo Jeneng pangguna pangguna sing miwiti acara.  "admin"
pesen-teks Deskripsi acara kasebut nganggo basa Inggris.  set: [radius-server sistem 1.2.3.4 rahasia]

Log Owah-owahan menyang Data Rahasia
Ing ngisor iki sing examples saka audit log acara sing ngganti data rahasia. Kapan ana owah-owahan ing konfigurasi example, acara syslog kudu njupuk log ing ngisor iki:
24 Jul 17:43:28 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: Set 'admin' pangguna:
[sistem radius-server 1.2.3.4 rahasia] 24 Jul 17:43:28 router1 mgd [4163]: UI_CFG_AUDIT_SET_SECRET: Set 'admin' pangguna:
[login sistem otentikasi admin pangguna sing dienkripsi-sandi] Jul 24 17:43:28 router1 mgd [4163]: UI_CFG_AUDIT_SET_SECRET: Set 'admin' pangguna:
[login sistem pangguna admin2 otentikasi enkripsi-sandi] Saben konfigurasi dianyari utawa diganti, syslog kudu njupuk log iki:
24 Jul 18:29:09 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: Pangguna 'admin' ngganti:
[sistem radius-server 1.2.3.4 rahasia] 24 Jul 18:29:09 router1 mgd [4163]: UI_CFG_AUDIT_SET_SECRET: Pangguna 'admin' ngganti:
[login sistem pangguna admin otentikasi enkripsi-sandi] Jul 24 18:29:09 router1 mgd [4163]: UI_CFG_AUDIT_SET_SECRET: Pangguna 'admin' ngganti:
[login sistem pangguna admin otentikasi ndhelik-sandi] Kanggo informasi luwih lengkap babagan konfigurasi paramèter lan ngatur log files, ndeleng Sistem OS Junos
Referensi Pesen Log.
Mlebet lan Logout Acara Nggunakake SSH
Pesen log sistem digawe nalika pangguna kasil utawa ora kasil nyoba akses SSH. Acara logout uga direkam. Kanggo exampNanging, log ing ngisor iki minangka asil saka rong upaya otentikasi sing gagal, banjur sukses, lan pungkasane logout:
20 Desember 23:17:35 bilbo sshd [16645]: Gagal sandi kanggo op saka 172.17.58.45 port 1673 ssh2
20 Desember 23:17:42 bilbo sshd [16645]: Gagal sandi kanggo op saka 172.17.58.45 port 1673 ssh2
20 Desember 23:17:53 bilbo sshd [16645]: Ditampa sandi kanggo op saka 172.17.58.45 port 1673 ssh2
20 Desember 23:17:53 mgd[16648]: UI_AUTH_EVENT: 'Op' pangguna sing diotentikasi ing tingkat ijin
'operator j'
20 Desember 23:17:53 bilbo mgd[16648]: UI_LOGIN_EVENT: User 'op' login, class 'j-operator' [16648] Dec 20 23:17:56 bilbo mgd[16648]: UI_CMDLINE_READ_LINE: User 'op', printah 'mati'
20 Desember 23:17:56 mgd[16648]: UI_LOGOUT_EVENT: Pangguna 'op' logout
Logging saka Audit Startup
Informasi audit sing dicathet kalebu wiwitan Junos OS. Iki banjur ngenali acara wiwitan sistem audit, sing ora bisa dipateni utawa diaktifake kanthi mandiri. Kanggo exampNanging, yen Junos OS diwiwiti maneh, log audit ngemot informasi ing ngisor iki:
20 Desember 23:17:35 syslogd bilbo: metu ing sinyal 14
Dec 20 23:17:35 bilbo syslogd: miwiti maneh
20 Desember 23:17:35 bilbo syslogd / kernel: 20 Desember 23:17:35 init: syslogd (PID 19128) metu karo
status = 1
20 Desember 23:17:42 bilbo / kernel:
20 Desember 23:17:53 init: syslogd (PID 19200) diwiwiti

Nindakake Self-Test ing Piranti

Pangerten FIPS Self-Tests
Modul cryptographic ngleksanakake aturan keamanan kanggo mesthekake yen Juniper Networks Junos operasi
sistem (Junos OS) ing mode FIPS nyukupi syarat keamanan FIPS 140-2 Level 1. Kanggo validasi
output algoritma kriptografi sing disetujoni kanggo FIPS lan nguji integritas sawetara modul sistem,
piranti nindakake seri tes jawaban dhewe (KAT) ing ngisor iki:

  • kernel_kats—KAT kanggo rutinitas kriptografi kernel
  • md_kats—KAT kanggo limb lan libc
  • openssl_kats—KAT kanggo implementasi kriptografi OpenSSL
  • quicksec_kats—KAT kanggo implementasi kriptografi QuickSec Toolkit
  •  ssh_ipsec_kats—KAT kanggo implementasi kriptografi SSH IPsec Toolkit
  • macsec_kats—KAT kanggo implementasi kriptografi MACsec

Tes mandiri KAT ditindakake kanthi otomatis nalika wiwitan. Tes mandiri kondisional uga ditindakake kanthi otomatis kanggo verifikasi paket piranti lunak sing ditandatangani kanthi digital, nomer acak sing digawe, pasangan kunci RSA lan ECDSA, lan kunci sing diketik kanthi manual.
Yen KAT rampung kasil, log sistem (syslog) file dianyari kanggo nampilake tes sing ditindakake.
Yen ana gagal KAT, piranti nulis rincian menyang log sistem file, mlebu negara kesalahan FIPS (gupuh) lan reboots.
Ing file show /var/log/messages printah nampilake log sistem.
Sampeyan uga bisa nglakokake tes mandiri FIPS kanthi nerbitake printah reboot vmhost. Sampeyan bisa ndeleng ing FIPS poto-test log ing console nalika sistem teka munggah.
Example: Ngatur FIPS Self-Tests
Mantan ikiample nuduhake carane ngatur FIPS poto-tes kanggo mbukak periodik.
Persyaratan Hardware lan Piranti Lunak

  • Sampeyan kudu duwe hak istimewa administratif kanggo ngatur FIPS poto-tes.
  • Piranti kasebut kudu nganggo versi evaluasi Junos OS ing piranti lunak mode FIPS.

Swaraview
Tes mandiri FIPS kasusun saka tes jawaban sing dikenal (KATs):

  • kernel_kats—KAT kanggo rutinitas kriptografi kernel
  • md_kats—KAT kanggo libmd lan libc
  • quicksec_kats—KAT kanggo implementasi kriptografi QuickSec Toolkit
  • openssl_kats—KAT kanggo implementasi kriptografi OpenSSL
  • ssh_ipsec_kats—KAT kanggo implementasi kriptografi SSH IPsec Toolkit
  • macsec_kats—KAT kanggo implementasi kriptografi MACsec
    Ing mantan ikiample, ing FIPS poto-test kaleksanan ing 9:00 AM ing New York City, USA, saben Rebo.

CATETAN: Tinimbang tes mingguan, sampeyan bisa ngatur tes saben wulan kanthi nyakup laporan sasi lan dina sasi.
Nalika KAT poto-test gagal, pesen log ditulis kanggo pesen log sistem file kanthi rincian kegagalan tes. Banjur sistem panik lan reboot.
Konfigurasi Cepet CLI
Kanggo cepet ngatur ex ikiample, nyalin printah ing ngisor iki, paste menyang teks file, mbusak sembarang baris break, ngganti rincian sing perlu kanggo cocog konfigurasi jaringan, banjur nyalin lan nempel printah menyang CLI ing [sunting] tingkat hirarki.
nyetel sistem fips self-test periodik wektu wiwitan 09:00
atur sistem fips self-test periodik dina minggu 3
Step-by-Step Prosedur
Kanggo ngatur tes mandiri FIPS, mlebu menyang piranti kanthi kredensial crypto-officer:

  1. Konfigurasi tes mandiri FIPS kanggo nglakokake jam 9:00 saben Rebo.
    [sunting sistem fips self-test] crypto-officer@hostname:fips# nyetel wektu wiwitan periodik 09:00
    crypto-officer@hostname:fips# atur dina-dina minggu 3
  2. Yen sampeyan wis rampung ngatur piranti, tindakake konfigurasi.
    [sunting sistem fips self-test] crypto-officer@hostname:fips# commit

Asil
Saka mode konfigurasi, konfirmasi konfigurasi kanthi nerbitake printah sistem show. Yen output ora nuduhake konfigurasi dimaksudaké, baleni instruksi ing Ex ikiample kanggo mbenerake konfigurasi.
crypto-officer@hostname:fips# show system
fips {
tes dhewe {
periodik {
wektu wiwitan "09:00";
dina-minggu 3;
}
}
}

Verifikasi

Konfirmasi yen konfigurasi bisa digunakake kanthi bener.
Verifikasi FIPS Self-Test

tujuane
Priksa manawa tes mandiri FIPS diaktifake.
Tumindak
Jalanake tes mandiri FIPS kanthi manual kanthi nerbitake sistem panyuwunan fips printah tes mandiri utawa urip maneh piranti.
Sawise nerbitake panjalukan sistem fips printah self-test utawa urip maneh piranti, log sistem file dianyari kanggo nampilake KATs sing kaleksanan. Kanggo view log sistem file, ngetokake file nuduhake printah /var/log/ pesen.
panganggo@host# file nuduhake /var/log/message
RE KATS:
mgd: Mlaku FIPS Self-tes
mgd: Pengujian kernel KATS:
mgd: NIST 800-90 HMAC DRBG Dikenal Jawaban Test: Lulus
mgd: DES3-CBC Dikenal Jawaban Test: Lulus
mgd: HMAC-SHA1 Dikenal Jawaban Test: Lulus
mgd: HMAC-SHA2-256 Dikenal Jawaban Test: Lulus
mgd: SHA-2-384 Tes Jawaban Dikenal: Lulus
mgd: SHA-2-512 Tes Jawaban Dikenal: Lulus
mgd: AES128-CMAC Dikenal Jawaban Test: Lulus
mgd: AES-CBC Dikenal Jawaban Test: Lulus
mgd: Tes MACSec KATS:
mgd: AES128-CMAC Dikenal Jawaban Test: Lulus
mgd: AES256-CMAC Dikenal Jawaban Test: Lulus
mgd: AES-ECB Dikenal Jawaban Test: Lulus
mgd: AES-KEYWRAP Dikenal Jawaban Test: Lulus
mgd: KBKDF Dikenal Jawaban Test: Lulus
mgd: Pengujian libmd KATS:
mgd: HMAC-SHA1 Dikenal Jawaban Test: Lulus
mgd: HMAC-SHA2-256 Dikenal Jawaban Test: Lulus
mgd: SHA-2-512 Tes Jawaban Dikenal: Lulus
mgd: Nguji OpenSSL KATS:
mgd: NIST 800-90 HMAC DRBG Dikenal Jawaban Test: Lulus
mgd: FIPS ECDSA Dikenal Jawaban Test: Lulus
mgd: FIPS ECDH Dikenal Jawaban Test: Lulus
mgd: FIPS RSA Dikenal Jawaban Test: Lulus
mgd: DES3-CBC Dikenal Jawaban Test: Lulus
mgd: HMAC-SHA1 Dikenal Jawaban Test: Lulus
mgd: HMAC-SHA2-224 Dikenal Jawaban Test: Lulus
mgd: HMAC-SHA2-256 Dikenal Jawaban Test: Lulus
mgd: HMAC-SHA2-384 Dikenal Jawaban Test: Lulus
mgd: HMAC-SHA2-512 Dikenal Jawaban Test: Lulus
mgd: AES-CBC Dikenal Jawaban Test: Lulus
mgd: AES-GCM Dikenal Jawaban Test: Lulus
mgd: ECDSA-SIGN Dikenal Jawaban Test: Lulus
mgd: KDF-IKE-V1 Dikenal Jawaban Test: Lulus
mgd: KDF-SSH-SHA256 Tes Jawaban Dikenal: Lulus
mgd: KAS-ECC-EPHEM-UNIFIED-NOKC Dikenal Jawaban Test: Lulus
mgd: KAS-FFC-EPHEM-NOKC Dikenal Jawaban Test: Lulus
mgd: Nguji QuickSec 7.0 KATS:
mgd: NIST 800-90 HMAC DRBG Dikenal Jawaban Test: Lulus
mgd: DES3-CBC Dikenal Jawaban Test: Lulus
mgd: HMAC-SHA1 Dikenal Jawaban Test: Lulus
mgd: HMAC-SHA2-224 Dikenal Jawaban Test: Lulus
mgd: HMAC-SHA2-256 Dikenal Jawaban Test: Lulus
mgd: HMAC-SHA2-384 Dikenal Jawaban Test: Lulus
mgd: HMAC-SHA2-512 Dikenal Jawaban Test: Lulus
mgd: AES-CBC Dikenal Jawaban Test: Lulus
mgd: AES-GCM Dikenal Jawaban Test: Lulus
mgd: SSH-RSA-ENC Tes Jawaban Dikenal: Lulus
mgd: SSH-RSA-SIGN Dikenal Jawaban Test: Lulus
mgd: SSH-ECDSA-SIGN Dikenal Jawaban Test: Lulus
mgd: KDF-IKE-V1 Dikenal Jawaban Test: Lulus
mgd: KDF-IKE-V2 Dikenal Jawaban Test: Lulus
mgd: Nguji QuickSec KATS:
mgd: NIST 800-90 HMAC DRBG Dikenal Jawaban Test: Lulus
mgd: DES3-CBC Dikenal Jawaban Test: Lulus
mgd: HMAC-SHA1 Dikenal Jawaban Test: Lulus
mgd: HMAC-SHA2-224 Dikenal Jawaban Test: Lulus
mgd: HMAC-SHA2-256 Dikenal Jawaban Test: Lulus
mgd: HMAC-SHA2-384 Dikenal Jawaban Test: Lulus
mgd: HMAC-SHA2-512 Dikenal Jawaban Test: Lulus
mgd: AES-CBC Dikenal Jawaban Test: Lulus
mgd: AES-GCM Dikenal Jawaban Test: Lulus
mgd: SSH-RSA-ENC Tes Jawaban Dikenal: Lulus
mgd: SSH-RSA-SIGN Dikenal Jawaban Test: Lulus
mgd: KDF-IKE-V1 Dikenal Jawaban Test: Lulus
mgd: KDF-IKE-V2 Dikenal Jawaban Test: Lulus
mgd: Nguji SSH IPsec KATS:
mgd: NIST 800-90 HMAC DRBG Dikenal Jawaban Test: Lulus
mgd: DES3-CBC Dikenal Jawaban Test: Lulus
mgd: HMAC-SHA1 Dikenal Jawaban Test: Lulus
mgd: HMAC-SHA2-256 Dikenal Jawaban Test: Lulus
mgd: AES-CBC Dikenal Jawaban Test: Lulus
mgd: SSH-RSA-ENC Tes Jawaban Dikenal: Lulus
mgd: SSH-RSA-SIGN Dikenal Jawaban Test: Lulus
mgd: KDF-IKE-V1 Dikenal Jawaban Test: Lulus
mgd: Tes file integritas:
mgd: File integritas Dikenal Jawaban Test: Lulus
mgd: Nguji integritas crypto:
mgd: integritas Crypto Dikenal Jawaban Test: Lulus
mgd: Ngarepake eksekusi AuthenticatiMAC/veriexec: ora ana sidik jari (file=/sbin/kats/cannot-exec
fsid=246 fileid=49356 gen=1 uid=0 pid=9384 ppid=9354 gppid=9352)kesalahan…
mgd: /sbin/kats/run-tests: /sbin/kats/cannot-exec: Kesalahan otentikasi
mgd: FIPS Self-tes Lulus
LC KATS:
Sep 12 10:50:44 network_macsec_kats_input xe- /0/0:0:
ora> pic:0 port:0 chan:0 FIPS AES-256-GCM MACsec enkripsi KATS lulus
Sep 12 10:50:50 network_macsec_kats_input xe- /0/1:0:
ora> pic:0 port:1 chan:0 FIPS AES-256-GCM MACsec enkripsi KATS lulus
Sep 12 10:50:55 network_macsec_kats_input xe- /0/0:0:
ora> pic:0 port:0 chan:0 FIPS AES-256-GCM MACsec KATS dekripsi lulus
Sep 12 10:50:56 network_macsec_kats_input xe- /0/2:0:
ora> pic:0 port:2 chan:0 FIPS AES-256-GCM MACsec enkripsi KATS lulus
Sep 12 10:51:01 network_macsec_kats_input xe- /0/1:0:
ora> pic:0 port:1 chan:0 FIPS AES-256-GCM MACsec KATS dekripsi lulus
Sep 12 10:51:02 network_macsec_kats_input xe- /0/2:0:
ora> pic:0 port:2 chan:0 FIPS AES-256-GCM MACsec KATS dekripsi lulus
Sep 12 10:51:06 network_macsec_kats_input xe- /0/3:0:
ora> pic:0 port:3 chan:0 FIPS AES-256-GCM MACsec enkripsi KATS lulus
Sep 12 10:51:12 network_macsec_kats_input xe- /0/3:0:
ora> pic:0 port:3 chan:0 FIPS AES-256-GCM MACsec KATS dekripsi lulus
Sep 12 10:51:17 network_macsec_kats_input xe- /0/4:0:
ora> pic:0 port:4 chan:0 FIPS AES-256-GCM MACsec enkripsi KATS lulus
Sep 12 10:51:17 network_macsec_kats_input xe- /0/4:0:
ora> pic:0 port:4 chan:0 FIPS AES-256-GCM MACsec KATS dekripsi lulus
Sep 12 10:51:26 network_macsec_kats_input xe- /0/5:0:
ora> pic:0 port:5 chan:0 FIPS AES-256-GCM MACsec enkripsi KATS lulus
Sep 12 10:51:27 network_macsec_kats_input xe- /0/5:0:
ora> pic:0 port:5 chan:0 FIPS AES-256-GCM MACsec KATS dekripsi lulus
Sep 12 10:51:36 network_macsec_kats_input xe- /0/6:0:
ora> pic:0 port:6 chan:0 FIPS AES-256-GCM MACsec enkripsi KATS lulus
Sep 12 10:51:36 network_macsec_kats_input xe- /0/6:0:
ora> pic:0 port:6 chan:0 FIPS AES-256-GCM MACsec KATS dekripsi lulus
Sep 12 10:51:44 network_macsec_kats_input xe- /0/7:0:
ora> pic:0 port:7 chan:0 FIPS AES-256-GCM MACsec enkripsi KATS lulus
Sep 12 10:51:44 network_macsec_kats_input xe- /0/7:0:
ora> pic:0 port:7 chan:0 FIPS AES-256-GCM MACsec KATS dekripsi lulus
Sep 12 10:51:51 network_macsec_kats_input xe- /0/8:0:
ora> pic:0 port:8 chan:0 FIPS AES-256-GCM MACsec enkripsi KATS lulus
Sep 12 10:51:51 network_macsec_kats_input xe- /0/8:0:
ora> pic:0 port:8 chan:0 FIPS AES-256-GCM MACsec KATS dekripsi lulus
Sep 12 10:51:58 network_macsec_kats_input xe- /0/9:0:
ora> pic:0 port:9 chan:0 FIPS AES-256-GCM MACsec enkripsi KATS lulus
Sep 12 10:51:58 network_macsec_kats_input xe- /0/9:0:
ora> pic:0 port:9 chan:0 FIPS AES-256-GCM MACsec KATS dekripsi lulus
Sep 12 10:52:05 network_macsec_kats_input xe- /0/10:0:
Slot no> pic:0 port:10 chan:0 FIPS AES-256-GCM MACsec enkripsi KATS lulus
Sep 12 10:52:05 network_macsec_kats_input xe- /0/10:0:
Slot no> pic:0 port:10 chan:0 FIPS AES-256-GCM MACsec KATS dekripsi lulus
Sep 12 10:52:12 network_macsec_kats_input xe- /0/11:0:
Slot no> pic:0 port:11 chan:0 FIPS AES-256-GCM MACsec enkripsi KATS lulus
Sep 12 10:52:12 network_macsec_kats_input xe- /0/11:0:
Slot no> pic:0 port:11 chan:0 FIPS AES-256-GCM MACsec KATS dekripsi lulus
Sep 12 10:52:20 network_macsec_kats_input xe- /1/0:0:
ora> pic:1 port:0 chan:0 FIPS AES-256-GCM MACsec enkripsi KATS lulus
Sep 12 10:52:20 network_macsec_kats_input xe- /1/0:0:
ora> pic:1 port:0 chan:0 FIPS AES-256-GCM MACsec KATS dekripsi lulus
Sep 12 10:52:27 network_macsec_kats_input xe- /1/1:0:
ora> pic:1 port:1 chan:0 FIPS AES-256-GCM MACsec enkripsi KATS lulus
Sep 12 10:52:28 network_macsec_kats_input xe- /1/1:0:
ora> pic:1 port:1 chan:0 FIPS AES-256-GCM MACsec KATS dekripsi lulus
Sep 12 10:52:34 network_macsec_kats_input xe- /1/2:0:
ora> pic:1 port:2 chan:0 FIPS AES-256-GCM MACsec enkripsi KATS lulus
Tegese
Log sistem file nampilake tanggal lan wektu nalika KAT dieksekusi lan statuse.

Perintah Operasional

Sintaksis
sistem request zeroize
Katrangan
Kanggo RE1800, mbusak kabeh informasi konfigurasi ing Routing Engines lan ngreset kabeh nilai tombol. Yen piranti kasebut nduweni Mesin Routing dual, printah kasebut disiarake menyang kabeh Mesin Routing ing piranti kasebut. Printah mbusak kabeh data  files, kalebu konfigurasi selaras lan log files, dening unlinking ing files saka direktori. Printah kasebut mbusak kabeh sing digawe pangguna files saka sistem kalebu kabeh sandhi plaintext, rahasia, lan kunci pribadi kanggo SSH, enkripsi lokal, otentikasi lokal, IPsec, RADIUS, TACACS +, lan SNMP.
Printah iki reboots piranti lan nyetel menyang konfigurasi standar pabrik. Sawise urip maneh, sampeyan ora bisa ngakses piranti liwat antarmuka Ethernet manajemen. Mlebu liwat console minangka ROOT lan miwiti Junos OS CLI kanthi ngetik cli ing pituduh.
Tingkat Privilege sing Dibutuhake
pangopènan
njaluk vmhost zeroize no-forwarding
Sintaksis
njaluk vmhost zeroize no-forwarding
Katrangan
Kanggo REMX2K-X8, mbusak kabeh informasi konfigurasi ing Routing Engines lan ngreset kabeh nilai tombol. Yen piranti kasebut nduweni Mesin Routing dual, printah kasebut disiarake menyang Engine Routing ing piranti kasebut.
Printah mbusak kabeh data files, kalebu konfigurasi selaras lan log files, dening unlinking ing files saka direktori. Printah kasebut mbusak kabeh sing digawe pangguna files saka sistem kalebu kabeh sandhi teks kosong, rahasia, lan kunci pribadi kanggo SSH, enkripsi lokal, otentikasi lokal, IPsec, RADIUS, TACACS +, lan SNMP.
Printah iki reboots piranti lan nyetel menyang konfigurasi standar pabrik. Sawise urip maneh, sampeyan ora bisa ngakses piranti liwat antarmuka Ethernet manajemen. Mlebu liwat console minangka pangguna root lan miwiti Junos OS CLI kanthi ngetik cli ing pituduh.
Samplan Output
njaluk vmhost zeroize no-forwarding
pangguna @ host> njaluk vmhost nul ora diterusake
VMHost Zeroization : Mbusak kabeh data, kalebu konfigurasi lan log files ?
[ya, ora] (ora) ya
re0:
warning: Vmhost bakal urip maneh lan bisa uga ora boot tanpa
konfigurasi
warning: Nerusake karo vmhost
nul
Zeroise disk internal sekunder
Nerusake karo zeroize ing secondary
disk
Piranti dipasang ing preparation kanggo
nul…
Ngresiki disk target kanggo zeroize
Zeroize rampung ing target
disk.
Zeroize disk sekunder
rampung
Zeroize disk internal utama
Nerusake karo zeroize ing utami
disk
/etc/ssh/ssh_host_ecdsa_key.pub
/etc/ssh/ssh_host_rsa_key
/etc/ssh/ssh_host_dsa_key.pub
/etc/ssh/ssh_host_rsa_key.pub
/etc/ssh/ssh_host_ecdsa_key
/etc/ssh/ssh_host_dsa_key
Piranti dipasang ing preparation kanggo
nul…
Ngresiki disk target kanggo zeroize
Zeroize rampung ing target
disk.
Zeroize disk utama
rampung
Zeroize
rampung
—(liyane)— Mandheg
cron.
Nunggu PIDS:
6135.
.
16 Feb 14:59:33 jlaunchd: periodik-packet-services (PID 6181) mungkasi sinyal 15 dikirim
16 Feb 14:59:33 jlaunchd: smg-service (PID 6234) mungkasi sinyal 15 dikirim
16 Feb 14:59:33 jlaunchd: aplikasi-identifikasi (PID 6236) sinyal mungkasi 15 dikirim
16 Feb 14:59:33 jlaunchd: ifstate-tracing-process (PID 6241) mungkasi sinyal 15 dikirim
16 Feb 14:59:33 jlaunchd: manajemen sumber daya (PID 6243) mungkasi sinyal 15 dikirim
16 Feb 14:59:33 jlaunchd: diisi (PID 6246) sinyal mungkasi 15 dikirim
16 Feb 14:59:33 jlaunchd: layanan lisensi (PID 6255) sinyal mungkasi 15 dikirim
16 Feb 14:59:33 jlaunchd: ntp (PID 6620) mungkasi sinyal 15 dikirim
16 Feb 14:59:33 jlaunchd: gkd-chassis (PID 6621) sinyal mungkasi 15 dikirim
16 Feb 14:59:33 jlaunchd: gkd-lchassis (PID 6622) sinyal mungkasi 15 dikirim
16 Feb 14:59:33 jlaunchd: nuntun (PID 6625) sinyal mungkasi 15 dikirim
16 Feb 14:59:33 jlaunchd: sonet-aps (PID 6626) mungkasi sinyal 15 dikirim
16 Feb 14:59:33 jlaunchd: remote-operations (PID 6627) mungkasi sinyal 15 dikirim
16 Feb 14:59:33 jlaunchd: kelas-layanan
……..
99Logo JUNIPER

Dokumen / Sumber Daya

JUNIPER NETWORKS Junos OS FIPS Piranti sing dievaluasi [pdf] Pandhuan pangguna
Piranti sing dievaluasi Junos OS, Junos OS, Piranti sing dievaluasi FIPS, Piranti sing dievaluasi, Piranti

Referensi

Ninggalake komentar

Alamat email sampeyan ora bakal diterbitake. Kolom sing dibutuhake ditandhani *