Logo JALOVECInženýrská jednoduchost
OS Junos®
FIPS Evaluated Configuration Guide for
Zařízení MX960, MX480 a MX240

Obsah skrýt
1 JUNIPER NETWORKS Junos OS FIPS hodnocená zařízení
2 Nadview
3 Konfigurace administrativních pověření a oprávnění
4 Konfigurace rolí a metod ověřování
5 Konfigurace připojení SSH a konzole
6 Konfigurace MACsec
7 Konfigurace MACsec s klíčenkou pro provoz na 2. vrstvě
8 Konfigurace protokolování událostí
9 Provádění autotestů na zařízení
10 Operační příkazy
11 Dokumenty / zdroje
11.1 Reference

JUNIPER NETWORKS Junos OS FIPS hodnocená zařízení

JUNIPER NETWORKS Junos OS FIPS hodnocená zařízení 1UVOLNĚNÍ
20.3X75-D30

Společnost Juniper Networks, Inc.
1133 Inovační cesta
Sunnyvale, Kalifornie 94089
USA
408-745-2000
www.juniper.net
Juniper Networks, logo Juniper Networks, Juniper a Junos jsou registrované ochranné známky společnosti Juniper Networks, Inc.
ve Spojených státech a dalších zemích. Všechny ostatní ochranné známky, servisní známky, registrované známky nebo registrované servisní známky jsou majetkem příslušných vlastníků.
Juniper Networks nepřebírá žádnou odpovědnost za jakékoli nepřesnosti v tomto dokumentu. Juniper Networks si vyhrazuje právo změnit, upravit, převést nebo jinak revidovat tuto publikaci bez upozornění.
Junos® OS FIPS Evaluated Configuration Guide pro zařízení MX960, MX480 a MX240 20.3X75-D30
Copyright © 2023 Juniper Networks, Inc. Všechna práva vyhrazena.
Informace v tomto dokumentu jsou aktuální k datu na titulní straně.
OZNÁMENÍ ROK 2000
Hardwarové a softwarové produkty Juniper Networks jsou v souladu s rokem 2000. Junos OS nemá žádná známá časová omezení do roku 2038. Je však známo, že aplikace NTP bude mít v roce 2036 určité potíže.
LICENČNÍ SMLOUVA S KONCOVÝM UŽIVATELEM
Produkt Juniper Networks, který je předmětem této technické dokumentace, se skládá ze softwaru Juniper Networks (nebo je s ním určen). Používání takového softwaru podléhá ustanovením a podmínkám Licenční smlouvy s koncovým uživatelem („EULA“) zveřejněné na adrese https://support.juniper.net/support/eula/. Stažením, instalací nebo používáním takového softwaru souhlasíte s podmínkami dané EULA.

O této příručce
Tuto příručku použijte k ovládání zařízení MX960, MX480 a MX240 v prostředí Federal Information Processing Standards (FIPS) 140-2 Level 1. FIPS 140-2 definuje úrovně zabezpečení pro hardware a software, který provádí kryptografické funkce.
SOUVISEJÍCÍ DOKUMENTACE
Společná kritéria a certifikace FIPS

Nadview

Pochopení Junos OS v režimu FIPS
V TÉTO SEKCI

  • Podporované platformy a hardware | 2
  • O kryptografické hranici na vašem zařízení | 3
  • Jak se režim FIPS liší od režimu bez FIPS | 3
  • Ověřená verze operačního systému Junos v režimu FIPS | 3

Federal Information Processing Standards (FIPS) 140-2 definuje úrovně zabezpečení pro hardware a software, které provádějí kryptografické funkce. Tento router Juniper Networks s operačním systémem Juniper Networks Junos (Junos OS) v režimu FIPS vyhovuje standardu FIPS 140-2 Level 1.
Provoz tohoto routeru v prostředí FIPS 140-2 Level 1 vyžaduje povolení a konfiguraci režimu FIPS na zařízeních z rozhraní příkazového řádku Junos OS (CLI).
Crypto Officer aktivuje režim FIPS v Junos OS a nastavuje klíče a hesla pro systém a ostatní uživatele FIPS.
Podporované platformy a hardware
Pro funkce popsané v tomto dokumentu se pro získání certifikace FIPS používají následující platformy:

O kryptografické hranici na vašem zařízení
Soulad se standardem FIPS 140-2 vyžaduje definovanou kryptografickou hranici kolem každého kryptografického modulu na zařízení. Junos OS v režimu FIPS brání kryptografickému modulu ve spouštění jakéhokoli softwaru, který není součástí distribuce s certifikací FIPS, a umožňuje používat pouze kryptografické algoritmy schválené FIPS. Žádné kritické bezpečnostní parametry (CSP), jako jsou hesla a klíče, nemohou překročit kryptografickou hranici modulu v nešifrovaném formátu.
Sady a vložky pro připojení ohniště řady THE OUTDOOR PLUS TOP – Ikona 1 POZOR: Funkce virtuálního podvozku nejsou podporovány v režimu FIPS. Nekonfigurujte virtuální šasi v režimu FIPS.

Jak se režim FIPS liší od režimu bez FIPS
Junos OS v režimu FIPS se liší od Junos OS v režimu bez FIPS následujícími způsoby:

  • Při spuštění se provádějí autotesty všech kryptografických algoritmů.
  • Autotesty generování náhodných čísel a klíčů jsou prováděny průběžně.
  • Slabé kryptografické algoritmy jako Data Encryption Standard (DES) a MD5 jsou zakázány.
  • Slabá nebo nešifrovaná připojení pro správu nesmí být konfigurována.
  • Hesla musí být šifrována pomocí silných jednosměrných algoritmů, které neumožňují dešifrování.
  • Heslo správce musí mít alespoň 10 znaků.

Ověřená verze operačního systému Junos v režimu FIPS
Chcete-li zjistit, zda je vydání Junos OS ověřeno NIST, podívejte se na stránku poradce pro dodržování předpisů na Juniper Networks Web web (https://apps.juniper.net/compliance/).
SOUVISEJÍCÍ DOKUMENTACE
Identifikace bezpečného doručení produktu | 7

Porozumění terminologii FIPS a podporovaným kryptografickým algoritmům
V TÉTO SEKCI
Terminologie | 4
Podporované kryptografické algoritmy | 5
Použijte definice pojmů FIPS a podporované algoritmy, které vám pomohou pochopit Junos OS v režimu FIPS.

Terminologie
Kritický bezpečnostní parametr (CSP)
Informace související s bezpečností – napřamptajné a soukromé kryptografické klíče a ověřovací data, jako jsou hesla a osobní identifikační čísla (PIN), jejichž zveřejnění nebo úprava může ohrozit bezpečnost kryptografického modulu nebo informací, které chrání. Podrobnosti naleznete v části „Porozumění operačnímu prostředí pro Junos OS v režimu FIPS“ na stránce 16.
Kryptografický modul
Sada hardwaru, softwaru a firmwaru, která implementuje schválené bezpečnostní funkce (včetně kryptografických algoritmů a generování klíčů) a je obsažena v kryptografických hranicích.
FIPS
Federální standardy zpracování informací. FIPS 140-2 specifikuje požadavky na bezpečnostní a kryptografické moduly. Junos OS v režimu FIPS vyhovuje FIPS 140-2 Level 1.
Role údržby FIPS
Role, kterou přebírá Crypto Officer při provádění fyzické údržby nebo služeb logické údržby, jako je diagnostika hardwaru nebo softwaru. Pro soulad s FIPS 140-2 Crypto Officer vynuluje Routing Engine při vstupu do role údržby FIPS a opuštění z ní, aby vymazal všechny tajné a soukromé klíče v prostém textu a nechráněné CSP.
POZNÁMKA: Role údržby FIPS není podporována v systému Junos OS v režimu FIPS.
KAT
Známé testy odpovědí. Systémové autotesty, které ověřují výstup kryptografických algoritmů schválených pro FIPS a testují integritu některých modulů Junos OS. Podrobnosti naleznete v části „Porozumění autotestům FIPS“ na stránce 73.
SSH
Protokol, který používá silné ověřování a šifrování pro vzdálený přístup přes nezabezpečenou síť. SSH poskytuje vzdálené přihlášení, vzdálené spouštění programů, file kopírování a další funkce. Je určen jako bezpečná náhrada za rlogin, rsh a rcp v prostředí UNIX. Chcete-li zabezpečit informace odesílané přes administrativní připojení, použijte pro konfiguraci rozhraní příkazového řádku SSHv2. V Junos OS je SSHv2 ve výchozím nastavení povoleno a SSHv1, které není považováno za bezpečné, je zakázáno. Nulování
Vymazání všech CSP a dalších dat vytvořených uživatelem na zařízení před jeho provozem jako kryptografický modul FIPS nebo v rámci přípravy na nové použití zařízení pro provoz bez FIPS.
Crypto Officer může vynulovat systém pomocí provozního příkazu CLI.
Podporované kryptografické algoritmy
Tabulka 1 na stránce 6 shrnuje podporu algoritmů vysoké úrovně.
Tabulka 1: Protokoly povolené v režimu FIPS

Protokol  Výměna klíčů Autentizace Šifra Integrita
SSHv2 • dh-group14-sha1
• ECDH-sha2-nistp256
• ECDH-sha2-nistp384
• ECDH-sha2-nistp521		 Host (modul):
• ECDSA P-256
• SSH-RSA
Klient (uživatel):
• ECDSA P-256
• ECDSA P-384
• ECDSA P-521
• SSH-RSA		 • AES CTR 128
• AES CTR 192
• AES CTR 256
• AES CBC 128
• AES CBC 256		 • HMAC-SHA-1
• HMAC-SHA-256
• HMAC-SHA-512

Tabulka 2 na stránce 6 uvádí šifry podporované MACsec LC.
Tabulka 2: Šifry podporované MACsec LC
Šifry podporované MACsec LC
AES-GCM-128
AES-GCM-256
Každá implementace algoritmu je kontrolována sérií testů známých odpovědí (KAT). Jakékoli selhání autotestu má za následek chybový stav FIPS.
NEJLEPŠÍ POSTUP: Pro shodu s FIPS 140-2 používejte pouze kryptografické algoritmy schválené FIPS v Junos OS v režimu FIPS.
V režimu FIPS jsou podporovány následující kryptografické algoritmy. Symetrické metody používají stejný klíč pro šifrování a dešifrování, zatímco asymetrické metody používají různé klíče pro šifrování a dešifrování.
AES
Advanced Encryption Standard (AES), definovaný v FIPS PUB 197. Algoritmus AES používá klíče o délce 128, 192 nebo 256 bitů k šifrování a dešifrování dat v blocích po 128 bitech.
ECDH
Eliptická křivka Diffie-Hellman. Varianta Diffie-Hellmanova algoritmu výměny klíčů, který využívá kryptografii založenou na algebraické struktuře eliptických křivek nad konečnými poli. ECDH umožňuje dvěma stranám, z nichž každá má eliptickou křivku páru veřejného a soukromého klíče, vytvořit sdílené tajemství přes nezabezpečený kanál. Sdílené tajemství lze použít buď jako klíč, nebo k odvození jiného klíče pro šifrování následné komunikace pomocí šifry symetrického klíče.
ECDSA
Algoritmus digitálního podpisu eliptické křivky. Varianta algoritmu Digital Signature Algorithm (DSA), který používá kryptografii založenou na algebraické struktuře eliptických křivek nad konečnými poli. Bitová velikost eliptické křivky určuje obtížnost dešifrování klíče. Veřejný klíč, o kterém se předpokládá, že je potřebný pro ECDSA, je přibližně dvakrát větší než úroveň zabezpečení v bitech. ECDSA využívající křivky P-256, P-384 a P-521 lze konfigurovat pod OpenSSH.
HMAC
HMAC, definovaný jako „Keyed-Hashing for Message Authentication“ v RFC 2104, kombinuje hashovací algoritmy s kryptografickými klíči pro ověřování zpráv. Pro Junos OS v režimu FIPS používá HMAC iterované kryptografické hashovací funkce SHA-1, SHA-256 a SHA-512 spolu s tajným klíčem.
SHA-256 a SHA-512
Bezpečné hashovací algoritmy (SHA) patřící do standardu SHA-2 definovaného v FIPS PUB 180-2. SHA-256, vyvinutý společností NIST, vytváří 256bitový hash digest a SHA-512 vytváří 512bitový hash digest.
SOUVISEJÍCÍ DOKUMENTACE
Pochopení autotestů FIPS | 73
Vysvětlení nulování pro vymazání systémových dat pro režim FIPS | 25
Identifikace bezpečného doručení produktu
V procesu dodávky existuje několik mechanismů, které zajišťují, že zákazník obdrží produkt, který nebyl tampered s. Zákazník by měl po obdržení zařízení provést následující kontroly, aby ověřil integritu platformy.

  • Přepravní štítek – Ujistěte se, že přepravní štítek správně identifikuje správné jméno a adresu zákazníka a také zařízení.
  • Vnější obal – Zkontrolujte vnější přepravní krabici a pásku. Ujistěte se, že přepravní páska nebyla přestřižena nebo jinak narušena. Ujistěte se, že krabice nebyla rozříznuta nebo poškozena, aby byl umožněn přístup k zařízení.
  • Vnitřní obal – Zkontrolujte plastový sáček a těsnění. Ujistěte se, že sáček není odříznut nebo odstraněn. Ujistěte se, že těsnění zůstává neporušené.

Pokud zákazník při kontrole zjistí problém, měl by neprodleně kontaktovat dodavatele. Poskytněte dodavateli číslo objednávky, sledovací číslo a popis zjištěného problému.
Kromě toho existuje několik kontrol, které lze provést, abychom se ujistili, že zákazník obdržel krabici zaslanou společností Juniper Networks a nikoli jinou společností vydávající se za Juniper Networks. Zákazník by měl po obdržení zařízení provést následující kontroly, aby ověřil pravost zařízení:

  • Ověřte, že bylo zařízení objednáno pomocí nákupní objednávky. Zařízení Juniper Networks se nikdy nedodávají bez objednávky.
  • Když je zařízení odesláno, je zasláno oznámení o odeslání na e-mailovou adresu, kterou zákazník uvedl při přijetí objednávky. Ověřte, že bylo přijato toto e-mailové upozornění. Ověřte, zda e-mail obsahuje následující informace:
  • Číslo objednávky
  • Číslo objednávky Juniper Networks používané ke sledování zásilky
  • Sledovací číslo přepravce používané ke sledování zásilky
  • Seznam odeslaných položek včetně sériových čísel
  • Adresa a kontakty na dodavatele i odběratele
  • Ověřte, že zásilka byla zahájena společností Juniper Networks. Chcete-li ověřit, že zásilka byla zahájena společností Juniper Networks, měli byste provést následující úkoly:
  • Porovnejte sledovací číslo přepravce čísla objednávky Juniper Networks uvedené v oznámení o odeslání Juniper Networks s číslem zásilky na přijatém balíku.
  • Přihlaste se na online portál zákaznické podpory Juniper Networks na adrese https://support.juniper.net/support/ do view stav objednávky. Porovnejte sledovací číslo přepravce nebo číslo objednávky Juniper Networks uvedené v oznámení o zásilce Juniper Networks s číslem zásilky na přijatém balíku.

Pochopení rozhraní pro správu
Ve vyhodnocené konfiguraci lze použít následující rozhraní pro správu:

  • Místní rozhraní pro správu – Konzolový port RJ-45 na zařízení je nakonfigurován jako datové koncové zařízení RS-232 (DTE). Pro konfiguraci zařízení z terminálu můžete přes tento port použít rozhraní příkazového řádku (CLI).
  • Protokoly vzdálené správy – Zařízení lze vzdáleně spravovat přes libovolné rozhraní Ethernet. SSHv2 je jediný povolený protokol vzdálené správy, který lze použít ve vyhodnocované konfiguraci. Protokoly vzdálené správy J-Web a Telnet nejsou k dispozici pro použití v zařízení.

Konfigurace administrativních pověření a oprávnění

Pochopení pravidel souvisejících hesel pro oprávněného správce
Oprávněný administrátor je přidružen k definované třídě přihlášení a administrátor má přiřazena všechna oprávnění. Data jsou uložena lokálně pro ověření pomocí pevného hesla.
POZNÁMKA: V heslech nepoužívejte řídicí znaky.
Pro hesla a při výběru hesel pro účty autorizovaných administrátorů použijte následující pokyny a možnosti konfigurace. Hesla by měla být:

  • Snadno zapamatovatelné, aby uživatelé nebyli v pokušení si to zapisovat.
  • Pravidelně měněno.
  • Soukromé a nesdílené s nikým.
  • Obsahuje minimálně 10 znaků. Minimální délka hesla je 10 znaků.
    [ upravit ] administrator@host# nastavit heslo pro přihlášení do systému minimální délka 10
  • Zahrňte jak alfanumerické, tak interpunkční znaky složené z libovolné kombinace velkých a malých písmen, číslic a speciálních znaků, jako jsou „!“, „@“, „#“, „$“, „%“, „^“, „&“, „*“, „(“ a „“).
    Mělo by dojít ke změně alespoň jednoho případu, jedné nebo více číslic a jednoho nebo více interpunkčních znamének.
  • Obsahuje znakové sady. Platné znakové sady zahrnují velká písmena, malá písmena, čísla, interpunkci a další speciální znaky.
    [ upravit ] administrator@host# set system login password change-type character-sets
  • Obsahuje minimální počet znakových sad nebo změn znakové sady. Minimální počet znakových sad požadovaných v heslech ve formátu prostého textu v Junos FIPS jsou 3.
    [ upravit ] administrator@host# nastavit minimální změny hesla pro přihlášení do systému 3
  • Hašovací algoritmus pro uživatelská hesla může být SHA256 nebo SHA512 (SHA512 je výchozí hašovací algoritmus).
    [ upravit ] administrator@host# nastavit formát přihlašovacího hesla systému sha512
    POZNÁMKA: Zařízení podporuje typy klíčů ECDSA (P-256, P-384 a P-521) a RSA (2048, 3072 a modulová bitová délka 4092).
    Slabá hesla jsou:
  • Slova, která mohou být nalezena nebo existovat jako permutovaná forma v systému file jako je /etc/passwd.
  • Název hostitele systému (vždy první odhad).
  • Jakákoli slova vyskytující se ve slovníku. To zahrnuje slovníky jiné než anglické a slova nalezená v dílech jako Shakespeare, Lewis Carroll, Rogetův tezaurus a tak dále. Tento zákaz zahrnuje běžná slova a fráze ze sportu, výroky, filmy a televizní pořady.
  • Permutace na kterékoli z výše uvedených možností. Napřample, slovo ze slovníku se samohláskami nahrazenými číslicemi (napřample f00t) nebo s číslicemi přidanými na konec.
  • Jakákoli strojově generovaná hesla. Algoritmy zmenšují prostor pro vyhledávání programů na hádání hesel, a proto by se neměly používat.
    Silná opakovaně použitelná hesla mohou být založena na písmenech z oblíbené fráze nebo slova a poté zřetězena s jinými, nesouvisejícími slovy, spolu s dalšími číslicemi a interpunkcí.

SOUVISEJÍCÍ DOKUMENTACE
Identifikace bezpečného doručení produktu | 7

Konfigurace rolí a metod ověřování

Pochopení rolí a služeb pro Junos OS
V TÉTO SEKCI
Role a odpovědnosti kryptodůstojníka | 15
Role a odpovědnosti uživatele FIPS | 15
Co se očekává od všech uživatelů FIPS | 16
Správce zabezpečení je spojen s definovanou třídou přihlášení security-admin, která má nastavena potřebná oprávnění, která správci umožňují provádět všechny úkoly nezbytné ke správě Junos OS. Administrativní uživatelé (Správce zabezpečení) musí poskytnout jedinečné identifikační a autentizační údaje před udělením jakéhokoli administrativního přístupu do systému.
Role a odpovědnosti správce zabezpečení jsou následující:

  1. Security Administrator může spravovat lokálně i vzdáleně.
  2. Vytvářejte, upravujte, mažte administrátorské účty, včetně konfigurace parametrů selhání autentizace.
  3. Znovu povolte účet správce.
  4. Zodpovědný za konfiguraci a údržbu kryptografických prvků souvisejících s navazováním bezpečných spojení s hodnoceným produktem a z něj.

Operační systém Juniper Networks Junos (Junos OS) běžící v režimu bez FIPS umožňuje uživatelům širokou škálu možností a autentizace je založena na identitě. Naproti tomu standard FIPS 140-2 definuje dvě uživatelské role: Crypto Officer a FIPS user. Tyto role jsou definovány z hlediska uživatelských schopností Junos OS.
Všechny ostatní typy uživatelů definované pro Junos OS v režimu FIPS (operátor, administrativní uživatel atd.) musí spadat do jedné ze dvou kategorií: Crypto Officer nebo FIPS uživatel. Z tohoto důvodu je ověřování uživatele v režimu FIPS založeno spíše na rolích než na identitě.
Crypto Officer provádí všechny konfigurační úlohy související s režimem FIPS a vydává všechny příkazy a příkazy pro Junos OS v režimu FIPS. Konfigurace uživatele Crypto Officer a FIPS se musí řídit pokyny pro Junos OS v režimu FIPS.
Role a odpovědnosti kryptodůstojníka
Crypto Officer je osoba odpovědná za aktivaci, konfiguraci, monitorování a údržbu Junos OS v režimu FIPS na zařízení. Crypto Officer bezpečně nainstaluje Junos OS na zařízení, aktivuje režim FIPS, nastaví klíče a hesla pro ostatní uživatele a softwarové moduly a inicializuje zařízení před připojením k síti.
NEJLEPŠÍ PRAXE: Doporučujeme, aby Crypto Officer spravoval systém bezpečným způsobem tím, že bude udržovat hesla v bezpečí a kontrolovat audit files.
Oprávnění, která odlišují Crypto Officer od ostatních uživatelů FIPS, jsou tajné, zabezpečení, údržba a kontrola. Pro splnění FIPS přiřaďte Crypto Officer třídě přihlášení, která obsahuje všechna tato oprávnění. Uživatel s oprávněním údržby Junos OS může číst files obsahující kritické bezpečnostní parametry (CSP).
POZNÁMKA: Junos OS v režimu FIPS nepodporuje roli údržby FIPS 140-2, která se liší od oprávnění údržby Junos OS.
Mezi úkoly souvisejícími s Junos OS v režimu FIPS se očekává, že Crypto Officer:

  • Nastavte počáteční heslo uživatele root. Délka hesla by měla být alespoň 10 znaků.
  • Resetujte uživatelská hesla pomocí algoritmů schválených FIPS.
  • Prozkoumejte protokol a auditujte files pro zajímavé události.
  • Vymazat uživatelem vytvořené files, klíče a data vynulováním zařízení.

Role a odpovědnosti uživatele FIPS
Všichni uživatelé FIPS, včetně Crypto Officer, mohou view konfiguraci. Konfiguraci může upravit pouze uživatel přiřazený jako Crypto Officer.
Oprávnění, která odlišují Crypto Officers od ostatních uživatelů FIPS, jsou tajné, zabezpečení, údržba a kontrola. Pro zajištění souladu s FIPS přiřaďte uživatele FIPS třídě, která neobsahuje žádné z těchto oprávnění.
Uživatel FIPS může view stavový výstup, ale nelze restartovat nebo vynulovat zařízení.
Co se očekává od všech uživatelů FIPS
Všichni uživatelé FIPS, včetně Crypto Officer, musí vždy dodržovat bezpečnostní pokyny.
Všichni uživatelé FIPS musí:

  • Udržujte všechna hesla v tajnosti.
  • Uchovávejte zařízení a dokumentaci na bezpečném místě.
  • Umístěte zařízení v zabezpečených oblastech.
  • Kontrolní audit files pravidelně.
  • Dodržujte všechna ostatní bezpečnostní pravidla FIPS 140-2.
  • Postupujte podle těchto pokynů:
    • Uživatelé jsou důvěryhodní.
    • Uživatelé dodržují všechny bezpečnostní pokyny.
    • Uživatelé záměrně neohrožují bezpečnost
    • Uživatelé se vždy chovají zodpovědně.

SOUVISEJÍCÍ DOKUMENTACE
Zařízení Juniper Networks s operačním systémem Juniper Networks Junos (Junos OS) v režimu FIPS tvoří speciální typ hardwarového a softwarového provozního prostředí, které se liší od prostředí zařízení v režimu bez FIPS:

Hardwarové prostředí pro Junos OS v režimu FIPS
Junos OS v režimu FIPS vytváří v zařízení kryptografickou hranici, kterou nemohou překročit žádné kritické bezpečnostní parametry (CSP) pomocí prostého textu. Každá hardwarová součást zařízení, která vyžaduje kryptografickou hranici pro shodu s FIPS 140-2, je samostatný kryptografický modul. V Junos OS v režimu FIPS existují dva typy hardwaru s kryptografickými hranicemi: jeden pro každý Routing Engine a jeden pro celé šasi, které obsahuje kartu LC MPC7E-10G. Každá komponenta tvoří samostatný kryptografický modul. Komunikace zahrnující CSP mezi těmito bezpečnými prostředími musí probíhat pomocí šifrování.
Kryptografické metody nenahrazují fyzickou bezpečnost. Hardware musí být umístěn v bezpečném fyzickém prostředí. Uživatelé všech typů nesmějí prozradit klíče nebo hesla ani umožnit neoprávněným osobám nahlédnout do písemných záznamů nebo poznámek.
Softwarové prostředí pro Junos OS v režimu FIPS
Zařízení Juniper Networks se systémem Junos OS v režimu FIPS tvoří speciální typ nemodifikovatelného provozního prostředí. K dosažení tohoto prostředí na zařízení systém zabraňuje spuštění jakékoli binární hodnoty file která nebyla součástí certifikovaného operačního systému Junos v distribuci režimu FIPS. Když je zařízení v režimu FIPS, může běžet pouze Junos OS.
Softwarové prostředí Junos OS v režimu FIPS je vytvořeno poté, co Crypto Officer úspěšně povolí režim FIPS na zařízení. Obraz Junos OS, který obsahuje režim FIPS, je dostupný na Juniper Networks weba lze je nainstalovat na funkční zařízení.
Pro soulad s FIPS 140-2 doporučujeme odstranit všechny uživatelem vytvořené files a data vynulováním zařízení před povolením režimu FIPS.
Provoz vašeho zařízení na úrovni FIPS 1 vyžaduje použití tamper-evidentní štítky k utěsnění Routing Engines do šasi.
Povolením režimu FIPS deaktivujete mnoho obvyklých protokolů a služeb Junos OS. Konkrétně nemůžete konfigurovat následující služby v Junos OS v režimu FIPS:

  • prst
  • ftp
  • rlogin
  • telnet
  • tftp
  • xnm-čistý-text

Pokusy o konfiguraci těchto služeb nebo načtení konfigurací s těmito nakonfigurovanými službami vedou k chybě syntaxe konfigurace.
Jako službu vzdáleného přístupu můžete používat pouze SSH.
Všechna hesla vytvořená pro uživatele po upgradu na Junos OS v režimu FIPS musí odpovídat specifikacím Junos OS v režimu FIPS. Hesla musí mít délku 10 až 20 znaků a vyžadovat použití alespoň tří z pěti definovaných znakových sad (velká a malá písmena, číslice, interpunkční znaménka a znaky klávesnice, jako jsou % a &, které nejsou zahrnuty v ostatních čtyřech kategoriích).
Pokusy o konfiguraci hesel, která neodpovídají těmto pravidlům, vedou k chybě. Všechna hesla a klíče používané k ověření protějšků musí mít délku alespoň 10 znaků a v některých případech musí délka odpovídat velikosti výtahu.
POZNÁMKA: Nepřipojujte zařízení k síti, dokud Crypto Officer nedokončí konfiguraci z připojení místní konzoly.
Pro přísnou shodu nezkoumejte informace o jádru a výpisu zhroucení na lokální konzoli v Junos OS v režimu FIPS, protože někteří CSP mohou být zobrazeni jako prostý text.
Kritické parametry zabezpečení
Kritické parametry zabezpečení (CSP) jsou informace související se zabezpečením, jako jsou kryptografické klíče a hesla, které mohou ohrozit zabezpečení kryptografického modulu nebo bezpečnost informací chráněných modulem, pokud jsou zveřejněny nebo změněny.
Vynulování systému vymaže všechny stopy CSP v rámci přípravy na provoz zařízení nebo Routing Engine jako kryptografického modulu.
Tabulka 3 na stránce 19 uvádí CSP na zařízeních se systémem Junos OS.
Tabulka 3: Kritické parametry zabezpečení

CSP Popis Vynulovat

Použití
Soukromý klíč hostitele SSHv2 Klíč ECDSA / RSA používaný k identifikaci hostitele, vygenerovaný při první konfiguraci SSH. Příkaz nulovat. Slouží k identifikaci hostitele.
Klíče relace SSHv2 Klíč relace používaný s SSHv2 a jako soukromý klíč Diffie-Hellman. Šifrování: AES-128, AES-192, AES-256. MAC: HMAC-SHA-1, HMAC-SHA-2-256, HMAC-SHA2-512. Výměna klíčů: dh-group14-sha1, ECDH-sha2-nistp-256, ECDH-sha2-nistp-384 a ECDH-sha2-nistp-521. Vypněte napájení a ukončete relaci. Symetrický klíč používaný k šifrování dat mezi hostitelem a klientem.
Ověřovací klíč uživatele Hash hesla uživatele: SHA256, SHA512. Příkaz nulovat. Používá se k ověření uživatele v kryptografickém modulu.
Ověřovací klíč Crypto Officer Hash hesla správce kryptoměny: SHA256, SHA512. Příkaz nulovat. Používá se k autentizaci Crypto Officer ke kryptografickému modulu.
Osivo HMAC DRBG Seed pro deterministický náhodný bitový generátor (DRBG). Seed není uložen kryptografickým modulem. Používá se k setí DRBG.
Hodnota HMAC DRBG V Hodnota (V) délky výstupního bloku (outlen) v bitech, která se aktualizuje pokaždé, když jsou vytvořeny další výstupní bity. Cyklus napájení. Kritická hodnota vnitřního stavu DRBG.
CSP Popis Vynulovat

Použití
Klíčová hodnota HMAC DRBG Aktuální hodnota outlen-bitového klíče, která se aktualizuje alespoň jednou pokaždé, když mechanismus DRBG generuje pseudonáhodné bity. Cyklus napájení. Kritická hodnota vnitřního stavu DRBG.
entropie NDRNG Používá se jako vstupní řetězec entropie do HMAC DRBG. Cyklus napájení. Kritická hodnota vnitřního stavu DRBG.

V Junos OS v režimu FIPS musí všichni CSP vstoupit a opustit kryptografický modul v zašifrované podobě.
Jakýkoli CSP zašifrovaný neschváleným algoritmem je podle FIPS považován za prostý text.
NEJLEPŠÍ PRAXE: Pro soulad s FIPS nakonfigurujte zařízení přes připojení SSH, protože se jedná o šifrovaná připojení.
Místní hesla jsou hašována pomocí algoritmu SHA256 nebo SHA512. Obnovení hesla není možné v Junos OS v režimu FIPS. Junos OS v režimu FIPS nelze spustit do režimu pro jednoho uživatele bez správného hesla root.
Porozumění specifikacím hesla a pokynům pro Junos OS v režimu FIPS
Všechna hesla stanovená pro uživatele Crypto Officer musí odpovídat následujícím požadavkům Junos OS v režimu FIPS. Pokusy o konfiguraci hesel, která neodpovídají následujícím specifikacím, vedou k chybě.

  • Délka. Hesla musí obsahovat 10 až 20 znaků.
  • Požadavky na znakovou sadu. Hesla musí obsahovat alespoň tři z následujících pěti definovaných znakových sad:
  • Velká písmena
  • Malá písmena
  • Číslice
  • Interpunkční znaménka
  • Znaky klávesnice, které nejsou zahrnuty v ostatních čtyřech sadách – jako je znak procenta (%) a znak ampersand (&)
  • Požadavky na autentizaci. Všechna hesla a klíče používané k autentizaci partnerů musí obsahovat alespoň 10 znaků a v některých případech musí počet znaků odpovídat velikosti výtahu.
  • Šifrování hesla. Chcete-li změnit výchozí metodu šifrování (SHA512), zahrňte příkaz formátu na úrovni hierarchie [upravit přihlašovací heslo systému].

Pokyny pro silná hesla. Silná, opakovaně použitelná hesla mohou být založena na písmenech z oblíbené fráze nebo slova a poté zřetězena s jinými nesouvisejícími slovy, spolu s přidanými číslicemi a interpunkcí. Obecně platí, že silné heslo je:

  • Snadno zapamatovatelné, aby uživatelé nebyli v pokušení si to zapisovat.
  • Skládá se ze smíšených alfanumerických znaků a interpunkce. Pro shodu s FIPS zahrňte alespoň jednu změnu velikosti písmen, jednu nebo více číslic a jedno nebo více interpunkčních znamének.
  • Pravidelně měněno.
  • Nikomu neprozrazena.
    Charakteristika slabých hesel. Nepoužívejte následující slabá hesla:
  • Slova, která mohou být nalezena nebo existovat jako permutovaná forma v systému files jako /etc/passwd.
  • Název hostitele systému (vždy první odhad).
  • Jakékoli slovo nebo fráze, která se vyskytuje ve slovníku nebo jiném známém zdroji, včetně slovníků a tezaurů v jiných jazycích než v angličtině; díla klasických nebo populárních spisovatelů; nebo běžná slova a fráze ze sportu, výroky, filmy nebo televizní pořady.
  • Permutace na kterékoli z výše uvedených položek – napřample, slovo ze slovníku s písmeny nahrazenými číslicemi ( r00t) nebo s číslicemi přidanými na konec.
  • Jakékoli strojově generované heslo. Algoritmy zmenšují prostor pro vyhledávání programů na hádání hesel, a proto se nesmí používat.

Stahování softwarových balíčků z Juniper Networks
Softwarový balíček Junos OS pro vaše zařízení si můžete stáhnout ze sítě Juniper Networks webmísto.
Než začnete stahovat software, ujistěte se, že máte Juniper Networks Web účet a platnou smlouvu o podpoře. Chcete-li získat účet, vyplňte registrační formulář na Juniper Networks webmísto: https://userregistration.juniper.net/.
Stažení softwarových balíčků z Juniper Networks:

  1. Pomocí a Web prohlížeče, postupujte podle odkazů ke stažení URL na Juniper Networks webstrana. https://support.juniper.net/support/downloads/
  2. Přihlaste se do autentizačního systému Juniper Networks pomocí uživatelského jména (obvykle vaší e-mailové adresy) a hesla dodaného zástupci Juniper Networks.
  3. Stáhněte si software. Vidět Stahování softwaru.

SOUVISEJÍCÍ DOKUMENTACE
Průvodce instalací a upgradem
Instalace softwaru na zařízení s Single Routing Engine
Tento postup můžete použít k upgradu Junos OS na zařízení s jedním Routing Engine.
Instalace upgradů softwaru na zařízení s jedním Routing Engine:

  1. Stáhněte si softwarový balíček, jak je popsáno v Stahování softwarových balíčků z Juniper Networks.
  2. Pokud jste tak ještě neučinili, připojte se k portu konzoly na zařízení ze svého řídicího zařízení a přihlaste se do Junos OS CLI.
  3. (Volitelné) Zálohujte aktuální konfiguraci softwaru do druhého úložiště. Viz Průvodce instalací a upgradem softwaru pokyny k provedení tohoto úkolu.
  4. (Volitelné) Zkopírujte softwarový balíček do zařízení. Ke kopírování doporučujeme použít FTP file do adresáře /var/tmp/.
    Tento krok je volitelný, protože Junos OS lze upgradovat i tehdy, když je obraz softwaru uložen na vzdáleném místě. Tyto pokyny popisují proces aktualizace softwaru pro oba scénáře.
  5. Nainstalujte nový balíček na zařízení: Pro REMX2K-X8: user@host> request vmhost software add
    Pro RE1800: uživatel@hostitel> požádejte o přidání systémového softwaru
    Nahraďte balíček jednou z následujících cest:
    • Pro softwarový balíček v místním adresáři na zařízení použijte /var/tmp/package.tgz.
    • V případě softwarového balíčku na vzdáleném serveru použijte jednu z následujících cest a nahraďte balíček variabilní volby názvem softwarového balíčku.
    ftp://hostname/pathname/package.tgz
    • ftp://hostname/pathname/package.tgz
  6. Restartujte zařízení a načtěte instalaci:
    Pro REMX2K-X8:
    uživatel@hostitel> požadavek na restart vmhost
    Pro RE1800:
    uživatel@hostitel> požádat o restart systému
  7. Po dokončení restartu se přihlaste a pomocí příkazu show version ověřte, zda je nová verze softwaru úspěšně nainstalována.
    uživatel@hostitel> zobrazit verzi
    Model: mx960
    Junos: 20.3X75-D30.1
    JUNOS OS Kernel 64-bit [20210722.b0da34e0_builder_stable_11-204ab] JUNOS OS libs [20210722.b0da34e0_builder_stable_11-204ab] JUNOS OS runtime [20210722.b0da34e0_builder_stable_11-204ab] Informace o časovém pásmu OS JUNOS [20210722.b0da34e0_builder_stable_11-204ab] Síťový zásobník a nástroje JUNOS [20210812.200100_203nos75] JUNOS libs [30_builder_junos_20210812.200100_x203_d75] JUNOS OS libs compat30 [32.b20210722da0e34_builder_stable_0-11ab] Kompatibilita JUNOS OS 204-bit [32.b20210722da0e34_builder_stable_0-11ab] JUNOS libs compat204 [32_builder_junos_20210812.200100_x203_d75] JUNOS runtime [30_builder_junos_20210812.200100_x203_d75] JUNOS sflow mx [30_builder_junos_20210812.200100_x203_d75] JUNOS py extensions30 [2_builder_junos_20210812.200100_x203_d75] JUNOS py extensions [30_builder_junos_20210812.200100_x203_d75] JUNOS py base30 [2_builder_junos_20210812.200100_x203_d75] JUNOS py base [30_builder_junos_20210812.200100_x203_d75] JUNOS OS crypto [30_s20210722ab0da]34_s0ab11 JUNOS OS boot-ve files [20210722.b0da34e0_builder_stable_11-204ab] JUNOS na telemetrii [20.3X75-D30.1] JUNOS Security Intelligence [20210812.200100_builder_junos_203_x75_mx compat] JUNOS d30 comp [32_builder_junos_20210812.200100_x203_d75] JUNOS mx runtime [30_builder_junos_20210812.200100_x203_d75] JUNOS RPD telemetrická aplikace [30-D [20.3_builder_junos_75_x30.1_d20210812.200100] Nástroj sondy JUNOS [203_builder_junos_75_x30_d20210812.200100] Podpora společné platformy JUNOS [203_builder_junos_75_x30_d20210812.200100] JUNOS Openconfig [203X75-D30] Síťové moduly JUNOS mtx [20.3_builder_junos_75_x30.1 moduly JUNOS [20210812.200100_builder_junos_203_x75_d30] JUNOS mx moduly [20210812.200100_builder_junos_203_x75_d30] JUNOS mx libs [20210812.200100_builder_junos_203_x75_d30] JUNOS SQL Sync Daemon [20210812.200100_builder_junos_203_x75_d30] JUNOS mtx Data Plane Crypto Support [20210812.200100_builder_junos_203_x75_d30] Démoni JUNOS [20210812.200100_builder_junos_203_x75_d30] Démoni JUNOS mx [20210812.200100_builder_junos_203_x75_d30] JUNOS appidd-mx aplikační identifikační démon [20210812.200100_builder_junos_203_x75_d30] JUNOS Services URL Balíček filtrů [20210812.200100_builder_junos_203_x75_d30] Balíček PIC služby TLB služeb JUNOS [20210812.200100_builder_junos_203_x75_d30] Telemetrie služeb JUNOS [20210812.200100_builder_junos_203_x75_d30] JUNOS Services TCP-LOG [20210812.200100_builder_junos_203_x75_d30] JUNOS Services SSL [20210812.200100_builder_junos_203_x75_d30] SOFTWIRE JUNOS Services [20210812.200100_builder_junos_203_x75_d30] JUNOS Services Stateful Firewall [20210812.200100_builder_junos_203_x75_d30] JUNOS Services RTCOM [20210812.200100_builder_junos_203_x75_d30] JUNOS Services RPM [20210812.200100_builder_junos_203_x75_d30] Balíček PCEF služeb JUNOS [20210812.200100_builder_junos_203_x75_d30] NAT služeb JUNOS [20210812.200100_builder_junos_203_x75_d30] Balíček kontejneru služby mobilního předplatitele služeb JUNOS
    [20210812.200100_builder_junos_203_x75_d30] Softwarový balíček JUNOS Services MobileNext [20210812.200100_builder_junos_203_x75_d30] Balíček JUNOS Services Logging Report Framework [20210812.200100_builder_junos_203_x75_d30] JUNOS Services LL-PDF kontejnerový balíček [20210812.200100_builder_junos_203_x75_d30] JUNOS Services Jflow kontejnerový balíček [20210812.200100_builder_junos_203_x75_d30] Balíček hloubkové kontroly paketů JUNOS Services [20210812.200100_builder_junos_203_x75_d30] JUNOS Services IPSec [20210812.200100_builder_junos_203_x75_d30] JUNOS Services IDS [20210812.200100_builder_junos_203_x75_d30] JUNOS IDP Services [20210812.200100_builder_junos_203_x75_d30] Balíček správy obsahu HTTP služeb JUNOS [20210812.200100_builder_junos_203_x75_d30] Crypto služeb JUNOS [20210812.200100_builder_junos_203_x75_d30] Přijatý portál služeb JUNOS a balíček kontejneru pro doručování obsahu
    [20210812.200100_builder_junos_203_x75_d30] JUNOS Services COS [20210812.200100_builder_junos_203_x75_d30] JUNOS AppId Services [20210812.200100_builder_junos_203_x75_d30] JUNOS Services Application Level Gateways [20210812.200100_builder_junos_203_x75_d30] JUNOS Services AACL kontejnerový balíček [20210812.200100_builder_junos_203_x75_d30] JUNOS SDN Software Suite [20210812.200100_builder_junos_203_x75_d30] JUNOS Extension Toolkit [20210812.200100_builder_junos_203_x75_d30] Podpora modulu pro předávání paketů JUNOS (wrlinux9) [20210812.200100_builder_junos_203_x75_d30] Podpora modulu pro předávání paketů JUNOS (předávání paketů JUNOS [20210812.200100_builder_junos_203_x75_d30] JUNOS Packet Forwarding Engine Support (MXSPC3) [20.3X75-D30.1] JUNOS Packet Forwarding Engine Support (X2000) [20210812.200100_builder_junos_203_x75_d30] JUNOS Packet Forwarding Engine Podpora FIPS [20.3X75-D30.1] JUNOS Packet Forwarding Engine Support (M/T Common)
    [20210812.200100_builder_junos_203_x75_d30] Podpora modulu pro předávání paketů JUNOS (vzadu)

Pochopení nulování pro vymazání systémových dat pro režim FIPS
V TÉTO SEKCI
Proč Zeroize? | 26
Kdy nulovat? | 26
Zeroization kompletně vymaže všechny konfigurační informace na Routing Engines, včetně všech hesel v otevřeném textu, tajemství a soukromých klíčů pro SSH, místní šifrování, místní ověřování a IPsec.
Crypto Officer zahájí proces nulování zadáním požadavku provozního příkazu vmhost zeroize no-forwarding pro REMX2K-X8 a požadavku na nulování systému pro RE1800.
Integrovaný převodník tlaku vzduchu SHEARWATER 17001 – ikona 3 POZOR: Nulování systému provádějte opatrně. Po dokončení procesu nulování nezůstanou na Routing Engine žádná data. Zařízení se vrátí do výchozího stavu z výroby bez jakýchkoli nakonfigurovaných uživatelů nebo konfigurace files.
Nulování může být časově náročné. Přestože jsou všechny konfigurace odstraněny během několika sekund, proces nulování pokračuje a přepisuje všechna média, což může trvat značnou dobu v závislosti na velikosti média.
Proč Zeroize?
Vaše zařízení není považováno za platný kryptografický modul FIPS, dokud nejsou zadány – nebo znovu zadány – všechny kritické bezpečnostní parametry (CSP), zatímco je zařízení v režimu FIPS.
Aby byla zajištěna shoda se standardem FIPS 140-2, musíte před vypnutím režimu FIPS na zařízení vynulovat systém, abyste odstranili citlivé informace.
Kdy nulovat?
Jako Crypto Officer proveďte nulování v následujících situacích:

  • Před povolením provozního režimu FIPS: Chcete-li své zařízení připravit na provoz jako kryptografický modul FIPS, proveďte před povolením režimu FIPS nulování.
  • Před deaktivací režimu FIPS: Chcete-li začít znovu používat zařízení pro provoz bez FIPS, proveďte před deaktivací režimu FIPS na zařízení nulování.
    POZNÁMKA: Juniper Networks nepodporuje instalaci softwaru bez FIPS v prostředí FIPS, ale v určitých testovacích prostředích to může být nezbytné. Nejprve nezapomeňte vynulovat systém.

Vynulování systému
Chcete-li zařízení vynulovat, postupujte takto:

  1. Přihlaste se do zařízení jako Crypto Officer a z CLI zadejte následující příkaz.
    Pro REMX2K-X8:
    crypto-officer@host> request vmhost zeroize no-forwarding VMHost Zeroization : Vymaže všechna data, včetně konfigurace a protokolu files ? [ano, ne] (ne) ano
    re0:
    Pro REMX2K-X8:
    crypto-officer@host> požadavek na vynulování systému
    Vynulování systému: Vymaže všechna data, včetně konfigurace a protokolu files ?
    [ano, ne] (ne) ano
    re0:
  2. Chcete-li zahájit proces nulování, na výzvu zadejte yes:
    Vymažte všechna data, včetně konfigurace a protokolu files? [ano, ne] (ne) ano Vymazat všechna data, včetně konfigurace a protokolu files? [ano, ne] (ne) ano
    re0: ———————–varování: nulování
    re0……
    Celá operace může trvat značnou dobu v závislosti na velikosti média, ale všechny kritické bezpečnostní parametry (CSP) jsou odstraněny během několika sekund. Fyzické prostředí musí zůstat zabezpečené, dokud nebude proces nulování dokončen.

Povolení režimu FIPS
Když je Junos OS nainstalován na zařízení a zařízení je zapnuté, je připraveno ke konfiguraci.
Zpočátku se přihlásíte jako uživatel root bez hesla. Když se přihlásíte jako root, vaše připojení SSH je ve výchozím nastavení povoleno.
Jako Crypto Officer musíte vytvořit heslo uživatele root vyhovující požadavkům na heslo FIPS v části „Porozumění specifikacím hesel a pokynům pro OS Junos v režimu FIPS“ na stránce 20. Když v zařízení Junos OS povolíte režim FIPS, nemůžete konfigurovat hesla, pokud nesplňují tento standard.
Místní hesla jsou šifrována pomocí bezpečného hashovacího algoritmu SHA256 nebo SHA512. Obnovení hesla není možné v Junos OS v režimu FIPS. Junos OS v režimu FIPS nelze spustit do režimu pro jednoho uživatele bez správného hesla root.
Povolení režimu FIPS v Junos OS na zařízení:

  1. Před vstupem do režimu FIPS vynulujte zařízení, abyste odstranili všechny CSP. Podrobnosti naleznete v části „Porozumění nulování pro vymazání systémových dat pro režim FIPS“ na stránce 25.
  2. Poté, co se zařízení přepne do režimu Amnesiac, přihlaste se pomocí uživatelského jména root a hesla „“ (prázdné).
    FreeBSD/amd64 (Amnesiac) (ttyu0) přihlášení: root
    — 20.3bitové jádro JUNOS 75X30.1-D64 JNPR-11.0-20190701.269d466_buil root@:~ # cli root>
  3. Nakonfigurujte autentizaci uživatele root s heslem o délce alespoň 10 znaků.
    root> edit Vstup do konfiguračního režimu [upravit] root# set system root-authentication plain-text-password
    Nové heslo:
    Znovu zadejte nové heslo: [upravit] root# odevzdání dokončeno
  4. Načtěte konfiguraci do zařízení a potvrďte novou konfiguraci. Nakonfigurujte kryptoúředníka a přihlaste se pomocí přihlašovacích údajů kryptoúředníka.
  5. Nainstalujte balíček fips-mode potřebný pro Routing Engine KATS.
    root@hostname> požadovat přidání systémového softwaru volitelné://fips-mode.tgz
    Ověřený režim fips podepsaný metodou PackageDevelopmentEc_2017 ECDSA256+SHA256
  6. Pro zařízení řady MX,
    • Nakonfigurujte fips ohraničení podvozku nastavením systémové fips úrovně podvozku 1 a potvrďte.
    • Nakonfigurujte fips hranice RE nastavením systémové úrovně fips 1 a potvrzením.
    Zařízení může zobrazovat Zašifrované heslo musí být překonfigurováno, aby se k odstranění starších CSP v načtené konfiguraci použilo hash varování vyhovující FIPS.
  7. Po smazání a překonfigurování CSP proběhne odevzdání a zařízení se musí restartovat, aby vstoupilo do režimu FIPS. [upravit] crypto-officer@hostname# commit
    Generování klíče RSA /etc/ssh/fips_ssh_host_key
    Generování klíče RSA2 /etc/ssh/fips_ssh_host_rsa_key
    Generování klíče ECDSA /etc/ssh/fips_ssh_host_ecdsa_key
    [upravit] systém
    k přechodu na úroveň 1 FIPS je vyžadován restart potvrzení dokončeno [upravit] krypto-officer@hostname# spustit požadavek vmhost reboot
  8. Po restartu zařízení proběhnou autotesty FIPS a zařízení přejde do režimu FIPS. crypto-officer@hostname: fips>

SOUVISEJÍCÍ DOKUMENTACE
Vysvětlení specifikací hesla a pokynů pro Junos OS v režimu FIPS | 20
Konfigurace Crypto Officer a FIPS User Identification and Access
V TÉTO SEKCI
Konfigurace přístupu Crypto Officer | 30
Konfigurace přístupu k přihlášení uživatele FIPS | 32
Crypto Officer umožňuje na vašem zařízení režim FIPS a provádí všechny konfigurační úlohy pro Junos OS v režimu FIPS a vydává všechny příkazy a příkazy Junos OS v režimu FIPS. Konfigurace uživatele Crypto Officer a FIPS se musí řídit pokyny pro Junos OS v režimu FIPS.
Konfigurace přístupu Crypto Officer Access
Junos OS v režimu FIPS nabízí jemnější granularitu uživatelských oprávnění než ta, která vyžaduje FIPS 140-2.
V souladu s FIPS 140-2 je každý uživatel FIPS s nastavenými bity tajných, bezpečnostních, údržbových a kontrolních oprávnění správcem kryptoměn. Ve většině případů stačí třída superuživatele pro Crypto Officer.
Chcete-li nakonfigurovat přihlašovací přístup pro správce kryptoměn:

  1. Přihlaste se do zařízení pomocí hesla root, pokud jste tak ještě neučinili, a přejděte do konfiguračního režimu: root@hostname> edit Vstup do konfiguračního režimu [upravit] root@hostname#
  2. Pojmenujte uživatele krypto-důstojník a přidělte kryptodůstojníkovi uživatelské ID (napřample, 6400, což musí být jedinečné číslo spojené s přihlašovacím účtem v rozsahu 100 až 64000) a třída (např.ample, superuživatel). Když přiřadíte třídu, přiřadíte oprávnění – napřample, tajemství, zabezpečení, údržba a kontrola.
    Seznam oprávnění najdete v tématu Principy úrovní oprávnění přístupu k Junos OS.
    [upravit] root@hostname# nastavit přihlášení do systému uživatel uživatelské jméno uid value class-class-name
    Napřampten:
    [upravit] root@hostname# nastavit přihlášení do systému uživatel krypto-officer uid superuživatel třídy 6400
  3. Podle pokynů v části „Porozumění specifikacím hesel a pokynům pro Junos OS v režimu FIPS“ na stránce 20 přidělte Crypto Officer heslo ve formátu prostého textu pro ověření přihlášení. Nastavte heslo zadáním hesla po výzvách Nové heslo a Znovu zadejte nové heslo.
    [upravit] root@hostname# nastavit přihlášení do systému uživatel uživatelské jméno třída autentizace jménem třídy (plain-testpassword |
    zašifrované heslo)
    Napřampten:
    [upravit] root@hostname# nastavit přihlášení do systému uživatel krypto-důstojník třída superuživatel ověřování prostý text-heslo
  4. Volitelně zobrazte konfiguraci:
    [upravit] root@hostname# systém úprav
    [upravit systém] root@hostname# show
    přihlásit se {
    uživatel krypto-důstojník {
    uid 6400;
    autentizace {
    zašifrované heslo“ “; ## TAJNÁ-DATA
    }
    třída super-uživatel;
    }
    }
  5. Pokud jste dokončili konfiguraci zařízení, potvrďte konfiguraci a ukončete:
    [upravit] root@hostname# odevzdání dokončeno
    root@hostname# exit

Konfigurace přístupu k přihlášení uživatele FIPS
Uživatel fips je definován jako jakýkoli uživatel FIPS, který nemá nastaveny bity tajných, bezpečnostních, údržbových a kontrolních oprávnění.
Jako Crypto Officer nastavujete uživatele FIPS. Uživatelům FIPS nelze udělit oprávnění normálně vyhrazená pro Crypto Officer – napřample, oprávnění k vynulování systému.
Konfigurace přihlašovacího přístupu pro uživatele FIPS:

  1. Přihlaste se do zařízení pomocí svého hesla Crypto Officer, pokud jste tak ještě neučinili, a přejděte do konfiguračního režimu:
    crypto-officer@hostname:fips> upravit
    Vstup do konfiguračního režimu
    [upravit] crypto-officer@hostname:fips#
  2. Zadejte uživateli, uživatelské jméno a přiřaďte uživateli ID uživatele (napřample, 6401, což musí být jedinečné číslo v rozsahu 1 až 64000) a třída. Když přiřadíte třídu, přiřadíte oprávnění – napřample, clear, network, resetviewa view-konfigurace.
    [upravit] crypto-officer@hostname:fips# nastavit přihlášení do systému uživatel uživatelské jméno uid value class class-name Např.ampten:
    [upravit] crypto-officer@hostname:fips# nastavit přihlášení do systému uživatel fips-user1 uid 6401 třída jen pro čtení
  3. Postupujte podle pokynů v části „Porozumění specifikacím hesel a pokynům pro Junos OS in
    Režim FIPS“ na stránce 20, přiřaďte uživateli FIPS heslo ve formátu prostého textu pro ověření přihlášení. Nastavte heslo zadáním hesla po výzvách Nové heslo a Znovu zadejte nové heslo.
    [upravit] crypto-officer@hostname:fips# nastavit přihlášení do systému uživatelské jméno uživatele třída autentizace jménem třídy (prostý text-heslo | šifrované-heslo)
    Napřampten:
    [upravit] crypto-officer@hostname:fips# nastavit přihlášení do systému uživatel třída fips-user1 autentizace pouze pro čtení prostý text-heslo
  4. Volitelně zobrazte konfiguraci:
    [upravit] crypto-officer@hostname:fips# upravit systém [upravit systém] crypto-officer@hostname:fips# zobrazit
    přihlásit se {
    uživatel fips-user1 {
    uid 6401;
    autentizace {
    zašifrované heslo“ “; ## TAJNÁ-DATA
    }
    třída pouze pro čtení;
    }
    }
  5. Pokud jste dokončili konfiguraci zařízení, potvrďte konfiguraci a ukončete:
    [upravit] crypto-officer@hostname:fips# commit
    crypto-officer@hostname:fips# exit

Konfigurace připojení SSH a konzole

Konfigurace SSH ve vyhodnocené konfiguraci pro FIPS
SSH přes rozhraní pro vzdálenou správu povoleno v hodnocené konfiguraci. Toto téma popisuje, jak nakonfigurovat SSH prostřednictvím vzdálené správy.
Následující algoritmy, které je třeba nakonfigurovat pro ověření SSH pro FIPS.
Konfigurace SSH na DUT:

  1. Zadejte povolené algoritmy klíče hostitele SSH pro systémové služby.
    [editovat] uživatel@hostitel# nastavit systémové služby ssh hostkey-algorithm ssh-ecdsa
    uživatel@hostitel# nastavit systémové služby ssh hostkey-algorithm no-ssh-dss
    uživatel@hostitel# nastavit systémové služby ssh hostkey-algorithm ssh-rsa
  2. Zadejte výměnu klíčů SSH pro klíče Diffie-Hellman pro systémové služby.
    [upravit] uživatel@hostitel# nastavit systémové služby výměna klíčů ssh dh-group14-sha1
    uživatel@hostitel# nastavit systémové služby ssh výměna klíčů ecdh-sha2-nistp256
    uživatel@hostitel# nastavit systémové služby ssh výměna klíčů ecdh-sha2-nistp384
    uživatel@hostitel# nastavit systémové služby ssh výměna klíčů ecdh-sha2-nistp521
  3. Zadejte všechny přípustné algoritmy autentizačního kódu zprávy pro SSHv2
    [editovat] uživatel@hostitel# nastavit systémové služby ssh macs hmac-sha1
    user@host# nastavit systémové služby ssh macs hmac-sha2-256
    user@host# nastavit systémové služby ssh macs hmac-sha2-512
  4. Zadejte šifry povolené pro protokol verze 2.
    [editovat] uživatel@hostitel# nastavit systémové služby ssh šifry aes128-cbc
    user@host# nastavit systémové služby ssh šifry aes256-cbc
    user@host# nastavit systémové služby ssh šifry aes128-ctr
    user@host# nastavit systémové služby ssh šifry aes256-ctr
    user@host# nastavit systémové služby ssh šifry aes192-cbc
    user@host# nastavit systémové služby ssh šifry aes192-ctr
    Podporovaný algoritmus hostitelského klíče SSH:
    ssh-ecdsa Povolit generování hostitelského klíče ECDSA
    ssh-rsa Povolí generování hostitelského klíče RSA
    Podporovaný algoritmus výměny klíčů SSH:
    ecdh-sha2-nistp256 EC Diffie-Hellman na nistp256 s SHA2-256
    ecdh-sha2-nistp384 EC Diffie-Hellman na nistp384 s SHA2-384
    ecdh-sha2-nistp521 EC Diffie-Hellman na nistp521 s SHA2-512
    Podporovaný algoritmus MAC:
    hmac-sha1 MAC založená na hash pomocí Secure Hash Algorithm (SHA1)
    hmac-sha2-256 MAC založená na hash pomocí Secure Hash Algorithm (SHA2)
    hmac-sha2-512 MAC založená na hash pomocí Secure Hash Algorithm (SHA2)
    Podporovaný algoritmus šifry SSH:
    aes128-cbc 128bitový AES s řetězením šifrových bloků
    aes128-ctr 128bitový AES s režimem čítače
    aes192-cbc 192bitový AES s řetězením šifrových bloků
    aes192-ctr 192bitový AES s režimem čítače
    aes256-cbc 256bitový AES s řetězením šifrových bloků
    aes256-ctr 256bitový AES s režimem čítače

Konfigurace MACsec

Porozumění zabezpečení přístupu k médiím (MACsec) v režimu FIPS
Media Access Control Security (MACsec) je průmyslová bezpečnostní technologie 802.1AE IEEE, která poskytuje zabezpečenou komunikaci pro veškerý provoz na ethernetových spojích. MACsec poskytuje zabezpečení point-to-point na ethernetových spojích mezi přímo připojenými uzly a je schopen identifikovat a předcházet většině bezpečnostních hrozeb, včetně odmítnutí služby, narušení, man-in-the-middle, maskování, pasivního odposlechu a útoků na přehrávání.
MACsec umožňuje zabezpečit point-to-point ethernetové spojení pro téměř veškerý provoz, včetně rámců z protokolu Link Layer Discovery Protocol (LLDP), Link Aggregation Control Protocol (LACP), Dynamic Host Configuration Protocol (DHCP), Address Resolution Protocol (ARP), a další protokoly, které obvykle nejsou zabezpečeny na ethernetovém spojení kvůli omezením s jinými bezpečnostními řešeními. MACsec lze použít v kombinaci s dalšími bezpečnostními protokoly, jako je IP Security (IPsec) a Secure Sockets Layer (SSL), aby bylo zajištěno zabezpečení sítě typu end-to-end.
MACsec je standardizován v IEEE 802.1AE. Standard IEEE 802.1AE lze vidět na organizaci IEEE webweb na IEEE 802.1: PŘEMOSTOVÁNÍ A ŘÍZENÍ.
Každá implementace algoritmu je kontrolována sérií samotestů testu známé odpovědi (KAT) a validací kryptografických algoritmů (CAV). Následující kryptografické algoritmy jsou přidány speciálně pro MACsec.

  • Advanced Encryption Standard (AES) – šifrovací kód pro ověření zprávy (CMAC)
  • Advanced Encryption Standard (AES) Key Wrap
    Pro MACsec použijte v konfiguračním režimu příkaz prompt k zadání hodnoty tajného klíče o délce 64 hexadecimálních znaků pro ověření.
    [upravit] crypto-officer@hostname:fips# prompt security macsec connectivity-association pre-shared-key cak
    Nový cak (tajemství):
    Přepište nový cak (tajné):

Přizpůsobení času
Chcete-li upravit čas, vypněte NTP a nastavte datum.

  1. Zakázat NTP.
    [upravit] crypto-officer@hostname:fips# deaktivovat skupiny globální systém ntp
    crypto-officer@hostname:fips# deaktivovat systémový ntp
    crypto-officer@hostname:fips# commit
    crypto-officer@hostname:fips# exit
  2. Nastavení data a času. Formát data a času je RRRRMMDDHHMM.ss
    [upravit] crypto-officer@hostname:fips# nastavit datum 201803202034.00
    crypto-officer@hostname:fips# nastavit cli timestamp
  3. Nastavte podrobnosti zabezpečeného kanálu MACsec Key Agreement (MKA).
    [upravit] crypto-officer@hostname:fips# nastavit zabezpečení macsec připojení-asociace připojení-název sdružení-zabezpečený-kanál bezpečný-název-kanálu směr (příchozí | odchozí) crypto-officer@hostname:fips# nastavit zabezpečení macsec připojení-asociace připojení-přidružení název-zabezpečený-kanál zabezpečení-název-kanálu šifrování crypto-officer@hostname:fips# nastavit zabezpečení macsec připojení-asociace připojení-název-přidružení zabezpečený-kanál zabezpečený-název-kanálu id mac-adresa /”mac-adresa krypto-officer@hostname:fips# nastavit zabezpečení macsec konektivitu-sdružení číslo připojení-název-přidružení port zabezpečení-channel zabezpečený-id-kanál crypto-officer@hostname:fips# nastavit zabezpečení macsec připojení-asociace připojení-název-přidružení secure-channel secure-channel-name offset “(0|30|50) krypto-officer@hostname:fips# nastavit zabezpečení macsec connectivity-association číslo připojení-název-asociace bezpečnostního-asociace-klíč zabezpečení-sdružení-bezpečnostního-kanálu
  4. Nastavte MKA do bezpečnostního režimu.
    [upravit] crypto-officer@hostname:fips# nastavit zabezpečení macsec konektivita-sdružení konektivita-sdružení-název zabezpečení-režim zabezpečení
  5. Přiřaďte konfigurované přidružení připojení k určenému rozhraní MACsec.
    [upravit] crypto-officer@hostname:fips# nastavit zabezpečení rozhraní macsec název-rozhraní konektivitysdružení konektivity-název-asociace

Konfigurace statického MACsec s provozem ICMP
Konfigurace statického MACsec pomocí provozu ICMP mezi zařízením R0 a zařízením R1:
V R0:

  1. Vytvořte předsdílený klíč nakonfigurováním názvu klíče přidružení připojení (CKN) a klíče přidružení připojení (CAK)
    [upravit] crypto-officer@hostname:fips# nastavit zabezpečení macsec connectivity-association CA1 pre-sharedkey ckn 2345678922334455667788992223334445556667778889992222333344445555
    crypto-officer@hostname:fips# nastavit zabezpečení macsec connectivity-association CA1 pre-sharedkey cak 23456789223344556677889922233344 crypto-officer@hostname:fips# set security macsec connectivity-association-association1 30
  2. Nastavte hodnoty možností trasování.
    [upravit] crypto-officer@hostname:fips# nastavit zabezpečení macsec traceoptions file MACsec.log
    crypto-officer@hostname:fips# nastavte zabezpečení macsec traceoptions file velikost 4000000000
    crypto-officer@hostname:fips# nastavit zabezpečení macsec traceoptions příznak vše
  3. Přiřaďte trasování rozhraní.
    [upravit] crypto-officer@hostname:fips# nastavit zabezpečení rozhraní macsec interface-name traceoptions file mka_xe velikost 1g crypto-officer@hostname:fips# set security macsec interfaces interface name traceoptions flag all
  4. Nakonfigurujte režim zabezpečení MACsec jako statický-cak pro přidružení připojení. [upravit] crypto-officer@hostname:fips# nastavit zabezpečení macsec connectivity-association CA1 security-mode static-cak
  5. Nastavte prioritu serveru klíčů MKA.
    [upravit] crypto-officer@hostname:fips# nastavit zabezpečení macsec connectivity-association CA1 mka key-serverpriority 1
  6. Nastavte interval vysílání MKA.
    [upravit] crypto-officer@hostname:fips# nastavit zabezpečení macsec connectivity-association CA1 mka transmitinterval 3000
  7. Povolte zabezpečení MKA.
    [upravit] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 mka shouldsecure
    crypto-officer@hostname:fips# nastavit zabezpečení macsec connectivity-association CA1 include-sci
  8. Přiřaďte přidružení připojení k rozhraní.
    [upravit] crypto-officer@hostname:fips# nastavit zabezpečení rozhraní macsec interface-name connectivityassociation
    CA1
    crypto-officer@hostname:fips# set interfaces interface name unit 0 family inet address 10.1.1.1/24

V R1:

  1. Vytvořte předsdílený klíč nakonfigurováním názvu klíče přidružení připojení (CKN) a klíče přidružení připojení (CAK)
    [upravit] crypto-officer@hostname:fips# nastavit zabezpečení macsec connectivity-association CA1 pre-sharedkey ckn 2345678922334455667788992223334445556667778889992222333344445555 crypto-officer@hostname:fips# nastavit zabezpečení macsec connectivity-association CA1 pre-sharedkey cak 23456789223344556677889922233344 crypto-officer@hostname:fips# set security macsec connectivity-association-association1 30
  2. Nastavte hodnoty možností trasování.
    [upravit] crypto-officer@hostname:fips# nastavit zabezpečení macsec traceoptions file MACsec.log crypto-officer@hostname:fips# nastavení zabezpečení macsec traceoptions file velikost 4000000000 krypto-officer@hostname:fips# nastavit zabezpečení macsec traceoptions příznak vše
  3. Přiřaďte trasování rozhraní. [upravit] crypto-officer@hostname:fips# nastavit zabezpečení rozhraní macsec interface-name traceoptions file mka_xe velikost 1g crypto-officer@hostname:fips# set security macsec interfaces interface name traceoptions flag all
  4. Nakonfigurujte režim zabezpečení MACsec jako statický-cak pro přidružení připojení. [upravit] crypto-officer@hostname:fips# nastavit zabezpečení macsec connectivity-association CA1 security-mode static-cak
  5. Nastavte interval vysílání MKA.
    [upravit] crypto-officer@hostname:fips# nastavit zabezpečení macsec connectivity-association CA1 mka transmitinterval 3000
  6. Povolte zabezpečení MKA. [upravit] crypto-officer@hostname:fips# nastavit zabezpečení macsec connectivity-association CA1 mka shouldsecure crypto-officer@hostname:fips# set security macsec connection-association CA1 include-sci
  7. Přiřaďte přidružení připojení k rozhraní. [upravit] krypto-officer@hostname:fips# nastavit zabezpečení rozhraní macsec název-rozhraní připojení přidružení CA1 krypto-officer@hostname:fips# nastavit rozhraní název-rozhraní jednotka 0 rodina inet adresa 10.1.1.2/24

Konfigurace MACsec s klíčenkou pomocí ICMP Traffic
Konfigurace MACsec s klíčenkou pomocí ICMP provozu mezi zařízením R0 a zařízením R1:
V R0:

  1. Přiřaďte řetězci ověřovacích klíčů hodnotu tolerance. [upravit] crypto-officer@hostname:fips# set security authentication-key-chains key-chain key-chain macsec-kc1 tolerance 20
  2. Vytvořte tajné heslo, které chcete použít. Je to řetězec hexadecimálních číslic o délce až 64 znaků. Heslo může obsahovat mezery, pokud je řetězec znaků uzavřen v uvozovkách. Tajná data klíčenky se používají jako CAK.
    [edit] crypto-officer@hostname:fips# set security authentication-key-chains key-chains key-chains macsec-kc1 key 0 key-name 2345678922334455667788992223334445556667778889992222333344445551 crypto-officer@hostname:fips# set security authentication-keychains key-chain key-chain macsec-kc1 key 0 start-time 2018-03-20.20:35 crypto-officer@hostname:fips# set security authentication-key-chains key-chains key-chain macsec-kc1 key 1 crypto-officer@hostname:fips# set security authentication-keychains starttime key-chain key-chain macs 2345678922334455667788992223334445556667778889992222333344445552-1-1:2018 crypto-officer@hostname:fips# set security authentication-keychains key-chain macsec-kc03 key 20.20 key-name 37 crypto-officer@hostname:fips# set security authentication-keychains starttime key-chain 1kc key-macs 2-2345678922334455667788992223334445556667778889992222333344445553-1:2 crypto-officer@hostname:fips# set security authentication-keychains key-chain macsec-kc2018 key 03 key-name 20.20 crypto-officer@hostname:fips# set security authentication-keychains starttime key-chain 39kc key-macs 1-3-2345678922334455667788992223334445556667778889992222333344445554:1 crypto-officer@hostname:fips# set security authentication-keychains key-chain macsec-kc3 key 2018 key-name 03 crypto-officer@hostname:fips# set security authentication-keychains starttime key-chain key-chain macs 20.20-41-1:4 crypto-officer@hostname:fips# set security authentication-keychains key-chain macsec-kc2345678922334455667788992223334445556667778889992222333344445555 key 1 key-name 4 crypto-officer@hostname:fips# set security authentication-keychains starttime key-chain key-chain macs 2018-03-20.20:43 crypto-officer@hostname:fips# set security authentication-keychains key-chain macsec-kc1 key 5 key-name 2345678922334455667788992223334445556667778889992222333344445556 crypto-officer@hostname:fips# set security authentication-keychains starttime key-chain key-chain macs 1-5-2018:03 crypto-officer@hostname:fips# set security authentication-keychains key-chain macsec-kc20.20 key 45 key-name 1 crypto-officer@hostname:fips# set security authentication-keychains starttime key-chain 6kc key-macs 2345678922334455667788992223334445556667778889992222333344445557-1-6:2018 Pomocí příkazu prompt zadejte hodnotu tajného klíče. Napřample, hodnota tajného klíče je 2345678922334455667788992223334123456789223344556677889922233341. Nový cak (tajný): Přepište nový cak (tajný): crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macseckc1 key 0 secret Nový cak (tajný):
    Znovu zadejte nový cak (tajný): crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macseckc1 key 2 secret Nový cak (tajný):
    Znovu zadejte nový cak (tajný): krypto-officer@hostname:fips# prompt security authentication-keychains key-chains key-chain macseckc1 key 3 secret Nový cak (secret): Přepište nový cak (secret): crypto-officer@hostname:fips# prompt security authentication-key-chains (nový typ klíče cseckretak) cak-chain key-chain cak (tajné): crypto-officer@hostname:fips# prompt security authentication-keychains key-chains key-chains key-chain macseckc1 key 4 secret Nový cak (secret): Přepište nový cak (tajný): krypto-officer@hostname:fips# prompt security authentication-key-chains key-chain (nový typ macseckretc1) nový typ macseckretc. (tajné): crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macseckc5 key 1 secret New cak (secret): Přepište nový cak (secret):
  3. Přiřaďte název předsdílené klíčenky k přidružení připojení.
    [upravit] crypto-officer@hostname:fips# nastavit zabezpečení macsec connectivity-association CA1 pre-sharedkey-chain macsec-kc1 crypto-officer@hostname:fips# set security macsec connection-association CA1 offset 50 crypto-officer@ CA crypto-officer@ CA security-name1macececcips šifrovací sada gcm-aes-256
    POZNÁMKA: Hodnotu šifry lze také nastavit jako cipher-suite gcm-aes-128.
  4. Nastavte hodnoty možností trasování.
    [upravit] crypto-officer@hostname:fips# nastavit zabezpečení macsec traceoptions file MACsec.log crypto-officer@hostname:fips# nastavení zabezpečení macsec traceoptions file velikost 4000000000 krypto-officer@hostname:fips# nastavit zabezpečení macsec traceoptions příznak vše
  5. Přiřaďte trasování rozhraní. [upravit] crypto-officer@hostname:fips# nastavit zabezpečení rozhraní macsec interface-name traceoptions file mka_xe velikost 1g crypto-officer@hostname:fips# set security macsec interfaces interface name traceoptions flag all
  6. Nakonfigurujte režim zabezpečení MACsec jako statický-cak pro přidružení připojení. [upravit] crypto-officer@hostname:fips# nastavit zabezpečení macsec connectivity-association CA1 securitymode static-cak
  7. Nastavte prioritu serveru klíčů MKA.
    [upravit] crypto-officer@hostname:fips# nastavit zabezpečení macsec connectivity-association CA1 mka keyserver-priority 1
  8. Nastavte interval vysílání MKA.
    [upravit] crypto-officer@hostname:fips# nastavit zabezpečení macsec connectivity-association CA1 mka transmitinterval 3000
  9. Povolte zabezpečení MKA.
    [upravit] crypto-officer@hostname:fips# nastavit zabezpečení macsec connectivity-association CA1 include-sci
  10. Přiřaďte přidružení připojení k rozhraní.
    [upravit] crypto-officer@hostname:fips# nastavit zabezpečení rozhraní macsec název-rozhraní connectivityassociation CA1
    krypto-officer@hostname:fips#
    set interfaces interface-name unit 0 family inet address 10.1.1.1/24

Konfigurace MACsec s klíčenkou pro provoz ICMP:
V R1:

  1. Přiřaďte řetězci ověřovacích klíčů hodnotu tolerance.
    [upravit] crypto-officer@hostname:fips# set security authentication-key-chains key-chain key-chain macsec-kc1 tolerance 20
  2. Vytvořte tajné heslo, které chcete použít. Je to řetězec hexadecimálních číslic o délce až 64 znaků. Heslo může obsahovat mezery, pokud je řetězec znaků uzavřen v uvozovkách. Tajná data klíčenky se používají jako CAK.
    [edit] crypto-officer@hostname:fips# set security authentication-key-chains key-chains key-chains macsec-kc1 key 0 key-name 2345678922334455667788992223334445556667778889992222333344445551 crypto-officer@hostname:fips# set security authentication-keychains key-chain key-chain macsec-kc1 key 0 start-time 2018-03-20.20:35 crypto-officer@hostname:fips# set security authentication-key-chains key-chains key-chain macsec-kc1 key 1 crypto-officer@hostname:fips# set security authentication-keychains starttime key-chain key-chain macs 2345678922334455667788992223334445556667778889992222333344445552-1-1:2018 crypto-officer@hostname:fips# set security authentication-keychains key-chain macsec-kc03 key 20.20 key-name 37 crypto-officer@hostname:fips# set security authentication-keychains starttime key-chain 1kc key-macs 2-2345678922334455667788992223334445556667778889992222333344445553-1:2 crypto-officer@hostname:fips# set security authentication-keychains key-chain macsec-kc2018 key 03 key-name 20.20 crypto-officer@hostname:fips# set security authentication-keychains starttime key-chain 39kc key-macs 1-3-2345678922334455667788992223334445556667778889992222333344445554:1 crypto-officer@hostname:fips# set security authentication-keychains key-chain macsec-kc3 key 2018 key-name 03 crypto-officer@hostname:fips# set security authentication-keychains starttime key-chain key-chain macs 20.20-41-1:4 crypto-officer@hostname:fips# set security authentication-keychains key-chain macsec-kc2345678922334455667788992223334445556667778889992222333344445555 key 1 key-name 4 krypto-officer@hostname:fips# nastavení zabezpečení autentizace-klíčové-řetězce starttime key-chain-2018 keysec macsec 03-20.20-43:1 crypto-officer@hostname:fips# set security authentication-keychains key-chain macsec-kc5 key 345678922334455667788992223334445556667778889992222333344445556 key-name 1 crypto-officer@hostname:fips# set security authentication-keychains starttime key-chain key-chain macs 5-2018-03:20.20 crypto-officer@hostname:fips# set security authentication-keychains key-chain macsec-kc45 key 1 key-name 6 crypto-officer@hostname:fips# set security authentication-keychains starttime key-chain 2345678922334455667788992223334445556667778889992222333344445557kc key-macs 1:6
    Pomocí příkazu prompt zadejte hodnotu tajného klíče. Napřample, hodnota tajného klíče je 2345678922334455667788992223334123456789223344556677889922233341.
    [upravit] crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macseckc1 key 0 secret
    Nový cak (tajemství):
    Znovu zadejte nový cak (tajný): krypto-officer@hostname:fips# prompt security authentication-keychains key-chains key-chain macseckc1 key 1 secret Nový cak (secret): Přepište nový cak (secret): krypto-officer@hostname:fips# prompt security authentication-key-chains (nový typ klíče cseckretak) cak-chain key-chain cak (tajné): crypto-officer@hostname:fips# prompt security authentication-keychains key-chains key-chain macseckc1 key 2 secret Nový cak (secret): Přepište nový cak (secret): krypto-officer@hostname:fips# prompt security authentication-key-chains key-chain key-chain cakecak nový klíč macseckretc1 retype macseckretc
    (tajný):
    crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macseckc1 key 5 secret Nový cak (tajný): Přepište nový cak (tajný):
    crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macseckc1 key 6 secret Nový cak (secret):
    Přepište nový cak (tajné):
    crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macseckc1 key 7 secret Nový cak (secret):
    Přepište nový cak (tajné):
  3. Přiřaďte název předsdílené klíčenky k přidružení připojení.
    [upravit] crypto-officer@hostname:fips# nastavit zabezpečení macsec connectivity-association CA1 pre-shared- key-chain macsec-kc1
    crypto-officer@hostname:fips# nastavit zabezpečení macsec connectivity-association CA1 offset 50 crypto-officer@hostname:fips# set security macsec connection-association CA1 cipher-suite gcm-aes-256
  4. Nastavte hodnoty možností trasování.
    [upravit] crypto-officer@hostname:fips# nastavit zabezpečení macsec traceoptions file MACsec.log crypto-officer@hostname:fips# nastavení zabezpečení macsec traceoptions file velikost 4000000000 krypto-officer@hostname:fips# nastavit zabezpečení macsec traceoptions příznak vše
  5. Přiřaďte trasování rozhraní.
    [upravit] crypto-officer@hostname:fips# nastavit zabezpečení rozhraní macsec interface-name traceoptions file mka_xe velikost 1g crypto-officer@hostname:fips# set security macsec interfaces interface name traceoptions flag all
  6. Nakonfigurujte režim zabezpečení MACsec jako statický-cak pro přidružení připojení.
    [upravit] crypto-officer@hostname:fips# nastavit zabezpečení macsec connectivity-association CA1 securitymode static-cak
  7. Nastavte prioritu serveru klíčů MKA.
    [upravit] crypto-officer@hostname:fips# nastavit zabezpečení macsec connectivity-association CA1 mka keyserver-priority 1
  8. Nastavte interval vysílání MKA.
    [upravit] crypto-officer@hostname:fips# nastavit zabezpečení macsec connectivity-association CA1 mka transmitinterval 3000
  9. Povolte zabezpečení MKA.
    [upravit] crypto-officer@hostname:fips# nastavit zabezpečení macsec connectivity-association CA1 include-sci
  10. Přiřaďte přidružení připojení k rozhraní.
    [upravit] crypto-officer@hostname:fips# nastavit zabezpečení rozhraní macsec interface-name connectivityassociation
    CA1
    crypto-officer@hostname:fips# set interfaces interface name unit 0 family inet address 10.1.1.2/24

Konfigurace statického MACsec pro provoz na 2. vrstvě
Konfigurace statického MACsec pro provoz na 2. vrstvě mezi zařízením R0 a zařízením R1:
V R0:

  1. Nastavte prioritu serveru klíčů MKA.
    [upravit] crypto-officer@hostname:fips# nastavit zabezpečení macsec konektivita-asociace CA1 mka klíč server-priorita 1
  2. Vytvořte tajné heslo, které chcete použít. Je to řetězec hexadecimálních číslic o délce až 64 znaků. Heslo může obsahovat mezery, pokud je řetězec znaků uzavřen v uvozovkách. Tajná data klíčenky se používají jako CAK.
    [upravit] crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macseckc1 key 0 secret New cak (secret):
    Přepište nový cak (tajné):
    Napřample, hodnota tajného klíče je 2345678922334455667788992223334123456789223344556677889922233341.
  3. Přiřaďte název předsdílené klíčenky k přidružení připojení. [upravit] crypto-officer@hostname:fips# nastavit zabezpečení macsec connectivity-association CA1 pre-sharedkey-chain macsec-kc1 crypto-officer@hostname:fips# set security macsec connection-association CA1 offset 50 crypto-officer@ CA crypto-officer@ CA security-name1macececcips šifrovací sada gcm-aes-256
  4. Nastavte hodnoty možností trasování. [upravit] crypto-officer@hostname:fips# nastavit zabezpečení macsec traceoptions file MACsec.log crypto-officer@hostname:fips# nastavení zabezpečení macsec traceoptions file velikost 4000000000 krypto-officer@hostname:fips# nastavit zabezpečení macsec traceoptions příznak vše
  5. Přiřaďte trasování rozhraní. [upravit] crypto-officer@hostname:fips# nastavit zabezpečení rozhraní macsec interface-name traceoptions file mka_xe velikost 1g crypto-officer@hostname:fips# set security macsec interfaces interface name traceoptions flag all
  6. Nakonfigurujte režim zabezpečení MACsec jako statický-cak pro přidružení připojení.
    [upravit] crypto-officer@hostname:fips# nastavit zabezpečení macsec connectivity-association CA1 securitymode static-cak
  7. Nastavte prioritu serveru klíčů MKA. [upravit] crypto-officer@hostname:fips# nastavit zabezpečení macsec konektivita-asociace CA1 mka klíč server-priorita 1
  8. Nastavte interval vysílání MKA.
    [upravit] crypto-officer@hostname:fips# nastavit zabezpečení macsec connectivity-association CA1 mka transmitinterval 3000
  9. Povolte zabezpečení MKA.
    [upravit] crypto-officer@hostname:fips# nastavit zabezpečení macsec connectivity-association CA1 include-sci
  10. Přiřaďte přidružení připojení k rozhraní.
    [upravit] crypto-officer@hostname:fips# nastavit zabezpečení rozhraní macsec interface-name connectivityassociation
    CA1
  11. Nakonfigurujte VLAN tagšel.
    [upravit] crypto-officer@hostname:fips# nastavit rozhraní název-rozhraní1 flexibilní-vlan-tagging
    crypto-officer@hostname:fips# set interfaces interface-name1 zapouzdření flexibilní Ethernet-services
    krypto-officer@hostname:fips#
    nastavit rozhraní název-rozhraní1 jednotka 100 zapouzdření vlanbridge
    krypto-officer@hostname:fips#
    nastavit rozhraní název-rozhraní1 jednotka 100 vlan-id 100
    crypto-officer@hostname:fips# nastavit rozhraní název-rozhraní2 flexibilní-vlan-tagging
    crypto-officer@hostname:fips# set interfaces interface-name2 zapouzdření flexibilní Ethernet-services
    krypto-officer@hostname:fips#
    nastavit rozhraní název-rozhraní2 jednotka 100 zapouzdření vlanbridge
    krypto-officer@hostname:fips#
    nastavit rozhraní název-rozhraní2 jednotka 100 vlan-id 100
  12. Nakonfigurujte doménu mostu.
    [upravit] crypto-officer@hostname:fips# set bridge-domains BD-110 domain-type bridge
    crypto-officer@hostname:fips# set bridge-domains BD-110 vlan-id 100
    crypto-officer@hostname:fips# set bridge-domains BD-110 interface name-name1 100
    crypto-officer@hostname:fips# set bridge-domains BD-110 interface name-name2 100

V R1:

  1. Vytvořte tajné heslo, které chcete použít. Je to řetězec hexadecimálních číslic o délce až 64 znaků. The
    heslo může obsahovat mezery, pokud je řetězec znaků uzavřen v uvozovkách. Klíčenka je
    tajná data se používají jako CAK.
    [upravit] crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macseckc1 key 0 secret
    Nový cak
    (tajný):
    Přepište nový cak
    (tajný):
    Napřample, hodnota tajného klíče je
    2345678922334455667788992223334123456789223344556677889922233341.
  2. Přiřaďte název předsdílené klíčenky k přidružení připojení.
    [upravit] crypto-officer@hostname:fips# nastavit zabezpečení macsec connectivity-association CA1 pre-sharedkey-chain
    macsec-kc1 crypto-officer@hostname:fips#
    nastavit zabezpečení macsec connectivity-association CA1 offset 50
    crypto-officer@hostname:fips# nastavit zabezpečení macsec connectivity-association CA1 cipher-suite gcm-aes-256
  3. Nastavte hodnoty možností trasování.
    [upravit] crypto-officer@hostname:fips# nastavit zabezpečení macsec traceoptions file MACsec.log
    crypto-officer@hostname:fips# nastavte zabezpečení macsec traceoptions file velikost 4000000000
    crypto-officer@hostname:fips# nastavit zabezpečení macsec traceoptions příznak vše
  4. Přiřaďte trasování rozhraní.
    [upravit] crypto-officer@hostname:fips# nastavit zabezpečení rozhraní macsec interface-name traceoptions file mka_xe velikost 1g
    crypto-officer@hostname:fips# nastavení zabezpečení rozhraní macsec interface-name traceoptions
    označit vše
  5. Nakonfigurujte režim zabezpečení MACsec jako statický-cak pro přidružení připojení.
    [upravit] crypto-officer@hostname:fips# nastavit zabezpečení macsec connectivity-association CA1 securitymode
    static-cak
  6. Nastavte prioritu serveru klíčů MKA.
    [upravit] crypto-officer@hostname:fips# nastavit zabezpečení macsec konektivita-asociace CA1 mka klíč server-priorita 1
  7. Nastavte interval vysílání MKA.
    [upravit] crypto-officer@hostname:fips# nastavit zabezpečení macsec connectivity-association CA1 mka broadcastinterval
    3000
  8. Povolte zabezpečení MKA.
    [upravit] crypto-officer@hostname:fips# nastavit zabezpečení macsec connectivity-association CA1 include-sci
  9. Přiřaďte přidružení připojení k rozhraní.
    [upravit] crypto-officer@hostname:fips# nastavit zabezpečení rozhraní macsec název-rozhraní connectivityassociation CA1
  10. Nakonfigurujte VLAN tagšel.
    [upravit] crypto-officer@hostname:fips# nastavit rozhraní název-rozhraní1 flexibilní-vlan-tagging
    crypto-officer@hostname:fips# set interfaces interface-name1 zapouzdření flexibilní Ethernet-services
    crypto-officer@hostname:fips# set interfaces interface-name1 unit 100 encapsulation vlanbridge
    krypto-officer@hostname:fips#
    nastavit rozhraní název-rozhraní1 jednotka 100 vlan-id 100
    crypto-officer@hostname:fips# nastavit rozhraní název-rozhraní2 flexibilní-vlan-tagging
    crypto-officer@hostname:fips# set interfaces interface-name2 zapouzdření flexibilní Ethernet-services
    krypto-officer@hostname:fips#
    nastavit rozhraní název-rozhraní2 jednotka 100 zapouzdření vlanbridge
    krypto-officer@hostname:fips#
    nastavit rozhraní název-rozhraní2 jednotka 100 vlan-id 100
  11. Nakonfigurujte doménu mostu.
    [upravit] crypto-officer@hostname:fips# set bridge-domains BD-110 domain-type bridge
    crypto-officer@hostname:fips# set bridge-domains BD-110 vlan-id 100
    crypto-officer@hostname:fips# set bridge-domains BD-110 interface name-name1 100
    crypto-officer@hostname:fips# set bridge-domains BD-110 interface name-name2 100

Konfigurace MACsec s klíčenkou pro provoz na 2. vrstvě

Konfigurace MACsec s klíčenkou pro provoz ICMP mezi zařízením R0 a zařízením R1:
V R0:

  1. Přiřaďte řetězci ověřovacích klíčů hodnotu tolerance.
    [upravit] crypto-officer@hostname:fips# set security authentication-key-chains key-chain key-chain macsec-kc1 tolerance 20
  2. Vytvořte tajné heslo, které chcete použít. Je to řetězec hexadecimálních číslic o délce až 64 znaků. Heslo může obsahovat mezery, pokud je řetězec znaků uzavřen v uvozovkách. Tajná data klíčenky se používají jako CAK.
    [upravit] crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    klíč 0 název klíče 2345678922334455667788992223334445556667778889992222333344445551
    crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    klíč 0 čas zahájení 2018-03-20.20:35
    crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    klíč 1 název klíče 2345678922334455667788992223334445556667778889992222333344445552
    crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    klíč 1 čas zahájení 2018-03-20.20:37
    crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    klíč 2 název klíče 2345678922334455667788992223334445556667778889992222333344445553
    crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    klíč 2 čas zahájení 2018-03-20.20:39
    crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    klíč 3 název klíče 2345678922334455667788992223334445556667778889992222333344445554
    crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    klíč 3 čas zahájení 2018-03-20.20:41
    crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    klíč 4 název klíče 2345678922334455667788992223334445556667778889992222333344445555
    crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    klíč 4 čas zahájení 2018-03-20.20:43
    crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    klíč 5 název klíče 2345678922334455667788992223334445556667778889992222333344445556
    crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    klíč 5 čas zahájení 2018-03-20.20:45
    crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    klíč 6 název klíče 2345678922334455667788992223334445556667778889992222333344445557
    crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    klíč 6 čas zahájení 2018-03-20.20:47
    crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    klíč 7 název klíče 2345678922334455667788992223334445556667778889992222333344445558
    crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    klíč 7 čas zahájení 2018-03-20.20:49
    Pomocí příkazu prompt zadejte hodnotu tajného klíče. Napřample, hodnota tajného klíče je
    2345678922334455667788992223334123456789223344556677889922233341.
    [upravit] crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macseckc1 key 0 secret
    Nový cak
    (tajný):
    Přepište nový cak
    (tajný):
    krypto-officer@hostname:fips#
    prompt security authentication-key-chains key-chain macseckc1 key 1 secret
    Nový cak
    (tajný):
    Přepište nový cak
    (tajný):
    crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macseckc1 key 2 secret
    Nový cak
    (tajný):
    Přepište nový cak
    (tajný):
    krypto-officer@hostname:fips#
    prompt security authentication-key-chains key-chain macseckc1 key 3 secret
    Nový cak
    (tajný):
    Přepište nový cak
    (tajný):
    krypto-officer@hostname:fips#
    prompt security authentication-key-chains key-chain macseckc1 key 4 secret
    Nový cak
    (tajný):
    Přepište nový cak
    (tajný):
    krypto-officer@hostname:fips#
    prompt security authentication-key-chains key-chain macseckc1 key 5 secret
    Nový cak
    (tajný):
    Přepište nový cak
    (tajný):
    krypto-officer@hostname:fips#
    prompt security authentication-key-chains key-chain macseckc1 key 6 secret
    Nový cak
    (tajný):
    Přepište nový cak
    (tajný):
    krypto-officer@hostname:fips#
    prompt security authentication-key-chains key-chain macseckc1 key 7 secret
    Nový cak
    (tajný):
    Přepište nový cak
    (tajný):
  3. Přiřaďte název předsdílené klíčenky k přidružení připojení.
    [upravit] crypto-officer@hostname:fips# nastavit zabezpečení macsec connectivity-association CA1 pre-sharedkey-chain
    macsec-kc1
    krypto-officer@hostname:fips#
    nastavit zabezpečení macsec connectivity-association CA1 cipher-suite
    gcm-aes-256
  4. Nastavte hodnoty možností trasování.
    [upravit] crypto-officer@hostname:fips# nastavit zabezpečení macsec traceoptions file MACsec.log
    crypto-officer@hostname:fips# nastavte zabezpečení macsec traceoptions file velikost 4000000000
    crypto-officer@hostname:fips# nastavit zabezpečení macsec traceoptions příznak vše
  5.  Přiřaďte trasování rozhraní.
    [upravit] crypto-officer@hostname:fips# nastavit zabezpečení rozhraní macsec interface-name traceoptions
    file mka_xe velikost 1g
    crypto-officer@hostname:fips# nastavení zabezpečení rozhraní macsec interface-name traceoptions
    označit vše
  6. Nakonfigurujte režim zabezpečení MACsec jako statický-cak pro přidružení připojení.
    [upravit] crypto-officer@hostname:fips# nastavit zabezpečení macsec connectivity-association CA1 securitymode
    static-cak
  7. Nastavte prioritu serveru klíčů MKA.
    [upravit] crypto-officer@hostname:fips# nastavit zabezpečení macsec konektivita-asociace CA1 mka klíč server-priorita 1
  8. Nastavte interval vysílání MKA.
    [upravit] crypto-officer@hostname:fips# nastavit zabezpečení macsec connectivity-association CA1 mka broadcastinterval
    3000
  9. Povolte zabezpečení MKA.
    [upravit] crypto-officer@hostname:fips# nastavit zabezpečení macsec connectivity-association CA1 include-sci
  10. Přiřaďte přidružení připojení k rozhraní.
    [upravit] crypto-officer@hostname:fips# nastavit zabezpečení rozhraní macsec interface-name connectivityassociation
    CA1
  11. Nakonfigurujte VLAN tagšel.
    [upravit] crypto-officer@hostname:fips# nastavit rozhraní název-rozhraní1 flexibilní-vlan-tagging
    krypto-officer@hostname:fips# nastavit rozhraní název-rozhraní1 zapouzdření flexibilní ethernetové služby
    krypto-officer@hostname:fips#
    nastavit rozhraní název-rozhraní1 jednotka 100 zapouzdření vlanbridge
    krypto-officer@hostname:fips#
    nastavit rozhraní název-rozhraní1 jednotka 100 vlan-id 100
    crypto-officer@hostname:fips# nastavit rozhraní název-rozhraní2 flexibilní-vlan-tagging
    krypto-officer@hostname:fips# nastavit rozhraní název-rozhraní2 zapouzdření flexibilní ethernetové služby
    krypto-officer@hostname:fips#
    nastavit rozhraní název-rozhraní2 jednotka 100 zapouzdření vlanbridge
    krypto-officer@hostname:fips#
    nastavit rozhraní název-rozhraní2 jednotka 100 vlan-id 100
  12.  Nakonfigurujte doménu mostu.
    [upravit] crypto-officer@hostname:fips# set bridge-domains BD-110 domain-type bridge
    crypto-officer@hostname:fips# set bridge-domains BD-110 vlan-id 100
    crypto-officer@hostname:fips# set bridge-domains BD-110 interface name-name1 100
    crypto-officer@hostname:fips# set bridge-domains BD-110 interface name-name2 100

V R1:

  1. Přiřaďte řetězci ověřovacích klíčů hodnotu tolerance.
    [upravit] crypto-officer@hostname:fips# set security authentication-key-chains key-chain key-chain macsec-kc1 tolerance 20
  2. Vytvořte tajné heslo, které chcete použít. Je to řetězec hexadecimálních číslic o délce až 64 znaků. Heslo může obsahovat mezery, pokud je řetězec znaků uzavřen v uvozovkách. Tajná data klíčenky se používají jako CAK.
    [upravit] crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    klíč 0 název klíče 2345678922334455667788992223334445556667778889992222333344445551
    crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    klíč 0 čas zahájení 2018-03-20.20:35
    crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    klíč 1 název klíče 2345678922334455667788992223334445556667778889992222333344445552
    crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    klíč 1 čas zahájení 2018-03-20.20:37
    crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    klíč 2 název klíče 2345678922334455667788992223334445556667778889992222333344445553
    crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    klíč 2 čas zahájení 2018-03-20.20:39
    crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    klíč 3 název klíče 2345678922334455667788992223334445556667778889992222333344445554
    crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    klíč 3 čas zahájení 2018-03-20.20:41
    crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    klíč 4 název klíče 2345678922334455667788992223334445556667778889992222333344445555
    crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    klíč 4 čas zahájení 2018-03-20.20:43
    crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    klíč 5 název klíče 2345678922334455667788992223334445556667778889992222333344445556
    crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    klíč 5 čas zahájení 2018-03-20.20:45
    crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    klíč 6 název klíče 2345678922334455667788992223334445556667778889992222333344445557
    crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    klíč 6 čas zahájení 2018-03-20.20:47
    crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    klíč 7 název klíče 2345678922334455667788992223334445556667778889992222333344445558
    crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
    klíč 7 čas zahájení 2018-03-20.20:49
    Pomocí příkazu prompt zadejte hodnotu tajného klíče. Napřample, hodnota tajného klíče je
    2345678922334455667788992223334123456789223344556677889922233341.
    [upravit] crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macseckc1 key 0 secret
    Nový cak
    (tajný):
    Přepište nový cak
    (tajný):
    krypto-officer@hostname:fips#
    prompt security authentication-key-chains key-chain macseckc1 key 1 secret
    Nový cak
    (tajný):
    Přepište nový cak (tajné):
    crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macseckc1 key 2 secret
    Nový cak
    (tajný):
    Přepište nový cak
    (tajný):
    krypto-officer@hostname:fips#
    prompt security authentication-key-chains key-chain macseckc1 key 3 secret
    Nový cak
    (tajný):
    Přepište nový cak
    (tajný):
    krypto-officer@hostname:fips#
    prompt security authentication-key-chains key-chain macseckc1 key 4 secret
    Nový cak
    (tajný):
    Přepište nový cak
    (tajný):
    krypto-officer@hostname:fips#
    prompt security authentication-key-chains key-chain macseckc1 key 5 secret
    Nový cak
    (tajný):
    Přepište nový cak
    (tajný):
    krypto-officer@hostname:fips#
    prompt security authentication-key-chains key-chain macseckc1 key 6 secret
    Nový cak
    (tajný):
    Přepište nový cak
    (tajný):
    krypto-officer@hostname:fips#
    prompt security authentication-key-chains key-chain macseckc1 key 7 secret
    Nový cak
    (tajný):
    Přepište nový cak (tajné):
  3. Přiřaďte název předsdílené klíčenky k přidružení připojení.
    [upravit] crypto-officer@hostname:fips# nastavit zabezpečení macsec connectivity-association CA1 pre-sharedkey-chain
    macsec-kc1
    krypto-officer@hostname:fips#
    nastavit zabezpečení macsec connectivity-association CA1 cipher-suite
    gcm-aes-256
  4. Nastavte hodnoty možností trasování.
    [upravit] crypto-officer@hostname:fips# nastavit zabezpečení macsec traceoptions file MACsec.log
    crypto-officer@hostname:fips# nastavte zabezpečení macsec traceoptions file velikost 4000000000
    crypto-officer@hostname:fips# nastavit zabezpečení macsec traceoptions příznak vše
  5. Přiřaďte trasování rozhraní.
    [upravit] crypto-officer@hostname:fips# nastavit zabezpečení rozhraní macsec interface-name traceoptions
    file mka_xe velikost 1g
    crypto-officer@hostname:fips# nastavení zabezpečení rozhraní macsec interface-name traceoptions
    označit vše
  6. Nakonfigurujte režim zabezpečení MACsec jako statický-cak pro přidružení připojení.
    [upravit] crypto-officer@hostname:fips# nastavit zabezpečení macsec connectivity-association CA1 securitymode
    static-cak
  7. Nastavte prioritu serveru klíčů MKA.
    [upravit] crypto-officer@hostname:fips# nastavit zabezpečení macsec konektivita-asociace CA1 mka keyserver-priority
  8. Nastavte interval vysílání MKA.
    [upravit] crypto-officer@hostname:fips# nastavit zabezpečení macsec connectivity-association CA1 mka broadcastinterval
    3000
  9. Povolte zabezpečení MKA.
    [upravit] crypto-officer@hostname:fips# nastavit zabezpečení macsec connectivity-association CA1 include-sci
  10. Přiřaďte přidružení připojení k rozhraní.
    [upravit] crypto-officer@hostname:fips# nastavit zabezpečení rozhraní macsec interface-name connectivityassociation
    CA1
  11. Nakonfigurujte VLAN tagšel.
    [upravit] crypto-officer@hostname:fips# nastavit rozhraní název-rozhraní1 flexibilní-vlan-tagging
    krypto-officer@hostname:fips# nastavit rozhraní název-rozhraní1 zapouzdření flexibilní ethernetové služby
    krypto-officer@hostname:fips#
    nastavit rozhraní název-rozhraní1 jednotka 100 zapouzdření vlanbridge
    krypto-officer@hostname:fips#
    nastavit rozhraní název-rozhraní1 jednotka 100 vlan-id 100
    crypto-officer@hostname:fips# nastavit rozhraní název-rozhraní2 flexibilní-vlan-tagging
    crypto-officer@hostname:fips# set interfaces interface-name2 zapouzdření flexibilní Ethernet-services
    krypto-officer@hostname:fips#
    nastavit rozhraní název-rozhraní2 jednotka 100 zapouzdření vlanbridge
    krypto-officer@hostname:fips#
    nastavit rozhraní název-rozhraní2 jednotka 100 vlan-id 100
  12. Nakonfigurujte doménu mostu.
    [upravit] crypto-officer@hostname:fips# set bridge-domains BD-110 domain-type bridge
    crypto-officer@hostname:fips# set bridge-domains BD-110 vlan-id 100
    crypto-officer@hostname:fips# set bridge-domains BD-110 interface name-name1 100
    crypto-officer@hostname:fips# set bridge-domains BD-110 interface name-name2 100

Konfigurace protokolování událostí

Přihlášení události Overview
Vyhodnocená konfigurace vyžaduje auditování změn konfigurace prostřednictvím systémového protokolu.
Kromě toho může Junos OS:

  • Odesílat automatické odpovědi na události auditu (vytváření záznamů syslog).
  • Umožněte oprávněným manažerům zkoumat protokoly auditu.
  • Odeslat audit files na externí servery.
  • Umožněte oprávněným manažerům vrátit systém do známého stavu.

Protokolování vyhodnocené konfigurace musí zachycovat následující události:

  • Změny dat tajného klíče v konfiguraci.
  • Provedené změny.
  • Přihlášení/odhlášení uživatelů.
  • Spuštění systému.
  • Selhání navázání relace SSH.
  • Založení/ukončení relace SSH.
  • Změny (systémového) času.
  • Ukončení vzdálené relace mechanismem uzamčení relace.
  • Ukončení interaktivního sezení.

Kromě toho společnost Juniper Networks doporučuje, aby protokolování také:

  • Zachyťte všechny změny konfigurace.
  • Ukládejte informace o protokolování vzdáleně.

Konfigurace protokolování událostí na místní File
Můžete nakonfigurovat ukládání informací o auditu na místní file s příkazem syslog. Tento example ukládá protokoly a file jménem Audit-File:
[upravit systém] syslog {
file Audit-File;
}
Interpretace zpráv událostí
Následující výstup ukazuje jakoampzprávu o události.
27. února 02:33:04 bm-a mgd[6520]: UI_LOGIN_EVENT: Přihlášení uživatele 'security-officer', třída 'j-superuser'
[6520],
ssh-connection “, klientský režim
'cli'
27. února 02:33:49 bm-a mgd[6520]: UI_DBASE_LOGIN_EVENT: Uživatel 'security-officer' zadává konfiguraci
režimu
27. února 02:38:29 bm-a mgd[6520]: UI_CMDLINE_READ_LINE: Uživatel 'security-officer', příkaz 'run show
log
Protokol auditu | grep PŘIHLÁSIT SE
Tabulka 4 na straně 69 popisuje pole pro zprávu události. Pokud obslužný program systémového protokolování nemůže určit hodnotu v určitém poli, zobrazí se místo toho spojovník ( –).
Tabulka 4: Pole ve zprávách událostí

Pole Popis Examples
timestamp Čas, kdy byla zpráva vygenerována, v jedné ze dvou reprezentací:
• MMM-DD HH:MM:SS.MS+/-HH:MM je měsíc, den, hodina, minuta, sekunda a milisekunda v místním čase. Hodina a minuta, která následuje za znaménkem plus (+) nebo mínus (-), je posun místního časového pásma od koordinovaného světového času (UTC).
• YYYY-MM-DDTHH:MM:SS.MSZ je rok, měsíc, den, hodina, minuta, sekunda a milisekunda v UTC.		  27. února 02:33:04 je nejvyšší časamp vyjádřeno jako místní čas ve Spojených státech.

2012-02-27T03:17:15.713Z is

2. února ve 33:27 UTC

2012.
název hostitele Název hostitele, který zprávu původně vygeneroval.  router1
proces Název procesu Junos OS, který zprávu vygeneroval.  mgd
ID procesu ID procesu UNIX (PID) procesu Junos OS, který zprávu vygeneroval.  4153
TAG Zpráva systémového protokolu Junos OS tag, který zprávu jednoznačně identifikuje.  UI_DBASE_LOGOUT_EVENT
uživatelské jméno Uživatelské jméno uživatele, který událost inicioval.  "admin"
text zprávy Popis události v angličtině.  sada: [systémový rádius-server 1.2.3.4 tajný]

Protokolování změn tajných dat
Následují exampsoubory protokolů auditu událostí, které mění tajná data. Kdykoli dojde ke změně konfigurace, napřample, událost syslog by měla zachytit níže uvedené protokoly:
24. července 17:43:28 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: Nastavení uživatele 'admin':
[system radius-server 1.2.3.4 secret] 24. července 17:43:28 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: Uživatelská 'admin' sada:
[přihlášení do systému ověření uživatele admin zašifrované-heslo] 24. července 17:43:28 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: Nastavení uživatele 'admin':
[přihlášení do systému user admin2 authentication encrypted-password] Při každé aktualizaci nebo změně konfigurace by měl syslog zachytit tyto protokoly:
24. července 18:29:09 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: Uživatel 'admin' nahradit:
[system radius-server 1.2.3.4 secret] 24. července 18:29:09 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: Uživatel 'admin' nahradit:
[přihlášení do systému ověření uživatele admin zašifrované-heslo] Jul 24 18:29:09 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: Uživatel 'admin' nahradit:
[přihlášení do systému user admin authentication encrypted-password] Další informace o konfiguraci parametrů a správě protokolu files, viz systém Junos OS
Reference zpráv protokolu.
Události přihlášení a odhlášení pomocí SSH
Zprávy systémového protokolu jsou generovány vždy, když se uživatel úspěšně nebo neúspěšně pokusí o přístup SSH. Zaznamenávají se také události odhlášení. Napřample, následující protokoly jsou výsledkem dvou neúspěšných pokusů o ověření, poté jednoho úspěšného a nakonec odhlášení:
Dec 20 23:17:35 bilbo sshd[16645]: Neúspěšné heslo pro op z 172.17.58.45 port 1673 ssh2
Dec 20 23:17:42 bilbo sshd[16645]: Neúspěšné heslo pro op z 172.17.58.45 port 1673 ssh2
Dec 20 23:17:53 bilbo sshd[16645]: Přijímané heslo pro op z 172.17.58.45 port 1673 ssh2
20. prosince 23:17:53 bilbo mgd[16648]: UI_AUTH_EVENT: Ověřený uživatel 'op' na úrovni oprávnění
'j-operátor'
20. prosince 23:17:53 bilbo mgd[16648]: UI_LOGIN_EVENT: Přihlášení uživatele 'op', třída 'j-operátor' [16648] 20. prosince 23:17:56 bilbo mgd[16648]: příkaz UI_CMDLINE_READ_LINE:' Uživatel
20. prosince 23:17:56 bilbo mgd[16648]: UI_LOGOUT_EVENT: Odhlášení uživatele „op“
Protokolování spuštění auditu
Zaprotokolované informace o auditu zahrnují spuštění Junos OS. To zase identifikuje spouštěcí události systému auditu, které nelze nezávisle deaktivovat nebo povolit. NapřampPokud je Junos OS restartován, protokol auditu obsahuje následující informace:
20. prosince 23:17:35 bilbo syslogd: odchod na signál 14
20. prosince 23:17:35 bilbo syslogd: restart
20. prosince 23:17:35 bilbo syslogd /kernel: 20. prosince 23:17:35 init: syslogd (PID 19128) ukončeno s
stav=1
20. prosince 23:17:42 bilbo /kernel:
20. prosince 23:17:53 init: syslogd (PID 19200) spuštěno

Provádění autotestů na zařízení

Pochopení autotestů FIPS
Kryptografický modul prosazuje bezpečnostní pravidla, aby zajistil provoz Juniper Networks Junos
systém (Junos OS) v režimu FIPS splňuje bezpečnostní požadavky FIPS 140-2 Level 1. Pro ověření
výstup kryptografických algoritmů schválených pro FIPS a testování integrity některých modulů systému,
zařízení provádí následující sérii autotestů testu známé odpovědi (KAT):

  • kernel_kats—KAT pro kryptografické rutiny jádra
  • md_kats—KAT pro limb a libc
  • openssl_kats – KAT pro kryptografickou implementaci OpenSSL
  • quicksec_kats – KAT pro kryptografickou implementaci QuickSec Toolkit
  •  ssh_ipsec_kats – KAT pro kryptografickou implementaci SSH IPsec Toolkit
  • macsec_kats—KAT pro implementaci šifrování MACsec

Autotesty KAT se provádějí automaticky při spuštění. Podmíněné autotesty se také provádějí automaticky za účelem ověření digitálně podepsaných softwarových balíků, generovaných náhodných čísel, párů klíčů RSA a ECDSA a ručně zadaných klíčů.
Pokud jsou KAT úspěšně dokončeny, systémový protokol (syslog) file se aktualizuje, aby se zobrazily testy, které byly provedeny.
Pokud dojde k selhání KAT, zařízení zapíše podrobnosti do systémového protokolu file, přejde do chybového stavu FIPS (panika) a restartuje se.
The file příkaz show /var/log/messages zobrazí systémový protokol.
Můžete také spustit autotest FIPS zadáním příkazu request vmhost reboot. Když se systém spustí, můžete na konzole vidět protokoly autotestu FIPS.
Example: Konfigurace autotestů FIPS
Tento example ukazuje, jak nakonfigurovat pravidelné automatické testy FIPS.
Hardwarové a softwarové požadavky

  • Ke konfiguraci autotestů FIPS musíte mít oprávnění správce.
  • Na zařízení musí být spuštěna vyhodnocená verze Junos OS v softwaru režimu FIPS.

Nadview
Autotest FIPS se skládá z následujících sad testů známých odpovědí (KAT):

  • kernel_kats—KAT pro kryptografické rutiny jádra
  • md_kats—KAT pro libmd a libc
  • quicksec_kats – KAT pro kryptografickou implementaci QuickSec Toolkit
  • openssl_kats – KAT pro kryptografickou implementaci OpenSSL
  • ssh_ipsec_kats – KAT pro kryptografickou implementaci SSH IPsec Toolkit
  • macsec_kats—KAT pro implementaci šifrování MACsec
    V tomto exampAutotest FIPS se provádí každou středu v 9:00 v New York City, USA.

POZNÁMKA: Namísto týdenních testů můžete nakonfigurovat měsíční testy zahrnutím výpisů měsíce a dne v měsíci.
Když autotest KAT selže, do zpráv systémového protokolu se zapíše zpráva protokolu file s podrobnostmi o selhání testu. Poté systém zpanikaří a restartuje se.
Rychlá konfigurace CLI
Chcete-li rychle nakonfigurovat tento example, zkopírujte následující příkazy a vložte je do textu file, odstraňte zalomení řádků, změňte všechny podrobnosti nezbytné k tomu, aby odpovídaly konfiguraci vaší sítě, a poté zkopírujte a vložte příkazy do CLI na úrovni hierarchie [edit].
nastavit systém fips autotest periodický čas spuštění 09:00
nastavit systémový automatický test fips pravidelný den v týdnu 3
Postup krok za krokem
Chcete-li nakonfigurovat samočinný test FIPS, přihlaste se k zařízení pomocí přihlašovacích údajů kryptodůstojníka:

  1. Nakonfigurujte autotest FIPS tak, aby se spouštěl každou středu v 9:00.
    [upravit systémový fips autotest] krypto-officer@hostname:fips# nastavit periodický start-time 09:00
    crypto-officer@hostname:fips# nastavit pravidelný den v týdnu 3
  2. Pokud jste dokončili konfiguraci zařízení, potvrďte konfiguraci.
    [upravit autotest systému fips] crypto-officer@hostname:fips# commit

Výsledky
V konfiguračním režimu potvrďte svou konfiguraci vydáním příkazu show system. Pokud výstup nezobrazuje zamýšlenou konfiguraci, opakujte pokyny v tomto příkladuample pro opravu konfigurace.
crypto-officer@hostname:fips# zobrazit systém
fips {
autotest {
periodický {
čas začátku „09:00“;
den v týdnu 3;
}
}
}

Ověření

Ujistěte se, že konfigurace funguje správně.
Ověření autotestu FIPS

Účel
Ověřte, zda je povolen samočinný test FIPS.
Akce
Spusťte autotest FIPS ručně zadáním příkazu k automatickému testu systému fips nebo restartujte zařízení.
Po zadání příkazu k autotestu systému fips nebo restartování zařízení se zaznamená systémový protokol file se aktualizuje, aby se zobrazily provedené KAT. Na view systémový protokol file, vydat file příkaz show /var/log/ messages.
uživatel@hostitel# file zobrazit /var/log/messages
RE KATS:
mgd: Spuštění autotestů FIPS
mgd: Testovací jádro KATS:
mgd: NIST 800-90 HMAC DRBG Test známé odpovědi: Prospěl
mgd: DES3-CBC Test známé odpovědi: Prospěl
mgd: Test známé odpovědi HMAC-SHA1: Prospěl
mgd: HMAC-SHA2-256 Test známé odpovědi: Prospěl
mgd: SHA-2-384 Test známé odpovědi: Prospěl
mgd: SHA-2-512 Test známé odpovědi: Prospěl
mgd: AES128-CMAC Test známé odpovědi: Prospěl
mgd: Test známé odpovědi AES-CBC: Prospěl
mgd: Testování MACSec KATS:
mgd: AES128-CMAC Test známé odpovědi: Prospěl
mgd: AES256-CMAC Test známé odpovědi: Prospěl
mgd: Test známé odpovědi AES-ECB: Prospěl
mgd: AES-KEYWRAP Test známých odpovědí: Prospěl
mgd: KBKDF Test známé odpovědi: Prospěl
mgd: Testování libmd KATS:
mgd: Test známé odpovědi HMAC-SHA1: Prospěl
mgd: HMAC-SHA2-256 Test známé odpovědi: Prospěl
mgd: SHA-2-512 Test známé odpovědi: Prospěl
mgd: Testování OpenSSL KATS:
mgd: NIST 800-90 HMAC DRBG Test známé odpovědi: Prospěl
mgd: FIPS ECDSA Test známé odpovědi: Prospěl
mgd: Test známé odpovědi FIPS ECDH: Prospěl
mgd: Test známé odpovědi FIPS RSA: Prospěl
mgd: DES3-CBC Test známé odpovědi: Prospěl
mgd: Test známé odpovědi HMAC-SHA1: Prospěl
mgd: HMAC-SHA2-224 Test známé odpovědi: Prospěl
mgd: HMAC-SHA2-256 Test známé odpovědi: Prospěl
mgd: HMAC-SHA2-384 Test známé odpovědi: Prospěl
mgd: HMAC-SHA2-512 Test známé odpovědi: Prospěl
mgd: Test známé odpovědi AES-CBC: Prospěl
mgd: Test známé odpovědi AES-GCM: Prospěl
mgd: ECDSA-SIGN Test známé odpovědi: Prospěl
mgd: KDF-IKE-V1 Test známé odpovědi: Prospěl
mgd: KDF-SSH-SHA256 Test známé odpovědi: Prospěl
mgd: KAS-ECC-EPHEM-UNIFIED-NOKC Test známé odpovědi: Prospěl
mgd: KAS-FFC-EPHEM-NOKC Test známé odpovědi: Prospěl
mgd: Testování QuickSec 7.0 KATS:
mgd: NIST 800-90 HMAC DRBG Test známé odpovědi: Prospěl
mgd: DES3-CBC Test známé odpovědi: Prospěl
mgd: Test známé odpovědi HMAC-SHA1: Prospěl
mgd: HMAC-SHA2-224 Test známé odpovědi: Prospěl
mgd: HMAC-SHA2-256 Test známé odpovědi: Prospěl
mgd: HMAC-SHA2-384 Test známé odpovědi: Prospěl
mgd: HMAC-SHA2-512 Test známé odpovědi: Prospěl
mgd: Test známé odpovědi AES-CBC: Prospěl
mgd: Test známé odpovědi AES-GCM: Prospěl
mgd: SSH-RSA-ENC Test známé odpovědi: Prospěl
mgd: SSH-RSA-SIGN Test známé odpovědi: Prospěl
mgd: SSH-ECDSA-SIGN Známá odpověď Test: Prospěl
mgd: KDF-IKE-V1 Test známé odpovědi: Prospěl
mgd: KDF-IKE-V2 Test známé odpovědi: Prospěl
mgd: Testování QuickSec KATS:
mgd: NIST 800-90 HMAC DRBG Test známé odpovědi: Prospěl
mgd: DES3-CBC Test známé odpovědi: Prospěl
mgd: Test známé odpovědi HMAC-SHA1: Prospěl
mgd: HMAC-SHA2-224 Test známé odpovědi: Prospěl
mgd: HMAC-SHA2-256 Test známé odpovědi: Prospěl
mgd: HMAC-SHA2-384 Test známé odpovědi: Prospěl
mgd: HMAC-SHA2-512 Test známé odpovědi: Prospěl
mgd: Test známé odpovědi AES-CBC: Prospěl
mgd: Test známé odpovědi AES-GCM: Prospěl
mgd: SSH-RSA-ENC Test známé odpovědi: Prospěl
mgd: SSH-RSA-SIGN Test známé odpovědi: Prospěl
mgd: KDF-IKE-V1 Test známé odpovědi: Prospěl
mgd: KDF-IKE-V2 Test známé odpovědi: Prospěl
mgd: Testování SSH IPsec KATS:
mgd: NIST 800-90 HMAC DRBG Test známé odpovědi: Prospěl
mgd: DES3-CBC Test známé odpovědi: Prospěl
mgd: Test známé odpovědi HMAC-SHA1: Prospěl
mgd: HMAC-SHA2-256 Test známé odpovědi: Prospěl
mgd: Test známé odpovědi AES-CBC: Prospěl
mgd: SSH-RSA-ENC Test známé odpovědi: Prospěl
mgd: SSH-RSA-SIGN Test známé odpovědi: Prospěl
mgd: KDF-IKE-V1 Test známé odpovědi: Prospěl
mgd: Testování file integrita:
mgd: File integrita Známá odpověď Test: Prospěl
mgd: Testování integrity kryptoměny:
mgd: Integrita kryptoměny Známá odpověď Test: Prošel
mgd: Očekávejte exec AuthenticatiMAC/veriexec: žádný otisk prstu (file=/sbin/kats/cannot-exec
fsid=246 fileid=49356 gen=1 uid=0 pid=9384 ppid=9354 gppid=9352) při chybě…
mgd: /sbin/kats/run-tests: /sbin/kats/cannot-exec: Chyba ověření
mgd: FIPS Autotesty prošly úspěšně
LC KATS:
12. září 10:50:44 network_macsec_kats_input xe- /0/0:0:
no> pic:0 port:0 chan:0 FIPS AES-256-GCM šifrování MACsec KATS prošlo
12. září 10:50:50 network_macsec_kats_input xe- /0/1:0:
no> pic:0 port:1 chan:0 FIPS AES-256-GCM šifrování MACsec KATS prošlo
12. září 10:50:55 network_macsec_kats_input xe- /0/0:0:
no> pic:0 port:0 chan:0 FIPS AES-256-GCM MACsec KATS dešifrování prošlo
12. září 10:50:56 network_macsec_kats_input xe- /0/2:0:
no> pic:0 port:2 chan:0 FIPS AES-256-GCM šifrování MACsec KATS prošlo
12. září 10:51:01 network_macsec_kats_input xe- /0/1:0:
no> pic:0 port:1 chan:0 FIPS AES-256-GCM MACsec KATS dešifrování prošlo
12. září 10:51:02 network_macsec_kats_input xe- /0/2:0:
no> pic:0 port:2 chan:0 FIPS AES-256-GCM MACsec KATS dešifrování prošlo
12. září 10:51:06 network_macsec_kats_input xe- /0/3:0:
no> pic:0 port:3 chan:0 FIPS AES-256-GCM šifrování MACsec KATS prošlo
12. září 10:51:12 network_macsec_kats_input xe- /0/3:0:
no> pic:0 port:3 chan:0 FIPS AES-256-GCM MACsec KATS dešifrování prošlo
12. září 10:51:17 network_macsec_kats_input xe- /0/4:0:
no> pic:0 port:4 chan:0 FIPS AES-256-GCM šifrování MACsec KATS prošlo
12. září 10:51:17 network_macsec_kats_input xe- /0/4:0:
no> pic:0 port:4 chan:0 FIPS AES-256-GCM MACsec KATS dešifrování prošlo
12. září 10:51:26 network_macsec_kats_input xe- /0/5:0:
no> pic:0 port:5 chan:0 FIPS AES-256-GCM šifrování MACsec KATS prošlo
12. září 10:51:27 network_macsec_kats_input xe- /0/5:0:
no> pic:0 port:5 chan:0 FIPS AES-256-GCM MACsec KATS dešifrování prošlo
12. září 10:51:36 network_macsec_kats_input xe- /0/6:0:
no> pic:0 port:6 chan:0 FIPS AES-256-GCM šifrování MACsec KATS prošlo
12. září 10:51:36 network_macsec_kats_input xe- /0/6:0:
no> pic:0 port:6 chan:0 FIPS AES-256-GCM MACsec KATS dešifrování prošlo
12. září 10:51:44 network_macsec_kats_input xe- /0/7:0:
no> pic:0 port:7 chan:0 FIPS AES-256-GCM šifrování MACsec KATS prošlo
12. září 10:51:44 network_macsec_kats_input xe- /0/7:0:
no> pic:0 port:7 chan:0 FIPS AES-256-GCM MACsec KATS dešifrování prošlo
12. září 10:51:51 network_macsec_kats_input xe- /0/8:0:
no> pic:0 port:8 chan:0 FIPS AES-256-GCM šifrování MACsec KATS prošlo
12. září 10:51:51 network_macsec_kats_input xe- /0/8:0:
no> pic:0 port:8 chan:0 FIPS AES-256-GCM MACsec KATS dešifrování prošlo
12. září 10:51:58 network_macsec_kats_input xe- /0/9:0:
no> pic:0 port:9 chan:0 FIPS AES-256-GCM šifrování MACsec KATS prošlo
12. září 10:51:58 network_macsec_kats_input xe- /0/9:0:
no> pic:0 port:9 chan:0 FIPS AES-256-GCM MACsec KATS dešifrování prošlo
12. září 10:52:05 network_macsec_kats_input xe- /0/10:0:
Slot no> pic:0 port:10 chan:0 FIPS AES-256-GCM MACsec KATS šifrování prošlo
12. září 10:52:05 network_macsec_kats_input xe- /0/10:0:
Slot no> pic:0 port:10 chan:0 FIPS AES-256-GCM MACsec KATS dešifrování prošlo
12. září 10:52:12 network_macsec_kats_input xe- /0/11:0:
Slot no> pic:0 port:11 chan:0 FIPS AES-256-GCM MACsec KATS šifrování prošlo
12. září 10:52:12 network_macsec_kats_input xe- /0/11:0:
Slot no> pic:0 port:11 chan:0 FIPS AES-256-GCM MACsec KATS dešifrování prošlo
12. září 10:52:20 network_macsec_kats_input xe- /1/0:0:
no> pic:1 port:0 chan:0 FIPS AES-256-GCM šifrování MACsec KATS prošlo
12. září 10:52:20 network_macsec_kats_input xe- /1/0:0:
no> pic:1 port:0 chan:0 FIPS AES-256-GCM MACsec KATS dešifrování prošlo
12. září 10:52:27 network_macsec_kats_input xe- /1/1:0:
no> pic:1 port:1 chan:0 FIPS AES-256-GCM šifrování MACsec KATS prošlo
12. září 10:52:28 network_macsec_kats_input xe- /1/1:0:
no> pic:1 port:1 chan:0 FIPS AES-256-GCM MACsec KATS dešifrování prošlo
12. září 10:52:34 network_macsec_kats_input xe- /1/2:0:
no> pic:1 port:2 chan:0 FIPS AES-256-GCM šifrování MACsec KATS prošlo
Význam
Systémový protokol file zobrazuje datum a čas, kdy byly KAT provedeny, a jejich stav.

Operační příkazy

Syntax
požadavek systému vynulovat
Popis
U RE1800 odstraňte všechny konfigurační informace na Routing Engines a resetujte všechny klíčové hodnoty. Pokud má zařízení dva Routing Engines, příkaz je vysílán všem Routing Engines v zařízení. Příkaz odstraní všechna data  files, včetně přizpůsobené konfigurace a log files, odpojením files z jejich adresářů. Příkaz odstraní všechny uživatelem vytvořené fileze systému včetně všech hesel v otevřeném textu, tajemství a soukromých klíčů pro SSH, místní šifrování, místní ověřování, IPsec, RADIUS, TACACS+ a SNMP.
Tento příkaz restartuje zařízení a nastaví jej na výchozí tovární konfiguraci. Po restartu nemáte přístup k zařízení přes rozhraní Ethernet pro správu. Přihlaste se přes konzolu jako root a spusťte Junos OS CLI zadáním cli do výzvy.
Požadovaná úroveň oprávnění
údržba
request vmhost zeroize no-forwarding
Syntax
request vmhost zeroize no-forwarding
Popis
U REMX2K-X8 odstraňte všechny konfigurační informace na Routing Engines a resetujte všechny klíčové hodnoty. Pokud má zařízení dva Routing Engines, příkaz je vysílán do obou Routing Engines na zařízení.
Příkaz odstraní všechna data files, včetně přizpůsobené konfigurace a log files, odpojením files z jejich adresářů. Příkaz odstraní všechny uživatelem vytvořené fileze systému včetně všech hesel ve formátu prostého textu, tajemství a soukromých klíčů pro SSH, místní šifrování, místní ověřování, IPsec, RADIUS, TACACS+ a SNMP.
Tento příkaz restartuje zařízení a nastaví jej do továrního nastavení. Po restartu nemáte přístup k zařízení přes rozhraní Ethernet pro správu. Přihlaste se přes konzolu jako uživatel root a spusťte Junos OS CLI zadáním cli na výzvu.
Sample Výstup
request vmhost zeroize no-forwarding
user@host> request vmhost zeroize no-forwarding
VMHost Zeroization : Vymaže všechna data, včetně konfigurace a protokolu files ?
[ano, ne] (ne) ano
re0:
varování: Vmhost se restartuje a nemusí se bez něj spustit
konfigurace
varování: Pokračujte s vmhost
vynulovat
Vynulujte sekundární interní disk
Pokračujte s nulováním na sekundárním
disk
Připravuje se montážní zařízení
vynulovat…
Čištění cílového disku pro vynulování
Vynulování provedeno na cíl
disk.
Vynulování sekundárního disku
dokončeno
Vynulujte primární interní disk
Pokračujte s nulováním na primárním místě
disk
/etc/ssh/ssh_host_ecdsa_key.pub
/etc/ssh/ssh_host_rsa_key
/etc/ssh/ssh_host_dsa_key.pub
/etc/ssh/ssh_host_rsa_key.pub
/etc/ssh/ssh_host_ecdsa_key
/etc/ssh/ssh_host_dsa_key
Připravuje se montážní zařízení
vynulovat…
Čištění cílového disku pro vynulování
Vynulování provedeno na cíl
disk.
Vynulování primárního disku
dokončeno
Vynulovat
hotovo
—(více)— Zastavení
cron.
Čekání na PIDS:
6135.
.
16. února 14:59:33 jlaunchd: periodic-packet-services (PID 6181) ukončit signál 15 odeslán
16. února 14:59:33 jlaunchd: smg-service (PID 6234) ukončit signál 15 odeslán
16. února 14:59:33 jlaunchd: identifikace aplikace (PID 6236) ukončit signál 15 odeslán
16. února 14:59:33 jlaunchd: ifstate-tracing-process (PID 6241) ukončit signál 15 odeslán
16. února 14:59:33 jlaunchd: správa zdrojů (PID 6243) ukončit signál 15 odeslán
16. února 14:59:33 jlaunchd: zpoplatněno (PID 6246) ukončit signál 15 odeslán
16. února 14:59:33 jlaunchd: licenční služba (PID 6255) ukončit signál 15 odeslán
16. února 14:59:33 jlaunchd: ntp (PID 6620) ukončit signál 15 odeslán
16. února 14:59:33 jlaunchd: gkd-chassis (PID 6621) ukončit signál 15 odeslán
16. února 14:59:33 jlaunchd: gkd-lchassis (PID 6622) ukončit signál 15 odeslán
16. února 14:59:33 jlaunchd: směrování (PID 6625) ukončit signál 15 odeslán
16. února 14:59:33 jlaunchd: sonet-aps (PID 6626) ukončit signál 15 odeslán
16. února 14:59:33 jlaunchd: dálkové operace (PID 6627) ukončit signál 15 odeslán
16. února 14:59:33 jlaunchd: třída služby
……..
99Logo JALOVEC

Dokumenty / zdroje

JUNIPER NETWORKS Junos OS FIPS hodnocená zařízení [pdfUživatelská příručka
Junos OS Hodnocená zařízení FIPS, Junos OS, Zařízení hodnocená FIPS, Hodnocená zařízení, Zařízení

Reference

Zanechte komentář

Vaše emailová adresa nebude zveřejněna. Povinná pole jsou označena *