Tato příručka poskytuje informace o společných hodnocených kritériích
konfigurace pro SRX1500, SRX4100, SRX4200 a SRX4600
zařízení. Pokrývá témata, jako je porozumění režimu FIPS
provoz, konfigurace rolí a autentizačních metod,
konfiguraci pověření a oprávnění správce a
konfigurace síťového časového protokolu (NTP).

Nadview

Pochopení konfigurace vyhodnocené podle společných kritérií

Společným kritériem hodnocené konfigurace je sada zabezpečení
požadavky a specifikace, které byly nezávislé
hodnoceno a certifikováno pro SRX1500, SRX4100, SRX4200 a
Zařízení SRX4600. Zajišťuje, že zařízení splňují specifické zabezpečení
standardy a lze je používat v zabezpečených prostředích.

Pochopení Junos OS v režimu FIPS

Provozní režim FIPS je bezpečnostní funkce, která umožňuje
zařízení SRX fungovat v souladu s Federal
Standardy zpracování informací (FIPS). Poskytuje vylepšené
bezpečnostní opatření a kryptografické algoritmy pro ochranu citlivých
data.

Vysvětlení terminologie a podporované provozní terminologie režimu FIPS
Kryptografické algoritmy

Tato část vysvětluje terminologii používanou v režimu FIPS
operace a poskytuje informace o podporované kryptografii
algoritmy. Pomáhá uživatelům porozumět funkcím zabezpečení a
schopnosti zařízení.

Identifikace bezpečného doručení produktu

Tato část vede uživatele k tomu, jak zjistit, zda produkt má
byly bezpečně doručeny. Zahrnuje témata jako tampehm evidentní
pečeti a kryptografické moduly.

Pochopení rozhraní pro správu

Tato část poskytuje informace o rozhraních pro správu
k dispozici na zařízeních SRX. Vysvětluje, jak získat přístup a
nakonfigurujte tato rozhraní pro správu zařízení.

Konfigurace rolí a metod ověřování

Pochopení rolí a služeb pro Junos OS v režimu FIPS
Operace

Tato část vysvětluje role a služby dostupné pro Junos
OS v provozním režimu FIPS. Pomáhá uživatelům pochopit, jak na to
konfigurovat a spravovat uživatelské role a metody ověřování pro
bezpečný přístup k zařízením.

Pochopení služeb pro Junos OS v režimu FIPS
Operace

Tato sekce poskytuje podrobné informace o službách
k dispozici pro Junos OS v provozním režimu FIPS. Pokrývá
témata jako SSH, SNMP a HTTPS a vysvětluje, jak konfigurovat
a zabezpečit tyto služby.

Stahování softwarových balíčků z Juniper Networks

Tato část poskytuje uživatelům návod, jak stahovat softwarové balíčky
od společnosti Juniper Networks. Poskytuje pokyny krok za krokem
přístup na portál stahování a výběr vhodného
softwarové balíčky pro zařízení SRX.

Instalace softwarových balíčků Junos

Tato část vysvětluje proces instalace softwaru Junos
balíčky na zařízeních SRX. Zahrnuje témata, jako je ověřování
integritu balíku, přenos balíků do zařízení a
zahájení procesu instalace.

Vysvětlení nulování pro vymazání systémových dat pro režim FIPS
Operace

Nulování je proces, který vymaže všechna systémová data, včetně
kryptografické klíče a konfigurace, aby byla zajištěna bezpečnost dat.
Tato část vysvětluje, jak provést nulování na zařízeních SRX
v provozním režimu FIPS.

Načítání firmwaru do zařízení

Tato část obsahuje pokyny, jak nahrát firmware
zařízení SRX. Pokrývá témata, jako je příprava firmwaru
obrázek, jeho přenos do zařízení a spuštění firmwaru
proces upgradu.

Jak povolit a nakonfigurovat Junos OS v režimu FIPS
Operace

Tato část vede uživatele, jak povolit a nakonfigurovat Junos
OS v provozním režimu FIPS. Zahrnuje témata, jako je nastavení
režimu FIPS, konfiguraci kryptografických modulů a ověření
Stav režimu FIPS.

Konfigurace administrativních pověření a oprávnění

Pochopení pravidel souvisejících hesel pro oprávněné osoby
Správce

Tato část poskytuje informace o pravidlech pro hesla
přidružený k účtu oprávněného správce. To vysvětluje
požadavky na vytváření silných a bezpečných hesel.

Konfigurace Network Device Protection Profile Autorizovaný
Správce

Tato část vede uživatele, jak nakonfigurovat síťové zařízení
ochrana profile pověřený správce. Vysvětluje kroky
vytvořit účet správce s potřebnými oprávněními
spravovat zařízení SRX.

Network Time Protocol

Konec NTPview

Tato sekce poskytuje přesview Network Time Protocol
(NTP) a jeho význam při udržování přesného času
synchronizace mezi síťovými zařízeními.

Network Time Security (NTS) Podpora pro NTP

Tato část vysvětluje podporu Network Time Security (NTS).
pro NTP. Pokrývá výhody používání NTS a poskytuje
pokyny, jak nakonfigurovat NTS pro bezpečný čas
synchronizace.

NTP časové servery

Tato část poskytuje informace o časových serverech NTP a jejich
roli při poskytování přesných časových informací síťovým zařízením. To
vysvětluje, jak vybrat a nakonfigurovat časové servery NTP pro SRX
zařízení.

Nakonfigurujte časový server NTP a časové služby

Tato část vede uživatele, jak nakonfigurovat časové servery NTP
a časové služby na zařízeních SRX. Pokrývá témata jako např
konfigurace adres serverů, povolení ověřování a správa
nastavení synchronizace času.

Nakonfigurujte směrovač nebo přepněte do provozu v režimu klienta

Tato část obsahuje pokyny pro konfiguraci SRX
zařízení pro provoz v klientském režimu pro NTP. Vysvětluje kroky k
synchronizovat čas se servery NTP.

Nakonfigurujte směrovač nebo přepínač pro provoz v Symmetric Active
Režim

Tato část vysvětluje, jak nakonfigurovat zařízení SRX
pracovat v symetrickém aktivním režimu pro NTP. Pokrývá témata jako např
konfigurace peer adres a vytvoření symetrického
sdružení.

Nakonfigurujte směrovač nebo přepínač pro provoz ve vysílání
Režim

Tato část vede uživatele, jak nakonfigurovat zařízení SRX
pracovat v režimu vysílání pro NTP. Vysvětluje kroky k
informace o čase vysílání do jiných síťových zařízení.

Nakonfigurujte směrovač nebo přepněte do provozu v režimu serveru

Tato část obsahuje pokyny pro konfiguraci SRX
zařízení pracovat v režimu serveru pro NTP. Pokrývá témata jako např
konfigurace referenčních hodin a poskytování informací o čase klientovi
zařízení.

Example: Nakonfigurujte NTP jako jednorázový zdroj pro směrovač a
Synchronizace hodin přepínače

Tato část poskytuje exampkonfigurace souboru pro použití NTP jako
jediný zdroj času pro synchronizaci hodin na zařízeních SRX.
Vysvětluje kroky pro konfiguraci NTP a ověření hodin
stav synchronizace.

Synchronizujte a koordinujte distribuci času pomocí NTP

Tato část vysvětluje, jak synchronizovat a koordinovat čas
distribuce přes síťová zařízení pomocí NTP. Pokrývá témata
jako je konfigurace časových pásem, umožnění manipulace s přestupnými sekundami a
řešení problémů se synchronizací času.

FAQ

Otázka: Jsou zařízení SRX kompatibilní s jinými sítěmi Juniper Networks?
produkty?

Odpověď: Ano, zařízení SRX jsou kompatibilní s jinými zařízeními Juniper
Síťové produkty. Mohou být integrovány do stávajícího Juniperu
Síťová infrastruktura pro lepší zabezpečení sítě.

Otázka: Mohu upgradovat firmware na zařízeních SRX bez
přerušení připojení k síti?

Odpověď: Ano, proces aktualizace firmwaru na zařízeních SRX je
navrženy tak, aby minimalizovaly výpadky sítě. Nicméně je
doporučuje se naplánovat aktualizace firmwaru během údržby
okna, aby nedošlo k případnému narušení.

Otázka: Jak často bych měl provádět nulování na SRX
zařízení?

A: Frekvence provádění nulování na zařízeních SRX
závisí na bezpečnostních požadavcích vašeho prostředí. To je
doporučujeme dodržovat bezpečnostní zásady vaší organizace a
pokyny týkající se nulování.

Otázka: Mohu nakonfigurovat více NTP časových serverů na SRX
zařízení?

Odpověď: Ano, na SRX můžete nakonfigurovat více časových serverů NTP
zařízení pro zvýšenou spolehlivost a redundanci. Doporučuje se
nakonfigurovat alespoň tři časové servery pro optimální čas
synchronizace.

Otázka: Jak mohu vyřešit problémy se synchronizací NTP na SRX
zařízení?

A: Pokud máte problémy se synchronizací NTP na SRX
zařízení, můžete začít kontrolou konfigurace NTP, ověřením
připojení k časovým serverům a znovuviewspouštění systémových protokolů
pro případná chybová hlášení. Můžete se také obrátit na Juniper Networks
podpůrné zdroje pro další pomoc.

View Fullscreen

OS Junos®
Průvodce společnými kritérii pro zařízení SRX1500, SRX4100, SRX4200 a SRX4600

Publikováno
2023-12-21

UVOLNĚNÍ
22.2R1

ii
Juniper Networks, Inc. 1133 Innovation Way Sunnyvale, Kalifornie 94089 USA 408-745-2000 www.juniper.net
Juniper Networks, logo Juniper Networks, Juniper a Junos jsou registrované ochranné známky společnosti Juniper Networks, Inc. ve Spojených státech a dalších zemích. Všechny ostatní ochranné známky, servisní známky, registrované známky nebo registrované servisní známky jsou majetkem příslušných vlastníků.
Juniper Networks nepřebírá žádnou odpovědnost za jakékoli nepřesnosti v tomto dokumentu. Juniper Networks si vyhrazuje právo změnit, upravit, převést nebo jinak revidovat tuto publikaci bez upozornění.
Průvodce společnými kritérii Junos® OS pro zařízení SRX1500, SRX4100, SRX4200 a SRX4600 22.2R1 Copyright © 2023 Juniper Networks, Inc. Všechna práva vyhrazena.
Informace v tomto dokumentu jsou aktuální k datu na titulní straně.
OZNÁMENÍ ROK 2000
Hardwarové a softwarové produkty Juniper Networks jsou v souladu s rokem 2000. Junos OS nemá žádná známá časová omezení do roku 2038. Je však známo, že aplikace NTP bude mít v roce 2036 určité potíže.
LICENČNÍ SMLOUVA S KONCOVÝM UŽIVATELEM
Produkt Juniper Networks, který je předmětem této technické dokumentace, se skládá ze softwaru Juniper Networks (nebo je s ním určen). Použití takového softwaru podléhá ustanovením a podmínkám Licenční smlouvy s koncovým uživatelem („EULA“) zveřejněné na https://support.juniper.net/support/eula/. Stažením, instalací nebo používáním takového softwaru souhlasíte s podmínkami dané EULA.

iii

Obsah

O této příručce | viii

Nadview

Pochopení konfigurace vyhodnocené podle společných kritérií | 2

Pochopení Junos OS v režimu FIPS | 3

Porozumění terminologii provozního režimu FIPS a podporovaným kryptografickým algoritmům | 5

Identifikace bezpečného doručení produktu | 8

Aplikace Tamper-Evident Zapečeťuje kryptografický modul | 10

Pochopení rozhraní pro správu | 12

Konfigurace rolí a metod ověřování

Pochopení rolí a služeb pro Junos OS v režimu FIPS | 14

Pochopení služeb pro Junos OS v režimu FIPS | 16

Stahování softwarových balíčků z Juniper Networks | 21

Instalace softwarových balíčků Junos | 21

Vysvětlení nulování pro vymazání systémových dat pro provozní režim FIPS | 22

Načítání firmwaru do zařízení | 24

Jak povolit a nakonfigurovat Junos OS v provozním režimu FIPS | 24

Konfigurace administrativních pověření a oprávnění

Pochopení pravidel souvisejících hesel pro autorizovaného správce | 29

Konfigurace Network Device Protection Profile Autorizovaný správce | 31

Network Time Protocol

Konec NTPview | 34 Network Time Security (NTS) Podpora pro NTP | 35

NTP časové servery | 38

Konfigurace časového serveru NTP a časových služeb | 39 Konfigurace směrovače nebo přepnutí do provozu v režimu klienta | 40

Nakonfigurujte směrovač nebo přepínač pro provoz v symetrickém aktivním režimu | 41

Nakonfigurujte směrovač nebo přepínač pro provoz v režimu vysílání | 41

Nakonfigurujte směrovač nebo přepněte do provozu v režimu serveru | 42

Example: Nakonfigurujte NTP jako jednorázový zdroj pro synchronizaci hodin směrovače a přepínače | 43

Synchronizace a koordinace distribuce času pomocí NTP | 44 Konfigurace NTP | 44

Konfigurace spouštěcího serveru NTP | 45

Zadejte zdrojovou adresu pro server NTP | 46

Konfigurace NTP | 48

Example: Konfigurace NTP | 51 Požadavky | 51

Nadview | 52

Konfigurace | 52

Ověření | 54

NTP autentizační klíče | 56

Konfigurace zařízení pro poslech vysílaných zpráv pomocí NTP | 57

Konfigurace zařízení pro poslech zpráv vícesměrového vysílání pomocí NTP | 57

Konfigurace připojení SSH a konzole

Porozumění metodám ověřování FIPS | 60

Konfigurace systémové přihlašovací zprávy a oznámení | 61

Omezení počtu pokusů o přihlášení uživatele pro relace SSH | 62

Konfigurace SSH na vyhodnocené konfiguraci | 63

Konfigurace vzdáleného serveru Syslog

Sample Konfigurace serveru Syslog v systému Linux | 66

Konfigurace protokolování událostí na místní File | 66

Konfigurace protokolování událostí na vzdálený server | 67

Konfigurace protokolování událostí na vzdálený server při inicializaci připojení ze vzdáleného serveru | 67

Předávání protokolů na externí server Syslog | 73

Konfigurace možností protokolu auditu

Konfigurace možností protokolu auditu ve vyhodnocené konfiguraci | 75

Konfigurace možností protokolu auditu pro zařízení SRX1500, SRX4100, SRX4200 a SRX4600 | 75

Sample Kódové audity změn konfigurace | 76

Konfigurace protokolování událostí

Přihlášení události Overview | 81

Interpretace zpráv událostí | 86

Protokolování změn tajných dat | 87

Události přihlášení a odhlášení pomocí SSH | 89

Protokolování spuštění auditu | 89

Konfigurace kanálu zabezpečeného protokolování

Vytvoření kanálu zabezpečeného protokolování | 92

Konfigurace VPN

Konfigurace VPN na zařízení se systémem Junos OS | 100

Konfigurace zásad toku zabezpečení

Porozumění zásadám toku zabezpečení na zařízení s OS Junos | 124

Konfigurace pravidel filtrování provozu

Nadview | 129

Vysvětlení podpory protokolů | 129

Konfigurace pravidel filtrování provozu | 131

Konfigurace výchozích pravidel zakázat vše a odmítnout | 132

Protokolování zahozených paketů pomocí výchozí možnosti Deny-all | 133

Konfigurace pravidel povinného odmítnutí pro neplatné fragmenty a fragmentované pakety IP | 134

Konfigurace výchozích pravidel odmítnutí pro falšování zdrojové adresy | 135

Konfigurace výchozích pravidel pro odmítnutí s možnostmi IP | 136

Konfigurace výchozích pravidel pro odmítnutí | 137

Konfigurace síťových útoků

Konfigurace obrazovky IP Teardrop Attack | 139

Obrazovka konfigurace TCP Land Attack | 140

Konfigurace obrazovky fragmentu ICMP | 142

Konfigurace obrazovky Ping-of-Death Attack | 144

Konfigurace obrazovky tcp-no-flag Attack | 146

Konfigurace obrazovky TCP SYN-FIN Attack | 148

Konfigurace TCP fin-no-ack Attack Screen | 150

Obrazovka konfigurace UDP Bomb Attack | 152

Konfigurace UDP CHARGEN DoS Attack Screen | 152

Konfigurace TCP SYN a RST Attack Screen | 154

Konfigurace obrazovky ICMP Flood Attack | 157

Konfigurace obrazovky TCP SYN Flood Attack | 158

Konfigurace TCP Port Scan Attack Screen | 160

Konfigurace UDP Port Scan Attack Screen | 162

Konfigurace obrazovky IP Sweep Attack | 164

Konfigurace IDP Extended Package

Konfigurace rozšířeného balíčku IDP skončilaview | 167

vii

Konfigurace režimu clusteru

Porozumění režimu clusteru | 169

Konfigurace tunelu L2 HA Link Encryption | 169

Konfigurace šifrování spojení L2HA založeného na PKI | 174

Provádění autotestů na zařízení

Pochopení autotestů FIPS | 185

Konfigurační příkazy

checksum-validate | 196

kód | 198

délka dat | 199

možnost určení | 201

rozšíření-záhlaví | 203

hlavičkový | 204

domácí adresa | 206

identifikace | 208

icmpv6 (Security IDP Custom Attack) | 210

ihl (Security IDP Custom Attack) | 212

opční typ | 213

vyhrazeno (Security IDP Custom Attack) | 215

směrovací hlavička | 217

pořadové číslo (Záhlaví bezpečnostního IDP ICMPv6) | 218

typ (Security IDP ICMPv6 Headers) | 220

viii
O této příručce
Tuto příručku použijte ke konfiguraci a vyhodnocení zařízení SRX1500, SRX4100, SRX4200 a SRX4600 z hlediska shody se standardy Common Criteria (CC). Common Criteria for Information Technology je mezinárodní dohoda podepsaná několika zeměmi, která umožňuje hodnocení bezpečnostních produktů podle společné sady standardů.
SOUVISEJÍCÍ DOKUMENTACE Společná kritéria a certifikace FIPS

1 KAPITOLA
Nadview
Pochopení konfigurace vyhodnocené podle společných kritérií | 2 Pochopení Junos OS v režimu FIPS | 3 Vysvětlení provozní terminologie režimu FIPS a podporovaných kryptografických algoritmů | 5 Identifikace bezpečné dodávky produktu | 8 Aplikace Tamper-Evident Zapečeťuje kryptografický modul | 10 Pochopení rozhraní pro správu | 12

2
Pochopení konfigurace vyhodnocené podle společných kritérií
V TÉTO ČÁSTI Pochopení společných kritérií | 3 podporované platformy | 3
Tento dokument popisuje kroky potřebné k duplikování konfigurace zařízení se systémem Junos OS, když je zařízení hodnoceno. Toto se nazývá vyhodnocená konfigurace. Následující seznam popisuje standardy, podle kterých bylo zařízení hodnoceno: · Collaborative Protection Profile pro síťová zařízení, NDcPPv2.2e–https://
www.commoncriteriaportal.org/files/ppfiles/CPP_ND_V2.2E.pdf. Moduly PP pro NDcPP jsou následující: · MOD_FW_CPP v1.4e https://www.niap-ccevs.org/MMO/PP/MOD_CPP_FW_v1.4e.pdf · MOD_IPS_V1.0 https://www.niap-ccevs.org/ MMO/PP/MOD_IPS_v1.0.pdf · VPNGW_MOD v1.1 https://www.niap-ccevs.org/MMO/PP/mod_vpngw_v1.1.pdf · Network Device Collaborative Protection Profile (NDcPPv2.2)/Stateful Traffic Filter Firewall Collaborative Protection Profile (FWcPP) Rozšířený balíček VPN Gateway, verze 2.2, 22. března 2020 (VPNEP) · Collaborative Protection Profile pro brány Stateful Traffic Filter Firewall, verze 2.0, 14. března 2018 (FWcPP)https://www.commoncriteriaportal.org/files/ppfiles/CPP_FW_V2.0E.pdf · Collaborative Protection Profile pro síťová zařízení nebo Collaborative Protection Profile pro Stateful Traffic Filter Firewalls Extended Package (EP) pro systémy prevence narušení (IPS), (IPSEP) · FIPS–https://csrc.nist.gov/publications/fips/fips140-2/fips1402.pdf Tyto dokumenty jsou k dispozici na https://www.niap-ccevs.org/Profile/PP.cfm.

3
POZNÁMKA: Na zařízeních SRX1500, SRX4100, SRX4200 a SRX4600 je Junos OS Release 22.2R1 certifikován pro Common Criteria s povoleným režimem FIPS na zařízeních.
Pochopení společných kritérií
Common Criteria for Information Technology je mezinárodní dohoda podepsaná několika zeměmi, která umožňuje hodnocení bezpečnostních produktů podle společné sady standardů. V dohodě o uznávání společných kritérií (CCRA) na http://www.commoncriteriaportal.org/ccra/ se účastníci zavazují, že budou vzájemně uznávat hodnocení produktů provedená v jiných zemích. Všechna hodnocení jsou prováděna pomocí společné metodiky hodnocení bezpečnosti informačních technologií. Další informace o Common Criteria naleznete na http://www.commoncriteriaportal.org/.
Podporované platformy
Pro funkce popsané v tomto dokumentu jsou podporovány následující platformy: · IPSEP, NDcPP, FWcPP a VPNEP platí pro:
· SRX1500, SRX4100, SRX4200 a SRX4600
SOUVISEJÍCÍ DOKUMENTACE Identifikace bezpečné dodávky produktu | 8
Pochopení Junos OS v režimu FIPS
V TÉTO ČÁSTI O kryptografické hranici na vašem zařízení | 4

4
Jak se liší provozní režim FIPS od provozního režimu bez FIPS | 5 Ověřená verze operačního systému Junos OS v režimu FIPS | 5
Federální standardy zpracování informací (FIPS) 140-3 definují úrovně zabezpečení pro hardware a software, které provádějí kryptografické funkce. Junos-FIPS je verze operačního systému Junos (Junos OS), který vyhovuje Federal Information Processing Standard (FIPS) 140-3. Provoz brány firewall řady SRX v prostředí FIPS 140-3 úrovně 2 vyžaduje povolení a konfiguraci režimu provozu FIPS na zařízení z rozhraní příkazového řádku (CLI) Junos OS. Správce zabezpečení povolí režim provozu FIPS v Junos OS Release 22.2R1 a nastaví klíče a hesla pro systém a další uživatele FIPS, kteří mohou view konfiguraci. Oba typy uživatelů mohou také provádět běžné konfigurační úlohy na zařízení (jako je úprava typů rozhraní), jak to individuální uživatelská konfigurace umožňuje.
NEJLEPŠÍ POSTUP: Ujistěte se, že jste ověřili bezpečné doručení vašeho zařízení a použijte tampzranitelných portů.
O kryptografické hranici na vašem zařízení
Soulad se standardem FIPS 140-3 vyžaduje definovanou kryptografickou hranici kolem každého kryptografického modulu na zařízení. Junos OS v provozním režimu FIPS zabraňuje kryptografickému modulu spouštět jakýkoli software, který není součástí distribuce s certifikací FIPS, a umožňuje používat pouze kryptografické algoritmy schválené FIPS. Žádné kritické bezpečnostní parametry (CSP), jako jsou hesla a klíče, nemohou překročit kryptografickou hranici modulu např.ample, který je zobrazen na konzole nebo zapsán do externího protokolu file.
UPOZORNĚNÍ: Funkce virtuálního šasi nejsou podporovány v režimu provozu FIPS. Nekonfigurujte virtuální šasi v provozním režimu FIPS.
Pro fyzické zabezpečení kryptografického modulu vyžadují všechna zařízení Juniper Networks atampzjevné těsnění na portech USB a mini-USB.

5
Jak se provozní režim FIPS liší od provozního režimu bez FIPS
Na rozdíl od Junos OS v provozním režimu bez FIPS je Junos OS v provozním režimu FIPS nemodifikovatelné operační prostředí. Kromě toho se OS Junos v provozním režimu FIPS liší od OS Junos v provozním režimu bez FIPS následujícími způsoby: · Samočinné testy všech kryptografických algoritmů se provádějí při spuštění. · Průběžně jsou prováděny autotesty generování náhodných čísel a klíčů. · Slabé kryptografické algoritmy jako Data Encryption Standard (DES) a MD5 jsou zakázány. · Nesmí být konfigurována slabá, vzdálená nebo nešifrovaná připojení pro správu. · Hesla musí být šifrována pomocí silných jednosměrných algoritmů, které neumožňují dešifrování. · Hesla správce Junos-FIPS musí mít alespoň 10 znaků. · Kryptografické klíče musí být před přenosem zašifrovány. Standard FIPS 140-3 je k dispozici ke stažení z National Institute of Standards and Technology (NIST) na adrese http://csrc.nist.gov/publications/fips/fips140-3/fips1402.pdf.
Ověřená verze operačního systému Junos v provozním režimu FIPS
Chcete-li zjistit ověřenou verzi operačního systému Junos OS v provozním režimu FIPS a informace o shodě s předpisy o Common Criteria a FIPS pro produkty Juniper Networks, navštivte poradce Juniper Networks Compliance Advisor.
Porozumění terminologii provozního režimu FIPS a podporovaným kryptografickým algoritmům
V TÉTO ČÁSTI Terminologie FIPS | 6 Podporované kryptografické algoritmy | 7

6
Použijte definice pojmů FIPS a podporované algoritmy, které vám pomohou pochopit Junos OS v režimu provozu FIPS.

Terminologie FIPS

Kritický bezpečnostní parametr (CSP)

Informace související s bezpečností – napřamptajné a soukromé kryptografické klíče a ověřovací data, jako jsou hesla a osobní identifikační čísla (PIN), jejichž zveřejnění nebo úprava může ohrozit bezpečnost kryptografického modulu nebo informací, které chrání.

Kryptografický modul

Sada hardwaru, softwaru a firmwaru, která implementuje schválené bezpečnostní funkce (včetně kryptografických algoritmů a generování klíčů) a je obsažena v kryptografických hranicích. Zařízení řady SRX jsou certifikována podle FIPS 140-3 Level 2.

Bezpečnostní správce

Osoba s příslušnými oprávněními, která je zodpovědná za bezpečné povolení, konfiguraci, sledování a údržbu operačního systému Junos OS v provozním režimu FIPS na zařízení.

ESP

Protokol ESP (Encapsulation Security Payload). Část protokolu IPsec, která

zaručuje důvěrnost paketů pomocí šifrování. Protokol zajišťuje

že pokud je paket ESP úspěšně dešifrován a žádná další strana nezná tajemství

klíč, který kolegové sdílejí, nebyl paket při přenosu odposlechnut.

FIPS

Federální standardy zpracování informací. FIPS 140-3 specifikuje požadavky na

bezpečnostní a kryptografické moduly. Junos OS v provozním režimu FIPS vyhovuje

s FIPS 140-3, úroveň 2.

IKE

Internet Key Exchange (IKE) je součástí IPsec a poskytuje způsoby, jak bezpečně

vyjednat sdílené soukromé klíče, které ověřovací hlavička (AH) a ESP

části IPsec musí správně fungovat. IKE používá klíč Diffie-Hellman-

výměnné metody a je volitelný v IPsec. (Sdílené klíče lze zadat ručně

v koncových bodech.)

IPsec

Protokol IP Security (IPsec). Standardní způsob, jak přidat zabezpečení internetové komunikace. Přidružení zabezpečení IPsec (SA) vytváří zabezpečenou komunikaci s jiným kryptografickým modulem FIPS pomocí vzájemného ověřování a šifrování.

KAT

Známé testy odpovědí. Systémové autotesty, které ověřují výstup kryptografických algoritmů schválených pro FIPS a testují integritu některých modulů Junos OS.

Nulování SA SPI SSH

Bezpečnostní asociace (SA). Spojení mezi hostiteli, které jim umožňuje bezpečnou komunikaci definováním, napřample, jak si vyměňují soukromé klíče. Jako správce zabezpečení musíte ručně nakonfigurovat interní SA na zařízeních se systémem Junos OS v režimu provozu FIPS. Všechny hodnoty včetně klíčů musí být v konfiguraci zadány staticky.
Index bezpečnostních parametrů (SPI). Číselný identifikátor používaný s cílovou adresou a bezpečnostním protokolem v IPsec k identifikaci SA. Protože ručně konfigurujete SA pro Junos OS v provozním režimu FIPS, musí být SPI zadáno jako parametr, nikoli odvozeno náhodně.
Protokol, který používá silné ověřování a šifrování pro vzdálený přístup přes nezabezpečenou síť. SSH poskytuje vzdálené přihlášení, vzdálené spouštění programů, file kopírování a další funkce. Je určen jako bezpečná náhrada za rlogin, rsh a rcp v prostředí UNIX. Chcete-li zabezpečit informace odesílané přes administrativní připojení, použijte pro konfiguraci rozhraní příkazového řádku SSHv2. V Junos OS je SSHv2 ve výchozím nastavení povoleno a SSHv1, které není považováno za bezpečné, je zakázáno.
Vymazání všech CSP a dalších dat vytvořených uživatelem na zařízení před jeho provozem jako kryptografický modul FIPS – nebo v rámci přípravy na opětovné použití zařízení pro provoz bez FIPS. Správce zabezpečení může vynulovat systém pomocí provozního příkazu CLI.

Podporované kryptografické algoritmy
Každá implementace algoritmu je kontrolována sérií testů známých odpovědí (KAT). Jakékoli selhání autotestu má za následek chybový stav FIPS.

NEJLEPŠÍ POSTUP: Pro shodu s FIPS 140-3 používejte pouze kryptografické algoritmy schválené FIPS v OS Junos v provozním režimu FIPS.

V provozním režimu FIPS jsou podporovány následující kryptografické algoritmy. Symetrické metody používají stejný klíč pro šifrování a dešifrování, zatímco asymetrické metody (preferované) používají různé klíče pro šifrování a dešifrování.

AES

Advanced Encryption Standard (AES), definovaný v FIPS PUB 197. Algoritmus AES používá

klíče 128, 192 nebo 256 bitů pro šifrování a dešifrování dat v blocích po 128 bitech.

DiffieHellman

Metoda výměny klíčů v nezabezpečeném prostředí (jako je Internet). Algoritmus Diffie-Hellman vyjednává klíč relace, aniž by samotný klíč posílal po síti, protože umožňuje každé straně vybrat částečný klíč nezávisle a poslat část tohoto klíče druhé straně. Každá strana pak vypočítá společnou hodnotu klíče. Jedná se o symetrickou metodu a klíče se obvykle používají pouze na krátkou dobu, jsou vyřazeny a regenerovány.

ECDH

Eliptická křivka Diffie-Hellman. Varianta Diffie-Hellmanova algoritmu výměny klíčů, který využívá kryptografii založenou na algebraické struktuře eliptických křivek nad konečnými poli. ECDH umožňuje dvěma stranám, z nichž každá má eliptickou křivku páru veřejného a soukromého klíče, vytvořit sdílené tajemství přes nezabezpečený kanál. Sdílené tajemství lze použít buď jako klíč, nebo k odvození jiného klíče pro šifrování následné komunikace pomocí šifry symetrického klíče.

ECDSA

Algoritmus digitálního podpisu eliptické křivky. Varianta algoritmu Digital Signature Algorithm (DSA), který používá kryptografii založenou na algebraické struktuře eliptických křivek nad konečnými poli. Bitová velikost eliptické křivky určuje obtížnost dešifrování klíče. Veřejný klíč, o kterém se předpokládá, že je potřebný pro ECDSA, je přibližně dvakrát větší než úroveň zabezpečení v bitech. ECDSA využívající křivku P-256, P-384 nebo P-521 lze konfigurovat pod OpenSSH.

HMAC

HMAC, definovaný jako „Keyed-Hashing for Message Authentication“ v RFC 2104, kombinuje hashovací algoritmy s kryptografickými klíči pro ověřování zpráv. Pro Junos OS v provozním režimu FIPS používá HMAC iterovanou kryptografickou hashovací funkci SHA-1 (označenou jako HMAC-SHA1) spolu s tajným klíčem.

Identifikace bezpečného doručení produktu
V procesu dodávky existuje několik mechanismů, které zajišťují, že zákazník obdrží produkt, který nebyl tampered s. Zákazník by měl po obdržení zařízení provést následující kontroly, aby ověřil integritu platformy.
· Přepravní štítek – Ujistěte se, že přepravní štítek správně identifikuje správné jméno a adresu zákazníka a také zařízení.
· Vnější obal – Zkontrolujte vnější přepravní krabici a pásku. Ujistěte se, že přepravní páska nebyla přestřižena nebo jinak narušena. Ujistěte se, že krabice nebyla rozříznuta nebo poškozena, aby byl umožněn přístup k zařízení.
· Vnitřní obal – Zkontrolujte plastový sáček a těsnění. Ujistěte se, že sáček není odříznut nebo odstraněn. Ujistěte se, že těsnění zůstává neporušené.

9
Pokud zákazník při kontrole zjistí problém, měl by neprodleně kontaktovat dodavatele. Poskytněte dodavateli číslo objednávky, sledovací číslo a popis zjištěného problému. Kromě toho existuje několik kontrol, které lze provést, abychom se ujistili, že zákazník obdržel krabici zaslanou společností Juniper Networks a nikoli jinou společností vydávající se za Juniper Networks. Zákazník by měl po obdržení zařízení provést následující kontroly, aby ověřil pravost zařízení: · Ověřte, že bylo zařízení objednáno pomocí nákupní objednávky. Zařízení Juniper Networks nikdy nejsou
odesláno bez objednávky.
· Když je zařízení odesláno, je zasláno oznámení o odeslání na e-mailovou adresu, kterou zákazník uvedl při přijetí objednávky. Ověřte, že bylo přijato toto e-mailové upozornění. Ověřte, že e-mail obsahuje následující informace: · Číslo objednávky
· Číslo objednávky Juniper Networks používané ke sledování zásilky
· Sledovací číslo přepravce používané ke sledování zásilky
· Seznam dodaných položek včetně sériových čísel
· Adresa a kontakty na dodavatele i odběratele
· Ověřte, že zásilka byla zahájena společností Juniper Networks. Chcete-li ověřit, že zásilka byla zahájena společností Juniper Networks, měli byste provést následující úkoly: · Porovnejte sledovací číslo přepravce čísla objednávky Juniper Networks uvedené v oznámení o odeslání Juniper Networks s číslem zásilky na přijatém balíku.
· Přihlaste se na online portál zákaznické podpory Juniper Networks na adrese https://support.juniper.net/support/ view stav objednávky. Porovnejte sledovací číslo přepravce nebo číslo objednávky Juniper Networks uvedené v oznámení o zásilce Juniper Networks s číslem zásilky na přijatém balíku.
SOUVISEJÍCÍ DOKUMENTACE Pochopení konfigurace vyhodnocené podle společných kritérií

10
Aplikace Tamper-Evident Zapečeťuje kryptografický modul
V TÉTO ČÁSTI Obecné TampPokyny pro těsnění er-Evident | 11 Aplikace Tamper-Evident těsnění na zařízení SRX1500 | 11 Aplikace Tamper-Evident těsnění na zařízení SRX4100, SRX4200 a SRX4600 | 12
Fyzické provedení kryptografických modulů je vícečipové samostatné zařízení, které splňuje požadavky na fyzické zabezpečení úrovně 2. Modul je zcela uzavřen v pravoúhlém krytu z niklu nebo čirého zinku, za studena válcované oceli, pokovené oceli a kartáčovaného hliníku. Neexistují žádné ventilační otvory, mezery, štěrbiny, praskliny, štěrbiny nebo štěrbiny, které by umožňovaly jakýkoli druh pozorování jakékoli součásti obsažené v kryptografické hranici. Tamper-evident plomby umožňují obsluze ověřit, zda byl kryt porušen. Tyto plomby nejsou instalovány ve výrobě a musí je použít kryptografický úředník.
POZNÁMKA: Těsnění je možné objednat u Juniper Networks pod číslem dílu JNPR-FIPSTAMPER-LBLS.
Jako kryptografický důstojník zodpovídáte za: · použití pečetí k zabezpečení kryptografického modulu · kontrolu všech nepoužívaných pečetí · kontrolu a sledování jakýchkoli změn, jako jsou opravy nebo bootování z externího USB disku na
kryptografický modul, který vyžaduje odstranění nebo výměnu pečetí pro zachování bezpečnosti modulu Podle pokynů pro bezpečnostní kontrolu musí kryptografický úředník po obdržení kryptografického modulu zkontrolovat, zda štítky neobsahují žádné tampno důkaz.

11
Generál Tamper-Evident Seal Instrukce
Všechny přepínače s certifikací FIPS vyžadují atamper-evidentní těsnění na USB portech. Při aplikaci těsnění dodržujte tyto obecné pokyny: · S těsněním zacházejte opatrně. Nedotýkejte se lepicí strany. Neřezejte ani jinak neměňte velikost těsnění na
ať to sedí. · Ujistěte se, že všechny povrchy, na které jsou těsnění aplikována, jsou čisté a suché a bez jakýchkoliv zbytků. · Aplikujte těsnění pevným tlakem na těsnění, abyste zajistili přilnavost. Nechte na to alespoň 1 hodinu
lepidlo k vytvrzení.
Aplikace Tamper-Evident těsnění na zařízení SRX1500
Na zařízení SRX1500 aplikujte 10 tampzcela evidentní těsnění na následujících místech: · Přední sklo:
· Přední strana SRX1500 má dva kryty slotů. Kryty slotů by měly být zajištěny vždy dvěma šrouby a poté dvěma šroubyampna sloty musí být aplikovány evidentní štítky. tamper-evident štítky jdou z přední části SRX1500 nahoru.
· Aplikujte dvě tamper štítky pro zakrytí portu USB a dvou tamper štítky k pokrytí portu High Availability.
· Zadní sklo: · Zadní strana SRX1500 má dvě tamper-evidentní pečeti, tampzjevné těsnění v horní části zadní částiview se zabalí do horní části zařízení a zakryje čtvrtý šroub ze strany obsahující napájecí zdroj. · Aplikujte jeden tampštítku na zadní straně SRX1500, na krytu slotu SSD, na spodní stranu SRX1500. · Aplikujte dvě tampŠtítky zakryjte označený šroub na levé a pravé straně SRX1500 a připevněte ke spodní části SRX1500.

12
Aplikace TampTěsnění er-Evident na zařízení SRX4100, SRX4200 a SRX4600
POZNÁMKA: Umístění tampZřejmé štítky pro zařízení SRX4100, SRX4200 a SRX4600 jsou naprosto stejné.
Aplikujte 11 tamper-evidentní těsnění na následujících místech: · Aplikujte dvě tamper-evidentní štítky v horní části šasi, zakrývající jeden šroub vlevo nahoře vzadu
a jeden šroub vpravo nahoře vzadu. tampZřejmé štítky zakrývají šrouby na horní straně skříně a omotávají každou stranu skříně. · Aplikujte tři tamper-evidentní štítky na spodní části skříně, zakrývající tři šrouby, které zajišťují čelní desky na přední straně skříně. Tyto tři šrouby jsou zcela na spodní straně šasi, nezamotávají se do žádné jiné části šasi. · Aplikujte dvě tamper-evidentní štítky pokrývající dva USB porty na přední straně zařízení SRX4100 a SRX4200. · Aplikujte dvě tamper-evidentní štítky pokrývající dva HA porty a dva tamper-evidentní štítky pokrývající druhý HA port.
Pochopení rozhraní pro správu
V hodnocené konfiguraci lze použít následující rozhraní pro správu: · Místní rozhraní pro správu – port konzoly RJ-45 na zadním panelu zařízení je nakonfigurován jako
Koncové datové zařízení RS-232 (DTE). Pro konfiguraci zařízení z terminálu můžete přes tento port použít rozhraní příkazového řádku (CLI). · Protokoly vzdálené správy – Zařízení lze vzdáleně spravovat přes libovolné rozhraní Ethernet. SSHv2 je jediný povolený protokol pro vzdálenou správu, který lze ve vyhodnocené konfiguraci použít, a na zařízení je standardně povolen. Protokoly vzdálené správy J-Web a Telnet nejsou k dispozici pro použití na zařízení ve vyhodnocené konfiguraci.
SOUVISEJÍCÍ DOKUMENTACE Pochopení konfigurace vyhodnocené podle společných kritérií

2 KAPITOLA
Konfigurace rolí a metod ověřování
Pochopení rolí a služeb pro Junos OS v režimu FIPS | 14 Vysvětlení služeb pro Junos OS v režimu FIPS | 16 Stahování softwarových balíčků z Juniper Networks | 21 Instalace softwarových balíčků Junos | 21 Vysvětlení nulování pro vymazání systémových dat pro provozní režim FIPS |
22 Nahrání firmwaru do zařízení | 24 Jak povolit a nakonfigurovat Junos OS v provozním režimu FIPS | 24

14
Pochopení rolí a služeb pro Junos OS v režimu FIPS
V TÉTO ČÁSTI Role a odpovědnosti správce zabezpečení | 14 Role a odpovědnosti uživatele FIPS | 15 Co se očekává od všech uživatelů FIPS | 16
Operační systém Juniper Networks Junos (Junos OS) běžící v režimu non-FIPS umožňuje uživatelům širokou škálu možností a autentizace je založena na identitě. Naproti tomu standard FIPS 140-3 definuje dvě uživatelské role: správce zabezpečení a uživatel FIPS. Tyto role jsou definovány z hlediska uživatelských schopností Junos OS. Všechny ostatní typy uživatelů definované pro Junos OS v provozním režimu FIPS (operátor, administrativní uživatel atd.) musí spadat do jedné ze dvou kategorií: Security Administrator nebo FIPS user. Z tohoto důvodu je ověřování uživatele v provozním režimu FIPS založeno spíše na rolích než na identitě. Kromě svých rolí FIPS mohou oba typy uživatelů provádět běžné konfigurační úlohy na zařízení, jak to individuální uživatelská konfigurace umožňuje. Správci zabezpečení a uživatelé FIPS provádějí všechny konfigurační úlohy související s FIPS a vydávají všechny příkazy a příkazy pro Junos OS v režimu provozu FIPS. Konfigurace uživatele Security Administrator a FIPS se musí řídit pokyny pro OS Junos v provozním režimu FIPS.
Role a odpovědnosti bezpečnostního správce
Bezpečnostní administrátor je osoba odpovědná za povolení, konfiguraci, sledování a údržbu operačního systému Junos OS v režimu FIPS na zařízení. Správce zabezpečení bezpečně nainstaluje Junos OS na zařízení, aktivuje režim FIPS, nastaví klíče a hesla pro ostatní uživatele a softwarové moduly a inicializuje zařízení před připojením k síti. Správce zabezpečení může modul konfigurovat a monitorovat prostřednictvím konzoly nebo připojení SSH.

15
NEJLEPŠÍ POSTUP: Doporučujeme, aby bezpečnostní administrátor spravoval systém bezpečným způsobem tím, že bude udržovat hesla v bezpečí a kontrolovat audit files.
Oprávnění, která odlišují správce zabezpečení od ostatních uživatelů FIPS, jsou tajné, zabezpečení, údržba a kontrola. Pro zajištění souladu s FIPS přiřaďte bezpečnostního administrátora třídě přihlášení, která obsahuje všechna tato oprávnění. Uživatel s oprávněním údržby Junos OS může číst files obsahující kritické bezpečnostní parametry (CSP).
POZNÁMKA: Junos OS v provozním režimu FIPS nepodporuje roli údržby FIPS 140-3, která se liší od oprávnění údržby Junos OS.
Mezi úkoly souvisejícími s OS Junos v provozním režimu FIPS se očekává, že správce zabezpečení: · Nastaví počáteční heslo uživatele root. · Během upgradu z Junos OS resetujte uživatelská hesla pro algoritmy schválené FIPS. · Nastavte ruční přidružení zabezpečení IPsec pro konfiguraci s duálními směrovacími moduly. · Prozkoumat protokol a audit files pro zajímavé události. · Vymazat uživatelem vytvořené files a údaje o (nulování) zařízení.
Role a odpovědnosti uživatele FIPS
Všichni uživatelé FIPS, včetně správce zabezpečení, mohou view konfiguraci. Konfiguraci může měnit pouze uživatel přiřazený jako správce zabezpečení. Oprávnění, která odlišují správce zabezpečení od ostatních uživatelů FIPS, jsou tajné, zabezpečení, údržba a kontrola. Pro zajištění souladu s FIPS přiřaďte uživatele FIPS třídě, která neobsahuje žádné z těchto oprávnění. Uživatelé FIPS konfigurují síťové funkce na zařízení a provádějí další úkoly, které nejsou specifické pro provozní režim FIPS. Uživatelé FIPS, kteří nejsou správci zabezpečení, mohou provádět restarty a view stavový výstup.

16
Co se očekává od všech uživatelů FIPS
Všichni uživatelé FIPS, včetně správce zabezpečení, musí vždy dodržovat bezpečnostní pokyny. Všichni uživatelé FIPS musí: · Uchovávat všechna hesla v tajnosti. · Uchovávejte zařízení a dokumentaci na bezpečném místě. · Umístěte zařízení v zabezpečených oblastech. · Kontrolní audit files pravidelně. · Dodržujte všechna ostatní bezpečnostní pravidla FIPS 140-3. · Dodržujte tyto pokyny:
· Uživatelé jsou důvěryhodní. · Uživatelé dodržují všechny bezpečnostní pokyny. · Uživatelé záměrně neohrožují bezpečnost. · Uživatelé se vždy chovají zodpovědně.
SOUVISEJÍCÍ DOKUMENTACE Porozumění terminologii provozního režimu FIPS a podporovaným kryptografickým algoritmům | 5 Vysvětlení nulování pro vymazání systémových dat pro provozní režim FIPS
Pochopení služeb pro Junos OS v režimu FIPS
V TÉTO ČÁSTI Vysvětlení ověřených služeb | 17 Kritické parametry zabezpečení | 18

17 Všechny služby implementované modulem jsou uvedeny v následujících tabulkách.

Pochopení ověřených služeb

Tabulka 1 na stránce 17 uvádí ověřené služby na zařízení se systémem Junos OS. Tabulka 1: Ověřené služby

Ověřené služby

Popis

Bezpečnostní správce

Uživatel (pouze pro čtení)

Uživatel (síť)

Nakonfigurujte zabezpečení Relevantní zabezpečení

konfigurace

Konfigurovat

Nezabezpečení

relevantní

konfigurace

Bezpečný provoz

Chráněno IPsec

směrování

Postavení

Zobrazte stav x

Vynulovat

Zničte všechna kritická x

bezpečnostní parametry

(CSP)

SSH připojení

Spusťte SSH

připojení pro SSH

sledování a

ovládání (CLI)

Připojení IPsec

Spusťte IPsec

připojení (IKE)

Konzolový přístup

Sledování konzoly x

a ovládání (CLI)

Tabulka 1: Ověřené služby (pokračování)

Ověřené služby

Popis

Bezpečnostní správce

Uživatel (pouze pro čtení)

Uživatel (síť)

Vzdálený reset

Softwarově iniciované x

resetovat

Tabulka 2: Neověřený provoz

Servis

Popis

Místní reset

Reset hardwaru nebo vypněte napájení

Provoz

Provoz nevyžadující žádné kryptografické služby

Kritické parametry zabezpečení

Kritické parametry zabezpečení (CSP) jsou informace související se zabezpečením, jako jsou kryptografické klíče a hesla, které mohou ohrozit zabezpečení kryptografického modulu nebo bezpečnost informací chráněných modulem, pokud jsou zveřejněny nebo změněny.
Vynulování systému vymaže všechny stopy CSP v rámci přípravy na provoz zařízení jako kryptografického modulu.
Tabulka 3 na stránce 18 uvádí přístupová práva CSP v rámci služeb.
Tabulka 3: Přístupová práva CSP v rámci služeb

Servis

CSP

DRBG_Se DRBG_Stat SSH PHK

SSH DH

SSH-SEK ESP-SEK

Nakonfigurujte zabezpečení

G, W

Tabulka 3: Přístupová práva CSP v rámci služeb (pokračování)

Servis

CSP

DRBG_Se DRBG_Stat SSH PHK

SSH DH

SSH-SEK ESP-SEK

Konfigurovat

Zabezpečený provoz

Postavení

Vynulovat

SSH připojení

G, E

Připojení IPSec

Konzolový přístup

Vzdálený reset

G, E

Místní reset

G, E

Provoz

Servis
Konfigurovat zabezpečení Konfigurovat

CSP IKE-PSK W

IKE-Priv G, W

IKE-SKEYI

IKE-SKE

IKE-DH-PRI

(pokračování)
Servis
Stav zabezpečeného provozu Zeroize SSH připojení Připojení IPSec Přístup ke konzole Vzdálený reset Místní resetování provozu

CSP IKE-PSK Z E

IKE-Priv Z E

IKE-SKEYI

IKE-SKE

IKE-DH-PRI

Zde: · G = Generovat: Zařízení generuje CSP. · E = Execute: Zařízení běží pomocí CSP. · W = Write: CSP je aktualizován nebo zapsán do zařízení. · Z = Zeroize: Zařízení vynuluje CSP.

SOUVISEJÍCÍ DOKUMENTACE Principy nulování za účelem vymazání systémových dat pro provozní režim FIPS Principy metod ověřování FIPS | 60

21
Stahování softwarových balíčků z Juniper Networks
Pro provoz v Junos OS v režimu FIPS musí mít zařízení nainstalovaný následující softwarový balíček. Následující softwarové balíčky Junos OS si můžete stáhnout ze sítě Juniper Networks webweb: · Junos OS pro zařízení SRX1500, SRX4100, SRX4200 a SRX4600, vydání 22.2R1. Než začnete stahovat software, ujistěte se, že máte Juniper Networks Web účet a platnou smlouvu o podpoře. Chcete-li získat účet, vyplňte registrační formulář na Juniper Networks webweb: https://userregistration.juniper.net/entitlement/setupAccountInfo.do. Stažení softwarových balíčků z Juniper Networks: 1. Pomocí a Web prohlížeče, postupujte podle odkazů ke stažení URL na Juniper Networks webstrana.
https://support.juniper.net/support/downloads/ 2. Log in to the Juniper Networks authentication system using the username (generally your e-mail
adresa) a heslo dodané zástupci Juniper Networks. 3. Stáhněte si software. Viz Stahování softwaru
SOUVISEJÍCÍ DOKUMENTACE Průvodce instalací a upgradem
Instalace softwarových balíčků Junos
Zařízení řady SRX mohou poskytovat zabezpečení definované Federálními standardy zpracování informací (FIPS) 140-3 Level 2, pokud jsou tato zařízení provozována v OS Junos v režimu FIPS.
POZNÁMKA: Junos OS je dodáván v podepsaných balíčcích, které obsahují digitální podpisy, aby bylo zajištěno, že software Juniper Networks běží. Při instalaci softwarových balíčků Junos OS ověřuje podpisy a certifikáty veřejného klíče používané k digitálnímu podepisování softwarových balíčků. Pokud je podpis nebo certifikát shledán neplatnými (napřample, když má platnost certifikátu

22
vypršela nebo ji nelze ověřit vůči kořenové certifikační autoritě uložené v interním úložišti Junos OS), proces instalace selže.
Chcete-li nainstalovat tyto softwarové balíčky, proveďte následující úlohy: 1. Stáhněte si balíček Junos OS a balíček režimu Junos FIPS z https://support.juniper.net/
podpora/stahování/. Viz Stahování softwaru. 2. Nainstalujte Junos OS na vaše zařízení pomocí TFTP serveru, viz Instalace Junos OS na SRX Series
Zařízení ze spouštěcího zavaděče pomocí serveru TFTP nebo nainstalujte Junos OS do svého zařízení pomocí následujícího příkazu CLI: request system software add / / no-copy no-validate restart.
SOUVISEJÍCÍ DOKUMENTACE Průvodce instalací a upgradem
Pochopení nulování za účelem vymazání systémových dat pro provozní režim FIPS
V TÉTO ČÁSTI Proč Zeroize? | 23 Kdy nulovat? | 23
Vynulování zcela vymaže všechny konfigurační informace na zařízení, včetně všech hesel v otevřeném textu, tajemství a soukromých klíčů pro SSH, místní šifrování, místní ověřování a IPsec. Chcete-li ukončit režim FIPS, musíte zařízení vynulovat. Kryptografický modul poskytuje neschválený režim provozu, ve kterém jsou podporovány neschválené kryptografické algoritmy. Při přechodu z neschváleného režimu provozu do schváleného režimu provozu musí bezpečnostní správce vynulovat kritické bezpečnostní parametry (CSP) v neschváleném režimu. U zařízení SRX1500, SRX4100, SRX4200 a SRX4600 správce zabezpečení zahájí proces nulování zadáním příkazu vmhost zeroize hypervisor

23
z CLI po povolení režimu provozu FIPS. Použití tohoto příkazu je omezeno na správce zabezpečení.
POZOR: Nulování systému provádějte opatrně. Po dokončení procesu nulování nezůstanou na zařízení žádná data. Tento příkaz vymaže všechny CSP, konfigurace a oddíly pevného disku obsahující obraz zařízení. Zařízení se tedy při nulování nespustí a k obnovení zařízení je vyžadováno opětovné vytvoření obrazu přes USB.
Nulování může být časově náročné. Přestože jsou všechny konfigurace odstraněny během několika sekund, proces nulování pokračuje a přepisuje všechna média, což může trvat značnou dobu v závislosti na velikosti média.
Proč Zeroize?
Vaše zařízení není považováno za platný kryptografický modul FIPS, dokud nejsou zadány – nebo znovu zadány – všechny CSP, zatímco je zařízení v režimu provozu FIPS. Pro soulad s FIPS 140-3 je jediným způsobem, jak ukončit režim FIPS, vynulování TOE.
Kdy nulovat?
Jako správce zabezpečení proveďte nulování v následujících situacích: · Před provozem FIPS – Chcete-li své zařízení připravit na provoz jako kryptografický modul FIPS,
proveďte nulování, abyste odstranili neschválené parametry kritického zabezpečení režimu (CSP) a povolili režim FIPS na zařízení. · Před operací bez FIPS – Chcete-li začít znovu používat zařízení pro provoz bez FIPS, proveďte na zařízení nulování.
POZNÁMKA: Juniper Networks nepodporuje instalaci softwaru bez FIPS v provozním režimu FIPS, ale v určitých testovacích prostředích to může být nezbytné. Nejprve nezapomeňte vynulovat systém.
· Když vampzjevné těsnění je narušeno – Pokud bylo těsnění na nezabezpečeném portu tampsystém je považován za kompromitovaný. Po aplikaci nového tamper-evident pečetí na příslušná místa, vynulujte systém a nastavte nová hesla a CSP.

24
Načítání firmwaru do zařízení
Obrazy FIPS Junos OS 22.2R1 přijímají pouze firmware podepsaný pomocí ECDSA a odmítají jakýkoli firmware podepsaný pomocí RSA+SHA1. Z obrázků „pouze podepsaných ECDSA“ nelze přejít na nižší verzi na obrázky podepsané pomocí RSA+SHA1. V tomto scénáři brána firewall řady SRX nenačte firmware.
Jak povolit a nakonfigurovat Junos OS v provozním režimu FIPS
Vy, jako správce zabezpečení, můžete na svém zařízení povolit a konfigurovat Junos OS v provozním režimu FIPS. Než začnete povolovat a konfigurovat provozní režim FIPS na zařízení: · Ověřte bezpečné doručení vašeho zařízení. Viz „Identifikace bezpečné dodávky produktu“ na straně 8. · Použijte tamper-evidentní pečeti. Viz „Aplikace Tamper-Evident Seals to Cryptographic Module“ na
strana 10. Chcete-li povolit operační systém Junos v provozním režimu FIPS, proveďte následující kroky: 1. Před povolením provozního režimu FIPS vynulujte zařízení
uživatel@hostitel> požadavek systému vynulovat hypervizor 2. Povolte na zařízení režim FIPS.
uživatel@hostitel# nastavení systémové fips úrovně 2 3. Nastavte heslo uživatele root.
uživatel@hostitel# nastavit heslo pro autentizaci systému root. Zadejte heslo. 4. Odeberte CSP při kontrole odevzdání. user@host# commit 5. Po restartování zařízení proveďte integritu a autotest, když modul pracuje v režimu FIPS.

6. Nakonfigurujte IKEv2, když se AES-GCM používá pro šifrování IKE a/nebo IPSec.

uživatel@hostitel# nastaví návrh zabezpečení ike šifrovací algoritmus?

Možná dokončení:

aes-128-cbc AES-CBC 128bitový šifrovací algoritmus

aes-128-gcm AES-GCM 128bitový šifrovací algoritmus

aes-192-cbc AES-CBC 192bitový šifrovací algoritmus

aes-256-cbc AES-CBC 256bitový šifrovací algoritmus

aes-256-gcm AES-GCM 256bitový šifrovací algoritmus

uživatel@hostitel# nastaví návrh zabezpečení ike šifrovací algoritmus aes-256-gcm

uživatel@hostitel# nastaví návrh zabezpečení ipsec šifrovací algoritmus aes-128-gcm

uživatel@hostitel# nastaví bezpečnostní bránu ike verze ?

Možná dokončení:

pouze v1

Připojení musí být zahájeno pomocí IKE verze 1

pouze v2

Připojení musí být zahájeno pomocí IKE verze 2

uživatel@hostitel# nastaví bezpečnostní bránu ike pouze verze v2

uživatel@hostitel# odevzdat

odevzdat kompletní

Zajistěte, aby záložní obraz firmwaru byl také obrazem JUNOS-FIPS, zadáním příkazu request system snapshot.

user@host-srx4200:fips> zobrazit verzi Název hostitele: host-srx4200 Model: srx4200 Junos: 22.2R1.9 JUNOS OS Kernel 64-bit [20220607.2c547a1_builder_stable_12_222_a20220607.2scil OS_547] JUN1 table_12_222] JUNOS OS runtime [20220607.2c547a1_builder_stable_12_222] JUNOS OS informace o časovém pásmu [20220607.2c547a1_builder_stable_12_222] Síťový zásobník a nástroje JUNOS [20220617.153850_builder_junos_222_r1] JUNOS libs [20220617.153850 OS222_1 OS_32_libbuilder_20220607.2 [547c1a12_builder_stable_222_32] Kompatibilita s 20220607.2bitovým operačním systémem JUNOS [547c1a12_builder_stable_222_32] JUNOS libs compat20220617.153850 [222_1bun]20220617.153850OS 222_builder_junos_1_r20220617.153850] Balíček Junos vmguest [222_builder_junos_1_r20220617.153850] Rozšíření JUNOS py [222_py1der_20220617.153850] 222_builder_junos_1_r20220607.2] JUNOS OS vmguest [547c1a12_builder_stable_222_20220607.2] JUNOS OS krypto [547c1a12_builder_222stable]XNUMX_XNUMX_

26
Zaváděcí verze OS JUNOS files [20220607.2c547a1_builder_stable_12_222] JUNOS na telemetrii [22.2R1.9] JUNOS Web Package Platform Platform [20220617.153850_BUILDER_JUNOS_222_R1] Junos Srx Compat32 [20220617.153850_BUILDER_JUNOS_222_R1] Junos Srx Runtime [20220617.153850_BUILDER_JUNOS_222_R1] Junos Routing LSYS [20220617.153850_BUILDER_JUNOS_222_R1] Junos směrování 20220617.153850-bit kompatibilní verze [222_Builder_junos_1_R32 ] Směrování JUNOS agregované [20220617.153850_builder_junos_222_r1] Redis [20220617.153850_builder_junos_222_r1] Nástroj sondy JUNOS [20220617.153850_buil] běžná podpora platformy JUNOS222 1_builder_junos_20220617.153850_r222] Podpora platformy JUNOS srx [1_builder_junos_20220617.153850_r222] JUNOS Openconfig [1R20220617.153850] Síťové moduly JUNOS mtx [222 _builder_junos_1_r22.2] moduly Junos [1.9_Builder_junos_20220617.153850_r222] Junos Srx Modules [1_Builder_Junos_20220617.153850_R222] _r1] Junos L20220617.153850 RSI SCRIPTS [222_BUILDER_JUNOS_1_R20220617.153850] Junos Srx Data Plane Crypto Support [222_BUILDER_JUNOS_1_R2] [20220617.153850 _builder_junos_222_r1] JUNOS srx démoni [20220617.153850_builder_junos_222_r1] JUNOS High End AppQos démon [20220617.153850_builder_junos_222 Services] JUNOS Services URL Balíček filtru [20220617.153850_builder_junos_222_r1] Balíček PIC služby TLB služeb JUNOS [20220617.153850_builder_junos_222_r1] Telemetrie služeb JUNOS [20220617.153850 Services_LOGI_222_UNOS1 Services 20220617.153850_builder_junos_222_r1] JUNOS Services SSL [20220617.153850_builder_junos_222_r1] JUNOS Services SOFTWIRE [20220617.153850_builder222_junos_1 State20220617.153850 Firewall222_junos Services [1_builder_junos_20220617.153850_r222] Služby JUNOS RTCOM [1_builder_junos_20220617.153850_r222] RPM služeb JUNOS [1_20220617.153850r_junos] Balíček JUNOS 222r.1 20220617.153850_builder_junos_222_r1] JUNOS Services NAT [20220617.153850_builder_junos_222_r1] JUNOS Services Mobile Subscriber Service Kontejnerový balíček [20220617.153850_Ne222xt Software package Services1] 20220617.153850_builder_junos_222_r1] Balíček protokolu protokolování služeb JUNOS [20220617.153850_builder_junos_222_r1] Balíček kontejneru JUNOS Services LL-PDF [20220617.153850] JUNOS222 Servicesflow_Containder_1 balíček [20220617.153850_builder_junos_222_r1] Balíček hloubkové kontroly paketů JUNOS Services [20220617.153850_builder_junos_222_r1] JUNOS Services IPSec [XNUMX_rjunos_ilbuder]

27
JUNOS Services IDS [20220617.153850_builder_junos_222_r1] JUNOS IDP Services [20220617.153850_builder_junos_222_r1] JUNOS Services Balíček správy obsahu HTTP20220617.153850 [222 DNS package_1 386) [20220617.153850_builder_junos_222_r1] JUNOS Services Crypto [20220617.153850_builder_junos_222_r1] JUNOS Services Captive Portal a doručování obsahu [Balík kontejneru [20220617.153850_builder_junos_222_r1] JUNOS Services COS [20220617.153850_builder_junos_222_r1] JUNOS AppId Services [20220617.153850 Application Level222 Gateways] JUNOS1 Services20220617.153850bu Gateways222 1_builder_junos_20220617.153850_r222] JUNOS Services AACL kontejnerový balíček [1_builder_junos_20220617.153850_r222] JUNOS Extension Toolkit [1_Packet_19 Forwardbuilder] JUNOSjunos_Packet20220617.153850 Forwardbuilder (wrlinuxlts222) [1_builder_junos_3_r20220617.153850] Podpora modulu pro předávání paketů JUNOS (spc222) [1_builder_junos_92_r20220617.153850] Podpora modulu pro předávání paketů JUNOS (222MX1 Common) builder_junos_20220617.153850_r222] Podpora modulu pro předávání paketů JUNOS (M/T Common) [1_builder_junos_20220617.153850_r222] JUNOS Podpora modulu pro předávání paketů (MX Common) [1_builder_junos_1.0.0_r20220617.153850] JUNOS Juniper Malware Removal Tool (JMRT) [222+1_builder_junos_20220617.153850_r222_1_builder_junos_20220608.110139_r222 J-1 der_junos_20220617.153850_r222] JUNOS jfirmware [1_builder_junos_20220607.2_r547] Online dokumentace JUNOS [1_builder_junos_12_r222] JUNOS doba běhu ve vězení [22.2c1.9a20220617.153850_builder_stable_222_1] JUNOS fips optest [22.2R1.9] Nástroje režimu JUNOS FIPS [22.2_builder_junos_1_rdsa další klíčové slovo 1500 JUNOS] jméno na výstupu znamená, že modul pracuje v FIPS režim pro Junos Software Release 4100R4200 pro SRX4600, SRXXNUMX, SRXXNUMX a SRXXNUMX.
SOUVISEJÍCÍ DOKUMENTACE
Načítání firmwaru do zařízení | 24

3 KAPITOLA
Konfigurace administrativních pověření a oprávnění
Pochopení pravidel souvisejících hesel pro autorizovaného správce | 29
Konfigurace Network Device Protection Profile Autorizovaný správce | 31

29
Pochopení pravidel souvisejících hesel pro oprávněného správce
Oprávněný administrátor je přidružen k definované třídě přihlášení a administrátor má přiřazena všechna oprávnění. Data jsou uložena lokálně pro ověření pomocí pevného hesla.
POZNÁMKA: Doporučujeme nepoužívat v heslech řídicí znaky.
Pro hesla a při výběru hesel pro účty autorizovaných administrátorů použijte následující pokyny a možnosti konfigurace. Hesla by měla být: · Snadno zapamatovatelná, aby uživatelé nebyli v pokušení si je zapsat. · Pravidelně měněno. · Soukromé a nesdílené s nikým. · Musí obsahovat minimálně 10 znaků. Minimální délka hesla je 10 znaků.
[ upravit ] administrator@host# nastavit heslo pro přihlášení do systému minimální délka 10
· Zahrňte jak alfanumerické, tak interpunkční znaky složené z libovolné kombinace velkých a malých písmen, číslic a speciálních znaků, jako jsou „!“, „@“, „#“, „$“, „%“, „^“, "&", "*", "(", a ")". Mělo by dojít ke změně alespoň jednoho případu, jedné nebo více číslic a jednoho nebo více interpunkčních znamének.
· Obsahuje znakové sady. Platné znakové sady zahrnují velká písmena, malá písmena, čísla, interpunkci a další speciální znaky.
[ upravit ] administrator@host# set system login password change-type character-sets

30
· Obsahovat minimální počet znakových sad nebo změn znakových sad. Minimální počet znakových sad požadovaných v heslech ve formátu prostého textu v Junos FIPS jsou 2.
[ upravit ] administrator@host# nastavit minimální změny hesla pro přihlášení do systému 2
POZNÁMKA: Autentizační algoritmus pro hesla ve formátu prostého textu musí být nakonfigurován jako sha256. [ upravit ] administrator@host# nastavit formát přihlašovacího hesla systému sha256
Slabá hesla jsou: · Slova, která mohou být nalezena nebo existovat jako permutovaná forma v systému file jako je /etc/passwd. · Název hostitele systému (vždy první odhad). · Jakákoli slova vyskytující se ve slovníku. To zahrnuje jiné než anglické slovníky a nalezená slova
v dílech jako Shakespeare, Lewis Carroll, Rogetův Thesaurus a tak dále. Tento zákaz zahrnuje běžná slova a fráze ze sportu, výroky, filmy a televizní pořady. · Permutace na kterékoli z výše uvedených možností. Napřample, slovo ze slovníku se samohláskami nahrazenými číslicemi (napřample f00t) nebo s číslicemi přidanými na konec. · Jakákoli strojově generovaná hesla. Algoritmy zmenšují prostor pro vyhledávání programů na hádání hesel, a proto by se neměly používat. Silná opakovaně použitelná hesla mohou být založena na písmenech z oblíbené fráze nebo slova a poté zřetězena s jinými, nesouvisejícími slovy, spolu s dalšími číslicemi a interpunkcí. Pokud je dosaženo limitu pro po sobě jdoucí neplatné heslo, uživatelský účet je uzamčen. Účet se automaticky odemkne po uplynutí nastaveného času uzamčení nebo lze účet odemknout ručně pomocí následujícího příkazu:
[ upravit ] administrator@host# clear system login lockout user username
POZNÁMKA: Hesla by se měla pravidelně měnit.

31
Konfigurace Network Device Protection Profile Autorizovaný správce
Účet pro root je v konfiguraci vždy přítomen a není určen pro použití v běžném provozu. V hodnocené konfiguraci je účet root omezen na počáteční instalaci a konfiguraci hodnoceného zařízení. Autorizovaný správce NDPP musí mít všechna oprávnění, včetně možnosti měnit konfiguraci routeru. Chcete-li nakonfigurovat oprávněného správce: 1. Vytvořte třídu přihlášení s názvem security-admin se všemi oprávněními.
[upravit] root@host# nastavit třídu přihlášení k systému zabezpečení-admin oprávnění vše 2. Definujte svého uživatele NDPP oprávněného správce.
[upravit] root@host# nastavit přihlášení do systému uživatel NDcPPv2-user class security-admin autentizace zašifrovanéheslo
OR
root@host# nastavit přihlášení do systému uživatel NDcPPv2-user class security-admin autentizace prostý textheslo 3. Nakonfigurujte ověřovací algoritmus pro hesla v prostém textu jako sha256.
[upravit] root@host# nastavit formát přihlašovacího hesla systému sha256 4. Potvrďte změny.
[upravit] root@host# commit

32
POZNÁMKA: Heslo uživatele root by mělo být resetováno po změně formátu uložení hesla na sha256. To zajišťuje, že nové heslo je chráněno pomocí hash sha256, spíše než výchozím algoritmem hash hesla. Chcete-li resetovat heslo uživatele root, použijte příkaz set system login user root password password a po zobrazení výzvy potvrďte nové heslo.
SOUVISEJÍCÍ DOKUMENTACE Pochopení souvisejících pravidel hesel pro oprávněného správce | 29

4 KAPITOLA
Network Time Protocol
Konec NTPview | 34 NTP časové servery | 38 Konfigurace časového serveru NTP a časových služeb | 39 Přample: Nakonfigurujte NTP jako jednorázový zdroj pro synchronizaci hodin směrovače a přepínače | 43 Synchronizace a koordinace distribuce času pomocí NTP | 44 Konfigurace NTP | 48 Přample: Konfigurace NTP | 51 NTP autentizační klíče | 56 Konfigurace zařízení pro poslech vysílaných zpráv pomocí NTP | 57 Konfigurace zařízení pro poslech zpráv Multicast pomocí NTP | 57

34
Konec NTPview
V TÉTO ČÁSTI Podpora síťového zabezpečení (NTS) pro NTP | 35
Network Time Protocol (NTP) je široce používaný protokol používaný k synchronizaci hodin směrovačů a dalších hardwarových zařízení na internetu. Primární servery NTP jsou synchronizovány s referenčními hodinami, které lze přímo sledovat na koordinovaný světový čas (UTC). Referenční hodiny zahrnují přijímače GPS a telefonní modemové služby, očekávání přesnosti NTP závisí na požadavcích aplikace prostředí. NTP však může obecně udržovat čas v rozsahu desítek milisekund přes veřejný internet. NTP je definován v RFC 5905: Network Time Protocol verze 4: Specifikace protokolu a algoritmů Zařízení se systémem Junos OS lze nakonfigurovat tak, aby fungovala jako klient NTP, sekundární server NTP nebo primární server NTP. Tyto varianty jsou následující: · Primární server NTP – Primární servery NTP jsou synchronizovány s referenčními hodinami, které jsou přímo
sledovatelné do UTC. Tyto servery pak redistribuují tato časová data směrem k dalším sekundárním NTP serverům nebo NTP klientům. · Sekundární server NTP – Sekundární servery NTP jsou synchronizovány s primárním nebo sekundárním serverem NTP. Tyto servery pak redistribuují tato data směrem k dalším sekundárním NTP serverům nebo NTP klientům. · Klient NTP – klienti NTP jsou synchronizováni s primárním nebo sekundárním serverem NTP. Klienti tyto časové údaje nedistribuují do jiných zařízení.
POZNÁMKA: Podsíť NTP zahrnuje řadu široce dostupných veřejných primárních časových serverů, které lze použít jako primární server NTP sítě. Juniper Networks důrazně doporučuje, abyste ověřili všechny primární servery, které používáte.
Každé zařízení ve vaší síti lze nakonfigurovat tak, aby běželo v jednom nebo více z následujících režimů NTP: · Režim vysílání – Jedno nebo více zařízení je nastaveno tak, aby vysílalo časové informace do určeného vysílání.
nebo vícesměrová adresa. Ostatní zařízení na těchto adresách poslouchají pakety synchronizace času. Tento režim je méně přesný než režim klient/server.

35
· Režim klient/server – zařízení jsou organizována hierarchicky v rámci sítě ve vztazích klient/server.
· Symmetric Active (peer) Mode – Dvě nebo více zařízení jsou nakonfigurována jako rovnocenné servery NTP, aby byla zajištěna redundance.
Ve výchozím nastavení, pokud se čas klienta NTP posune tak, že rozdíl v čase od serveru NTP překročí 128 milisekund, klient NTP se automaticky vrátí do synchronizace. Klient NTP se bude stále synchronizovat se serverem, i když posun mezi klientem NTP a serverem překročí práh 1000 sekund. Pomocí příkazu set date ntp Operating na routeru můžete ručně požádat o synchronizaci zařízení se serverem NTP. Na zařízeních se systémem Junos OS, která mají duální Routing Engine, se záložní Routing Engine synchronizuje přímo s primárním Routing Engine. Všechny platformy Juniper, na kterých běží Junos OS, podporují úpravu skokové sekundy. Ve výchozím nastavení, pokud je server NTP informován o výpočtech přestupných sekund, zařízení Junos automaticky přidá zpoždění 1 sekundy. PTP (Precision Time Protocol) se používá k detekci a šíření změn synchronizace skokových sekund ve všech uzlech v síti. NTP je také vyžadován pro soulad s Common Criteria. Další informace o certifikaci Common Criteria naleznete v části Certifikace veřejného sektoru. Další podrobnosti o Network Time Protocol naleznete v Network Time Foundation webna adrese http://www.ntp.org. NTP podporuje požadavky IPv4 VPN a IPv6 směrování a předávání (VRF) na Junos OS. Požadavek VRF je také podporován na Junos OS Evolved Release 20.2R1 a novějších. To umožňuje serveru NTP spuštěnému na routeru poskytovatele (PE) reagovat na požadavky NTP od routeru na okraji zákazníka (CE). V důsledku toho může směrovač PE zpracovat jakýkoli paket požadavku NTP pocházející z různých instancí směrování.
Network Time Security (NTS) Podpora pro NTP
V TÉTO ČÁSTI NTS Overview | 36 Výhody NTS | 36 Synchronizace času v síti s NTS | 36

36
NTS Overview
NTS poskytuje kryptografické zabezpečení pro synchronizaci času v síti a podporuje režim klient-server NTP. NTS používá protokol Transport Layer Security (TLS) a Authenticated Encryption with Associated Data (AEAD) k získání síťového času ověřeným způsobem pro uživatele. NTS také poskytuje podporu pro šifrování polí rozšíření NTP. Nejdůležitější bezpečnostní procesy jsou závislé na přesném čase. Synchronizace času v síti ze škodlivého zdroje vede k vážným následkům. Povolení NTS zajistí přesnou synchronizaci síťového času na vašem zařízení.
Výhody NTS
· Poskytuje silnou kryptografickou ochranu proti široké škále bezpečnostních útoků, jako je manipulace s pakety, spoofing, DDOS amplifikační útoky a opakované útoky
· Zajišťuje přesnou synchronizaci času v síti ze spolehlivého zdroje · Poskytuje škálovatelnost: Servery mohou obsluhovat několik klientů bez ručního předkonfigurování jakéhokoli klienta
specifická konfigurace. Kvůli používání cookies server nemusí lokálně ukládat data specifická pro klienta, jako jsou klíče a algoritmus AEAD · Zabraňuje sledování mobilních zařízení
Synchronizace času v síti s NTS
NTS se skládá ze dvou protokolů, protokolu NTS Key Establishment (NTS-KE) a synchronizace času NTP pomocí polí rozšíření NTS.
Protokol NTS-KE
Ve fázi protokolu NTS-KE protokol NTS-KE spravuje počáteční autentizaci, vyjednávání parametrů NTS a vytvoření klíče přes TLS v následujícím pořadí: 1. Klient provede TLS handshake se serverem NTS-KE a úspěšně ověří certifikáty. 2. Klient provede vyjednávání parametrů NTS se serverem přes kanál chráněný TLS.
Vyjednané kryptografické algoritmy jsou metody AEAD, které chrání pakety NTP ve druhé fázi. 3. Klient a server úspěšně vytvoří klíčový materiál pro komunikaci. 4. Server také odešle klientovi zásobu počátečních cookies, aby je mohl použít v další fázi.

37
5. Kanál TLS se uzavře a NTP postoupí do další fáze, kde dojde ke skutečné výměně časových dat.
NTS podporuje pouze TLS verze 1.3. Starší verze TLS jsou během fáze protokolu NTS-KE odmítnuty.
Synchronizace času NTP pomocí polí rozšíření NTS
Tato fáze spravuje šifrování a ověřování během synchronizace času NTP prostřednictvím polí rozšíření v paketech NTP v následujícím pořadí:
1. Klient se dotazuje NTP serveru na čas pomocí polí rozšíření NTS. Tato pole rozšíření zahrnují soubory cookie a ověření tag vypočítané pomocí dohodnutého algoritmu AEAD a klíčového materiálu extrahovaného z NTS-KE handshake.
Požadavek klienta NTP zabezpečený NTS obsahuje následující pole rozšíření NTS:
· Pole Unique Identifier Extension: Obsahuje náhodně generovaná data a poskytuje prostředky pro ochranu přehrávání na úrovni NTS.
· Pole NTS Cookie Extension: Obsahuje informace o klíčovém materiálu, který se vytvoří během fáze NTS-KE, a dohodnutém kryptografickém algoritmu. Soubor cookie je použit pouze jednou v požadavku, aby se zabránilo sledování.
· Pole rozšíření zástupného symbolu souborů cookie NTS: (Volitelné) Sděluje serveru, že klient chce přijímat další soubory cookie v paketu odpovědi.
· Pole NTS Authenticator a Encrypted Extension Fields: Generováno pomocí algoritmu AEAD a klíče vytvořeného během NTS-KE. Toto pole poskytuje ochranu integrity pro hlavičku NTP a všechna předchozí pole rozšíření.
Neustálé obnovování souborů cookie chrání zařízení před sledováním, když změní síťové adresy. Napřampmobilní zařízení pohybující se v různých sítích. Nedostatek jakýchkoli rozpoznatelných dat brání protivníkovi určit, že dva pakety odeslané přes různé síťové adresy pocházejí od stejného klienta.
2. Když server obdrží od klienta požadavek zabezpečený NTS, server dešifruje soubor cookie pomocí hlavního klíče.
3. Server extrahuje vyjednaný algoritmus AEAD a klíče, které jsou k dispozici v cookie. Pomocí tohoto klíče server zkontroluje integritu paketu NTP, aby zajistil, že paket nebude manipulován.
4. Server vygeneruje jeden nebo více nových souborů cookie a vytvoří paket odpovědi NTP. Server vygeneruje alespoň jeden nový soubor cookie a jeden další soubor cookie pro každé pole rozšíření zástupného symbolu cookie, které klient přidal do paketu požadavku.

38
Paket odpovědi obsahuje dvě pole rozšíření NTS: · Pole rozšíření Unique Identifier, které má stejný obsah jako Unique Identifier
pole v paketu požadavku.
· Pole NTS Authenticator a Encrypted Extension Field, které zabezpečuje hlavičku NTP a předchozí pole rozšíření pomocí extrahovaných klíčů.
5. Server také zašifruje soubory cookie a zahrne je do polí NTS Authenticator a Encrypted Extension Fields. Tento postup také chrání klienta před sledováním, protože útočník nemůže extrahovat soubory cookie ze zprávy s odpovědí.
6. Server dokončí paket odpovědi a odešle jej klientovi.
7. Klient obdrží paket odpovědi.
8. Klient zkontroluje pole Jedinečný identifikátor a ověří, že se jedinečný identifikátor shoduje s nevyřízeným požadavkem.
9. Klient úspěšně provede kontrolu integrity paketu pomocí klíče a algoritmu AEAD.
10. Klient dešifruje soubory cookie a přidá je do svého fondu a zpracuje časové informace přijaté ze serveru.
NTP časové servery
IETF definovala protokol NTP (Network Time Protocol) pro synchronizaci hodin počítačových systémů vzájemně propojených prostřednictvím sítě. Většina velkých sítí má server NTP, který zajišťuje synchronizaci času na všech zařízeních bez ohledu na umístění zařízení. Pokud ve své síti používáte jeden nebo více serverů NTP, ujistěte se, že jste do konfigurace Junos OS zahrnuli adresy serverů NTS. Při konfiguraci NTP můžete určit, který systém v síti je autoritativním zdrojem času nebo časovým serverem a jak je čas synchronizován mezi systémy v síti. Chcete-li to provést, nakonfigurujte směrovač, přepínač nebo zabezpečovací zařízení tak, aby fungovaly v jednom z následujících režimů: · Klientský režim – V tomto režimu lze synchronizovat místní směrovač nebo přepínač se vzdáleným systémem,
ale vzdálený systém nelze nikdy synchronizovat s místním směrovačem nebo přepínačem.
· Symetrický aktivní režim – V tomto režimu se mohou místní router nebo přepínač a vzdálený systém vzájemně synchronizovat. Tento režim používáte v síti, ve které může být lepším zdrojem času buď místní směrovač, přepínač nebo vzdálený systém.

39
Symetrický aktivní režim může být spuštěn buď místním, nebo vzdáleným systémem. K tomu je třeba nakonfigurovat pouze jeden systém. To znamená, že lokální systém se může synchronizovat s jakýmkoli systémem, který nabízí symetrický aktivní režim bez jakékoli konfigurace. Důrazně vám však doporučujeme nakonfigurovat ověřování, abyste zajistili, že se místní systém synchronizuje pouze se známými časovými servery. · Režim vysílání – V tomto režimu místní směrovač nebo přepínač odesílá periodické zprávy všesměrového vysílání klientům na zadané adrese vysílání nebo vícesměrového vysílání. Normálně toto prohlášení uvádíte pouze tehdy, když místní směrovač nebo přepínač funguje jako vysílač. · Režim serveru – V tomto režimu funguje místní směrovač nebo přepínač jako server NTP. V režimu serveru NTP podporuje Junos OS autentizaci následovně: · Pokud požadavek NTP od klienta přichází s ověřovacím klíčem (jako je ID klíče a
message digest odeslaná s paketem), požadavek je zpracován a zodpovězen na základě shody autentizačního klíče. · Pokud požadavek NTP od klienta přijde bez jakéhokoli autentizačního klíče, je požadavek zpracován a zodpovězen bez ověření.
Nakonfigurujte časový server NTP a časové služby
V TÉTO ČÁSTI Nakonfigurujte směrovač nebo přepínač pro provoz v režimu klienta | 40 Konfigurace směrovače nebo přepínače pro provoz v symetrickém aktivním režimu | 41 Konfigurace směrovače nebo přepínače pro provoz v režimu vysílání | 41 Konfigurace směrovače nebo přepnutí do provozu v režimu serveru | 42
Když používáte NTP, nakonfigurujte router nebo přepínač tak, aby fungoval v jednom z následujících režimů: · Klientský režim · Symetrický aktivní režim · Režim vysílání · Režim serveru

40
Následující témata popisují, jak konfigurovat tyto provozní režimy:
Nakonfigurujte směrovač nebo přepněte do provozu v režimu klienta
Chcete-li nakonfigurovat místní směrovač nebo přepínač pro provoz v režimu klienta, zahrňte příkaz serveru a další volitelné příkazy na úrovni hierarchie [edit system ntp]:
[upravit systémové ntp] adresu serveru ; autentizační-klíč klíč-číslo typ typ hodnota heslo; důvěryhodný klíč [čísla-klíče];
Zadejte adresu systému fungujícího jako časový server. Musíte zadat adresu, nikoli název hostitele. Chcete-li zahrnout ověřovací klíč do všech zpráv odeslaných na časový server, zahrňte volbu klíče. Klíč odpovídá číslu klíče, které zadáte v prohlášení o autentizačním klíči, jak je popsáno v . Ve výchozím nastavení směrovač nebo přepínač odesílá pakety NTP verze 4 na časový server. Chcete-li nastavit úroveň verze NTP na 1, 2 nebo 3, zahrňte možnost verze. Pokud nakonfigurujete více než jeden časový server, můžete jeden server označit jako preferovaný přidáním možnosti preferovat. Následující example ukazuje, jak nakonfigurovat router nebo přepnout, aby fungoval v klientském režimu:
[upravit systémové ntp] autentizační klíč 1 typ md5 hodnota “$ABC123″; server 10.1.1.1 preferuji klíč 1; důvěryhodný klíč 1;

41
Nakonfigurujte směrovač nebo přepínač pro provoz v symetrickém aktivním režimu
Chcete-li nakonfigurovat místní směrovač nebo přepínač tak, aby fungoval v symetrickém aktivním režimu, zahrňte příkaz peer na úrovni hierarchie [edit system ntp]:
[upravit systémový ntp] partnerská adresa ;
Zadejte adresu vzdáleného systému. Musíte zadat adresu, nikoli název hostitele. Chcete-li zahrnout ověřovací klíč do všech zpráv odeslaných do vzdáleného systému, zahrňte volbu klíče. Klíč odpovídá číslu klíče, které zadáte v prohlášení o autentizačním klíči. Ve výchozím nastavení směrovač nebo přepínač odesílá pakety NTP verze 4 do vzdáleného systému. Chcete-li nastavit úroveň verze NTP na 1, 2 nebo 3, zahrňte možnost verze. Pokud nakonfigurujete více než jeden vzdálený systém, můžete jeden systém označit jako preferovaný tím, že zadáte preferovanou možnost:
peer adresu preferovat;
Nakonfigurujte směrovač nebo přepínač pro provoz v režimu vysílání
Chcete-li nakonfigurovat místní směrovač nebo přepínač pro provoz v režimu vysílání, zahrňte příkaz vysílání na úrovni hierarchie [edit system ntp]:
[upravit systém ntp] vysílací adresa ;
Zadejte adresu vysílání v jedné z místních sítí nebo adresu vícesměrového vysílání přiřazenou k NTP. Musíte zadat adresu, nikoli název hostitele. Pokud je použita vícesměrová adresa, musí být 224.0.1.1. Chcete-li zahrnout ověřovací klíč do všech zpráv odeslaných do vzdáleného systému, zahrňte volbu klíče. Klíč odpovídá číslu klíče, které zadáte v prohlášení o autentizačním klíči. Ve výchozím nastavení směrovač nebo přepínač odesílá pakety NTP verze 4 do vzdáleného systému. Chcete-li nastavit úroveň verze NTP na 1, 2 nebo 3, zahrňte možnost verze.

42
Nakonfigurujte směrovač nebo přepněte do provozu v režimu serveru
V režimu serveru funguje směrovač nebo přepínač jako server NTP pro klienty, pokud jsou klienti správně nakonfigurováni. Jediným předpokladem pro „režim serveru“ je, že router nebo přepínač musí přijímat čas od jiného NTP peer nebo serveru. Na routeru nebo přepínači není nutná žádná další konfigurace. Při konfiguraci služby NTP ve VRF pro správu (mgmt_junos) musíte nakonfigurovat alespoň jednu IP adresu na fyzickém nebo logickém rozhraní v rámci výchozí instance směrování a zajistit, aby toto rozhraní fungovalo, aby služba NTP fungovala s mgmt_junos. VRF.
Chcete-li nakonfigurovat místní směrovač nebo přepínač tak, aby fungoval jako server NTP, zahrňte následující příkazy na úrovni hierarchie [edit system ntp]:
[upravit systém ntp] autentizační klíč klíč-číslo typ typ hodnota heslo; adresa serveru ; důvěryhodný klíč [čísla klíčů];
Zadejte adresu systému fungujícího jako časový server. Musíte zadat adresu, nikoli název hostitele.
Chcete-li zahrnout ověřovací klíč do všech zpráv odeslaných na časový server, zahrňte volbu klíče. Klíč odpovídá číslu klíče, které zadáte v prohlášení o autentizačním klíči.
Ve výchozím nastavení směrovač nebo přepínač odesílá pakety NTP verze 4 na časový server. Chcete-li nastavit úroveň verze NTP na 1, 2 nebo 3, zahrňte možnost verze.
Pokud nakonfigurujete více než jeden časový server, můžete jeden server označit jako preferovaný přidáním možnosti preferovat.
Následující example ukazuje, jak nakonfigurovat router nebo přepnout, aby fungoval v režimu serveru:
[upravit systémový ntp] autentizační klíč 1 typ md5 hodnota “$ABC123”; preferuji server 192.168.27.46; důvěryhodný klíč 1;

43
Example: Nakonfigurujte NTP jako jednorázový zdroj pro
Synchronizace hodin routeru a přepínače
Ladění a odstraňování problémů jsou mnohem jednodušší, když je časamps v protokolu fileVšechny směrovače nebo přepínače jsou synchronizovány, protože události, které pokrývají síť, lze korelovat se synchronními záznamy ve více protokolech. K synchronizaci systémových hodin směrovačů, přepínačů a dalších síťových zařízení důrazně doporučujeme používat protokol NTP (Network Time Protocol).
Ve výchozím nastavení NTP funguje zcela neověřeným způsobem. Pokud se zlomyslný pokus ovlivnit přesnost hodin routeru nebo přepínače podaří, může to mít negativní vliv na protokolování systému, ztížit odstraňování problémů a detekci narušení a bránit dalším funkcím správy.
Následující sampKonfigurace souboru synchronizuje všechny směrovače nebo přepínače v síti do jediného časového zdroje. Doporučujeme použít ověřování, abyste se ujistili, že NTP peer je důvěryhodný. Příkaz bootserver identifikuje server, ze kterého se získá počáteční čas a datum při spuštění routeru. Příkaz serveru identifikuje server NTP používaný pro pravidelnou synchronizaci času. Příkaz autentizačního klíče uvádí, že k hašování hodnoty klíče pro autentizaci by mělo být použito schéma HMAC-Message Digest 5 (MD5), které brání směrovači nebo přepínači v synchronizaci s hostitelem útočníka, který se vydává za časový server.
[upravit] systém {
ntp { autentizační klíč 2 typ md5 hodnota “$ABC123”; # SECRET-DATA boot-server 10.1.4.1; server 10.1.4.2 klíč 2; důvěryhodný klíč 2;
} }

44
Synchronizujte a koordinujte distribuci času pomocí NTP
V TÉTO ČÁSTI Nakonfigurujte NTP | 44 Konfigurace spouštěcího serveru NTP | 45 Zadejte zdrojovou adresu pro server NTP | 46
Použití NTP k synchronizaci a koordinaci distribuce času ve velké síti zahrnuje tyto úkoly:
Nakonfigurujte NTP
· Chcete-li nakonfigurovat NTP na přepínači, zahrňte příkaz ntp na úrovni hierarchie [edit system]:
[upravit systém] ntp {
autentizační klíč číslo typ typ hodnota heslo; boot-server (adresa | název hostitele); přenos ; klient vysílání; multicast-klient ; peer adresu ; adresa serveru ; zdrojová-adresa ntp; důvěryhodný klíč [ klíčová čísla ]; }
Jak restartovat proces NTP Chcete-li restartovat proces NTP, použijte následující příkazy:

45
· Použijte uživatelský příkaz pro přihlášení do systému.
uživatel@hostitel# nastavit přihlášení do systému ověření uživatele laboratorním testem heslo ve formátu prostého textu Nové heslo: Zadejte znovu nové heslo:
· Přihlaste se s uživatelským jménem „lab-test“.
uživatel@hostitel# nastavit přihlášení do systému uživatel třída laboratorního testu superuživatel · View ID procesu pro NTP pomocí příkazu show system processs.
uživatel@hostitel# zobrazit systémové procesy | zápas ntp
· Ukončete a restartujte proces NTP pomocí příkazu systémového požadavku ukončit proces.
uživatel@hostitel# proces požadavku ukončen
Nakonfigurujte spouštěcí server NTP
Když přepínač spustíte, vydá požadavek ntpdate, který se dotazuje síťového serveru, aby zjistil místní datum a čas. Musíte nakonfigurovat server, který přepínač používá k určení času, kdy se přepínač spustí. V opačném případě se NTP nebude moci synchronizovat s časovým serverem, pokud se čas serveru zdá být velmi vzdálený od času místního přepínače. · Chcete-li nakonfigurovat spouštěcí server NTP, zahrňte příkaz zaváděcího serveru do hierarchie [edit system ntp]
úroveň:
[edit system ntp] boot-server (adresa | hostname);

46
POZNÁMKA: Možnost boot-server je od verze Junos OS Release 20.4R1 zastaralá.
· Junos OS verze 15.1 a novější pro konfiguraci spouštěcího serveru NTP zahrňte příkaz set ntp serveru na úrovni hierarchie [edit system ntp]:
[edit system ntp] nastavit server (adresa | hostname);
Zadejte adresu IP nebo název hostitele síťového serveru.
Zadejte zdrojovou adresu pro server NTP
U IP verze 4 (IPv4) můžete určit, že pokud je NTP server konfigurovaný na úrovni hierarchie [edit system ntp] kontaktován na jedné z adres rozhraní zpětné smyčky, odpověď vždy použije konkrétní zdrojovou adresu. To je užitečné pro řízení, kterou zdrojovou adresu NTP použije pro přístup k vaší síti, když buď odpovídá na požadavek klienta NTP z vaší sítě, nebo když sám odesílá požadavky NTP do vaší sítě. Chcete-li nakonfigurovat konkrétní zdrojovou adresu, kterou bude odpověď vždy používat, a zdrojovou adresu, kterou budou používat požadavky iniciované serverem NTP, zahrňte příkaz zdrojové adresy na úrovni hierarchie [edit system ntp]:
[upravit systém ntp] zdrojová-adresa zdrojová-adresa; source-address je platná IP adresa nakonfigurovaná na jednom z rozhraní routeru nebo přepínače. Při konfiguraci služby NTP ve VRF pro správu (mgmt_junos) musíte nakonfigurovat alespoň jednu IP adresu na fyzickém nebo logickém rozhraní v rámci výchozí instance směrování a zajistit, aby toto rozhraní fungovalo, aby služba NTP fungovala s mgmt_junos. VRF.

47
Počínaje verzí Junos OS Release 13.3 a Junos OS Evolved Release 20.2R1 můžete nakonfigurovat zdrojovou adresu pomocí příkazu routing-instance na úrovni hierarchie [edit system ntp source-address source-address]:
[edit system ntp source-address source-address] user@host# set routing-instance routing-instance-name
Napřample, je nakonfigurován následující příkaz:
[upravit systémovou ntp zdrojovou-adresu zdrojovou-adresu] uživatel@hostitel# nastavit systémovou ntp zdrojovou-adresu 12.12.12.12 routing-instance ntp-source-test
Výsledkem je, že při odesílání zprávy NTP přes libovolné rozhraní v instanci směrování ntp-source-test je použita zdrojová adresa 12.12.12.12.
POZNÁMKA: Příkaz routovací instance je volitelný a pokud není nakonfigurován, použije se primární adresa rozhraní.
POZNÁMKA: Pokud je na rozhraní zpětné smyčky použit filtr brány firewall, zajistěte, aby zdrojová adresa zadaná pro server NTP na úrovni hierarchie [edit system ntp] byla explicitně zahrnuta jako jedno z kritérií shody ve filtru brány firewall. To umožňuje operačního systému Junos přijímat provoz na rozhraní zpětné smyčky ze zadané zdrojové adresy. Následující exampsoubor zobrazuje filtr brány firewall se zdrojovou adresou 10.0.10.100 uvedenou v příkazu from zahrnutém v hierarchii [upravit filtr firewallu název-filtru firewallu]:
[upravit filtr firewallu Loopback-Interface-Firewall-Filter] term Allow-NTP {
from { source-address { 172.17.27.46/32; // IP adresa NTP serveru 10.0.10.100/32; // Zdrojová adresa zadaná pro server NTP } then accept;
} }

48
Pokud pro server NTP není nakonfigurována žádná zdrojová adresa, zahrňte primární adresu rozhraní zpětné smyčky do filtru brány firewall.
Konfigurace NTP
Network Time Protocol (NTP) poskytuje mechanismy pro synchronizaci času a koordinaci distribuce času ve velké, různorodé síti. Ladění a odstraňování problémů jsou mnohem jednodušší, když je časamps v protokolu fileVšechny směrovače nebo přepínače jsou synchronizovány, protože události, které pokrývají síť, lze korelovat se synchronními záznamy ve více protokolech. K synchronizaci systémových hodin směrovačů, přepínačů a dalších síťových zařízení doporučujeme používat protokol NTP (Network Time Protocol). Konfigurace NTP: 1. Nakonfigurujte Junos OS pro získání času při prvním spuštění.
Použijte příkaz boot-server s IP adresou vašeho NTP serveru. Pokud je nakonfigurován DNS, můžete místo IP adresy použít název domény.
[edit system ntp] user@host# set boot-server (name | ip-address)
Napřample, nastavte IP adresu pro váš NTP server na 172.16.1.1.
[edit system ntp] user@host# set boot-server 172.16.1.1
Napřample, nastavte název domény. V tomto example, název domény poskytuje pool.ntp.org.
[edit system ntp] user@host# set boot-server 0.north-america.pool.ntp.org 2. (Volitelné) Nakonfigurujte jeden nebo více referenčních NTP serverů, aby bylo zařízení synchronizováno s pravidelnými aktualizacemi.

49
Je dobré to udělat, protože zařízení Junos OS může zůstat zapnuté po dlouhou dobu, a proto se hodiny mohou posunout.
[upravit systémové ntp] uživatel@hostitel# nastavit server (název | ip-adresa)
Napřample, nastavte IP adresu pro váš NTP server na 172.16.1.1.
[upravit systémové ntp] uživatel@hostitel# nastavit server 172.16.1.1
Napřample, nastavte název domény poskytovaný pool.ntp.org.
[upravit systémové ntp] uživatel@hostitel# nastavit server 0.north-america.pool.ntp.org 3. (Volitelné) Nastavte místní časové pásmo tak, aby odpovídalo umístění zařízení. Výchozí nastavení je Universal Coordinated Time (UTC). Mnoho správců dává přednost tomu, aby všechna svá zařízení byla nakonfigurována tak, aby používala časové pásmo UTC. Tento přístup má výhodu v tom, že umožňuje snadné srovnání času stamps protokolů a dalších událostí v síti zařízení v mnoha různých časových pásmech. Na druhou stranu nastavení časového pásma umožňuje Junos OS prezentovat čas ve správném místním formátu.
[edit system ntp] user@host# set time-zone time-zone
Napřampten:
[edit system ntp] user@host# set time-zone America/Los_Angeles 4. Ověřte konfiguraci.

Zkontrolujte dobu provozuschopnosti systému. Tento příkaz poskytuje aktuální čas, kdy bylo zařízení naposledy spuštěno, kdy byly spuštěny protokoly a kdy bylo zařízení naposledy nakonfigurováno.

uživatel@hostitel> zobrazit dobu provozu systému Aktuální čas: 2013-07-25 16:33:38 PDT Spuštění systému: 2013-07-11 17:14:25 PDT (1w6d 23:19 ago) Protokoly spuštěny: 2013-07-11 17:16:35 PDT (1w6d 23:17 ago) Naposledy konfigurováno: 2013-07-23 12:32:42 PDT (2d 04:00 ago) uživatelem 4:33 až 13 dní, 23:19, 1 uživatel, průměry zatížení: 0.00, 0.01, 0.00
Zkontrolujte stav serveru NTP a přidružení zdrojů časování používaných vaším zařízením.

uživatel@hostitel> zobrazit přidružení ntp

vzdálený

předělat

st t když poll reach delay offset jitter

================================================================================

tux.brhelwig.co .INIT.

16 – – 512 0 0.000 0.000 4000.00

uživatel@hostitel > zobrazit stav ntp status=c011 sync_alarm, sync_unspec, 1 událost, event_restart, version=”ntpd 4.2.0-a Čt 30. května 19:14:15 UTC 2013 (1)”, procesor=”i386″, systém =”JUNOS13.2-20130530_ib_13_3_psd.1″, skok=11, stratum=16, přesnost=-18, kořenové zpoždění=0.000, kořenová disperze=5.130, peer=0, refid=INIT, 00000000.00000000 6 2036: 22:28, anketa=16.000, hodiny=d4d59f4e.2bce1793 pá, 9. července 26 2013:12:40, stav=30.092, offset=1, frekvence=0.000, jitter=62.303, stabilita=0.004
Chcete-li nakonfigurovat NTP na směrovači nebo přepínači, zahrňte příkaz ntp na úrovni hierarchie [edit system]:
[upravit systém] ntp {
autentizační klíč číslo typ typ hodnota heslo; boot-server (adresa | název hostitele); přenos ; klient vysílání; multicast-klient ;

51
peer adresu ; adresa serveru ; zdrojová adresa ; důvěryhodný klíč [ klíčová čísla ]; }
Example: Konfigurace NTP
V TÉTO ČÁSTI Požadavky | 51 Konecview | 52 Konfigurace | 52 Ověření | 54
Network Time Protocol (NTP) poskytuje mechanismus pro synchronizaci času a koordinaci distribuce času ve velké, různorodé síti. NTP používá návrh vratného času, ve kterém distribuovaná podsíť časových serverů pracujících v samoorganizující se hierarchické konfiguraci primárně-sekundární synchronizuje místní hodiny v rámci podsítě a podle národních časových standardů pomocí drátu nebo rádia. Servery také mohou redistribuovat referenční čas pomocí lokálních směrovacích algoritmů a časových démonů. Tento example ukazuje, jak nakonfigurovat NTP:
Požadavky
Tento example používá následující softwarové a hardwarové komponenty: · Junos OS Release 11.1 nebo novější · Přepínač připojený k síti, na které se nachází spouštěcí server NTP a server NTP

52
Nadview
Ladění a odstraňování problémů jsou mnohem jednodušší, když je časamps v protokolu fileVšechny přepínače jsou synchronizovány, protože události, které pokrývají síť, lze korelovat se synchronními záznamy ve více protokolech. K synchronizaci systémových hodin vašeho přepínače a dalších síťových zařízení doporučujeme používat protokol NTP (Network Time Protocol). V tomto example, chce administrátor synchronizovat čas v přepínači na jeden zdroj času. Doporučujeme použít ověřování, abyste se ujistili, že NTP peer je důvěryhodný. Příkaz boot-server identifikuje server, ze kterého se získá počáteční čas a datum při spuštění přepínače. Příkaz serveru identifikuje server NTP používaný pro pravidelnou synchronizaci času. Příkaz autentizačního klíče uvádí, že schéma HMAC-Message Digest 5 (MD5) se používá k hašování hodnoty klíče pro ověřování, což zabraňuje synchronizaci přepínače s hostitelem útočníka, který se vydává za časový server.
Konfigurace
V TÉTO ČÁSTI Postup | 52
Konfigurace NTP:
Postup
Rychlá konfigurace CLI Chcete-li rychle nakonfigurovat NTP, zkopírujte následující příkazy a vložte je do okna terminálu přepínače:
[upravit systém] nastavit ntp boot-server 10.1.4.1 nastavit ntp server 10.1.4.2 nastavit ntp authentication-key 2 typ md5 value “$ABC123”

53
Postup krok za krokem
Konfigurace NTP: 1. Určete spouštěcí server:
[edit system] user@switch# set ntp boot-server 10.1.4.1
2. Zadejte server NTP:
[upravit systém] uživatel@switch# nastavit ntp server 10.1.4.2
3. Zadejte číslo klíče, typ ověření (MD5) a klíč pro ověření:
[upravit systém] user@switch# set ntp authentication-key 2 type md5 value “$ABC123”
Výsledky
Zkontrolujte výsledky:
[upravit systém] user@switch# show ntp {
boot-server 10.1.4.1; autentizační klíč 2 typ hodnoty md5 “$ABC123″; ## SECRET-DATA server 10.1.4.2; }

54
Ověření
V TÉTO ČÁSTI Kontrola času | 54 Zobrazení NTP Peers | 55 Zobrazení stavu NTP | 55
Chcete-li ověřit správnost konfigurace, proveďte tyto úkoly:
Kontrola času
Účel Zkontrolujte čas, který byl nastaven na spínači.
Akce Zadejte příkaz provozního režimu show system uptime pro zobrazení času.
user@switch> zobrazit dobu provozu systému fpc0: ————————————————————————-Aktuální čas: 2009-06-12 12:49:03 PDT Systém nabootován : 2009-05-15 06:24:43 PDT (4w0d 06:24 ago) Protokoly spuštěny: 2009-05-15 06:27:08 PDT (4w0d 06:21 ago) Poslední konfigurace: 2009-05-27 14: 57:03 PDT (2w1d 21:52 ago) od admin1 12:49 až o 28 dní, 6:24, 1 uživatel, průměry zatížení: 0.05, 0.06, 0.01
Význam Výstup ukazuje, že aktuální datum a čas jsou 12. června 2009 a 12:49:03 PDT. Přepínač se spustil před 4 týdny, 6 hodinami a 24 minutami a jeho protokoly byly spuštěny přibližně 3 minuty před spuštěním. Přepínač byl naposledy nakonfigurován uživatelem admin1 dne 27. května 2009 a aktuálně je k přepínači přihlášen jeden uživatel.

Výstup také ukazuje, že průměr zatížení je 0.05 sekundy za poslední minutu, 0.06 sekundy za posledních 5 minut a 0.01 sekundy za posledních 15 minut.
Zobrazení vrstevníků NTP
Účel Ověřte, zda byl čas získán ze serveru NTP.
Akce Zadejte příkaz show ntp Associations Operating mode pro zobrazení NTP serveru z přepínače získaného jeho čas.

user@switch> zobrazit asociace ntp

vzdálený

předělat

st t když poll reach delay offset jitter

================================================================================

*ntp.net .GPS.

1 u 414 1024 377 3.435 4.002 0.765

Význam
Hvězdička (*) před názvem serveru NTP nebo peer označuje, že čas je synchronizován a získán z tohoto serveru. Zpoždění, offset a jitter se zobrazují v milisekundách.
Zobrazení stavu NTP
Účel
View konfiguraci NTP serveru a stav systému.
Akce
Zadejte příkaz show ntp status Operating mode view stav NTP.
user@switch> show ntp status status=0644 leap_none, sync_ntp, 4 events, event_peer/strat_chg, version=”ntpd 4.2.0-a Po duben 13 19:09:05 UTC 2009 (1)”, procesor=”powerpc” , system=”JUNOS9.5R1.8″, skok=00, stratum=2, přesnost=-18, kořenové zpoždění=2.805, kořenová disperze=42.018, peer=48172,

56
stav=192.168.28.5, reftime=cddd397a.60e6d7bf Pá, 12. června 2009 13:30:50.378, anketa=10, hodiny=cddd3b1b.ec5a2bb4 Pá, 12. 2009. 13 37:47.923 = 4 3.706, frekvence=-23.018, jitter=1.818, stabilita=0.303
Význam
Výstup zobrazuje stavové informace o přepínači a NTP.
NTP autentizační klíče
Synchronizaci času lze ověřit, aby bylo zajištěno, že přepínač získá své časové služby pouze ze známých zdrojů. Ve výchozím nastavení není synchronizace času v síti ověřena. Přepínač se synchronizuje s jakýmkoli systémem, který má nejpřesnější čas. Důrazně vám doporučujeme nakonfigurovat ověřování časových služeb sítě. Chcete-li ověřit jiné časové servery, zahrňte příkaz důvěryhodného klíče na úrovni hierarchie [edit system ntp]. Důvěryhodné klíče odkazují na nakonfigurovaný klíč, který je důvěryhodný a používá NTP pro bezpečnou synchronizaci hodin. Jakýkoli nakonfigurovaný klíč, na který se v důvěryhodném klíči neodkazuje, není kvalifikovaný a je NTP odmítnut. Pouze časové servery, které přenášejí síťové časové pakety obsahující jedno ze zadaných čísel klíče, mohou být synchronizovány. Kromě toho musí klíč odpovídat hodnotě nakonfigurované pro toto číslo klíče. Jiné systémy se mohou synchronizovat s místním přepínačem, aniž by byly autentizovány.
[edit system ntp] trusted-key[ key-numbers ];
Každý klíč může být libovolné 32bitové celé číslo bez znaménka kromě 0. Zahrňte volbu klíče do příkazů peer, server nebo broadcast pro přenos zadaného ověřovacího klíče při přenosu paketů. Klíč je nezbytný, pokud má vzdálený systém povoleno ověřování, aby se mohl synchronizovat s místním systémem. Chcete-li definovat ověřovací klíče, zahrňte příkaz autentizačního klíče na úrovni hierarchie [edit system ntp]:
[upravit systém ntp] autentizační klíč klíč-číslo typ typ hodnota heslo;

57
number je číslo klíče, typ je typ ověření (podporovány jsou pouze Message Digest 5 [MD5] , SHA1 a SHA2-256) a heslo je heslo pro tento klíč. Číslo klíče, typ a heslo se musí shodovat ve všech systémech, které používají tento konkrétní klíč k ověření. V hesle pro konfiguraci ověřovacího klíče NTP (Network Time Protocol) nesmí být žádné místo.
Nakonfigurujte zařízení pro poslech vysílaných zpráv pomocí NTP
Když používáte NTP, můžete nakonfigurovat místní směrovač nebo přepnout tak, aby naslouchal zprávám všesměrového vysílání v místní síti a zjišťoval tak další servery ve stejné podsíti, a to zahrnutím příkazu broadcast-client na úrovni hierarchie [edit system ntp]:
[editovat systém ntp] broadcast-client;
Když router nebo přepínač poprvé detekuje vysílanou zprávu, změří nominální zpoždění sítě pomocí krátké výměny klient-server se vzdáleným serverem. Poté vstoupí do režimu klienta vysílání, ve kterém naslouchá a synchronizuje následující zprávy vysílání. Aby se předešlo náhodnému nebo úmyslnému narušení v tomto režimu, musí místní i vzdálený systém používat ověřování a stejný důvěryhodný klíč a identifikátor klíče.
Nakonfigurujte zařízení pro poslech zpráv vícesměrového vysílání pomocí NTP
Když používáte NTP, můžete nakonfigurovat místní směrovač nebo přepnout tak, aby naslouchal zprávám vícesměrového vysílání v místní síti a zjišťoval tak další servery ve stejné podsíti, a to zahrnutím příkazu klienta vícesměrového vysílání na úrovni hierarchie [edit system ntp]:
[upravit systém ntp] multicast-klient ;

58
Když router nebo přepínač poprvé přijme multicastovou zprávu, změří nominální zpoždění sítě pomocí krátké výměny klient-server se vzdáleným serverem. Poté vstoupí do klientského režimu vícesměrového vysílání, ve kterém naslouchá a synchronizuje následující zprávy vícesměrového vysílání.
Můžete zadat jednu nebo více IP adres. (Musíte zadat adresu, nikoli název hostitele.) Pokud tak učiníte, směrovač nebo přepínač se k těmto skupinám vícesměrového vysílání připojí. Pokud nezadáte žádné adresy, software použije 224.0.1.1.
Aby se předešlo náhodnému nebo úmyslnému narušení v tomto režimu, musí místní i vzdálený systém používat ověřování a stejný důvěryhodný klíč a identifikátor klíče.

5 KAPITOLA
Konfigurace připojení SSH a konzole
Porozumění metodám ověřování FIPS | 60 Konfigurace systémové přihlašovací zprávy a oznámení | 61 Omezení počtu pokusů o přihlášení uživatele pro relace SSH | 62 Konfigurace SSH na vyhodnocené konfiguraci | 63

60
Porozumění metodám ověřování FIPS
V TÉTO ČÁSTI Ověření uživatelského jména a hesla přes konzolu a SSH | 60 Ověření uživatelského jména a veřejného klíče přes SSH | 61
Operační systém Juniper Networks Junos (Junos OS) běžící v provozním režimu FIPS umožňuje uživatelům širokou škálu možností a ověřování je založeno na rolích. V provozním režimu FIPS jsou podporovány následující typy ověřování na základě rolí: · „Ověření uživatelského jména a hesla přes konzolu a SSH“ na stránce 60 · „Ověření uživatelského jména a veřejného klíče přes SSH“ na stránce 61
Ověření uživatelského jména a hesla přes konzolu a SSH
Při této metodě ověřování je uživatel požádán o zadání uživatelského jména a hesla. Zařízení nutí uživatele zadat heslo o délce minimálně 10 znaků, které je vybráno z 96 lidmi čitelných znaků ASCII.
POZNÁMKA: Maximální délka hesla je 20 znaků.
Při této metodě zařízení vynucuje mechanismus časovaného přístupu – napřample, první dva neúspěšné pokusy o zadání správného hesla (za předpokladu 0 doby zpracování), není vynucován žádný časovaný přístup. Když uživatel zadá heslo potřetí, modul si vynutí 5 sekundové zpoždění. Každý následující neúspěšný pokus má za následek další 5 sekundové zpoždění oproti předchozímu neúspěšnému pokusu. Napřample, pokud je čtvrtý neúspěšný pokus 10 sekund zpoždění, pak pátý neúspěšný pokus je 15 sekund zpoždění, šestý neúspěšný pokus je 20 sekund zpoždění a sedmý neúspěšný pokus je 25 sekund zpoždění. Proto to vede k maximálně sedmi možným pokusům během 1 minuty pro každý aktivní terminál getty. Nejlepším přístupem pro útočníka by tedy bylo odpojit se po 4 neúspěšných pokusech a počkat, až se vytvoří nový getty. To by útočníkovi umožnilo provést zhruba 9.6 pokusů za minutu (576 pokusů za hodinu nebo 60 minut). To by bylo zaokrouhleno na 9 pokusů za minutu, protože neexistuje nic takového jako 0.6 pokusu. Pravděpodobnost úspěšného náhodného pokusu tedy je

61
1/9610, což je méně než 1/1 milionu. Pravděpodobnost úspěchu s více po sobě jdoucími pokusy během 1 minuty je 9/(9610), což je méně než 1/100,000 XNUMX.
Ověření uživatelského jména a veřejného klíče přes SSH
Při ověřování pomocí veřejného klíče SSH zadáte uživatelské jméno a ověříte vlastnictví soukromého klíče odpovídajícího veřejnému klíči uloženému na serveru. Zařízení podporuje typy klíčů ECDSA (P-256, P-384 a P-521) a RSA (2048, 3072 a modulová bitová délka 4092). Pravděpodobnost úspěchu s více po sobě jdoucími pokusy v 1 minutě je 5.6e7/(2128).
POZNÁMKA: Metoda ověřování ssh-rsa je jedním z povolených algoritmů v režimu FIPS.
Konfigurace systémové přihlašovací zprávy a oznámení
Před přihlášením uživatele se zobrazí zpráva o přihlášení do systému a po přihlášení uživatele se zobrazí oznámení o přihlášení do systému. Ve výchozím nastavení se na zařízení nezobrazuje žádná přihlašovací zpráva ani oznámení. Administrátor musí nakonfigurovat přihlašovací zprávu a oznámení pro splnění požadavků Common Criteria. Chcete-li nakonfigurovat zprávu o přihlášení do systému, použijte následující příkaz:
[edit] user@host# set system login message login-message-banner-text Ke konfiguraci oznámení systému použijte následující příkaz:
[editovat] uživatel@hostitel# nastavit oznámení o přihlášení do systému text-oznámení systému
POZNÁMKA:

62
· Pokud text zprávy obsahuje mezery, uzavřete jej do uvozovek. · Zprávu můžete formátovat pomocí následujících speciálních znaků:
· n–Nový řádek · t–Záložka Horizontální · '–Jedné uvozovky · “–Dvojité uvozovky · \–Zpětné lomítko
Omezení počtu pokusů o přihlášení uživatele pro relace SSH
Vzdálený správce se může přihlásit k zařízení prostřednictvím SSH. Pověření správce jsou uložena lokálně v zařízení. Pokud vzdálený správce předloží platné uživatelské jméno a heslo, je udělen přístup k TOE. Pokud jsou přihlašovací údaje neplatné, TOE umožňuje opakování ověření po intervalu, který začíná po 1 sekundě a exponenciálně se zvyšuje. Pokud počet pokusů o ověření překročí nakonfigurované maximum, nebudou po nakonfigurovaný časový interval přijaty žádné pokusy o ověření. Po uplynutí intervalu jsou pokusy o ověření znovu akceptovány. Zařízení můžete nakonfigurovat tak, aby omezilo počet pokusů o zadání hesla při přihlašování přes SSH. Pomocí následujícího příkazu lze připojení ukončit, pokud se uživateli po zadaném počtu pokusů nepodaří přihlásit:
[upravit přihlášení do systému] uživatel@hostitel# nastavit možnosti opakování pokusů před odpojením Try-before-disconnect zde udává, kolikrát se uživatel může pokusit zadat heslo při přihlašování. Připojení se ukončí, pokud se uživateli nepodaří přihlásit po zadaném počtu. Rozsah je od 1 do 10 a výchozí hodnota je 10.

63
Můžete také nakonfigurovat prodlevu v sekundách, než se uživatel po neúspěšném pokusu pokusí zadat heslo.
[upravit přihlášení do systému] uživatel@hostitel# nastavit možnosti opakování backoff-threshold Backoff-threshold je zde práh počtu neúspěšných pokusů o přihlášení, než uživatel zaznamená zpoždění při opětovném zadání hesla. Pomocí možnosti backoff-factor zadejte délku zpoždění v sekundách. Rozsah je od 1 do 3 a výchozí hodnota je 2 sekundy. Kromě toho lze zařízení nakonfigurovat tak, aby specifikovalo prahovou hodnotu pro počet neúspěšných pokusů, než uživatel zaznamená zpoždění při opětovném zadání hesla.
[upravit přihlášení do systému] uživatel@hostitel# nastavit opakovací-možnosti backoff-factor Backoff-factor je zde doba v sekundách, než se uživatel může pokusit přihlásit po neúspěšném pokusu. Zpoždění se zvyšuje o hodnotu zadanou pro každý následující pokus po prahu. Rozsah je od 5 do 10 a výchozí hodnota je 5 sekund.
Konfigurace SSH na vyhodnocené konfiguraci
SSH je povolené rozhraní pro vzdálenou správu v hodnocené konfiguraci. Toto téma popisuje, jak nakonfigurovat SSH na zařízení. 1. Než začnete, přihlaste se pomocí svého účtu root na zařízení se systémem Junos OS Release 22.2R1 a
upravit konfiguraci.
POZNÁMKA: Zobrazené příkazy konfigurují SSH pro použití všech povolených kryptografických algoritmů.
POZNÁMKA: Příkazy konfigurace můžete zadat v libovolném pořadí a všechny příkazy potvrdit najednou.
Konfigurace SSH na TOE:

64
1. Zadejte přípustné algoritmy klíče hostitele SSH.
[upravit systémové služby ssh] uživatel@hostitel# nastavit algoritmus hostitelského klíče ssh-ecdsa uživatel@hostitel# nastavit algoritmus hostitelského klíče ssh-rsa 2. Zadejte algoritmy výměny klíčů SSH.
[upravit systémové služby ssh] uživatel@hostitel#set výměna klíčů [ ecdh-sha2-nistp256 ecdh-sha2-nistp384 ecdh-sha2-nistp521 Diffiehellman-group14-sha1 ] 3. Zadejte všechny přípustné algoritmy autentizačního kódu zprávy.
[upravit systémové služby ssh] uživatel@hostitel#set macs [ hmac-sha1 hmac-sha2-256 hmac-sha2-512 ] 4. Zadejte šifry povolené pro protokol verze 2.
[edit system services ssh] user@host#set ciphers [ aes128-cbc aes256-cbc aes128-ctr aes256-ctr ] SOUVISEJÍCÍ DOKUMENTACE Vysvětlení metod autentizace FIPS | 60 Omezení počtu pokusů o přihlášení uživatele pro relace SSH | 62

6 KAPITOLA
Konfigurace vzdáleného serveru Syslog
Sample Konfigurace serveru Syslog v systému Linux | 66 Předávání protokolů na externí server Syslog | 73

66
Sample Konfigurace serveru Syslog v systému Linux
V TÉTO ČÁSTI Konfigurace protokolování událostí na místní File | 66 Konfigurace protokolování událostí na vzdálený server | 67 Konfigurace protokolování událostí na vzdálený server při inicializaci připojení ze vzdáleného serveru | 67
Bezpečné prostředí Junos OS vyžaduje auditování událostí a jejich ukládání do místního auditu file. Zaznamenané události jsou současně odesílány na externí server syslog. Server syslog přijímá zprávy syslog streamované ze zařízení. Server syslog musí mít nakonfigurovaného klienta SSH s podporou NETCONF, aby mohl přijímat streamované zprávy syslog. Protokoly NDcPP zachycují události, několik z nich je uvedeno níže: · Provedené změny · Přihlášení a odhlášení uživatelů · Selhání při navázání relace SSH · Zřízení nebo ukončení relace SSH · Změny systémového času
Konfigurace protokolování událostí na místní File
Můžete nakonfigurovat ukládání zpráv na místní file a úroveň podrobností, které mají být zaznamenány pomocí příkazu syslog. Tento example ukládá protokoly a file pojmenovaný syslog:
[upravit systém] syslog {
file syslog; }

67
Konfigurace protokolování událostí na vzdálený server
Nakonfigurujte export informací o auditu na zabezpečený vzdálený server nastavením monitoru trasování událostí, který odesílá zprávy protokolu událostí pomocí NETCONF přes SSH na server protokolování událostí vzdáleného systému. Následující postupy ukazují konfiguraci potřebnou k odesílání zpráv systémového protokolu na zabezpečený externí server pomocí NETCONF přes SSH.
Konfigurace protokolování událostí na vzdálený server při inicializaci připojení ze vzdáleného serveru
Následující postup popisuje kroky pro konfiguraci protokolování událostí na vzdálený server, když je ze vzdáleného serveru systémového protokolu iniciováno připojení SSH k TOE. 1. Vygenerujte veřejný klíč RSA na vzdáleném serveru syslog.
$ ssh-keygen -b 2048 -t rsa -C 'pár klíčů syslog-monitor' -f ~/.ssh/syslog-monitor Budete vyzváni k zadání požadované přístupové fráze. Zobrazí se umístění úložiště pro pár klíčů syslog-monitor. 2. V TOE vytvořte třídu s názvem monitor, která má oprávnění ke sledování událostí.
[upravit] uživatel@hostitel# nastavit přihlášení k systému sledování oprávnění monitoru třídy 3. Vytvořte uživatele s názvem syslog-mon s monitorem třídy as autentizací, která používá pár klíčů syslogmonitor z páru klíčů file umístěný na vzdáleném serveru syslog.
[upravit] uživatel@hostitel# nastavit přihlášení do systému uživatel syslog-mon třída monitor ověřování ssh-rsa veřejný klíč z páru klíčů syslog-monitor 4. Nastavte NETCONF s SSH.
[editovat] uživatel@hostitel# nastavit systémové služby netconf ssh

68
5. Nakonfigurujte syslog tak, aby protokoloval všechny zprávy do /var/log/messages.
[upravit] uživatel@hostitel# nastavit systémový syslog file zprávy jakýkoli jakýkoli uživatel@hostitel# potvrzení
6. Na vzdáleném serveru systémových protokolů spusťte agenta SSH. Spuštění je vyžadováno pro zjednodušení manipulace s klíčem syslog-monitor.
$ eval `ssh-agent` 7. Na vzdáleném serveru syslog přidejte pár klíčů syslog-monitor do agenta SSH.
$ ssh-add ~/.ssh/syslog-monitor
Budete vyzváni k zadání požadované přístupové fráze. Zadejte stejnou přístupovou frázi jako v kroku 1. 8. Po přihlášení k relaci external_syslog_server vytvořte tunel k zařízení a spusťte
NETCONF.
uživatel@hostitel# ssh syslog-mon@NDcPP_TOE -s netconf > test.out
9. Po vytvoření NETCONF nakonfigurujte tok zpráv o událostech systémového protokolu. Toto RPC způsobí, že služba NETCONF začne přenášet zprávy přes navázané připojení SSH.
zprávy
10. Exampsoubory pro zprávy syslog jsou uvedeny níže. Monitorujte protokol událostí generovaný pro akce správce na TOE, jak byl přijat na serveru syslog. Prozkoumejte provoz, který prochází mezi auditním serverem a TOE, a pozorujte, že tato data nejsou viewed během tohoto přenosu a že jsou úspěšně přijaty auditním serverem. Porovnejte protokoly mezi místní událostí a vzdálenou událostí zaznamenanou na serveru syslog a zaznamenejte konkrétní software (jako je název, verze atd.) použitý na auditním serveru během testování.
Následující výstup zobrazuje výsledky protokolu testu pro server syslog.
host@ssh-keygen -b 2048 -t rsa -C 'pár klíčů syslog-monitor' -f ~/.ssh/syslog-monitor Generování páru klíčů veřejného/soukromého rsa. Zadejte přístupovou frázi (prázdná, pokud není přístupová fráze): Zadejte znovu stejnou přístupovou frázi:

Vaše identifikace byla uložena v /home/host/.ssh/syslog-monitor.

Váš veřejný klíč byl uložen do /home/host/.ssh/syslog-monitor.pub.

Klíčový otisk prstu je:

ef:75:d7:68:c5:ad:8d:6f:5e:7a:7e:9b:3d:f1:4d:3f syslog-monitor key pair

Náhodný obrázek klíče je:

+–[ RSA 2048]—-+

...|

. Bo|

. . *.X|

. . o E@|

. .BX|

+——————+

[host@linux]$ cat /home/host/.ssh/syslog-monitor.pub

ssh-rsa

AAAAB3NzaC1yc2EAAAADAQABAAABAQCrUREJUBpjwAoIgRrGy9zgt+

D2pikk3Q/Wdf8I5vr+njeqJhCx2bUAkrRbYXNILQQAZbg7kLfi/8TqqL

eon4HOP2e6oCSorKdx/GrOTzLONL4fh0EyuSAk8bs5JuwWNBUokV025

gzpGFsBusGnlj6wqqJ/sjFsMmfxyCkbY+pUWb8m1/A9YjOFT+6esw+9S

tF6Gbg+VpbYYk/Oday4z+z7tQHRFSrxj2G92aoliVDBLJparEMBc8w

LdSUDxmgBTM2oadOmm+kreBUQjrmr6775RJn9H9YwIxKOxGm4SFnX/Vl4

R+lZ9RqmKH2wodIEM34K0wXEHzAzNZ01oLmaAVqT

pár klíčů syslog-monitor

[host@linux]$ eval `ssh-agent `

Agent pid 1453

[host@linux]$ ssh-add ~/.ssh/syslog-monitor

Zadejte přístupovou frázi pro /home/host/.ssh/syslog-monitor:

Přidána identita: /home/host/.ssh/syslog-monitor (/home/host/.ssh/syslog-monitor)

Kanál síťové konfigurace

host@linux]$ ssh syslog-mon@starfire -s netconf>test.out host@linux]$ cat test.out toto je testovací zařízení NDcPP

urn:ietf:params:xml:ns:netconf:base:1.0

70
urn:ietf:params:xml:ns:netconf:capability:candidate:1.0 urn:ietf:params:xml:ns:netconf:capability:confirmed-commit:1.0 urn:ietf:params:xml:ns:netconf:capability:validate:1.0 urn:ietf:params:xml:ns:netconf:capability:url:1.0?protokol=http,ftp,filehttp://xml.juniper.net/netconf/junos/1.0 http://xml.juniper.net/dmi/system/1.0 ]]>]]>
Následující výstup zobrazuje protokoly událostí generované na TOE, které jsou přijímány na serveru syslog.
20. ledna 17:04:51 starfire sshd[4182]: chyba: Nelze načíst klíč hostitele: /etc/ssh/ssh_host_dsa_key 20. ledna 17:04:51 starfire sshd[4182]: chyba: Nelze načíst klíč hostitele: /etc /ssh/ssh_host_ecdsa_key 20. ledna 17:04:53 starfire sshd[4182]: Přijímané heslo pro sec-admin z 10.209.11.24 port 55571 ssh2 20. ledna 17:04:53 starfire A'sTH_ENT_AU4186 user admin' na úrovni oprávnění 'j-administrator' Jan 20 17:04:53 starfire mgd[4186]: UI_LOGIN_EVENT: Přihlášení uživatele 'sec-admin', třída 'jadministrator' [4186], ssh-connection '10.209.11.24 55571 .10.209.14.92 22', klientský režim 'cli'
Kanál síťové konfigurace
host@linux]$ ssh syslog-mon@starfire -s netconf toto je testovací zařízení NDcPP

urn:ietf:params:xml:ns:netconf:base:1.0 urn:ietf:params:xml:ns:netconf:capability:candidate:1.0 urn:ietf:params:xml:ns:netconf:capability:confirmed-commit:1.0 urn:ietf:params:xml:ns:netconf:capability:validate:1.0 urn:ietf:params:xml:ns:netconf:capability:url:1.0?protokol=http,ftp,file</
schopnost> http://xml.juniper.net/netconf/junos/1.0 http://xml.juniper.net/dmi/system/1.0

71
]]>]]>
Následující výstup ukazuje, že přijaté místní syslogs a vzdálené syslogs jsou podobné.
Místní: an 20 17:09:30 starfire mgd[4186]: UI_COMMIT_PROGRESS: Probíhá operace potvrzení: Proces správy redundantního rozhraní kontroluje novou konfiguraci 20. ledna 17:09:30 starfire mgd[4186]: UI_CHILD_START: Starting child '/usr sbin/rdd' 20. ledna 17:09:30 starfire mgd[4186]: UI_CHILD_STATUS: Vyčišťovací podřízený '/usr/sbin/rdd', PID 4317, stav 0 20. ledna 17:09:30 starfire mgd[4186]_PROGRESSMIT: UI_COM Probíhá operace potvrzení: Služba dynamického zachycování toku kontroluje novou konfiguraci 20. ledna 17:09:30 starfire mgd[4186]: UI_CHILD_START: Spouštění potomka '/usr/sbin/dfcd' 20. ledna 17:09:30 starfire mgd[4186]: UI_CHILD_STATUS: Podřízený prvek vyčištění '/usr/sbin/dfcd', PID 4318, stav 0 20. ledna 17:09:30 starfire mgd[4186]: UI_COMMIT_PROGRESS: Probíhá operace potvrzení: Kontrola procesu správy chyb připojení nové konfigurace: 20. ledna 17 :09 starfire mgd[30]: UI_CHILD_START: Počáteční podřízený prvek '/usr/sbin/cfmd' 4186. ledna 20:17:09 starfire mgd[30]: UI_CHILD_STATUS: Podřízený prvek vyčištění '/usr/sbin/cfmd', PID 4186 4319. ledna 0:20:17 starfire mgd[09]: UI_COMMIT_PROGRESS: Probíhá operace potvrzení: Zahlcení adresy 30. vrstvy a proces učení kontrola nové konfigurace 4186. ledna 2:20:17 starfire mgd[09]: UI_CHILD'/: Starting child usr/sbin/l30ald' 4186. ledna 2:20:17 starfire mgd[09]: UI_CHILD_STATUS: Vyčištění dítě '/usr/sbin/l30ald', PID 4186, stav 2 4320. ledna 0:20:17 starfire mgd:[09 UI_COMMIT_PROGRESS: Probíhá operace potvrzení: Proces kontrolního protokolu vrstvy 30 kontroluje novou konfiguraci 4186. ledna 2:20:17 starfire mgd[09]: UI_CHILD_START: Spouštění potomka '/usr/sbin/l30cpd' 4186. ledna 2:20:17 starfire 09]: Inicializace stavových strojů PNAC 30. ledna 2:4321:20 starfire l17cp[09]: Inicializace stavových strojů PNAC dokončena 30. ledna 2:4321:20 starfire l17cp[09]: Inicializovaný modul 30X2 a stavové stroje 4321Jan:802.1 20 starfire l17cp[09]: Read acess profile () config Jan 20 17:09:30 starfire mgd[4186]: UI_CHILD_STATUS: Cleanup child '/usr/sbin/l2cpd', PID 4321, status 0 Jan 20 17:09:30 starfire mgd[4186] Comt_COMt_UI_ probíhající operace: Proces multicast Snooping kontroluje novou konfiguraci 20. ledna 17:09:30 starfire mgd[4186]: UI_CHILD_START: Spouštění potomka '/usr/sbin/mcsnoopd' 20. ledna 17:09:30 starfire mgd[4186]_ STATUS:ICHILD Vyčištění potomka '/usr/sbin/mcsnoopd', PID 4325, stav 0 20. ledna 17:09:30 starfire mgd[4186]: UI_COMMIT_PROGRESS: Probíhá operace potvrzení: potvrzení uzavření…

72
20. ledna 17:09:30 starfire mgd[4186]: UI_COMMIT_PROGRESS: Probíhá operace potvrzení: aktivace '/var/etc/ntp.conf' 20. ledna 17:09:30 starfire mgd[4186]: Probíhá operace UI_COMMIT_PROGRESS: Commit : start ffp aktivovat 20. ledna 17:09:30 starfire mgd[4186]: UI_CHILD_START: Starting child '/usr/sbin/ffp' Jan 20 17:09:30 starfire ffp[4326]: “dynamic-profiles“: Žádná změna na profiles………………………………
Vzdálené : an 20 17:09:30 starfire mgd[4186]: UI_COMMIT_PROGRESS: Probíhá operace potvrzení: Proces správy redundantního rozhraní kontroluje novou konfiguraci 20. ledna 17:09:30 starfire mgd[4186]: UI_CHILD_START: Starting child '/usr sbin/rdd' 20. ledna 17:09:30 starfire mgd[4186]: UI_CHILD_STATUS: Vyčišťovací podřízený '/usr/sbin/rdd', PID 4317, stav 0 20. ledna 17:09:30 starfire mgd[4186]_PROGRESSMIT: UI_COM Probíhá operace potvrzení: Služba dynamického zachycování toku kontroluje novou konfiguraci 20. ledna 17:09:30 starfire mgd[4186]: UI_CHILD_START: Spouštění potomka '/usr/sbin/dfcd' 20. ledna 17:09:30 starfire mgd[4186]: UI_CHILD_STATUS: Podřízený prvek vyčištění '/usr/sbin/dfcd', PID 4318, stav 0 20. ledna 17:09:30 starfire mgd[4186]: UI_COMMIT_PROGRESS: Probíhá operace potvrzení: Kontrola procesu správy chyb připojení nové konfigurace: 20. ledna 17 :09 starfire mgd[30]: UI_CHILD_START: Počáteční podřízený prvek '/usr/sbin/cfmd' 4186. ledna 20:17:09 starfire mgd[30]: UI_CHILD_STATUS: Podřízený prvek vyčištění '/usr/sbin/cfmd', PID 4186 4319. ledna 0:20:17 starfire mgd[09]: UI_COMMIT_PROGRESS: Probíhá operace potvrzení: Zahlcení adresy 30. vrstvy a proces učení kontrola nové konfigurace 4186. ledna 2:20:17 starfire mgd[09]: UI_CHILD'/: Starting child usr/sbin/l30ald' 4186. ledna 2:20:17 starfire mgd[09]: UI_CHILD_STATUS: Vyčištění dítě '/usr/sbin/l30ald', PID 4186, stav 2 4320. ledna 0:20:17 starfire mgd:[09 UI_COMMIT_PROGRESS: Probíhá operace potvrzení: Proces kontrolního protokolu vrstvy 30 kontroluje novou konfiguraci 4186. ledna 2:20:17 starfire mgd[09]: UI_CHILD_START: Spouštění potomka '/usr/sbin/l30cpd' 4186. ledna 2:20:17 starfire 09]: Inicializace stavových strojů PNAC 30. ledna 2:4321:20 starfire l17cp[09]: Inicializace stavových strojů PNAC dokončena 30. ledna 2:4321:20 starfire l17cp[09]: Inicializovaný modul 30X2 a stavové stroje 4321Jan:802.1 20 starfire l17cp[09]: Read acess profile () config Jan 20 17:09:30 starfire mgd[4186]: UI_CHILD_STATUS: Cleanup child '/usr/sbin/l2cpd', PID 4321, status 0 Jan 20 17:09:30 starfire mgd[4186] Comt_COMt_UI_ probíhající operace: Proces multicast Snooping kontroluje novou konfiguraci 20. ledna 17:09:30 starfire mgd[4186]: UI_CHILD_START: Spouštění potomka '/usr/sbin/mcsnoopd' 20. ledna 17:09:30 starfire mgd[4186]_ STATUS:ICHILD Vyčištění potomka '/usr/sbin/mcsnoopd', PID

73
4325, stav 0 20. ledna 17:09:30 starfire mgd[4186]: UI_COMMIT_PROGRESS: Probíhá potvrzení operace: potvrzení uzavření… 20. ledna 17:09:30 starfire mgd[4186]: UI_COMMIT_PROGRESS: Probíhá aktivace operace var/etc/ntp.conf' 20. ledna 17:09:30 starfire mgd[4186]: UI_COMMIT_PROGRESS: Probíhající operace potvrzení: spustit ffp aktivovat 20. ledna 17:09:30 starfire mgd[4186]: UI_CHILD'/: Starting child usr/sbin/ffp' 20. ledna 17:09:30 starfire ffp[4326]: „dynamic-profiles“: Žádná změna na profiles …………………
Předávání protokolů na externí server Syslog
Když je zařízení se systémem Junos OS nastaveno pro externí server syslog, TOE předává kopie místních protokolů externímu serveru syslog a uchovává místní kopie všech protokolů, když je TOE nakonfigurován v režimu protokolu událostí. V režimu stream log jsou všechny protokoly kromě protokolů provozu uloženy lokálně a mohou být předány externímu serveru syslog, zatímco protokoly provozu mohou být předány pouze externímu serveru syslog. Spojení mezi zařízením se systémem Junos OS a serverem syslog je navázáno na základě události v závislosti na předkonfiguraci toho, jaký typ protokolů se přeposílá z místního na externí. Když je splněna nakonfigurovaná podmínka, zařízení odešle místní protokoly na externí server syslog.
SOUVISEJÍCÍ DOKUMENTACE Sample Konfigurace serveru Syslog v systému Linux | 66

7 KAPITOLA
Konfigurace možností protokolu auditu
Konfigurace možností protokolu auditu ve vyhodnocené konfiguraci | 75 Sample Kódové audity změn konfigurace | 76

75
Konfigurace možností protokolu auditu ve vyhodnocené konfiguraci
V TÉTO ČÁSTI Konfigurace možností protokolu auditu pro zařízení SRX1500, SRX4100, SRX4200 a SRX4600 | 75
Následující část popisuje, jak nakonfigurovat možnosti protokolu auditu ve vyhodnocené konfiguraci.
Konfigurace možností protokolu auditu pro zařízení SRX1500, SRX4100, SRX4200 a SRX4600
Chcete-li konfigurovat možnosti protokolu auditu pro zařízení SRX1500, SRX4100, SRX4200, SRX4600: 1. Zadejte počet files archivovat v systému protokolování.
[upravit systémový syslog] archiv root@host#set files 2 2. Určete file do kterého se zaznamenávají data.
[upravit systémový syslog] root@host#set file syslog libovolný libovolný 3. Zadejte velikost files k archivaci.
[upravit systémový syslog] root@host#set file Velikost archivu syslog 10000000

76
4. Zaznamenávejte systémové zprávy ve strukturovaném formátu.
[upravit systémový syslog] root@host#set file syslog strukturovaná-data 5. Nakonfigurujte události protokolu zabezpečení ve vyrovnávací paměti protokolu auditu.
[upravit] root@host#set mezipaměť protokolu zabezpečení 6. Určete, jak zpracovávat a exportovat protokoly zabezpečení.
[upravit] root@host#set událost režimu protokolu zabezpečení
SOUVISEJÍCÍ DOKUMENTACE Sample Kódové audity změn konfigurace | 76
Sample Audity kódu změn konfigurace
Tato sampkód souboru audituje všechny změny tajných dat konfigurace a odesílá protokoly do a file pojmenovaný syslog:
[upravit systém] syslog {
file syslog { informace o autorizaci; informace o protokolu změn; informace o interaktivních příkazech;
} }

77
Tato sample code rozšiřuje rozsah minimálního auditu o auditování všech změn konfigurace, nejen tajných dat, a odesílá protokoly do file pojmenovaný syslog:
[upravit systém] syslog {
file syslog { jakýkoli libovolný; informace o autorizaci; change-log jakýkoliv; informace o interaktivních příkazech; info o jádru; pfe info;
} }
Example: Systémové protokolování změn konfigurace
Tento example ukazuje jakoampkonfigurace souboru a provádí změny uživatelů a tajných dat. Poté zobrazí informace odeslané na auditní server, když jsou tajná data přidána do původní konfigurace a potvrzena pomocí příkazu load.
[upravit systém] umístění {
kód země USA; budova B1; } … login { message “NEOPRÁVNĚNÉ POUŽÍVÁNÍ TOHOTO ROUTERNT JE PŘÍSNĚ ZAKÁZÁNO!”;
uživatel admin { uid 2000; třída super-uživatel;
autentizace { encrypted-password “$ABC123”; # TAJNÁ-DATA
} } heslo {
formát md5; } } radius-server 192.0.2.15 {

tajné „$ABC123“ # SECRET-DATA } služby {
ssh; } syslog {
uživatel *{ jakákoli nouzová situace;
} file syslog {
jakékoli upozornění; informace o autorizaci; } file interaktivní-příkazy { interaktivní-příkazy libovolné; } } … …
Nová konfigurace změní příkazy konfigurace tajných dat a přidá nového uživatele.

uživatel@hostitel# zobrazit | porovnat

[upravit přihlášení uživatele do systému ověření správce]

zašifrované heslo „$ABC123“; # TAJNÁ-DATA

+ zašifrované heslo „$ABC123“; # TAJNÁ-DATA

[upravit přihlášení do systému]

+ uživatel admin2 {

uid 2001;

operátor třídy;

autentizace {

zašifrované heslo „$ABC123“;

# TAJNÁ-DATA

}

+ }

[upravit systémový rádius-server 192.0.2.15]

tajné „$ABC123“; # TAJNÁ-DATA

+ tajné „$ABC123“; # TAJNÁ-DATA

79
SOUVISEJÍCÍ DOKUMENTACE Konfigurace možností protokolu auditu ve vyhodnocené konfiguraci

Přihlášení události Overview

Vyhodnocená konfigurace vyžaduje auditování změn konfigurace prostřednictvím systémového protokolu. Kromě toho může Junos OS: · Posílat automatické odpovědi na události auditu (vytváření záznamů v syslogu). · Umožněte oprávněným manažerům prozkoumat protokoly auditu. · Odeslat audit files na externí servery. · Umožněte oprávněným manažerům vrátit systém do známého stavu. Protokolování vyhodnocené konfigurace musí zachycovat události. Události protokolování jsou uvedeny níže: Tabulka 4 na straně 81 ukazuje sampsoubor pro auditování syslog pro NDcPPv2: Tabulka 4: Auditovatelné události

Požadavek

Auditovatelné události

Další obsah auditního záznamu

FAU_GEN.1

Žádný

FAU_GEN.2

Žádný

FAU_STG_EXT.1

Žádný

FAU_STG.1

Žádný

FCS_CKM.1

Žádný

FCS_CKM.2

Žádný

FCS_CKM.4

Žádný

FCS_COP.1/DataEncryption

Žádný

Tabulka 4: Auditovatelné události (pokračování)

Požadavek

Auditovatelné události

Další obsah auditního záznamu

FCS_COP.1/SigGen

Žádný

FCS_COP.1/Hash

Žádný

FCS_COP.1/KeyedHash

Žádný

FCS_RBG_EXT.1

Žádný

FDP_RIP.2

Žádný

FIA_AFL.1

Limit neúspěšných pokusů o přihlášení je původem pokusu (např. IP

splněny nebo překročeny.

adresa).

FIA_PMG_EXT.1

Žádný

FIA_UIA_EXT.1

Veškeré použití mechanismu identifikace a autentizace.

Poskytnutá identita uživatele, původ pokusu (např. IP adresa).

FIA_UAU_EXT.2

Veškeré použití mechanismu identifikace a autentizace.

Původ pokusu (např. IP adresa).

FIA_UAU.7

Žádný

FMT_MOF.1/ManualUpdate

Jakýkoli pokus o zahájení ruční aktualizace.

Žádný

FMT_MTD.1/CoreData

Veškeré činnosti správy dat TSF

Žádný

FMT_SMF.1

Žádný

FMT_SMR.2

Žádný

Tabulka 4: Auditovatelné události (pokračování)

Požadavek

Auditovatelné události

Další obsah auditního záznamu

FPT_SKP_EXT.1

Žádný

FPT_APW_EXT.1

Žádný

FPT_TST_EXT.1

Žádný

FPT_TUD_EXT.1

Zahájení aktualizace; výsledek pokusu o aktualizaci (úspěch nebo neúspěch)

Žádný

FPT_STM.1

Nepřetržité změny času buď správcem aktivované nebo změněné prostřednictvím automatizovaného procesu.

Pro nespojité změny času: Staré a nové hodnoty pro čas. Původ pokusu o změnu času pro úspěch a neúspěch (jako je IP adresa).

FTA_SSL_EXT.1

Ukončení místní interaktivní relace mechanismem uzamčení relace.

Žádný

FTA_SSL.3

Ukončení vzdálené relace mechanismem uzamčení relace.

Žádný

FTA_SSL.4

Ukončení interaktivní relace.

Žádný

FTA_TAB.1

Žádný

FCS_SSHS_EXT.1

Selhání navázání relace SSH Důvod selhání

FTP_ITC.1

Spuštění důvěryhodného kanálu. Ukončení důvěryhodného kanálu. Selhání funkcí důvěryhodného kanálu.

Identifikace iniciátora a cíle neúspěšného pokusu o vytvoření důvěryhodných kanálů.

Tabulka 4: Auditovatelné události (pokračování)

Požadavek

Auditovatelné události

Další obsah auditního záznamu

FTP_TRP.1/Admin

Zahájení důvěryhodné cesty. Ukončení důvěryhodné cesty. Selhání funkcí důvěryhodné cesty.

Žádný

FCS_SSHS_EXT.1

Selhání navázání relace SSH Důvod selhání

FIA_X509_EXT.1/Rev

Neúspěšný pokus o ověření certifikátu

Důvod neúspěchu

FIA_X509_EXT.2

Žádný

FIA_X509_EXT.3

Žádný

FMT_MOF.1/Funkce

Úprava chování přenosu dat auditu do externího IT subjektu, nakládání s daty auditu, funkčnost auditu při zaplnění Local Audit Storage Space.

Žádný

FMT_MOF.1/Služby

Spouštění a zastavování služeb. Žádný

FMT_MTD.1/CryptoKeys

Správa kryptografických klíčů. Žádný

FFW_RUL_EXT.1

Aplikace pravidel nakonfigurovaných pomocí operace `log'

Zdrojové a cílové adresy. Zdrojové a cílové porty. Rozhraní TOE protokolu transportní vrstvy.

Indikace paketů zahozených kvůli příliš velkému síťovému provozu

Rozhraní TOE, které není schopno zpracovat pakety. Identifikátor pravidla způsobujícího zahození paketu.

Tabulka 4: Auditovatelné události (pokračování)

Požadavek

Auditovatelné události

Další obsah auditního záznamu

FFW_RUL_EXT.2

Žádný

FCS_IPSEC_EXT.1

Zřízení relace s peerem

Celý obsah paketů odeslaných/přijatých během navazování relace.

FIA_X509_EXT.1

Navázání relace s CA

Celý obsah paketů odeslaných/přijatých během navazování relace.

FPF_RUL_EXT.1

Aplikace pravidel nakonfigurovaných pomocí operace `log'

Zdrojové a cílové adresy. Zdrojové a cílové porty. Rozhraní TOE protokolu transportní vrstvy.

Indikace paketů zahozených kvůli příliš velkému síťovému provozu.

Rozhraní TOE, které není schopno zpracovat pakety.

Kromě toho společnost Juniper Networks doporučuje, aby protokolování také: · Zachycovalo všechny změny konfigurace. · Ukládat informace o protokolování vzdáleně.

SOUVISEJÍCÍ DOKUMENTACE Interpretace zpráv o událostech | 86

Interpretace zpráv událostí

Následující výstup ukazuje jakoampzprávu o události.

24. července 17:43:28 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: Nastavení uživatele 'admin': [system radiusserver 1.2.3.4 secret]

Tabulka 5 na stránce 86 popisuje pole pro zprávu o události. Pokud obslužný program systémového protokolování nemůže určit hodnotu v určitém poli, zobrazí se místo toho spojovník ( –).
Tabulka 5: Pole ve zprávách událostí

Pole
timestamp

Popis

Examples

Čas, kdy byla zpráva vygenerována, v jedné ze dvou reprezentací:
· MMM-DD HH:MM:SS.MS+/-HH:MM, je měsíc, den, hodina,
minutu, sekundu a milisekundu místního času. Hodina a minuta, která následuje za znaménkem plus (+) nebo mínus (-), je posun místního časového pásma od koordinovaného světového času (UTC).

24. července 17:43:28 je nejvyšší časamp vyjádřeno jako místní čas ve Spojených státech. 2012-07-24T09:17:15.719Z je 9. července 17 24:2012 UTC.

· YYYY-MM-DDTHH:MM:SS.MSZ je rok, měsíc, den, hodina,
minuta, sekunda a milisekunda v UTC.

název hostitele

Název hostitele, který zprávu původně vygeneroval. router1

proces

Název procesu Junos OS, který zprávu vygeneroval.

ID procesu

ID procesu UNIX (PID) procesu Junos OS, který zprávu vygeneroval.

TAG

Zpráva systémového protokolu Junos OS tag, což je unikátní

identifikuje zprávu.

mgd 4153 UI_DBASE_LOGOUT_EVENT

Tabulka 5: Pole ve zprávách událostí (pokračování)

Pole

Popis

uživatelské jméno

Uživatelské jméno uživatele, který událost inicioval.

text zprávy Anglický popis události .

87
Exampsada „admin“: [systémový rádius-server 1.2.3.4 tajný]

Protokolování změn tajných dat
Následují exampsoubory protokolů auditu událostí, které mění tajná data.
Načíst sloučení
Když je vydán příkaz load merge ke sloučení obsahu exampV konfiguraci Common Criteria s obsahem původní konfigurace se vytvoří následující protokoly auditu týkající se tajných dat:
Jul 24 17:43:28 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: User 'admin' set: [system radiusserver 1.2.3.4 secret] Jul 24 17:43:28 router1 mgd[4163]: User 'admin'SET'SET'AUDITad'SET'CFG_AUDITadmin_CFG_AUDIT [přihlášení do systému ověření uživatele admin zašifrované-heslo] 24. července 17:43:28 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: Sada uživatele 'admin': [přihlášení do systému user admin2 autentizace zašifrované-heslo] Načíst nahradit
Když je vydán příkaz load nahradit k nahrazení obsahu exampV konfiguraci Common Criteria s obsahem původní konfigurace se vytvoří následující protokoly auditu týkající se tajných dat:
Jul 24 18:29:09 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: Uživatel 'admin' nahradit: [system radius-server 1.2.3.4 secret] Jul 24 18:29:09 router1 mgd[4163]:AUDIT UI_CFG_User nahradit: [přihlášení do systému uživatel admin autentizace šifrované-heslo]

88
24. července 18:29:09 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: Nahrazení uživatelem 'admin': [přihlášení uživatele do systému ověření správce zašifrováno-heslo] Přepsání zatížení
Když je vydán příkaz pro přepsání zatížení k přepsání obsahu exampV konfiguraci Common Criteria s obsahem původní konfigurace se vytvoří následující protokoly auditu týkající se tajných dat:
25. července 14:25:51 router1 mgd[4153]: UI_LOAD_EVENT: Uživatel 'admin' provádí 'přepsání zatížení' 25. července 14:25:51 router1 mgd[4153]: UI_CFG_AUDIT_OTHER: Uživatel 'admin' CC2_config25txt override: Jul 14 25:51:1 router4153 mgd[1.2.3.4]: UI_CFG_AUDIT_SET_SECRET: User 'admin' set: [system radiusserver 25 secret] Jul 14 25:51:1 router4153 mgd[25]: User 'admin'SET'SECR set' [přihlášení do systému ověření uživatele administrátora zašifrované-heslo] 14. července 25:51:1 router4153 mgd[XNUMX]: UI_CFG_AUDIT_SET_SECRET: Sada uživatele 'admin': [přihlášení uživatele do systému ověření administrátora zašifrované-heslo] Načíst aktualizaci Když je vydán příkaz k aktualizaci aktualizovat obsah exampV konfiguraci Common Criteria s obsahem původní konfigurace se vytvoří následující protokoly auditu týkající se tajných dat:
25. července 14:31:03 router1 mgd[4153]: UI_LOAD_EVENT: Uživatel „admin“ provádí „aktualizaci načítání“ 25. července 14:31:03 router1 mgd[4153]: UI_CFG_AUDIT_OTHER: Aktualizace uživatele „admin“: CC_config2.txt 25. července 14:31:03 router1 mgd[4153]: UI_CFG_AUDIT_SET_SECRET: Nastavení uživatele 'admin': [system radiusserver 1.2.3.4 secret] 25. července 14:31:03 router1 mgd[4153]: UI_CFad'OTHER deaktivovat uživatele'IT_CFG_AUD [system radiusserver 1.2.3.4 secret] “” Jul 25 14:31:03 router1 mgd[4153]: UI_CFG_AUDIT_SET_SECRET: User 'admin' set: [system login user admin authentication encrypted-password] Jul 25 14:31:03 router1 [4153]: UI_CFG_AUDIT_OTHER: Deaktivace uživatele 'admin': [přihlášení do systému ověření uživatele admin zašifrované-heslo] „“ 25. července 14:31:03 router1 mgd[4153]: UI_CFG_AUDIT_SET_SECRET: Nastavení uživatele 'admin' test: [přihlášení do systému autentizace encrypted-password] 25. července 14:31:03 router1 mgd[4153]: UI_CFG_AUDIT_OTHER: Uživatel 'admin' deaktivovat: [přihlášení do systému test uživatele autentizace šifrované-heslo] „“
Další informace o konfiguraci parametrů a správě protokolu files, viz Referenční příručka systémových protokolů systému Junos OS.

89
SOUVISEJÍCÍ DOKUMENTACE Interpretace zpráv o událostech | 86

Události přihlášení a odhlášení pomocí SSH

Zprávy systémového protokolu jsou generovány vždy, když se uživatel úspěšně nebo neúspěšně pokusí o přístup SSH. Zaznamenávají se také události odhlášení. Napřample, následující protokoly jsou výsledkem dvou neúspěšných pokusů o ověření, poté jednoho úspěšného a nakonec odhlášení:

20. prosince 23:17:35 20. prosince 23:17:42 20. prosince 23:17:53 20. prosince 23:17:53
20. prosince 23:17:53 20. prosince 23:17:56 20. prosince 23:17:56

bilbo sshd[16645]: Selhalo heslo pro op z 172.17.58.45 port 1673 ssh2 bilbo sshd[16645]: Neúspěšné heslo pro op z 172.17.58.45 port 1673 ssh2 bilbo sshd heslo 16645 ssh172.17.58.45 bilbo mgd[1673]: UI_AUTH_EVENT: Ověřený uživatel 'op' na úrovni oprávnění
'j-operator' bilbo mgd[16648]: UI_LOGIN_EVENT: Přihlášení uživatele 'op', třída 'j-operator' [16648] bilbo mgd[16648]: UI_CMDLINE_READ_LINE: Uživatel 'op', příkaz 'quit ' bilbo mgd][16648] : UI_LOGOUT_EVENT: Odhlášení uživatele 'op'

SOUVISEJÍCÍ DOKUMENTACE Interpretace zpráv o událostech | 86

Protokolování spuštění auditu

Zaprotokolované informace o auditu zahrnují spuštění Junos OS. To zase identifikuje spouštěcí události systému auditu, které nelze nezávisle deaktivovat nebo povolit. NapřampPokud je Junos OS restartován, protokol auditu obsahuje následující informace:

20. prosince 23:17:35 20. prosince 23:17:35 20. prosince 23:17:35 stav=1

bilbo syslogd: ukončení na signálu 14 bilbo syslogd: restart bilbo syslogd /kernel: Dec 20 23:17:35 init: syslogd (PID 19128) ukončeno s

90
Dec 20 23:17:42 bilbo /kernel: Dec 20 23:17:53 init: syslogd (PID 19200) spuštěno

9 KAPITOLA
Konfigurace kanálu zabezpečeného protokolování
Vytvoření kanálu zabezpečeného protokolování | 92

92
Vytvoření kanálu zabezpečeného protokolování
V TÉTO ČÁSTI Konfigurace důvěryhodné cesty nebo kanálu mezi zařízením s operačním systémem Junos a serverem vzdáleného externího úložiště | 93

Tato část popisuje, jak umístit zařízení do vyhodnocené konfigurace, aby poskytovalo šifrovaný komunikační kanál přes tunel IPsec VPN mezi zařízením se systémem Junos OS a vzdáleným externím úložným serverem (server syslog).

POZNÁMKA: Metoda ověřování ssh-rsa je jedním z povolených algoritmů v režimu FIPS.

Tabulka 6 na stránce 92 uvádí všechny podporované algoritmy pro tunel IPsec VPN. Tabulka 6: Algoritmy podporované tunelem IPsec VPN
Návrh fáze 1 IKE

Metoda ověřování Algoritmus ověřování DH Group

Šifrovací algoritmus

předsdílené-klíče rsa-signatures-2048 ecdsa-signatures-256 ecdsa-signatures-384

sha-256 sha-384

skupina14 skupina19 skupina20 skupina24

aes-128-cbc aes-128-gcm aes-192-cbc aes-256-cbc aes-256-gcm

Návrh IPSec fáze 2

Algoritmus ověřování

DH Group (PFS)

hmac-sha1-96 hmac-sha-256-128

skupina14 skupina19 skupina20 skupina24

Metoda šifrování

Šifrovací algoritmus

ESP

aes-128-cbc

aes-128-gcm

aes-192-cbc

aes-192-gcm

aes-256-cbc

aes-256-gcm

Konfigurace důvěryhodné cesty nebo kanálu mezi zařízením s operačním systémem Junos a serverem vzdáleného externího úložiště
Tato část popisuje podrobnosti konfigurace potřebné k zajištění šifrovaného komunikačního kanálu mezi zařízením s operačním systémem Junos OS a serverem vzdáleného externího úložiště prostřednictvím tunelu IPsec VPN.
POZNÁMKA: Server vzdáleného externího úložiště je server syslog založený na Linuxu, na kterém je IPsec VPN Tunnel ukončen na odchozím rozhraní Eth1. Data protokolu přenesená ze zařízení se odesílají do ukončovacího rozhraní syslog Eth2 a aplikace StrongSwan, aby byla zajištěna schopnost IPsec VPN.
Tabulka 7 na stránce 94 uvádí podrobnosti o tunelu IPsec VPN použité v tomto příkladuample.

Tabulka 7: Návrh fáze 1 informací o tunelu IPsec VPN (P1, IKE)

Návrh fáze 2 (P2, IPSec)

Autentizační iontová metoda

Autentizační iontový algoritmus

DH Group

Šifrovací algoritmus

Autentizační iontový algoritmus

DH Group (PFS)

Metoda šifrování

Šifrovací algoritmus

předem sdílené- sha-256

skupina14

aes-128- hmac-

skupina14

ESP

klíče

cbc

sha1-96

aes-128cbc

Obrázek 1 na stránce 94 znázorňuje šifrovaný komunikační kanál mezi zařízením se systémem Junos OS a vzdáleným externím úložným serverem. Mezi výstupním rozhraním zařízení (Intf-1) a odchozím rozhraním vzdáleného serveru syslog (Eth1) je vytvořen tunel IPsec. Data jsou poté předávána interně na vzdáleném externím úložném serveru z jeho odchozího rozhraní Eth1; tedy koncový bod VPN do Eth2.

Obrázek 1: IPsec VPN tunel

Tabulka 8 na stránce 95 uvádí podrobnosti o rozhraní a konfiguraci IP použité v tomto příkladuample.

Tabulka 8: Podrobnosti o konfiguraci rozhraní a IP pro důvěryhodnou cestu

Zařízení se systémem Junos OS

Server vzdáleného úložiště

IP adresa: „Intf-2“ rozhraní: GE-0/0/1 IP adresa: 198.51.100.2 „Intf-1“ rozhraní: GE-0/0/2 – IP adresa: 198.51.100.1 Enable: Syslog logging to remote syslog server

IP adresa: Eth1: 198.51.100.3 Eth2: 203.0.113.1 Brána Eth1: 198.51.100.1 Nástroje: SSH a Strongswan (pro IPsec VPN)

Chcete-li nakonfigurovat důvěryhodnou cestu nebo kanál mezi zařízením se systémem Junos OS a serverem vzdáleného externího úložiště:
1. Povolte protokolování proudu pro protokoly provozu.
[upravit zabezpečení] uživatel@hostitel#nastavit mezipaměť protokolu uživatel@hostitel#nastavit událost režimu protokolu uživatel@hostitel#nastavit zdrojovou-adresu protokolu 198.51.100.2 uživatel@hostitel#nastavit stream protokolu STREAM kategorie vše uživatel@hostitel#nastavit stream protokolu STREAM hostitel 203.0.113.1

POZNÁMKA: 192.168.2.1 je IP adresa odchozího rozhraní serveru syslog, na kterém je ukončen tunel IPsec VPN, a 20.20.20.2 je IP adresa

Dokumenty / zdroje

Zařízení Juniper NETWORKS SRX1500 Common Criteria Guide [pdfUživatelská příručka
SRX1500 Common Criteria Guide Devices, SRX1500, Common Criteria Guide Devices, Criteria Guide Devices, Guide Devices

Reference

Uživatelská příručka

Zařízení průvodce obecnými kritérii SRX1500

Informace o produktu

Specifikace

O této příručce

Nadview

Pochopení konfigurace vyhodnocené podle společných kritérií

Pochopení Junos OS v režimu FIPS

Vysvětlení terminologie a podporované provozní terminologie režimu FIPS Kryptografické algoritmy

Identifikace bezpečného doručení produktu

Pochopení rozhraní pro správu

Konfigurace rolí a metod ověřování

Pochopení rolí a služeb pro Junos OS v režimu FIPS Operace

Pochopení služeb pro Junos OS v režimu FIPS Operace

Stahování softwarových balíčků z Juniper Networks

Instalace softwarových balíčků Junos

Vysvětlení nulování pro vymazání systémových dat pro režim FIPS Operace

Načítání firmwaru do zařízení

Jak povolit a nakonfigurovat Junos OS v režimu FIPS Operace

Konfigurace administrativních pověření a oprávnění

Pochopení pravidel souvisejících hesel pro oprávněné osoby Správce

Konfigurace Network Device Protection Profile Autorizovaný Správce

Network Time Protocol

Konec NTPview

Network Time Security (NTS) Podpora pro NTP

NTP časové servery

Nakonfigurujte časový server NTP a časové služby

Nakonfigurujte směrovač nebo přepněte do provozu v režimu klienta

Nakonfigurujte směrovač nebo přepínač pro provoz v Symmetric Active Režim

Nakonfigurujte směrovač nebo přepínač pro provoz ve vysílání Režim

Nakonfigurujte směrovač nebo přepněte do provozu v režimu serveru

Example: Nakonfigurujte NTP jako jednorázový zdroj pro směrovač a Synchronizace hodin přepínače

Synchronizujte a koordinujte distribuci času pomocí NTP

FAQ

Otázka: Jsou zařízení SRX kompatibilní s jinými sítěmi Juniper Networks? produkty?

Otázka: Mohu upgradovat firmware na zařízeních SRX bez přerušení připojení k síti?

Otázka: Jak často bych měl provádět nulování na SRX zařízení?

Otázka: Mohu nakonfigurovat více NTP časových serverů na SRX zařízení?

Otázka: Jak mohu vyřešit problémy se synchronizací NTP na SRX zařízení?

Dokumenty / zdroje

Reference

Zanechte komentář

Zrušit odpověď

Vysvětlení terminologie a podporované provozní terminologie režimu FIPS
Kryptografické algoritmy

Pochopení rolí a služeb pro Junos OS v režimu FIPS
Operace

Pochopení služeb pro Junos OS v režimu FIPS
Operace

Vysvětlení nulování pro vymazání systémových dat pro režim FIPS
Operace

Jak povolit a nakonfigurovat Junos OS v režimu FIPS
Operace

Pochopení pravidel souvisejících hesel pro oprávněné osoby
Správce

Konfigurace Network Device Protection Profile Autorizovaný
Správce

Nakonfigurujte směrovač nebo přepínač pro provoz v Symmetric Active
Režim

Nakonfigurujte směrovač nebo přepínač pro provoz ve vysílání
Režim

Example: Nakonfigurujte NTP jako jednorázový zdroj pro směrovač a
Synchronizace hodin přepínače

Otázka: Jsou zařízení SRX kompatibilní s jinými sítěmi Juniper Networks?
produkty?

Otázka: Mohu upgradovat firmware na zařízeních SRX bez
přerušení připojení k síti?

Otázka: Jak často bych měl provádět nulování na SRX
zařízení?

Otázka: Mohu nakonfigurovat více NTP časových serverů na SRX
zařízení?

Otázka: Jak mohu vyřešit problémy se synchronizací NTP na SRX
zařízení?