GINEPRO LogoSemplicità ingegneristica
Sistema operativo Junos®
Guida alla configurazione valutata FIPS per
Dispositivi MX960, MX480 e MX240

Contenuto nascondere
1 JUNIPER NETWORKS Junos OS Dispositivi valutati FIPS
2 Sopraview
3 Configurazione di credenziali e privilegi amministrativi
4 Configurazione di ruoli e metodi di autenticazione
5 Configurazione della connessione SSH e console
6 Configurazione di MACsec
7 Configurazione di MACsec con portachiavi per il traffico di livello 2
8 Configurazione della registrazione degli eventi
9 Esecuzione di test automatici su un dispositivo
10 Comandi operativi
11 Documenti / Risorse
11.1 Riferimenti

JUNIPER NETWORKS Junos OS Dispositivi valutati FIPS

JUNIPER NETWORKS Junos OS Dispositivi valutati FIPS 1PUBBLICAZIONE
20.3X75-D30

Società per azioni Juniper Networks, Inc.
1133 Innovazione Way
Sunnyvale, California 94089
U.S.A.
Numero di telefono: 408-745-2000
www.juniper.net
Juniper Networks, il logo Juniper Networks, Juniper e Junos sono marchi registrati di Juniper Networks, Inc.
negli Stati Uniti e in altri paesi. Tutti gli altri marchi, marchi di servizio, marchi registrati o marchi di servizio registrati sono di proprietà dei rispettivi proprietari.
Juniper Networks non si assume alcuna responsabilità per eventuali inesattezze in questo documento. Juniper Networks si riserva il diritto di cambiare, modificare, trasferire o altrimenti rivedere questa pubblicazione senza preavviso.
Guida alla configurazione valutata FIPS del sistema operativo Junos® per dispositivi MX960, MX480 e MX240 20.3X75-D30
Copyright © 2023 Juniper Networks, Inc. Tutti i diritti riservati.
Le informazioni in questo documento sono aggiornate alla data sul frontespizio.
AVVISO ANNO 2000
I prodotti hardware e software di Juniper Networks sono conformi all'anno 2000. Il sistema operativo Junos non ha limitazioni di tempo note per tutto l'anno 2038. Tuttavia, è noto che l'applicazione NTP ha alcune difficoltà nell'anno 2036.
CONTRATTO DI LICENZA PER L'UTENTE FINALE
Il prodotto Juniper Networks oggetto della presente documentazione tecnica è costituito da (o è destinato all'uso con) il software Juniper Networks. L'uso di tale software è soggetto ai termini e alle condizioni dell'Accordo di licenza con l'utente finale ("EULA") pubblicato all'indirizzo https://support.juniper.net/support/eula/. Scaricando, installando o utilizzando tale software, accetti i termini e le condizioni di tale EULA.

Informazioni su questa guida
Utilizzare questa guida per utilizzare i dispositivi MX960, MX480 e MX240 in ambiente FIPS (Federal Information Processing Standards) 140-2 Livello 1. FIPS 140-2 definisce i livelli di sicurezza per l'hardware e il software che eseguono funzioni crittografiche.
DOCUMENTAZIONE CORRELATA
Criteri comuni e certificazioni FIPS

Sopraview

Comprensione del sistema operativo Junos in modalità FIPS
IN QUESTA SEZIONE

  • Piattaforme e hardware supportati | 2
  • Informazioni sul confine crittografico sul tuo dispositivo | 3
  • Differenze tra la modalità FIPS e la modalità non FIPS | 3
  • Versione convalidata del sistema operativo Junos in modalità FIPS | 3

Lo standard FIPS (Federal Information Processing Standards) 140-2 definisce i livelli di sicurezza per l'hardware e il software che eseguono funzioni crittografiche. Questo router Juniper Networks che esegue il sistema operativo Juniper Networks Junos (Junos OS) in modalità FIPS è conforme allo standard FIPS 140-2 Livello 1.
Il funzionamento di questo router in un ambiente FIPS 140-2 Livello 1 richiede l'abilitazione e la configurazione della modalità FIPS sui dispositivi dall'interfaccia della riga di comando (CLI) del sistema operativo Junos.
Il Crypto Officer abilita la modalità FIPS nel sistema operativo Junos e imposta chiavi e password per il sistema e altri utenti FIPS.
Piattaforme e hardware supportati
Per le funzionalità descritte nel presente documento, per qualificare la certificazione FIPS vengono utilizzate le seguenti piattaforme:

Informazioni sul confine crittografico sul tuo dispositivo
La conformità FIPS 140-2 richiede un confine crittografico definito attorno a ciascun modulo crittografico su un dispositivo. Il sistema operativo Junos in modalità FIPS impedisce al modulo crittografico di eseguire qualsiasi software che non faccia parte della distribuzione certificata FIPS e consente l'utilizzo solo di algoritmi crittografici approvati da FIPS. Nessun parametro critico di sicurezza (CSP), come password e chiavi, può oltrepassare il limite crittografico del modulo in formato non crittografato.
Kit e inserti di collegamento per pozzi antincendio della serie OUTDOOR PLUS TOP - Icona 1 ATTENZIONE: Le funzionalità dello chassis virtuale non sono supportate in modalità FIPS. Non configurare uno chassis virtuale in modalità FIPS.

Differenze tra la modalità FIPS e la modalità non FIPS
Il sistema operativo Junos in modalità FIPS differisce nei seguenti modi dal sistema operativo Junos in modalità non FIPS:

  • All'avvio vengono eseguiti autotest di tutti gli algoritmi crittografici.
  • Gli autotest dei numeri casuali e della generazione delle chiavi vengono eseguiti continuamente.
  • Gli algoritmi crittografici deboli come Data Encryption Standard (DES) e MD5 sono disabilitati.
  • Non è necessario configurare connessioni di gestione deboli o non crittografate.
  • Le password devono essere crittografate con potenti algoritmi unidirezionali che non consentono la decrittografia.
  • Le password dell'amministratore devono contenere almeno 10 caratteri.

Versione convalidata del sistema operativo Junos in modalità FIPS
Per determinare se una versione del sistema operativo Junos è convalidata dal NIST, consultare la pagina del consulente per la conformità su Juniper Networks Web posto (https://apps.juniper.net/compliance/).
DOCUMENTAZIONE CORRELATA
Identificazione della consegna sicura del prodotto | 7

Comprensione della terminologia FIPS e degli algoritmi crittografici supportati
IN QUESTA SEZIONE
Terminologia | 4
Algoritmi crittografici supportati | 5
Utilizza le definizioni dei termini FIPS e gli algoritmi supportati per comprendere meglio il sistema operativo Junos in modalità FIPS.

Terminologia
Parametro di sicurezza critico (CSP)
Informazioni relative alla sicurezza, ad esample, chiavi crittografiche segrete e private e dati di autenticazione come password e numeri di identificazione personale (PIN), la cui divulgazione o modifica può compromettere la sicurezza di un modulo crittografico o delle informazioni che protegge. Per i dettagli, vedere “Comprensione dell'ambiente operativo per il sistema operativo Junos in modalità FIPS” a pagina 16.
Modulo crittografico
L'insieme di hardware, software e firmware che implementa le funzioni di sicurezza approvate (inclusi algoritmi crittografici e generazione di chiavi) ed è contenuto all'interno del confine crittografico.
FIPS
Standard federali per l'elaborazione delle informazioni. FIPS 140-2 specifica i requisiti per i moduli di sicurezza e crittografia. Il sistema operativo Junos in modalità FIPS è conforme a FIPS 140-2 Livello 1.
Ruolo di manutenzione FIPS
Il ruolo che il Crypto Officer assume per eseguire servizi di manutenzione fisica o di manutenzione logica come la diagnostica hardware o software. Per la conformità FIPS 140-2, il Crypto Officer azzera il motore di routing all'ingresso e all'uscita dal ruolo di manutenzione FIPS per cancellare tutte le chiavi segrete e private in testo semplice e i CSP non protetti.
NOTA: Il ruolo di manutenzione FIPS non è supportato sul sistema operativo Junos in modalità FIPS.
KAT
Test a risposta nota. Autotest del sistema che convalidano l'output di algoritmi crittografici approvati per FIPS e testano l'integrità di alcuni moduli del sistema operativo Junos. Per i dettagli, vedere “Comprensione dei test automatici FIPS” a pagina 73.
SSH
Un protocollo che utilizza autenticazione e crittografia avanzate per l'accesso remoto su una rete non protetta. SSH fornisce accesso remoto, esecuzione di programmi in remoto, file copia e altre funzioni. È inteso come sostituto sicuro di rlogin, rsh e rcp in un ambiente UNIX. Per proteggere le informazioni inviate tramite connessioni amministrative, utilizzare SSHv2 per la configurazione della CLI. Nel sistema operativo Junos, SSHv2 è abilitato per impostazione predefinita e SSHv1, che non è considerato sicuro, è disabilitato. Azzeramento
Cancellazione di tutti i CSP e altri dati creati dall'utente su un dispositivo prima del suo funzionamento come modulo crittografico FIPS o in preparazione al riutilizzo dei dispositivi per operazioni non FIPS.
Il Crypto Officer può azzerare il sistema con un comando operativo CLI.
Algoritmi crittografici supportati
La Tabella 1 a pagina 6 riassume il supporto dell'algoritmo del protocollo di alto livello.
Tabella 1: protocolli consentiti in modalità FIPS

Protocollo  Scambio di chiavi Autenticazione Cifra Integrità
SSHv2 • dh-gruppo14-sha1
• ECDH-sha2-nistp256
• ECDH-sha2-nistp384
• ECDH-sha2-nistp521		 Ospite (modulo):
•ECDSA P-256
• SSH-RSA
Cliente (utente):
•ECDSA P-256
•ECDSA P-384
•ECDSA P-521
• SSH-RSA		 • CTR AES 128
• CTR AES 192
• CTR AES 256
•AES CBC 128
•AES CBC 256		 • HMAC-SHA-1
• HMAC-SHA-256
• HMAC-SHA-512

La Tabella 2 a pagina 6 elenca le crittografie supportate da MACsec LC.
Tabella 2: Cifrature supportate da MACsec LC
Cifrature supportate da MACsec LC
AES-GCM-128
AES-GCM-256
Ogni implementazione di un algoritmo viene controllata da una serie di autotest KAT (known Answer Test). Qualsiasi errore di autotest genera uno stato di errore FIPS.
PROCEDURA OTTIMALE: per la conformità FIPS 140-2, utilizzare solo algoritmi crittografici approvati da FIPS nel sistema operativo Junos in modalità FIPS.
I seguenti algoritmi crittografici sono supportati in modalità FIPS. I metodi simmetrici utilizzano la stessa chiave per la crittografia e la decrittografia, mentre i metodi asimmetrici utilizzano chiavi diverse per la crittografia e la decrittografia.
AES
L'Advanced Encryption Standard (AES), definito in FIPS PUB 197. L'algoritmo AES utilizza chiavi da 128, 192 o 256 bit per crittografare e decrittografare i dati in blocchi da 128 bit.
ECDH
Curva ellittica Diffie-Hellman. Una variante dell'algoritmo di scambio di chiavi Diffie-Hellman che utilizza la crittografia basata sulla struttura algebrica delle curve ellittiche su campi finiti. L'ECDH consente a due parti, ciascuna dotata di una coppia di chiavi pubblica-privata a curva ellittica, di stabilire un segreto condiviso su un canale non sicuro. Il segreto condiviso può essere utilizzato come chiave o per derivare un'altra chiave per crittografare le comunicazioni successive utilizzando una crittografia a chiave simmetrica.
ECDSA
Algoritmo di firma digitale con curva ellittica. Una variante dell'algoritmo di firma digitale (DSA) che utilizza la crittografia basata sulla struttura algebrica delle curve ellittiche su campi finiti. La dimensione in bit della curva ellittica determina la difficoltà di decifrare la chiave. La chiave pubblica ritenuta necessaria per l’ECDSA è circa il doppio del livello di sicurezza, in bit. ECDSA che utilizza le curve P-256, P-384 e P-521 può essere configurato in OpenSSH.
HMAC
Definito come "Keyed-Hashing for Message Authentication" nella RFC 2104, HMAC combina algoritmi di hashing con chiavi crittografiche per l'autenticazione dei messaggi. Per il sistema operativo Junos in modalità FIPS, HMAC utilizza le funzioni hash crittografiche iterate SHA-1, SHA-256 e SHA-512 insieme a una chiave segreta.
SHA-256 e SHA-512
Algoritmi di hash sicuri (SHA) appartenenti allo standard SHA-2 definito in FIPS PUB 180-2. Sviluppato dal NIST, SHA-256 produce un hash digest a 256 bit e SHA-512 produce un hash digest a 512 bit.
DOCUMENTAZIONE CORRELATA
Comprendere gli autotest FIPS | 73
Comprendere l'azzeramento per cancellare i dati di sistema per la modalità FIPS | 25
Identificazione della consegna sicura del prodotto
Esistono diversi meccanismi forniti nel processo di consegna per garantire che un cliente riceva un prodotto che non è stato speditoampered con. Il cliente dovrà eseguire i seguenti controlli al ricevimento di un dispositivo per verificare l'integrità della piattaforma.

  • Etichetta di spedizione: assicurati che l'etichetta di spedizione identifichi correttamente il nome e l'indirizzo corretti del cliente, nonché il dispositivo.
  • Imballaggio esterno: ispeziona la scatola di spedizione esterna e il nastro. Assicurarsi che il nastro di spedizione non sia stato tagliato o compromesso in altro modo. Assicurarsi che la scatola non sia stata tagliata o danneggiata per consentire l'accesso al dispositivo.
  • Imballaggio interno: ispezionare il sacchetto di plastica e sigillarlo. Assicurarsi che la borsa non venga tagliata o rimossa. Assicurarsi che il sigillo rimanga intatto.

Se il cliente identifica un problema durante l'ispezione, deve contattare immediatamente il fornitore. Fornire al fornitore il numero dell'ordine, il numero di tracciabilità e una descrizione del problema identificato.
Inoltre, è possibile eseguire diversi controlli per garantire che il cliente abbia ricevuto una scatola inviata da Juniper Networks e non da un'altra società mascherata da Juniper Networks. Il cliente deve eseguire i seguenti controlli al ricevimento di un dispositivo per verificare l'autenticità del dispositivo:

  • Verifica che il dispositivo sia stato ordinato utilizzando un ordine di acquisto. I dispositivi Juniper Networks non vengono mai spediti senza un ordine di acquisto.
  • Quando un dispositivo viene spedito, viene inviata una notifica di spedizione all'indirizzo e-mail fornito dal cliente al momento della presa dell'ordine. Verificare che questa notifica e-mail sia stata ricevuta. Verificare che l'e-mail contenga le seguenti informazioni:
  • Numero dell'ordine di acquisto
  • Numero d'ordine Juniper Networks utilizzato per tracciare la spedizione
  • Numero di tracciabilità del corriere utilizzato per tracciare la spedizione
  • Elenco degli articoli spediti inclusi i numeri di serie
  • Indirizzo e contatti sia del fornitore che del cliente
  • Verificare che la spedizione sia stata avviata da Juniper Networks. Per verificare che una spedizione sia stata avviata da Juniper Networks, è necessario eseguire le seguenti attività:
  • Confronta il numero di tracciabilità del corriere del numero d'ordine Juniper Networks elencato nella notifica di spedizione di Juniper Networks con il numero di tracciabilità sul pacco ricevuto.
  • Accedere al portale di assistenza clienti online di Juniper Networks all'indirizzo https://support.juniper.net/support/ A view lo stato dell'ordine. Confronta il numero di tracciabilità del corriere o il numero dell'ordine Juniper Networks riportato nella notifica di spedizione Juniper Networks con il numero di tracciabilità sul pacco ricevuto.

Comprensione delle interfacce di gestione
Nella configurazione valutata è possibile utilizzare le seguenti interfacce di gestione:

  • Interfacce di gestione locale: la porta della console RJ-45 sul dispositivo è configurata come apparecchiatura terminale dati RS-232 (DTE). È possibile utilizzare l'interfaccia della riga di comando (CLI) su questa porta per configurare il dispositivo da un terminale.
  • Protocolli di gestione remota: il dispositivo può essere gestito in remoto tramite qualsiasi interfaccia Ethernet. SSHv2 è l'unico protocollo di gestione remota consentito che può essere utilizzato nella configurazione valutata. I protocolli di telegestione J-Web e Telnet non sono disponibili per l'uso sul dispositivo.

Configurazione di credenziali e privilegi amministrativi

Comprendere le regole della password associata per un amministratore autorizzato
L'amministratore autorizzato è associato a una classe di accesso definita e all'amministratore vengono assegnate tutte le autorizzazioni. I dati vengono archiviati localmente per l'autenticazione con password fissa.
NOTA: Non utilizzare caratteri di controllo nelle password.
Utilizzare le seguenti linee guida e opzioni di configurazione per le password e quando si selezionano le password per gli account amministratore autorizzati. Le password dovrebbero essere:

  • Facile da ricordare in modo che gli utenti non siano tentati di scriverlo.
  • Modificato periodicamente.
  • Privato e non condiviso con nessuno.
  • Contenere un minimo di 10 caratteri. La lunghezza minima della password è di 10 caratteri.
    [modifica] amministratore@host# imposta la lunghezza minima della password di accesso al sistema 10
  • Includere sia caratteri alfanumerici che di punteggiatura, composti da qualsiasi combinazione di lettere maiuscole e minuscole, numeri e caratteri speciali come "!", "@", "#", "$", "%", "^", " &", "*", "(", E ")".
    Dovrebbe esserci almeno una modifica in un caso, una o più cifre e uno o più segni di punteggiatura.
  • Contengono set di caratteri. I set di caratteri validi includono lettere maiuscole, lettere minuscole, numeri, segni di punteggiatura e altri caratteri speciali.
    [modifica] amministratore@host# imposta i set di caratteri del tipo di modifica della password di accesso al sistema
  • Contenere il numero minimo di set di caratteri o modifiche al set di caratteri. Il numero minimo di set di caratteri richiesti nelle password in testo normale in Junos FIPS è 3.
    [modifica] amministratore@host# imposta le modifiche minime della password di accesso al sistema 3
  • L'algoritmo di hashing per le password degli utenti può essere SHA256 o SHA512 (SHA512 è l'algoritmo di hashing predefinito).
    [modifica] amministratore@host# imposta il formato della password di accesso al sistema sha512
    NOTA: Il dispositivo supporta i tipi di chiave ECDSA (P-256, P-384 e P-521) e RSA (lunghezza bit modulo 2048, 3072 e 4092).
    Le password deboli sono:
  • Parole che potrebbero essere trovate o esistere come forma permutata in un sistema file come /etc/passwd.
  • Il nome host del sistema (sempre una prima ipotesi).
  • Qualsiasi parola che appare in un dizionario. Ciò include dizionari diversi dall'inglese e parole trovate in opere come Shakespeare, Lewis Carroll, Roget's Thesaurus e così via. Questo divieto include parole e frasi comuni di sport, detti, film e programmi televisivi.
  • Permutazioni su uno qualsiasi dei precedenti. Per esample, una parola del dizionario con le vocali sostituite con cifre (ad esample f00t) o con cifre aggiunte alla fine.
  • Qualsiasi password generata dalla macchina. Gli algoritmi riducono lo spazio di ricerca dei programmi che indovinano la password e quindi non dovrebbero essere utilizzati.
    Le password robuste e riutilizzabili possono essere basate sulle lettere di una frase o parola preferita e quindi concatenate con altre parole non correlate, insieme a cifre e punteggiatura aggiuntivi.

DOCUMENTAZIONE CORRELATA
Identificazione della consegna sicura del prodotto | 7

Configurazione di ruoli e metodi di autenticazione

Comprensione di ruoli e servizi per il sistema operativo Junos
IN QUESTA SEZIONE
Ruolo e responsabilità del Crypto Officer | 15
Ruolo e responsabilità dell'utente FIPS | 15
Cosa ci si aspetta da tutti gli utenti FIPS | 16
L'amministratore della sicurezza è associato alla classe di accesso definita security-admin, che dispone delle autorizzazioni necessarie per consentire all'amministratore di eseguire tutte le attività necessarie per gestire il sistema operativo Junos. Gli utenti amministrativi (amministratore della sicurezza) devono fornire dati di identificazione e autenticazione univoci prima che venga concesso qualsiasi accesso amministrativo al sistema.
I ruoli e le responsabilità dell'amministratore della sicurezza sono i seguenti:

  1. L'amministratore della sicurezza può amministrare localmente e in remoto.
  2. Crea, modifica, elimina gli account amministratore, inclusa la configurazione dei parametri di errore di autenticazione.
  3. Riabilitare un account amministratore.
  4. Responsabile della configurazione e della manutenzione degli elementi crittografici relativi alla creazione di connessioni sicure da e verso il prodotto valutato.

Il sistema operativo Junos di Juniper Networks (Junos OS) in esecuzione in modalità non FIPS offre un'ampia gamma di funzionalità per gli utenti e l'autenticazione è basata sull'identità. Al contrario, lo standard FIPS 140-2 definisce due ruoli utente: Crypto Officer e utente FIPS. Questi ruoli sono definiti in termini di capacità utente del sistema operativo Junos.
Tutti gli altri tipi di utente definiti per il sistema operativo Junos in modalità FIPS (operatore, utente amministrativo e così via) devono rientrare in una delle due categorie: Crypto Officer o utente FIPS. Per questo motivo, l'autenticazione dell'utente in modalità FIPS è basata sui ruoli anziché sull'identità.
Crypto Officer esegue tutte le attività di configurazione relative alla modalità FIPS ed emette tutte le istruzioni e i comandi per il sistema operativo Junos in modalità FIPS. Le configurazioni utente Crypto Officer e FIPS devono seguire le linee guida per il sistema operativo Junos in modalità FIPS.
Ruolo e responsabilità del Crypto Officer
Il Crypto Officer è la persona responsabile dell'abilitazione, della configurazione, del monitoraggio e della manutenzione del sistema operativo Junos in modalità FIPS su un dispositivo. Il Crypto Officer installa in modo sicuro il sistema operativo Junos sul dispositivo, abilita la modalità FIPS, stabilisce chiavi e password per altri utenti e moduli software e inizializza il dispositivo prima della connessione di rete.
LA MIGLIORE PRATICA: Raccomandiamo al Crypto Officer di amministrare il sistema in modo sicuro mantenendo le password sicure e controllando l'audit files.
Le autorizzazioni che distinguono il Crypto Officer dagli altri utenti FIPS sono segretezza, sicurezza, manutenzione e controllo. Per la conformità FIPS, assegna il Crypto Officer a una classe di accesso che contenga tutte queste autorizzazioni. Un utente con autorizzazione alla manutenzione del sistema operativo Junos può leggere filecontenenti parametri critici di sicurezza (CSP).
NOTA: Il sistema operativo Junos in modalità FIPS non supporta il ruolo di manutenzione FIPS 140-2, che è diverso dall'autorizzazione di manutenzione del sistema operativo Junos.
Tra i compiti relativi al sistema operativo Junos in modalità FIPS, il Crypto Officer dovrebbe:

  • Imposta la password di root iniziale. La lunghezza della password deve essere di almeno 10 caratteri.
  • Reimposta le password degli utenti con algoritmi approvati da FIPS.
  • Esaminare registro e controllo files per eventi di interesse.
  • Cancella quelli generati dall'utente filemessaggi, chiavi e dati azzerando il dispositivo.

Ruolo e responsabilità dell'utente FIPS
Tutti gli utenti FIPS, incluso il Crypto Officer, possono farlo view la configurazione. Solo l'utente assegnato come Crypto Officer può modificare la configurazione.
Le autorizzazioni che distinguono i Crypto Officer dagli altri utenti FIPS sono segretezza, sicurezza, manutenzione e controllo. Per la conformità FIPS, assegna l'utente FIPS a una classe che non contiene nessuna di queste autorizzazioni.
L'utente FIPS può view output di stato ma non è possibile riavviare o azzerare il dispositivo.
Cosa ci si aspetta da tutti gli utenti FIPS
Tutti gli utenti FIPS, incluso il Crypto Officer, devono osservare sempre le linee guida di sicurezza.
Tutti gli utenti FIPS devono:

  • Mantieni riservate tutte le password.
  • Conservare i dispositivi e la documentazione in un'area sicura.
  • Distribuire i dispositivi in ​​aree sicure.
  • Controllare l'audit files periodicamente.
  • Conforme a tutte le altre regole di sicurezza FIPS 140-2.
  • Seguire queste linee guida:
    • Gli utenti sono affidabili.
    • Gli utenti rispettano tutte le linee guida di sicurezza.
    • Gli utenti non compromettono deliberatamente la sicurezza
    • Gli utenti si comportano sempre in modo responsabile.

DOCUMENTAZIONE CORRELATA
Un dispositivo Juniper Networks che esegue il sistema operativo Juniper Networks Junos (Junos OS) in modalità FIPS costituisce un tipo speciale di ambiente operativo hardware e software diverso dall'ambiente di un dispositivo in modalità non FIPS:

Ambiente hardware per il sistema operativo Junos in modalità FIPS
Il sistema operativo Junos in modalità FIPS stabilisce un limite crittografico nel dispositivo che nessun parametro di sicurezza critico (CSP) può oltrepassare utilizzando testo normale. Ogni componente hardware del dispositivo che richiede un limite crittografico per la conformità FIPS 140-2 è un modulo crittografico separato. Esistono due tipi di hardware con limiti crittografici nel sistema operativo Junos in modalità FIPS: uno per ciascun motore di routing e uno per l'intero chassis che include la scheda LC MPC7E-10G. Ogni componente forma un modulo crittografico separato. Le comunicazioni che coinvolgono i CSP tra questi ambienti sicuri devono avvenire utilizzando la crittografia.
I metodi crittografici non sostituiscono la sicurezza fisica. L'hardware deve trovarsi in un ambiente fisico sicuro. Gli utenti di qualsiasi tipo non devono rivelare chiavi o password, né consentire la visione di registrazioni o appunti scritti da parte di personale non autorizzato.
Ambiente software per il sistema operativo Junos in modalità FIPS
Un dispositivo Juniper Networks che esegue il sistema operativo Junos in modalità FIPS costituisce un tipo speciale di ambiente operativo non modificabile. Per ottenere questo ambiente sul dispositivo, il sistema impedisce l'esecuzione di qualsiasi file binario file che non faceva parte del sistema operativo Junos certificato nella distribuzione in modalità FIPS. Quando un dispositivo è in modalità FIPS, può eseguire solo il sistema operativo Junos.
L'ambiente software del sistema operativo Junos in modalità FIPS viene stabilito dopo che il responsabile della crittografia ha abilitato correttamente la modalità FIPS su un dispositivo. L'immagine del sistema operativo Junos che include la modalità FIPS è disponibile su Juniper Networks websito e può essere installato su un dispositivo funzionante.
Per la conformità FIPS 140-2, ti consigliamo di eliminare tutti i file creati dall'utente filemessaggi e dati azzerando il dispositivo prima di abilitare la modalità FIPS.
Il funzionamento del dispositivo a livello FIPS 1 richiede l'uso di tampEtichette molto evidenti per sigillare i Routing Engine nello chassis.
L'abilitazione della modalità FIPS disabilita molti dei normali protocolli e servizi del sistema operativo Junos. In particolare non è possibile configurare i seguenti servizi nel sistema operativo Junos in modalità FIPS:

  • dito
  • ftp
  • rlogina
  • telnet
  • tftp
  • xnm-testo-chiaro

I tentativi di configurare questi servizi o di caricare configurazioni con questi servizi configurati generano un errore di sintassi di configurazione.
Puoi utilizzare solo SSH come servizio di accesso remoto.
Tutte le password stabilite per gli utenti dopo l'aggiornamento al sistema operativo Junos in modalità FIPS devono essere conformi alle specifiche del sistema operativo Junos in modalità FIPS. Le password devono avere una lunghezza compresa tra 10 e 20 caratteri e richiedere l'uso di almeno tre dei cinque set di caratteri definiti (lettere maiuscole e minuscole, cifre, segni di punteggiatura e caratteri della tastiera, come % e &, non inclusi negli altri quattro categorie).
I tentativi di configurare password non conformi a queste regole generano un errore. Tutte le password e le chiavi utilizzate per autenticare i peer devono contenere almeno 10 caratteri e in alcuni casi la lunghezza deve corrispondere alla dimensione del digest.
NOTA: Non collegare il dispositivo a una rete finché il Crypto Officer non completa la configurazione dalla connessione alla console locale.
Per una conformità rigorosa, non esaminare le informazioni principali e di crash dump sulla console locale nel sistema operativo Junos in modalità FIPS perché alcuni CSP potrebbero essere visualizzati in testo normale.
Parametri di sicurezza critici
I parametri critici di sicurezza (CSP) sono informazioni relative alla sicurezza come chiavi crittografiche e password che possono compromettere la sicurezza del modulo crittografico o la sicurezza delle informazioni protette dal modulo se vengono divulgate o modificate.
L'azzeramento del sistema cancella tutte le tracce dei CSP in preparazione al funzionamento del dispositivo o del motore di routing come modulo crittografico.
La Tabella 3 a pagina 19 elenca i CSP sui dispositivi che eseguono il sistema operativo Junos.
Tabella 3: parametri critici di sicurezza

CSP Descrizione Azzerare

Utilizzo
Chiave host privata SSHv2 Chiave ECDSA/RSA utilizzata per identificare l'host, generata la prima volta che viene configurato SSH. Comando Azzera. Utilizzato per identificare l'host.
Chiavi di sessione SSHv2 Chiave di sessione utilizzata con SSHv2 e come chiave privata Diffie-Hellman. Crittografia: AES-128, AES-192, AES-256. MAC: HMAC-SHA-1, HMAC-SHA-2-256, HMAC-SHA2-512. Scambio di chiavi: dh-group14-sha1, ECDH-sha2-nistp-256, ECDH-sha2-nistp-384 e ECDH-sha2-nistp-521. Spegnere e riaccendere e terminare la sessione. Chiave simmetrica utilizzata per crittografare i dati tra host e client.
Chiave di autenticazione dell'utente Hash della password dell'utente: SHA256, SHA512. Comando Azzera. Utilizzato per autenticare un utente nel modulo crittografico.
Chiave di autenticazione del Crypto Officer Hash della password del responsabile della crittografia: SHA256, SHA512. Comando Azzera. Utilizzato per autenticare il Crypto Officer nel modulo crittografico.
Seme HMAC DRBG Seme per il generatore deterministico di bit randon (DRBG). Il seme non viene archiviato dal modulo crittografico. Utilizzato per la semina DRBG.
Valore HMAC DRBG V Il valore (V) della lunghezza del blocco di output (outlen) in bit, che viene aggiornato ogni volta che vengono prodotti altri bit di output. Ciclo di alimentazione. Un valore critico dello stato interno di DRBG.
CSP Descrizione Azzerare

Utilizzo
Valore chiave HMAC DRBG Il valore corrente della chiave outlen-bit, che viene aggiornato almeno una volta ogni volta che il meccanismo DRBG genera bit pseudocasuali. Ciclo di alimentazione. Un valore critico dello stato interno di DRBG.
Entropia NDRNG Utilizzato come stringa di input di entropia per HMAC DRBG. Ciclo di alimentazione. Un valore critico dello stato interno di DRBG.

Nel sistema operativo Junos in modalità FIPS, tutti i CSP devono entrare ed uscire dal modulo crittografico in forma crittografata.
Qualsiasi CSP crittografato con un algoritmo non approvato è considerato testo normale da FIPS.
MIGLIORI PRATICHE: per la conformità FIPS, configurare il dispositivo su connessioni SSH perché sono connessioni crittografate.
Le password locali vengono sottoposte ad hashing con l'algoritmo SHA256 o SHA512. Il recupero della password non è possibile nel sistema operativo Junos in modalità FIPS. Il sistema operativo Junos in modalità FIPS non può essere avviato in modalità utente singolo senza la password root corretta.
Comprendere le specifiche e le linee guida delle password per il sistema operativo Junos in modalità FIPS
Tutte le password stabilite per gli utenti dal responsabile della crittografia devono essere conformi ai seguenti requisiti del sistema operativo Junos in modalità FIPS. I tentativi di configurare password non conformi alle seguenti specifiche restituiscono un errore.

  • Lunghezza. Le password devono contenere tra 10 e 20 caratteri.
  • Requisiti del set di caratteri. Le password devono contenere almeno tre dei seguenti cinque set di caratteri definiti:
  • Lettere maiuscole
  • Lettere minuscole
  • Cifre
  • Segni di punteggiatura
  • Caratteri della tastiera non inclusi negli altri quattro set, come il segno di percentuale (%) e il ampersand (&)
  • Requisiti di autenticazione. Tutte le password e le chiavi utilizzate per autenticare i peer devono contenere almeno 10 caratteri e in alcuni casi il numero di caratteri deve corrispondere alla dimensione del digest.
  • Crittografia della password. Per modificare il metodo di crittografia predefinito (SHA512), includere l'istruzione format al livello gerarchico [modifica password di accesso al sistema].

Linee guida per password complesse. Le password complesse e riutilizzabili possono essere basate sulle lettere di una frase o parola preferita e quindi concatenate con altre parole non correlate, insieme all'aggiunta di cifre e punteggiatura. In generale, una password complessa è:

  • Facile da ricordare in modo che gli utenti non siano tentati di scriverlo.
  • Composto da caratteri alfanumerici misti e punteggiatura. Per la conformità FIPS includere almeno un cambio di maiuscole e minuscole, una o più cifre e uno o più segni di punteggiatura.
  • Modificato periodicamente.
  • Non divulgato a nessuno.
    Caratteristiche delle password deboli. Non utilizzare le seguenti password deboli:
  • Parole che potrebbero essere trovate o esistere come forma permutata in un sistema filecome /etc/passwd.
  • Il nome host del sistema (sempre una prima ipotesi).
  • Qualsiasi parola o frase che appare in un dizionario o altra fonte ben nota, inclusi dizionari e thesaurus in lingue diverse dall'inglese; opere di scrittori classici o popolari; o parole e frasi comuni di sport, detti, film o programmi televisivi.
  • Permutazioni su uno qualsiasi dei precedenti, ad esample, una parola del dizionario con le lettere sostituite da cifre ( r00t) o con cifre aggiunte alla fine.
  • Qualsiasi password generata dalla macchina. Gli algoritmi riducono lo spazio di ricerca dei programmi che indovinano la password e quindi non devono essere utilizzati.

Download di pacchetti software da Juniper Networks
Puoi scaricare il pacchetto software del sistema operativo Junos per il tuo dispositivo da Juniper Networks websito.
Prima di iniziare a scaricare il software, assicurati di disporre di un Juniper Networks Web account e un contratto di supporto valido. Per ottenere un account, completare il modulo di registrazione su Juniper Networks websito: https://userregistration.juniper.net/.
Per scaricare pacchetti software da Juniper Networks:

  1. Utilizzando un Web browser, seguire i collegamenti per il download URL sulle reti Juniper webpagina. https://support.juniper.net/support/downloads/
  2. Accedi al sistema di autenticazione Juniper Networks utilizzando il nome utente (generalmente il tuo indirizzo e-mail) e la password forniti dai rappresentanti Juniper Networks.
  3. Scarica il software. Vedere Download del software.

DOCUMENTAZIONE CORRELATA
Guida all'installazione e all'aggiornamento
Installazione del software su un dispositivo con singolo motore di routing
È possibile utilizzare questa procedura per aggiornare il sistema operativo Junos sul dispositivo con un singolo motore di routing.
Per installare gli aggiornamenti software su un dispositivo con un singolo motore di routing:

  1. Scaricare il pacchetto software come descritto in Download di pacchetti software da Juniper Networks.
  2. Se non lo hai già fatto, connettiti alla porta della console sul dispositivo dal dispositivo di gestione e accedi alla CLI del sistema operativo Junos.
  3. (Facoltativo) Eseguire il backup della configurazione software corrente in una seconda opzione di archiviazione. Vedi il Guida all'installazione e all'aggiornamento del software per istruzioni su come eseguire questa attività.
  4. (Facoltativo) Copiare il pacchetto software sul dispositivo. Ti consigliamo di utilizzare FTP per copiare il file file nella directory /var/tmp/.
    Questo passaggio è facoltativo perché il sistema operativo Junos può essere aggiornato anche quando l'immagine del software è archiviata in una posizione remota. Queste istruzioni descrivono il processo di aggiornamento del software per entrambi gli scenari.
  5. Installa il nuovo pacchetto sul dispositivo: Per REMX2K-X8: utente@host> richiedi l'aggiunta del software vmhost
    Per RE1800: utente@host> richiesta aggiunta software di sistema
    Sostituisci il pacchetto con uno dei seguenti percorsi:
    • Per un pacchetto software in una directory locale sul dispositivo, utilizzare /var/tmp/package.tgz.
    • Per un pacchetto software su un server remoto, utilizzare uno dei seguenti percorsi, sostituendo pacchetto di opzioni variabili con il nome del pacchetto software.
    ftp://nomehost/nomepercorso/pacchetto.tgz
    • ftp://nomehost/nomepercorso/pacchetto.tgz
  6. Riavviare il dispositivo per caricare l'installazione:
    Per REMX2K-X8:
    utente@host> richiede il riavvio di vmhost
    Per RE1800:
    utente@host> richiede il riavvio del sistema
  7. Una volta completato il riavvio, accedi e utilizza il comando show version per verificare che la nuova versione del software sia stata installata correttamente.
    utente@host> mostra versione
    Modello: MX960
    Giunone: 20.3X75-D30.1
    Kernel sistema operativo JUNOS a 64 bit [20210722.b0da34e0_builder_stable_11-204ab] Librerie sistema operativo JUNOS [20210722.b0da34e0_builder_stable_11-204ab] Runtime sistema operativo JUNOS [20210722.b0da34e0_builder_stable_11-204ab] Informazioni sul fuso orario del sistema operativo JUNOS [ 20210722.b0da34e0_builder_stable_11-204ab] Stack di rete e utilità JUNOS [20210812.200100_builder_junos_203_x75_d30] Librerie JUNOS [20210812.200100_builder_junos_203_x75_d30] Librerie sistema operativo JUNOS compat32 [20210722.b0da34e0_builder_stable_11-204ab] Sistema operativo JUNOS 32 Compatibilità a 20210722 bit [0.b34da0e11_builder_stable_204-32ab] JUNOS libs compat20210812.200100 [203_builder_junos_75_x30_d20210812.200100] JUNOS runtime [203_builder_junos_75_x30_d20210812.200100] JUNOS s flusso mx [203_builder_junos_75_x30_d2] Estensioni py JUNOS20210812.200100 [203_builder_junos_75_x30_d20210812.200100] Estensioni py JUNOS [203_builder_junos_75_x30_d2] JUNOS py base20210812.200100 [203_builder_junos_75_x30_d20210812.200100] JUNOS py base [203_builder_junos_75_x30_d20210722] Sistema operativo JUNOS crypto [0.b34da0e11_builder_stable_204-XNUMXab] Sistema operativo JUNOS boot-ve files [20210722.b0da34e0_builder_stable_11-204ab] JUNOS na telemetria [20.3X75-D30.1] JUNOS Security Intelligence [20210812.200100_builder_junos_203_x75_d30] JUNOS mx libs compat32 [20210812.200100_builder _junos_203_x75_d30] Runtime JUNOS mx [20210812.200100_builder_junos_203_x75_d30] Applicazione di telemetria JUNOS RPD [20.3X75-D30.1 .20210812.200100] Redis [203_builder_junos_75_x30_d20210812.200100] Utilità sonda JUNOS [203_builder_junos_75_x30_d20210812.200100] Supporto piattaforma comune JUNOS [203_builder_junos_75_x30_d20.3] JU NOS Openconfig [75X30.1-D20210812.200100] Moduli di rete JUNOS mtx [203_builder_junos_75_x30_d20210812.200100] Moduli JUNOS [203_builder_junos_75_x30_d20210812.200100] Moduli JUNOS mx [203_builder_junos_75_x30_d20210812.200100] JUNOS mx libs [203_builder_junos_75_x30_d20210812.200100] Daemon di sincronizzazione SQL JUNOS [203_builder_junos_75_x30_d20210812.200100] JU Supporto crittografia NOS mtx Data Plane [203_builder_junos_75_x30_d20210812.200100] Demoni JUNOS [203_builder_junos_75_x30_d20210812.200100] Demoni JUNOS mx [203_builder_junos_75_x30 _d20210812.200100] Demone di identificazione dell'applicazione JUNOS appidd-mx [203_builder_junos_75_x30_dXNUMX] Servizi JUNOS URL Pacchetto filtro [20210812.200100_builder_junos_203_x75_d30] Pacchetto PIC servizio TLB servizi JUNOS [20210812.200100_builder_junos_203_x75_d30] Telemetria servizi JUNOS [20210812.200100_builder_junos_203_x75_d30 ] Servizi JUNOS TCP-LOG [20210812.200100_builder_junos_203_x75_d30] Servizi JUNOS SSL [20210812.200100_builder_junos_203_x75_d30] Servizi JUNOS SOFTWIRE [20210812.200100_builder_junos_203_x75_d30 ] Servizi JUNOS Stateful Firewall [20210812.200100_builder_junos_203_x75_d30] Servizi JUNOS RTCOM [20210812.200100_builder_junos_203_x75_d30] RPM servizi JUNOS [20210812.200100_builder_junos_203_x75_d30] Pacchetto PCEF servizi JUNOS [20210812.200100_builder_junos_203_x75_d30] NAT dei servizi JUNOS [20210812.200100_builder_junos_203_x75_d30] Pacchetto contenitore del servizio per abbonati JUNOS Services Mobile
    [20210812.200100_builder_junos_203_x75_d30] Pacchetto software JUNOS Services MobileNext [20210812.200100_builder_junos_203_x75_d30] Pacchetto framework report di registrazione servizi JUNOS [20210812.200100_builder_junos_203_x75_d30 ] Pacchetto contenitore JUNOS Services LL-PDF [20210812.200100_builder_junos_203_x75_d30] Pacchetto contenitore JUNOS Services Jflow [20210812.200100_builder_junos_203_x75_d30] Pacchetto JUNOS Services Deep Packet Inspection [ 20210812.200100_builder_junos_203_x75_d30] Servizi JUNOS IPSec [20210812.200100_builder_junos_203_x75_d30] IDS servizi JUNOS [20210812.200100_builder_junos_203_x75_d30] Servizi IDP JUNOS [ 20210812.200100_builder_junos_203_x75_d30] Pacchetto di gestione dei contenuti HTTP dei servizi JUNOS [20210812.200100_builder_junos_203_x75_d30] Servizi JUNOS Crypto [20210812.200100_builder_junos_203_x75_d30] Captive Portal e servizi JUNOS Pacchetto contenitore per la distribuzione dei contenuti
    [20210812.200100_builder_junos_203_x75_d30] Servizi JUNOS COS [20210812.200100_builder_junos_203_x75_d30] Servizi JUNOS AppId [20210812.200100_builder_junos_203_x75_d30] Livello di applicazione dei servizi JUNOS Gateway [20210812.200100_builder_junos_203_x75_d30] Pacchetto contenitore AACL servizi JUNOS [20210812.200100_builder_junos_203_x75_d30] Suite software SDN JUNOS [20210812.200100_builder_junos_203_x75_d30] JUNOS Kit di strumenti di estensione [20210812.200100_builder_junos_203_x75_d30 ] Supporto motore di inoltro pacchetti JUNOS (wrlinux9) [20210812.200100_builder_junos_203_x75_d30] Supporto motore di inoltro pacchetti JUNOS (ulc) [20210812.200100_builder_junos_203_x75_d30] Supporto motore di inoltro pacchetti JUNOS (MXSPC3) [20.3X75 30.1-D2000] Supporto motore di inoltro pacchetti JUNOS (X20210812.200100) [ 203_builder_junos_75_x30_d20.3] Supporto FIPS motore di inoltro pacchetti JUNOS [75X30.1-DXNUMX] Supporto motore di inoltro pacchetti JUNOS (M/T comune)
    [20210812.200100_builder_junos_203_x75_d30] Supporto motore di inoltro pacchetti JUNOS (a poppa)

Comprendere l'azzeramento per cancellare i dati di sistema per la modalità FIPS
IN QUESTA SEZIONE
Perché azzerare? | 26
Quando azzerare? | 26
La zeroizzazione cancella completamente tutte le informazioni di configurazione sui motori di routing, comprese tutte le password in testo normale, i segreti e le chiavi private per SSH, crittografia locale, autenticazione locale e IPsec.
Crypto Officer avvia il processo di azzeramento inserendo il comando operativo request vmhost zeroize no-forwarding per REMX2K-X8 e request system zeroize per RE1800.
SHEARWATER 17001 Trasmettitore di pressione con integrazione dell'aria - icona 3 ATTENZIONE: Eseguire l'azzeramento del sistema con attenzione. Una volta completato il processo di azzeramento, nel motore di routing non viene lasciato alcun dato. Il dispositivo viene riportato allo stato predefinito di fabbrica, senza utenti o configurazioni configurati files.
L'azzeramento può richiedere molto tempo. Sebbene tutte le configurazioni vengano rimosse in pochi secondi, il processo di azzeramento prosegue sovrascrivendo tutti i supporti, il che può richiedere molto tempo a seconda delle dimensioni del supporto.
Perché azzerare?
Il tuo dispositivo non è considerato un modulo crittografico FIPS valido finché tutti i parametri critici di sicurezza (CSP) non sono stati immessi o reinseriti mentre il dispositivo è in modalità FIPS.
Per la conformità FIPS 140-2, è necessario azzerare il sistema per rimuovere informazioni riservate prima di disabilitare la modalità FIPS sul dispositivo.
Quando azzerare?
In qualità di Crypto Officer, esegui l'azzeramento nelle seguenti situazioni:

  • Prima di abilitare la modalità operativa FIPS: per preparare il dispositivo al funzionamento come modulo crittografico FIPS, eseguire l'azzeramento prima di abilitare la modalità FIPS.
  • Prima di disabilitare la modalità operativa FIPS: per iniziare a riutilizzare il dispositivo per operazioni non FIPS, eseguire l'azzeramento prima di disabilitare la modalità FIPS sul dispositivo.
    NOTA: Juniper Networks non supporta l'installazione di software non FIPS in un ambiente FIPS, ma ciò potrebbe essere necessario in alcuni ambienti di test. Assicurati di azzerare prima il sistema.

Azzerare il sistema
Per azzerare il tuo dispositivo, segui la procedura seguente:

  1. Accedi al dispositivo come Crypto Officer e dalla CLI, inserisci il seguente comando.
    Per REMX2K-X8:
    crypto-officer@host> request vmhost zeroize no-forwarding VMHost Zeroization: cancella tutti i dati, inclusi configurazione e registro fileS ? [sì,no] (no) sì
    re0:
    Per REMX2K-X8:
    crypto-officer@host> richiede l'azzeramento del sistema
    Azzeramento del sistema: cancella tutti i dati, inclusi configurazione e registro fileS ?
    [sì,no] (no) sì
    re0:
  2. Per avviare il processo di azzeramento, digitare sì al prompt:
    Cancella tutti i dati, inclusi configurazione e registro fileS? [sì, no] (no) sì Cancella tutti i dati, inclusi configurazione e registro fileS? [sì, no] (no) sì
    re0: ———————–avviso: azzeramento
    re0 … …
    L'intera operazione può richiedere molto tempo a seconda delle dimensioni del supporto, ma tutti i parametri critici di sicurezza (CSP) vengono rimossi in pochi secondi. L’ambiente fisico deve rimanere sicuro fino al completamento del processo di azzeramento.

Abilitazione della modalità FIPS
Quando il sistema operativo Junos è installato su un dispositivo e il dispositivo è acceso, è pronto per essere configurato.
Inizialmente, accedi come utente root senza password. Quando accedi come root, la tua connessione SSH è abilitata per impostazione predefinita.
In qualità di Crypto Officer, è necessario stabilire una password root conforme ai requisiti della password FIPS in “Informazioni sulle specifiche e linee guida delle password per il sistema operativo Junos in modalità FIPS” a pagina 20. Quando si abilita la modalità FIPS nel sistema operativo Junos sul dispositivo, non è possibile configurare le password a meno che non soddisfino questo standard.
Le password locali vengono crittografate con l'algoritmo hash sicuro SHA256 o SHA512. Il recupero della password non è possibile nel sistema operativo Junos in modalità FIPS. Il sistema operativo Junos in modalità FIPS non può essere avviato in modalità utente singolo senza la password root corretta.
Per abilitare la modalità FIPS nel sistema operativo Junos sul dispositivo:

  1. Azzerare il dispositivo per eliminare tutti i CSP prima di accedere alla modalità FIPS. Fare riferimento alla sezione "Comprensione dell'azzeramento per cancellare i dati di sistema per la modalità FIPS" a pagina 25 per i dettagli.
  2. Dopo che il dispositivo è entrato in "modalità Amnesiac", accedi utilizzando il nome utente root e la password "" (vuoto).
    Accesso a FreeBSD/amd64 (Amnesiac) (ttyu0): root
    — JUNOS 20.3X75-D30.1 Kernel a 64 bit JNPR-11.0-20190701.269d466_buil root@:~ # cli root>
  3. Configura l'autenticazione root con una password di almeno 10 caratteri o più.
    root> modifica Accesso alla modalità di configurazione [modifica] root# imposta la password di testo semplice per l'autenticazione root del sistema
    Nuova password:
    Digita nuovamente la nuova password: [modifica] root# commit commit completato
  4. Carica la configurazione sul dispositivo e conferma la nuova configurazione. Configura Crypto-Officer e accedi con le credenziali di Crypto-Officer.
  5. Installa il pacchetto fips-mode necessario per Routing Engine KATS.
    root@nomehost> richiedi software di sistema aggiungi optional://fips-mode.tgz
    Modalità fips verificata firmata dal metodo PackageDevelopmentEc_2017 ECDSA256+SHA256
  6. Per i dispositivi della serie MX,
    • Configurare i fip di confine dello chassis impostando set system fips chassis livello 1 e commit.
    • Configurare i fip di confine RE impostando i fip di sistema impostati al livello 1 e confermare.
    Il dispositivo potrebbe visualizzare la password crittografata che deve essere riconfigurata per utilizzare l'avviso hash conforme a FIPS per eliminare i CSP precedenti nella configurazione caricata.
  7. Dopo aver eliminato e riconfigurato i CSP, il commit verrà eseguito e il dispositivo dovrà essere riavviato per accedere alla modalità FIPS. [modifica] commit crypto-officer@hostname#
    Generazione della chiave RSA /etc/ssh/fips_ssh_host_key
    Generazione della chiave RSA2 /etc/ssh/fips_ssh_host_rsa_key
    Generazione della chiave ECDSA /etc/ssh/fips_ssh_host_ecdsa_key
    [modifica] sistema
    è necessario il riavvio per passare al livello FIPS 1 commit completato [modifica] crypto-officer@hostname# esegui richiesta vmhost riavvio
  8. Dopo aver riavviato il dispositivo, verranno eseguiti gli autotest FIPS e il dispositivo entrerà in modalità FIPS. crypto-officer@nomehost: fips>

DOCUMENTAZIONE CORRELATA
Comprendere le specifiche e le linee guida delle password per il sistema operativo Junos in modalità FIPS | 20
Configurazione del Crypto Officer e dell'identificazione e dell'accesso utente FIPS
IN QUESTA SEZIONE
Configurazione dell'accesso al Crypto Officer | 30
Configurazione dell'accesso utente FIPS | 32
Crypto Officer abilita la modalità FIPS sul tuo dispositivo ed esegue tutte le attività di configurazione per il sistema operativo Junos in modalità FIPS ed emette istruzioni e comandi per tutti i sistemi operativi Junos in modalità FIPS. Le configurazioni degli utenti Crypto Officer e FIPS devono seguire le linee guida del sistema operativo Junos in modalità FIPS.
Configurazione dell'accesso al Crypto Officer
Il sistema operativo Junos in modalità FIPS offre una granularità delle autorizzazioni utente più precisa rispetto a quelle richieste da FIPS 140-2.
Per la conformità FIPS 140-2, qualsiasi utente FIPS con i bit di autorizzazione segreti, di sicurezza, di manutenzione e di controllo impostati è un responsabile della crittografia. Nella maggior parte dei casi per il Crypto Officer è sufficiente la classe di superutente.
Per configurare l'accesso per un responsabile della crittografia:

  1. Accedi al dispositivo con la password di root, se non l'hai già fatto, ed entra in modalità di configurazione: root@nomehost> modifica Accesso alla modalità di configurazione [modifica] root@nomehost#
  2. Assegna un nome all'utente Crypto-Officer e assegna al Crypto Officer un ID utente (ad esample, 6400, che deve essere un numero univoco associato all'account di accesso compreso tra 100 e 64000) e una classe (ad es.ample, superutente). Quando assegni la classe, assegni le autorizzazioni, ad esample, segreto, sicurezza, manutenzione e controllo.
    Per un elenco delle autorizzazioni, vedere Informazioni sui livelli di privilegio di accesso del sistema operativo Junos.
    [modifica] root@hostname# imposta l'accesso al sistema utente nome utente uid valore classe nome-classe
    Per esempioampon:
    [modifica] root@hostname# imposta l'accesso al sistema utente crypto-officer uid 6400 superutente di classe
  3. Seguendo le linee guida in “Informazioni sulle specifiche delle password e linee guida per il sistema operativo Junos in modalità FIPS” a pagina 20, assegnare al responsabile della crittografia una password in testo semplice per l'autenticazione dell'accesso. Impostare la password digitandola dopo le istruzioni Nuova password e Ridigita nuova password.
    [modifica] root@hostname# imposta l'accesso al sistema utente nome utente classe autenticazione nome classe (plain-testpassword |
    password crittografata)
    Per esempioampon:
    [modifica] root@hostname# imposta l'accesso al sistema utente cripto-ufficiale classe superutente autenticazione password in testo normale
  4. Facoltativamente, visualizzare la configurazione:
    [modifica] root@nomehost# modifica sistema
    [modifica sistema] root@nomehost# mostra
    login {
    utente cripto-ufficiale {
    uid 6400;
    autenticazione {
    password crittografata " ”; ## DATI SEGRETI
    }
    superutente della classe;
    }
    }
  5. Se hai finito di configurare il dispositivo, conferma la configurazione ed esci:
    [modifica] root@nomehost# commit commit completato
    root@nomehost# esce

Configurazione dell'accesso utente FIPS
Un utente FIPS è definito come qualsiasi utente FIPS che non dispone dei bit di autorizzazione relativi a segreto, sicurezza, manutenzione e controllo impostati.
In qualità di responsabile della crittografia, imposti gli utenti FIPS. Agli utenti FIPS non possono essere concesse autorizzazioni normalmente riservate al Crypto Officer, ad esample, il permesso di azzerare il sistema.
Per configurare l'accesso per un utente FIPS:

  1. Accedi al dispositivo con la tua password Crypto Officer se non l'hai già fatto ed entra in modalità configurazione:
    crypto-officer@nomehost:fips> modifica
    Accesso alla modalità di configurazione
    [modifica] crypto-officer@nomehost:fips#
  2. Assegna all'utente un nome utente e assegna all'utente un ID utente (ad esample, 6401, che deve essere un numero univoco compreso tra 1 e 64000) e una classe. Quando assegni la classe, assegni le autorizzazioni, ad esample, cancella, rete, ripristinaview, E view-configurazione.
    [modifica] crypto-officer@hostname:fips# imposta l'accesso al sistema nome utente utente valore uid classe nome classe Per es.ampon:
    [modifica] crypto-officer@hostname:fips# imposta l'utente di accesso al sistema fips-user1 uid 6401 classe di sola lettura
  3. Seguendo le linee guida in "Informazioni sulle specifiche delle password e linee guida per il sistema operativo Junos" in
    Modalità FIPS” a pagina 20, assegnare all'utente FIPS una password in testo semplice per l'autenticazione dell'accesso. Impostare la password digitandola dopo le istruzioni Nuova password e Ridigita nuova password.
    [modifica] crypto-officer@hostname:fips# imposta l'accesso al sistema nome utente utente classe autenticazione nome classe (password in testo semplice | password crittografata)
    Per esempioampon:
    [modifica] crypto-officer@hostname:fips# imposta l'utente di accesso al sistema fips-user1 classe autenticazione di sola lettura password di testo semplice
  4. Facoltativamente, visualizzare la configurazione:
    [modifica] crypto-officer@hostname:fips# modifica sistema [modifica sistema] crypto-officer@hostname:fips# mostra
    login {
    utente fips-utente1 {
    uid 6401;
    autenticazione {
    password crittografata " ”; ## DATI SEGRETI
    }
    classe di sola lettura;
    }
    }
  5. Se hai finito di configurare il dispositivo, conferma la configurazione ed esci:
    [modifica] crypto-officer@hostname:fips# commit
    crypto-officer@nomehost:fips# uscita

Configurazione della connessione SSH e console

Configurazione di SSH sulla configurazione valutata per FIPS
SSH tramite interfaccia di gestione remota consentita nella configurazione valutata. Questo argomento descrive come configurare SSH tramite la gestione remota.
I seguenti algoritmi devono essere configurati per convalidare SSH per FIPS.
Per configurare SSH sul DUT:

  1. Specificare gli algoritmi chiave host SSH consentiti per i servizi di sistema.
    [modifica] utente@host# imposta i servizi di sistema ssh hostkey-algorithm ssh-ecdsa
    user@host# imposta i servizi di sistema ssh hostkey-algorithm no-ssh-dss
    user@host# imposta i servizi di sistema ssh hostkey-algorithm ssh-rsa
  2. Specificare lo scambio di chiavi SSH per le chiavi Diffie-Hellman per i servizi di sistema.
    [modifica] utente@host# imposta i servizi di sistema ssh key-exchange dh-group14-sha1
    user@host# imposta i servizi di sistema ssh key-exchange ecdh-sha2-nistp256
    user@host# imposta i servizi di sistema ssh key-exchange ecdh-sha2-nistp384
    user@host# imposta i servizi di sistema ssh key-exchange ecdh-sha2-nistp521
  3. Specificare tutti gli algoritmi del codice di autenticazione dei messaggi consentiti per SSHv2
    [modifica] utente@host# imposta i servizi di sistema ssh macs hmac-sha1
    utente@host# imposta i servizi di sistema ssh macs hmac-sha2-256
    utente@host# imposta i servizi di sistema ssh macs hmac-sha2-512
  4. Specificare le cifre consentite per la versione 2 del protocollo.
    [modifica] utente@host# imposta i servizi di sistema codici ssh aes128-cbc
    utente@host# imposta i servizi di sistema codici ssh aes256-cbc
    user@host# imposta i servizi di sistema codici ssh aes128-ctr
    user@host# imposta i servizi di sistema codici ssh aes256-ctr
    utente@host# imposta i servizi di sistema codici ssh aes192-cbc
    user@host# imposta i servizi di sistema codici ssh aes192-ctr
    Algoritmo della chiave host SSH supportato:
    ssh-ecdsa Consente la generazione della chiave host ECDSA
    ssh-rsa Consente la generazione della chiave host RSA
    Algoritmo di scambio di chiavi SSH supportato:
    ecdh-sha2-nistp256 EC Diffie-Hellman su nistp256 con SHA2-256
    ecdh-sha2-nistp384 EC Diffie-Hellman su nistp384 con SHA2-384
    ecdh-sha2-nistp521 EC Diffie-Hellman su nistp521 con SHA2-512
    Algoritmo MAC supportato:
    hmac-sha1 MAC basato su hash che utilizza Secure Hash Algorithm (SHA1)
    hmac-sha2-256 MAC basato su hash che utilizza Secure Hash Algorithm (SHA2)
    hmac-sha2-512 MAC basato su hash che utilizza Secure Hash Algorithm (SHA2)
    Algoritmo di cifratura SSH supportato:
    aes128-cbc AES a 128 bit con concatenamento di blocchi cifrati
    aes128-ctr AES a 128 bit con modalità contatore
    aes192-cbc AES a 192 bit con concatenamento di blocchi cifrati
    aes192-ctr AES a 192 bit con modalità contatore
    aes256-cbc AES a 256 bit con concatenamento di blocchi cifrati
    aes256-ctr AES a 256 bit con modalità contatore

Configurazione di MACsec

Informazioni sulla sicurezza del controllo dell'accesso multimediale (MACsec) in modalità FIPS
Media Access Control Security (MACsec) è una tecnologia di sicurezza standard di settore 802.1AE IEEE che fornisce comunicazioni sicure per tutto il traffico sui collegamenti Ethernet. MACsec fornisce sicurezza punto a punto sui collegamenti Ethernet tra nodi direttamente connessi ed è in grado di identificare e prevenire la maggior parte delle minacce alla sicurezza, tra cui negazione del servizio, intrusione, man-in-the-middle, mascheramento, intercettazioni passive e attacchi di riproduzione.
MACsec consente di proteggere il collegamento Ethernet punto a punto per quasi tutto il traffico, inclusi i frame provenienti da Link Layer Discovery Protocol (LLDP), Link Aggregation Control Protocol (LACP), Dynamic Host Configuration Protocol (DHCP), Address Risoluzione Protocol (ARP), e altri protocolli che in genere non sono protetti su un collegamento Ethernet a causa delle limitazioni di altre soluzioni di sicurezza. MACsec può essere utilizzato in combinazione con altri protocolli di sicurezza come IP Security (IPsec) e Secure Sockets Layer (SSL) per fornire sicurezza di rete end-to-end.
MACsec è standardizzato in IEEE 802.1AE. Lo standard IEEE 802.1AE può essere visto nell'organizzazione IEEE websito su IEEE 802.1: PONTE E GESTIONE.
Ogni implementazione di un algoritmo viene controllata da una serie di autotest KAT (known Answer Test) e da validazioni di algoritmi crittografici (CAV). I seguenti algoritmi crittografici vengono aggiunti specificatamente per MACsec.

  • Codice di autenticazione dei messaggi cifrati (CMAC) Advanced Encryption Standard (AES)
  • Avvolgimento chiave AES (Advanced Encryption Standard).
    Per MACsec, in modalità di configurazione, utilizzare il comando prompt per immettere un valore di chiave segreta di 64 caratteri esadecimali per l'autenticazione.
    [modifica] crypto-officer@hostname:fips# prompt security macsec connettività-associazione pre-chiave condivisa cak
    Nuovo dolce (segreto):
    Ridigita nuovo cak (segreto):

Personalizzazione del tempo
Per personalizzare l'ora, disabilita NTP e imposta la data.

  1. Disabilita NTP.
    [modifica] crypto-officer@hostname:fips# disattiva i gruppi sistema globale ntp
    crypto-officer@hostname:fips# disattiva il sistema ntp
    crypto-officer@nomehost:fips# commit
    crypto-officer@nomehost:fips# uscita
  2. Impostazione data e ora. Il formato della data e dell'ora è AAAAMMGGGHHMM.ss
    [modifica] crypto-officer@hostname:fips# data impostata 201803202034.00
    crypto-officer@hostname:fips# imposta l'orario della cliamp
  3. Imposta i dettagli del canale sicuro MACsec Key Agreement (MKA).
    [modifica] crypto-officer@hostname:fips# imposta sicurezza macsec connettività-associazione connettività nome associazione canale sicuro nome-canale sicuro direzione (in entrata | in uscita) crypto-officer@hostname:fips# imposta sicurezza macsec connettività-associazione connettivitàassociazione -name secure-channel secure-channel-name crittografia (MACsec) crypto-officer@nomehost:fips# imposta sicurezza macsec associazione-connettività nome-associazione-connessione secure-channel secure-channel-name id indirizzo-mac /”indirizzo-mac crittografato- officer@hostname:fips# imposta sicurezza macsec connettività-associazione nome-associazione connettività canale-securizzato-nome-canale-id id-porta numero-id-porta crypto-officer@nome-host:fips# imposta sicurezza macsec associazione-connettività connettività-nome-associazione secure -channel offset nome canale sicuro "(0|30|50) crypto-officer@nomehost:fips# imposta sicurezza macsec associazione connettività nome associazione connettività canale sicuro nome canale sicuro associazione sicurezza numero associazione sicurezza chiave chiave- corda
  4. Imposta la MKA in modalità di sicurezza.
    [modifica] crypto-officer@hostname:fips# imposta sicurezza macsec associazione-connettività nome-associazione connettività modalità-sicurezza modalità-sicurezza
  5. Assegnare l'associazione di connettività configurata con un'interfaccia MACsec specificata.
    [modifica] crypto-officer@hostname:fips# imposta sicurezza interfacce macsec nome-interfaccia associazione-connettività nome-associazione-connettività

Configurazione di MACsec statico con traffico ICMP
Per configurare MACsec statico utilizzando il traffico ICMP tra il dispositivo R0 e il dispositivo R1:
Nell'R0:

  1. Creare la chiave precondivisa configurando il nome della chiave di associazione di connettività (CKN) e la chiave di associazione di connettività (CAK)
    [modifica] crypto-officer@hostname:fips# set security macsec connettività-associazione CA1 pre-sharedkey ckn 2345678922334455667788992223334445556667778889992222333344445555
    crypto-officer@hostname:fips# imposta sicurezza macsec connettività-associazione CA1 pre-chiave condivisa cak 23456789223344556677889922233344 crypto-officer@hostname:fips# imposta sicurezza macsec connettività-associazione CA1 offset 30
  2. Impostare i valori delle opzioni di traccia.
    [modifica] crypto-officer@hostname:fips# imposta le opzioni di tracciabilità di sicurezza macsec file MACsec.log
    crypto-officer@hostname:fips# imposta le opzioni di tracciabilità di sicurezza macsec file taglia 4000000000
    crypto-officer@hostname:fips# imposta sicurezza macsec traceoptions flag tutto
  3. Assegnare la traccia ad un'interfaccia.
    [modifica] crypto-officer@hostname:fips# imposta le interfacce macsec di sicurezza nome-interfaccia traceoptions file mka_xe dimensione 1g crypto-officer@nomehost:fips# imposta sicurezza interfacce macsec nome-interfaccia traceoptions flag tutto
  4. Configura la modalità di sicurezza MACsec come static-cak per l'associazione di connettività. [modifica] crypto-officer@hostname:fips# imposta sicurezza macsec connettività-associazione CA1 modalità di sicurezza static-cak
  5. Imposta la priorità del server delle chiavi MKA.
    [modifica] crypto-officer@hostname:fips# imposta sicurezza macsec connettività-associazione CA1 mka key-serverpriority 1
  6. Imposta l'intervallo di trasmissione MKA.
    [modifica] crypto-officer@hostname:fips# imposta sicurezza macsec connettività-associazione CA1 mka intervallo di trasmissione 3000
  7. Abilita la sicurezza MKA.
    [modifica] crypto-officer@hostname:fips# imposta sicurezza macsec connettività-associazione CA1 mka dovrebbe essere sicuro
    crypto-officer@hostname:fips# imposta sicurezza macsec connettività-associazione CA1 include-sci
  8. Assegnare l'associazione di connettività a un'interfaccia.
    [modifica] crypto-officer@hostname:fips# imposta le interfacce macsec di sicurezza nome-interfaccia connettivitàassociazione
    CA1
    crypto-officer@hostname:fips# imposta interfacce nome-interfaccia unità 0 famiglia indirizzo inet 10.1.1.1/24

Nell'R1:

  1. Creare la chiave precondivisa configurando il nome della chiave di associazione di connettività (CKN) e la chiave di associazione di connettività (CAK)
    [modifica] crypto-officer@hostname:fips# set security macsec connettività-associazione CA1 pre-sharedkey ckn 2345678922334455667788992223334445556667778889992222333344445555 crypto-officer@hostname:fips# set security macsec connettività-associazione CA1 pre-sharedkey cak 23456789223344556677889922233344 crypto-officer@hostname:fips # imposta l'offset CA1 dell'associazione connettività macsec di sicurezza 30
  2. Impostare i valori delle opzioni di traccia.
    [modifica] crypto-officer@hostname:fips# imposta le opzioni di tracciabilità di sicurezza macsec file MACsec.log crypto-officer@hostname:fips# imposta le opzioni di tracciabilità macsec di sicurezza file dimensione 4000000000 crypto-officer@hostname:fips# imposta sicurezza macsec traceoptions contrassegna tutto
  3. Assegnare la traccia ad un'interfaccia. [modifica] crypto-officer@hostname:fips# imposta le interfacce macsec di sicurezza nome-interfaccia traceoptions file mka_xe dimensione 1g crypto-officer@nomehost:fips# imposta sicurezza interfacce macsec nome-interfaccia traceoptions flag tutto
  4. Configura la modalità di sicurezza MACsec come static-cak per l'associazione di connettività. [modifica] crypto-officer@hostname:fips# imposta sicurezza macsec connettività-associazione CA1 modalità di sicurezza static-cak
  5. Imposta l'intervallo di trasmissione MKA.
    [modifica] crypto-officer@hostname:fips# imposta sicurezza macsec connettività-associazione CA1 mka intervallo di trasmissione 3000
  6. Abilita la sicurezza MKA. [modifica] crypto-officer@hostname:fips# imposta sicurezza macsec connettività-associazione CA1 mka Shouldsecure crypto-officer@hostname:fips# imposta sicurezza macsec connettività-associazione CA1 include-sci
  7. Assegnare l'associazione di connettività a un'interfaccia. [modifica] crypto-officer@hostname:fips# imposta sicurezza macsec interfacce nome-interfaccia connettivitàassociazione CA1 crypto-officer@hostname:fips# imposta interfacce nome-interfaccia unità 0 famiglia indirizzo inet 10.1.1.2/24

Configurazione di MACsec con portachiavi utilizzando traffico ICMP
Per configurare MACsec con portachiavi utilizzando il traffico ICMP tra il dispositivo R0 e il dispositivo R1:
Nell'R0:

  1. Assegnare un valore di tolleranza alla catena di chiavi di autenticazione. [modifica] crypto-officer@hostname:fips# imposta sicurezza autenticazione-portachiavi portachiavi macsec-kc1 tolleranza 20
  2. Crea la password segreta da utilizzare. È una stringa di cifre esadecimali lunga fino a 64 caratteri. La password può includere spazi se la stringa di caratteri è racchiusa tra virgolette. I dati segreti del portachiavi vengono utilizzati come CAK.
    [modifica] crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 0 key-name 2345678922334455667788992223334445556667778889992222333344445551 crypto-officer@hostname:fips# set security authentication-key-chains key -catena macsec- Chiave kc1 0 ora di inizio 2018-03-20.20:35 crypto-officer@hostname:fips# imposta sicurezza portachiavi-autenticazione portachiavi macsec-kc1 chiave 1 nome-chiave 2345678922334455667788992223334445556667778889992222333344445552 1 crypto-officer@hostname:fips# imposta la sicurezza portachiavi-di-autenticazione portachiavi macsec-kc1 chiave 2018 ora di inizio 03-20.20-37:1 crypto-officer@nomehost:fips# set security portachiavi-di-autenticazione portachiavi macsec-kc2 chiave 2345678922334455667788992223334445556667778889992222333344445553 nome-chiave 1 2 crypto-officer@hostname:fips# imposta security authentication-key-chains key-chain macsec-kc2018 key 03 start-time 20.20-39-1:3 crypto-officer@hostname:fips# imposta security authentication-key-chains key- catena macsec-kc2345678922334455667788992223334445556667778889992222333344445554 chiave 1 nome-chiave 3 crypto-officer@nomehost:fips# imposta sicurezza portachiavi-autenticazione catena chiave macsec-kc2018 chiave 03 ora di inizio 20.20-41-1 .4:2345678922334455667788992223334445556667778889992222333344445555 crypto-officer@nomehost:fips # imposta sicurezza autenticazione-portachiavi portachiavi macsec-kc1 chiave 4 nome-chiave 2018 crypto-officer@nomehost:fips# imposta sicurezza autenticazione-portachiavi portachiavi macsec-kc03 chiave 20.20 start- tempo 43-1- 5:2345678922334455667788992223334445556667778889992222333344445556 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 5 key-name 2018 crypto-officer@hostname:fips# set security authentication- portachiavi portachiavi macsec- Chiave kc03 20.20 ora di inizio 45-1-6:2345678922334455667788992223334445556667778889992222333344445557 crypto-officer@nomehost:fips# imposta sicurezza portachiavi-autenticazione catena chiave macsec-kc1 chiave 6 nome-chiave 2018 03 crypto-officer@hostname:fips# imposta la sicurezza portachiavi-di-autenticazione portachiavi macsec-kc20.20 chiave 47 ora di inizio 1-7-2345678922334455667788992223334445556667778889992222333344445558:1 crypto-officer@nomehost:fips# set security portachiavi-di-autenticazione portachiavi macsec-kc7 chiave 2018 nome-chiave 03 20.20 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc49 key XNUMX start-time XNUMX-XNUMX-XNUMX:XNUMX Utilizzare il comando prompt per inserire un valore di chiave segreta. Per esample, il valore della chiave segreta è 2345678922334455667788992223334123456789223344556677889922233341. ret): cripto-ufficiale @hostname:fips# prompt security authentication-key-chains key-chain macseckc1 chiave 0 segreto Nuovo cak (segreto):
    Ridigita nuovo cak (segreto): crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macseckc1 key 2 secret Nuovo cak (segreto):
    Ridigita il nuovo cak (segreto): crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macseckc1 key 3 secret Nuovo cak (segreto): ridigita il nuovo cak (secret): crypto-officer@hostname:fips# prompt security autenticazione-key-chains key-chain macseckc1 chiave 4 segreto Nuovo cak (segreto): Ridigitare nuovo cak (segreto): crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macseckc1 chiave 5 segreto Nuovo cak (segreto): Ridigita nuovo cak (segreto): crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macseckc1 key 6 secret Nuovo cak (segreto): Ridigita nuovo cak (secret): crypto-officer @hostname:fips# prompt security authentication-key-chains key-chain macseckc1 key 7 secret Nuovo cak (segreto): Ridigita nuovo cak (segreto):
  3. Associa il nome del portachiavi precondiviso all'associazione di connettività.
    [modifica] crypto-officer@hostname:fips# set security macsec connettività-associazione CA1 pre-sharedkey-chain macsec-kc1 crypto-officer@hostname:fips# set security macsec connettività-associazione CA1 offset 50 crypto-officer@hostname:fips # imposta sicurezza macsec connettività-associazione CA1 cipher-suite gcm-aes-256
    NOTA: Il valore di crittografia può anche essere impostato come cipher-suite gcm-aes-128.
  4. Impostare i valori delle opzioni di traccia.
    [modifica] crypto-officer@hostname:fips# imposta le opzioni di tracciabilità di sicurezza macsec file MACsec.log crypto-officer@hostname:fips# imposta le opzioni di tracciabilità macsec di sicurezza file dimensione 4000000000 crypto-officer@hostname:fips# imposta sicurezza macsec traceoptions contrassegna tutto
  5. Assegnare la traccia ad un'interfaccia. [modifica] crypto-officer@hostname:fips# imposta le interfacce macsec di sicurezza nome-interfaccia traceoptions file mka_xe dimensione 1g crypto-officer@nomehost:fips# imposta sicurezza interfacce macsec nome-interfaccia traceoptions flag tutto
  6. Configura la modalità di sicurezza MACsec come static-cak per l'associazione di connettività. [modifica] crypto-officer@hostname:fips# imposta sicurezza macsec connettività-associazione CA1 securitymode static-cak
  7. Imposta la priorità del server delle chiavi MKA.
    [modifica] crypto-officer@hostname:fips# imposta sicurezza macsec connettività-associazione CA1 mka keyserver-priority 1
  8. Imposta l'intervallo di trasmissione MKA.
    [modifica] crypto-officer@hostname:fips# imposta sicurezza macsec connettività-associazione CA1 mka intervallo di trasmissione 3000
  9. Abilita la sicurezza MKA.
    [modifica] crypto-officer@hostname:fips# imposta sicurezza macsec connettività-associazione CA1 include-sci
  10. Assegnare l'associazione di connettività a un'interfaccia.
    [modifica] crypto-officer@hostname:fips# imposta le interfacce macsec di sicurezza nome-interfaccia connettivitàassociazione CA1
    cripto-ufficiale@nomehost:fips#
    imposta interfacce nome-interfaccia unità 0 famiglia indirizzo inet 10.1.1.1/24

Per configurare MACsec con portachiavi per il traffico ICMP:
Nell'R1:

  1. Assegnare un valore di tolleranza alla catena di chiavi di autenticazione.
    [modifica] crypto-officer@hostname:fips# imposta sicurezza autenticazione-portachiavi portachiavi macsec-kc1 tolleranza 20
  2. Crea la password segreta da utilizzare. È una stringa di cifre esadecimali lunga fino a 64 caratteri. La password può includere spazi se la stringa di caratteri è racchiusa tra virgolette. I dati segreti del portachiavi vengono utilizzati come CAK.
    [modifica] crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 0 key-name 2345678922334455667788992223334445556667778889992222333344445551 crypto-officer@hostname:fips# set security authentication-key-chains key -catena macsec- Chiave kc1 0 ora di inizio 2018-03-20.20:35 crypto-officer@hostname:fips# imposta sicurezza portachiavi-autenticazione portachiavi macsec-kc1 chiave 1 nome-chiave 2345678922334455667788992223334445556667778889992222333344445552 1 crypto-officer@hostname:fips# imposta la sicurezza portachiavi-di-autenticazione portachiavi macsec-kc1 chiave 2018 ora di inizio 03-20.20-37:1 crypto-officer@nomehost:fips# set security portachiavi-di-autenticazione portachiavi macsec-kc2 chiave 2345678922334455667788992223334445556667778889992222333344445553 nome-chiave 1 2 crypto-officer@hostname:fips# imposta security authentication-key-chains key-chain macsec-kc2018 key 03 start-time 20.20-39-1:3 crypto-officer@hostname:fips# imposta security authentication-key-chains key- catena macsec-kc2345678922334455667788992223334445556667778889992222333344445554 chiave 1 nome-chiave 3 crypto-officer@nomehost:fips# imposta sicurezza portachiavi-autenticazione catena chiave macsec-kc2018 chiave 03 ora di inizio 20.20-41-1 .4:2345678922334455667788992223334445556667778889992222333344445555 crypto-officer@nomehost:fips # imposta sicurezza autenticazione-portachiavi portachiavi macsec-kc1 chiave 4 nome-chiave 2018 crypto-officer@nomehost:fips# imposta sicurezza autenticazione-portachiavi portachiavi macsec-kc03 chiave 20.20 start- tempo 43-1- 5:345678922334455667788992223334445556667778889992222333344445556 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 5 key-name 2018 crypto-officer@hostname:fips# set security authentication-key -chains portachiavi macsec- Chiave kc03 20.20 ora di inizio 45-1-6:2345678922334455667788992223334445556667778889992222333344445557 crypto-officer@nomehost:fips# imposta sicurezza portachiavi-autenticazione catena chiave macsec-kc1 chiave 6 nome-chiave 2018 03 crypto-officer@hostname:fips# imposta la sicurezza portachiavi-di-autenticazione portachiavi macsec-kc20.20 chiave 47 ora di inizio 1-7-2345678922334455667788992223334445556667778889992222333344445558:1 crypto-officer@nomehost:fips# set security portachiavi-di-autenticazione portachiavi macsec-kc7 chiave 2018 nome-chiave 03 20.20 crypto-officer@hostname:fips# imposta sicurezza autenticazione-key-chain key-chain macsec-kc49 chiave XNUMX ora di inizio XNUMX-XNUMX-XNUMX:XNUMX
    Utilizzare il comando prompt per immettere un valore di chiave segreta. Per esample, il valore della chiave segreta è 2345678922334455667788992223334123456789223344556677889922233341.
    [modifica] crypto-officer@hostname:fips# prompt sicurezza autenticazione-portachiavi portachiavi macseckc1 chiave 0 segreto
    Nuovo dolce (segreto):
    Ridigita il nuovo cak (segreto): crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macseckc1 key 1 secret Nuovo cak (segreto): ridigita il nuovo cak (secret): crypto-officer@hostname:fips# prompt security autenticazione-key-chains key-chain macseckc1 chiave 2 segreto Nuovo cak (segreto): Ridigitare nuovo cak (segreto): crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macseckc1 chiave 3 segreto Nuovo cak (segreto): Ridigita nuovo cak (segreto): crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macseckc1 key 4 secret Nuovo cak (segreto): Ridigita nuovo cak
    (segreto):
    crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macseckc1 chiave 5 segreto Nuovo cak (segreto): Ridigita nuovo cak (segreto):
    crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macseckc1 key 6 secret Nuovo cak (segreto):
    Ridigita nuovo cak (segreto):
    crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macseckc1 key 7 secret Nuovo cak (segreto):
    Ridigita nuovo cak (segreto):
  3. Associa il nome del portachiavi precondiviso all'associazione di connettività.
    [modifica] crypto-officer@hostname:fips# imposta sicurezza macsec connettività-associazione CA1 pre-condivisa-catena di chiavi macsec-kc1
    crypto-officer@hostname:fips# imposta sicurezza macsec connettività-associazione CA1 offset 50 crypto-officer@hostname:fips# imposta sicurezza macsec connettività-associazione CA1 cipher-suite gcm-aes-256
  4. Impostare i valori delle opzioni di traccia.
    [modifica] crypto-officer@hostname:fips# imposta le opzioni di tracciabilità di sicurezza macsec file MACsec.log crypto-officer@hostname:fips# imposta le opzioni di tracciabilità macsec di sicurezza file dimensione 4000000000 crypto-officer@hostname:fips# imposta sicurezza macsec traceoptions contrassegna tutto
  5. Assegnare la traccia ad un'interfaccia.
    [modifica] crypto-officer@hostname:fips# imposta le opzioni di tracciamento delle interfacce macsec di sicurezza nome-interfaccia file mka_xe dimensione 1g crypto-officer@nomehost:fips# imposta sicurezza interfacce macsec nome-interfaccia traceoptions flag tutto
  6. Configura la modalità di sicurezza MACsec come static-cak per l'associazione di connettività.
    [modifica] crypto-officer@hostname:fips# imposta sicurezza macsec connettività-associazione CA1 securitymode static-cak
  7. Imposta la priorità del server delle chiavi MKA.
    [modifica] crypto-officer@hostname:fips# imposta sicurezza macsec connettività-associazione CA1 mka keyserver-priority 1
  8. Imposta l'intervallo di trasmissione MKA.
    [modifica] crypto-officer@hostname:fips# imposta sicurezza macsec connettività-associazione CA1 mka intervallo di trasmissione 3000
  9. Abilita la sicurezza MKA.
    [modifica] crypto-officer@hostname:fips# imposta sicurezza macsec connettività-associazione CA1 include-sci
  10. Assegnare l'associazione di connettività a un'interfaccia.
    [modifica] crypto-officer@hostname:fips# imposta le interfacce macsec di sicurezza nome-interfaccia connettivitàassociazione
    CA1
    crypto-officer@hostname:fips# imposta interfacce nome-interfaccia unità 0 famiglia indirizzo inet 10.1.1.2/24

Configurazione di MACsec statico per il traffico di livello 2
Per configurare MACsec statico per il traffico Layer 2 tra il dispositivo R0 e il dispositivo R1:
Nell'R0:

  1. Imposta la priorità del server delle chiavi MKA.
    [modifica] crypto-officer@hostname:fips# imposta sicurezza macsec connettività-associazione CA1 mka key server-priority 1
  2. Crea la password segreta da utilizzare. È una stringa di cifre esadecimali lunga fino a 64 caratteri. La password può includere spazi se la stringa di caratteri è racchiusa tra virgolette. I dati segreti del portachiavi vengono utilizzati come CAK.
    [modifica] crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macseckc1 key 0 secret Nuovo cak (segreto):
    Ridigita nuovo cak (segreto):
    Per esempioample, il valore della chiave segreta è 2345678922334455667788992223334123456789223344556677889922233341.
  3. Associa il nome del portachiavi precondiviso all'associazione di connettività. [modifica] crypto-officer@hostname:fips# set security macsec connettività-associazione CA1 pre-sharedkey-chain macsec-kc1 crypto-officer@hostname:fips# set security macsec connettività-associazione CA1 offset 50 crypto-officer@hostname:fips # imposta sicurezza macsec connettività-associazione CA1 cipher-suite gcm-aes-256
  4. Impostare i valori delle opzioni di traccia. [modifica] crypto-officer@hostname:fips# imposta le opzioni di tracciabilità di sicurezza macsec file MACsec.log crypto-officer@hostname:fips# imposta le opzioni di tracciabilità macsec di sicurezza file dimensione 4000000000 crypto-officer@hostname:fips# imposta sicurezza macsec traceoptions contrassegna tutto
  5. Assegnare la traccia ad un'interfaccia. [modifica] crypto-officer@hostname:fips# imposta le opzioni di tracciamento delle interfacce macsec di sicurezza nome-interfaccia file mka_xe dimensione 1g crypto-officer@nomehost:fips# imposta sicurezza interfacce macsec nome-interfaccia traceoptions flag tutto
  6. Configura la modalità di sicurezza MACsec come static-cak per l'associazione di connettività.
    [modifica] crypto-officer@hostname:fips# imposta sicurezza macsec connettività-associazione CA1 securitymode static-cak
  7. Imposta la priorità del server delle chiavi MKA. [modifica] crypto-officer@hostname:fips# imposta sicurezza macsec connettività-associazione CA1 mka key server-priority 1
  8. Imposta l'intervallo di trasmissione MKA.
    [modifica] crypto-officer@hostname:fips# imposta sicurezza macsec connettività-associazione CA1 mka intervallo di trasmissione 3000
  9. Abilita la sicurezza MKA.
    [modifica] crypto-officer@hostname:fips# imposta sicurezza macsec connettività-associazione CA1 include-sci
  10. Assegnare l'associazione di connettività a un'interfaccia.
    [modifica] crypto-officer@hostname:fips# imposta le interfacce macsec di sicurezza nome-interfaccia connettivitàassociazione
    CA1
  11. Configura VLAN tagè andato.
    [modifica] crypto-officer@hostname:fips# imposta le interfacce nome-interfaccia1 flessibile-vlan-tagging
    crypto-officer@hostname:fips# imposta interfacce nome-interfaccia1 incapsulamento servizi Ethernet flessibili
    cripto-ufficiale@nomehost:fips#
    imposta interfacce nome-interfaccia1 unità 100 incapsulamento vlanbridge
    cripto-ufficiale@nomehost:fips#
    imposta le interfacce nome-interfaccia1 unità 100 id-vlan 100
    crypto-officer@hostname:fips# imposta le interfacce nome-interfaccia2 flessibile-vlan-tagging
    crypto-officer@hostname:fips# imposta interfacce nome-interfaccia2 incapsulamento servizi Ethernet flessibili
    cripto-ufficiale@nomehost:fips#
    imposta interfacce nome-interfaccia2 unità 100 incapsulamento vlanbridge
    cripto-ufficiale@nomehost:fips#
    imposta le interfacce nome-interfaccia2 unità 100 id-vlan 100
  12. Configura il dominio bridge.
    [modifica] crypto-officer@hostname:fips# imposta bridge-domains Bridge di tipo dominio BD-110
    crypto-officer@hostname:fips# imposta bridge-domains BD-110 vlan-id 100
    crypto-officer@hostname:fips# imposta bridge-domains BD-110 interfaccia nome-interfaccia1 100
    crypto-officer@hostname:fips# imposta bridge-domains BD-110 interfaccia nome-interfaccia2 100

Nell'R1:

  1. Crea la password segreta da utilizzare. È una stringa di cifre esadecimali lunga fino a 64 caratteri. IL
    la password può includere spazi se la stringa di caratteri è racchiusa tra virgolette. Quello del portachiavi
    secret-data viene utilizzato come CAK.
    [modifica] crypto-officer@hostname:fips# prompt sicurezza autenticazione-portachiavi portachiavi macseckc1 chiave 0 segreto
    Torta nuova
    (segreto):
    Riscrivi il nuovo cak
    (segreto):
    Per esempioample, il valore della chiave segreta è
    2345678922334455667788992223334123456789223344556677889922233341.
  2. Associa il nome del portachiavi precondiviso all'associazione di connettività.
    [modifica] crypto-officer@hostname:fips# imposta sicurezza macsec connettività-associazione CA1 pre-sharedkey-chain
    macsec-kc1 cripto-ufficiale@nomehost:fips#
    imposta l'offset CA1 dell'associazione connettività macsec di sicurezza 50
    crypto-officer@hostname:fips# imposta sicurezza macsec connettività-associazione CA1 cipher-suite gcm-aes-256
  3. Impostare i valori delle opzioni di traccia.
    [modifica] crypto-officer@hostname:fips# imposta le opzioni di tracciabilità di sicurezza macsec file MACsec.log
    crypto-officer@hostname:fips# imposta le opzioni di tracciabilità di sicurezza macsec file taglia 4000000000
    crypto-officer@hostname:fips# imposta sicurezza macsec traceoptions flag tutto
  4. Assegnare la traccia ad un'interfaccia.
    [modifica] crypto-officer@hostname:fips# imposta le opzioni di tracciamento delle interfacce macsec di sicurezza nome-interfaccia file mka_xe misura 1g
    crypto-officer@hostname:fips# imposta le opzioni di tracciamento delle interfacce macsec di sicurezza nome-interfaccia
    contrassegnare tutto
  5. Configura la modalità di sicurezza MACsec come static-cak per l'associazione di connettività.
    [modifica] crypto-officer@hostname:fips# imposta sicurezza macsec connettività-associazione CA1 securitymode
    statico-cak
  6. Imposta la priorità del server delle chiavi MKA.
    [modifica] crypto-officer@hostname:fips# imposta sicurezza macsec connettività-associazione CA1 mka key server-priority 1
  7. Imposta l'intervallo di trasmissione MKA.
    [modifica] crypto-officer@hostname:fips# imposta sicurezza macsec connettività-associazione CA1 mka intervallo di trasmissione
    3000
  8. Abilita la sicurezza MKA.
    [modifica] crypto-officer@hostname:fips# imposta sicurezza macsec connettività-associazione CA1 include-sci
  9. Assegnare l'associazione di connettività a un'interfaccia.
    [modifica] crypto-officer@hostname:fips# imposta le interfacce macsec di sicurezza nome-interfaccia connettivitàassociazione CA1
  10. Configura VLAN tagè andato.
    [modifica] crypto-officer@hostname:fips# imposta le interfacce nome-interfaccia1 flessibile-vlan-tagging
    crypto-officer@hostname:fips# imposta interfacce nome-interfaccia1 incapsulamento servizi Ethernet flessibili
    crypto-officer@hostname:fips# imposta interfacce nome-interfaccia1 unità 100 incapsulamento vlanbridge
    cripto-ufficiale@nomehost:fips#
    imposta le interfacce nome-interfaccia1 unità 100 id-vlan 100
    crypto-officer@hostname:fips# imposta le interfacce nome-interfaccia2 flessibile-vlan-tagging
    crypto-officer@hostname:fips# imposta interfacce nome-interfaccia2 incapsulamento servizi Ethernet flessibili
    cripto-ufficiale@nomehost:fips#
    imposta interfacce nome-interfaccia2 unità 100 incapsulamento vlanbridge
    cripto-ufficiale@nomehost:fips#
    imposta le interfacce nome-interfaccia2 unità 100 id-vlan 100
  11. Configura il dominio bridge.
    [modifica] crypto-officer@hostname:fips# imposta bridge-domains Bridge di tipo dominio BD-110
    crypto-officer@hostname:fips# imposta bridge-domains BD-110 vlan-id 100
    crypto-officer@hostname:fips# imposta bridge-domains BD-110 interfaccia nome-interfaccia1 100
    crypto-officer@hostname:fips# imposta bridge-domains BD-110 interfaccia nome-interfaccia2 100

Configurazione di MACsec con portachiavi per il traffico di livello 2

Per configurare MACsec con portachiavi per il traffico ICMP tra il dispositivo R0 e il dispositivo R1:
Nell'R0:

  1. Assegnare un valore di tolleranza alla catena di chiavi di autenticazione.
    [modifica] crypto-officer@hostname:fips# imposta sicurezza autenticazione-portachiavi portachiavi macsec-kc1 tolleranza 20
  2. Crea la password segreta da utilizzare. È una stringa di cifre esadecimali lunga fino a 64 caratteri. La password può includere spazi se la stringa di caratteri è racchiusa tra virgolette. I dati segreti del portachiavi vengono utilizzati come CAK.
    [modifica] crypto-officer@hostname:fips# imposta sicurezza autenticazione-portachiavi portachiavi macsec-kc1
    chiave 0 nome-chiave 2345678922334455667788992223334445556667778889992222333344445551
    crypto-officer@hostname:fips# imposta sicurezza autenticazione-key-chain key-chain macsec-kc1
    tasto 0 ora di inizio 2018-03-20.20:35
    crypto-officer@hostname:fips# imposta sicurezza autenticazione-key-chain key-chain macsec-kc1
    chiave 1 nome-chiave 2345678922334455667788992223334445556667778889992222333344445552
    crypto-officer@hostname:fips# imposta sicurezza autenticazione-key-chain key-chain macsec-kc1
    tasto 1 ora di inizio 2018-03-20.20:37
    crypto-officer@hostname:fips# imposta sicurezza autenticazione-key-chain key-chain macsec-kc1
    chiave 2 nome-chiave 2345678922334455667788992223334445556667778889992222333344445553
    crypto-officer@hostname:fips# imposta sicurezza autenticazione-key-chain key-chain macsec-kc1
    tasto 2 ora di inizio 2018-03-20.20:39
    crypto-officer@hostname:fips# imposta sicurezza autenticazione-key-chain key-chain macsec-kc1
    chiave 3 nome-chiave 2345678922334455667788992223334445556667778889992222333344445554
    crypto-officer@hostname:fips# imposta sicurezza autenticazione-key-chain key-chain macsec-kc1
    tasto 3 ora di inizio 2018-03-20.20:41
    crypto-officer@hostname:fips# imposta sicurezza autenticazione-key-chain key-chain macsec-kc1
    chiave 4 nome-chiave 2345678922334455667788992223334445556667778889992222333344445555
    crypto-officer@hostname:fips# imposta sicurezza autenticazione-key-chain key-chain macsec-kc1
    tasto 4 ora di inizio 2018-03-20.20:43
    crypto-officer@hostname:fips# imposta sicurezza autenticazione-key-chain key-chain macsec-kc1
    chiave 5 nome-chiave 2345678922334455667788992223334445556667778889992222333344445556
    crypto-officer@hostname:fips# imposta sicurezza autenticazione-key-chain key-chain macsec-kc1
    tasto 5 ora di inizio 2018-03-20.20:45
    crypto-officer@hostname:fips# imposta sicurezza autenticazione-key-chain key-chain macsec-kc1
    chiave 6 nome-chiave 2345678922334455667788992223334445556667778889992222333344445557
    crypto-officer@hostname:fips# imposta sicurezza autenticazione-key-chain key-chain macsec-kc1
    tasto 6 ora di inizio 2018-03-20.20:47
    crypto-officer@hostname:fips# imposta sicurezza autenticazione-key-chain key-chain macsec-kc1
    chiave 7 nome-chiave 2345678922334455667788992223334445556667778889992222333344445558
    crypto-officer@hostname:fips# imposta sicurezza autenticazione-key-chain key-chain macsec-kc1
    tasto 7 ora di inizio 2018-03-20.20:49
    Utilizzare il comando prompt per immettere un valore di chiave segreta. Per esample, il valore della chiave segreta è
    2345678922334455667788992223334123456789223344556677889922233341.
    [modifica] crypto-officer@hostname:fips# prompt sicurezza autenticazione-portachiavi portachiavi macseckc1 chiave 0 segreto
    Torta nuova
    (segreto):
    Riscrivi il nuovo cak
    (segreto):
    cripto-ufficiale@nomehost:fips#
    prompt di sicurezza autenticazione-portachiavi portachiavi macseckc1 chiave 1 segreto
    Torta nuova
    (segreto):
    Riscrivi il nuovo cak
    (segreto):
    crypto-officer@hostname:fips# prompt sicurezza autenticazione-chiavi portachiavi macseckc1 chiave 2 segreto
    Torta nuova
    (segreto):
    Riscrivi il nuovo cak
    (segreto):
    cripto-ufficiale@nomehost:fips#
    prompt di sicurezza autenticazione-portachiavi portachiavi macseckc1 chiave 3 segreto
    Torta nuova
    (segreto):
    Riscrivi il nuovo cak
    (segreto):
    cripto-ufficiale@nomehost:fips#
    prompt di sicurezza autenticazione-portachiavi portachiavi macseckc1 chiave 4 segreto
    Torta nuova
    (segreto):
    Riscrivi il nuovo cak
    (segreto):
    cripto-ufficiale@nomehost:fips#
    prompt di sicurezza autenticazione-portachiavi portachiavi macseckc1 chiave 5 segreto
    Torta nuova
    (segreto):
    Riscrivi il nuovo cak
    (segreto):
    cripto-ufficiale@nomehost:fips#
    prompt di sicurezza autenticazione-portachiavi portachiavi macseckc1 chiave 6 segreto
    Torta nuova
    (segreto):
    Riscrivi il nuovo cak
    (segreto):
    cripto-ufficiale@nomehost:fips#
    prompt di sicurezza autenticazione-portachiavi portachiavi macseckc1 chiave 7 segreto
    Torta nuova
    (segreto):
    Riscrivi il nuovo cak
    (segreto):
  3. Associa il nome del portachiavi precondiviso all'associazione di connettività.
    [modifica] crypto-officer@hostname:fips# imposta sicurezza macsec connettività-associazione CA1 pre-sharedkey-chain
    macsec-kc1
    cripto-ufficiale@nomehost:fips#
    imposta sicurezza macsec connettività-associazione CA1 cipher-suite
    gcm-aes-256
  4. Impostare i valori delle opzioni di traccia.
    [modifica] crypto-officer@hostname:fips# imposta le opzioni di tracciabilità di sicurezza macsec file MACsec.log
    crypto-officer@hostname:fips# imposta le opzioni di tracciabilità di sicurezza macsec file taglia 4000000000
    crypto-officer@hostname:fips# imposta sicurezza macsec traceoptions flag tutto
  5.  Assegnare la traccia ad un'interfaccia.
    [modifica] crypto-officer@hostname:fips# imposta le opzioni di tracciamento delle interfacce macsec di sicurezza nome-interfaccia
    file mka_xe misura 1g
    crypto-officer@hostname:fips# imposta le opzioni di tracciamento delle interfacce macsec di sicurezza nome-interfaccia
    contrassegnare tutto
  6. Configura la modalità di sicurezza MACsec come static-cak per l'associazione di connettività.
    [modifica] crypto-officer@hostname:fips# imposta sicurezza macsec connettività-associazione CA1 securitymode
    statico-cak
  7. Imposta la priorità del server delle chiavi MKA.
    [modifica] crypto-officer@hostname:fips# imposta sicurezza macsec connettività-associazione CA1 mka key server-priority 1
  8. Imposta l'intervallo di trasmissione MKA.
    [modifica] crypto-officer@hostname:fips# imposta sicurezza macsec connettività-associazione CA1 mka intervallo di trasmissione
    3000
  9. Abilita la sicurezza MKA.
    [modifica] crypto-officer@hostname:fips# imposta sicurezza macsec connettività-associazione CA1 include-sci
  10. Assegnare l'associazione di connettività a un'interfaccia.
    [modifica] crypto-officer@hostname:fips# imposta le interfacce macsec di sicurezza nome-interfaccia connettivitàassociazione
    CA1
  11. Configura VLAN tagè andato.
    [modifica] crypto-officer@hostname:fips# imposta le interfacce nome-interfaccia1 flessibile-vlan-tagging
    crypto-officer@hostname:fips# imposta interfacce nome-interfaccia1 incapsulamento servizi-ethernet flessibili
    cripto-ufficiale@nomehost:fips#
    imposta interfacce nome-interfaccia1 unità 100 incapsulamento vlanbridge
    cripto-ufficiale@nomehost:fips#
    imposta le interfacce nome-interfaccia1 unità 100 id-vlan 100
    crypto-officer@hostname:fips# imposta le interfacce nome-interfaccia2 flessibile-vlan-tagging
    crypto-officer@hostname:fips# imposta interfacce nome-interfaccia2 incapsulamento servizi-ethernet flessibili
    cripto-ufficiale@nomehost:fips#
    imposta interfacce nome-interfaccia2 unità 100 incapsulamento vlanbridge
    cripto-ufficiale@nomehost:fips#
    imposta le interfacce nome-interfaccia2 unità 100 id-vlan 100
  12.  Configura il dominio bridge.
    [modifica] crypto-officer@hostname:fips# imposta bridge-domains Bridge di tipo dominio BD-110
    crypto-officer@hostname:fips# imposta bridge-domains BD-110 vlan-id 100
    crypto-officer@hostname:fips# imposta bridge-domains BD-110 interfaccia nome-interfaccia1 100
    crypto-officer@hostname:fips# imposta bridge-domains BD-110 interfaccia nome-interfaccia2 100

Nell'R1:

  1. Assegnare un valore di tolleranza alla catena di chiavi di autenticazione.
    [modifica] crypto-officer@hostname:fips# imposta sicurezza autenticazione-portachiavi portachiavi macsec-kc1 tolleranza 20
  2. Crea la password segreta da utilizzare. È una stringa di cifre esadecimali lunga fino a 64 caratteri. La password può includere spazi se la stringa di caratteri è racchiusa tra virgolette. I dati segreti del portachiavi vengono utilizzati come CAK.
    [modifica] crypto-officer@hostname:fips# imposta sicurezza autenticazione-portachiavi portachiavi macsec-kc1
    chiave 0 nome-chiave 2345678922334455667788992223334445556667778889992222333344445551
    crypto-officer@hostname:fips# imposta sicurezza autenticazione-key-chain key-chain macsec-kc1
    tasto 0 ora di inizio 2018-03-20.20:35
    crypto-officer@hostname:fips# imposta sicurezza autenticazione-key-chain key-chain macsec-kc1
    chiave 1 nome-chiave 2345678922334455667788992223334445556667778889992222333344445552
    crypto-officer@hostname:fips# imposta sicurezza autenticazione-key-chain key-chain macsec-kc1
    tasto 1 ora di inizio 2018-03-20.20:37
    crypto-officer@hostname:fips# imposta sicurezza autenticazione-key-chain key-chain macsec-kc1
    chiave 2 nome-chiave 2345678922334455667788992223334445556667778889992222333344445553
    crypto-officer@hostname:fips# imposta sicurezza autenticazione-key-chain key-chain macsec-kc1
    tasto 2 ora di inizio 2018-03-20.20:39
    crypto-officer@hostname:fips# imposta sicurezza autenticazione-key-chain key-chain macsec-kc1
    chiave 3 nome-chiave 2345678922334455667788992223334445556667778889992222333344445554
    crypto-officer@hostname:fips# imposta sicurezza autenticazione-key-chain key-chain macsec-kc1
    tasto 3 ora di inizio 2018-03-20.20:41
    crypto-officer@hostname:fips# imposta sicurezza autenticazione-key-chain key-chain macsec-kc1
    chiave 4 nome-chiave 2345678922334455667788992223334445556667778889992222333344445555
    crypto-officer@hostname:fips# imposta sicurezza autenticazione-key-chain key-chain macsec-kc1
    tasto 4 ora di inizio 2018-03-20.20:43
    crypto-officer@hostname:fips# imposta sicurezza autenticazione-key-chain key-chain macsec-kc1
    chiave 5 nome-chiave 2345678922334455667788992223334445556667778889992222333344445556
    crypto-officer@hostname:fips# imposta sicurezza autenticazione-key-chain key-chain macsec-kc1
    tasto 5 ora di inizio 2018-03-20.20:45
    crypto-officer@hostname:fips# imposta sicurezza autenticazione-key-chain key-chain macsec-kc1
    chiave 6 nome-chiave 2345678922334455667788992223334445556667778889992222333344445557
    crypto-officer@hostname:fips# imposta sicurezza autenticazione-key-chain key-chain macsec-kc1
    tasto 6 ora di inizio 2018-03-20.20:47
    crypto-officer@hostname:fips# imposta sicurezza autenticazione-key-chain key-chain macsec-kc1
    chiave 7 nome-chiave 2345678922334455667788992223334445556667778889992222333344445558
    crypto-officer@hostname:fips# imposta sicurezza autenticazione-key-chain key-chain macsec-kc1
    tasto 7 ora di inizio 2018-03-20.20:49
    Utilizzare il comando prompt per immettere un valore di chiave segreta. Per esample, il valore della chiave segreta è
    2345678922334455667788992223334123456789223344556677889922233341.
    [modifica] crypto-officer@hostname:fips# prompt sicurezza autenticazione-portachiavi portachiavi macseckc1 chiave 0 segreto
    Torta nuova
    (segreto):
    Riscrivi il nuovo cak
    (segreto):
    cripto-ufficiale@nomehost:fips#
    prompt di sicurezza autenticazione-portachiavi portachiavi macseckc1 chiave 1 segreto
    Torta nuova
    (segreto):
    Ridigita nuovo cak (segreto):
    crypto-officer@hostname:fips# prompt sicurezza autenticazione-chiavi portachiavi macseckc1 chiave 2 segreto
    Torta nuova
    (segreto):
    Riscrivi il nuovo cak
    (segreto):
    cripto-ufficiale@nomehost:fips#
    prompt di sicurezza autenticazione-portachiavi portachiavi macseckc1 chiave 3 segreto
    Torta nuova
    (segreto):
    Riscrivi il nuovo cak
    (segreto):
    cripto-ufficiale@nomehost:fips#
    prompt di sicurezza autenticazione-portachiavi portachiavi macseckc1 chiave 4 segreto
    Torta nuova
    (segreto):
    Riscrivi il nuovo cak
    (segreto):
    cripto-ufficiale@nomehost:fips#
    prompt di sicurezza autenticazione-portachiavi portachiavi macseckc1 chiave 5 segreto
    Torta nuova
    (segreto):
    Riscrivi il nuovo cak
    (segreto):
    cripto-ufficiale@nomehost:fips#
    prompt di sicurezza autenticazione-portachiavi portachiavi macseckc1 chiave 6 segreto
    Torta nuova
    (segreto):
    Riscrivi il nuovo cak
    (segreto):
    cripto-ufficiale@nomehost:fips#
    prompt di sicurezza autenticazione-portachiavi portachiavi macseckc1 chiave 7 segreto
    Torta nuova
    (segreto):
    Ridigita nuovo cak (segreto):
  3. Associa il nome del portachiavi precondiviso all'associazione di connettività.
    [modifica] crypto-officer@hostname:fips# imposta sicurezza macsec connettività-associazione CA1 pre-sharedkey-chain
    macsec-kc1
    cripto-ufficiale@nomehost:fips#
    imposta sicurezza macsec connettività-associazione CA1 cipher-suite
    gcm-aes-256
  4. Impostare i valori delle opzioni di traccia.
    [modifica] crypto-officer@hostname:fips# imposta le opzioni di tracciabilità di sicurezza macsec file MACsec.log
    crypto-officer@hostname:fips# imposta le opzioni di tracciabilità di sicurezza macsec file taglia 4000000000
    crypto-officer@hostname:fips# imposta sicurezza macsec traceoptions flag tutto
  5. Assegnare la traccia ad un'interfaccia.
    [modifica] crypto-officer@hostname:fips# imposta le opzioni di tracciamento delle interfacce macsec di sicurezza nome-interfaccia
    file mka_xe misura 1g
    crypto-officer@hostname:fips# imposta le opzioni di tracciamento delle interfacce macsec di sicurezza nome-interfaccia
    contrassegnare tutto
  6. Configura la modalità di sicurezza MACsec come static-cak per l'associazione di connettività.
    [modifica] crypto-officer@hostname:fips# imposta sicurezza macsec connettività-associazione CA1 securitymode
    statico-cak
  7. Imposta la priorità del server delle chiavi MKA.
    [modifica] crypto-officer@hostname:fips# imposta sicurezza macsec connettività-associazione CA1 mka keyserver-priority
  8. Imposta l'intervallo di trasmissione MKA.
    [modifica] crypto-officer@hostname:fips# imposta sicurezza macsec connettività-associazione CA1 mka intervallo di trasmissione
    3000
  9. Abilita la sicurezza MKA.
    [modifica] crypto-officer@hostname:fips# imposta sicurezza macsec connettività-associazione CA1 include-sci
  10. Assegnare l'associazione di connettività a un'interfaccia.
    [modifica] crypto-officer@hostname:fips# imposta le interfacce macsec di sicurezza nome-interfaccia connettivitàassociazione
    CA1
  11. Configura VLAN tagè andato.
    [modifica] crypto-officer@hostname:fips# imposta le interfacce nome-interfaccia1 flessibile-vlan-tagging
    crypto-officer@hostname:fips# imposta interfacce nome-interfaccia1 incapsulamento servizi-ethernet flessibili
    cripto-ufficiale@nomehost:fips#
    imposta interfacce nome-interfaccia1 unità 100 incapsulamento vlanbridge
    cripto-ufficiale@nomehost:fips#
    imposta le interfacce nome-interfaccia1 unità 100 id-vlan 100
    crypto-officer@hostname:fips# imposta le interfacce nome-interfaccia2 flessibile-vlan-tagging
    crypto-officer@hostname:fips# imposta interfacce nome-interfaccia2 incapsulamento servizi Ethernet flessibili
    cripto-ufficiale@nomehost:fips#
    imposta interfacce nome-interfaccia2 unità 100 incapsulamento vlanbridge
    cripto-ufficiale@nomehost:fips#
    imposta le interfacce nome-interfaccia2 unità 100 id-vlan 100
  12. Configura il dominio bridge.
    [modifica] crypto-officer@hostname:fips# imposta bridge-domains Bridge di tipo dominio BD-110
    crypto-officer@hostname:fips# imposta bridge-domains BD-110 vlan-id 100
    crypto-officer@hostname:fips# imposta bridge-domains BD-110 interfaccia nome-interfaccia1 100
    crypto-officer@hostname:fips# imposta bridge-domains BD-110 interfaccia nome-interfaccia2 100

Configurazione della registrazione degli eventi

Registrazione eventi terminataview
La configurazione valutata richiede il controllo delle modifiche alla configurazione tramite il registro di sistema.
Inoltre, il sistema operativo Junos può:

  • Invia risposte automatizzate agli eventi di controllo (creazione di voci syslog).
  • Consentire ai manager autorizzati di esaminare i log di controllo.
  • Invia verifica files a server esterni.
  • Consentire ai gestori autorizzati di riportare il sistema a uno stato noto.

La registrazione per la configurazione valutata deve acquisire i seguenti eventi:

  • Modifiche ai dati della chiave segreta nella configurazione.
  • Modifiche apportate.
  • Login/logout degli utenti.
  • Avvio del sistema.
  • Impossibile stabilire una sessione SSH.
  • Creazione/terminazione di una sessione SSH.
  • Modifiche all'ora (di sistema).
  • Terminazione di una sessione remota tramite il meccanismo di blocco della sessione.
  • Chiusura di una sessione interattiva.

Inoltre, Juniper Networks consiglia di effettuare la registrazione anche:

  • Cattura tutte le modifiche alla configurazione.
  • Memorizza le informazioni di registrazione in remoto.

Configurazione della registrazione eventi su un locale File
È possibile configurare l'archiviazione delle informazioni di controllo in locale file con l'istruzione syslog. Questo esample memorizza i log in a file denominato Audit-File:
[modifica sistema] syslog {
file Revisione contabileFile;
}
Interpretazione dei messaggi di evento
L'output seguente mostra un sampil messaggio dell'evento.
27 febbraio 02:33:04 bm-a mgd[6520]: UI_LOGIN_EVENT: accesso utente 'responsabile della sicurezza', classe 'j-superuser'
[6520],
connessione ssh", modalità client
'cli'
27 febbraio 02:33:49 bm-a mgd[6520]: UI_DBASE_LOGIN_EVENT: l'utente 'responsabile della sicurezza' sta entrando nella configurazione
modalità
27 febbraio 02:38:29 bm-a mgd[6520]: UI_CMDLINE_READ_LINE: utente 'responsabile della sicurezza', comando 'esegui spettacolo
tronco d'albero
Registro di controllo | grep ACCEDI
Tabella 4 a pagina 69 descrive i campi per un messaggio di evento. Se l'utilità di registrazione del sistema non riesce a determinare il valore in un campo particolare, viene invece visualizzato un trattino ( – ).
Tabella 4: campi nei messaggi di evento

Campo Descrizione Examples
tempiamp Ora in cui è stato generato il messaggio, in una delle due rappresentazioni:
• MMM-DD HH:MM:SS.MS+/-HH:MM, è il mese, il giorno, l'ora, il minuto, il secondo e il millisecondo nell'ora locale. L'ora e il minuto che seguono il segno più (+) o il segno meno (-) rappresentano la differenza tra il fuso orario locale e il Tempo Coordinato Universale (UTC).
• AAAA-MM-GGTHH:MM:SS.MSZ indica anno, mese, giorno, ora, minuto, secondo e millisecondo in UTC.		  Il 27 febbraio alle 02:33:04 è l'ora esattaamp espresso come ora locale negli Stati Uniti.

2012-02-27T03:17:15.713Z is

2:33 UTC del 27 febbraio

2012.
nome host Nome dell'host che ha originariamente generato il messaggio.  router1
processo Nome del processo del sistema operativo Junos che ha generato il messaggio.  MGD
IDprocesso ID processo UNIX (PID) del processo del sistema operativo Junos che ha generato il messaggio.  4153
TAG Messaggio di registro del sistema operativo Junos tag, che identifica in modo univoco il messaggio.  EVENTO_LOGOUT_DBASE_UI
nome utente Nome utente dell'utente che ha avviato l'evento.  “amministratore”
messaggio di testo Descrizione dell'evento in lingua inglese.  impostato: [segreto del sistema Radius-Server 1.2.3.4]

Registrazione delle modifiche ai dati segreti
Di seguito sono riportati esempiampfile di registri di controllo degli eventi che modificano i dati segreti. Ogni volta che si verifica una modifica nella configurazione, ad esample, l'evento syslog dovrebbe acquisire i seguenti log:
24 luglio 17:43:28 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: utente 'admin' impostato:
[segreto del sistema Radius-Server 1.2.3.4] 24 luglio 17:43:28 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: utente 'admin' impostato:
[accesso al sistema utente amministratore autenticazione password crittografata] 24 luglio 17:43:28 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: utente 'admin' impostato:
[accesso al sistema utente admin2 autenticazione password crittografata] Ogni volta che una configurazione viene aggiornata o modificata, il syslog dovrebbe acquisire questi log:
24 luglio 18:29:09 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: sostituzione dell'utente 'admin':
[segreto del sistema Radius-Server 1.2.3.4] 24 luglio 18:29:09 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: sostituzione dell'utente 'admin':
[accesso al sistema utente amministratore autenticazione password crittografata] 24 luglio 18:29:09 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: sostituzione dell'utente 'admin':
[accesso al sistema utente amministratore autenticazione password crittografata] Per ulteriori informazioni sulla configurazione dei parametri e sulla gestione del registro files, vedere il sistema operativo Junos
Riferimento ai messaggi di registro.
Eventi di accesso e disconnessione tramite SSH
I messaggi di registro di sistema vengono generati ogni volta che un utente tenta con successo o senza successo l'accesso SSH. Vengono registrati anche gli eventi di disconnessione. Per esample, i seguenti log sono il risultato di due tentativi di autenticazione falliti, poi di uno riuscito e infine di un logout:
20 dic 23:17:35 bilbo sshd[16645]: password non riuscita per l'operazione dalla porta 172.17.58.45 1673 ssh2
20 dic 23:17:42 bilbo sshd[16645]: password non riuscita per l'operazione dalla porta 172.17.58.45 1673 ssh2
20 dic 23:17:53 bilbo sshd[16645]: Password accettata per l'operazione dalla porta 172.17.58.45 1673 ssh2
20 dic 23:17:53 bilbo mgd[16648]: UI_AUTH_EVENT: utente autenticato 'op' a livello di autorizzazione
'operatore j'
20 dic 23:17:53 bilbo mgd[16648]: UI_LOGIN_EVENT: accesso utente 'op', classe 'j-operator' [16648] 20 dic 23:17:56 bilbo mgd[16648]: UI_CMDLINE_READ_LINE: utente 'op', comando "esci"
20 dic 23:17:56 bilbo mgd[16648]: UI_LOGOUT_EVENT: disconnessione 'op' dell'utente
Registrazione dell'avvio dell'audit
Le informazioni di controllo registrate includono gli avvii del sistema operativo Junos. Questo a sua volta identifica gli eventi di avvio del sistema di audit, che non possono essere disabilitati o abilitati in modo indipendente. Per esample, se il sistema operativo Junos viene riavviato, il registro di controllo contiene le seguenti informazioni:
20 dic 23:17:35 bilbo syslogd: uscita al segnale 14
20 dicembre 23:17:35 bilbo syslogd: riavviare
20 dic 23:17:35 bilbo syslogd /kernel: 20 dic 23:17:35 init: syslogd (PID 19128) è uscito con
stato=1
20 dic 23:17:42 bilbo /kernel:
20 dicembre 23:17:53 init: syslogd (PID 19200) avviato

Esecuzione di test automatici su un dispositivo

Comprendere gli autotest FIPS
Il modulo crittografico applica regole di sicurezza per garantire il funzionamento di Juniper Networks Junos
sistema operativo (Junos OS) in modalità FIPS soddisfa i requisiti di sicurezza di FIPS 140-2 Livello 1. Per convalidare il
output di algoritmi crittografici approvati per FIPS e testare l'integrità di alcuni moduli di sistema,
il dispositivo esegue la seguente serie di autotest KAT (test a risposta nota):

  • kernel_kats: KAT per le routine crittografiche del kernel
  • md_kats: KAT per limb e libc
  • openssl_kats: KAT per l'implementazione crittografica OpenSSL
  • quicksec_kats: KAT per l'implementazione crittografica di QuickSec Toolkit
  •  ssh_ipsec_kats: KAT per l'implementazione crittografica di SSH IPsec Toolkit
  • macsec_kats: KAT per l'implementazione crittografica MACsec

Gli autotest KAT vengono eseguiti automaticamente all'avvio. Vengono eseguiti automaticamente anche autotest condizionali per verificare i pacchetti software firmati digitalmente, i numeri casuali generati, le coppie di chiavi RSA ed ECDSA e le chiavi immesse manualmente.
Se i KAT vengono completati con successo, il registro di sistema (syslog) file viene aggiornato per visualizzare i test eseguiti.
Se si verifica un errore KAT, il dispositivo scrive i dettagli in un registro di sistema file, entra nello stato di errore FIPS (panico) e si riavvia.
IL file Il comando show /var/log/messages visualizza il registro di sistema.
È inoltre possibile eseguire l'autotest FIPS emettendo il comando request vmhost reboot. È possibile visualizzare i registri dell'autotest FIPS sulla console all'avvio del sistema.
Example: Configura i test automatici FIPS
Questo exampil file mostra come configurare gli autotest FIPS per l'esecuzione periodica.
Requisiti hardware e software

  • È necessario disporre di privilegi amministrativi per configurare i test automatici FIPS.
  • Il dispositivo deve eseguire la versione valutata del sistema operativo Junos nel software in modalità FIPS.

Sopraview
L'autotest FIPS è costituito dalle seguenti suite di test a risposta nota (KAT):

  • kernel_kats: KAT per le routine crittografiche del kernel
  • md_kats: KAT per libmd e libc
  • quicksec_kats: KAT per l'implementazione crittografica di QuickSec Toolkit
  • openssl_kats: KAT per l'implementazione crittografica OpenSSL
  • ssh_ipsec_kats: KAT per l'implementazione crittografica di SSH IPsec Toolkit
  • macsec_kats: KAT per l'implementazione crittografica MACsec
    In questo example, l'autotest FIPS viene eseguito ogni mercoledì alle 9:00 a New York City, USA.

NOTA: Invece dei test settimanali, puoi configurare test mensili includendo gli estratti conto del mese e del giorno del mese.
Quando un test automatico KAT fallisce, viene scritto un messaggio di registro nei messaggi di registro del sistema file con i dettagli del fallimento del test. Quindi il sistema va in panico e si riavvia.
Configurazione rapida CLI
Per configurare rapidamente questo example, copia i seguenti comandi e incollali in un testo file, rimuovi eventuali interruzioni di riga, modifica tutti i dettagli necessari per corrispondere alla configurazione di rete, quindi copia e incolla i comandi nella CLI al livello di gerarchia [modifica].
impostare l'orario di inizio periodico dell'autotest fips del sistema alle 09:00
impostare il giorno della settimana periodico dell'autotest fips del sistema 3
Procedura passo dopo passo
Per configurare l'autotest FIPS, accedere al dispositivo con le credenziali del crypto-officer:

  1. Configurare l'autotest FIPS da eseguire ogni mercoledì alle 9:00.
    [modifica autotest fips di sistema] crypto-officer@hostname:fips# imposta l'ora di inizio periodica 09:00
    crypto-officer@hostname:fips# imposta il giorno della settimana periodico 3
  2. Se hai finito di configurare il dispositivo, conferma la configurazione.
    [modifica autotest fips di sistema] crypto-officer@hostname:fips# commit

Risultati
Dalla modalità di configurazione, conferma la tua configurazione emettendo il comando show system. Se l'output non mostra la configurazione prevista, ripetere le istruzioni in questo esempioample per correggere la configurazione.
crypto-officer@hostname:fips# mostra sistema
fischietti {
test di autoverifica {
periodico {
ora di inizio “09:00”;
giorno della settimana 3;
}
}
}

Verifica

Confermare che la configurazione funzioni correttamente.
Verifica dell'autotest FIPS

Scopo
Verificare che l'autotest FIPS sia abilitato.
Azione
Eseguire manualmente l'autotest FIPS emettendo il comando di autotest fips del sistema di richiesta o riavviando il dispositivo.
Dopo aver emesso la richiesta di comando di autotest fips del sistema o riavviato il dispositivo, verrà visualizzato il registro di sistema file viene aggiornato per visualizzare i KAT eseguiti. A view il registro di sistema file, emettere il file mostra il comando /var/log/messaggi.
utente@host# file mostra /var/log/messaggi
RE KAT:
mgd: esecuzione di test automatici FIPS
mgd: Test del kernel KATS:
mgd: Test di risposta nota NIST 800-90 HMAC DRBG: superato
mgd: Test di risposta nota DES3-CBC: superato
mgd: Test di risposta nota HMAC-SHA1: superato
mgd: HMAC-SHA2-256 Test di risposta nota: superato
mgd: SHA-2-384 Test di risposta nota: superato
mgd: SHA-2-512 Test di risposta nota: superato
mgd: Test di risposta nota AES128-CMAC: superato
mgd: Test di risposta nota AES-CBC: superato
mgd: Test di MACSec KATS:
mgd: Test di risposta nota AES128-CMAC: superato
mgd: Test di risposta nota AES256-CMAC: superato
mgd: Test di risposta nota AES-BCE: superato
mgd: Test di risposta nota AES-KEYWRAP: superato
mgd: Test di risposta nota KBKDF: superato
mgd: Test di libmd KATS:
mgd: Test di risposta nota HMAC-SHA1: superato
mgd: HMAC-SHA2-256 Test di risposta nota: superato
mgd: SHA-2-512 Test di risposta nota: superato
mgd: Test di OpenSSL KATS:
mgd: Test di risposta nota NIST 800-90 HMAC DRBG: superato
mgd: Test di risposta nota FIPS ECDSA: superato
mgd: Test di risposta nota FIPS ECDH: superato
mgd: Test di risposta nota FIPS RSA: superato
mgd: Test di risposta nota DES3-CBC: superato
mgd: Test di risposta nota HMAC-SHA1: superato
mgd: HMAC-SHA2-224 Test di risposta nota: superato
mgd: HMAC-SHA2-256 Test di risposta nota: superato
mgd: HMAC-SHA2-384 Test di risposta nota: superato
mgd: HMAC-SHA2-512 Test di risposta nota: superato
mgd: Test di risposta nota AES-CBC: superato
mgd: Test di risposta nota AES-GCM: superato
mgd: Test di risposta nota ECDSA-SIGN: superato
mgd: Test di risposta nota KDF-IKE-V1: superato
mgd: KDF-SSH-SHA256 Test di risposta nota: superato
mgd: KAS-ECC-EPHEM-UNIFIED-NOKC Test di risposta nota: superato
mgd: KAS-FFC-EPHEM-NOKC Test di risposta nota: superato
mgd: Test di QuickSec 7.0 KATS:
mgd: Test di risposta nota NIST 800-90 HMAC DRBG: superato
mgd: Test di risposta nota DES3-CBC: superato
mgd: Test di risposta nota HMAC-SHA1: superato
mgd: HMAC-SHA2-224 Test di risposta nota: superato
mgd: HMAC-SHA2-256 Test di risposta nota: superato
mgd: HMAC-SHA2-384 Test di risposta nota: superato
mgd: HMAC-SHA2-512 Test di risposta nota: superato
mgd: Test di risposta nota AES-CBC: superato
mgd: Test di risposta nota AES-GCM: superato
mgd: Test di risposta nota SSH-RSA-ENC: superato
mgd: Test di risposta nota SSH-RSA-SIGN: superato
mgd: Test di risposta nota SSH-ECDSA-SIGN: superato
mgd: Test di risposta nota KDF-IKE-V1: superato
mgd: Test di risposta nota KDF-IKE-V2: superato
mgd: Test di QuickSec KATS:
mgd: Test di risposta nota NIST 800-90 HMAC DRBG: superato
mgd: Test di risposta nota DES3-CBC: superato
mgd: Test di risposta nota HMAC-SHA1: superato
mgd: HMAC-SHA2-224 Test di risposta nota: superato
mgd: HMAC-SHA2-256 Test di risposta nota: superato
mgd: HMAC-SHA2-384 Test di risposta nota: superato
mgd: HMAC-SHA2-512 Test di risposta nota: superato
mgd: Test di risposta nota AES-CBC: superato
mgd: Test di risposta nota AES-GCM: superato
mgd: Test di risposta nota SSH-RSA-ENC: superato
mgd: Test di risposta nota SSH-RSA-SIGN: superato
mgd: Test di risposta nota KDF-IKE-V1: superato
mgd: Test di risposta nota KDF-IKE-V2: superato
mgd: Test SSH IPsec KATS:
mgd: Test di risposta nota NIST 800-90 HMAC DRBG: superato
mgd: Test di risposta nota DES3-CBC: superato
mgd: Test di risposta nota HMAC-SHA1: superato
mgd: HMAC-SHA2-256 Test di risposta nota: superato
mgd: Test di risposta nota AES-CBC: superato
mgd: Test di risposta nota SSH-RSA-ENC: superato
mgd: Test di risposta nota SSH-RSA-SIGN: superato
mgd: Test di risposta nota KDF-IKE-V1: superato
mgd: Test file integrità:
mgd: File Test di risposta nota sull'integrità: superato
mgd: Test dell'integrità della crittografia:
mgd: Test di risposta nota sull'integrità della crittografia: superato
mgd: aspettarsi un exec AuthenticatiMAC/veriexec: nessuna impronta digitale (file=/sbin/kats/non-exec
fsid=246 fileid=49356 gen=1 uid=0 pid=9384 ppid=9354 gppid=9352) in caso di errore…
mgd: /sbin/kats/run-tests: /sbin/kats/cannot-exec: errore di autenticazione
mgd: test automatici FIPS superati
LC KAT:
12 settembre 10:50:44 network_macsec_kats_input xe- /0/0:0:
no> pic:0 port:0 chan:0 FIPS AES-256-GCM MACsec crittografia KATS superata
12 settembre 10:50:50 network_macsec_kats_input xe- /0/1:0:
no> pic:0 port:1 chan:0 FIPS AES-256-GCM MACsec crittografia KATS superata
12 settembre 10:50:55 network_macsec_kats_input xe- /0/0:0:
no> pic:0 port:0 chan:0 FIPS AES-256-GCM MACsec Decrittografia KATS superata
12 settembre 10:50:56 network_macsec_kats_input xe- /0/2:0:
no> pic:0 port:2 chan:0 FIPS AES-256-GCM MACsec crittografia KATS superata
12 settembre 10:51:01 network_macsec_kats_input xe- /0/1:0:
no> pic:0 port:1 chan:0 FIPS AES-256-GCM MACsec Decrittografia KATS superata
12 settembre 10:51:02 network_macsec_kats_input xe- /0/2:0:
no> pic:0 port:2 chan:0 FIPS AES-256-GCM MACsec Decrittografia KATS superata
12 settembre 10:51:06 network_macsec_kats_input xe- /0/3:0:
no> pic:0 port:3 chan:0 FIPS AES-256-GCM MACsec crittografia KATS superata
12 settembre 10:51:12 network_macsec_kats_input xe- /0/3:0:
no> pic:0 port:3 chan:0 FIPS AES-256-GCM MACsec Decrittografia KATS superata
12 settembre 10:51:17 network_macsec_kats_input xe- /0/4:0:
no> pic:0 port:4 chan:0 FIPS AES-256-GCM MACsec crittografia KATS superata
12 settembre 10:51:17 network_macsec_kats_input xe- /0/4:0:
no> pic:0 port:4 chan:0 FIPS AES-256-GCM MACsec Decrittografia KATS superata
12 settembre 10:51:26 network_macsec_kats_input xe- /0/5:0:
no> pic:0 port:5 chan:0 FIPS AES-256-GCM MACsec crittografia KATS superata
12 settembre 10:51:27 network_macsec_kats_input xe- /0/5:0:
no> pic:0 port:5 chan:0 FIPS AES-256-GCM MACsec Decrittografia KATS superata
12 settembre 10:51:36 network_macsec_kats_input xe- /0/6:0:
no> pic:0 port:6 chan:0 FIPS AES-256-GCM MACsec crittografia KATS superata
12 settembre 10:51:36 network_macsec_kats_input xe- /0/6:0:
no> pic:0 port:6 chan:0 FIPS AES-256-GCM MACsec Decrittografia KATS superata
12 settembre 10:51:44 network_macsec_kats_input xe- /0/7:0:
no> pic:0 port:7 chan:0 FIPS AES-256-GCM MACsec crittografia KATS superata
12 settembre 10:51:44 network_macsec_kats_input xe- /0/7:0:
no> pic:0 port:7 chan:0 FIPS AES-256-GCM MACsec Decrittografia KATS superata
12 settembre 10:51:51 network_macsec_kats_input xe- /0/8:0:
no> pic:0 port:8 chan:0 FIPS AES-256-GCM MACsec crittografia KATS superata
12 settembre 10:51:51 network_macsec_kats_input xe- /0/8:0:
no> pic:0 port:8 chan:0 FIPS AES-256-GCM MACsec Decrittografia KATS superata
12 settembre 10:51:58 network_macsec_kats_input xe- /0/9:0:
no> pic:0 port:9 chan:0 FIPS AES-256-GCM MACsec crittografia KATS superata
12 settembre 10:51:58 network_macsec_kats_input xe- /0/9:0:
no> pic:0 port:9 chan:0 FIPS AES-256-GCM MACsec Decrittografia KATS superata
12 settembre 10:52:05 network_macsec_kats_input xe- /0/10:0:
Slot no> pic:0 port:10 chan:0 FIPS AES-256-GCM MACsec Crittografia KATS superata
12 settembre 10:52:05 network_macsec_kats_input xe- /0/10:0:
Slot no> pic:0 port:10 chan:0 FIPS AES-256-GCM MACsec KATS decrittografia superata
12 settembre 10:52:12 network_macsec_kats_input xe- /0/11:0:
Slot no> pic:0 port:11 chan:0 FIPS AES-256-GCM MACsec Crittografia KATS superata
12 settembre 10:52:12 network_macsec_kats_input xe- /0/11:0:
Slot no> pic:0 port:11 chan:0 FIPS AES-256-GCM MACsec KATS decrittografia superata
12 settembre 10:52:20 network_macsec_kats_input xe- /1/0:0:
no> pic:1 port:0 chan:0 FIPS AES-256-GCM MACsec crittografia KATS superata
12 settembre 10:52:20 network_macsec_kats_input xe- /1/0:0:
no> pic:1 port:0 chan:0 FIPS AES-256-GCM MACsec Decrittografia KATS superata
12 settembre 10:52:27 network_macsec_kats_input xe- /1/1:0:
no> pic:1 port:1 chan:0 FIPS AES-256-GCM MACsec crittografia KATS superata
12 settembre 10:52:28 network_macsec_kats_input xe- /1/1:0:
no> pic:1 port:1 chan:0 FIPS AES-256-GCM MACsec Decrittografia KATS superata
12 settembre 10:52:34 network_macsec_kats_input xe- /1/2:0:
no> pic:1 port:2 chan:0 FIPS AES-256-GCM MACsec crittografia KATS superata
Senso
Il registro di sistema file visualizza la data e l'ora in cui sono stati eseguiti i KAT e il loro stato.

Comandi operativi

Sintassi
richiedere l'azzeramento del sistema
Descrizione
Per RE1800, rimuovere tutte le informazioni di configurazione sui motori di routing e reimpostare tutti i valori delle chiavi. Se il dispositivo dispone di due motori di routing, il comando viene trasmesso a tutti i motori di routing sul dispositivo. Il comando rimuove tutti i dati  files, inclusa la configurazione e il registro personalizzati files, scollegando il file files dalle loro directory. Il comando rimuove tutti i file creati dall'utente files dal sistema, incluse tutte le password in testo normale, i segreti e le chiavi private per SSH, crittografia locale, autenticazione locale, IPsec, RADIUS, TACACS+ e SNMP.
Questo comando riavvia il dispositivo e lo imposta sulla configurazione predefinita di fabbrica. Dopo il riavvio, non è possibile accedere al dispositivo tramite l'interfaccia Ethernet di gestione. Accedi tramite la console come root e avvia la CLI del sistema operativo Junos digitando cli al prompt.
Livello di privilegio richiesto
manutenzione
richiedi vmhost zeroize no-forwarding
Sintassi
richiedi vmhost zeroize no-forwarding
Descrizione
Per REMX2K-X8, rimuovere tutte le informazioni di configurazione sui motori di routing e reimpostare tutti i valori chiave. Se il dispositivo dispone di due motori di routing, il comando viene trasmesso a entrambi i motori di routing sul dispositivo.
Il comando rimuove tutti i dati files, inclusa la configurazione e il registro personalizzati files, scollegando il file files dalle loro directory. Il comando rimuove tutti i file creati dall'utente files dal sistema, incluse tutte le password in testo semplice, i segreti e le chiavi private per SSH, crittografia locale, autenticazione locale, IPsec, RADIUS, TACACS+ e SNMP.
Questo comando riavvia il dispositivo e lo imposta sulla configurazione predefinita di fabbrica. Dopo il riavvio, non è possibile accedere al dispositivo tramite l'interfaccia Ethernet di gestione. Accedi tramite la console come utente root e avvia la CLI del sistema operativo Junos digitando cli al prompt.
Sample Uscita
richiedi vmhost zeroize no-forwarding
utente@host> richiede vmhost azzera il no-forwarding
Zeroizzazione VMHost: cancella tutti i dati, inclusi configurazione e registro fileS ?
[sì,no] (no) sì
re0:
avviso: Vmhost si riavvierà e potrebbe non avviarsi senza
configurazione
avviso: procedere con vmhost
azzerare
Azzerare il disco interno secondario
Procediamo con l'azzeramento del secondario
disco
Dispositivo di montaggio in preparazione per
azzerare…
Pulizia del disco di destinazione per l'azzeramento
Zeroize fatto sul target
disco.
Azzeramento del disco secondario
completato
Azzerare il disco interno primario
Procediamo con l'azzeramento del primario
disco
/etc/ssh/ssh_host_ecdsa_key.pub
/etc/ssh/ssh_host_rsa_key
/etc/ssh/ssh_host_dsa_key.pub
/etc/ssh/ssh_host_rsa_key.pub
/etc/ssh/ssh_host_ecdsa_key
/etc/ssh/ssh_host_dsa_key
Dispositivo di montaggio in preparazione per
azzerare…
Pulizia del disco di destinazione per l'azzeramento
Zeroize fatto sul target
disco.
Azzeramento del disco primario
completato
Azzerare
Fatto
—(altro)— Fermarsi
cronologico.
In attesa del PIDS:
6135.
.
16 febbraio 14:59:33 jlaunchd: periodic-packet-services (PID 6181) termina il segnale 15 inviato
16 febbraio 14:59:33 jlaunchd: segnale di terminazione 6234 del servizio smg (PID 15) inviato
16 febbraio 14:59:33 jlaunchd: segnale di terminazione 6236 di identificazione dell'applicazione (PID 15) inviato
16 febbraio 14:59:33 jlaunchd: ifstate-tracing-process (PID 6241) termina il segnale 15 inviato
16 febbraio 14:59:33 jlaunchd: segnale di terminazione 6243 di gestione delle risorse (PID 15) inviato
16 febbraio 14:59:33 jlaunchd: addebitato (PID 6246) segnale di terminazione 15 inviato
16 febbraio 14:59:33 jlaunchd: segnale di terminazione 6255 del servizio licenza (PID 15) inviato
16 febbraio 14:59:33 jlaunchd: segnale di terminazione ntp (PID 6620) 15 inviato
16 febbraio 14:59:33 jlaunchd: gkd-chassis (PID 6621) termina il segnale 15 inviato
16 febbraio 14:59:33 jlaunchd: gkd-lchassis (PID 6622) termina il segnale 15 inviato
16 febbraio 14:59:33 jlaunchd: segnale di terminazione 6625 del routing (PID 15) inviato
16 febbraio 14:59:33 jlaunchd: sonet-aps (PID 6626) termina il segnale 15 inviato
16 febbraio 14:59:33 jlaunchd: segnale di terminazione 6627 inviato per operazioni remote (PID 15)
16 febbraio 14:59:33 jlaunchd: classe di servizio
……..
99GINEPRO Logo

Documenti / Risorse

JUNIPER NETWORKS Junos OS Dispositivi valutati FIPS [pdf] Guida utente
Dispositivi valutati FIPS per sistema operativo Junos, Sistema operativo Junos, Dispositivi valutati FIPS, Dispositivi valutati, Dispositivi

Riferimenti

Lascia un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *