Manuale per l'utente dei dispositivi Juniper NETWORKS MX240Junos OS con scheda servizi

Configurazione valutata con criteri comuni terminataview:
La configurazione valutata Common Criteria fornisce un overview delle funzionalità di sicurezza e delle configurazioni richieste per i dispositivi MX240, MX480 e MX960 con la scheda servizi MX-SPC3. Questa sezione spiega lo scopo e l'ambito della configurazione valutata.

Sistema operativo Junos in modalità operativa FIPS terminataview:
Il sistema operativo Junos in modalità operativa FIPS garantisce la conformità agli standard FIPS (Federal Information Processing Standards) per i moduli crittografici. Questa sezione fornisce una panoramicaview della modalità FIPS e dei suoi vantaggi.

Sopraview della terminologia FIPS e degli algoritmi crittografici supportati:
Questa sezione spiega la terminologia utilizzata nella modalità FIPS e fornisce informazioni sugli algoritmi crittografici supportati.

Identificare la consegna sicura del prodotto:
Questa sezione fornisce linee guida su come garantire la consegna sicura del prodotto, inclusa la verifica dell'integrità dei pacchetti software consegnati.

Interfacce di gestione finiteview:
Scopri le diverse interfacce di gestione disponibili per i dispositivi MX240, MX480 e MX960 con la scheda servizi MX-SPC3. Questa sezione spiega lo scopo e l'utilizzo di ciascuna interfaccia.

Configura ruoli e metodi di autenticazione

Sopraview di ruoli e servizi per il sistema operativo Junos:
Questa sezione fornisce una panoramicaview dei diversi ruoli e servizi disponibili nel sistema operativo Junos e spiega come configurarli per la configurazione valutata.

Sopraview dell'ambiente operativo per il sistema operativo Junos in modalità FIPS:
Comprendere i requisiti dell'ambiente operativo per l'esecuzione del sistema operativo Junos in modalità FIPS. Questa sezione illustra le configurazioni e le considerazioni necessarie.

Sopraview delle specifiche e delle linee guida per le password per il sistema operativo Junos in modalità FIPS:
Scopri le specifiche e le linee guida della password per il sistema operativo Junos in modalità FIPS. Questa sezione fornisce consigli per la creazione di password complesse e sicure.

Scarica pacchetti software da Juniper Networks:
Istruzioni dettagliate su come scaricare pacchetti software da Juniper Networks webluogo. Questa sezione garantisce di disporre degli ultimi aggiornamenti firmware e patch di sicurezza.

Installa i pacchetti software Junos:
Una guida dettagliata su come installare i pacchetti software Junos sul tuo dispositivo MX240, MX480 o MX960. Questa sezione copre sia i processi di installazione iniziale che quelli di aggiornamento.

Sopraview di azzeramento per cancellare i dati di sistema per la modalità FIPS:
Comprendere il processo di azzeramento del sistema per cancellare i dati sensibili quando si opera in modalità FIPS. In questa sezione vengono illustrati i passaggi e le considerazioni coinvolte.

Azzerare il sistema:

Istruzioni dettagliate su come azzerare il sistema per rimuovere tutti i dati sensibili. Questa sezione garantisce la corretta cancellazione dei dati prima dello smaltimento o della riconfigurazione.

Abilita la modalità FIPS:
Scopri come abilitare la modalità FIPS sul tuo dispositivo MX240, MX480 o MX960. In questa sezione vengono fornite le configurazioni e le considerazioni necessarie.

Configurare l'amministratore della sicurezza e l'identificazione e l'accesso dell'utente FIPS:
Questa sezione spiega come configurare l'identificazione e l'accesso dell'amministratore della sicurezza e dell'utente FIPS. Copre i passaggi necessari per una corretta autenticazione e autorizzazione.

Configurare l'accesso amministratore della sicurezza:
Una guida dettagliata sulla configurazione dell'accesso dell'amministratore della sicurezza per la configurazione valutata. Questa sezione illustra le configurazioni necessarie e le procedure consigliate.

Configurare l'accesso utente FIPS:
Istruzioni dettagliate sulla configurazione dell'accesso utente FIPS per la configurazione valutata. Questa sezione garantisce l'autenticazione utente sicura e il controllo degli accessi.

Configurare credenziali e privilegi amministrativi

Comprendere le regole della password associata per un amministratore autorizzato:
Questa sezione fornisce informazioni sulle regole della password associate a un amministratore autorizzato. Copre la complessità della password, la scadenza e altre considerazioni correlate.

Configurazione di un dispositivo di rete Collaborative Protection Profile Amministratore autorizzato:
Una guida dettagliata sulla configurazione di una protezione collaborativa professionale per dispositivi di retefile amministratore autorizzato. Questa sezione garantisce il corretto controllo dell'accesso amministrativo per la configurazione valutata.

Personalizza il tempo:
Scopri come personalizzare le impostazioni dell'ora sul tuo dispositivo MX240, MX480 o MX960. Questa sezione copre le configurazioni necessarie per una precisa sincronizzazione dell'ora.

Configurazione del periodo di timeout di inattività e terminazione della sessione inattiva locale e remota:
Configurare il periodo di timeout di inattività e la terminazione della sessione inattiva locale/remota per la configurazione valutata. Questa sezione fornisce istruzioni sull'impostazione dei timeout delle sessioni.

Configura la chiusura della sessione:
Istruzioni dettagliate su come configurare la terminazione della sessione per la configurazione valutata. Questa sezione garantisce la corretta gestione e sicurezza della sessione.

Sample Output per la terminazione della sessione amministrativa locale:
Sample output ed esample di terminazione della sessione amministrativa locale come riferimento. Questa sezione aiuta a comprendere il comportamento e l'output previsti.

SampOutput le per la terminazione della sessione amministrativa remota:
Sample output ed esample di terminazione della sessione amministrativa remota come riferimento. Questa sezione aiuta a comprendere il comportamento e l'output previsti.

Sample Output per la terminazione avviata dall'utente:
Sample output ed esample di terminazione della sessione avviata dall'utente come riferimento. Questa sezione aiuta a comprendere il comportamento e l'output previsti.

Configura la connessione SSH e console

Configurare un messaggio e un annuncio di accesso al sistema:
Questa sezione spiega come configurare un messaggio di accesso al sistema e un annuncio per la configurazione valutata. Fornisce istruzioni sulla personalizzazione dell'esperienza di accesso.

Configura SSH sulla configurazione valutata per NDcPPv2.2e:
Istruzioni dettagliate su come configurare SSH sulla configurazione valutata per la conformità NDcPPv2.2e. Questa sezione garantisce l'accesso remoto sicuro al dispositivo.

Limita il numero di tentativi di accesso utente per le sessioni SSH:
Scopri come limitare il numero di tentativi di accesso utente per le sessioni SSH nella configurazione valutata. Questa sezione fornisce istruzioni per migliorare la sicurezza contro gli attacchi di forza bruta.

Specifiche

Guida alla configurazione dei criteri comuni: Dispositivi MX240, MX480 e MX960 con scheda servizi MX-SPC3

Data di pubblicazione: Numero di telefono: 2023-12-25

Versione di rilascio: 22.2R1

Domande frequenti (FAQ)

D: I prodotti hardware e software Juniper Networks sono anno Conforme al 2000?
R: Sì, i prodotti hardware e software Juniper Networks sono conformi all'anno 2000. Il sistema operativo Junos non ha limitazioni note legate al tempo fino all'anno 2038.

D: Dove posso trovare il contratto di licenza con l'utente finale (EULA) per Software Juniper Networks?
R: Il contratto di licenza con l'utente finale (EULA) per il software Juniper Networks è disponibile all'indirizzo https://support.juniper.net/support/eula/. Scaricando, installando o utilizzando il software, accetti i termini e le condizioni dell'EULA.

View Fullscreen

Sistema operativo Junos®
Guida alla configurazione dei criteri comuni per dispositivi MX240, MX480 e MX960 con scheda servizi MX-SPC3

Pubblicato
Numero di telefono: 2023-12-25

PUBBLICAZIONE
22.2R1

ii
Juniper Networks, Inc. 1133 Innovation Way Sunnyvale, California 94089 Stati Uniti Numero di telefono: 408-745-2000 www.juniper.net
Juniper Networks, il logo Juniper Networks, Juniper e Junos sono marchi registrati di Juniper Networks, Inc. negli Stati Uniti e in altri paesi. Tutti gli altri marchi, marchi di servizio, marchi registrati o marchi di servizio registrati sono di proprietà dei rispettivi proprietari.
Juniper Networks non si assume alcuna responsabilità per eventuali inesattezze in questo documento. Juniper Networks si riserva il diritto di cambiare, modificare, trasferire o altrimenti rivedere questa pubblicazione senza preavviso.
Guida alla configurazione dei criteri comuni del sistema operativo Junos® per dispositivi MX240, MX480 e MX960 con scheda servizi MX-SPC3 22.2R1 Copyright © 2023 Juniper Networks, Inc. Tutti i diritti riservati.
Le informazioni in questo documento sono aggiornate alla data sul frontespizio.
AVVISO ANNO 2000
I prodotti hardware e software di Juniper Networks sono conformi all'anno 2000. Il sistema operativo Junos non ha limitazioni di tempo note per tutto l'anno 2038. Tuttavia, è noto che l'applicazione NTP ha alcune difficoltà nell'anno 2036.
CONTRATTO DI LICENZA PER L'UTENTE FINALE
Il prodotto Juniper Networks oggetto della presente documentazione tecnica è costituito da (o è destinato all'uso con) il software Juniper Networks. L'uso di tale software è soggetto ai termini e alle condizioni del Contratto di licenza con l'utente finale ("EULA") pubblicato su https://support.juniper.net/support/eula/. Scaricando, installando o utilizzando tale software, accetti i termini e le condizioni di tale EULA.

Informazioni su questa guida

Utilizza questa guida per configurare e valutare i dispositivi MX240, MX480 e MX960 per la conformità ai Common Criteria (CC). I Common Criteria per la tecnologia dell'informazione sono un accordo internazionale firmato da diversi paesi che consente la valutazione dei prodotti di sicurezza rispetto a un insieme comune di standard.
DOCUMENTAZIONE CORRELATA Common Criteria e Certificazioni FIPS

1 CAPITOLO
Sopraview
Configurazione valutata con criteri comuni terminataview | 2 Junos OS in modalità operativa FIPS Terminataview | 3 Passoview della terminologia FIPS e degli algoritmi crittografici supportati | 5 Identificare la consegna sicura del prodotto | 8 interfacce di gestione finiteview | 9

Configurazione valutata con criteri comuni terminataview
IN QUESTA SEZIONE Criteri comuni finitiview | 2 piattaforme supportate | 3
Questo documento descrive i passaggi necessari per duplicare la configurazione del dispositivo che esegue il sistema operativo Junos quando il dispositivo viene valutato. Questa viene definita configurazione valutata. L'elenco seguente descrive gli standard rispetto ai quali è stato valutato il dispositivo: · NDcPPv2.2e–https://www.niap-ccevs.org/MMO/PP/CPP_ND_V2.2E.pdf · MOD_VPN–https://www.niap -ccevs.org/Profile/Info.cfm?PPID=449 La protezione archiviata ProfileI documenti sono disponibili all'indirizzo https://www.niap-ccevs.org/Profile/PP.cfm? archiviato=1.
NOTA: i dispositivi MX240, MX480 e MX960 con Junos OS versione 22.2R1 sono certificati per Common Criteria con la modalità FIPS abilitata sui dispositivi.
Criteri comuni finitiview
I Common Criteria per la tecnologia dell'informazione sono un accordo internazionale firmato da diversi paesi che consente la valutazione dei prodotti di sicurezza rispetto a un insieme comune di standard. Nel Common Criteria Recognition Arrangement (CCRA) a https://www.commoncriteriaportal.org/ccra/, i partecipanti si impegnano a riconoscere reciprocamente le valutazioni dei prodotti eseguiti in altri paesi. Tutte le valutazioni vengono eseguite utilizzando una metodologia comune per la valutazione della sicurezza informatica. Per ulteriori informazioni sui criteri comuni, vedere https://www.commoncriteriaportal.org/.

3
Piattaforme supportate
Per le funzionalità descritte in questo documento, le seguenti piattaforme sono supportate con la Carta Servizi MX-SPC3. NDcPPv2.2e e MOD_VPN si applicano a: · MX240 (https://www.juniper.net/us/en/products/routers/mx-series/mx240-universal-routing-
platform.html) · MX480 (https://www.juniper.net/us/en/products/routers/mx-series/mx480-universal-routing-
platform.html) · MX960 (https://www.juniper.net/us/en/products/routers/mx-series/mx960-universal-routing-
piattaforma.html)
DOCUMENTAZIONE CORRELATA Identificazione della consegna sicura del prodotto | 8
Sistema operativo Junos in modalità operativa FIPS terminataview
IN QUESTA SEZIONE Informazioni sul confine crittografico sul tuo dispositivo | 4 Differenze tra la modalità operativa FIPS e la modalità operativa non FIPS | 4 Versione convalidata del sistema operativo Junos in modalità operativa FIPS | 5
Lo standard FIPS (Federal Information Processing Standards) 140-3 definisce i livelli di sicurezza per l'hardware e il software che eseguono funzioni crittografiche. Junos-FIPS è una versione del sistema operativo Junos (Junos OS) conforme allo standard FIPS (Federal Information Processing Standard) 140-3. Il funzionamento dei dispositivi di sicurezza in un ambiente FIPS 140-3 Livello 2 richiede l'abilitazione e la configurazione della modalità operativa FIPS sul dispositivo dall'interfaccia della riga di comando (CLI) del sistema operativo Junos.

4
L'amministratore della sicurezza abilita la modalità operativa FIPS nel sistema operativo Junos versione 22.2R1 e imposta chiavi e password per il sistema e altri utenti FIPS che possono view la configurazione. Entrambi i tipi di utente possono anche eseguire normali attività di configurazione sul dispositivo (come la modifica dei tipi di interfaccia) come consentito dalla configurazione del singolo utente.
MIGLIORE PRATICA: assicurati di verificare la consegna sicura del tuo dispositivo e applica tampsigilli evidenti ai suoi porti vulnerabili.
Informazioni sul confine crittografico sul tuo dispositivo
La conformità FIPS 140-3 richiede un confine crittografico definito attorno a ciascun modulo crittografico su un dispositivo. Il sistema operativo Junos in modalità operativa FIPS impedisce al modulo crittografico di eseguire qualsiasi software che non faccia parte della distribuzione certificata FIPS e consente l'utilizzo solo di algoritmi crittografici approvati da FIPS. Nessun parametro critico di sicurezza (CSP), come password e chiavi, può oltrepassare il confine crittografico del modulo, ad es.ample, visualizzato su una console o scritto su un registro esterno file.
ATTENZIONE: le funzionalità dello chassis virtuale non sono supportate nella modalità operativa FIPS. Non configurare uno chassis virtuale in modalità operativa FIPS.
Per proteggere fisicamente il modulo crittografico, tutti i dispositivi Juniper Networks richiedono un tampsigillo ben evidente sulle porte USB e mini-USB.
Differenze tra la modalità operativa FIPS e la modalità operativa non FIPS
A differenza del sistema operativo Junos in modalità operativa non FIPS, il sistema operativo Junos in modalità operativa FIPS è un ambiente operativo non modificabile. Inoltre, il sistema operativo Junos in modalità operativa FIPS differisce nei seguenti aspetti dal sistema operativo Junos in modalità operativa non FIPS: · Gli autotest di tutti gli algoritmi crittografici vengono eseguiti all'avvio. · Gli autotest dei numeri casuali e della generazione delle chiavi vengono eseguiti continuamente. · Gli algoritmi crittografici deboli come Data Encryption Standard (DES) e MD5 sono disabilitati. · Non devono essere configurate connessioni di gestione deboli, remote o non crittografate. Tuttavia, TOE
consente l'accesso alla console locale e non crittografato in tutte le modalità operative.

5
· Le password devono essere crittografate con potenti algoritmi unidirezionali che non consentono la decrittografia. · Le password amministratore Junos-FIPS devono contenere almeno 10 caratteri. · Le chiavi crittografiche devono essere crittografate prima della trasmissione. Lo standard FIPS 140-3 è disponibile per il download dal National Institute of Standards and Technology (NIST) all'indirizzo http://csrc.nist.gov/publications/fips/fips140-3/fips1402.pdf.
Versione convalidata del sistema operativo Junos in modalità operativa FIPS
Per determinare se una versione del sistema operativo Junos è convalidata NIST, consultare la pagina di conformità su Juniper Networks Web sito (https://apps.juniper.net/compliance).
DOCUMENTAZIONE CORRELATA Identificazione della consegna sicura del prodotto | 8
Sopraview della terminologia FIPS e degli algoritmi crittografici supportati
IN QUESTA SEZIONE Terminologia FIPS | 6 Algoritmi crittografici supportati | 7
Utilizza le definizioni dei termini FIPS e gli algoritmi supportati per comprendere meglio il sistema operativo Junos in modalità FIPS.

Terminologia FIPS

Parametro di sicurezza critico (CSP)

Informazioni relative alla sicurezza, ad esample, chiavi crittografiche segrete e private e dati di autenticazione come password e numeri di identificazione personale (PIN) – la cui divulgazione o modifica può compromettere la sicurezza di un modulo crittografico o delle informazioni da esso protette.

Modulo crittografico

L'insieme di hardware, software e firmware che implementa le funzioni di sicurezza approvate (inclusi algoritmi crittografici e generazione di chiavi) ed è contenuto all'interno del confine crittografico.

Amministratore della sicurezza

Persona con autorizzazioni appropriate responsabile dell'abilitazione, della configurazione, del monitoraggio e della manutenzione sicura del sistema operativo Junos in modalità FIPS su un dispositivo. Per i dettagli, vedere “Il sistema operativo Junos in modalità FIPS di funzionamento è terminatoview" a pagina 3.

ESP

Protocollo ESP (Encapsulating Security Payload). La parte del protocollo IPsec che

garantisce la riservatezza dei pacchetti attraverso la crittografia. Lo assicura il protocollo

che se un pacchetto ESP viene decrittografato con successo e nessun altro ne conosce il segreto

chiave condivisa dai peer, il pacchetto non è stato intercettato durante il transito.

FIPS

Standard federali per l'elaborazione delle informazioni. FIPS 140-3 specifica i requisiti per

moduli di sicurezza e crittografia. Il sistema operativo Junos in modalità operativa FIPS è conforme

con FIPS 140-3 Livello 2.

Ikea

Internet Key Exchange (IKE) fa parte di IPsec e fornisce modalità di accesso sicuro

negoziare le chiavi private condivise che l'intestazione di autenticazione (AH) e ESP

parti di IPsec devono funzionare correttamente. IKE utilizza la chiave Diffie-Hellman-

metodi di scambio ed è facoltativo in IPsec. (Le chiavi condivise possono essere inserite manualmente

agli estremi.)

IPsec

Il protocollo di sicurezza IP (IPsec). Un modo standard per aggiungere sicurezza alle comunicazioni Internet. Un'associazione di sicurezza (SA) IPsec stabilisce una comunicazione sicura con un altro modulo crittografico FIPS mediante autenticazione e crittografia reciproche.

KAT

Test a risposta nota. Autotest del sistema che convalidano l'output di algoritmi crittografici approvati per FIPS e testano l'integrità di alcuni moduli del sistema operativo Junos. Per i dettagli, vedere “Test automatici FIPS terminatiview" a pagina 122.

Associazione di sicurezza (SA). Una connessione tra host che consente loro di farlo

comunicare in modo sicuro definendo, ad esample, come si scambiano le chiavi private. COME

Amministratore della sicurezza, è necessario configurare manualmente una SA interna sui dispositivi

Azzeramento SPI SSH

eseguendo il sistema operativo Junos in modalità operativa FIPS. Tutti i valori, comprese le chiavi, devono essere specificati staticamente nella configurazione.
Indice dei parametri di sicurezza (SPI). Un identificatore numerico utilizzato con l'indirizzo di destinazione e il protocollo di sicurezza in IPsec per identificare una SA. Poiché si configura manualmente la SA per il sistema operativo Junos in modalità operativa FIPS, l'SPI deve essere immesso come parametro anziché derivato in modo casuale.
Un protocollo che utilizza autenticazione e crittografia avanzate per l'accesso remoto su una rete non protetta. SSH fornisce accesso remoto, esecuzione di programmi in remoto, file copia e altre funzioni. È inteso come sostituto sicuro di rlogin, rsh e rcp in un ambiente UNIX. Per proteggere le informazioni inviate tramite connessioni amministrative, utilizzare SSHv2 per la configurazione della CLI. Nel sistema operativo Junos, SSHv2 è abilitato per impostazione predefinita e SSHv1, che non è considerato sicuro, è disabilitato.
Cancellazione di tutti i CSP e altri dati creati dall'utente su un dispositivo prima del suo funzionamento come modulo crittografico FIPS o in preparazione per riutilizzare il dispositivo per operazioni non FIPS. L'amministratore della sicurezza può azzerare il sistema con un comando operativo CLI. Per i dettagli, vedere “Fineview di azzeramento per cancellare i dati di sistema per la modalità FIPS” a pagina 23.

Algoritmi crittografici supportati
Ogni implementazione di un algoritmo viene controllata da una serie di autotest KAT (known Answer Test). Qualsiasi errore di autotest genera uno stato di errore FIPS.

PROCEDURA OTTIMALE: per la conformità FIPS 140-3, utilizzare solo algoritmi crittografici approvati da FIPS nel sistema operativo Junos in modalità operativa FIPS.

I seguenti algoritmi crittografici sono supportati nella modalità operativa FIPS. I metodi simmetrici utilizzano la stessa chiave per la crittografia e la decrittografia, mentre i metodi asimmetrici (preferiti) utilizzano chiavi diverse per la crittografia e la decrittografia.

AES

L'Advanced Encryption Standard (AES), definito in FIPS PUB 197. L'algoritmo AES utilizza

chiavi da 128, 192 o 256 bit per crittografare e decrittografare i dati in blocchi da 128 bit.

Diffie Hellman

Un metodo di scambio di chiavi in un ambiente non sicuro (come Internet). L'algoritmo Diffie-Hellman negozia una chiave di sessione senza inviare la chiave stessa attraverso la rete consentendo a ciascuna parte di scegliere una chiave parziale in modo indipendente e di inviare parte di quella chiave

ECDH ECDSA HMAC

all'altro. Ciascun lato calcola quindi un valore chiave comune. Questo è un metodo simmetrico e le chiavi vengono generalmente utilizzate solo per un breve periodo, scartate e rigenerate.
Curva ellittica Diffie-Hellman. Una variante dell'algoritmo di scambio di chiavi Diffie-Hellman che utilizza la crittografia basata sulla struttura algebrica delle curve ellittiche su campi finiti. L'ECDH consente a due parti, ciascuna dotata di una coppia di chiavi pubblica-privata a curva ellittica, di stabilire un segreto condiviso su un canale non sicuro. Il segreto condiviso può essere utilizzato come chiave o per derivare un'altra chiave per crittografare le comunicazioni successive utilizzando una crittografia a chiave simmetrica.
Algoritmo di firma digitale con curva ellittica. Una variante dell'algoritmo di firma digitale (DSA) che utilizza la crittografia basata sulla struttura algebrica delle curve ellittiche su campi finiti. La dimensione in bit della curva ellittica determina la difficoltà di decifrare la chiave. La chiave pubblica ritenuta necessaria per l’ECDSA è circa il doppio del livello di sicurezza, in bit. ECDSA che utilizza la curva P-256, P-384 o P-521 può essere configurato in OpenSSH.
Definito come "Keyed-Hashing for Message Authentication" nella RFC 2104, HMAC combina algoritmi di hashing con chiavi crittografiche per l'autenticazione dei messaggi. Per il sistema operativo Junos in modalità operativa FIPS, HMAC utilizza la funzione hash crittografica iterata SHA-1 (designata come HMAC-SHA1) insieme a una chiave segreta.

DOCUMENTAZIONE CORRELATA Autotest FIPS terminatiview | 122 Passoview di azzeramento per cancellare i dati di sistema per la modalità FIPS | 23
Identificare la consegna sicura del prodotto
Esistono diversi meccanismi forniti nel processo di consegna per garantire che un cliente riceva un prodotto che non è stato speditoampered con. Il cliente dovrà eseguire i seguenti controlli al ricevimento di un dispositivo per verificare l'integrità della piattaforma. · Etichetta di spedizione: assicurati che l'etichetta di spedizione identifichi correttamente il nome del cliente corretto e
indirizzo e dispositivo. · Imballaggio esterno: ispezionare la scatola di spedizione esterna e il nastro. Assicurarsi che il nastro di spedizione non lo abbia
stato tagliato o altrimenti compromesso. Assicurarsi che la scatola non sia stata tagliata o danneggiata per consentire l'accesso al dispositivo.

9
· Imballaggio interno: ispezionare il sacchetto di plastica e il sigillo. Assicurarsi che la borsa non venga tagliata o rimossa. Assicurarsi che il sigillo rimanga intatto.
Se il cliente identifica un problema durante l'ispezione, deve contattare immediatamente il fornitore. Fornire al fornitore il numero dell'ordine, il numero di tracciabilità e una descrizione del problema identificato. Inoltre, è possibile eseguire diversi controlli per garantire che il cliente abbia ricevuto una scatola inviata da Juniper Networks e non da un'altra società mascherata da Juniper Networks. Il cliente deve eseguire i seguenti controlli al ricevimento di un dispositivo per verificarne l'autenticità: · Verificare che il dispositivo sia stato ordinato utilizzando un ordine di acquisto. I dispositivi Juniper Networks non lo sono mai
spedito senza ordine di acquisto. · Quando un dispositivo viene spedito, viene inviata una notifica di spedizione all'indirizzo e-mail fornito da
cliente al momento della presa dell'ordine. Verificare che questa notifica e-mail sia stata ricevuta. Verificare che l'e-mail contenga le seguenti informazioni: · Numero dell'ordine di acquisto · Numero dell'ordine Juniper Networks utilizzato per tracciare la spedizione · Numero di tracciabilità del corriere utilizzato per tracciare la spedizione · Elenco degli articoli spediti inclusi i numeri di serie · Indirizzo e contatti sia del fornitore che del cliente · Verificare che la spedizione sia stata avviata da Juniper Networks. Per verificare che una spedizione sia stata avviata da Juniper Networks, è necessario eseguire le seguenti attività: · Confrontare il numero di tracciabilità del corriere del numero d'ordine Juniper Networks elencato nel Juniper
Notifica di spedizione delle reti con il numero di tracciabilità sul pacco ricevuto. · Accedere al portale di assistenza clienti online di Juniper Networks all'indirizzo https://support.juniper.net/
Sostegno a view lo stato dell'ordine. Confronta il numero di tracciabilità del corriere o il numero dell'ordine Juniper Networks riportato nella notifica di spedizione Juniper Networks con il numero di tracciabilità sul pacco ricevuto.
Interfacce di gestione finiteview
Nella configurazione valutata è possibile utilizzare le seguenti interfacce di gestione:

10
· Interfacce di gestione locale: la porta della console RJ-45 sul dispositivo è configurata come apparecchiatura terminale dati RS-232 (DTE). È possibile utilizzare l'interfaccia della riga di comando (CLI) su questa porta per configurare il dispositivo da un terminale.
· Protocolli di gestione remota: il dispositivo può essere gestito in remoto tramite qualsiasi interfaccia Ethernet. SSHv2 è l'unico protocollo di gestione remota consentito che può essere utilizzato nella configurazione valutata. I protocolli di telegestione J-Web e Telnet non sono disponibili per l'uso sul dispositivo.

2 CAPITOLO
Configura ruoli e metodi di autenticazione
Sopraview di ruoli e servizi per il sistema operativo Junos | 12 Passoview dell'ambiente operativo per il sistema operativo Junos in modalità FIPS | 14 Passoview delle specifiche e delle linee guida per le password per il sistema operativo Junos in modalità FIPS |
18 Download di pacchetti software da Juniper Networks | 19 Installazione dei pacchetti software Junos | 20 Oltreview di azzeramento per cancellare i dati di sistema per la modalità FIPS | 23 Azzerare il sistema | 24 Abilita modalità FIPS | 26 Configurare l'amministratore della sicurezza e l'identificazione e l'accesso dell'utente FIPS | 28

12
Sopraview di ruoli e servizi per il sistema operativo Junos
IN QUESTA SEZIONE Ruolo e responsabilità dell'amministratore della sicurezza | 12 Ruolo e responsabilità dell'utente FIPS | 13 Cosa ci si aspetta da tutti gli utenti FIPS | 13
L'amministratore della sicurezza è associato alla classe di accesso definita security-admin, che dispone delle autorizzazioni necessarie per consentire all'amministratore di eseguire tutte le attività necessarie per gestire il sistema operativo Junos. Gli utenti amministrativi (amministratore della sicurezza) devono fornire dati di identificazione e autenticazione univoci prima che venga concesso qualsiasi accesso amministrativo al sistema. I ruoli e le responsabilità dell'amministratore della sicurezza sono i seguenti: 1. L'amministratore della sicurezza può amministrare localmente e in remoto. 2. Creare, modificare, eliminare gli account amministratore, inclusa la configurazione dell'errore di autenticazione
parametri. 3. Riabilitare un account amministratore. 4. Responsabile della configurazione e della manutenzione degli elementi crittografici relativi al
creazione di connessioni sicure da e verso il prodotto valutato. Il sistema operativo Junos di Juniper Networks (Junos OS) in esecuzione in modalità non FIPS offre un'ampia gamma di funzionalità per gli utenti e l'autenticazione è basata sull'identità. L'amministratore della sicurezza esegue tutte le attività di configurazione relative alla modalità FIPS ed emette tutte le istruzioni e i comandi per il sistema operativo Junos in modalità FIPS.
Ruolo e responsabilità dell'amministratore della sicurezza
L'amministratore della sicurezza è la persona responsabile dell'abilitazione, della configurazione, del monitoraggio e della manutenzione del sistema operativo Junos in modalità FIPS su un dispositivo. L'amministratore della sicurezza installa in modo sicuro il sistema operativo Junos sul dispositivo, abilita la modalità FIPS, stabilisce chiavi e password per altri utenti e moduli software e inizializza il dispositivo prima della connessione di rete.

13
MIGLIORE PRATICA: consigliamo all'amministratore della sicurezza di amministrare il sistema in modo sicuro mantenendo le password sicure e controllando l'audit files.
Le autorizzazioni che distinguono l'amministratore della sicurezza dagli altri utenti FIPS sono segreta, sicurezza, manutenzione e controllo. Assegnare l'amministratore della sicurezza a una classe di accesso che contenga tutte queste autorizzazioni. Tra le attività relative al sistema operativo Junos in modalità FIPS, l'amministratore della sicurezza dovrebbe: · Impostare la password di root iniziale. La lunghezza della password deve essere di almeno 10 caratteri. · Reimpostare le password degli utenti con algoritmi approvati da FIPS. · Esaminare registro e controllo files per eventi di interesse. · Cancella quelli generati dall'utente filemessaggi, chiavi e dati azzerando il dispositivo.
Ruolo e responsabilità dell'utente FIPS
Tutti gli utenti FIPS, compreso l'amministratore della sicurezza, possono farlo view la configurazione. Solo l'utente assegnato come amministratore della sicurezza può modificare la configurazione. L'utente FIPS può view output di stato ma non è possibile riavviare o azzerare il dispositivo.
Cosa ci si aspetta da tutti gli utenti FIPS
Tutti gli utenti FIPS, incluso l'amministratore della sicurezza, devono osservare sempre le linee guida sulla sicurezza. Tutti gli utenti FIPS devono: · Mantenere riservate tutte le password. · Conservare i dispositivi e la documentazione in un'area sicura. · Distribuire i dispositivi in aree sicure. · Controllare l'audit files periodicamente. · Conforme a tutte le altre norme di sicurezza FIPS 140-3. · Segui queste linee guida:

14
· Gli utenti sono fidati. · Gli utenti rispettano tutte le linee guida di sicurezza. · Gli utenti non compromettono deliberatamente la sicurezza. · Gli utenti si comportano sempre in modo responsabile.
DOCUMENTAZIONE CORRELATA Azzerare il sistema | 24
Sopraview dell'ambiente operativo per il sistema operativo Junos in modalità FIPS
IN QUESTA SEZIONE Ambiente hardware per il sistema operativo Junos in modalità FIPS | 14 Ambiente software per il sistema operativo Junos in modalità FIPS | 15 Parametri critici di sicurezza | 16
Un dispositivo Juniper Networks che esegue il sistema operativo Juniper Networks Junos (Junos OS) in modalità FIPS costituisce un tipo speciale di ambiente operativo hardware e software diverso dall'ambiente di un dispositivo in modalità non FIPS:
Ambiente hardware per il sistema operativo Junos in modalità FIPS
Il sistema operativo Junos in modalità FIPS stabilisce un limite crittografico nel dispositivo che nessun parametro di sicurezza critico (CSP) può oltrepassare utilizzando testo normale. Ogni componente hardware del dispositivo che richiede un limite crittografico per la conformità FIPS 140-3 è un modulo crittografico separato. Esistono due tipi di hardware con limiti crittografici nel sistema operativo Junos in modalità FIPS: uno per ciascun motore di routing e uno per l'intero chassis.

15
I metodi crittografici non sostituiscono la sicurezza fisica. L'hardware deve trovarsi in un ambiente fisico sicuro. Gli utenti di qualsiasi tipo non devono rivelare chiavi o password, né consentire la visione di registrazioni o appunti scritti da parte di personale non autorizzato.
Ambiente software per il sistema operativo Junos in modalità FIPS
Un dispositivo Juniper Networks che esegue il sistema operativo Junos in modalità FIPS costituisce un tipo speciale di ambiente operativo non modificabile. Per ottenere questo ambiente sul dispositivo, il sistema impedisce l'esecuzione di qualsiasi file binario file che non faceva parte del sistema operativo Junos certificato nella distribuzione in modalità FIPS. Quando un dispositivo è in modalità FIPS, può eseguire solo il sistema operativo Junos. L'ambiente software del sistema operativo Junos in modalità FIPS viene stabilito dopo che l'amministratore della sicurezza ha abilitato correttamente la modalità FIPS su un dispositivo. L'immagine del sistema operativo Junos che include la modalità FIPS è disponibile su Juniper Networks websito e può essere installato su un dispositivo funzionante. Per la conformità FIPS 140-3, ti consigliamo di eliminare tutti i file creati dall'utente filemessaggi e dati azzerando il dispositivo prima di abilitare la modalità FIPS. L'abilitazione della modalità FIPS disabilita molti dei normali protocolli e servizi del sistema operativo Junos. In particolare non è possibile configurare in modalità FIPS nel sistema operativo Junos i seguenti servizi: · finger
· ftp
· rlogin
·telnet
· TFTP
· xnm-testo-chiaro
I tentativi di configurare questi servizi o di caricare configurazioni con questi servizi configurati generano un errore di sintassi di configurazione. Puoi utilizzare solo SSH come servizio di accesso remoto. Tutte le password stabilite per gli utenti dopo l'aggiornamento al sistema operativo Junos in modalità FIPS devono essere conformi alle specifiche del sistema operativo Junos in modalità FIPS. Le password devono avere una lunghezza compresa tra 10 e 20 caratteri e richiedere l'uso di almeno tre dei cinque set di caratteri definiti (lettere maiuscole e minuscole, cifre, segni di punteggiatura e caratteri della tastiera, come % e &, non inclusi negli altri quattro categorie). I tentativi di configurare password non conformi a queste regole generano un errore. Tutte le password e le chiavi utilizzate per autenticare i peer devono contenere almeno 10 caratteri e in alcuni casi la lunghezza deve corrispondere alla dimensione del digest.

NOTA: non collegare il dispositivo a una rete finché l'amministratore della sicurezza non completa la configurazione dalla connessione alla console locale.
Per una conformità rigorosa, non esaminare le informazioni principali e di crash dump sulla console locale nel sistema operativo Junos in modalità FIPS perché alcuni CSP potrebbero essere visualizzati in testo normale.

Parametri di sicurezza critici

I parametri critici di sicurezza (CSP) sono informazioni relative alla sicurezza come chiavi crittografiche e password che possono compromettere la sicurezza del modulo crittografico o la sicurezza delle informazioni protette dal modulo se vengono divulgate o modificate.
L'azzeramento del sistema cancella tutte le tracce dei CSP in preparazione al funzionamento del dispositivo o del motore di routing come modulo crittografico.
La Tabella 1 a pagina 16 elenca i CSP sui dispositivi che eseguono il sistema operativo Junos.
Tabella 1: parametri critici di sicurezza

CSP

Descrizione

Azzerare

Utilizzo

Chiave host privata SSHv2

Chiave ECDSA/RSA utilizzata per identificare l'host, generata la prima volta che viene configurato SSH.

Comando Azzera.

Utilizzato per identificare l'host.

Chiavi di sessione SSHv2

Chiave di sessione utilizzata con SSHv2 e come ciclo di accensione e spegnimento

Chiave privata Diffie-Hellman.

terminare la sessione.

Crittografia: AES-128, AES-256.

Chiave simmetrica utilizzata per crittografare i dati tra host e client.

MAC: HMAC-SHA-1, HMACSHA-2-256, HMAC-SHA2-512.

Scambio di chiavi: dh-group14-sha1, ECDH-sha2-nistp256, ECDH-sha2nistp384 e ECDH-sha2-nistp521.

Tabella 1: Parametri di sicurezza critici (continua)

CSP

Descrizione

Azzerare

Utilizzo

Autenticazione utente Hash della password dell'utente: SHA256, comando Zeroize.

chiave

Codice PIN: SHA512.

Utilizzato per autenticare un utente nel modulo crittografico.

Chiave di autenticazione del Crypto Officer

Hash della password del responsabile della crittografia: SHA256, SHA512.

Comando Azzera.

Utilizzato per autenticare l'amministratore della sicurezza nel modulo crittografico.

Seme HMAC DRBG

Seme per il generatore deterministico di bit randon (DRBG).

Il seme non viene archiviato dal modulo crittografico.

Utilizzato per la semina DRBG.

Valore HMAC DRBG V

Il valore (V) della lunghezza del blocco di output (outlen) in bit, che viene aggiornato ogni volta che vengono prodotti altri bit di output.

Ciclo di alimentazione.

Un valore critico dello stato interno di DRBG.

Valore chiave HMAC DRBG

Il valore corrente della chiave outlen-bit, che viene aggiornato almeno una volta ogni volta che il meccanismo DRBG genera bit pseudocasuali.

Ciclo di alimentazione.

Un valore critico dello stato interno di DRBG.

Entropia NDRNG

Utilizzato come stringa di input di entropia per HMAC DRBG.

Ciclo di alimentazione.

Un valore critico dello stato interno di DRBG.

Nel sistema operativo Junos in modalità FIPS, tutti i CSP devono entrare ed uscire dal modulo crittografico in forma crittografata. Qualsiasi CSP crittografato con un algoritmo non approvato è considerato testo normale da FIPS.
Le password locali vengono sottoposte ad hashing con l'algoritmo SHA256 o SHA512. Il recupero della password non è possibile nel sistema operativo Junos in modalità FIPS. Il sistema operativo Junos in modalità FIPS non può essere avviato in modalità utente singolo senza la password root corretta.

DOCUMENTAZIONE CORRELATA Fineview di azzeramento per cancellare i dati di sistema per la modalità FIPS | 23

18
Sopraview delle specifiche e delle linee guida per le password per il sistema operativo Junos in modalità FIPS
Tutte le password stabilite per gli utenti dall'amministratore della sicurezza devono essere conformi ai seguenti requisiti del sistema operativo Junos in modalità FIPS. I tentativi di configurare password non conformi alle seguenti specifiche generano un errore. · Lunghezza: le password devono contenere tra 10 e 20 caratteri. · Requisiti del set di caratteri: le password devono contenere almeno tre dei seguenti cinque caratteri definiti
set di caratteri: · Lettere maiuscole · Lettere minuscole · Cifre · Segni di punteggiatura · Caratteri della tastiera non inclusi negli altri quattro set, come il segno di percentuale (%) e il simbolo
ampersand (&) · Requisiti di autenticazione: tutte le password e le chiavi utilizzate per autenticare i peer devono contenere at
almeno 10 caratteri e in alcuni casi il numero di caratteri deve corrispondere alla dimensione del digest. · Crittografia password: per modificare il metodo di crittografia predefinito (SHA512) includere il formato
istruzione al livello gerarchico [modifica password di accesso al sistema]. Linee guida per password complesse: le password complesse e riutilizzabili possono essere basate su lettere di una frase o parola preferita e quindi concatenate con altre parole non correlate, insieme all'aggiunta di cifre e punteggiatura. In generale, una password complessa è: · Facile da ricordare in modo che gli utenti non siano tentati di scriverla. · Composto da caratteri alfanumerici misti e punteggiatura. Per la conformità FIPS includere almeno
un cambio di maiuscole e minuscole, una o più cifre e uno o più segni di punteggiatura. · Modificato periodicamente. · Non divulgato a nessuno. Caratteristiche delle password deboli: non utilizzare le seguenti password deboli: · Parole che potrebbero essere trovate o esistere come forma permutata in un sistema filecome /etc/passwd.

19
· Il nome host del sistema (sempre una prima ipotesi). · Qualsiasi parola o frase che appare in un dizionario o altra fonte ben nota, compresi i dizionari
e thesaurus in lingue diverse dall'inglese; opere di scrittori classici o popolari; o parole e frasi comuni di sport, detti, film o programmi televisivi. · Permutazioni su uno qualsiasi dei precedenti – ad esample, una parola del dizionario con le lettere sostituite da cifre (r00t) o con cifre aggiunte alla fine. · Qualsiasi password generata dalla macchina. Gli algoritmi riducono lo spazio di ricerca dei programmi che indovinano la password e quindi non devono essere utilizzati.
DOCUMENTAZIONE CORRELATA Fineview dell'ambiente operativo per il sistema operativo Junos in modalità FIPS | 14
Scarica pacchetti software da Juniper Networks
È possibile scaricare il pacchetto software del sistema operativo Junos da Juniper Networks webluogo. Prima di iniziare a scaricare il software, assicurati di disporre di un Juniper Networks Web account e un contratto di supporto valido. Per ottenere un account, completare il modulo di registrazione su Juniper Networks websito: https://userregistration.juniper.net/. Per scaricare pacchetti software da Juniper Networks: 1. Utilizzando a Web browser, seguire i collegamenti per il download URL sulle reti Juniper webpagina.
https://support.juniper.net/support/downloads/ 2. Log in to the Juniper Networks authentication system using the username (generally your e-mail
indirizzo) e la password fornita dai rappresentanti Juniper Networks. 3. Scarica il software. Vedere Download del software.
DOCUMENTAZIONE CORRELATA Guida all'installazione e all'aggiornamento

Installa i pacchetti software Junos

È possibile utilizzare questa procedura per aggiornare il sistema operativo Junos sul dispositivo con un singolo motore di routing. Per installare gli aggiornamenti software su un dispositivo con un singolo motore di routing: 1. Scaricare il pacchetto software come descritto in "Scaricare pacchetti software da Juniper
Reti” a pagina 19. 2. Se non lo hai già fatto, connettiti alla porta della console sul dispositivo dal tuo gestionale
dispositivo e accedere alla CLI del sistema operativo Junos. 3. (Facoltativo) Eseguire il backup della configurazione software corrente in una seconda opzione di archiviazione. Vedi il software
Guida all'installazione e all'aggiornamento per istruzioni sull'esecuzione di questa attività. 4. (Facoltativo) Copiare il pacchetto software sul dispositivo. Ti consigliamo di utilizzare FTP per copiare il file
file nella directory /var/tmp/. Questo passaggio è facoltativo perché il sistema operativo Junos può essere aggiornato anche quando l'immagine del software è archiviata in una posizione remota. Queste istruzioni descrivono il processo di aggiornamento del software per entrambi gli scenari. 5. Installa il nuovo pacchetto sul dispositivo:
user@host> richiede il software vmhost e aggiunge
Sostituisci pacchetto con uno dei seguenti percorsi: · Per un pacchetto software in una directory locale sul dispositivo, utilizzare /var/tmp/package.tgz. · Per un pacchetto software su un server remoto, utilizzare uno dei seguenti percorsi, sostituendo variabile
pacchetto opzionale con il nome del pacchetto software. · ftp://hostname/pathname/package.tgz · http://hostname/pathname/package.tgz 6. Riavviare il dispositivo per caricare l'installazione:
user@host> request vmhost reboot 7. Una volta completato il riavvio, accedere e utilizzare il comando show version per verificare che il nuovo
la versione del software è stata installata correttamente.
utente@host> mostra versione Nome host: nome host Modello: mx240

21
Junos: 22.2R1.10 Kernel sistema operativo JUNOS a 64 bit [20210529.2f59a40_builder_stable_12] Librerie sistema operativo JUNOS [20210529.2f59a40_builder_stable_12] Runtime sistema operativo JUNOS [20210529.2f59a40_builder_stable_12] Informazioni sul fuso orario del sistema operativo JUNOS [20210529.2 59f40a12_builder_stable_20210622.124332] Stack di rete e utilità JUNOS [212_builder_junos_1_r20210622.124332] Librerie JUNOS [212_builder_junos_1_r32] Librerie sistema operativo JUNOS compat20210529.2 [59f40a12_builder_stable_32] Compatibilità sistema operativo JUNOS a 20210529.2 bit [59f40a12_builder_stable_32] Librerie JUNOS compat20210622.124332 [212 1_builder_junos_20210622.124332_r212] Runtime JUNOS [1_builder_junos_20210622.124332_r212] Pacchetto Junos vmguest [1_builder_junos_20210622.124332_r212] JUNOS sflow mx [1_builder_junos_ 20210622.124332_r212] GIUNO py estensioni [1_builder_junos_20210622.124332_r212] JUNOS py base [1_builder_junos_20210529.2_r59] JUNOS OS vmguest [40f12a20210529.2_builder_stable_59] JUNOS OS crypto [40f12a XNUMX_builder_stable_XNUMX] Sistema operativo JUNOS boot-ve files [20210529.2f59a40_builder_stable_12] JUNOS na telemetria [22.2R1.10] JUNOS Security Intelligence [20210622.124332_builder_junos_212_r1] JUNOS mx libs compat32 [20210622.124332_builder_junos_212_r1] JUNOS mx runtime [20210621.124332_builder_junos_212_r1] Applicazione di telemetria JUNOS RPD [22.2R1.10] JUNOS Routing mpls- oam-basic [20210621.124332_builder_junos_212_r1] Routing JUNOS mpls-oam-advanced [20210621.124332_builder_junos_212_r1] Routing JUNOS lsys [20210621.124332_builder_junos_212_r1] Controller di routing JUNOS- interno [20210621.124332_builder_junos_212_r1] Controller di routing JUNOS-esterno [20210621.124332_builder_junos_212_r1] Versione compatibile con routing JUNOS a 32 bit [20210621.124332_builder_junos_212_r1] Routing JUNOS aggregato [20210621.124332_builder_junos_212_r1] Redis [20210621.124332_builder_junos_212_r1] Utilità sonda JUNOS [20210621.124332_builder _junos_212_r1] Supporto piattaforma comune JUNOS [20210621.124332_builder_junos_212_r1] JUNOS Openconfig [22.2R1.10] Moduli di rete JUNOS mtx [20210621.124332_builder_junos_212_r1] Moduli JUNOS [ 20210621.124332_builder_junos_212_r1] Moduli JUNOS mx [20210621.124332_builder_junos_212_r1] Librerie JUNOS mx [20210621.124332_builder_junos_212_r1] Daemon di sincronizzazione SQL JUNOS [20210621.124332 212_builder_junos_1_r20210621.124332] Supporto crittografico JUNOS mtx Data Plane [212_builder_junos_1_r20210621.124332] Demoni JUNOS [212_builder_junos_1_r20210621.124332] Demoni JUNOS mx [212_builder_ junos_1_r22.2] JUNOS Banda larga App del piano utente Egde [1.10RXNUMX]

22
Demone di identificazione dell'applicazione JUNOS appidd-mx [20210621.124332_builder_junos_212_r1] JUNOS TPM2 [20210621.124332_builder_junos_212_r1] Servizi JUNOS URL Pacchetto filtro [20210621.124332_builder_junos_212_r1] Pacchetto PIC del servizio TLB dei servizi JUNOS [20210621.124332_builder_junos_212_r1] Telemetria dei servizi JUNOS [20210621.124332_builder_junos_212_r1] LOG TCP dei servizi JUNOS [20210621.124332 212_builder_junos_1_r20210621.124332] Servizi JUNOS SSL [212_builder_junos_1_r20210621.124332] Servizi JUNOS SOFTWIRE [212_builder_junos_1_r20210621.124332] Firewall con stato dei servizi JUNOS [212_builder_junos_1_r20210621.124332] Servizi JUNOS RTCOM [212_builder_junos_1_r20210621.124332] RPM servizi JUNOS [212_builder_junos_1_r20210621.124332] Pacchetto PCEF servizi JUNOS [212 1_builder_junos_20210621.124332_r212] NAT servizi JUNOS [1_builder_junos_20210621.124332_r212] Pacchetto contenitore servizi per abbonati JUNOS Mobile [1_builder_junos_20210621.124332_r212] Pacchetto software JUNOS Services MobileNext [ 1_builder_junos_20210621.124332_r212] Pacchetto framework report di registrazione servizi JUNOS [1_builder_junos_20210621.124332_r212] Pacchetto contenitore LL-PDF di servizi JUNOS [1_builder_junos_20210621.124332_r212] Pacchetto contenitore Jflow di servizi JUNOS [1 20210621.124332_builder_junos_212_r1] Pacchetto Deep Packet Inspection dei servizi JUNOS [20210621.124332_builder_junos_212_r1] IPSec dei servizi JUNOS [20210621.124332_builder_junos_212_r1] IDS servizi JUNOS [20210621.124332_builder_junos_212_r1] Pacchetto gestione contenuto HTTP servizi JUNOS [20210621.124332_builder_junos_212_r1] Pacchetto filtro DNS servizi JUNOS (i386) 20210621.124332_builder_junos_212_r1] Servizi JUNOS Crypto [20210621.124332_builder_junos_212_r1] Servizi JUNOS Captive Portal e distribuzione dei contenuti Pacchetto contenitore [20210621.124332_builder_junos_212_r1] Servizi JUNOS COS [20210621.124332_builder_junos_212_r1] Servizi JUNOS AppId [20210621.124332_builder_junos_212_r1] Gateway a livello di applicazione dei servizi JUNOS [20210621.124332. 212_builder_junos_1_r20210621.124332] Pacchetto contenitore AACL dei servizi JUNOS [212_builder_junos_1_r20210621.124332] Suite software SDN JUNOS [212_builder_junos_1_r20210621.124332] Kit di strumenti di estensione JUNOS [ 212_builder_junos_1_r9] Supporto motore di inoltro pacchetti JUNOS (wrlinux20210621.124332) [212_builder_junos_1_r92] Supporto motore di inoltro pacchetti JUNOS (MX/EX20210621.124332XX comune) [212_builder_junos_1 _r20210621.124332] Supporto motore di inoltro pacchetti JUNOS (M/T comune) [212_builder_junos_1_r20210621.124332] Supporto motore di inoltro pacchetti JUNOS (a poppa) [212_builder_junos_1_r20210621.124332] Supporto motore di inoltro pacchetti JUNOS (MX comune) [212_builder_junos_1_r1.0.0] Strumento di rimozione malware JUNOS Juniper (JMRT) [20210621.124332+212_builder_junos_ 1_r20210621.124332] JUNOS J-Insight [212_builder_junos_1_r20210621.124332] JUNOS jfirmware [212_builder_junos_1_rXNUMX]

23
Documentazione online JUNOS [20210621.124332_builder_junos_212_r1] JUNOS jail runtime [20210529.2f59a40_builder_stable_12] DOCUMENTAZIONE CORRELATA Guida all'installazione e all'aggiornamento
Sopraview di azzeramento per cancellare i dati di sistema per la modalità FIPS
IN QUESTA SEZIONE Perché Zeroize? | 24 Quando azzerare? | 24
La zeroizzazione cancella completamente tutte le informazioni di configurazione sul dispositivo, comprese tutte le password in testo normale, i segreti e le chiavi private per SSH, crittografia locale, autenticazione locale e IPsec. Per uscire dalla modalità FIPS è necessario azzerare il dispositivo. L'amministratore della sicurezza avvia il processo di azzeramento immettendo il comando operativo request vmhost zeroize no-forwarding. In riferimento alla distruzione della chiave crittografica, TOE non supporta la distruzione ritardata della chiave.
ATTENZIONE: eseguire l'azzeramento del sistema con cautela. Una volta completato il processo di azzeramento, sul dispositivo non rimane alcun dato. L'azzeramento può richiedere molto tempo. Sebbene tutte le configurazioni vengano rimosse in pochi secondi, il processo di azzeramento prosegue sovrascrivendo tutti i supporti, il che può richiedere molto tempo a seconda delle dimensioni del supporto.

24
Perché azzerare?
Il tuo dispositivo non è considerato un modulo crittografico FIPS valido finché tutti i parametri critici di sicurezza (CSP) non sono stati immessi o reinseriti mentre il dispositivo è in modalità FIPS. Per la conformità FIPS 140-3, è necessario azzerare il sistema per rimuovere informazioni riservate prima di disabilitare la modalità FIPS sul dispositivo.
Quando azzerare?
In qualità di amministratore della sicurezza, eseguire l'azzeramento nelle seguenti situazioni: · Prima di abilitare la modalità operativa FIPS: per preparare il dispositivo per il funzionamento come FIPS
modulo crittografico, eseguire l'azzeramento prima di abilitare la modalità FIPS. · Prima di disattivare la modalità operativa FIPS: per iniziare a riutilizzare il dispositivo per operazioni non FIPS,
eseguire l'azzeramento prima di disabilitare la modalità FIPS sul dispositivo.
NOTA: Juniper Networks non supporta l'installazione di software non FIPS in un ambiente FIPS, ma ciò potrebbe essere necessario in alcuni ambienti di test. Assicurati di azzerare prima il sistema.
DOCUMENTAZIONE CORRELATA Azzerare il sistema | 24
Azzerare il sistema
Per azzerare il tuo dispositivo, segui la procedura seguente:

25
1. Accedi al dispositivo come Crypto Officer e dalla CLI, inserisci
crypto-officer@host> request vmhost zeroize no-forwarding VMHost Zeroization: cancella tutti i dati, inclusi configurazione e registro fileS ? [sì,no] (no) sì
2. Per avviare il processo di azzeramento, digitare sì al prompt:
Cancella tutti i dati, inclusi configurazione e registro fileS? [sì, no] (no) sì Zeroizzazione VMHost: cancella tutti i dati, inclusi configurazione e registro fileS ? [sì,no] (no) sì
avviso: Vmhost si riavvierà e potrebbe non avviarsi senza configurazione avviso: Procedere con vmhost zeroize Azzeramento del disco interno secondario... Procedere con azzeramento sul disco secondario Montaggio del dispositivo in preparazione per l'azzeramento... Pulizia del disco di destinazione per l'azzeramento... Azzeramento eseguito sul disco di destinazione. Azzeramento del disco secondario completato Azzeramento del disco interno primario… Procediamo con l'azzeramento del disco primario /etc/ssh/ssh_host_ecdsa_key.pub /etc/ssh/ssh_host_rsa_key.pub /etc/ssh/ssh_host_ecdsa_key /etc/ssh/ssh_host_dsa_key /etc/ssh/ssh_host_dsa_key .pub /etc/ssh/ssh_host_rsa_key Montaggio del dispositivo in preparazione per l'azzeramento… Pulizia del disco di destinazione per l'azzeramento… Azzeramento eseguito sul disco di destinazione. Azzeramento del disco primario completato Avviso di azzeramento completato: Procedere con il riavvio di vmhost Avvio del riavvio di vmhost in corso…
L'intera operazione può richiedere molto tempo a seconda delle dimensioni del supporto, ma tutti i parametri critici di sicurezza (CSP) vengono rimossi in pochi secondi. L’ambiente fisico deve rimanere sicuro fino al completamento del processo di azzeramento.

Abilita la modalità FIPS

In qualità di amministratore della sicurezza, è necessario stabilire una password root conforme ai requisiti della password FIPS in “Overview delle specifiche e delle linee guida delle password per il sistema operativo Junos in modalità FIPS” a pagina 18. Quando si abilita la modalità FIPS nel sistema operativo Junos sul dispositivo, non è possibile configurare le password a meno che non soddisfino questo standard.
Le password locali vengono crittografate con l'algoritmo hash sicuro SHA256 o SHA512. Il recupero della password non è possibile nel sistema operativo Junos in modalità FIPS. Il sistema operativo Junos in modalità FIPS non può essere avviato in modalità utente singolo senza la password root corretta.
Per abilitare la modalità FIPS nel sistema operativo Junos sul dispositivo:
1. Azzerare il dispositivo per eliminare tutti i CSP prima di accedere alla modalità FIPS. Fare riferimento alla sezione “Azzerare il sistema” a pagina 24 per i dettagli.
2. Dopo che il dispositivo è entrato in "modalità Amnesiac", accedi utilizzando il nome utente root e la password "" (vuoto).

Accesso a FreeBSD/amd64 (Amnesiac) (ttyu0): root — JUNOS 22.2R1.10 Kernel a 64 bit root@:~ # cli root>

JNPR-12.1-20210529.2f59a40_build

3. Configurare l'autenticazione root con una password di almeno 10 caratteri o più.

root> modifica Accesso alla modalità di configurazione [modifica] root# imposta l'autenticazione root del sistema password-testo semplice Nuova password: ridigita la nuova password: [modifica] root# commit commit completato
4. Caricare la configurazione sul dispositivo e confermare la nuova configurazione. Configurare l'amministratore della sicurezza e
accedere con le credenziali di amministratore della sicurezza.

27
5. Fips-mode e jpfe-fips sono pacchetti opzionali necessari per abilitare FIPS. Questi pacchetti fanno parte del software del sistema operativo Junos. Per abilitare questi pacchetti, utilizzare i comandi seguenti:
security-administrator@hostname> richiedi il software di sistema aggiungi opzionale://fips-mode.tgz Modalità fips verificata firmata da PackageDevelopmentECP256_2020 metodo ECDSA256+SHA256cryptoofficer@hostname> richiedi il software di sistema aggiungi opzionale://jpfe-fips.tgz /usr/sbin /pkg: il pacchetto jpfe-fips-x86-32-20.3I-20200610_dev_common.0.0743 è già installato
6. Configurare i fips di confine dello chassis impostando set system fips chassis level 1 e commit.
Il dispositivo potrebbe visualizzare la password crittografata che deve essere riconfigurata per utilizzare l'avviso hash conforme a FIPS per eliminare i CSP precedenti nella configurazione caricata.
7. Dopo aver eliminato e riconfigurato i CSP, il commit verrà eseguito e il dispositivo dovrà essere riavviato per accedere alla modalità FIPS.
[modifica] amministratore-sicurezza@nomehost# commit [modifica] è necessario riavviare il sistema per passare al livello FIPS 1 commit completato [modifica] amministratore-sicurezza@nomehost# eseguire la richiesta riavvio vmhost
8. Dopo aver riavviato il dispositivo, verranno eseguiti gli autotest FIPS e il dispositivo entrerà in modalità FIPS.
amministratore-sicurezza@nomehost:fips>

28
Configurare l'amministratore della sicurezza e l'identificazione e l'accesso dell'utente FIPS
IN QUESTA SEZIONE Configurare l'accesso amministratore della sicurezza | 28 Configurazione dell'accesso utente FIPS | 30
L'amministratore della sicurezza e gli utenti FIPS eseguono tutte le attività di configurazione per il sistema operativo Junos in modalità FIPS ed emettono istruzioni e comandi per tutti i sistemi operativi Junos in modalità FIPS. Le configurazioni dell'amministratore della sicurezza e degli utenti FIPS devono seguire le linee guida del sistema operativo Junos in modalità FIPS.
Configurare l'accesso amministratore della sicurezza
Il sistema operativo Junos in modalità FIPS offre una granularità delle autorizzazioni utente più precisa rispetto a quelle richieste da FIPS 140-3. Per la conformità FIPS 140-3, qualsiasi utente FIPS con i bit di autorizzazione segreti, di sicurezza, di manutenzione e di controllo impostati è un amministratore della sicurezza. Nella maggior parte dei casi per l'amministratore della sicurezza è sufficiente la classe di superutente. Per configurare l'accesso per un amministratore della sicurezza: 1. Accedi al dispositivo con la password root se non l'hai già fatto e inserisci la configurazione
modalità:
root@hostname# edit Accesso alla modalità di configurazione [edit] root@hostname# 2. Assegnare all'utente un nome amministratore della sicurezza e assegnare all'amministratore della sicurezza un ID utente (ad es.ample, 6400, che deve essere un numero univoco associato all'account di accesso compreso tra 100 e

29
64000) e una classe (ad esample, superutente). Quando assegni la classe, assegni le autorizzazioni, ad esample, segreto, sicurezza, manutenzione e controllo.
[modifica] root@hostname# imposta l'accesso al sistema utente nome utente uid valore classe nome-classe
Per esempioampon:
[modifica] root@hostname# imposta l'accesso al sistema utente amministratore di sicurezza uid 6400 superutente di classe
3. Seguendo le linee guida in “Overview delle specifiche e delle linee guida delle password per il sistema operativo Junos in modalità FIPS” a pagina 18, assegnare all'amministratore della sicurezza una password in testo semplice per l'autenticazione dell'accesso. Impostare la password digitandola dopo le istruzioni Nuova password e Ridigita nuova password.
[modifica] root@hostname# imposta l'accesso al sistema utente nome utente classe autenticazione del nome classe (plain-testpassword | password crittografata)
Per esempioampon:
[modifica] root@nomehost# imposta l'accesso al sistema utente sicurezza-amministratore classe autenticazione superutente password in testo semplice
4. Facoltativamente, visualizzare la configurazione:
[modifica] root@nomehost#modifica sistema [modifica sistema] root@nomehost#mostra login {
utente amministratore della sicurezza { uid 6400; autenticazione {password crittografata " ”; ## SECRET-DATA } superutente della classe;

30
} }
5. Se hai finito di configurare il dispositivo, conferma la configurazione ed esci:
[modifica] root@nomehost# commit commit completoroot@nomehost# uscita
Configurare l'accesso utente FIPS
Un utente FIPS è definito come qualsiasi utente FIPS che non dispone dei bit di autorizzazione relativi a segreto, sicurezza, manutenzione e controllo impostati. In qualità di amministratore della sicurezza, imposti gli utenti FIPS. Agli utenti FIPS non possono essere concesse autorizzazioni normalmente riservate all'amministratore della sicurezza, ad esample, il permesso di azzerare il sistema. Per configurare l'accesso per un utente FIPS: 1. Accedi al dispositivo con la password dell'amministratore della sicurezza, se non lo hai già fatto, e
entrare in modalità configurazione:
amministratore-sicurezza@nomehost:fips> modifica Accesso alla modalità di configurazione [modifica] amministratore-sicurezza@nomehost:fips# 2. Fornire all'utente un nome utente e assegnare all'utente un ID utente (ad es.ample, 6401, che deve essere un numero univoco compreso tra 1 e 64000) e una classe. Quando assegni la classe, assegni le autorizzazioni, ad esample, cancella, rete, ripristinaview, E view-configurazione.
[modifica] security-administrator@hostname:fips# imposta l'accesso al sistema utente nome utente valore uid classe nomeclasse

31
Per esempioampon:
[modifica]security-administrator@hostname:fips# imposta l'accesso al sistema utente fips-user1 uid 6401 classe di sola lettura
3. Seguendo le linee guida in “Overview delle specifiche e delle linee guida delle password per il sistema operativo Junos in modalità FIPS” a pagina 18, assegnare all'utente FIPS una password in testo semplice per l'autenticazione dell'accesso. Impostare la password digitandola dopo le istruzioni Nuova password e Ridigita nuova password.
[modifica] security-administrator@hostname:fips# imposta l'accesso al sistema nome utente utente classe autenticazione nome classe (password in testo semplice | password crittografata)
Per esempioampon:
[modifica] security-administrator@hostname:fips# imposta l'accesso al sistema utente fips-user1 classe autenticazione di sola lettura password di testo semplice
4. Facoltativamente, visualizzare la configurazione:
[modifica] amministratore-sicurezza@nomehost:fips# modifica sistema [modifica sistema] amministratore-sicurezza@nomehost:fips# mostra accesso {
utente fips-utente1 {uid 6401; autenticazione { password crittografata “”; ## SECRET-DATA } classe di sola lettura;
} }

32
5. Se hai finito di configurare il dispositivo, conferma la configurazione ed esci:
[modifica] amministratore-sicurezza@nomehost:fips# commit amministratore-sicurezza@nomehost:fips# uscita
DOCUMENTAZIONE CORRELATA Fineview di ruoli e servizi per il sistema operativo Junos | 12

3 CAPITOLO
Configurare credenziali e privilegi amministrativi
Comprendere le regole della password associata per un amministratore autorizzato | 34
Configurazione di un dispositivo di rete Collaborative Protection Profile Amministratore autorizzato | 36 Personalizza ora | 37 Configurazione del periodo di timeout di inattività e terminazione delle sessioni inattive locali e remote | 38

34
Comprendere le regole della password associata per un amministratore autorizzato
L'amministratore autorizzato è associato a una classe di accesso definita e all'amministratore vengono assegnate tutte le autorizzazioni. I dati vengono archiviati localmente per l'autenticazione con password fissa.
NOTA: si consiglia di non utilizzare caratteri di controllo nelle password.
Utilizzare le seguenti linee guida e opzioni di configurazione per le password e quando si selezionano le password per gli account amministratore autorizzati. Le password dovrebbero essere: · Facili da ricordare in modo che gli utenti non siano tentati di scriverle. · Modificato periodicamente. · Privato e non condiviso con nessuno. · Contenere un minimo di 10 caratteri. La lunghezza minima della password è di 10 caratteri.
[modifica] security-administrator@host# imposta la lunghezza minima della password di accesso al sistema 10
· Includere caratteri alfanumerici e di punteggiatura, composti da qualsiasi combinazione di lettere maiuscole e minuscole, numeri e caratteri speciali come "!", "@", "#", "$", "%", "^", "&", "*", "(", E ")". Dovrebbe esserci almeno una modifica in un caso, una o più cifre e uno o più segni di punteggiatura.
· Contenere set di caratteri. I set di caratteri validi includono lettere maiuscole, lettere minuscole, numeri, segni di punteggiatura e altri caratteri speciali.
[modifica] security-administrator@host# imposta i set di caratteri del tipo di modifica della password di accesso al sistema

35
· Contenere il numero minimo di set di caratteri o modifiche al set di caratteri. Il numero minimo di set di caratteri richiesti nelle password in testo semplice in Junos FIPS è 3.
[modifica] security-administrator@host# imposta le modifiche minime della password di accesso al sistema 3
· L'algoritmo di hashing per le password degli utenti può essere SHA256 o SHA512 (SHA512 è l'algoritmo di hashing predefinito).
[modifica] security-administrator@host# imposta il formato della password di accesso al sistema sha512
NOTA: il dispositivo supporta i tipi di chiave ECDSA (P-256, P-384 e P-521) e RSA (lunghezza bit modulo 2048, 3072 e 4092).
NOTA: il nuovo algoritmo hash influisce solo sulle password generate dopo il commit.
Le password deboli sono: · Parole che potrebbero essere trovate o esistere come forma permutata in un sistema file come /etc/passwd. · Il nome host del sistema (sempre una prima ipotesi). · Qualsiasi parola che appare in un dizionario. Ciò include dizionari diversi dall'inglese e parole trovate
in opere come Shakespeare, Lewis Carroll, Thesaurus di Roget e così via. Questo divieto include parole e frasi comuni di sport, detti, film e programmi televisivi. · Permutazioni su uno qualsiasi dei precedenti. Per esample, una parola del dizionario con le vocali sostituite con cifre (ad esample f00t) o con cifre aggiunte alla fine. · Qualsiasi password generata dalla macchina. Gli algoritmi riducono lo spazio di ricerca dei programmi che indovinano la password e quindi non dovrebbero essere utilizzati. Le password robuste e riutilizzabili possono essere basate sulle lettere di una frase o parola preferita e quindi concatenate con altre parole non correlate, insieme a cifre e punteggiatura aggiuntivi.

36
Configurazione di un dispositivo di rete Collaborative Protection Profile Amministratore autorizzato
Un account per root è sempre presente in una configurazione e non è destinato all'uso durante il normale funzionamento. Nella configurazione valutata, l'account root è limitato all'installazione e alla configurazione iniziali del dispositivo valutato. Un amministratore autorizzato NDcPPv2.2e deve disporre di tutte le autorizzazioni, inclusa la possibilità di modificare la configurazione del dispositivo. Per configurare un amministratore autorizzato: 1. Creare una classe di accesso denominata security-admin con tutte le autorizzazioni.
[modifica] root@host# imposta i permessi di sicurezza-amministratore della classe di accesso al sistema tutti 2. Configura l'algoritmo con hash per le password in testo semplice come sha512.
[modifica] root@host# imposta il formato della password di accesso al sistema sha512 3. Applica le modifiche.
[modifica] root@host# commit 4. Definire l'amministratore autorizzato dell'utente NDcPPv2.2e.
[modifica] root@host# imposta l'utente di accesso al sistema NDcPPv2-classe utente sicurezza-amministratore autenticazionepassword crittografata
OR
[modifica] root@host# imposta l'utente di accesso al sistema NDcPPv2-classe utente sicurezza-amministratore autenticazione password in testo semplice

37
5. Carica una chiave SSH file che è stato precedentemente generato utilizzando ssh-keygen. Questo comando carica RSA (SSH versione 2) o ECDSA (SSH versione 2).
[modifica] root@host# imposta la chiave di caricamento dell'autenticazione root del sistemafile url:filenome 6. Impostare l'istruzione di configurazione log-key-changes per registrare quando le chiavi di autenticazione SSH vengono aggiunte o rimosse.
[modifica] root@host# imposta i servizi di sistema ssh log-key-changes
NOTA: quando l'istruzione di configurazione log-key-changes è abilitata e confermata (con il comando commit in modalità di configurazione), il sistema operativo Junos registra le modifiche al set di chiavi SSH autorizzate per ciascun utente (incluse le chiavi aggiunte o rimosse) . Il sistema operativo Junos registra le differenze dall'ultima volta che è stata abilitata l'istruzione di configurazione log-key-changes. Se l'istruzione di configurazione log-key-changes non è mai stata abilitata, il sistema operativo Junos registra tutte le chiavi SSH autorizzate.
7. Applica le modifiche.
[modifica] root@host# commit
NOTA: la password root deve essere reimpostata in seguito alla modifica a sha256/sha512 per il formato di archiviazione della password. Ciò garantisce che la nuova password sia protetta utilizzando un hash sha256/sha512. Per reimpostare la password di root, utilizzare il comando set system root-authentication plain-textpassword password e confermare la nuova password quando richiesto.
Personalizza l'ora
Per personalizzare l'ora, disabilita NTP e imposta la data.

38
1. Disabilita NTP.
[modifica] security-administrator@hostname:fips# disattiva i gruppi global system ntp security-administrator@hostname:fips# disattiva il sistema ntp security-administrator@hostname:fips# commit security-administrator@hostname:fips# exit 2. Impostazione della data e tempo. Il formato della data e dell'ora è AAAAMMGGGHHMM.ss.
[modifica] security-administrator@hostname:fips# set date 201803202034.00 security-administrator@hostname:fips# set cli timestamp
Configurazione del periodo di timeout di inattività e terminazione della sessione inattiva locale e remota
IN QUESTA SEZIONE Configura la terminazione della sessione | 38Sample Output per la terminazione della sessione amministrativa locale | ANNI 40ample Output per la terminazione della sessione amministrativa remota | ANNI 40ample Output per la terminazione avviata dall'utente | 41
Configura la chiusura della sessione
Termina la sessione dopo che l'amministratore della sicurezza ha specificato il periodo di timeout di inattività.

39
1. Impostare il timeout di inattività.
[modifica] security-administrator@host:fips# imposta la classe di accesso al sistema security-admin idle-timeout 2 2. Configurare i privilegi di accesso di accesso.
[modifica] security-administrator@host:fips# imposta le autorizzazioni di sicurezza-amministratore della classe di accesso al sistema tutte 3. Effettua il commit della configurazione.
[modifica] security-administrator@host:fips# commit
commit completato 4. Impostare la password.
[modifica] security-administrator@host:fips# imposta l'utente di accesso al sistema NDcPPv2-autenticazione utente password-testo in chiaro Nuova password: Ridigita la nuova password: 5. Definisci la classe di accesso.
[modifica] security-administrator@host:fips# imposta l'utente di accesso al sistema NDcPPv2-user class security-admin 6. Effettua il commit della configurazione.
[modifica] security-administrator@host:fips# commit
commit completo

40
Sample Output per la terminazione della sessione amministrativa locale
con host Sto provando abcd… 'autologin': argomento sconosciuto ('set ?' per aiuto). Connesso a dispositivo.exampil carattere Escape di le.com è '^]'.
Digitare il tasto di scelta rapida per sospendere la connessione: Z Accesso a FreeBSD/amd64 (host) (ttyu0): NDcPPv2-user Password: Ultimo accesso: domenica 23 giugno 22:42:27 da 10.224.33.70
— JUNOS 22.2R1.4 Kernel 64-bit JNPR-11.0-20190316.df99236_buil NDcPPv2-user@host> Avvertimento: la sessione verrà chiusa entro 1 minuto se non c'è attività Avvertimento: la sessione verrà chiusa entro 10 secondi se non c'è attività attività Timeout di inattività superato: chiusura della sessione
FreeBSD/amd64 (host) (ttyu0)
Sample Output per la terminazione della sessione amministrativa remota
ssh NDcPPv2-user@host Password: Ultimo accesso: domenica 23 giugno 22:48:05 2019 — JUNOS 22.2R1.4 Kernel 64-bit JNPR-11.0-20190316.df99236_buil NDcPPv2-user@host> exit
Connessione all'host chiusa. ssh NDcPPv2-utente@host Password: Ultimo accesso: domenica 23 giugno 22:50:50 2019 da 10.224.33.70 — JUNOS 22.2R1.6 Kernel 64-bit JNPR-11.0-20190316.df99236_buil NDcPPv2-utente@host> Avviso: sessione verrà chiusa entro 1 minuto se non c'è attività Avvertenza: la sessione verrà chiusa entro 10 secondi se non c'è attività Timeout di inattività superato: chiusura sessione

41
Connessione all'host chiusa.
Sample Output per la terminazione avviata dall'utente
ssh NDcPPv2-user@host Password: Ultimo accesso: domenica 23 giugno 22:48:05 2019 — JUNOS 22.2R1.4 Kernel 64-bit JNPR-11.0-20190316.df99236_buil NDcPPv2-user@host> exit Connessione all'host chiusa.

4 CAPITOLO
Configura la connessione SSH e console
Configurare un messaggio e un annuncio di accesso al sistema | 43 Configurare SSH sulla configurazione valutata per NDcPPv2.2e | 44 Limitare il numero di tentativi di accesso utente per le sessioni SSH | 45

43
Configurare un messaggio e un annuncio di accesso al sistema
Un messaggio di accesso al sistema viene visualizzato prima che l'utente acceda e un annuncio di accesso al sistema viene visualizzato dopo che l'utente ha effettuato l'accesso. Per impostazione predefinita, sul dispositivo non viene visualizzato alcun messaggio o annuncio di accesso. Per configurare un messaggio di accesso al sistema tramite la console o l'interfaccia di gestione, utilizzare il seguente comando:
[modifica] security-administrator@host:fips# imposta il messaggio di accesso al sistema login-message-banner-text Per configurare l'annuncio del sistema, utilizzare il seguente comando:
[modifica] security-administrator@host:fips# imposta l'annuncio di accesso al sistema testo-annuncio-di-sistema
NOTA: · Se il testo del messaggio contiene spazi, racchiuderli tra virgolette. · È possibile formattare il messaggio utilizzando i seguenti caratteri speciali:
· n–Nuova riga · t–Tabulazione orizzontale · '–virgolette singole · “–virgolette doppie · \–barra rovesciata

44
Configurare SSH nella configurazione valutata per NDcPPv2.2e
SSH tramite interfaccia di gestione remota consentita nella configurazione valutata. Questo argomento descrive come configurare SSH per la gestione remota di TOE. I seguenti algoritmi devono essere configurati per convalidare SSH per NDcPPv2.2e. Per configurare SSH sull'ODV: 1. Specificare gli algoritmi chiave host SSH consentiti per i servizi di sistema.
[modifica] security-administrator@host:fips# imposta i servizi di sistema ssh hostkey-algorithm ssh-ecdsa security-administrator@host:fips# imposta i servizi di sistema ssh hostkey-algorithm no-ssh-dss security-administrator@host:fips# set servizi di sistema ssh hostkey-algorithm ssh-rsa security-administrator@host:fips# imposta servizi di sistema ssh hostkey-algorithm no-ssh-ed25519
2. Specificare lo scambio di chiavi SSH per le chiavi Diffie-Hellman per i servizi di sistema.
[modifica] security-administrator@host:fips# imposta i servizi di sistema ssh key-exchange dh-group14-sha1 security-administrator@host:fips# imposta i servizi di sistema ssh key-exchange ecdh-sha2-nistp256 security-administrator@host:fips # imposta i servizi di sistema ssh key-exchange ecdh-sha2-nistp384 security-administrator@host:fips# imposta i servizi di sistema ssh key-exchange ecdh-sha2-nistp521
3. Specificare tutti gli algoritmi del codice di autenticazione del messaggio consentiti per SSHv2
[modifica] security-administrator@host:fips# imposta i servizi di sistema ssh macs hmac-sha1 security-administrator@host:fips# imposta i servizi di sistema ssh macs hmac-sha2-256 security-administrator@host:fips# imposta i servizi di sistema ssh macs hmac-sha2-512
4. Specificare le cifre consentite per la versione 2 del protocollo.
[modifica] security-administrator@host:fips# imposta i servizi di sistema ssh ciphers aes128-cbc security-administrator@host:fips# imposta i servizi di sistema ssh ciphers aes256-cbc

security-administrator@host:fips# imposta i servizi di sistema codici ssh aes128-ctr security-administrator@host:fips# imposta i servizi di sistema codici ssh aes256-ctr
Algoritmo della chiave host SSH supportato:

ssh-ecdsa ssh-rsa

Consenti la generazione della chiave host ECDSA Consenti la generazione della chiave host RSA

Algoritmo di scambio di chiavi SSH supportato:

dh-group14-sha1 ecdh-sha2-nistp256 ecdh-sha2-nistp384 ecdh-sha2-nistp521

Il gruppo4253 con mandato RFC 14 con hash SHA1 L'EC Diffie-Hellman su nistp256 con SHA2-256 L'EC Diffie-Hellman su nistp384 con SHA2-384 L'EC Diffie-Hellman su nistp521 con SHA2-512

Algoritmo MAC supportato:

hmac-sha1 hmac-sha2-256 hmac-sha2-512

MAC basato su hash che utilizza Secure Hash Algorithm (SHA1) MAC basato su hash che utilizza Secure Hash Algorithm (SHA2) MAC basato su hash che utilizza Secure Hash Algorithm (SHA2)

Algoritmo di cifratura SSH supportato:

aes128-cbc aes128-ctr aes256-cbc aes256-ctr

AES a 128 bit con concatenamento di blocchi di cifratura AES a 128 bit con modalità contatore AES a 256 bit con concatenamento di blocchi di cifratura AES a 256 bit con modalità contatore

Limita il numero di tentativi di accesso degli utenti per le sessioni SSH
Un amministratore può accedere in remoto a un dispositivo tramite SSH. Le credenziali dell'amministratore vengono archiviate localmente sul dispositivo. Se l'amministratore remoto presenta un nome utente e una password validi, viene concesso l'accesso all'ODV. Se le credenziali non sono valide, la TOE consente di ritentare l'autenticazione dopo un intervallo che inizia dopo 1 secondo e aumenta in modo esponenziale. Se il numero di tentativi di autenticazione

46
supera il massimo configurato, non verranno accettati tentativi di autenticazione per un intervallo di tempo configurato. Allo scadere dell'intervallo, i tentativi di autenticazione vengono nuovamente accettati.
Puoi configurare la quantità di tempo in cui il dispositivo viene bloccato dopo i tentativi falliti. Il tempo in minuti prima che l'utente possa tentare di accedere al dispositivo dopo essere stato bloccato a causa del numero di tentativi di accesso non riusciti specificati nell'istruzione try-before-disconnect. Quando un utente non riesce ad accedere correttamente dopo il numero di tentativi consentiti specificati dall'istruzione try-before-disconnect, l'utente deve attendere il numero di minuti configurato prima di tentare nuovamente di accedere al dispositivo.
Il periodo di blocco deve essere maggiore di zero. L'intervallo in cui è possibile configurare il periodo di blocco è compreso tra 43,200 e XNUMX minuti.
[modifica accesso di sistema] security-administrator@host:fips# imposta il periodo di blocco delle opzioni di tentativo
È possibile configurare il dispositivo per limitare il numero di tentativi di immissione di una password durante l'accesso tramite SSH. Utilizzando il seguente comando, la connessione.
[modifica accesso di sistema] security-administrator@host:fips# imposta le opzioni di riprovazione try-before-disconnect
Qui, tentativi prima della disconnessione è il numero di volte in cui un utente può tentare di inserire una password durante l'accesso. La connessione si chiude se un utente non riesce ad accedere dopo il numero specificato. L'intervallo è compreso tra 1 e 10 e il valore predefinito è 10.
L'accesso dell'amministratore locale verrà mantenuto anche se l'amministrazione remota viene resa permanentemente o temporaneamente non disponibile a causa di molteplici tentativi di accesso falliti. L'accesso alla console per l'amministrazione locale sarà disponibile agli utenti durante il periodo di blocco.
È inoltre possibile configurare un ritardo, in secondi, prima che un utente possa tentare di immettere una password dopo un tentativo non riuscito.
[modifica accesso di sistema] security-administrator@host:fips# imposta la soglia di backoff delle opzioni di tentativo
In questo caso, la soglia di backoff è la soglia per il numero di tentativi di accesso non riusciti prima che l'utente subisca un ritardo nel poter inserire nuovamente una password. Utilizza l'opzione backoff-factor per specificare la durata del ritardo in secondi. L'intervallo va da 1 a 3 e il valore predefinito è 2 secondi.

47
Inoltre, il dispositivo può essere configurato per specificare la soglia per il numero di tentativi falliti prima che l'utente subisca un ritardo nell'immettere nuovamente la password.
[modifica accesso di sistema] security-administrator@host:fips# imposta il fattore di backoff delle opzioni di ripetizione
In questo caso, il fattore di backoff è il periodo di tempo, in secondi, prima che un utente possa tentare di accedere dopo un tentativo fallito. Il ritardo aumenta del valore specificato per ogni tentativo successivo dopo la soglia. L'intervallo è compreso tra 5 e 10 e il valore predefinito è 5 secondi. Puoi controllare l'accesso degli utenti tramite SSH. Configurando ssh root-login aware, puoi garantire che l'account root rimanga attivo e continui ad avere privilegi amministrativi locali per l'ODV anche se altri utenti remoti vengono disconnessi.
[modifica sistema] security-administrator@host:fips# imposta i servizi ssh root-login Deny
Il protocollo SSH2 fornisce sessioni terminali sicure utilizzando la crittografia sicura. Il protocollo SSH2 impone l'esecuzione della fase di scambio delle chiavi e la modifica delle chiavi di crittografia e integrità per la sessione. Lo scambio di chiavi viene effettuato periodicamente, dopo determinati secondi o dopo che specifici byte di dati sono passati sulla connessione. È possibile configurare le soglie per la ricodifica SSH, FCS_SSHS_EXT.1.8 e FCS_SSHC_EXT.1.8. Il TSF garantisce che all'interno delle connessioni SSH vengano utilizzate le stesse chiavi di sessione per una soglia non superiore ad un'ora e non più di un gigabyte di dati trasmessi. Quando viene raggiunta una delle soglie, è necessario eseguire una nuova chiave.
[modifica sistema] security-administrator@host:fips# imposta il limite di tempo per la rekey ssh dei servizi
Il limite di tempo prima di rinegoziare le chiavi di sessione è compreso tra 1 e 1440 minuti.
[modifica sistema] security-administrator@host:fips# imposta il limite dati dei servizi ssh rekey
Il limite di dati prima della rinegoziazione delle chiavi di sessione è compreso tra 51200 e 4294967295 byte.
NOTA: è necessario riavviare la connessione SSH nel caso in cui la connessione venga interrotta involontariamente.

5 CAPITOLO
Configurare il server syslog remoto
Sample Configurazione del server Syslog su un sistema Linux | 49

49
Sample Configurazione del server Syslog su un sistema Linux
Un ambiente sicuro del sistema operativo Junos richiede il controllo degli eventi e la loro archiviazione in un controllo locale file. Gli eventi registrati vengono inviati contemporaneamente ad un server syslog esterno. Un server syslog riceve i messaggi syslog trasmessi dal dispositivo. Il server syslog deve avere un client SSH con supporto NETCONF configurato per ricevere i messaggi syslog in streaming. Utilizzare i dettagli di configurazione e stabilire una sessione tra la destinazione della valutazione (TOE) e il server di controllo. Esaminare il traffico che passa tra il server di audit e l'ODV durante diverse attività e i dati di audit generati da trasferire al server di audit. Esaminare la specifica di riepilogo TOE (TSS) per garantire che specifichi il mezzo con cui i dati di audit vengono trasferiti al server di audit esterno e come viene fornito il canale affidabile. I registri NDcPP catturano i seguenti eventi: · Modifiche confermate · Avvio del sistema · Accesso e disconnessione degli utenti · Impossibile stabilire una sessione SSH · Creazione o conclusione di una sessione SSH · Modifiche all'ora del sistema · Avvio di un aggiornamento del sistema Per configurare l'evento registrazione su un server remoto quando la connessione SSH alla ToE viene avviata dal server di registro del sistema remoto. 1. Generare una chiave pubblica RSA sul server syslog remoto.
$ ssh-keygen -b 2048 -t rsa -C 'coppia di chiavi syslog-monitor' -f ~/.ssh/syslog-monitor
Ti verrà richiesto di inserire la passphrase desiderata. Vengono visualizzate le posizioni di archiviazione per la coppia di chiavi syslog-monitor.

50
2. Nel TOE, creare una classe denominata monitor che dispone dell'autorizzazione per tracciare gli eventi.
[modifica accesso di sistema] security-administrator@host:fips# imposta la traccia delle autorizzazioni del monitor di classe
3. Creare un utente denominato syslog-mon con il monitor di classe e con l'autenticazione che utilizza la coppia di chiavi syslogmonitor dalla coppia di chiavi file situato sul server syslog remoto.
[modifica accesso di sistema] security-administrator@host:fips# imposta l'autenticazione del monitor di classe syslog-mon dell'utente chiave pubblica ssh-rsa dalla coppia di chiavi syslog-monitor
4. Configura NETCONF con SSH.
[modifica servizi di sistema] security-administrator@host:fips# imposta netconf ssh
5. Configurare syslog per registrare tutti i messaggi in /var/log/messages..
[modifica servizi di sistema] security-administrator@host:fips# imposta syslog file messaggi qualsiasi qualsiasi commit
6. Sul server di registro del sistema remoto, avviare l'agente SSH ssh-agent. L'avvio è necessario per semplificare la gestione della chiave syslog-monitor.
$ eval `ssh-agent -s`
7. Sul server syslog remoto, aggiungere la coppia di chiavi syslog-monitor a ssh-agent.
$ ssh-add ~/.ssh/syslog-monitor Ti verrà richiesto di inserire la passphrase desiderata. Inserisci la stessa passphrase utilizzata nel passaggio 1.

8. Dopo aver effettuato l'accesso alla sessione external_syslog_server, stabilire un tunnel verso il dispositivo e avviare NETCONF.

amministratore-sicurezza@host:fips# $ssh syslog-mon@NDcPP_TOE -s netconf > test.out
9. Dopo aver stabilito NETCONF, configurare un flusso di messaggi degli eventi del registro di sistema. Questo RPC farà sì che il servizio NETCONF inizi a trasmettere messaggi sulla connessione SSH stabilita.
messaggi
10. L'exampi le per i messaggi syslog sono elencati di seguito. Monitorare il registro eventi generato per le azioni di amministrazione su TOE ricevute sul server syslog. Esaminare il traffico che passa tra il server di audit e il TOE, osservando che questi dati non lo sono viewelaborati durante questo trasferimento e che siano stati ricevuti con successo dal server di controllo. Abbina i registri tra la registrazione degli eventi locali e gli eventi remoti registrati nel server syslog e registra il particolare software (nome, versione) utilizzato sul server di controllo durante il test.
Il seguente output mostra i risultati del registro dei test per syslog-server.

host@ssh-keygen -b 2048 -t rsa -C 'coppia di chiavi syslog-monitor' -f ~/.ssh/syslog-monitor

Generazione di una coppia di chiavi RSA pubblica / privata.

Immettere la passphrase (vuota per nessuna passphrase):

Inserisci di nuovo la stessa passphrase:

La tua identificazione è stata salvata in /home/host/.ssh/syslog-monitor.

La tua chiave pubblica è stata salvata in /home/host/.ssh/syslog-monitor.pub.

L'impronta digitale chiave è:

ef:75:d7:68:c5:ad:8d:6f:5e:7a:7e:9b:3d:f1:4d:3f syslog-monitor key pair

L'immagine randomart della chiave è:

+–[ RSA 2048]—-+

..|

. Bo|

. . *.X|

. . o E@|

. .BX|

+—————–+

[host@nms5-vm-linux2 ~]$ cat /home/host/.ssh/syslog-monitor.pub

ssh-rsa

AAAAB3NzaC1yc2EAAAADAQABAAABAQCrUREJUBpjwAoIgRrGy9zgt+

D2pikk3Q/Wdf8I5vr+njeqJhCx2bUAkrRbYXNILQQAZbg7kLfi/8TqqL eon4HOP2e6oCSorKdx/GrOTzLONL4fh0EyuSAk8bs5JuwWNBUokV025 gzpGFsBusGnlj6wqqJ/sjFsMmfxyCkbY+pUWb8 m1/A9YjOFT+6esw+9S tF6Gbg+VpbYYk/Oday4z+z7tQHRFSrxj2G92aoliVDBLJparEMBc8w LdSUDxmgBTM2oadOmm+kreBUQjrmr6775RJn9H9YwIxKOxGm4SFnX/Vl4 R+lZ9RqmKH2wodIEM34K Coppia di chiavi syslog-monitor 0wXEHzAzNZ01oLmaAVqT [host@nms5-vm-linux2 ~ ]$ eval `ssh-agent -s` Agent pid 1453 [host@nms5-vm-linux2 ~]$ ssh-add ~/.ssh/syslog-monitor Inserisci la passphrase per /home/host/.ssh/syslog-monitor: Identità aggiunta: /home/host/.ssh/syslog-monitor (/home/host/.ssh/syslog-monitor)
Canale di configurazione di rete

host@nms5-vm-linux2 ~]$ ssh syslog-mon@starfire -s netconf
questo è il dispositivo di test NDcPP

urn:ietf:params:xml:ns:netconf:base:1.0 urn:ietf:params:xml:ns:netconf:capability:candidate:1.0 urn:ietf:params:xml:ns:netconf:capability:confirmed-commit:1.0 urn:ietf:params:xml:ns:netconf:capability:validate:1.0 urn:ietf:params:xml:ns:netconf:capability:url:1.0?protocollo=http,ftp,file</
capacità> http://xml.juniper.net/netconf/junos/1.0 http://xml.juniper.net/dmi/system/1.0
]]>]]>
Il seguente output mostra i registri eventi generati sull'ODV ricevuti sul server syslog.

20 gennaio 17:04:51 20 gennaio 17:04:51 20 gennaio 17:04:53 55571 ssh2

starfire sshd[4182]: errore: Impossibile caricare la chiave host: /etc/ssh/ssh_host_dsa_key starfire sshd[4182]: errore: Impossibile caricare la chiave host: /etc/ssh/ssh_host_ecdsa_key starfire sshd[4182]: Password accettata per sec -admin dalla porta 10.209.11.24

53
20 gennaio 17:04:53 starfire mgd[4186]: UI_AUTH_EVENT: Utente autenticato 'sec-admin' al livello di autorizzazione 'j-administrator' 20 gennaio 17:04:53 starfire mgd[4186]: UI_LOGIN_EVENT: Utente 'sec-admin ' login, classe 'jadministrator' [4186], connessione ssh '10.209.11.24 55571 10.209.14.92 22', modalità client 'cli'
Canale di configurazione di rete
host@nms5-vm-linux2 ~]$ ssh syslog-mon@starfire -s netconf questo è il dispositivo di test NDcPP

urn:ietf:params:xml:ns:netconf:base:1.0 urn:ietf:params:xml:ns:netconf:capability:candidate:1.0 urn:ietf:params:xml:ns:netconf:capability:confirmed-commit:1.0 urn:ietf:params:xml:ns:netconf:capability:validate:1.0 urn:ietf:params:xml:ns:netconf:capability:url:1.0?protocollo=http,ftp,file</
capacità> http://xml.juniper.net/netconf/junos/1.0 http://xml.juniper.net/dmi/system/1.0
]]>]]>
L'output seguente mostra che i syslog locali e i syslog remoti ricevuti erano simili.
Locale: an 20 17:09:30 starfire mgd[4186]: UI_COMMIT_PROGRESS: Operazione di commit in corso: Processo di gestione dell'interfaccia di ridondanza che verifica la nuova configurazione Jan 20 17:09:30 starfire mgd[4186]: UI_CHILD_START: Avvio del figlio '/usr/ sbin/rdd' 20 gennaio 17:09:30 starfire mgd[4186]: UI_CHILD_STATUS: Cleanup child '/usr/sbin/rdd', PID 4317, stato 0 20 gennaio 17:09:30 starfire mgd[4186]: UI_COMMIT_PROGRESS: Operazione di commit in corso: Servizio di acquisizione del flusso dinamico che verifica la nuova configurazione 20 gennaio 17:09:30 starfire mgd[4186]: UI_CHILD_START: Avvio del figlio '/usr/sbin/dfcd' 20 gennaio 17:09:30 starfire mgd[4186]: UI_CHILD_STATUS: Cleanup child '/usr/sbin/dfcd', PID 4318, stato 0 Jan 20 17:09:30 starfire mgd[4186]: UI_COMMIT_PROGRESS: Operazione di commit in corso: Processo di gestione degli errori di connettività che verifica la nuova configurazione

54
20 gennaio 17:09:30 starfire mgd[4186]: UI_CHILD_START: Iniziale figlio '/usr/sbin/cfmd' 20 gennaio 17:09:30 starfire mgd[4186]: UI_CHILD_STATUS: Pulisci figlio '/usr/sbin/cfmd' , PID 4319, stato 0 20 gennaio 17:09:30 starfire mgd[4186]: UI_COMMIT_PROGRESS: Operazione di commit in corso: Flooding indirizzo livello 2 e processo di apprendimento verifica della nuova configurazione 20 gennaio 17:09:30 starfire mgd[4186]: UI_CHILD_START : Iniziale figlio '/usr/sbin/l2ald' 20 gennaio 17:09:30 starfire mgd[4186]: UI_CHILD_STATUS: Pulisci figlio '/usr/sbin/l2ald', PID 4320, stato 0 20 gennaio 17:09:30 starfire mgd[4186]: UI_COMMIT_PROGRESS: Operazione di commit in corso: processo del protocollo di controllo livello 2 che verifica la nuova configurazione 20 gennaio 17:09:30 starfire mgd[4186]: UI_CHILD_START: Avvio del figlio '/usr/sbin/l2cpd' 20 gennaio 17:09 :30 starfire l2cp[4321]: Inizializzazione delle macchine a stati PNAC Jan 20 17:09:30 starfire l2cp[4321]: Inizializzazione delle macchine a stati PNAC completata Jan 20 17:09:30 starfire l2cp[4321]: Inizializzazione del modulo 802.1X e delle macchine a stati Jan 20 17:09:30 starfire l2cp[4321]: Leggi accesso profile () config 20 gennaio 17:09:30 starfire mgd[4186]: UI_CHILD_STATUS: Cleanup child '/usr/sbin/l2cpd', PID 4321, stato 0 20 gennaio 17:09:30 starfire mgd[4186]: UI_COMMIT_PROGRESS: Commit operazione in corso: Processo di snooping multicast verifica nuova configurazione 20 gennaio 17:09:30 starfire mgd[4186]: UI_CHILD_START: Avvio del figlio '/usr/sbin/mcsnoopd' 20 gennaio 17:09:30 starfire mgd[4186]: UI_CHILD_STATUS: Figlio di pulizia '/usr/sbin/mcsnoopd', PID 4325, stato 0 20 gennaio 17:09:30 starfire mgd[4186]: UI_COMMIT_PROGRESS: Operazione di commit in corso: conclusione del commit… 20 gennaio 17:09:30 starfire mgd[4186 ]: UI_COMMIT_PROGRESS: Operazione di commit in corso: attivazione di '/var/etc/ntp.conf' 20 gennaio 17:09:30 starfire mgd[4186]: UI_COMMIT_PROGRESS: Operazione di commit in corso: avvio ffp attivazione 20 gennaio 17:09:30 starfire mgd[4186]: UI_CHILD_START: Bambino iniziale '/usr/sbin/ffp' 20 gennaio 17:09:30 starfire ffp[4326]: “dynamic-profiles”: nessun passaggio a profileS ……………
Remoto: an 20 17:09:30 starfire mgd[4186]: UI_COMMIT_PROGRESS: Operazione di commit in corso: Processo di gestione dell'interfaccia di ridondanza che verifica la nuova configurazione Jan 20 17:09:30 starfire mgd[4186]: UI_CHILD_START: Avvio del figlio '/usr/ sbin/rdd' 20 gennaio 17:09:30 starfire mgd[4186]: UI_CHILD_STATUS: Cleanup child '/usr/sbin/rdd', PID 4317, stato 0 20 gennaio 17:09:30 starfire mgd[4186]: UI_COMMIT_PROGRESS: Operazione di commit in corso: servizio di acquisizione del flusso dinamico che verifica la nuova configurazione 20 gennaio 17:09:30 starfire mgd[4186]: UI_CHILD_START: avvio del figlio '/usr/sbin/dfcd'

55
20 gennaio 17:09:30 starfire mgd[4186]: UI_CHILD_STATUS: Cleanup child '/usr/sbin/dfcd', PID 4318, stato 0 20 gennaio 17:09:30 starfire mgd[4186]: UI_COMMIT_PROGRESS: Operazione di commit in corso : Processo di gestione degli errori di connettività che verifica la nuova configurazione 20 gennaio 17:09:30 starfire mgd[4186]: UI_CHILD_START: Starting child '/usr/sbin/cfmd' 20 gennaio 17:09:30 starfire mgd[4186]: UI_CHILD_STATUS: Cleanup child '/usr/sbin/cfmd', PID 4319, stato 0 20 gennaio 17:09:30 starfire mgd[4186]: UI_COMMIT_PROGRESS: Operazione di commit in corso: Flooding dell'indirizzo livello 2 e processo di apprendimento verifica della nuova configurazione 20 gennaio 17:09: 30 starfire mgd[4186]: UI_CHILD_START: Inizio figlio '/usr/sbin/l2ald' 20 gennaio 17:09:30 starfire mgd[4186]: UI_CHILD_STATUS: Pulitura figlio '/usr/sbin/l2ald', PID 4320, stato 0 20 gennaio 17:09:30 starfire mgd[4186]: UI_COMMIT_PROGRESS: Operazione di commit in corso: processo del protocollo di controllo livello 2 che verifica la nuova configurazione 20 gennaio 17:09:30 starfire mgd[4186]: UI_CHILD_START: Avvio del figlio '/usr/sbin /l2cpd' 20 gennaio 17:09:30 starfire l2cp[4321]: Inizializzazione delle macchine a stati PNAC completata 20 gennaio 17:09:30 starfire l2cp[4321]: Inizializzazione delle macchine a stati PNAC completata 20 gennaio 17:09:30 starfire l2cp[4321] : Modulo 802.1X inizializzato e macchine a stati 20 gennaio 17:09:30 starfire l2cp[4321]: Leggi acess profile () config 20 gennaio 17:09:30 starfire mgd[4186]: UI_CHILD_STATUS: Cleanup child '/usr/sbin/l2cpd', PID 4321, stato 0 20 gennaio 17:09:30 starfire mgd[4186]: UI_COMMIT_PROGRESS: Commit operazione in corso: Processo di snooping multicast verifica nuova configurazione 20 gennaio 17:09:30 starfire mgd[4186]: UI_CHILD_START: Avvio del figlio '/usr/sbin/mcsnoopd' 20 gennaio 17:09:30 starfire mgd[4186]: UI_CHILD_STATUS: Figlio di pulizia '/usr/sbin/mcsnoopd', PID 4325, stato 0 20 gennaio 17:09:30 starfire mgd[4186]: UI_COMMIT_PROGRESS: Operazione di commit in corso: conclusione del commit… 20 gennaio 17:09:30 starfire mgd[4186 ]: UI_COMMIT_PROGRESS: Operazione di commit in corso: attivazione di '/var/etc/ntp.conf' 20 gennaio 17:09:30 starfire mgd[4186]: UI_COMMIT_PROGRESS: Operazione di commit in corso: avvio ffp attivazione 20 gennaio 17:09:30 starfire mgd[4186]: UI_CHILD_START: Bambino iniziale '/usr/sbin/ffp' 20 gennaio 17:09:30 starfire ffp[4326]: “dynamic-profiles”: nessun passaggio a profileS ……………

6 CAPITOLO
Configurare le opzioni del registro di controllo
Configurare le opzioni del registro di controllo nella configurazione valutata | 57Sample Verifiche del codice delle modifiche alla configurazione | 58

57
Configurare le opzioni del registro di controllo nella configurazione valutata
IN QUESTA SEZIONE Configura le opzioni del registro di controllo | 57
La sezione seguente descrive come configurare le opzioni del registro di controllo nella configurazione valutata.
Configurare le opzioni del registro di controllo
Per configurare le opzioni del registro di controllo: 1. Specificare il numero di filedevono essere archiviati nella funzione di registrazione del sistema.
[modifica log di sistema del sistema] security-administrator@host:fips# imposta archivio files 2 2. Specificare il file in cui registrare i dati. [modifica log di sistema del sistema] security-administrator@host:fips# set file syslog qualsiasi qualsiasi 3. Specificare la dimensione di filedeve essere archiviato. [modifica log di sistema del sistema] security-administrator@host:fips# set file Dimensione archivio syslog 10000000

58
4. Specificare la priorità e la funzionalità nei messaggi per la funzionalità di registrazione del sistema.
[modifica log di sistema del sistema] security-administrator@host:fips# set file priorità esplicita syslog
5. Registrare i messaggi di sistema in un formato strutturato.
[modifica log di sistema del sistema] security-administrator@host:fips# set file dati strutturati syslog
Sample Verifiche del codice delle modifiche alla configurazione
Questo èampil codice le controlla tutte le modifiche ai dati segreti di configurazione e invia i registri a a file denominato Audit-File: .
[modifica sistema] syslog {
file Revisione contabileFile { informazioni sull'autorizzazione; informazioni sul registro delle modifiche; informazioni sui comandi interattivi;
} }
Questo èampil codice del le espande l'ambito del controllo minimo per controllare tutte le modifiche alla configurazione, non solo i dati segreti, e invia i registri a un file denominato Audit-File: .
[modifica sistema] syslog {
file Revisione contabileFile {qualsiasi qualsiasi; informazioni sull'autorizzazione; registro delle modifiche qualsiasi; informazioni sui comandi interattivi;

59
informazioni sul kernel; informazioni sul pfe; } }
Example: Registrazione del sistema delle modifiche alla configurazione
Questo example mostra comeample configurazione e apporta modifiche agli utenti e ai dati segreti. Poi si vede
le informazioni inviate al server di controllo quando i dati segreti vengono aggiunti alla configurazione originale e confermati con il comando load.
[modifica sistema] posizione {
codice paese USA; edificio B1; } … login { messaggio “L'USO NON AUTORIZZATO DI QUESTO ROUTERntÈ SEVERAMENTE VIETATO!”;
utente amministratore {uid 2000; superutente della classe;
autenticazione {password crittografata “$ABC123”; # DATI SEGRETI
} } } raggio-server 192.0.2.15 { segreto “$ABC123” # SECRET-DATA } servizi { ssh; } syslog { utente *{
qualsiasi emergenza; } file messaggi {
qualsiasi avviso; informazioni sull'autorizzazione; }

file comandi-interattivi { comandi-interattivi qualsiasi;
} } … …
La nuova configurazione modifica le istruzioni di configurazione dei dati segreti e aggiunge un nuovo utente.

security-administrator@host:fips# mostra | confrontare

[modifica l'autenticazione dell'amministratore dell'utente di accesso al sistema]

password crittografata “$ABC123”; # DATI SEGRETI

+ password crittografata “$ABC123”; # DATI SEGRETI

[modifica login di sistema]

+ amministratore utente2 {

uid 2001;

operatore di classe;

autenticazione {

password crittografata “$ABC123”;

# DATI SEGRETI

}

+ }

[modifica sistema Radius-Server 192.0.2.15]

segreto “$ABC123”; # DATI SEGRETI

+ segreto “$ABC123″; # DATI SEGRETI

Registrazione eventi terminataview

La configurazione valutata richiede il controllo delle modifiche alla configurazione tramite il registro di sistema. Inoltre, il sistema operativo Junos può: · Inviare risposte automatizzate agli eventi di controllo (creazione di voci syslog). · Consentire ai manager autorizzati di esaminare i registri di controllo. · Invia audit files a server esterni. · Consentire ai gestori autorizzati di riportare il sistema a uno stato noto. La registrazione per la configurazione valutata deve acquisire gli eventi. Gli eventi di registrazione sono elencati di seguito: La Tabella 2 a pagina 62 mostra sample per il controllo syslog per NDcPPv2.2e: Tabella 2: Eventi controllabili

Requisito

Eventi controllabili

Contenuti aggiuntivi della registrazione di audit

Come viene generato l'evento

FAU_GEN.1

Nessuno

FAU_GEN.2

Nessuno

FAU_STG_EXT.1

Nessuno

FAU_STG.1

Nessuno

FCS_CKM.1

Nessuno

FCS_CKM.2

Nessuno

FCS_CKM.4

Nessuno

Tabella 2: Eventi controllabili (continua)

Requisito

Eventi controllabili

Contenuti aggiuntivi della registrazione di audit

Come viene generato l'evento

FCS_COP.1/Crittografia dati

Nessuno

FCS_COP.1/SigGen Nessuno

Nessuno

FCS_COP.1/Hash

Nessuno

FCS_COP.1/KeyedHash

Nessuno

FCS_RBG_EXT.1

Nessuno

FDP_RIP.2

Nessuno

FIA_AFL.1

Il limite di tentativi di accesso non riusciti è stato raggiunto o superato.

Origine del tentativo (ad esempio, indirizzo IP).

sshd SSHD_LOGIN_ATTEMPTS_THREShold [junos@2636.1.1.1.2.164 limit=”3″ nomeutente=”root”] Soglia per tentativi di autenticazione non riusciti (3) raggiunta dall'utente 'root'

FIA_PMG_EXT.1

Nessuno

Tabella 2: Eventi controllabili (continua)

Requisito

Eventi controllabili

Contenuti aggiuntivi della registrazione di audit

Come viene generato l'evento

FIA_UIA_EXT.1

Tutto l'uso del meccanismo di identificazione e autenticazione.

Identità dell'utente fornita, origine del tentativo (ad esempio, indirizzo IP).

Accesso remoto riuscito
mgd 70652 UI_AUTH_EVENT [junos@2636.1.1.1.2.164 username=”root” authentic-level=”super-user”] Utente autenticato 'root' assegnato alla classe 'super-user'
mgd 70652 UI_LOGIN_EVENT [junos@2636.1.1.1.2.164 nomeutente=”root” nome-classe=”super-utente” local-peer=”” pid=”70652″ ssh-connection=”10.223.5.251 53476 10.204.134.54 22″ modalità client="cli"] Accesso utente 'root', classe 'superutente' [70652], connessione ssh '10.223.5.251 53476 10.204.134.54 22', modalità client 'cli'
Accesso remoto non riuscito
sshd – SSHD_LOGIN_FAILED [junos@2636.1.1.1.2.164 nomeutente=”root” indirizzo-origine=”10.223.5.251″] Accesso non riuscito per l'utente 'root' dall'host '10.223.5.251'
Accesso locale riuscito
login 2671 LOGIN_INFORMATION [junos@2636.1.1.1.2.164 nomeutente=”root” nome host=”[sconosciuto]” tty-name=”ttyu0″] Utente root connesso dall'host [sconosciuto] sul dispositivo ttyu0
login 2671 LOGIN_ROOT [junos@2636.1.1.1.2.164 nomeutente=”root” nome host=”[sconosciuto]” tty-name=”ttyu0″] L'utente root ha effettuato l'accesso come root dall'host [sconosciuto] sul dispositivo ttyu0
Accesso locale non riuscito
login 70818 LOGIN_PAM_ERROR [junos@2636.1.1.1.2.164 nomeutente=”root” messaggio-errore=”errore nel modulo di servizio”]

Tabella 2: Eventi controllabili (continua)

Requisito

Eventi controllabili

Contenuti aggiuntivi della registrazione di audit

Come viene generato l'evento

Errore durante l'autenticazione dell'utente root: errore nel modulo di servizio
login 70818 LOGIN_FAILED [junos@2636.1.1.1.2.164 nomeutente=”root” indirizzo-origine=”ttyu0″] Accesso non riuscito per l'utente root dall'host ttyu0

Tabella 2: Eventi controllabili (continua)

Requisito

Eventi controllabili

Contenuti aggiuntivi della registrazione di audit

Come viene generato l'evento

FIA_UAU_EXT.2

Tutto l'uso del meccanismo di identificazione e autenticazione.

Origine del tentativo (ad esempio, indirizzo IP).

Tabella 2: Eventi controllabili (continua)

Requisito

Eventi controllabili

Contenuti aggiuntivi della registrazione di audit

Come viene generato l'evento

FIA_UAU.7

Nessuno

FMT_MOF.1/ Aggiornamento manuale

Qualsiasi tentativo di avviare un aggiornamento manuale.

Nessuno

UI_CMDLINE_READ_LINE [junos@2636.1.1.1.2.164 nomeutente=”secofficer” comando=”richiedi software di sistema add /var/tmp/junos-mx240-22.2R1.1.tgz novalidate “] Utente 'sec-officer', comando 'richiedi sistema software add /var/tmp/ junos-mx240-22.2R1.1.tgz no-validate '

FMT_MTD.1/ CoreData

Tutte le attività di gestione dei dati TSF

Nessuno

Fare riferimento agli eventi di controllo elencati in questa tabella.

FMT_SMF.1/IPS

Nessuno

FMT_SMF.1/ND

Nessuno

FMT_SMR.2

Nessuno

FPT_SKP_EXT.1

Nessuno

FPT_APW_EXT.1

Nessuno

FPT_TST_EXT.1

Nessuno

Tabella 2: Eventi controllabili (continua)

Requisito

Eventi controllabili

Contenuti aggiuntivi della registrazione di audit

Come viene generato l'evento

FPT_TUD_EXT.1

Avvio dell'aggiornamento; risultato del tentativo di aggiornamento (riuscito o fallito)

Nessuno

FPT_STM_EXT.1

Modifiche discontinue dell'ora attivate dall'amministratore o modificate tramite un processo automatizzato.

Per modifiche discontinue dell'ora: i valori vecchi e nuovi dell'ora. Origine del tentativo di modifica dell'ora di successo e fallimento (ad esempio, indirizzo IP).

mgd 71079 UI_CMDLINE_READ_LINE [junos@2636.1.1.1.2.164 nomeutente=”root” comando=”imposta data 202005201815.00 “] Utente 'root', comando 'imposta data 202005201815.00 '
mgd 71079 UI_COMMIT_PROGRESS [junos@2636.1.1.1.2.164 message=”segnalazione 'Network security daemon', pid 2641, segnale 31, stato 0 con errori di notifica abilitati”] Operazione di commit in corso: segnalazione 'Network security daemon', pid 2641, segnale 31, stato 0 con errori di notifica abilitati nsd 2641 NSD_SYS_TIME_CHANGE – L'ora del sistema è cambiata

FTA_SSL_EXT.1 (se è selezionato Termina la sessione)

La terminazione di una sessione interattiva locale tramite il meccanismo di blocco della sessione.

Nessuno

cli – UI_CLI_IDLE_TIMEOUT [junos@2636.1.1.1.2.164 nomeutente=”root”] Timeout di inattività per l'utente 'root' superato e sessione terminata

FTA_SSL.3

La chiusura di una sessione remota tramite il meccanismo di blocco della sessione.

Nessuno

cli – UI_CLI_IDLE_TIMEOUT [junos@2636.1.1.1.2.164 nomeutente=”root”] Timeout di inattività per l'utente 'root' superato e sessione terminata

Tabella 2: Eventi controllabili (continua)

Requisito

Eventi controllabili

Contenuti aggiuntivi della registrazione di audit

Come viene generato l'evento

FTA_SSL.4

La conclusione di una sessione interattiva.

Nessuno

mgd 71668 UI_LOGOUT_EVENT [junos@2636.1.1.1.2.164 nomeutente="root"] Disconnessione utente 'root'

ALS_TAB.1

Nessuno

FCS_SSHS_EXT.1

Impossibile stabilire il motivo del fallimento di una sessione SSH

sshd 72404 – – Impossibile negoziare con la porta 1.1.1.2 42168: nessun codice corrispondente trovato. La loro offerta: chacha20poly1305@openssh.com, aes128-ctr, aes192-ctr,aes256-ctr, aes128gcm@openssh.com, aes256gcm@openssh.com, aes128-cbc, aes192-cbc, aes256-cbc

FTP_ITC.1

Avvio del canale attendibile. Chiusura del canale fidato. Guasto delle funzioni del canale affidabile

Identificazione dell'iniziatore e dell'obiettivo del tentativo fallito di creazione di canali affidabili

Avvio del percorso fidato
sshd 72418 – – Keyboardinteractive/pam accettata per root dalla porta 10.223.5.251 42482 ssh2
Terminazione del percorso attendibile
sshd 72418 – – Disconnesso dall'utente root 10.223.5.251 porta 42482 Errore del percorso attendibile
sshd – SSHD_LOGIN_FAILED [junos@2636.1.1.1.2.164 nomeutente=”root” indirizzo-origine=”10.223.5.251″] Accesso non riuscito per l'utente 'root' dall'host '10.223.5.251'

Tabella 2: Eventi controllabili (continua)

Requisito

Eventi controllabili

Contenuti aggiuntivi della registrazione di audit

Come viene generato l'evento

FTP_TRP.1/Admin

Avvio del percorso fidato. Terminazione del percorso attendibile. Errore delle funzioni del percorso attendibile.

Nessuno

Avvio del percorso fidato
sshd 72418 – – Keyboardinteractive/pam accettata per root dalla porta 10.223.5.251 42482 ssh2
Terminazione del percorso attendibile
sshd 72418 – – Disconnesso dall'utente root 10.223.5.251 porta 42482
Fallimento del percorso attendibile
sshd – SSHD_LOGIN_FAILED [junos@2636.1.1.1.2.164 nomeutente=”root” indirizzo-origine=”10.223.5.251″] Accesso non riuscito per l'utente 'root' dall'host '10.223.5.251'

FCS_SSHS_EXT.1

Impossibile stabilire il motivo del fallimento di una sessione SSH

sshd 72404 – – Impossibile negoziare con la porta 1.1.1.2 42168: nessun codice corrispondente trovato. La loro offerta: chacha20poly1305@openssh.com, aes128-ctr,aes192ctr, aes256-ctr, aes128-gcm@openssh.com, aes256-gcm@openssh.com, aes128-cbc, aes192-cbc, aes256-cbc

FIA_X509_EXT.1/Rev

Tentativo non riuscito di convalidare un certificato

Motivo del fallimento

verify-sig 72830 – – impossibile convalidare ecerts.pem: mancata corrispondenza dell'emittente dell'oggetto: /C=US/ ST=CA/L=Sunnyvale/O=Juniper Networks/ OU=Juniper CA/CN=PackageProduction TestEc_2017_NO_DEFECTS/emailAddress =ca@juniper. netto

FIA_X509_EXT.2

Nessuno

FIA_X509_EXT.3

Nessuno

Tabella 2: Eventi controllabili (continua)

Requisito

Eventi controllabili

Contenuti aggiuntivi della registrazione di audit

Come viene generato l'evento

FMT_MOF.1/ Funzioni

Modifica del comportamento della trasmissione dei dati di audit a un'entità IT esterna, della gestione dei dati di audit, della funzionalità di audit quando lo spazio di archiviazione dell'audit locale è pieno.

Nessuno

mgd 71891 UI_RESTART_EVENT [junos@2636.1.1.1.2.164 nomeutente=”root” nome-processo=”Daemon di sicurezza di rete” descrizione=” immediatamente”] Utente 'root' che riavvia il demone 'Daemon di sicurezza di rete' immediatamente init – – – networksecurity (PID 72907) terminato dal segnale numero 9! init – – – sicurezza di rete (PID 72929) avviata

FMT_MOF.1/ Servizi

Avvio e arresto dei servizi.

Nessuno

FMT_MTD.1/ Chiavi crittografiche

Gestione delle chiavi crittografiche.

Nessuno

Chiave SSH
ssh-keygen 2706 – – Chiave SSH generata file /root/.ssh/id_rsa.pub con impronta digitale SHA256:EQotXjlahhlVplg + YBLbFR3TdmJMpm6D1FSjRo6lVE4 ssh-keygen 2714 – – Chiave SSH generata file /root/.ssh/id_ecdsa.pub con impronta digitale SHA256:ubQWoesME9bpOT1e/ sYv871hwWUzSG8hNqyMUe1cNc0
Chiavi IPSEC
pkid 2458 PKID_PV_KEYPAIR_GEN [junos@2636.1.1.1.2.164 argomento1=”384″ argomento2=”ECDSA” argomento3=”cert1″] Una coppia di chiavi ECDSA a 384 bit è stata generata per cert1
pkid 2458 PKID_PV_KEYPAIR_GEN [junos@2636.1.1.1.2.164 argomento1=”4096″ argomento2=”RSA” argomento3=”cert2″] Una coppia di chiavi RSA a 4096 bit è stata generata per cert2

Tabella 2: Eventi controllabili (continua)

Requisito

Eventi controllabili

Contenuti aggiuntivi della registrazione di audit

Come viene generato l'evento

FCS_IPSEC_EXT.1

Istituzione della sessione con i pari

Contenuto intero dei pacchetti trasmessi/ricevuti durante l'istituzione della sessione

user@host:fips# esegui show log iked | non più | grepVPN
14 giugno 10:40:49.291712 [DET] [ATEC] [20.1.1.1 <-> 20.1.1.2] selezione ipsec-sa riuscita per spi (0x8a45e874) ip-locale (20.1.1.1) ip-remoto (20.1.1.2) VPN (IPSEC_VPN)
user@host:fips# esegui show log iked | non più | successo
14 giugno 10:40:49.278061 [DET] [ATEC] [20.1.1.1 <-> 20.1.1.2] ike-atec-dh-generate risposta riuscita ricevuta per ipcindex=45109,ip-locale=none,ip-remoto=none
14 giugno 10:40:49.290742 [DET] [ATEC] [20.1.1.1 <-> 20.1.1.2] atec-validate-migrate per ed (0x2c09028) riuscita nella convalida dell'ID remoto
14 giugno 10:40:49.291392 [DET] [ATEC] [20.1.1.1 <-> 20.1.1.2] TSi: traffic-selectormatch per ts-match Riuscito,C:ipv4(0.0.0.0-255.255.255.255) R:ipv4 (10.1.1.0-10.1.1.255) N:ipv4(10.1.1.0-10.1.1.255)
14 giugno 10:40:49.291656 [EXT] [TUNL] [20.1.1.1 <-> 20.1.1.2] ike_tunnel_anchor_node_tunnel_add: Aggiunta tunnel di ancoraggio per tunnel 500009: aggiunte tunnel totali riuscite:9
14 giugno 10:40:49.291682 [DET] [TUNL] [20.1.1.1 <-> 20.1.1.2] tunnel-sadb-add riuscito con local-spi (0x8a45e874)
14 giugno 10:40:49.291712 [DET] [ATEC] [20.1.1.1 <-> 20.1.1.2] selezione ipsec-sa riuscita per spi (0x8a45e874) ip locale

Tabella 2: Eventi controllabili (continua)

Requisito

Eventi controllabili

Contenuti aggiuntivi della registrazione di audit

Come viene generato l'evento

(20.1.1.1) IP remoto (20.1.1.2) VPN (IPSEC_VPN)
14 giugno 10:40:49.292404 [TER] [PEER] [20.1.1.1 <-> 20.1.1.2] IKE: Gateway N:IKE_GW L:20.1.1.1:500 R:20.1.1.2:500 ike-id riuscito:20.1.1.2 .2 U:N/D IKE:IKEvXNUMX Ruolo:R
14 giugno 10:40:49.294256 [DET] [DIST] [20.1.1.1 <-> 20.1.1.2] ike_dist_ipsec_tunnel_info_add: informazioni sul tunnel di distribuzione IPsec aggiunte al database con successo ID tunnel:500009 ID client:20 Istanza:0
14 giugno 10:40:49.295072 [EXT] [IPSC] [20.1.1.1 <-> 20.1.1.2] ipsec_common_msg_send: messaggio IPC inviato con successo tag 4 da ike a SPU.0.20
14 giugno 10:40:49.295292 [EXT] [IPSC] [20.1.1.1 <-> 20.1.1.2] ipsec_common_msg_send: messaggio IPC inviato con successo tag 4 da ike a SPU.0.21
14 giugno 10:40:49.296004 [DET] [STER] [20.1.1.1 <-> 20.1.1.2] Metadati st0 next hop modificati con successo per il tunnel 500009
14 giugno 10:40:49.297336 [EXT] [IPSC] [20.1.1.1 <-> 20.1.1.2] ipsec_common_msg_send: messaggio IPC inviato con successo tag 4 da ike a SPU.0.20
14 giugno 10:42:24.328902 [DET] [ATEC] [20.1.1.1 <-> 20.1.1.2] ike-atec-dh-generate risposta riuscita ricevuta per ipcindex=45111,ip-locale=none,ip-remoto=none
14 giugno 10:42:24.332381 [DET] [ATEC] [20.1.1.1 <-> 20.1.1.2] ike-atec-dh-compute risposta riuscita ricevuta per ipc-index=0

Tabella 2: Eventi controllabili (continua)

Requisito

Eventi controllabili

Contenuti aggiuntivi della registrazione di audit

Come viene generato l'evento

14 giugno 10:42:24.333295 [DET] [PUBL] [20.1.1.1 <-> 20.1.1.2] pubblicazione-ike-sa riuscita per ike-sa-index 11282 ike-sa 0x21dec24
14 giugno 10:42:29.316880 [DET] [ATEC] [20.1.1.1 <-> 20.1.1.2] TSi: traffic-selectormatch per ts-match Riuscito,C:ipv4(0.0.0.0-255.255.255.255) R:ipv4 (10.1.1.0-10.1.1.255) N:ipv4(10.1.1.0-10.1.1.255)
14 giugno 10:42:29.316889 [DET] [ATEC] [20.1.1.1 <-> 20.1.1.2] TSr: traffic-selectormatch per ts-match Riuscito,C:ipv4(0.0.0.0-255.255.255.255) R:ipv4 (30.1.1.0-30.1.1.255) N:ipv4(30.1.1.0-30.1.1.255)
14 giugno 10:42:29.317147 [DET] [TUNL] [20.1.1.1 <-> 20.1.1.2] tunnel-sadb-add riuscito con local-spi (0x80eeab18)
14 giugno 10:42:29.317178 [DET] [ATEC] [20.1.1.1 <-> 20.1.1.2] selezione ipsec-sa riuscita per spi (0x80eeab18) ip-locale (20.1.1.1) ip-remoto (20.1.1.2) VPN (IPSEC_VPN)
14 giugno 10:42:29.320369 [DET] [ATEC] [20.1.1.1 <-> 20.1.1.2] ike-atec-dh-generate risposta riuscita ricevuta per ipcindex=45113,ip-locale=none,ip-remoto=none
14 giugno 10:42:29.323800 [DET] [ATEC] [20.1.1.1 <-> 20.1.1.2] ike-atec-dh-compute risposta riuscita ricevuta per ipc-index=0
14 giugno 10:42:29.325513 [EXT] [IPSC] [20.1.1.1 <-> 20.1.1.2] ipsec_common_msg_send: messaggio IPC inviato con successo tag 4 da ike a SPU.0.20

Tabella 2: Eventi controllabili (continua)

Requisito

Eventi controllabili

Contenuti aggiuntivi della registrazione di audit

Come viene generato l'evento

FIA_X509_EXT.1

Instaurazione della sessione con CA

Contenuto intero dei pacchetti trasmessi/ricevuti durante l'istituzione della sessione

kmd 7200 KMD_VPN_UP_ALARM_USER [junos@2636.1.1.1.2.164 vpnname=””vpn1″” indirizzo-remoto=””5.5.5.1″” indirizzo-locale=””11.11.11.1″” ga tewayname=””gw1″” gruppo- name=””vpn1″” tunnelid=””131073″” nome-interfaccia=””st0.0″” internal-ip=””Non disponibile”” nome=””11.11.11.1″” peer-name=" ”5.5.5.1″” client-name=””Non applicabile”” vrrp-groupid=””0″” traffic-selector-name= “””” trafficselector-cfg-local-id=””ipv4_subnet(any: 0, [0..7]=0.0.0.0/0)”” traffic-selector-cfgremote-id= “”ipv4_subnet(any: 0, [0..7]=0.0.0.0/0)”” argomento1= “”Statico””] VPN vpn1 da 5.5.5.1 è attivo. IP locale: 11.11.11.1, nome gateway: gw1, nome VPN: vpn1, ID tunnel: 131073, tunnel locale se: st0.0, IP tunnel remoto: non disponibile, ID IKE locale: 11.11.11.1 , ID IKE remoto: 5.5.5.1, nome utente AAA: non applicabile, ID VR: 0, selettore di traffico: , ID locale selettore di traffico: ipv4_subnet(any:0,[0..7]=0.0.0.0/ 0), ID remoto Trafficselector: ipv4_subnet(any:0, [0..7]=0.0.0.0/0), Tipo SA: Statico

Tabella 2: Eventi controllabili (continua)

Requisito

Eventi controllabili

Contenuti aggiuntivi della registrazione di audit

Come viene generato l'evento

FPF_RUL_EXT.1

Applicazione delle regole configurate con l'operazione "log".

Indirizzi di origine e di destinazione. Porti di origine e di destinazione. Interfaccia TOE del protocollo Transport Layer

[modifica] root@host:fips# esegui mostra firewall

Filtro: __default_bpdu_filter__

Filtro: fw_filter1 Contatori: Nome
Byte inclusi1
0 inc2
840

Pacchetti 0 10

[modifica] root@host:fips# [modifica]

root@host:fips# esegui mostra il registro del firewall

Tronco d'albero :

Tempo

Azione filtro

Interfaccia

Protocollo

Fonte

Ind

Indirizzo dest

11:05:31 pfe

st0.1

ICMP

30.1.1.1

10.1.1.1

11:05:30 pfe

st0.1

ICMP

30.1.1.1

10.1.1.1

11:05:29 pfe

st0.1

ICMP

30.1.1.1

10.1.1.1

11:05:28 pfe

st0.1

ICMP

30.1.1.1

10.1.1.1

root@host:fips# esegui mostra il registro del firewall

Tronco d'albero :

Tempo

Azione filtro

Interfaccia

Protocollo

Fonte

Tabella 2: Eventi controllabili (continua)

Requisito

Eventi controllabili

Contenuti aggiuntivi della registrazione di audit

Come viene generato l'evento

Addr 11:19:59 pfe st0.1 30.1.1.1

Indirizzo destinazione R TCP
10.1.1.1

root@host:fips# esegui mostra il registro del firewall

Tronco d'albero :

Tempo

Azione filtro

Interfaccia

Protocollo

Fonte

Ind

Indirizzo dest

13:00:18 pfe

ge-0/0/4.0

ICMP

30.1.1.5

10.1.1.1

13:00:17 pfe

ge-0/0/4.0

ICMP

30.1.1.5

10.1.1.1

13:00:16 pfe

ge-0/0/4.0

ICMP

30.1.1.5

10.1.1.1

13:00:15 pfe

ge-0/0/4.0

ICMP

30.1.1.5

10.1.1.1

root@host:fips# esegui mostra il registro del firewall

Tronco d'albero :

Tempo

Azione filtro

Interfaccia

Protocollo

Fonte

Ind

Indirizzo dest

13:00:45 pfe

ge-0/0/4.0

TCP

30.1.1.5

10.1.1.1

Tabella 2: Eventi controllabili (continua)

Requisito

Eventi controllabili

Contenuti aggiuntivi della registrazione di audit

Come viene generato l'evento

Indicazione di pacchetti persi a causa del troppo traffico di rete

Interfaccia TOE che non è in grado di elaborare i pacchetti

RT_FLOW – RT_FLOW_SESSION_DENY [junos@2636.1.1.1.2.164 indirizzoorigine=" 1.1.1. 2″ porta-origine=”10001″ indirizzo-destinazione=”2.2.2.2″ portadestinazione=” 21″ connessione-tag=”0″ nomeservizio=” junos-ftp” ID-protocollo=”6″ icmptype=” 0″ nome-politica=”p2″ source-zone-na me=”ZO_A” nome-zona-destinazione=”ZO_B” applicazione =”SCONOSCIUTO” nestedapplication=” SCONOSCIUTO” nomeutente=”N/A” ruoli=”N/A” pacchetto-incominginterface=” ge-0/0/0.0″ cifrato=”No” motivo=”Rifiutato dalla policy” sessionid32 =”3″ categoria-applicazione=”N/A” sottocategoria-applicazione=”N/A” rischioapplicazione=”1″ caratteristiche-applicazione=”N/A” src-vrf-grp=”N/A” dst -vrf-grp=” N/A”] sessione negata 1.1.1.2/10001->2.2.2.2/21 0x0 junos-ftp 6(0) p2 ZO_A ZO_B SCONOSCIUTO SCONOSCIUTO N/A(N/A) ge-0/ 0/0.0 No Negato dal criterio 3 N/AN/A -1 N/AN/AN/A

Inoltre, Juniper Networks consiglia: · Catturare tutte le modifiche alla configurazione. · Per memorizzare le informazioni di registrazione in remoto. Per ulteriori informazioni sui dettagli del registro, vedere Specifica del registro File Dimensioni, numero e proprietà di archiviazione

Interpretare i messaggi di evento

L'output seguente mostra un sampil messaggio dell'evento.

27 febbraio 02:33:04 bm-a mgd[6520]: UI_LOGIN_EVENT: accesso utente 'security-officer', classe 'j-superuser' [6520], connessione ssh ", modalità client 'cli' 27 febbraio 02: 33:49 bm-a mgd[6520]: UI_DBASE_LOGIN_EVENT: l'utente 'security-officer' sta entrando in modalità di configurazione 27 febbraio 02:38:29 bm-a mgd[6520]: UI_CMDLINE_READ_LINE: utente 'security-officer', comando 'esegui mostra log Registro_controllo | grep ACCEDI

La Tabella 3 a pagina 79 descrive i campi per un messaggio di evento. Se l'utilità di registrazione del sistema non riesce a determinare il valore in un campo particolare, viene invece visualizzato un trattino ( – ).
Tabella 3: campi nei messaggi di evento

Campo
tempiamp

Descrizione

Examples

Ora in cui è stato generato il messaggio, in una delle due rappresentazioni:
· MMM-DD HH:MM:SS.MS+/-HH:MM, è il mese, il giorno, l'ora,
minuto, secondo e millisecondo nell'ora locale. L'ora e il minuto che seguono il segno più (+) o il segno meno (-) rappresentano la differenza tra il fuso orario locale e il Tempo Coordinato Universale (UTC).

Il 27 febbraio alle 02:33:04 è l'ora esattaamp espresso come ora locale negli Stati Uniti. 2012-02-27T09:17:15.719Z sono le 2:33 UTC del 27 febbraio 2012.

· AAAA-MM-GGTHH:MM:SS.MSZ è l'anno, il mese, il giorno, l'ora,
minuto, secondo e millisecondo in UTC.

nome host

Nome dell'host che ha originariamente generato il messaggio. router1

processo

Nome del processo del sistema operativo Junos che ha generato il file

messaggio.

MGD

IDprocesso

ID processo UNIX (PID) del processo operativo Junos che

generato il messaggio.

4153

Tabella 3: Campi nei messaggi di evento (continua)

Campo

Descrizione

TAG

Messaggio di registro del sistema operativo Junos tag, che in modo univoco

identifica il messaggio.

nome utente

Nome utente dell'utente che ha avviato l'evento.

testo del messaggio descrizione in lingua inglese dell'evento .

Exampfile UI_DBASE_LOGOUT_EVENT
“amministratore”
impostato: [segreto del sistema Radius-Server 1.2.3.4]

DOCUMENTAZIONE CORRELATA Registrazione eventi terminataview
Registra modifiche ai dati segreti
Di seguito sono riportati esempiampfile di registri di controllo degli eventi che modificano i dati segreti. Ogni volta che si verifica una modifica nella configurazione, ad esample, l'evento syslog dovrebbe acquisire i seguenti log:
24 luglio 17:43:28 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: Utente 'admin' impostato: [sistema Radiusserver 1.2.3.4 segreto] 24 luglio 17:43:28 router1 mgd[4163]: UI_CFG_AUDIT_AUDIT_SET_SECRET: Utente 'admin' impostato: [accesso al sistema utente amministratore autenticazione password crittografata] Jul 24 17:43:28 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: Utente 'admin' impostato: [accesso al sistema utente admin2 autenticazione password crittografata] Ogni volta che una configurazione viene aggiornata o modificata, il syslog dovrebbe acquisire questi log:
24 luglio 18:29:09 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: utente 'admin' sostituire: [sistema raggio-server 1.2.3.4 segreto] 24 luglio 18:29:09 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: utente 'admin' sostituire: [login di sistema

81
autenticazione utente amministratore password crittografata] 24 luglio 18:29:09 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: sostituzione utente 'admin': [accesso al sistema utente amministratore autenticazione password crittografata]

DOCUMENTAZIONE CORRELATA Interpretazione dei messaggi di evento

Eventi di accesso e disconnessione tramite SSH

I messaggi di registro di sistema vengono generati ogni volta che un utente tenta con successo o senza successo l'accesso SSH. Vengono registrati anche gli eventi di disconnessione. Per esample, i seguenti log sono il risultato di due tentativi di autenticazione falliti, poi di uno riuscito e infine di un logout:

20 dic 23:17:35 20 dic 23:17:42 20 dic 23:17:53 20 dic 23:17:53
20 dic 23:17:53 20 dic 23:17:56 20 dic 23:17:56

bilbo sshd[16645]: Password non riuscita per op dalla porta 172.17.58.45 1673 ssh2 bilbo sshd[16645]: Password non riuscita per op dalla porta 172.17.58.45 1673 ssh2 bilbo sshd[16645]: Password accettata per op dalla porta 172.17.58.45 1673 ssh2 bilbo mgd[16648]: UI_AUTH_EVENT: utente autenticato 'op' a livello di autorizzazione
'j-operator' bilbo mgd[16648]: UI_LOGIN_EVENT: accesso utente 'op', classe 'j-operator' [16648] bilbo mgd[16648]: UI_CMDLINE_READ_LINE: utente 'op', comando 'quit ' bilbo mgd[16648] : UI_LOGOUT_EVENT: disconnessione 'op' dell'utente

DOCUMENTAZIONE CORRELATA Interpretazione dei messaggi di evento

Registrazione dell'avvio dell'audit

Le informazioni di controllo registrate includono gli avvii del sistema operativo Junos. Questo a sua volta identifica gli eventi di avvio del sistema di audit, che non possono essere disabilitati o abilitati in modo indipendente. Per esample, se il sistema operativo Junos viene riavviato, il registro di controllo contiene le seguenti informazioni:

20 dic 23:17:35 20 dic 23:17:35 20 dic 23:17:35 status=1 20 dic 23:17:42 20 dic 23:17:53

bilbo syslogd: uscita al segnale 14 bilbo syslogd: riavvia bilbo syslogd /kernel: Dec 20 23:17:35 init: syslogd (PID 19128) terminato con
avviato bilbo /kernel: init: syslogd (PID 19200).

DOCUMENTAZIONE CORRELATA Eventi di accesso e disconnessione tramite SSH

8 CAPITOLO
Configura le VPN
MOD_VPN | 84

84
MOD_VPN

SOMMARIO Questa sezione descrive il funzionamento di MOD_VPN.

IN QUESTA SEZIONE
MOD_VPN Fineview | 84 Algoritmi IPsec-IKE supportati | 85 Configurare la VPN su un dispositivo con sistema operativo Junos | 88 Configurazione delle regole del firewall | 111

MOD_VPN Fineview
Il MOD_VPN descrive i requisiti di sicurezza per un gateway VPN. Si definisce dispositivo all'estremità di una rete privata che termina un tunnel IPsec (supporta IPsec in modalità tunnel), che fornisce l'autenticazione del dispositivo, la riservatezza e l'integrità delle informazioni che attraversano una rete pubblica o non attendibile. Questa modalità ha lo scopo di fornire un insieme minimo di requisiti di base mirati a mitigare le minacce ben definite e descritte alla tecnologia Gateway VPN. Questa introduzione descrive le caratteristiche di un Target of Evaluation (TOE) conforme e discute anche come utilizzare MOD_VPN insieme a NDcPPv2.
NOTA: affinché la connessione IPsec venga interrotta involontariamente, cancellare la sessione IPsec con i seguenti comandi. Riavvia e stabilisce la sessione IPsec.
utente@host# esegui cancella sicurezza associazioni di sicurezza ipsec utente@host# esegui cancella sicurezza ike associazioni di sicurezza

85
Algoritmi IPsec-IKE supportati
IN QUESTA SEZIONE Algoritmi di crittografia supportati per IPsec | 85 Algoritmi di crittografia supportati per IKE | 86 Gruppi IKE DH supportati | 86 Algoritmo di autenticazione IPsec supportato | 87 Algoritmi di autenticazione IKE supportati | 87 Metodi di autenticazione supportati | 87

Il tuo dispositivo supporta i seguenti algoritmi IPsec-IKE:
Algoritmi di crittografia supportati per IPsec

aes-128-cbc aes-128-gcm aes-192-cbc aes-192-gcm aes-256-cbc aes-256-gcm

Algoritmo di crittografia AES-CBC a 128 bit Algoritmo di crittografia AES-GCM a 128 bit Algoritmo di crittografia AES-CBC a 192 bit Algoritmo di crittografia AES-GCM a 192 bit Algoritmo di crittografia AES-CBC a 256 bit Algoritmo di crittografia AES-GCM a 256 bit

[modifica] utente@host# imposta la proposta ipsec di sicurezza proposta l'algoritmo di crittografia ipsec-proposta1 aes-128-cbc utente@host# imposta la proposta ipsec di sicurezza algoritmo-di crittografia ipsec-proposta1 aes-128-gcm utente@host# imposta la proposta ipsec di sicurezza ipsec -proposta1 algoritmo di crittografia aes-192-cbc utente@host# imposta sicurezza ipsec proposta ipsec-proposta1 algoritmo di crittografia aes-192-gcm utente@host# imposta sicurezza ipsec proposta ipsec-proposta1 algoritmo di crittografia aes-256-cbc utente@ host# imposta la sicurezza proposta ipsec ipsec-proposta1 algoritmo di crittografia aes-256-gcm

Algoritmi di crittografia supportati per IKE

aes-128-cbc aes-128-gcm aes-192-cbc aes-256-cbc aes-256-gcm

Algoritmo di crittografia AES-CBC a 128 bit Algoritmo di crittografia AES-GCM a 128 bit Algoritmo di crittografia AES-CBC a 192 bit Algoritmo di crittografia AES-CBC a 256 bit Algoritmo di crittografia AES-GCM a 256 bit

[modifica] utente@host# imposta la sicurezza ike proposta ipsec-proposta1 algoritmo di crittografia aes-128-cbc utente@host# imposta la sicurezza ike proposta ipsec-proposta1 algoritmo di crittografia aes-128-gcm utente@host# imposta la sicurezza ike proposta ipsec -proposta1 algoritmo di crittografia aes-192-cbc utente@host# imposta la sicurezza ike proposta ipsec-proposta1 algoritmo di crittografia aes-256-cbc utente@host# imposta la sicurezza ike proposta ipsec-proposta1 algoritmo di crittografia aes-256-gcm

Gruppi IKE DH supportati

gruppo14 gruppo15 gruppo16 gruppo19 gruppo20 gruppo21 gruppo24

Gruppo Diffie-Hellman 14 Gruppo Diffie-Hellman 15 Gruppo Diffie-Hellman 16 Gruppo Diffie-Hellman 19 Gruppo Diffie-Hellman 20 Gruppo Diffie-Hellman 21 Gruppo Diffie-Hellman 24

[modifica] utente@host# imposta la sicurezza proposta ike ipsec-proposta1 gruppo dh gruppo14 utente@host# imposta la sicurezza proposta ike ipsec-proposta1 gruppo dh gruppo15 utente@host# imposta la sicurezza proposta ike ipsec-proposta1 gruppo dh gruppo16 utente@ host# imposta la sicurezza ike proposta ipsec-proposta1 dh-group group19 utente@host# imposta la sicurezza ike proposta ipsec-proposal1 dh-group group20 utente@host# imposta la sicurezza ike proposta ipsec-proposal1 dh-group group21 utente@host# imposta la sicurezza ike proposta ipsec-proposta1 gruppo dh gruppo24

Algoritmo di autenticazione IPsec supportato

hmac-sha-256-128 hmac-sha-384 hmac-sha-512

Algoritmo di autenticazione HMAC-SHA-256-128 Algoritmo di autenticazione HMAC-SHA-384 Algoritmo di autenticazione HMAC-SHA-512

[modifica] utente@host# imposta la proposta ipsec di sicurezza algoritmo di autenticazione ipsec-proposta1 hmac-sha-256-128 utente@host# imposta la proposta ipsec di sicurezza algoritmo di autenticazione ipsec-proposta1 hmac-sha-384 utente@host# imposta la proposta ipsec di sicurezza proposta ipsec-proposta1 algoritmo di autenticazione hmac-sha-512

Algoritmi di autenticazione IKE supportati

sha-256 sha-384 sha-512

Algoritmo di autenticazione SHA a 256 bit Algoritmo di autenticazione SHA a 384 bit Algoritmo di autenticazione SHA a 512 bit

[modifica] utente@host# imposta la sicurezza proposta ike algoritmo di autenticazione ipsec-proposta1 sha-256 utente@host# imposta la sicurezza proposta ike algoritmo di autenticazione ipsec-proposta1 sha-384 utente@host# imposta la sicurezza proposta ike autenticazione ipsec-proposta1- algoritmo sha-512

Metodi di autenticazione supportati

certificati

Consente certificati ECDSA, RSA e DSA, richiede IKEv2

ecdsa-signatures-256 Firme ECDSA (modulo a 256 bit)

ecdsa-signatures-384 Firme ECDSA (modulo a 384 bit)

ecdsa-signatures-521 Firme ECDSA (modulo a 521 bit)

chiavi precondivise

Chiavi precondivise

rsa-firme

Firme RSA

[modifica] utente@host# imposta la sicurezza ike proposta ipsec-proposta1 metodo di autenticazione certificati utente@host# imposta la sicurezza ike proposta ipsec-proposta1 metodo di autenticazione ecdsa-signatures-256 utente@host# imposta la sicurezza ike proposta ipsec-proposta1 autenticazione- metodo ecdsa-signature-384

88
utente@host# imposta la sicurezza ike proposta metodo di autenticazione della proposta-ipsec 1 ecdsa-signatures-521 utente@host# imposta la sicurezza ike proposta metodo di autenticazione della proposta-ipsec1 chiavi pre-condivise utente@host# imposta la sicurezza ike proposta autenticazione ipsec-proposta1 -metodo rsa-firme
Configura la VPN su un dispositivo che esegue il sistema operativo Junos
IN QUESTA SEZIONE Configurazione di una VPN IPsec con una chiave precondivisa per l'autenticazione IKE | 91 Configurazione di una VPN IPsec con una firma RSA per l'autenticazione IKE | 98 Configurazione di una VPN IPsec con una firma ECDSA per l'autenticazione IKE | 104
Questa sezione descrive comeample configurazioni di una VPN IPsec su un dispositivo con sistema operativo Junos utilizzando i seguenti metodi di autenticazione IKE: · “Configurazione di una VPN IPsec con una chiave precondivisa per l'autenticazione IKE” a pagina 91 · “Configurazione di una VPN IPsec con una firma RSA per l'autenticazione IKE” a pagina 98 · “Configurazione di una VPN IPsec con una firma ECDSA per l'autenticazione IKE” a pagina 104 La Figura 1 a pagina 89 illustra la topologia VPN utilizzata in tutti gli example descritti in questa sezione. Qui, H0 e H1 sono l'host e R0 e R1 sono i due endpoint del tunnel VPN IPsec.

89 Figura 1: topologia VPN

La Tabella 4 a pagina 89 fornisce un elenco completo dei protocolli IKE supportati, modalità tunnel, modalità di negoziazione Fase 1, metodo o algoritmo di autenticazione, algoritmo di crittografia, gruppi DH supportati per l'autenticazione e la crittografia IKE (Fase 1, proposta IKE) e per IPsec autenticazione e crittografia (Fase2, Proposta IPsec). I protocolli, le modalità e gli algoritmi elencati sono supportati e richiesti per i criteri comuni 21.2R2.
Tabella 4: Matrice di combinazione VPN

Protocollo IKE

Modalità Tunnel

Modalità di negoziazione Fase1

Metodo di autenticazione della proposta di fase 1 (P1, IKE).

Algoritmo di autenticazione del gruppo DH

Algoritmo di crittografia

Percorso principale IKEv1

chiavi precondivise

sha-256

gruppo14

aes-128-cbc

IKEv2

rsa-firme-2048

sha-384

gruppo15

aes-128-gcm

ecdsa-firme-256

sha-512

gruppo16

aes-192-cbc

ecdsa-firme-384

gruppo19

aes-256-cbc

ecdsa-firme-521

gruppo20

aes-256-gcm

Tabella 4: Matrice di combinazione VPN (continua)

Protocollo IKE

Modalità Tunnel

Modalità di negoziazione Fase1

Metodo di autenticazione della proposta di fase 1 (P1, IKE).

Algoritmo di autenticazione del gruppo DH

Algoritmo di crittografia

gruppo21

gruppo24

Protocollo IKE

Modalità Tunne l

Modalità di negoziazione Fase1

Algoritmo di autenticazione della proposta di fase 2 (P2, IPsec).

Gruppo DH (PFS)

Percorso principale IKEv1

hmac-sha-256-128

gruppo14

IKEv2

hmac-sha-384

gruppo15

hmac-sha-512

gruppo16

gruppo19

gruppo20

gruppo21

gruppo24

Metodo di crittografia

Algoritmo di crittografia

ESP

aes-128-cbc

aes-128-gcm

aes-192-cbc

aes-192-gcm

aes-256-cbc

aes-256-gcm

NOTA: le sezioni seguenti forniscono sample configurazioni di IKEv1 IPsec VPN example per gli algoritmi selezionati. Gli algoritmi di autenticazione possono essere sostituiti nelle configurazioni a

realizzare le configurazioni desiderate dall'utente. Utilizza il comando set security ike gateway gw-name versione v2-only per la VPN IPsec IKEv2.

Configurazione di una VPN IPsec con una chiave precondivisa per l'autenticazione IKE

In questa sezione si configurano i dispositivi che eseguono il sistema operativo Junos per la VPN IPsec utilizzando una chiave precondivisa come metodo di autenticazione IKE. Gli algoritmi utilizzati nell'autenticazione IKE o IPsec o nella crittografia sono mostrati nella Tabella 5 a pagina 91
Tabella 5: Autenticazione IKE o IPsec Esample

Protocollo IKE

Modalità Tunnel

Modalità di negoziazione Fase1

Metodo di autenticazione della proposta di fase 1 (P1, IKE).

Algoritmo di autenticazione del gruppo DH

Algoritmo di crittografia

Percorso principale IKEv1

chiavi precondivise

sha-256

gruppo14

aes-256-cbc

Protocollo IKE

Modalità Tunne l

Modalità di negoziazione Fase1

Algoritmo di autenticazione della proposta di fase 2 (P2, IPsec).

Gruppo DH (PFS)

Percorso principale IKEv1

hmac-sha-256-128

gruppo14

Metodo di crittografia

Algoritmo di crittografia

ESP

aes-256-cbc

NOTA: un dispositivo che esegue il sistema operativo Junos utilizza l'autenticazione basata su certificato o chiavi precondivise per IPsec. TOE accetta chiavi ASCII precondivise o basate su bit fino a 255 caratteri (e i loro equivalenti binari) che contengono lettere maiuscole e minuscole, numeri e caratteri speciali come !, @, #, $, %, ^, &, *, ( , E ). Il dispositivo accetta le chiavi di testo precondivise e converte la stringa di testo in un valore di autenticazione secondo RFC 2409 per IKEv1 o RFC 4306 per IKEv2, utilizzando il PRF configurato come algoritmo hash per gli scambi IKE. Il sistema operativo Junos non impone requisiti minimi di complessità per le chiavi precondivise. Pertanto, si consiglia agli utenti di scegliere con attenzione chiavi precondivise lunghe e sufficientemente complesse.

92
Configurazione della VPN IPsec con chiave precondivisa come autenticazione IKE sull'iniziatore 1. Configurare la proposta IKE:
[modifica] utente@host# imposta la sicurezza ike proposta ike-proposal1 metodo di autenticazione chiavi pre-condivise utente@host# imposta la sicurezza ike proposta ike-proposal1 dh-group group14 utente@host# imposta la sicurezza ike proposta ike-proposal1 autenticazione -algoritmo sha256 utente@host# imposta sicurezza ike proposta ike-proposta1 algoritmo di crittografia aes-256-cbc
NOTA: qui ike-proposal1 è il nome della proposta IKE fornito dall'amministratore autorizzato.
2. Configura la policy IKE:
[modifica] utente@host# imposta la policy ike di sicurezza ike-policy1 modalità utente principale@host# imposta la policy ike di sicurezza proposte ike-policy1 ike-proposal1
NOTA: qui, ike-policy1 è il nome della politica IKE e ike-proposal1 è il nome della proposta IKE fornito dall'amministratore autorizzato.
utente@host# prompt sicurezza ike policy ike-policy1 chiave pre-condivisa testo-ascii Nuovo testo-ascii (segreto): Ridigita il nuovo testo-ascii (segreto):
NOTA: è necessario inserire e reinserire la chiave precondivisa quando richiesto. Per esample, la chiave precondivisa può essere Modvpn@jnpr1234.
NOTA: in alternativa la chiave precondivisa può essere inserita in formato esadecimale. Per esample: [modifica] root@host# prompt sicurezza ike policy ike-policy1 chiave pre-condivisa esadecimale

93
Nuovo esadecimale (segreto): digitare nuovamente il nuovo esadecimale (segreto): immettere il valore della chiave precondivisa esadecimale.
3. Configura la proposta IPsec:
[modifica] utente@host# imposta la sicurezza proposta di sicurezza ipsec protocollo ipsec-proposta1 esp utente@host# imposta la sicurezza proposta di sicurezza ipsec algoritmo di autenticazione ipsec-proposta1 hmacsha-256-128 utente@host# imposta la sicurezza proposta ipsec crittografia ipsec-proposta1- algoritmo aes-256-cbc
NOTA: qui ipsec-proposta1 è il nome della proposta IPsec fornito dall'amministratore autorizzato.
4. Configura la policy IPsec:
[modifica] utente@host# imposta la policy ipsec di sicurezza ipsec-policy1 chiavi Perfect-Forward-Secrecy group14 utente@host# imposta la policy ipsec di sicurezza proposte ipsec-policy1 proposta-ipsec1
NOTA: qui ipsec-policy1 è il nome della policy IPsec e ipsec-proposal1 è il nome della proposta IPsec fornito dall'amministratore autorizzato.
5. Configura l'IKE:
[modifica] utente@host# imposta sicurezza ike gateway gw1 ike-policy ike-policy1 utente@host# imposta sicurezza ike gateway gw1 indirizzo 20.1.1.2 utente@host# imposta sicurezza ike gateway gw1 identità locale inet 20.1.1.1 utente@host # imposta la sicurezza ike gateway gw1 interfaccia esterna xe-0/0/2 utente@host# imposta la sicurezza ike gateway gw1 versione solo v2

94
NOTA: qui, gw1 è un nome di gateway IKE, 20.1.1.2 è l'IP dell'endpoint VPN peer, 20.1.1.1 è l'IP dell'endpoint VPN locale e xe-0/0/2 è un'interfaccia in uscita locale come endpoint VPN. Nel caso di IKEv2 è necessaria anche la seguente configurazione aggiuntiva.
6. Configura la VPN:
[modifica] utente@host# imposta sicurezza ipsec vpn vpn1 ike gateway gw1 utente@host# imposta sicurezza ipsec vpn vpn1 ike ipsec-policy ipsec-policy1 utente@host# imposta sicurezza ipsec vpn vpn1 bind-interface st0.0 utente@host# imposta immediatamente la sicurezza ipsec vpn vpn1 stabilisci-tunnel
NOTA: qui vpn1 è il nome del tunnel VPN fornito dall'amministratore autorizzato.
7. Configura il set di servizi:
[modifica] utente@host# imposta servizi set di servizi IPSEC_SS_SPC3 next-hop-service inside-service-interface vms-5/0/0.1 utente@host# imposta servizi service-set IPSEC_SS_SPC3 next-hop-service outside-service-interface vms-5/0/0.2 utente@host# set servizi set-servizi IPSEC_SS_SPC3 ipsec-vpn vpn1
8. Configura le interfacce e l'opzione di routing:
[modifica] utente@host# imposta interfacce xe-0/0/2 unità 0 famiglia indirizzo inet 20.1.1.1/24 utente@host# imposta interfacce vms-5/0/0 unità 0 famiglia inet utente@host# imposta interfacce vms -5/0/0 unità 1 famiglia inet utente@host# imposta interfacce vms-5/0/0 unità 1 famiglia inet6 utente@host# imposta interfacce vms-5/0/0 unità 1 dominio di servizio all'interno di utente@host# imposta le interfacce vms-5/0/0 unità 2 famiglia inet utente@host# imposta le interfacce vms-5/0/0 unità 2 famiglia inet6 utente@host# imposta le interfacce vms-5/0/0 unità 2 dominio del servizio utente esterno @host# imposta le interfacce st0 unità 1 famiglia inet utente@host# imposta le interfacce st0 unità 1 famiglia inet6 utente@host# imposta le interfacce st0 unità 2 famiglia inet

95
utente@host# imposta le interfacce st0 unità 2 famiglia inet6 utente@host# imposta le opzioni di routing percorso statico 30.1.1.0/24 next-hop st0.0
Configurazione della VPN IPsec con chiave precondivisa come autenticazione IKE sul risponditore 1. Configurare la proposta IKE:
[modifica] utente@host# imposta la sicurezza proposta ike ike-proposta1 metodo di autenticazione chiavi pre-condivise utente@host# imposta la sicurezza proposta ike ike-proposta1 gruppo dh gruppo14 utente@host# imposta la sicurezza ike proposta ike-proposta1 autenticazione- algoritmo sha256 utente@host# imposta sicurezza proposta ike algoritmo di crittografia ike-proposta1 aes-128-cbc
NOTA: qui ike-proposal1 è il nome della proposta IKE fornito dall'amministratore autorizzato.
2. Configura la policy IKE:
[modifica] utente@host# imposta la policy ike di sicurezza ike-policy1 modalità utente principale@host# imposta la policy ike di sicurezza proposte ike-policy1 ike-proposal1
NOTA: qui, ike-policy1 è il nome della politica IKE e ike-proposal1 è il nome della proposta IKE fornito dall'amministratore autorizzato.
utente@host# prompt sicurezza ike policy ike-policy1 chiave pre-condivisa testo-ascii Nuovo testo-ascii (segreto): Ridigita il nuovo testo-ascii (segreto):
NOTA: è necessario inserire e reinserire la chiave precondivisa quando richiesto. Per esample, la chiave precondivisa può essere Modvpn@jnpr1234.

96
NOTA: In alternativa la chiave pre-share può essere inserita in formato esadecimale. Per esample, utente@host# prompt sicurezza ike policy ike-policy1 chiave pre-condivisa esadecimale Nuovo esadecimale (segreto): digitare nuovamente nuovo esadecimale (segreto): qui, la chiave precondivisa esadecimale può essere cc2014bae9876543.
3. Configura la proposta IPsec:
[modifica] utente@host# imposta la proposta di sicurezza ipsec protocollo ipsec-proposta1 esp utente@host# imposta la proposta di sicurezza ipsec algoritmo di autenticazione della proposta-ipsec1 hmacsha-256-128 utente@host# imposta la proposta di sicurezza ipsec algoritmo di crittografia ipsec-proposta1 3des -cbcaes-128cbc
NOTA: qui ipsec-proposta1 è il nome della proposta IPsec fornito dall'amministratore autorizzato.
4. Configura la policy IPsec:
[modifica] utente@host# imposta la policy ipsec di sicurezza ipsec-policy1 chiavi Perfect-Forward-Secrecy group14 utente@host# imposta la policy ipsec di sicurezza proposte ipsec-policy1 proposta-ipsec1
NOTA: qui ipsec-policy1 è il nome della policy IPsec e ipsec-proposal1 è il nome della proposta IPsec fornito dall'amministratore autorizzato.
5. Configurare l'IKE.
[modifica] utente@host# imposta sicurezza ike gateway gw1 ike-policy ike-policy1 utente@host# imposta sicurezza ike gateway gw1 indirizzo 20.1.1.1 utente@host# imposta sicurezza ike gateway gw1 identità locale inet 20.1.1.2

97
utente@host# imposta la sicurezza ike gateway gw1 interfaccia esterna xe-0/0/3 utente@host# imposta la sicurezza ike gateway gw1 versione solo v2
NOTA: qui, gw1 è un nome di gateway IKE, 20.1.1.1 è l'IP dell'endpoint VPN peer, 20.1.1.2 è l'IP dell'endpoint VPN locale e xe-0/0/3 è un'interfaccia in uscita locale come endpoint VPN. Nel caso di IKEv2 è necessaria anche la seguente configurazione aggiuntiva.
6. Configura la VPN:
[modifica] utente@host# imposta sicurezza ipsec vpn vpn1 ike gateway gw1 utente@host# imposta sicurezza ipsec vpn vpn1 ike ipsec-policy ipsec-policy1 utente@host# imposta sicurezza ipsec vpn vpn1 bind-interface st0.0 utente@host# imposta immediatamente la sicurezza ipsec vpn vpn1 stabilisci-tunnel
NOTA: qui vpn1 è il nome del tunnel VPN fornito dall'amministratore autorizzato.
7. Configura il set di servizi:
[modifica] utente@host# imposta servizi set di servizi IPSEC_SS_SPC3 next-hop-service inside-service-interface vms-4/0/0.1 utente@host# imposta servizi service-set IPSEC_SS_SPC3 next-hop-service outside-service-interface vms-4/0/0.2 utente@host# set servizi set-servizi IPSEC_SS_SPC3 ipsec-vpn vpn1
8. Configura le interfacce e l'opzione di routing:
[modifica] utente@host# imposta interfacce xe-0/0/3 unità 0 famiglia indirizzo inet 20.1.1.2/24 utente@host# imposta interfacce vms-4/0/0 unità 0 famiglia inet utente@host# imposta interfacce vms -4/0/0 unità 1 famiglia inet utente@host# imposta interfacce vms-4/0/0 unità 1 famiglia inet6 utente@host# imposta interfacce vms-4/0/0 unità 1 dominio servizio all'interno di utente@host# imposta le interfacce vms-4/0/0 unità 2 famiglia inet utente@host# imposta le interfacce vms-4/0/0 unità 2 famiglia inet6

98
utente@host# imposta le interfacce vms-4/0/0 unità 2 dominio del servizio esterno utente@host# imposta le interfacce st0 unità 1 famiglia inet utente@host# imposta le interfacce st0 unità 1 famiglia inet6 utente@host# imposta le interfacce st0 unità 2 famiglia inet utente@host# imposta interfacce st0 unità 2 famiglia inet6 utente@host# imposta opzioni di routing percorso statico 10.1.1.0/24 next-hop st0.0

Configurazione di una VPN IPsec con una firma RSA per l'autenticazione IKE

La sezione seguente fornisce un esample per configurare i dispositivi con sistema operativo Junos per VPN IPsec utilizzando la firma RSA come metodo di autenticazione IKE, mentre gli algoritmi utilizzati nell'autenticazione/crittografia IKE/IPsec sono quelli mostrati nella tabella seguente. In questa sezione si configurano i dispositivi che eseguono il sistema operativo Junos per la VPN IPsec utilizzando una firma RSA come metodo di autenticazione IKE. Gli algoritmi utilizzati nell'autenticazione o crittografia IKE o IPsec sono mostrati nella Tabella 6 a pagina 98
Tabella 6: Autenticazione e crittografia IKE/IPsec Esample

Protocollo IKE

Modalità Tunnel

Modalità di negoziazione Fase1

Metodo di autenticazione della proposta di fase 1 (P1, IKE).

Algoritmo di autenticazione del gruppo DH

Algoritmo di crittografia

Percorso principale IKEv1

rsa-firme-2048

sha-256

gruppo19

aes-128-cbc

Protocollo IKE

Modalità Tunne l

Modalità di negoziazione Fase1

Algoritmo di autenticazione della proposta di fase 2 (P2, IPsec).

Gruppo DH (PFS)

Percorso principale IKEv1

hmac-sha-256-128

gruppo19

Metodo di crittografia

Algoritmo di crittografia

ESP

aes-128-cbc

Configurazione della VPN IPsec con firma RSA come autenticazione IKE sull'iniziatore 1. Configurare la PKI. Vedi esample: Configurazione PKI. 2. Genera la coppia di chiavi RSA. Vedi esample: Generazione di una coppia di chiavi pubblica-privata. 3. Generare e caricare il certificato CA. Vedi esample: Caricamento manuale dei certificati CA e locali.

99
4. Caricare la CRL. Vedi esample: Caricamento manuale di una CRL sul dispositivo. 5. Generare e caricare un certificato locale. Vedi esample: Caricamento manuale dei certificati CA e locali. 6. Configura la proposta IKE:
[modifica] utente@host# imposta la sicurezza proposta ike ike-proposta1 metodo di autenticazione firme rsa utente@host# imposta la sicurezza proposta ike ike-proposta1 gruppo dh gruppo19 utente@host# imposta la sicurezza ike proposta ike-proposta1 algoritmo di autenticazione sha -256 utente@host# imposta la sicurezza proposta ike ike-proposta1 algoritmo di crittografia aes-128-cbc
NOTA: qui ike-proposal1 è il nome fornito dall'amministratore autorizzato.
7. Configura la policy IKE:
[modifica] utente@host# imposta la policy ike di sicurezza ike-policy1 modalità principale utente@host# imposta la policy ike di sicurezza proposte ike-policy1 ike-proposal1 utente@host# imposta la policy ike di sicurezza ike-policy1 certificato certificato-locale cert1
NOTA: qui, ike-policy1 Nome della policy IKE fornito dall'amministratore autorizzato.
8. Configura la proposta IPsec:
[modifica] utente@host# imposta la proposta ipsec di sicurezza il protocollo ipsec-proposta1 esp utente@host# imposta la proposta ipsec di sicurezza l'algoritmo di autenticazione della proposta-ipsec1 hmacsha-256-128 utente@host# imposta la proposta ipsec di sicurezza l'algoritmo di crittografia della proposta ipsec1 aes -128-cbc
NOTA: qui ipsec-proposta1 è il nome assegnato dall'amministratore autorizzato.

Configura la policy IPsec:
[modifica] utente@host# imposta la policy ipsec di sicurezza ipsec-policy1 chiavi Perfect-Forward-Secrecy group19 utente@host# imposta la policy ipsec di sicurezza proposte ipsec-policy1 proposta-ipsec1
NOTA: qui ipsec-policy1 è il nome fornito dall'amministratore autorizzato.
10. Configura l'IKE:
[modifica] utente@host# imposta sicurezza ike gateway gw1 ike-policy ike-policy1 utente@host# imposta sicurezza ike gateway gw1 indirizzo 20.1.1.2 utente@host# imposta sicurezza ike gateway gw1 identità locale inet 20.1.1.1 utente@host # imposta la sicurezza ike gateway gw1 interfaccia esterna xe-0/0/3 utente@host# imposta la sicurezza ike gateway gw1 versione solo v2
NOTA: qui, 20.1.1.2 è l'IP dell'endpoint VPN peer, 20.1.1.1 è l'IP dell'endpoint VPN locale e xe-0/0/3 è l'interfaccia in uscita locale come endpoint VPN. Per IKEv2 è necessaria anche la seguente configurazione.
11. Configura VPN:
[modifica] utente@host# imposta sicurezza ipsec vpn vpn1 ike gateway gw1 utente@host# imposta sicurezza ipsec vpn vpn1 ike ipsec-policy ipsec-policy1 utente@host# imposta sicurezza i

Documenti / Risorse

Juniper NETWORKS MX240Dispositivi con sistema operativo Junos con scheda servizi [pdf] Guida utente
MX240Junos Dispositivi con sistema operativo con carta servizi, MX240Junos, Dispositivi con sistema operativo con carta servizi, Dispositivi con carta servizi, Carta servizi, Carta

Riferimenti

Manuale d'uso

Juniper NETWORKS MX240Dispositivi con sistema operativo Junos con scheda servizi

Informazioni sul prodotto

Istruzioni per l'uso del prodotto

Sopraview

Configura ruoli e metodi di autenticazione

Azzerare il sistema:

Configurare credenziali e privilegi amministrativi

Configura la connessione SSH e console

Specifiche

Domande frequenti (FAQ)

Informazioni su questa guida

Terminologia FIPS

ECDH ECDSA HMAC

Parametri di sicurezza critici

Installa i pacchetti software Junos

Documenti / Risorse

Riferimenti

Lascia un commento

Annulla risposta