ज्युनिपर नेटवर्क जुनोस ओएस FIPS मूल्यांकन केलेले डिव्हाइसेस वापरकर्ता मार्गदर्शक

अभियांत्रिकी साधेपणा
Junos® OS
साठी FIPS मूल्यांकन केलेले कॉन्फिगरेशन मार्गदर्शक
MX960, MX480, आणि MX240 डिव्हाइसेस

सामग्री लपवा

1 ज्युनिपर नेटवर्क जुनोस ओएस FIPS मूल्यांकन केलेली उपकरणे

2 ओव्हरview

3 प्रशासकीय क्रेडेन्शियल्स आणि विशेषाधिकार कॉन्फिगर करणे

4 भूमिका आणि प्रमाणीकरण पद्धती कॉन्फिगर करणे

5 SSH आणि कन्सोल कनेक्शन कॉन्फिगर करत आहे

6 MACsec कॉन्फिगर करत आहे

7 लेयर 2 रहदारीसाठी कीचेनसह MACsec कॉन्फिगर करत आहे

8 इव्हेंट लॉगिंग कॉन्फिगर करत आहे

9 डिव्हाइसवर स्वयं-चाचण्या करणे

10 ऑपरेशनल कमांड्स

11 कागदपत्रे / संसाधने

11.1 संदर्भ

ज्युनिपर नेटवर्क जुनोस ओएस FIPS मूल्यांकन केलेली उपकरणे

सोडा
20.3X75-D30

जुनिपर नेटवर्क्स, इंक.
1133 नावीन्यपूर्ण मार्ग
सनीवेल, कॅलिफोर्निया 94089
यूएसए
५७४-५३७-८९००
www.juniper.net
जुनिपर नेटवर्क, जुनिपर नेटवर्क लोगो, जुनिपर आणि जुनोस हे जुनिपर नेटवर्क्स, इंक. चे नोंदणीकृत ट्रेडमार्क आहेत.
युनायटेड स्टेट्स आणि इतर देशांमध्ये. इतर सर्व ट्रेडमार्क, सेवा चिन्ह, नोंदणीकृत चिन्हे किंवा नोंदणीकृत सेवा चिन्ह त्यांच्या संबंधित मालकांची मालमत्ता आहेत.
ज्युनिपर नेटवर्क या दस्तऐवजातील कोणत्याही चुकीची जबाबदारी घेत नाही. ज्युनिपर नेटवर्क्सने या प्रकाशनास सूचना न देता बदलण्याचा, सुधारण्याचा, हस्तांतरित करण्याचा किंवा अन्यथा सुधारण्याचा अधिकार राखून ठेवला आहे.
MX960, MX480, आणि MX240 डिव्हाइसेससाठी Junos® OS FIPS मूल्यांकन केलेले कॉन्फिगरेशन मार्गदर्शक 20.3X75-D30
कॉपीराइट © 2023 जुनिपर नेटवर्क्स, इंक. सर्व हक्क राखीव.
या दस्तऐवजातील माहिती शीर्षक पृष्ठावरील तारखेनुसार वर्तमान आहे.
वर्ष 2000 ची सूचना
जुनिपर नेटवर्क्स हार्डवेअर आणि सॉफ्टवेअर उत्पादने वर्ष 2000 अनुरूप आहेत. जुनोस OS ला 2038 सालापर्यंत वेळ-संबंधित मर्यादा नाहीत. तथापि, NTP ऍप्लिकेशनला 2036 मध्ये काही अडचण आल्याची माहिती आहे.
शेवटचा वापरकर्ता परवाना करार
या तांत्रिक दस्तऐवजीकरणाचा विषय असलेल्या ज्युनिपर नेटवर्क्स उत्पादनामध्ये ज्युनिपर नेटवर्क सॉफ्टवेअरचा समावेश आहे (किंवा वापरण्यासाठी आहे). अशा सॉफ्टवेअरचा वापर येथे पोस्ट केलेल्या अंतिम वापरकर्ता परवाना कराराच्या (“EULA”) अटी व शर्तींच्या अधीन आहे. https://support.juniper.net/support/eula/. असे सॉफ्टवेअर डाउनलोड करून, स्थापित करून किंवा वापरून, तुम्ही त्या EULA च्या अटी व शर्तींना सहमती देता.

या मार्गदर्शकाबद्दल
फेडरल इन्फॉर्मेशन प्रोसेसिंग स्टँडर्ड्स (FIPS) 960-480 स्तर 240 वातावरणात MX140, MX2, आणि MX1 डिव्हाइसेस ऑपरेट करण्यासाठी या मार्गदर्शकाचा वापर करा. FIPS 140-2 हार्डवेअर आणि सॉफ्टवेअरसाठी सुरक्षा स्तर परिभाषित करते जे क्रिप्टोग्राफिक कार्ये करतात.
संबंधित दस्तऐवजीकरण
सामान्य निकष आणि FIPS प्रमाणपत्रे

ओव्हरview

FIPS मोडमध्ये जुनोस ओएस समजून घेणे
या विभागात

समर्थित प्लॅटफॉर्म आणि हार्डवेअर | 2
तुमच्या डिव्हाइसवरील क्रिप्टोग्राफिक सीमा बद्दल | 3

FIPS मोड नॉन-FIPS मोडपेक्षा कसा वेगळा आहे | 3
FIPS मोडमध्ये जुनोस OS ची प्रमाणित आवृत्ती | 3

फेडरल इन्फॉर्मेशन प्रोसेसिंग स्टँडर्ड्स (FIPS) 140-2 हार्डवेअर आणि सॉफ्टवेअरसाठी सुरक्षा स्तर परिभाषित करते जे क्रिप्टोग्राफिक कार्ये करतात. हे जुनिपर नेटवर्क्स राउटर जुनिपर नेटवर्क्स जुनोस ऑपरेटिंग सिस्टीम (जुनोस ओएस) FIPS मोडमध्ये चालवते आणि FIPS 140-2 स्तर 1 मानकांचे पालन करते.
हा राउटर FIPS 140-2 स्तर 1 वातावरणात ऑपरेट करण्यासाठी Junos OS कमांड-लाइन इंटरफेस (CLI) वरून डिव्हाइसेसवर FIPS मोड सक्षम आणि कॉन्फिगर करणे आवश्यक आहे.
क्रिप्टो ऑफिसर Junos OS मध्ये FIPS मोड सक्षम करतो आणि सिस्टम आणि इतर FIPS वापरकर्त्यांसाठी की आणि पासवर्ड सेट करतो.
समर्थित प्लॅटफॉर्म आणि हार्डवेअर
या दस्तऐवजात वर्णन केलेल्या वैशिष्ट्यांसाठी, FIPS प्रमाणीकरण पात्र होण्यासाठी खालील प्लॅटफॉर्म वापरले जातात:

RE-S-960X480 आणि LC MPC240E-1800G (https://www.juniper.net/us/en/products/routers/mx-series/mx960-universal-routing-platform.html,
https://www.juniper.net/us/en/products/routers/mx-series/mx480-universal-routing-platform.html, आणि
https://www.juniper.net/us/en/products/routers/mx-series/mx240-universal-routing-platform.html).

RE-S-X960 आणि LC MPC480E-240G (https://www.juniper.net/us/en/products/routers/mx-series/mx960-universal-routing-platform.html, https://www.juniper.net/us/en/products/routers/mx-series/mx480-universal-routing-platform.html, आणि
https://www.juniper.net/us/en/products/routers/mx-series/mx240-universal-routing-platform.html).

तुमच्या डिव्हाइसवरील क्रिप्टोग्राफिक सीमा बद्दल
FIPS 140-2 अनुपालनासाठी डिव्हाइसवरील प्रत्येक क्रिप्टोग्राफिक मॉड्यूलभोवती परिभाषित क्रिप्टोग्राफिक सीमा आवश्यक आहे. FIPS मोडमधील जुनोस OS क्रिप्टोग्राफिक मॉड्यूलला FIPS-प्रमाणित वितरणाचा भाग नसलेले कोणतेही सॉफ्टवेअर कार्यान्वित करण्यापासून प्रतिबंधित करते आणि केवळ FIPS-मंजूर क्रिप्टोग्राफिक अल्गोरिदम वापरण्याची परवानगी देते. कोणतेही गंभीर सुरक्षा पॅरामीटर्स (CSPs), जसे की पासवर्ड आणि की, अनएनक्रिप्टेड फॉरमॅटमध्ये मॉड्यूलची क्रिप्टोग्राफिक सीमा ओलांडू शकत नाहीत.
खबरदारी: आभासी चेसिस वैशिष्ट्ये FIPS मोडमध्ये समर्थित नाहीत. FIPS मोडमध्ये व्हर्च्युअल चेसिस कॉन्फिगर करू नका.

FIPS मोड नॉन-FIPS मोडपेक्षा कसा वेगळा आहे
FIPS मोडमधील जुनोस ओएस नॉन-FIPS मोडमधील जुनोस ओएसपेक्षा खालील प्रकारे भिन्न आहे:

सर्व क्रिप्टोग्राफिक अल्गोरिदमच्या स्वयं-चाचण्या स्टार्टअपच्या वेळी केल्या जातात.

यादृच्छिक संख्या आणि की जनरेशनच्या स्वयं-चाचण्या सतत केल्या जातात.
डेटा एन्क्रिप्शन स्टँडर्ड (DES) आणि MD5 सारखे कमकुवत क्रिप्टोग्राफिक अल्गोरिदम अक्षम केले आहेत.

कमकुवत किंवा एनक्रिप्ट न केलेले व्यवस्थापन कनेक्शन कॉन्फिगर केले जाऊ नये.
संकेतशब्द मजबूत वन-वे अल्गोरिदमसह एनक्रिप्ट केलेले असणे आवश्यक आहे जे डिक्रिप्शनला परवानगी देत नाही.

प्रशासक पासवर्ड किमान 10 वर्ण लांब असणे आवश्यक आहे.

FIPS मोडमध्ये जुनोस OS ची प्रमाणित आवृत्ती
जुनोस ओएस रिलीझ NIST-प्रमाणित आहे की नाही हे निर्धारित करण्यासाठी, जुनिपर नेटवर्क्सवरील अनुपालन सल्लागार पृष्ठ पहा Web जागा (https://apps.juniper.net/compliance/).
संबंधित दस्तऐवजीकरण
सुरक्षित उत्पादन वितरण ओळखणे | ७

एफएफ टर्मिनोलॉजी आणि सपोर्टेड क्रिप्टोग्राफिक अल्गोरिदम समजून घेणे
या विभागात
शब्दावली | 4
समर्थित क्रिप्टोग्राफिक अल्गोरिदम | ५
FIPS मोडमध्ये जुनोस OS समजण्यास मदत करण्यासाठी FIPS अटी आणि समर्थित अल्गोरिदमच्या व्याख्या वापरा.

शब्दावली
गंभीर सुरक्षा मापदंड (CSP)
सुरक्षा-संबंधित माहिती—उदाample, गुप्त आणि खाजगी क्रिप्टोग्राफिक की आणि प्रमाणीकरण डेटा जसे की पासवर्ड आणि वैयक्तिक ओळख क्रमांक (पिन) — ज्याचे प्रकटीकरण किंवा बदल क्रिप्टोग्राफिक मॉड्यूलच्या सुरक्षिततेशी तडजोड करू शकतात किंवा ती माहिती संरक्षित करते. तपशिलांसाठी, पृष्ठ १६ वर "जुनोस OS साठी FIPS मोडमध्ये ऑपरेशनल एन्व्हायर्नमेंट समजून घेणे" पहा.
क्रिप्टोग्राफिक मॉड्यूल
हार्डवेअर, सॉफ्टवेअर आणि फर्मवेअरचा संच जो मंजूर सुरक्षा फंक्शन्स (क्रिप्टोग्राफिक अल्गोरिदम आणि की जनरेशनसह) लागू करतो आणि क्रिप्टोग्राफिक हद्दीत असतो.
FIPS
फेडरल माहिती प्रक्रिया मानके. FIPS 140-2 सुरक्षा आणि क्रिप्टोग्राफिक मॉड्यूल्ससाठी आवश्यकता निर्दिष्ट करते. FIPS मोडमधील जुनोस OS FIPS 140-2 स्तर 1 चे पालन करते.
FIPS देखभाल भूमिका
हार्डवेअर किंवा सॉफ्टवेअर डायग्नोस्टिक्स सारख्या भौतिक देखभाल किंवा तार्किक देखभाल सेवा करण्यासाठी क्रिप्टो अधिकारी गृहीत धरलेली भूमिका. FIPS 140-2 अनुपालनासाठी, क्रिप्टो अधिकारी सर्व साध्या-मजकूर गुप्त आणि खाजगी की आणि असुरक्षित CSPs पुसून टाकण्यासाठी FIPS देखभाल भूमिकेतून प्रवेश करताना आणि बाहेर पडताना राउटिंग इंजिनला शून्य करतो.
टीप: FIPS देखरेख भूमिका FIPS मोडमध्ये जुनोस OS वर समर्थित नाही.
KATs
ज्ञात उत्तर चाचण्या. सिस्टम स्व-चाचण्या ज्या FIPS साठी मंजूर केलेल्या क्रिप्टोग्राफिक अल्गोरिदमचे आउटपुट प्रमाणित करतात आणि काही जुनोस OS मॉड्यूल्सच्या अखंडतेची चाचणी करतात. तपशिलांसाठी, पृष्ठ ७३ वर “अंडरस्टँडिंग FIPS स्व-चाचणी” पहा.
SSH
एक प्रोटोकॉल जो असुरक्षित नेटवर्कवर रिमोट ऍक्सेससाठी मजबूत प्रमाणीकरण आणि एन्क्रिप्शन वापरतो. SSH रिमोट लॉगिन, रिमोट प्रोग्राम एक्झिक्यूशन प्रदान करते, file कॉपी आणि इतर कार्ये. हे UNIX वातावरणात rlogin, rsh आणि rcp साठी सुरक्षित बदली म्हणून आहे. प्रशासकीय कनेक्शनवर पाठवलेली माहिती सुरक्षित करण्यासाठी, CLI कॉन्फिगरेशनसाठी SSHv2 वापरा. Junos OS मध्ये, SSHv2 हे डीफॉल्टनुसार सक्षम केलेले असते आणि SSHv1, जे सुरक्षित मानले जात नाही, ते अक्षम केले जाते. शून्यीकरण
FIPS क्रिप्टोग्राफिक मॉड्युल म्हणून ऑपरेशन करण्यापूर्वी किंवा नॉन-FIPS ऑपरेशनसाठी डिव्हाइसला पुन्हा वापरण्याची तयारी करण्यापूर्वी डिव्हाइसवरील सर्व CSPs आणि इतर वापरकर्ता-निर्मित डेटा मिटवणे.
क्रिप्टो ऑफिसर सीएलआय ऑपरेशनल कमांडसह सिस्टम शून्य करू शकतो.
समर्थित क्रिप्टोग्राफिक अल्गोरिदम
पृष्ठ 1 वरील तक्ता 6 उच्च स्तरीय प्रोटोकॉल अल्गोरिदम समर्थनाचा सारांश देते.
तक्ता 1: FIPS मोडमध्ये अनुमत प्रोटोकॉल

प्रोटोकॉल	की एक्सचेंज	प्रमाणीकरण	सायफर	सचोटी
SSHv2	• dh-ग्रुप14-sha1 • ECDH-sha2-nistp256 • ECDH-sha2-nistp384 • ECDH-sha2-nistp521	होस्ट (मॉड्यूल): • ECDSA P-256 • SSH-RSA क्लायंट (वापरकर्ता): • ECDSA P-256 • ECDSA P-384 • ECDSA P-521 • SSH-RSA	• AES CTR 128 • AES CTR 192 • AES CTR 256 • AES CBC 128 • AES CBC 256	• HMAC-SHA-1 • HMAC-SHA-256 • HMAC-SHA-512

पृष्ठ 2 वरील तक्ता 6 मध्ये MACsec LC समर्थित सायफरची सूची आहे.
तक्ता 2: MACsec LC सपोर्टेड सिफर
MACsec LC समर्थित सिफर
AES-GCM-128
AES-GCM-256
अल्गोरिदमची प्रत्येक अंमलबजावणी ज्ञात उत्तर चाचणी (KAT) स्वयं-चाचण्यांच्या मालिकेद्वारे तपासली जाते. कोणतीही स्वयं-चाचणी अयशस्वी झाल्यास FIPS त्रुटी स्थिती येते.
सर्वोत्तम सराव: FIPS 140-2 अनुपालनासाठी, FIPS मोडमध्ये Junos OS मध्ये फक्त FIPS-मंजूर क्रिप्टोग्राफिक अल्गोरिदम वापरा.
खालील क्रिप्टोग्राफिक अल्गोरिदम FIPS मोडमध्ये समर्थित आहेत. सिमेट्रिक पद्धती एन्क्रिप्शन आणि डिक्रिप्शनसाठी समान की वापरतात, तर असममित पद्धती एनक्रिप्शन आणि डिक्रिप्शनसाठी भिन्न की वापरतात.
AES
प्रगत एन्क्रिप्शन मानक (AES), FIPS PUB 197 मध्ये परिभाषित केले आहे. AES अल्गोरिदम 128 बिट्सच्या ब्लॉक्समध्ये डेटा एन्क्रिप्ट आणि डिक्रिप्ट करण्यासाठी 192, 256 किंवा 128 बिट्सच्या की वापरतो.
ECDH
लंबवर्तुळाकार वक्र डिफी-हेलमन. डिफी-हेलमन की एक्सचेंज अल्गोरिदमचा एक प्रकार जो मर्यादित फील्डवर लंबवर्तुळाकार वक्रांच्या बीजगणित रचनेवर आधारित क्रिप्टोग्राफी वापरतो. ECDH दोन पक्षांना अनुमती देते, प्रत्येकाकडे लंबवर्तुळाकार वक्र सार्वजनिक-खाजगी की जोडी आहे, असुरक्षित चॅनेलवर सामायिक रहस्य स्थापित करू शकते. सामायिक केलेले रहस्य एकतर की म्हणून वापरले जाऊ शकते किंवा सममितीय की सायफर वापरून त्यानंतरचे संप्रेषण कूटबद्ध करण्यासाठी दुसरी की मिळवता येते.
ECDSA
लंबवर्तुळ वक्र डिजिटल स्वाक्षरी अल्गोरिदम. डिजिटल सिग्नेचर अल्गोरिदम (DSA) चा एक प्रकार जो मर्यादित फील्डवर लंबवर्तुळाकार वक्रांच्या बीजगणित रचनेवर आधारित क्रिप्टोग्राफी वापरतो. लंबवर्तुळाकार वक्रचा बिट आकार कळ डिक्रिप्ट करण्यात अडचण निश्चित करतो. ECDSA साठी आवश्यक असलेली सार्वजनिक की सुरक्षा पातळीच्या आकारापेक्षा दुप्पट आहे, बिट्समध्ये. P-256, P-384, आणि P-521 वक्र वापरून ECDSA OpenSSH अंतर्गत कॉन्फिगर केले जाऊ शकते.
HMAC
RFC 2104 मध्ये "मेसेज ऑथेंटिकेशनसाठी कीड-हॅशिंग" म्हणून परिभाषित, HMAC संदेश प्रमाणीकरणासाठी क्रिप्टोग्राफिक कीसह हॅशिंग अल्गोरिदम एकत्र करते. FIPS मोडमधील Junos OS साठी, HMAC गुप्त कीसह पुनरावृत्ती केलेल्या क्रिप्टोग्राफिक हॅश फंक्शन्स SHA-1, SHA-256, आणि SHA-512 वापरते.
SHA-256 आणि SHA-512
FIPS PUB 2-180 मध्ये परिभाषित केलेल्या SHA-2 मानकाशी संबंधित सुरक्षित हॅश अल्गोरिदम (SHA). NIST द्वारे विकसित, SHA-256 256-बिट हॅश डायजेस्ट तयार करते आणि SHA-512 512-बिट हॅश डायजेस्ट तयार करते.
संबंधित दस्तऐवजीकरण
FIPS स्व-चाचण्या समजून घेणे | ७३
FIPS मोडसाठी सिस्टम डेटा साफ करण्यासाठी शून्यीकरण समजून घेणे | २५
सुरक्षित उत्पादन वितरण ओळखणे
डिलिव्हरी प्रक्रियेमध्ये ग्राहकाला एखादे उत्पादन प्राप्त झाले आहे याची खात्री करण्यासाठी अनेक यंत्रणा प्रदान केल्या आहेतampसह ered. प्लॅटफॉर्मची अखंडता सत्यापित करण्यासाठी ग्राहकाने डिव्हाइस मिळाल्यावर खालील तपासण्या केल्या पाहिजेत.

शिपिंग लेबल-शिपिंग लेबल योग्य ग्राहकाचे नाव आणि पत्ता तसेच डिव्हाइस ओळखत असल्याची खात्री करा.

बाहेरील पॅकेजिंग - बाहेरील शिपिंग बॉक्स आणि टेपची तपासणी करा. शिपिंग टेप कापला गेला नाही किंवा अन्यथा तडजोड केली गेली नाही याची खात्री करा. डिव्हाइसमध्ये प्रवेश करण्यासाठी बॉक्स कट किंवा खराब झाला नसल्याची खात्री करा.
पॅकेजिंगच्या आत - प्लास्टिक पिशवी आणि सील तपासा. पिशवी कापली किंवा काढली जाणार नाही याची खात्री करा. सील अखंड राहील याची खात्री करा.

तपासणी दरम्यान ग्राहकाला समस्या आढळल्यास, त्याने त्वरित पुरवठादाराशी संपर्क साधावा. पुरवठादारास ऑर्डर क्रमांक, ट्रॅकिंग क्रमांक आणि ओळखलेल्या समस्येचे वर्णन प्रदान करा.
याव्यतिरिक्त, ग्राहकाला जुनिपर नेटवर्क्सने पाठवलेला बॉक्स प्राप्त झाला आहे आणि जुनिपर नेटवर्क्स म्हणून मुखवटा घातलेल्या वेगळ्या कंपनीने नाही याची खात्री करण्यासाठी अनेक तपासण्या केल्या जाऊ शकतात. डिव्हाइसची सत्यता पडताळण्यासाठी ग्राहकाने डिव्हाइस मिळाल्यावर खालील तपासण्या केल्या पाहिजेत:

खरेदी ऑर्डर वापरून डिव्हाइस ऑर्डर केले होते याची पडताळणी करा. जुनिपर नेटवर्क उपकरणे खरेदी ऑर्डरशिवाय कधीही पाठवली जात नाहीत.

जेव्हा एखादे उपकरण पाठवले जाते, तेव्हा ऑर्डर घेतल्यावर ग्राहकाने दिलेल्या ई-मेल पत्त्यावर शिपमेंट सूचना पाठविली जाते. ही ई-मेल सूचना प्राप्त झाल्याचे सत्यापित करा. ईमेलमध्ये खालील माहिती असल्याचे सत्यापित करा:
खरेदी ऑर्डर क्रमांक

ज्युनिपर नेटवर्क ऑर्डर क्रमांक शिपमेंटचा मागोवा घेण्यासाठी वापरला जातो
शिपमेंटचा मागोवा घेण्यासाठी वाहक ट्रॅकिंग क्रमांक वापरला जातो
अनुक्रमांकांसह पाठवलेल्या वस्तूंची यादी
पुरवठादार आणि ग्राहक या दोघांचा पत्ता आणि संपर्क
ज्युनिपर नेटवर्क्सने शिपमेंट सुरू केल्याचे सत्यापित करा. ज्युनिपर नेटवर्क्सने शिपमेंट सुरू केले आहे हे सत्यापित करण्यासाठी, तुम्ही खालील कार्ये करावीत:
ज्युनिपर नेटवर्क्स शिपिंग नोटिफिकेशनमध्ये सूचीबद्ध केलेल्या ज्युनिपर नेटवर्क ऑर्डर क्रमांकाच्या कॅरियर ट्रॅकिंग क्रमांकाची प्राप्त झालेल्या पॅकेजवरील ट्रॅकिंग क्रमांकाशी तुलना करा.
येथे जुनिपर नेटवर्क ऑनलाइन ग्राहक समर्थन पोर्टलवर लॉग इन करा https://support.juniper.net/support/ ते view ऑर्डरची स्थिती. वाहक ट्रॅकिंग नंबर किंवा ज्युनिपर नेटवर्क्स शिपमेंट नोटिफिकेशनमध्ये सूचीबद्ध केलेल्या ज्युनिपर नेटवर्क ऑर्डर क्रमांकाची प्राप्त झालेल्या पॅकेजवरील ट्रॅकिंग क्रमांकाशी तुलना करा.

व्यवस्थापन इंटरफेस समजून घेणे
खालील व्यवस्थापन इंटरफेस मूल्यमापन केलेल्या कॉन्फिगरेशनमध्ये वापरले जाऊ शकतात:

स्थानिक व्यवस्थापन इंटरफेसेस—डिव्हाइसवरील RJ-45 कन्सोल पोर्ट RS-232 डेटा टर्मिनल उपकरण (DTE) म्हणून कॉन्फिगर केले आहे. टर्मिनलवरून डिव्हाइस कॉन्फिगर करण्यासाठी तुम्ही या पोर्टवर कमांड-लाइन इंटरफेस (CLI) वापरू शकता.
रिमोट मॅनेजमेंट प्रोटोकॉल-डिव्हाइस कोणत्याही इथरनेट इंटरफेसवर दूरस्थपणे व्यवस्थापित केले जाऊ शकते. SSHv2 हा एकमेव परवानगी असलेला रिमोट मॅनेजमेंट प्रोटोकॉल आहे जो मूल्यमापन केलेल्या कॉन्फिगरेशनमध्ये वापरला जाऊ शकतो. रिमोट मॅनेजमेंट प्रोटोकॉल J-Web आणि टेलनेट डिव्हाइसवर वापरण्यासाठी उपलब्ध नाहीत.

प्रशासकीय क्रेडेन्शियल्स आणि विशेषाधिकार कॉन्फिगर करणे

अधिकृत प्रशासकासाठी संबद्ध पासवर्ड नियम समजून घेणे
अधिकृत प्रशासक परिभाषित लॉगिन वर्गाशी संबंधित आहे, आणि प्रशासकास सर्व परवानग्या नियुक्त केल्या आहेत. निश्चित पासवर्ड प्रमाणीकरणासाठी डेटा स्थानिक पातळीवर संग्रहित केला जातो.
टीप: पासवर्डमध्ये कंट्रोल कॅरेक्टर वापरू नका.
पासवर्डसाठी आणि अधिकृत प्रशासक खात्यांसाठी पासवर्ड निवडताना खालील मार्गदर्शक तत्त्वे आणि कॉन्फिगरेशन पर्याय वापरा. पासवर्ड असावेत:

लक्षात ठेवण्यास सोपे जेणेकरून वापरकर्त्यांना ते लिहिण्याचा मोह होणार नाही.
वेळोवेळी बदलले.
खाजगी आणि कोणाशीही शेअर केलेले नाही.
किमान 10 वर्णांचा समावेश आहे. किमान पासवर्ड लांबी 10 वर्ण आहे.
[ संपादन ] administrator@host# सिस्टम लॉगिन पासवर्ड किमान-लांबी 10 सेट करा
अप्पर आणि लोअरकेस अक्षरे, संख्या आणि विशेष वर्ण जसे की, “!”, “@”, “#”, “$”, “%”, “^”, “ यांच्या संयोगाने बनलेले अल्फान्यूमेरिक आणि विरामचिन्हे दोन्ही वर्ण समाविष्ट करा. &”, “*”, “(“, आणि “)”.
एक केस, एक किंवा अधिक अंक आणि एक किंवा अधिक विरामचिन्हे मध्ये किमान बदल असावा.
वर्ण संच समाविष्ट करा. वैध वर्ण संचामध्ये अप्परकेस अक्षरे, लोअरकेस अक्षरे, संख्या, विरामचिन्हे आणि इतर विशेष वर्ण समाविष्ट आहेत.
[ संपादित करा ] administrator@host# सेट करा सिस्टम लॉगिन पासवर्ड बदल-प्रकार वर्ण-सेट्स

वर्ण संच किंवा वर्ण संच बदलांची किमान संख्या समाविष्ट करा. जुनोस FIPS मधील प्लेन-टेक्स्ट पासवर्डमध्ये आवश्यक अक्षर संचांची किमान संख्या 3 आहे.
[ संपादन ] administrator@host# सिस्टम लॉगिन पासवर्ड सेट करा किमान-बदल ३
वापरकर्ता पासवर्डसाठी हॅशिंग अल्गोरिदम एकतर SHA256 किंवा SHA512 असू शकते (SHA512 हे डीफॉल्ट हॅशिंग अल्गोरिदम आहे).
[ संपादन ] administrator@host# सेट करा सिस्टम लॉगिन पासवर्ड फॉरमॅट sha512
टीप: उपकरण ECDSA (P-256, P-384, आणि P-521) आणि RSA (2048, 3072, आणि 4092 मॉड्यूलस बिट लांबी) की-प्रकारांना समर्थन देते.
कमकुवत संकेतशब्द आहेत:
असे शब्द जे सिस्टीममध्ये परम्युटेड फॉर्ममध्ये सापडतील किंवा अस्तित्वात असतील file जसे की /etc/passwd.

प्रणालीचे यजमाननाव (नेहमी प्रथम अंदाज).
शब्दकोशात दिसणारे कोणतेही शब्द. यामध्ये इंग्रजी व्यतिरिक्त इतर शब्दकोषांचा समावेश आहे आणि शेक्सपियर, लुईस कॅरोल, रॉगेट्स थिसॉरस इत्यादी कामांमध्ये आढळणारे शब्द आहेत. या प्रतिबंधामध्ये खेळ, म्हणी, चित्रपट आणि टेलिव्हिजन शोमधील सामान्य शब्द आणि वाक्ये समाविष्ट आहेत.
वरीलपैकी कोणत्याही वर क्रमपरिवर्तन. उदाample, अंकांनी बदललेला स्वर असलेला शब्दकोश शब्द (उदाample f00t) किंवा शेवटी जोडलेल्या अंकांसह.

कोणतेही मशीन व्युत्पन्न पासवर्ड. अल्गोरिदम पासवर्ड-अंदाज प्रोग्रामची शोध जागा कमी करतात आणि म्हणून वापरले जाऊ नये.
सशक्त पुन्हा वापरता येण्याजोगे संकेतशब्द हे आवडत्या वाक्यांश किंवा शब्दाच्या अक्षरांवर आधारित असू शकतात आणि नंतर अतिरिक्त अंक आणि विरामचिन्हांसह इतर, असंबंधित शब्दांसह एकत्रित केले जाऊ शकतात.

संबंधित दस्तऐवजीकरण
सुरक्षित उत्पादन वितरण ओळखणे | ७

भूमिका आणि प्रमाणीकरण पद्धती कॉन्फिगर करणे

जुनोस OS साठी भूमिका आणि सेवा समजून घेणे
या विभागात
क्रिप्टो ऑफिसरची भूमिका आणि जबाबदाऱ्या | १५
FIPS वापरकर्ता भूमिका आणि जबाबदाऱ्या | १५
सर्व FIPS वापरकर्त्यांकडून काय अपेक्षित आहे | 16
सुरक्षा प्रशासक परिभाषित लॉगिन वर्ग सुरक्षा-प्रशासकाशी संबंधित आहे, ज्यात जुनोस OS व्यवस्थापित करण्यासाठी आवश्यक सर्व कार्ये करण्यासाठी प्रशासकास परवानगी देण्यासाठी आवश्यक परवानगी सेट आहे. प्रशासकीय वापरकर्त्यांनी (सुरक्षा प्रशासक) सिस्टमला कोणताही प्रशासकीय प्रवेश मंजूर करण्यापूर्वी अद्वितीय ओळख आणि प्रमाणीकरण डेटा प्रदान करणे आवश्यक आहे.
सुरक्षा प्रशासकाच्या भूमिका आणि जबाबदाऱ्या खालीलप्रमाणे आहेत:

सुरक्षा प्रशासक स्थानिक आणि दूरस्थपणे प्रशासित करू शकतो.
प्रमाणीकरण अपयश पॅरामीटर्सच्या कॉन्फिगरेशनसह प्रशासक खाती तयार करा, सुधारित करा, हटवा.
प्रशासक खाते पुन्हा-सक्षम करा.

मूल्यमापन केलेल्या उत्पादनाशी आणि सुरक्षित कनेक्शनच्या स्थापनेशी संबंधित क्रिप्टोग्राफिक घटकांच्या कॉन्फिगरेशन आणि देखभालसाठी जबाबदार.

ज्युनिपर नेटवर्क्स जुनोस ऑपरेटिंग सिस्टम (जुनोस OS) नॉन-FIPS मोडमध्ये चालणारी वापरकर्त्यांसाठी क्षमतांच्या विस्तृत श्रेणीला अनुमती देते आणि प्रमाणीकरण ओळख-आधारित आहे. याउलट, FIPS 140-2 मानक दोन वापरकर्ता भूमिका परिभाषित करते: क्रिप्टो ऑफिसर आणि FIPS वापरकर्ता. या भूमिका Junos OS वापरकर्ता क्षमतांच्या दृष्टीने परिभाषित केल्या आहेत.
FIPS मोडमध्ये जुनोस OS साठी परिभाषित केलेले इतर सर्व वापरकर्ता प्रकार (ऑपरेटर, प्रशासकीय वापरकर्ता आणि असेच) दोन श्रेणींपैकी एकामध्ये येणे आवश्यक आहे: क्रिप्टो ऑफिसर किंवा FIPS वापरकर्ता. या कारणास्तव, FIPS मोडमधील वापरकर्ता प्रमाणीकरण ओळख-आधारित ऐवजी भूमिका-आधारित आहे.
क्रिप्टो ऑफिसर सर्व FIPS-मोड-संबंधित कॉन्फिगरेशन कार्ये करतो आणि FIPS मोडमध्ये जुनोस OS साठी सर्व विधाने आणि आदेश जारी करतो. क्रिप्टो ऑफिसर आणि FIPS वापरकर्ता कॉन्फिगरेशनने FIPS मोडमध्ये Junos OS साठी मार्गदर्शक तत्त्वांचे पालन केले पाहिजे.
क्रिप्टो ऑफिसरची भूमिका आणि जबाबदाऱ्या
क्रिप्टो ऑफिसर ही डिव्हाइसवर FIPS मोडमध्ये जुनोस ओएस सक्षम, कॉन्फिगर, देखरेख आणि देखरेख करण्यासाठी जबाबदार व्यक्ती आहे. क्रिप्टो अधिकारी डिव्हाइसवर जुनोस ओएस सुरक्षितपणे स्थापित करतो, FIPS मोड सक्षम करतो, इतर वापरकर्त्यांसाठी आणि सॉफ्टवेअर मॉड्यूल्ससाठी की आणि पासवर्ड स्थापित करतो आणि नेटवर्क कनेक्शनपूर्वी डिव्हाइस सुरू करतो.
सर्वोत्कृष्ट पद्धत: आम्ही शिफारस करतो की क्रिप्टो अधिकाऱ्याने पासवर्ड सुरक्षित ठेवून आणि ऑडिट तपासून प्रणालीचे व्यवस्थापन सुरक्षित पद्धतीने करावे files.
क्रिप्टो ऑफिसरला इतर FIPS वापरकर्त्यांपासून वेगळे करणाऱ्या परवानग्या गुप्त, सुरक्षा, देखभाल आणि नियंत्रण आहेत. FIPS अनुपालनासाठी, क्रिप्टो ऑफिसरला लॉगिन वर्गासाठी नियुक्त करा ज्यामध्ये या सर्व परवानग्या आहेत. जुनोस OS देखभाल परवानगी असलेला वापरकर्ता वाचू शकतो files मध्ये गंभीर सुरक्षा मापदंड (CSPs) असतात.
टीप: FIPS मोडमधील जुनोस OS FIPS 140-2 देखभाल भूमिकेला समर्थन देत नाही, जे Junos OS देखभाल परवानगीपेक्षा वेगळे आहे.
FIPS मोडमध्ये जुनोस OS शी संबंधित कार्यांपैकी, क्रिप्टो अधिकाऱ्याने हे करणे अपेक्षित आहे:

प्रारंभिक रूट पासवर्ड सेट करा. पासवर्डची लांबी किमान 10 वर्ण असावी.

FIPS-मंजूर अल्गोरिदमसह वापरकर्ता संकेतशब्द रीसेट करा.
लॉग आणि ऑडिट तपासा files स्वारस्यपूर्ण कार्यक्रमांसाठी.
वापरकर्त्याने व्युत्पन्न केलेले पुसून टाका files, कळा आणि डेटा डिव्हाइस शून्य करून.

FIPS वापरकर्ता भूमिका आणि जबाबदाऱ्या
क्रिप्टो ऑफिसरसह सर्व FIPS वापरकर्ते करू शकतात view कॉन्फिगरेशन. केवळ क्रिप्टो ऑफिसर म्हणून नियुक्त केलेला वापरकर्ता कॉन्फिगरेशनमध्ये बदल करू शकतो.
क्रिप्टो ऑफिसर्सना इतर FIPS वापरकर्त्यांपासून वेगळे करणाऱ्या परवानग्या गुप्त, सुरक्षा, देखभाल आणि नियंत्रण आहेत. FIPS अनुपालनासाठी, FIPS वापरकर्त्याला यापैकी कोणतीही परवानगी नसलेल्या वर्गाला नियुक्त करा.
FIPS वापरकर्ता करू शकता view स्टेटस आउटपुट परंतु डिव्हाइस रीबूट किंवा शून्य करू शकत नाही.
सर्व FIPS वापरकर्त्यांकडून काय अपेक्षित आहे
क्रिप्टो ऑफिसरसह सर्व FIPS वापरकर्त्यांनी नेहमी सुरक्षा मार्गदर्शक तत्त्वे पाळली पाहिजेत.
सर्व FIPS वापरकर्त्यांनी हे करणे आवश्यक आहे:

सर्व पासवर्ड गोपनीय ठेवा.
डिव्हाइसेस आणि दस्तऐवजीकरण सुरक्षित ठिकाणी साठवा.

सुरक्षित भागात उपकरणे तैनात करा.
ऑडिट तपासा files वेळोवेळी.
इतर सर्व FIPS 140-2 सुरक्षा नियमांचे पालन करा.

या मार्गदर्शक तत्त्वांचे अनुसरण करा:
• वापरकर्ते विश्वसनीय आहेत.
• वापरकर्ते सर्व सुरक्षा मार्गदर्शक तत्त्वांचे पालन करतात.
• वापरकर्ते जाणूनबुजून सुरक्षिततेशी तडजोड करत नाहीत
• वापरकर्ते नेहमीच जबाबदारीने वागतात.

संबंधित दस्तऐवजीकरण
FIPS मोडमध्ये जुनिपर नेटवर्क्स जुनिपर नेटवर्क्स ऑपरेटिंग सिस्टम (जुनोस ओएस) चालवणारे एक जुनिपर नेटवर्क डिव्हाइस एक विशेष प्रकारचे हार्डवेअर आणि सॉफ्टवेअर ऑपरेशनल वातावरण तयार करते जे नॉन-FIPS मोडमधील डिव्हाइसच्या वातावरणापेक्षा वेगळे असते:

FIPS मोडमध्ये जुनोस OS साठी हार्डवेअर पर्यावरण
FIPS मोडमधील जुनोस ओएस डिव्हाइसमध्ये क्रिप्टोग्राफिक सीमा स्थापित करते जी साधा मजकूर वापरून कोणतेही गंभीर सुरक्षा पॅरामीटर्स (CSPs) ओलांडू शकत नाहीत. डिव्हाइसचा प्रत्येक हार्डवेअर घटक ज्याला FIPS 140-2 अनुपालनासाठी क्रिप्टोग्राफिक सीमा आवश्यक असते ते वेगळे क्रिप्टोग्राफिक मॉड्यूल आहे. FIPS मोडमध्ये Junos OS मध्ये क्रिप्टोग्राफिक सीमांसह हार्डवेअरचे दोन प्रकार आहेत: एक प्रत्येक राउटिंग इंजिनसाठी आणि एक संपूर्ण चेसिससाठी ज्यामध्ये LC MPC7E-10G कार्ड समाविष्ट आहे. प्रत्येक घटक स्वतंत्र क्रिप्टोग्राफिक मॉड्यूल बनवतो. या सुरक्षित वातावरणांमधील CSP चा समावेश असलेले संप्रेषण एनक्रिप्शन वापरून घडले पाहिजे.
क्रिप्टोग्राफिक पद्धती भौतिक सुरक्षिततेसाठी पर्याय नाहीत. हार्डवेअर सुरक्षित भौतिक वातावरणात स्थित असणे आवश्यक आहे. सर्व प्रकारच्या वापरकर्त्यांनी की किंवा पासवर्ड उघड करू नये किंवा अनधिकृत कर्मचाऱ्यांना लिखित रेकॉर्ड किंवा नोट्स पाहण्याची परवानगी देऊ नये.
FIPS मोडमध्ये जुनोस OS साठी सॉफ्टवेअर वातावरण
FIPS मोडमध्ये जुनोस ओएस चालवणारे जुनिपर नेटवर्क उपकरण एक विशेष प्रकारचे न बदलता येण्याजोगे ऑपरेशनल वातावरण तयार करते. डिव्हाइसवर हे वातावरण साध्य करण्यासाठी, सिस्टम कोणत्याही बायनरीच्या अंमलबजावणीस प्रतिबंध करते file जो FIPS मोड वितरणामध्ये प्रमाणित जुनोस OS चा भाग नव्हता. जेव्हा एखादे उपकरण FIPS मोडमध्ये असते, तेव्हा ते फक्त Junos OS चालवू शकते.
क्रिप्टो ऑफिसरने डिव्हाइसवर FIPS मोड यशस्वीरित्या सक्षम केल्यानंतर FIPS मोड सॉफ्टवेअर वातावरणातील जुनोस OS स्थापित केले जाते. Junos OS प्रतिमा ज्यामध्ये FIPS मोड समाविष्ट आहे ती जुनिपर नेटवर्कवर उपलब्ध आहे webसाइट आणि कार्यरत डिव्हाइसवर स्थापित केले जाऊ शकते.
FIPS 140-2 अनुपालनासाठी, आम्ही शिफारस करतो की तुम्ही वापरकर्त्याने तयार केलेले सर्व हटवा fileFIPS मोड सक्षम करण्यापूर्वी डिव्हाइसचे शून्यीकरण करून s आणि डेटा.
FIPS लेव्हल 1 वर तुमचे डिव्हाइस ऑपरेट करण्यासाठी टी वापरणे आवश्यक आहेampचेसिसमध्ये राउटिंग इंजिन्स सील करण्यासाठी स्पष्ट लेबले.
FIPS मोड सक्षम केल्याने अनेक जुनोस OS प्रोटोकॉल आणि सेवा अक्षम होतात. विशेषतः, तुम्ही Junos OS मध्ये FIPS मोडमध्ये खालील सेवा कॉन्फिगर करू शकत नाही:

बोट
एफटीपी
rlogin

टेलनेट
tftp
xnm-स्पष्ट-मजकूर

या सेवा कॉन्फिगर करण्याचा प्रयत्न किंवा कॉन्फिगर केलेल्या या सेवांसह कॉन्फिगरेशन लोड केल्यामुळे कॉन्फिगरेशन सिंटॅक्स त्रुटी येते.
तुम्ही रिमोट ऍक्सेस सेवा म्हणून फक्त SSH वापरू शकता.
FIPS मोडमध्ये जुनोस OS वर श्रेणीसुधारित केल्यानंतर वापरकर्त्यांसाठी स्थापित केलेले सर्व संकेतशब्द FIPS मोड वैशिष्ट्यांमध्ये जुनोस OS शी सुसंगत असले पाहिजेत. संकेतशब्दांची लांबी 10 ते 20 वर्णांच्या दरम्यान असणे आवश्यक आहे आणि पाच परिभाषित वर्ण संचांपैकी किमान तीन वापरणे आवश्यक आहे (अपरकेस आणि लोअरकेस अक्षरे, अंक, विरामचिन्हे आणि कीबोर्ड वर्ण, जसे की % आणि &, इतर मध्ये समाविष्ट केलेले नाहीत चार श्रेणी).
या नियमांचे पालन न करणारे पासवर्ड कॉन्फिगर करण्याचा प्रयत्न केल्याने त्रुटी येते. समवयस्कांना प्रमाणीकृत करण्यासाठी वापरलेले सर्व संकेतशब्द आणि की किमान 10 वर्णांच्या लांबीच्या असणे आवश्यक आहे आणि काही प्रकरणांमध्ये लांबी डायजेस्ट आकाराशी जुळली पाहिजे.
टीप: जोपर्यंत क्रिप्टो अधिकारी स्थानिक कन्सोल कनेक्शनवरून कॉन्फिगरेशन पूर्ण करत नाही तोपर्यंत डिव्हाइसला नेटवर्कशी संलग्न करू नका.
कठोर अनुपालनासाठी, FIPS मोडमध्ये जुनोस OS मधील स्थानिक कन्सोलवर कोर आणि क्रॅश डंप माहिती तपासू नका कारण काही CSP साध्या मजकुरात दाखवले जाऊ शकतात.
गंभीर सुरक्षा पॅरामीटर्स
क्रिटिकल सिक्युरिटी पॅरामीटर्स (CSPs) ही क्रिप्टोग्राफिक की आणि पासवर्ड यांसारखी सुरक्षा-संबंधित माहिती आहे जी क्रिप्टोग्राफिक मॉड्यूलच्या सुरक्षिततेशी तडजोड करू शकते किंवा मॉड्यूलद्वारे संरक्षित केलेल्या माहितीच्या सुरक्षेशी तडजोड करू शकते जर ते उघड किंवा सुधारित केले गेले.
क्रिप्टोग्राफिक मॉड्यूल म्हणून डिव्हाइस किंवा राउटिंग इंजिन ऑपरेट करण्याच्या तयारीमध्ये सिस्टमचे शून्यीकरण CSP चे सर्व ट्रेस मिटवते.
पृष्ठ 3 वरील सारणी 19 Junos OS चालवणाऱ्या डिव्हाइसेसवरील CSP ला सूचीबद्ध करते.
तक्ता 3: गंभीर सुरक्षा मापदंड

CSP	वर्णन	शून्य करा	वापरा
SSHv2 खाजगी होस्ट की	ECDSA/RSA की होस्ट ओळखण्यासाठी वापरली जाते, पहिल्यांदा SSH कॉन्फिगर केल्यावर व्युत्पन्न केली जाते.	शून्य करा आदेश.	यजमान ओळखण्यासाठी वापरले जाते.
SSHv2 सत्र की	सत्र की SSHv2 सह आणि Diffie-Hellman खाजगी की म्हणून वापरली जाते. एनक्रिप्शन: AES-128, AES-192, AES-256. MACs: HMAC-SHA-1, HMAC- SHA-2-256, HMAC-SHA2-512. की एक्सचेंज: dh-group14-sha1, ECDH-sha2-nistp-256, ECDH-sha2-nistp-384, आणि ECDH-sha2-nistp-521.	पॉवर सायकल आणि सत्र समाप्त करा.	होस्ट आणि क्लायंट दरम्यान डेटा एन्क्रिप्ट करण्यासाठी सिमेट्रिक की वापरली जाते.
वापरकर्ता प्रमाणीकरण की	वापरकर्त्याचा पासवर्ड हॅश: SHA256, SHA512.	शून्य करा आदेश.	क्रिप्टोग्राफिक मॉड्यूलवर वापरकर्त्याचे प्रमाणीकरण करण्यासाठी वापरले जाते.
क्रिप्टो ऑफिसर ऑथेंटिकेशन की	क्रिप्टो ऑफिसरचा पासवर्ड हॅश: SHA256, SHA512.	शून्य करा आदेश.	क्रिप्टो ऑफिसरला क्रिप्टोग्राफिक मॉड्यूलला प्रमाणीकृत करण्यासाठी वापरले जाते.
HMAC DRBG बियाणे	निर्धारक रँडन बिट जनरेटर (DRBG) साठी बियाणे.	क्रिप्टोग्राफिक मॉड्यूलद्वारे बियाणे साठवले जात नाही.	DRBG पेरणीसाठी वापरले जाते.
HMAC DRBG V मूल्य	बिट्समधील आउटपुट ब्लॉक लांबी (आउटलेन) चे मूल्य (V), जे प्रत्येक वेळी आउटपुटचे दुसरे आउटलेन बिट्स तयार केल्यावर अपडेट केले जाते.	ऊर्जा चक्र.	DRBG च्या अंतर्गत स्थितीचे महत्त्वपूर्ण मूल्य.

CSP	वर्णन	शून्य करा	वापरा
HMAC DRBG की मूल्य	आउटलेन-बिट कीचे वर्तमान मूल्य, जे प्रत्येक वेळी DRBG यंत्रणा स्यूडोरँडम बिट्स व्युत्पन्न करतेवेळी किमान एकदा अपडेट केले जाते.	ऊर्जा चक्र.	DRBG च्या अंतर्गत स्थितीचे महत्त्वपूर्ण मूल्य.
NDRNG एन्ट्रॉपी	HMAC DRBG साठी एन्ट्रॉपी इनपुट स्ट्रिंग म्हणून वापरले जाते.	ऊर्जा चक्र.	DRBG च्या अंतर्गत स्थितीचे महत्त्वपूर्ण मूल्य.

Junos OS मध्ये FIPS मोडमध्ये, सर्व CSP ने क्रिप्टोग्राफिक मॉड्यूल एन्क्रिप्टेड स्वरूपात प्रविष्ट करणे आणि सोडणे आवश्यक आहे.
गैर-मंजूर अल्गोरिदमसह एनक्रिप्ट केलेला कोणताही CSP FIPS द्वारे साधा मजकूर मानला जातो.
सर्वोत्तम सराव: FIPS अनुपालनासाठी, एसएसएच कनेक्शनवर डिव्हाइस कॉन्फिगर करा कारण ते एनक्रिप्टेड कनेक्शन आहेत.
स्थानिक पासवर्ड SHA256 किंवा SHA512 अल्गोरिदमसह हॅश केले जातात. जुनोस OS मध्ये FIPS मोडमध्ये पासवर्ड पुनर्प्राप्ती शक्य नाही. FIPS मोडमधील Junos OS योग्य रूट पासवर्डशिवाय सिंगल-यूजर मोडमध्ये बूट करू शकत नाही.
FIPS मोडमध्ये जुनोस OS साठी पासवर्ड तपशील आणि मार्गदर्शक तत्त्वे समजून घेणे
क्रिप्टो ऑफिसरद्वारे वापरकर्त्यांसाठी स्थापित केलेले सर्व पासवर्ड FIPS मोड आवश्यकतांमध्ये खालील जुनोस OS नुसार असणे आवश्यक आहे. खालील वैशिष्ट्यांशी जुळणारे पासवर्ड कॉन्फिगर करण्याच्या प्रयत्नांमुळे त्रुटी येते.

लांबी. पासवर्डमध्ये 10 ते 20 वर्ण असणे आवश्यक आहे.

वर्ण संच आवश्यकता. पासवर्डमध्ये खालील पाच परिभाषित वर्ण संचांपैकी किमान तीन असणे आवश्यक आहे:
अप्परकेस अक्षरे
लहान लिपीतील अक्षर

अंक
विरामचिन्हे
कीबोर्ड वर्ण इतर चार संचांमध्ये समाविष्ट नाहीत—जसे की टक्के चिन्ह (%) आणि द ampersand (&)

प्रमाणीकरण आवश्यकता. समवयस्कांना प्रमाणीकृत करण्यासाठी वापरल्या जाणाऱ्या सर्व संकेतशब्द आणि की मध्ये किमान 10 वर्ण असणे आवश्यक आहे आणि काही प्रकरणांमध्ये वर्णांची संख्या डायजेस्ट आकाराशी जुळली पाहिजे.
पासवर्ड एन्क्रिप्शन. डीफॉल्ट एनक्रिप्शन पद्धत (SHA512) बदलण्यासाठी [सिस्टम लॉगिन पासवर्ड संपादित करा] पदानुक्रम स्तरावर फॉरमॅट स्टेटमेंट समाविष्ट करा.

मजबूत पासवर्डसाठी मार्गदर्शक तत्त्वे. मजबूत, पुन्हा वापरता येण्याजोगे पासवर्ड हे आवडत्या वाक्यांश किंवा शब्दातील अक्षरांवर आधारित असू शकतात आणि नंतर जोडलेले अंक आणि विरामचिन्हांसह इतर असंबंधित शब्दांसह जोडले जाऊ शकतात. सर्वसाधारणपणे, एक मजबूत पासवर्ड आहे:

लक्षात ठेवण्यास सोपे जेणेकरून वापरकर्त्यांना ते लिहिण्याचा मोह होणार नाही.
मिश्र अल्फान्यूमेरिक वर्ण आणि विरामचिन्हे बनलेले. FIPS अनुपालनासाठी केसचा किमान एक बदल, एक किंवा अधिक अंक आणि एक किंवा अधिक विरामचिन्हे समाविष्ट करा.
वेळोवेळी बदलले.

कुणाला सांगितली नाही.
कमकुवत पासवर्डची वैशिष्ट्ये. खालील कमकुवत पासवर्ड वापरू नका:
असे शब्द जे सिस्टीममध्ये परम्युटेड फॉर्ममध्ये सापडतील किंवा अस्तित्वात असतील fileजसे की /etc/passwd.
प्रणालीचे यजमाननाव (नेहमी प्रथम अंदाज).

इंग्रजी व्यतिरिक्त इतर भाषांमधील शब्दकोश आणि थिसॉरससह शब्दकोश किंवा इतर सुप्रसिद्ध स्त्रोतामध्ये दिसणारा कोणताही शब्द किंवा वाक्यांश; शास्त्रीय किंवा लोकप्रिय लेखकांची कामे; किंवा खेळ, म्हणी, चित्रपट किंवा टेलिव्हिजन शोमधील सामान्य शब्द आणि वाक्ये.
वरीलपैकी कोणत्याही वर क्रमपरिवर्तन - उदाample, अंकांसह (r00t) किंवा शेवटी जोडलेल्या अंकांसह अक्षरे असलेला शब्दकोश शब्द.
कोणताही मशीन व्युत्पन्न पासवर्ड. अल्गोरिदम पासवर्ड-अंदाज प्रोग्रामची शोध जागा कमी करतात आणि म्हणून वापरला जाऊ नये.

जुनिपर नेटवर्कवरून सॉफ्टवेअर पॅकेजेस डाउनलोड करत आहे
तुम्ही तुमच्या डिव्हाइससाठी जुनिपर नेटवर्कवरून जुनोस ओएस सॉफ्टवेअर पॅकेज डाउनलोड करू शकता webसाइट
तुम्ही सॉफ्टवेअर डाउनलोड करण्यास सुरुवात करण्यापूर्वी, तुमच्याकडे जुनिपर नेटवर्क असल्याची खात्री करा Web खाते आणि वैध समर्थन करार. खाते मिळविण्यासाठी, जुनिपर नेटवर्क्सवर नोंदणी फॉर्म पूर्ण करा webसाइट: https://userregistration.juniper.net/.
जुनिपर नेटवर्क्सवरून सॉफ्टवेअर पॅकेज डाउनलोड करण्यासाठी:

वापरून a Web ब्राउझर, डाउनलोड लिंकचे अनुसरण करा URL जुनिपर नेटवर्क्सवर webपृष्ठ https://support.juniper.net/support/downloads/
जुनिपर नेटवर्क्सच्या प्रतिनिधींद्वारे प्रदान केलेले वापरकर्तानाव (सामान्यत: तुमचा ई-मेल पत्ता) आणि पासवर्ड वापरून जुनिपर नेटवर्क प्रमाणीकरण प्रणालीमध्ये लॉग इन करा.

सॉफ्टवेअर डाउनलोड करा. पहा सॉफ्टवेअर डाउनलोड करत आहे.

संबंधित दस्तऐवजीकरण
स्थापना आणि अपग्रेड मार्गदर्शक
सिंगल रूटिंग इंजिनसह डिव्हाइसवर सॉफ्टवेअर स्थापित करणे
तुम्ही या प्रक्रियेचा वापर एका राउटिंग इंजिनसह डिव्हाइसवर जुनोस OS अपग्रेड करण्यासाठी करू शकता.
एका राउटिंग इंजिनसह डिव्हाइसवर सॉफ्टवेअर अपग्रेड स्थापित करण्यासाठी:

मध्ये वर्णन केल्याप्रमाणे सॉफ्टवेअर पॅकेज डाउनलोड करा जुनिपर नेटवर्कवरून सॉफ्टवेअर पॅकेजेस डाउनलोड करत आहे.

तुम्ही आधीच असे केले नसेल, तर तुमच्या व्यवस्थापन डिव्हाइसवरून डिव्हाइसवरील कन्सोल पोर्टशी कनेक्ट करा आणि Junos OS CLI मध्ये लॉग इन करा.
(पर्यायी) सध्याच्या सॉफ्टवेअर कॉन्फिगरेशनचा दुसऱ्या स्टोरेज पर्यायावर बॅकअप घ्या. पहा सॉफ्टवेअर इन्स्टॉलेशन आणि अपग्रेड गाइड हे कार्य करण्याच्या सूचनांसाठी.
(पर्यायी) सॉफ्टवेअर पॅकेज डिव्हाइसवर कॉपी करा. आम्ही शिफारस करतो की तुम्ही कॉपी करण्यासाठी FTP वापरा file /var/tmp/ निर्देशिकेत.
ही पायरी ऐच्छिक आहे कारण जुनोस OS देखील अपग्रेड केले जाऊ शकते जेव्हा सॉफ्टवेअर प्रतिमा दूरस्थ स्थानावर संग्रहित केली जाते. या सूचना दोन्ही परिस्थितींसाठी सॉफ्टवेअर अपग्रेड प्रक्रियेचे वर्णन करतात.

डिव्हाइसवर नवीन पॅकेज स्थापित करा: REMX2K-X8 साठी: user@host> विनंती vmhost सॉफ्टवेअर जोडण्यासाठी
RE1800 साठी: user@host> सिस्टम सॉफ्टवेअर जोडण्याची विनंती करा
खालीलपैकी एका मार्गाने पॅकेज पुनर्स्थित करा:
• डिव्हाइसवरील स्थानिक निर्देशिकेतील सॉफ्टवेअर पॅकेजसाठी, /var/tmp/package.tgz वापरा.
• रिमोट सर्व्हरवरील सॉफ्टवेअर पॅकेजसाठी, सॉफ्टवेअर पॅकेज नावासह व्हेरिएबल पर्याय पॅकेज बदलून, खालीलपैकी एक मार्ग वापरा.
• ftp://hostname/pathname/package.tgz
• ftp://hostname/pathname/package.tgz
इंस्टॉलेशन लोड करण्यासाठी डिव्हाइस रीबूट करा:
REMX2K-X8 साठी:
user@host> विनंती vmhost रीबूट करा
RE1800 साठी:
user@host> सिस्टम रीबूटची विनंती करा
रीबूट पूर्ण झाल्यानंतर, लॉग इन करा आणि सॉफ्टवेअरची नवीन आवृत्ती यशस्वीरित्या स्थापित झाली आहे हे सत्यापित करण्यासाठी show version कमांड वापरा.
user@host> आवृत्ती दाखवा
मॉडेल: mx960
जुनोस: 20.3X75-D30.1
JUNOS OS कर्नल 64-बिट [20210722.b0da34e0_builder_stable_11-204ab] JUNOS OS libs [20210722.b0da34e0_builder_stable_11-204ab] JUNOS OS रनटाइम [20210722_0_34b. ab] JUNOS OS टाइम झोन माहिती [0.b11da204e20210722_builder_stable_0-34ab] JUNOS नेटवर्क स्टॅक आणि उपयुक्तता [0_builder_junos_11_x204_d20210812.200100] JUNOS libs [203_builder_junos_75_x30_d20210812.200100] JUNOS OS libs compat203 [75_d30st. OS 32-बिट सुसंगतता [20210722.b0da34e0_builder_stable_11-204ab] JUNOS libs compat32 [20210722_builder_junos_0_x34_d0] JUNOS रनटाइम [11_204_32_20210812.200100_builder d203] JUNOS sflow mx [75_builder_junos_30_x20210812.200100_d203] JUNOS py एक्स्टेंशन्स75 [30_builder_junos_20210812.200100_x203_d75] JUNOS py विस्तार [30_junos_2_20210812.200100. ] JUNOS py base203 [75_builder_junos_30_x20210812.200100_d203] JUNOS py बेस [75_builder_junos_30_x2_d20210812.200100] JUNOS OS crypto_203_75_30 20210812.200100ab] JUNOS OS बूट-ve files [20210722.b0da34e0_builder_stable_11-204ab] JUNOS आणि टेलीमेट्री [20.3X75-D30.1] JUNOS सुरक्षा बुद्धिमत्ता [20210812.200100_builder_junos_203_x75_30_32m 20210812.200100_builder_junos_203_x75_d30] JUNOS mx रनटाइम [20210812.200100_builder_junos_203_x75_d30] JUNOS RPD टेलिमेट्री ऍप्लिकेशन [20.3X75-D30.1 .20210812.200100] रेडिस [203_builder_junos_75_x30_d20210812.200100] JUNOS प्रोब युटिलिटी [203_builder_junos_75_x30_d20210812.200100] JUNOS कॉमन प्लॅटफॉर्म सपोर्ट d203] JUNOS Openconfig [75X30-D20.3] JUNOS mtx नेटवर्क मॉड्यूल्स [75_builder_junos_30.1_x20210812.200100_d203] JUNOS मॉड्यूल्स [75_JUNOS_builder] JUNOS_30_20210812.200100_d203. [75_builder_junos_30_x20210812.200100_d203] JUNOS mx libs [75_builder_junos_30_x20210812.200100_d203] JUNOS SQL सिंक डेमॉन [75_30_20210812.200100x203_75_builder_junos_30_x20210812.200100_d203] JUNOS SQL सिंक डेमन ] JUNOS mtx डेटा प्लेन क्रिप्टो सपोर्ट [75_builder_junos_30_x20210812.200100_d203] JUNOS deemons [75_builder_junos_30_x20210812.200100_d203_75_x30_d20210812.200100_builder junos_203_x75_d30] JUNOS appidd-mx ऍप्लिकेशन-आयडेंटिफिकेशन डिमन [XNUMX_builder_junos_XNUMX_xXNUMX_dXNUMX] JUNOS सेवा URL फिल्टर पॅकेज [20210812.200100_builder_junos_203_x75_d30] JUNOS सेवा TLB सेवा PIC पॅकेज [20210812.200100_builder_junos_203_x75_d30] JUNOS Services Telemet20210812.200100_203_builder _x75_d30] JUNOS सेवा TCP-LOG [20210812.200100_builder_junos_203_x75_d30] JUNOS सेवा SSL [20210812.200100_builder_junos_203_x75_d30 सेवा builder_junos_20210812.200100_x203_d75] JUNOS सेवा स्टेटफुल फायरवॉल [30_builder_junos_20210812.200100_x203_d75] JUNOS सेवा RTCOM [30_builder_junos_20210812.200100_x203_d75] JUNOS सेवा RPM [30_junos_20210812.200100d_203_75 जून JUNOS सेवा PCEF पॅकेज [30_builder_junos_20210812.200100_x203_d75] JUNOS सेवा NAT [30_builder_junos_20210812.200100_x203_d75] JUNOS सेवांमध्ये मोबाइल सदस्य असलेले पॅकेज
[20210812.200100_builder_junos_203_x75_d30] JUNOS सेवा मोबाइलनेक्स्ट सॉफ्टवेअर पॅकेज [20210812.200100_builder_junos_203_x75_d30] JUNOS सेवा लॉगिंग पॅकेज 20210812.200100_x203_d75] JUNOS सर्व्हिसेस LL-PDF कंटेनर पॅकेज [30_builder_junos_20210812.200100_x203_d75] JUNOS सेवा Jflow कंटेनर पॅकेज [30_builder_20210812.200100c JUNOS packages 203_builder_junos_75_x30_d20210812.200100] JUNOS सेवा IPSec [203_builder_junos_75_x30_d20210812.200100] JUNOS सेवा आयडीएस [203_junos_75_30_20210812.200100 जून UNOS IDP सेवा [203_builder_junos_75_x30_d20210812.200100] JUNOS सेवा HTTP सामग्री व्यवस्थापन पॅकेज [203_builder_junos_75_x30_d20210812.200100] JUNOS सेवा _x203_d75] JUNOS सेवा कॅप्टिव्ह पोर्टल आणि सामग्री वितरण कंटेनर पॅकेज
[20210812.200100_builder_junos_203_x75_d30] JUNOS सेवा COS [20210812.200100_builder_junos_203_x75_d30] JUNOS AppId सेवा [20210812.200100 JUNOS_builder_203_75_30 जून UNOS सेवा ऍप्लिकेशन लेव्हल गेटवे [20210812.200100_builder_junos_203_x75_d30] JUNOS सर्व्हिसेस AACL कंटेनर पॅकेज [20210812.200100_builder_junos_203_x75_d30 सुइट. ilder_junos_20210812.200100_x203_d75] JUNOS एक्स्टेंशन टूलकिट [30_builder_junos_20210812.200100_x203_d75 ] JUNOS पॅकेट फॉरवर्डिंग इंजिन सपोर्ट (wrlinux30) [9_builder_junos_20210812.200100_x203_d75] JUNOS पॅकेट फॉरवर्डिंग इंजिन सपोर्ट (ulc) [30_builder इंजिन सपोर्ट (MXSPC20210812.200100) [203X75-D30] JUNOS पॅकेट फॉरवर्डिंग इंजिन सपोर्ट (X3) [ 20.3_builder_junos_75_x30.1_d2000] JUNOS पॅकेट फॉरवर्डिंग इंजिन FIPS समर्थन [20210812.200100X203-D75] JUNOS पॅकेट फॉरवर्डिंग इंजिन सपोर्ट (M/T सामान्य)
[20210812.200100_builder_junos_203_x75_d30] JUNOS पॅकेट फॉरवर्डिंग इंजिन सपोर्ट (अगदी)

FIPS मोडसाठी सिस्टम डेटा साफ करण्यासाठी शून्यीकरण समजून घेणे
या विभागात
शून्य का? | २६
शून्य कधी करायचे? | २६
शून्यीकरण राउटिंग इंजिनवरील सर्व कॉन्फिगरेशन माहिती पूर्णपणे मिटवते, ज्यामध्ये सर्व प्लेनटेक्स्ट पासवर्ड, सिक्रेट्स आणि SSH, स्थानिक एनक्रिप्शन, स्थानिक प्रमाणीकरण आणि IPsec साठी खाजगी की समाविष्ट आहेत.
क्रिप्टो ऑफिसर REMX2K-X8 साठी ऑपरेशनल कमांड विनंती vmhost zeroize no-forwarding आणि RE1800 साठी सिस्टम zeroize विनंती प्रविष्ट करून शून्यीकरण प्रक्रिया सुरू करतो.
खबरदारी: काळजीपूर्वक सिस्टम शून्यीकरण करा. शून्यीकरण प्रक्रिया पूर्ण झाल्यानंतर, रूटिंग इंजिनवर कोणताही डेटा शिल्लक राहत नाही. कोणत्याही कॉन्फिगर केलेल्या वापरकर्त्यांशिवाय किंवा कॉन्फिगरेशनशिवाय डिव्हाइस फॅक्टरी डीफॉल्ट स्थितीत परत केले जाते files.
शून्यीकरण वेळ घेणारे असू शकते. जरी सर्व कॉन्फिगरेशन काही सेकंदात काढून टाकले गेले असले तरी, शून्यीकरण प्रक्रिया सर्व मीडिया ओव्हरराइट करते, ज्याला मीडियाच्या आकारानुसार बराच वेळ लागू शकतो.
शून्य का?
तुमचे डिव्हाइस वैध FIPS क्रिप्टोग्राफिक मॉड्यूल मानले जात नाही जोपर्यंत सर्व गंभीर सुरक्षा पॅरामीटर्स (CSPs) एंटर केले जात नाहीत—किंवा पुन्हा एंटर केले जातात—जेव्हा डिव्हाइस FIPS मोडमध्ये असते.
FIPS 140-2 अनुपालनासाठी, तुम्ही डिव्हाइसवर FIPS मोड अक्षम करण्यापूर्वी संवेदनशील माहिती काढून टाकण्यासाठी सिस्टम शून्य करणे आवश्यक आहे.
शून्य कधी करायचे?
क्रिप्टो अधिकारी म्हणून, खालील परिस्थितींमध्ये शून्यीकरण करा:

ऑपरेशनचा FIPS मोड सक्षम करण्यापूर्वी: FIPS क्रिप्टोग्राफिक मॉड्यूल म्हणून ऑपरेशनसाठी तुमचे डिव्हाइस तयार करण्यासाठी, FIPS मोड सक्षम करण्यापूर्वी शून्यीकरण करा.
ऑपरेशनचा FIPS मोड अक्षम करण्यापूर्वी: नॉन-FIPS ऑपरेशनसाठी तुमचे डिव्हाइस पुन्हा वापरणे सुरू करण्यासाठी, डिव्हाइसवर FIPS मोड अक्षम करण्यापूर्वी शून्यीकरण करा.
टीप: ज्युनिपर नेटवर्क्स FIPS वातावरणात नॉन-FIPS सॉफ्टवेअर स्थापित करण्यास समर्थन देत नाही, परंतु काही चाचणी वातावरणात असे करणे आवश्यक असू शकते. प्रथम प्रणाली शून्य करणे सुनिश्चित करा.

प्रणाली शून्य करणे
तुमचे डिव्हाइस शून्य करण्यासाठी, खालील प्रक्रियेचे अनुसरण करा:

क्रिप्टो ऑफिसर म्हणून डिव्हाइसवर लॉगिन करा आणि CLI वरून, खालील आदेश प्रविष्ट करा.
REMX2K-X8 साठी:
crypto-officer@host> विनंती vmhost zeroize no-forwarding VMHost Zeroization : कॉन्फिगरेशन आणि लॉगसह सर्व डेटा पुसून टाका files ? [होय, नाही] (नाही) होय
re0:
REMX2K-X8 साठी:
crypto-officer@host> विनंती प्रणाली शून्य करा
सिस्टम शून्यीकरण : कॉन्फिगरेशन आणि लॉगसह सर्व डेटा पुसून टाका files ?
[होय, नाही] (नाही) होय
re0:
शून्यीकरण प्रक्रिया सुरू करण्यासाठी, प्रॉम्प्टवर होय टाइप करा:
कॉन्फिगरेशन आणि लॉगसह सर्व डेटा मिटवा files? [होय, नाही] (नाही) होय कॉन्फिगरेशन आणि लॉगसह सर्व डेटा पुसून टाका files? [होय, नाही] (नाही) होय
re0: ———————– चेतावणी: शून्य करणे
re0 ……
मीडियाच्या आकारानुसार संपूर्ण ऑपरेशनला बराच वेळ लागू शकतो, परंतु सर्व गंभीर सुरक्षा पॅरामीटर्स (CSPs) काही सेकंदात काढून टाकले जातात. शून्यीकरण प्रक्रिया पूर्ण होईपर्यंत भौतिक वातावरण सुरक्षित राहिले पाहिजे.

FIPS मोड सक्षम करत आहे
जेव्हा जुनोस OS डिव्हाइसवर स्थापित केले जाते आणि डिव्हाइस चालू केले जाते, तेव्हा ते कॉन्फिगर करण्यासाठी तयार असते.
सुरुवातीला, तुम्ही पासवर्डशिवाय वापरकर्ता रूट म्हणून लॉग इन करता. जेव्हा तुम्ही रूट म्हणून लॉग इन करता, तेव्हा तुमचे SSH कनेक्शन डीफॉल्टनुसार सक्षम केले जाते.
क्रिप्टो ऑफिसर या नात्याने, तुम्ही पृष्ठ 20 वर "जुनोस OS साठी FIPS मोडमध्ये पासवर्ड तपशील आणि मार्गदर्शक तत्त्वे समजून घेणे" मधील FIPS पासवर्ड आवश्यकतांनुसार रूट पासवर्ड स्थापित करणे आवश्यक आहे. जेव्हा तुम्ही डिव्हाइसवर Junos OS मध्ये FIPS मोड सक्षम करता, तेव्हा तुम्ही पासवर्ड कॉन्फिगर करू शकत नाही. जोपर्यंत ते हे मानक पूर्ण करत नाहीत.
स्थानिक पासवर्ड सुरक्षित हॅश अल्गोरिदम SHA256 किंवा SHA512 सह एनक्रिप्ट केलेले आहेत. जुनोस OS मध्ये FIPS मोडमध्ये पासवर्ड पुनर्प्राप्ती शक्य नाही. FIPS मोडमधील Junos OS योग्य रूट पासवर्डशिवाय सिंगल-यूजर मोडमध्ये बूट करू शकत नाही.
डिव्हाइसवरील Junos OS मध्ये FIPS मोड सक्षम करण्यासाठी:

FIPS मोडमध्ये प्रवेश करण्यापूर्वी सर्व CSP हटवण्यासाठी डिव्हाइसला शून्य करा. तपशीलांसाठी पृष्ठ 25 वरील विभागातील “अंडरस्टँडिंग झिरोलायझेशन टू क्लियर सिस्टम डेटा फॉर FIPS मोड” पहा.
डिव्हाइस 'ॲम्नेसियाक मोड'मध्ये आल्यानंतर, वापरकर्तानाव रूट आणि पासवर्ड वापरून लॉग इन करा “” (रिक्त).
FreeBSD/amd64 (Amnesiac) (ttyu0) लॉगिन: रूट
— JUNOS 20.3X75-D30.1 कर्नल 64-बिट JNPR-11.0-20190701.269d466_buil root@:~ # cli root>

किमान 10 किंवा अधिक वर्ण पासवर्डसह रूट प्रमाणीकरण कॉन्फिगर करा.
रूट> संपादित करा कॉन्फिगरेशन मोडमध्ये प्रवेश करणे [संपादन] रूट# सेट सिस्टम रूट-ऑथेंटिकेशन प्लेन-टेक्स्ट-पासवर्ड
नवीन पासवर्ड:
नवीन पासवर्ड पुन्हा टाइप करा: रूट# कमिट पूर्ण
डिव्हाइसवर कॉन्फिगरेशन लोड करा आणि नवीन कॉन्फिगरेशन करा. क्रिप्टो-ऑफिसर कॉन्फिगर करा आणि क्रिप्टो-ऑफिसर क्रेडेन्शियल्ससह लॉग इन करा.
रूटिंग इंजिन KATS साठी आवश्यक असलेले फिप्स-मोड पॅकेज स्थापित करा.
root@hostname> सिस्टम सॉफ्टवेअरला पर्यायी जोडण्याची विनंती करा:://fips-mode.tgz
PackageDevelopmentEc_2017 पद्धती ECDSA256+SHA256 द्वारे सत्यापित फिप्स-मोड स्वाक्षरी केलेले

MX मालिका उपकरणांसाठी,
• सेट सिस्टम फिप्स चेसिस स्तर 1 आणि कमिट सेट करून चेसिस बाउंड्री फिप्स कॉन्फिगर करा.
• सेट सिस्टम फिप्स लेव्हल 1 आणि कमिट सेट करून RE सीमा फिप्स कॉन्फिगर करा.
लोड केलेल्या कॉन्फिगरेशनमधील जुने CSP हटवण्यासाठी FIPS कंप्लायंट हॅश चेतावणी वापरण्यासाठी एनक्रिप्टेड-पासवर्ड पुन्हा कॉन्फिगर करणे आवश्यक आहे हे डिव्हाइस प्रदर्शित करू शकते.
CSPs हटवल्यानंतर आणि पुन्हा कॉन्फिगर केल्यानंतर, कमिट पुढे जाईल आणि FIPS मोडमध्ये प्रवेश करण्यासाठी डिव्हाइसला रीबूट करणे आवश्यक आहे. crypto-officer@hostname# कमिट [संपादित करा]
RSA की /etc/ssh/fips_ssh_host_key व्युत्पन्न करत आहे
RSA2 की /etc/ssh/fips_ssh_host_rsa_key व्युत्पन्न करत आहे
ECDSA की /etc/ssh/fips_ssh_host_ecdsa_key व्युत्पन्न करत आहे
प्रणाली [संपादित करा]
FIPS स्तर 1 कमिट पूर्ण [संपादित करा] crypto-officer@hostname# रन विनंती vmhost रीबूटमध्ये संक्रमण करण्यासाठी रीबूट आवश्यक आहे
डिव्हाइस रीबूट केल्यानंतर, FIPS स्व-चाचण्या चालतील आणि डिव्हाइस FIPS मोडमध्ये प्रवेश करेल. crypto-officer@hostname: fips>

संबंधित दस्तऐवजीकरण
FIPS मोडमध्ये जुनोस OS साठी पासवर्ड तपशील आणि मार्गदर्शक तत्त्वे समजून घेणे | 20
क्रिप्टो ऑफिसर आणि FIPS वापरकर्ता ओळख आणि प्रवेश कॉन्फिगर करणे
या विभागात
क्रिप्टो ऑफिसर ऍक्सेस कॉन्फिगर करणे | 30
FIPS वापरकर्ता लॉगिन प्रवेश कॉन्फिगर करत आहे | 32
क्रिप्टो ऑफिसर तुमच्या डिव्हाइसवर FIPS मोड सक्षम करतो आणि FIPS मोडमध्ये जुनोस OS साठी सर्व कॉन्फिगरेशन कार्ये करतो आणि सर्व जुनोस OS ला FIPS मोड स्टेटमेंट आणि कमांड जारी करतो. क्रिप्टो ऑफिसर आणि FIPS वापरकर्ता कॉन्फिगरेशनने FIPS मोड मार्गदर्शक तत्त्वांमध्ये Junos OS चे अनुसरण करणे आवश्यक आहे.
क्रिप्टो ऑफिसर ऍक्सेस कॉन्फिगर करणे
FIPS मोडमधील जुनोस OS FIPS 140-2 द्वारे अनिवार्य केलेल्या वापरकर्त्यांच्या परवानग्यांपेक्षा अधिक सूक्ष्म ग्रॅन्युलॅरिटी ऑफर करते.
FIPS 140-2 अनुपालनासाठी, गुप्त, सुरक्षा, देखभाल आणि नियंत्रण परवानगी बिट सेट असलेला कोणताही FIPS वापरकर्ता क्रिप्टो अधिकारी असतो. बहुतेक प्रकरणांमध्ये क्रिप्टो ऑफिसरसाठी सुपर-वापरकर्ता वर्ग पुरेसा असतो.
क्रिप्टो ऑफिसरसाठी लॉगिन प्रवेश कॉन्फिगर करण्यासाठी:

जर तुम्ही आधीच असे केले नसेल तर रूट पासवर्डसह डिव्हाइसमध्ये लॉग इन करा आणि कॉन्फिगरेशन मोड प्रविष्ट करा: रूट@होस्टनाम> संपादित करा कॉन्फिगरेशन मोडमध्ये प्रवेश करणे [संपादन] रूट@होस्टनाम#
वापरकर्त्याला क्रिप्टो-ऑफिसरचे नाव द्या आणि क्रिप्टो ऑफिसरला वापरकर्ता आयडी नियुक्त करा (उदाample, 6400, जो 100 ते 64000 च्या श्रेणीतील लॉगिन खात्याशी संबंधित एक अनन्य क्रमांक असणे आवश्यक आहे) आणि वर्ग (उदा.ample, सुपर-वापरकर्ता). तुम्ही वर्ग नियुक्त करता तेव्हा, तुम्ही परवानग्या नियुक्त करता—उदाample, गुप्त, सुरक्षा, देखभाल आणि नियंत्रण.
परवानग्यांच्या सूचीसाठी, जुनोस ओएस ऍक्सेस विशेषाधिकार स्तर समजून घेणे पहा.
रूट@होस्टनाम# सिस्टम लॉगिन वापरकर्ता नाव uid मूल्य वर्ग वर्ग-नाव सेट करा
उदाampले:
रूट@होस्टनाम# सेट सिस्टम लॉगिन वापरकर्ता क्रिप्टो-ऑफिसर यूआयडी 6400 क्लास सुपर-यूजर सेट करा

पृष्ठ 20 वरील “जुनोस OS मधील FIPS मोडमध्ये संकेतशब्द तपशील आणि मार्गदर्शक तत्त्वे समजून घेणे” मधील मार्गदर्शक तत्त्वांचे अनुसरण करून, लॉगिन प्रमाणीकरणासाठी क्रिप्टो अधिकाऱ्याला एक साधा-मजकूर संकेतशब्द नियुक्त करा. प्रॉम्प्टनंतर पासवर्ड टाइप करून पासवर्ड सेट करा नवीन पासवर्ड आणि नवीन पासवर्ड पुन्हा टाइप करा.
रूट@होस्टनाम# सेट सिस्टम लॉगिन वापरकर्तानाव वर्ग वर्ग-नाव प्रमाणीकरण (प्लेन-टेस्टपासवर्ड |
एनक्रिप्टेड-पासवर्ड)
उदाampले:
रूट@होस्टनाम# सेट सिस्टम लॉगिन वापरकर्ता क्रिप्टो-ऑफिसर क्लास सुपर-यूजर ऑथेंटिकेशन प्लेनटेक्स्ट-पासवर्ड सेट करा
वैकल्पिकरित्या, कॉन्फिगरेशन प्रदर्शित करा:
रूट@होस्टनाम# प्रणाली संपादित करा
[सिस्टम संपादित करा] root@hostname# शो
लॉगिन {
वापरकर्ता क्रिप्टो-अधिकारी {
uid 6400;
प्रमाणीकरण {
एनक्रिप्टेड-पासवर्ड " ”; ## गुप्त-डेटा
}
वर्ग सुपर-वापरकर्ता;
}
}
तुम्ही डिव्हाइस कॉन्फिगर करणे पूर्ण केले असल्यास, कॉन्फिगरेशन करा आणि बाहेर पडा:
रूट@होस्टनाम# कमिट पूर्ण करा
root@hostname# बाहेर पडा

FIPS वापरकर्ता लॉगिन प्रवेश कॉन्फिगर करत आहे
एक fips-वापरकर्ता हे असे कोणतेही FIPS वापरकर्ता म्हणून परिभाषित केले जाते ज्यात गुप्त, सुरक्षा, देखभाल आणि नियंत्रण परवानगी बिट्स सेट नाहीत.
क्रिप्टो अधिकारी म्हणून तुम्ही FIPS वापरकर्ते सेट केले. FIPS वापरकर्त्यांना सामान्यत: क्रिप्टो ऑफिसरसाठी राखीव असलेल्या परवानग्या दिल्या जाऊ शकत नाहीत—उदाample, प्रणाली शून्यीकरण करण्याची परवानगी.
FIPS वापरकर्त्यासाठी लॉगिन प्रवेश कॉन्फिगर करण्यासाठी:

जर तुम्ही आधीच तसे केले नसेल तर तुमच्या क्रिप्टो ऑफिसर पासवर्डसह डिव्हाइसमध्ये लॉग इन करा आणि कॉन्फिगरेशन मोड प्रविष्ट करा:
crypto-officer@hostname:fips> संपादित करा
कॉन्फिगरेशन मोडमध्ये प्रवेश करत आहे
crypto-officer@hostname:fips#[संपादित करा]
वापरकर्त्याला, एक वापरकर्तानाव द्या आणि वापरकर्त्याला वापरकर्ता आयडी द्या (उदाample, 6401, जी 1 ते 64000 च्या श्रेणीतील एक अद्वितीय संख्या) आणि वर्ग असणे आवश्यक आहे. तुम्ही वर्ग नियुक्त करता तेव्हा, तुम्ही परवानग्या नियुक्त करता—उदाample, clear, network, resetview, आणि view- कॉन्फिगरेशन.
crypto-officer@hostname:fips# सेट सिस्टम लॉगिन वापरकर्ता नाव uid मूल्य वर्ग वर्ग-नाव माजी साठीampले:
[संपादित करा] crypto-officer@hostname:fips# सेट सिस्टम लॉगिन वापरकर्ता fips-user1 uid 6401 वर्ग केवळ वाचनीय

"जुनोस ओएस साठी पासवर्ड तपशील आणि मार्गदर्शक तत्त्वे समजून घेणे" मधील मार्गदर्शक तत्त्वांचे अनुसरण करून
FIPS मोड” पृष्ठ 20 वर, FIPS वापरकर्त्यास लॉगिन प्रमाणीकरणासाठी प्लेन-टेक्स्ट पासवर्ड द्या. प्रॉम्प्टनंतर पासवर्ड टाइप करून पासवर्ड सेट करा नवीन पासवर्ड आणि नवीन पासवर्ड पुन्हा टाइप करा.
[संपादित करा] crypto-officer@hostname:fips# सेट सिस्टम लॉगिन वापरकर्तानाव वर्ग वर्ग-नाव प्रमाणीकरण (प्लेन-टेक्स्ट-पासवर्ड | एनक्रिप्टेड-पासवर्ड)
उदाampले:
[संपादित करा] crypto-officer@hostname:fips# सेट सिस्टम लॉगिन वापरकर्ता fips-user1 वर्ग केवळ-वाचनीय प्रमाणीकरण साधा-टेक्स्ट-पासवर्ड
वैकल्पिकरित्या, कॉन्फिगरेशन प्रदर्शित करा:
[संपादित करा] crypto-officer@hostname:fips# प्रणाली संपादित करा [सिस्टम संपादित करा] crypto-officer@hostname:fips# शो
लॉगिन {
वापरकर्ता fips-user1 {
uid 6401;
प्रमाणीकरण {
एनक्रिप्टेड-पासवर्ड " ”; ## गुप्त-डेटा
}
वर्ग केवळ वाचनीय;
}
}
तुम्ही डिव्हाइस कॉन्फिगर करणे पूर्ण केले असल्यास, कॉन्फिगरेशन करा आणि बाहेर पडा:
[संपादित करा] crypto-officer@hostname:fips# कमिट
crypto-officer@hostname:fips# बाहेर पडा

SSH आणि कन्सोल कनेक्शन कॉन्फिगर करत आहे

FIPS साठी मूल्यांकन केलेल्या कॉन्फिगरेशनवर SSH कॉन्फिगर करणे
मूल्यमापन केलेल्या कॉन्फिगरेशनमध्ये रिमोट मॅनेजमेंट इंटरफेसद्वारे SSH ला अनुमती आहे. हा विषय रिमोट मॅनेजमेंटद्वारे SSH कॉन्फिगर कसा करायचा याचे वर्णन करतो.
FIPS साठी SSH प्रमाणित करण्यासाठी खालील अल्गोरिदम कॉन्फिगर करणे आवश्यक आहे.
DUT वर SSH कॉन्फिगर करण्यासाठी:

सिस्टम सेवांसाठी परवानगीयोग्य SSH होस्ट-की अल्गोरिदम निर्दिष्ट करा.
user@host# सेट सिस्टम सेवा ssh hostkey-algorithm ssh-ecdsa [संपादित करा]
user@host# सेट सिस्टम सेवा ssh hostkey-algorithm no-ssh-dss
user@host# सेट सिस्टम सेवा ssh hostkey-algorithm ssh-rsa
सिस्टम सर्व्हिसेससाठी डिफी-हेलमन की साठी SSH की-एक्सचेंज निर्दिष्ट करा.
user@host# सेट सिस्टम सर्व्हिसेस ssh key-exchange dh-group14-sha1 [संपादित करा]
user@host# सेट सिस्टम सेवा ssh की-एक्सचेंज ecdh-sha2-nistp256
user@host# सेट सिस्टम सेवा ssh की-एक्सचेंज ecdh-sha2-nistp384
user@host# सेट सिस्टम सेवा ssh की-एक्सचेंज ecdh-sha2-nistp521

SSHv2 साठी सर्व परवानगीयोग्य संदेश प्रमाणीकरण कोड अल्गोरिदम निर्दिष्ट करा
user@host# सेट सिस्टम सर्व्हिसेस ssh macs hmac-sha1 [संपादित करा]
user@host# सेट सिस्टम सेवा ssh macs hmac-sha2-256
user@host# सेट सिस्टम सेवा ssh macs hmac-sha2-512
प्रोटोकॉल आवृत्ती २ साठी अनुमत सायफर निर्दिष्ट करा.
user@host# सेट सिस्टम सर्व्हिसेस ssh सायफर्स aes128-cbc [संपादित करा]
user@host# सेट सिस्टम सर्व्हिसेस ssh सिफर aes256-cbc
user@host# सेट सिस्टम सेवा ssh सिफर aes128-ctr
user@host# सेट सिस्टम सेवा ssh सिफर aes256-ctr
user@host# सेट सिस्टम सर्व्हिसेस ssh सिफर aes192-cbc
user@host# सेट सिस्टम सेवा ssh सिफर aes192-ctr
समर्थित SSH होस्टकी अल्गोरिदम:
ssh-ecdsa ECDSA होस्ट-की तयार करण्यास परवानगी द्या
ssh-rsa RSA होस्ट-की निर्मितीला परवानगी द्या
समर्थित SSH की-एक्सचेंज अल्गोरिदम:
ecdh-sha2-nistp256 SHA256-2 सह nistp256 वर EC Diffie-Hellman
ecdh-sha2-nistp384 SHA384-2 सह nistp384 वर EC Diffie-Hellman
ecdh-sha2-nistp521 SHA521-2 सह nistp512 वर EC Diffie-Hellman
समर्थित MAC अल्गोरिदम:
hmac-sha1 सुरक्षित हॅश अल्गोरिदम (SHA1) वापरून हॅश-आधारित MAC
hmac-sha2-256 सुरक्षित हॅश अल्गोरिदम (SHA2) वापरून हॅश-आधारित MAC
hmac-sha2-512 सुरक्षित हॅश अल्गोरिदम (SHA2) वापरून हॅश-आधारित MAC
समर्थित SSH सिफर अल्गोरिदम:
सायफर ब्लॉक चेनिंगसह aes128-cbc 128-बिट AES
काउंटर मोडसह aes128-ctr 128-बिट AES
सायफर ब्लॉक चेनिंगसह aes192-cbc 192-बिट AES
काउंटर मोडसह aes192-ctr 192-बिट AES
सायफर ब्लॉक चेनिंगसह aes256-cbc 256-बिट AES
काउंटर मोडसह aes256-ctr 256-बिट AES

MACsec कॉन्फिगर करत आहे

FIPS मोडमध्ये मीडिया ऍक्सेस कंट्रोल सिक्युरिटी (MACsec) समजून घेणे
मीडिया ऍक्सेस कंट्रोल सिक्युरिटी (MACsec) हे 802.1AE IEEE उद्योग-मानक सुरक्षा तंत्रज्ञान आहे जे इथरनेट लिंकवरील सर्व रहदारीसाठी सुरक्षित संप्रेषण प्रदान करते. MACsec थेट कनेक्ट केलेल्या नोड्समधील इथरनेट लिंक्सवर पॉइंट-टू-पॉइंट सुरक्षा प्रदान करते आणि सेवा नाकारणे, घुसखोरी, मॅन-इन-द-मिडल, मास्करेडिंग, निष्क्रिय वायरटॅपिंग आणि प्लेबॅक हल्ल्यांसह बहुतेक सुरक्षा धोके ओळखण्यास आणि प्रतिबंधित करण्यास सक्षम आहे.
MACsec तुम्हाला लिंक लेयर डिस्कव्हरी प्रोटोकॉल (LLDP), लिंक एग्रीगेशन कंट्रोल प्रोटोकॉल (LACP), डायनॅमिक होस्ट कॉन्फिगरेशन प्रोटोकॉल (DHCP), ॲड्रेस रिझोल्यूशन प्रोटोकॉल (ARP) च्या फ्रेम्ससह जवळजवळ सर्व रहदारीसाठी पॉइंट टू पॉइंट इथरनेट लिंक सुरक्षित करण्याची परवानगी देते. आणि इतर प्रोटोकॉल जे सामान्यत: इथरनेट लिंकवर सुरक्षित नसतात कारण इतर सुरक्षा उपायांच्या मर्यादांमुळे. एंड-टू-एंड नेटवर्क सुरक्षा प्रदान करण्यासाठी MACsec इतर सुरक्षा प्रोटोकॉल जसे की IP सुरक्षा (IPsec) आणि सुरक्षित सॉकेट लेयर (SSL) च्या संयोजनात वापरला जाऊ शकतो.
MACsec IEEE 802.1AE मध्ये प्रमाणित आहे. IEEE 802.1AE मानक IEEE संस्थेवर पाहिले जाऊ शकते webIEEE 802.1 वर साइट: ब्रिजिंग आणि व्यवस्थापन.
अल्गोरिदमची प्रत्येक अंमलबजावणी ज्ञात उत्तर चाचणी (KAT) स्व-चाचण्या आणि क्रिप्टो अल्गोरिदम प्रमाणीकरण (CAV) च्या मालिकेद्वारे तपासली जाते. खालील क्रिप्टोग्राफिक अल्गोरिदम विशेषतः MACsec साठी जोडले आहेत.

प्रगत एन्क्रिप्शन स्टँडर्ड (AES)-सिफर मेसेज ऑथेंटिकेशन कोड (CMAC)
प्रगत एनक्रिप्शन मानक (AES) की रॅप
MACsec साठी, कॉन्फिगरेशन मोडमध्ये, प्रमाणीकरणासाठी 64 हेक्साडेसिमल वर्णांचे गुप्त की मूल्य प्रविष्ट करण्यासाठी प्रॉम्प्ट कमांड वापरा.
[संपादित करा] crypto-officer@hostname:fips# प्रॉम्प्ट सुरक्षा macsec कनेक्टिव्हिटी-असोसिएशन प्री-सामायिक-की cak
नवीन केक (गुप्त):
नवीन cak पुन्हा टाइप करा (गुप्त):

सानुकूलित वेळ
वेळ सानुकूलित करण्यासाठी, NTP अक्षम करा आणि तारीख सेट करा.

NTP अक्षम करा.
[संपादित करा] crypto-officer@hostname:fips# गट ग्लोबल सिस्टम एनटीपी निष्क्रिय करा
crypto-officer@hostname:fips# सिस्टम एनटीपी निष्क्रिय करा
crypto-officer@hostname:fips# कमिट
crypto-officer@hostname:fips# बाहेर पडा
तारीख आणि वेळ सेट करत आहे. तारीख आणि वेळेचे स्वरूप YYYYMMDDHHMM.ss आहे
[संपादित करा] crypto-officer@hostname:fips# सेट तारीख 201803202034.00
crypto-officer@hostname:fips# cli टाइमस्ट सेट कराamp
MACsec की करार (MKA) सुरक्षित चॅनेल तपशील सेट करा.
[संपादित करा] crypto-officer@hostname:fips# सुरक्षा macsec कनेक्टिव्हिटी-असोसिएशन कनेक्टिव्हिटी असोसिएशन-नाव सुरक्षित-चॅनेल सुरक्षित-चॅनेल-नाव दिशा (इनबाउंड | आउटबाउंड) crypto-officer@hostname:fips# सुरक्षा macsec कनेक्टिव्हिटी-असोसिएशन कनेक्टिव्हिटी असोसिएशन सेट करा -नाव सुरक्षित-चॅनेल सुरक्षित-चॅनेल-नाव एन्क्रिप्शन (MACsec) crypto-officer@hostname:fips# सेट सुरक्षा macsec कनेक्टिव्हिटी-असोसिएशन कनेक्टिव्हिटीअसोसिएशन-नाव सुरक्षित-चॅनेल सुरक्षित-चॅनेल-नाव आयडी mac-address /”mac-address crypto- Officer@hostname:fips# सेट सुरक्षा macsec कनेक्टिव्हिटी-असोसिएशन कनेक्टिव्हिटीअसोसिएशन-नाव सुरक्षित-चॅनेल सुरक्षित-चॅनेल-नाव आयडी पोर्ट-आयडी पोर्ट-आयडी-नंबर क्रिप्टो-ऑफिसर@होस्टनाम:फिप्स# सुरक्षा macsec कनेक्टिव्हिटी-असोसिएशन कनेक्टिव्हिटी-नाव सुरक्षित करा -चॅनेल सुरक्षित-चॅनेल-नाव ऑफसेट “(0|30|50) crypto-officer@hostname:fips# सुरक्षा macsec कनेक्टिव्हिटी-असोसिएशन कनेक्टिव्हिटीअसोसिएशन-नाव सुरक्षित-चॅनेल सुरक्षित-चॅनेल-नाव सुरक्षा-असोसिएशन सुरक्षा-असोसिएशन नंबर की- स्ट्रिंग

सुरक्षा मोडवर MKA सेट करा.
[संपादित करा] crypto-officer@hostname:fips# सुरक्षा macsec कनेक्टिव्हिटी-असोसिएशन कनेक्टिव्हिटीअसोसिएशन-नाव सुरक्षा-मोड सुरक्षा-मोड सेट करा
निर्दिष्ट MACsec इंटरफेससह कॉन्फिगर केलेली कनेक्टिव्हिटी असोसिएशन नियुक्त करा.
crypto-officer@hostname:fips# संच सुरक्षा macsec इंटरफेस इंटरफेस-नाव connectivityassociation connectivity-association-name

ICMP रहदारीसह स्थिर MACsec कॉन्फिगर करत आहे
डिव्हाइस R0 आणि डिव्हाइस R1 दरम्यान ICMP रहदारी वापरून स्टॅटिक MACsec कॉन्फिगर करण्यासाठी:
R0 मध्ये:

कनेक्टिव्हिटी असोसिएशन की नेम (CKN) आणि कनेक्टिव्हिटी असोसिएशन की (CAK) कॉन्फिगर करून प्रीशेअर की तयार करा.
[संपादित करा] crypto-officer@hostname:fips# सुरक्षा macsec कनेक्टिव्हिटी-असोसिएशन CA1 pre-sharedkey ckn 2345678922334455667788992223334445556667778889992222333344445555
crypto-officer@hostname:fips# सुरक्षा macsec कनेक्टिव्हिटी-असोसिएशन CA1 pre-sharedkey cak 23456789223344556677889922233344 crypto-officer@hostname:fips# सुरक्षा macsec कनेक्टिव्हिटी-असोसिएशन 1 सीए ऑफसेट30 सेट करा
ट्रेस पर्याय मूल्ये सेट करा.
[संपादित करा] crypto-officer@hostname:fips# सुरक्षा macsec ट्रेसऑप्शन सेट करा file MACsec.log
crypto-officer@hostname:fips# सुरक्षा macsec ट्रेसऑप्शन सेट करा file आकार 4000000000
crypto-officer@hostname:fips# सुरक्षा macsec ट्रेसऑप्शन सर्व ध्वजांकित करा
इंटरफेसला ट्रेस नियुक्त करा.
[संपादित करा] crypto-officer@hostname:fips# सुरक्षा macsec इंटरफेस इंटरफेस-नाव ट्रेसऑप्शन सेट करा file mka_xe आकार 1g crypto-officer@hostname:fips# सेट सुरक्षा macsec इंटरफेस इंटरफेस-नाव ट्रेसऑप्शन सर्व ध्वजांकित करा
कनेक्टिव्हिटी असोसिएशनसाठी MACsec सुरक्षा मोड स्टॅटिक-कॅक म्हणून कॉन्फिगर करा. [संपादित करा] crypto-officer@hostname:fips# सेट सुरक्षा macsec कनेक्टिव्हिटी-असोसिएशन CA1 सुरक्षा-मोड स्टॅटिक-कॅक
MKA की सर्व्हर प्राधान्य सेट करा.
[संपादित करा] crypto-officer@hostname:fips# सुरक्षा macsec कनेक्टिव्हिटी-असोसिएशन CA1 mka key-serverpriority 1 सेट करा
MKA ट्रान्समिट मध्यांतर सेट करा.
[संपादित करा] crypto-officer@hostname:fips# सुरक्षा macsec कनेक्टिव्हिटी-असोसिएशन CA1 mka transmitinterval 3000 सेट करा
MKA सुरक्षित सक्षम करा.
[संपादित करा] crypto-officer@hostname:fips# सुरक्षा macsec कनेक्टिव्हिटी-असोसिएशन CA1 mka ला सुरक्षित ठेवा
crypto-officer@hostname:fips# सुरक्षा macsec कनेक्टिव्हिटी-असोसिएशन CA1 समाविष्ट-sci सेट करा
इंटरफेसला कनेक्टिव्हिटी असोसिएशन नियुक्त करा.
[संपादित करा] crypto-officer@hostname:fips# सुरक्षा macsec इंटरफेस इंटरफेस-नाव कनेक्टिव्हिटी असोसिएशन सेट करा
CA1
crypto-officer@hostname:fips# सेट इंटरफेस इंटरफेस-नाव युनिट 0 फॅमिली इनेट ॲड्रेस 10.1.1.1/24

R1 मध्ये:

कनेक्टिव्हिटी असोसिएशन की नेम (CKN) आणि कनेक्टिव्हिटी असोसिएशन की (CAK) कॉन्फिगर करून प्रीशेअर की तयार करा.
[संपादित करा] crypto-officer@hostname:fips# सुरक्षा macsec कनेक्टिव्हिटी-असोसिएशन CA1 pre-sharedkey ckn 2345678922334455667788992223334445556667778889992222333344445555# सुरक्षा नावावर सेट करा macsec कनेक्टिव्हिटी-असोसिएशन CA1 pre-sharedkey cak 23456789223344556677889922233344 crypto-officer@hostname:fips # सुरक्षा macsec कनेक्टिव्हिटी-असोसिएशन CA1 ऑफसेट 30 सेट करा
ट्रेस पर्याय मूल्ये सेट करा.
[संपादित करा] crypto-officer@hostname:fips# सुरक्षा macsec ट्रेसऑप्शन सेट करा file MACsec.log crypto-officer@hostname:fips# सुरक्षा macsec ट्रेसऑप्शन सेट करा file आकार 4000000000 crypto-officer@hostname:fips# सुरक्षा macsec traceoptions सर्व ध्वजांकित करा
इंटरफेसला ट्रेस नियुक्त करा. [संपादित करा] crypto-officer@hostname:fips# सुरक्षा macsec इंटरफेस इंटरफेस-नाव ट्रेसऑप्शन सेट करा file mka_xe आकार 1g crypto-officer@hostname:fips# सेट सुरक्षा macsec इंटरफेस इंटरफेस-नाव ट्रेसऑप्शन सर्व ध्वजांकित करा
कनेक्टिव्हिटी असोसिएशनसाठी MACsec सुरक्षा मोड स्टॅटिक-कॅक म्हणून कॉन्फिगर करा. [संपादित करा] crypto-officer@hostname:fips# सेट सुरक्षा macsec कनेक्टिव्हिटी-असोसिएशन CA1 सुरक्षा-मोड स्टॅटिक-कॅक
MKA ट्रान्समिट मध्यांतर सेट करा.
crypto-officer@hostname:fips# संच सुरक्षा macsec कनेक्टिव्हिटी-असोसिएशन CA1 mka transmitinterval 3000
MKA सुरक्षित सक्षम करा. crypto-officer@hostname:fips# set security macsec connectivity-association CA1 mka shouldsecure crypto-officer@hostname:fips# set security macsec connectivity-association CA1 include-sci
इंटरफेसला कनेक्टिव्हिटी असोसिएशन नियुक्त करा. crypto-officer@hostname:fips# सेट सुरक्षा macsec इंटरफेस इंटरफेस-नाव connectivityassociation CA1 crypto-officer@hostname:fips# सेट इंटरफेस इंटरफेस-नाव युनिट 0 फॅमिली इनेट ॲड्रेस 10.1.1.2/24

ICMP ट्रॅफिक वापरून कीचेनसह MACsec कॉन्फिगर करणे
डिव्हाइस R0 आणि डिव्हाइस R1 दरम्यान ICMP रहदारी वापरून कीचेनसह MACsec कॉन्फिगर करण्यासाठी:
R0 मध्ये:

प्रमाणीकरण की साखळीला सहिष्णुता मूल्य नियुक्त करा. [संपादित करा] crypto-officer@hostname:fips# सेट सुरक्षा प्रमाणीकरण-की-चेन्स की-चेन macsec-kc1 सहिष्णुता 20
वापरण्यासाठी गुप्त पासवर्ड तयार करा. ही 64 वर्णांपर्यंत लांबीची हेक्साडेसिमल अंकांची स्ट्रिंग आहे. अक्षरांची स्ट्रिंग अवतरण चिन्हांमध्ये संलग्न असल्यास पासवर्डमध्ये मोकळी जागा समाविष्ट होऊ शकते. कीचेनचा गुप्त-डेटा CAK म्हणून वापरला जातो.
crypto-officer@hostname:fips# सेट सुरक्षा प्रमाणीकरण-की-चेन्स की-चेन macsec-kc1 की 0 की-नाव 2345678922334455667788992223334445556667778889992222333344445551 :fips# सुरक्षा प्रमाणीकरण-की-चेन्स की-चेन macsec- सेट करा kc1 की 0 स्टार्ट-टाइम 2018-03-20.20:35 crypto-officer@hostname:fips# सेट सिक्युरिटी ऑथेंटिकेशन-की-चेन्स की-चेन macsec-kc1 की 1 की-नाव 2345678922334455667788992223334445556667778889992222333344445552:1 1 2018 crypto-officer@hostname:fips# सुरक्षा सेट करा authentication-key-chains key-chain macsec-kc03 key 20.20 start-time 37-1-2:2345678922334455667788992223334445556667778889992222333344445553 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 2 key-name 2018 crypto-officer@hostname:fips# सुरक्षा प्रमाणीकरण-key-chains key-chain macsec-kc03 की 20.20 स्टार्ट-टाइम 39-1-3:2345678922334455667788992223334445556667778889992222333344445554 crypto-officer@hostname:fips# सेट सुरक्षा प्रमाणीकरण-की-चेन्स की- चेन macsec-kc1 की 3 की-नाव 2018 crypto-officer@hostname:fips-c-चाकी स्टार्ट-टाईम-मॉक-चेक-03 की-सुरुवात की-20.20# macsec-41 की स्टार्ट-की 1-4-2345678922334455667788992223334445556667778889992222333344445555:1 crypto-officer@hostname:fips # set security authentication-key-chains key-chain macsec-kc4 key 2018 key-name 03 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc20.20 key 43 start-time 1-5- 2345678922334455667788992223334445556667778889992222333344445556:1 crypto-officer@hostname:fips# सुरक्षा प्रमाणीकरण-की-चेन्स की-चेन macsec-kc5 की 2018 की-नाव सेट करा icer@hostname:fips# सुरक्षा प्रमाणीकरण-की-चेन्स की-चेन macsec- सेट करा kc03 की 20.20 स्टार्ट-टाइम 45-1-6:2345678922334455667788992223334445556667778889992222333344445557 crypto-officer@hostname:fips# सेट सिक्युरिटी ऑथेंटिकेशन-की-चेन्स की-चेन macsec-kc1 की 6 की-नाव 2018:03 20.20 47 crypto-officer@hostname:fips# सुरक्षा सेट करा authentication-key-chains key-chain macsec-kc1 key 7 start-time 2345678922334455667788992223334445556667778889992222333344445558-1-7:2018 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc03 key 20.20 key-name 49 crypto-officer@hostname:fips# सेट सुरक्षा प्रमाणीकरण-key-chains key-chain macsec-kcXNUMX की XNUMX प्रारंभ वेळ XNUMX-XNUMX-XNUMX:XNUMX गुप्त की मूल्य प्रविष्ट करण्यासाठी प्रॉम्प्ट कमांड वापरा. उदाample, गुप्त की मूल्य 2345678922334455667788992223334123456789223344556677889922233341 आहे. [संपादित करा] crypto-officer@hostname:fips# prompt-ca-secret key-ca-ca-secutation key k (गुप्त): नवीन cak (गुप्त): क्रिप्टो-ऑफिसर पुन्हा टाइप करा @hostname:fips# प्रॉम्प्ट सुरक्षा प्रमाणीकरण-की-चेन्स की-चेन macseckc1 की 0 गुप्त नवीन cak (गुप्त):
नवीन cak (गुप्त): crypto-officer@hostname:fips# प्रॉम्प्ट सुरक्षा प्रमाणीकरण-की-चेन्स की-चेन macseckc1 की 2 गुप्त नवीन cak (गुप्त):
नवीन cak (गुप्त): crypto-officer@hostname:fips# प्रॉम्प्ट सुरक्षा प्रमाणीकरण-की-चेन्स की-चेन macseckc1 की 3 गुप्त नवीन cak (गुप्त): नवीन cak (गुप्त): crypto-officer@hostname:fips# प्रॉम्प्ट सिक्युरिटी ऑथेंटिकेशन-की-चेन्स की-चेन macseckc1 की 4 गुप्त नवीन cak (गुप्त): नवीन cak (गुप्त): crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macseckc1 की 5 गुप्त नवीन cak (गुप्त): नवीन cak (गुप्त): crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macseckc1 की 6 गुप्त नवीन cak (गुप्त): नवीन cak (गुप्त): क्रिप्टो-ऑफिसर पुन्हा टाइप करा @hostname:fips# prompt security authentication-key-chains key-chain macseckc1 की 7 गुप्त नवीन cak (गुप्त): नवीन cak (गुप्त) पुन्हा टाइप करा:
प्रीशेअर केलेले कीचेन नाव कनेक्टिव्हिटी असोसिएशनसह संबद्ध करा.
crypto-officer@hostname:fips# सेट सुरक्षा macsec connectivity-association CA1 pre-sharedkey-chain macsec-kc1 crypto-officer@hostname:fips# सेट सुरक्षा macsec कनेक्टिव्हिटी-असोसिएशन CA1 ऑफसेट 50 crypto-officer@hostname:fips # सुरक्षा macsec कनेक्टिव्हिटी-असोसिएशन CA1 सिफर-सूट gcm-aes-256 सेट करा
टीप: सायफर मूल्य हे सिफर-सूट gcm-aes-128 म्हणून देखील सेट केले जाऊ शकते.
ट्रेस पर्याय मूल्ये सेट करा.
[संपादित करा] crypto-officer@hostname:fips# सुरक्षा macsec ट्रेसऑप्शन सेट करा file MACsec.log crypto-officer@hostname:fips# सुरक्षा macsec ट्रेसऑप्शन सेट करा file आकार 4000000000 crypto-officer@hostname:fips# सुरक्षा macsec traceoptions सर्व ध्वजांकित करा
इंटरफेसला ट्रेस नियुक्त करा. [संपादित करा] crypto-officer@hostname:fips# सुरक्षा macsec इंटरफेस इंटरफेस-नाव ट्रेसऑप्शन सेट करा file mka_xe आकार 1g crypto-officer@hostname:fips# सेट सुरक्षा macsec इंटरफेस इंटरफेस-नाव ट्रेसऑप्शन सर्व ध्वजांकित करा
कनेक्टिव्हिटी असोसिएशनसाठी MACsec सुरक्षा मोड स्टॅटिक-कॅक म्हणून कॉन्फिगर करा. [संपादित करा] crypto-officer@hostname:fips# सेट सुरक्षा macsec कनेक्टिव्हिटी-असोसिएशन CA1 securitymode static-cak
MKA की सर्व्हर प्राधान्य सेट करा.
[संपादित करा] crypto-officer@hostname:fips# सुरक्षा macsec कनेक्टिव्हिटी-असोसिएशन CA1 mka keyserver-priority 1 सेट करा
MKA ट्रान्समिट मध्यांतर सेट करा.
crypto-officer@hostname:fips# संच सुरक्षा macsec कनेक्टिव्हिटी-असोसिएशन CA1 mka transmitinterval 3000
MKA सुरक्षित सक्षम करा.
[संपादित करा] crypto-officer@hostname:fips# सेट सुरक्षा macsec कनेक्टिव्हिटी-असोसिएशन CA1 समाविष्ट-sci
इंटरफेसला कनेक्टिव्हिटी असोसिएशन नियुक्त करा.
[संपादित करा] crypto-officer@hostname:fips# सेट सुरक्षा macsec इंटरफेस इंटरफेस-नाव कनेक्टिव्हिटी असोसिएशन CA1
crypto-officer@hostname:fips#
सेट इंटरफेस इंटरफेस-नाव युनिट 0 फॅमिली इनेट ॲड्रेस 10.1.1.1/24

ICMP रहदारीसाठी कीचेनसह MACsec कॉन्फिगर करण्यासाठी:
R1 मध्ये:

प्रमाणीकरण की साखळीला सहिष्णुता मूल्य नियुक्त करा.
[संपादित करा] crypto-officer@hostname:fips# सेट सुरक्षा प्रमाणीकरण-की-चेन्स की-चेन macsec-kc1 सहिष्णुता 20
वापरण्यासाठी गुप्त पासवर्ड तयार करा. ही 64 वर्णांपर्यंत लांबीची हेक्साडेसिमल अंकांची स्ट्रिंग आहे. अक्षरांची स्ट्रिंग अवतरण चिन्हांमध्ये संलग्न असल्यास पासवर्डमध्ये मोकळी जागा समाविष्ट होऊ शकते. कीचेनचा गुप्त-डेटा CAK म्हणून वापरला जातो.
crypto-officer@hostname:fips# सेट सुरक्षा प्रमाणीकरण-की-चेन्स की-चेन macsec-kc1 की 0 की-नाव 2345678922334455667788992223334445556667778889992222333344445551 :fips# सुरक्षा प्रमाणीकरण-की-चेन्स की-चेन macsec- सेट करा kc1 की 0 स्टार्ट-टाइम 2018-03-20.20:35 crypto-officer@hostname:fips# सेट सिक्युरिटी ऑथेंटिकेशन-की-चेन्स की-चेन macsec-kc1 की 1 की-नाव 2345678922334455667788992223334445556667778889992222333344445552:1 1 2018 crypto-officer@hostname:fips# सुरक्षा सेट करा authentication-key-chains key-chain macsec-kc03 key 20.20 start-time 37-1-2:2345678922334455667788992223334445556667778889992222333344445553 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key 2 key-name 2018 crypto-officer@hostname:fips# सुरक्षा प्रमाणीकरण-key-chains key-chain macsec-kc03 की 20.20 स्टार्ट-टाइम 39-1-3:2345678922334455667788992223334445556667778889992222333344445554 crypto-officer@hostname:fips# सेट सुरक्षा प्रमाणीकरण-की-चेन्स की- चेन macsec-kc1 की 3 की-नाव 2018 crypto-officer@hostname:fips-c-चाकी स्टार्ट-टाईम-मॉक-चेक-03 की-सुरुवात की-20.20# macsec-41 की स्टार्ट-की 1-4-2345678922334455667788992223334445556667778889992222333344445555:1 crypto-officer@hostname:fips # set security authentication-key-chains key-chain macsec-kc4 key 2018 key-name 03 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc20.20 key 43 start-time 1-5- 345678922334455667788992223334445556667778889992222333344445556:1 crypto-officer@hostname:fips# सुरक्षा प्रमाणीकरण-की-चेन्स की-चेन macsec-kc5 की 2018 की-नाव सेट करा er@hostname:fips# सुरक्षा प्रमाणीकरण-की-चेन्स की-चेन macsec- सेट करा kc03 की 20.20 स्टार्ट-टाइम 45-1-6:2345678922334455667788992223334445556667778889992222333344445557 crypto-officer@hostname:fips# सेट सिक्युरिटी ऑथेंटिकेशन-की-चेन्स की-चेन macsec-kc1 की 6 की-नाव 2018:03 20.20 47 crypto-officer@hostname:fips# सुरक्षा सेट करा authentication-key-chains key-chain macsec-kc1 key 7 start-time 2345678922334455667788992223334445556667778889992222333344445558-1-7:2018 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc03 key 20.20 key-name 49 crypto-officer@hostname:fips# सेट सुरक्षा प्रमाणीकरण-की-चेन्स की-चेन macsec-kcXNUMX की XNUMX प्रारंभ वेळ XNUMX-XNUMX-XNUMX:XNUMX
गुप्त की मूल्य प्रविष्ट करण्यासाठी प्रॉम्प्ट कमांड वापरा. उदाample, गुप्त की मूल्य 2345678922334455667788992223334123456789223344556677889922233341 आहे.
[संपादित करा] crypto-officer@hostname:fips# प्रॉम्प्ट सुरक्षा प्रमाणीकरण-की-चेन्स की-चेन macseckc1 की 0 गुप्त
नवीन केक (गुप्त):
नवीन cak (गुप्त): crypto-officer@hostname:fips# प्रॉम्प्ट सुरक्षा प्रमाणीकरण-की-चेन्स की-चेन macseckc1 की 1 गुप्त नवीन cak (गुप्त): नवीन cak (गुप्त): crypto-officer@hostname:fips# प्रॉम्प्ट सिक्युरिटी ऑथेंटिकेशन-की-चेन्स की-चेन macseckc1 की 2 गुप्त नवीन कॅक (गुप्त): नवीन कॅक पुन्हा टाइप करा (गुप्त): crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macseckc1 की 3 गुप्त नवीन cak (गुप्त): नवीन cak (गुप्त): crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macseckc1 की 4 गुप्त नवीन cak (गुप्त): नवीन cak पुन्हा टाइप करा
(गुप्त):
crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macseckc1 की 5 गुप्त नवीन कॅक (गुप्त): नवीन कॅक (गुप्त) पुन्हा टाइप करा:
crypto-officer@hostname:fips# प्रॉम्प्ट सुरक्षा प्रमाणीकरण-की-चेन्स की-चेन macseckc1 की 6 गुप्त नवीन कॅक (गुप्त):
नवीन cak पुन्हा टाइप करा (गुप्त):
crypto-officer@hostname:fips# प्रॉम्प्ट सुरक्षा प्रमाणीकरण-की-चेन्स की-चेन macseckc1 की 7 गुप्त नवीन कॅक (गुप्त):
नवीन cak पुन्हा टाइप करा (गुप्त):
प्रीशेअर केलेले कीचेन नाव कनेक्टिव्हिटी असोसिएशनसह संबद्ध करा.
[संपादित करा] crypto-officer@hostname:fips# सेट सुरक्षा macsec कनेक्टिव्हिटी-असोसिएशन CA1 प्री-सामायिक- की-चेन macsec-kc1
crypto-officer@hostname:fips# सुरक्षा macsec कनेक्टिव्हिटी-असोसिएशन CA1 ऑफसेट 50 crypto-officer@hostname:fips# सेट सुरक्षा macsec कनेक्टिव्हिटी-असोसिएशन CA1 सायफर-सूट gcm-aes-256
ट्रेस पर्याय मूल्ये सेट करा.
[संपादित करा] crypto-officer@hostname:fips# सुरक्षा macsec ट्रेसऑप्शन सेट करा file MACsec.log crypto-officer@hostname:fips# सुरक्षा macsec ट्रेसऑप्शन सेट करा file आकार 4000000000 crypto-officer@hostname:fips# सुरक्षा macsec traceoptions सर्व ध्वजांकित करा
इंटरफेसला ट्रेस नियुक्त करा.
[संपादित करा] crypto-officer@hostname:fips# सुरक्षा macsec इंटरफेस इंटरफेस-नाव ट्रेसऑप्शन सेट करा file mka_xe आकार 1g crypto-officer@hostname:fips# सेट सुरक्षा macsec इंटरफेस इंटरफेस-नाव ट्रेसऑप्शन सर्व ध्वजांकित करा
कनेक्टिव्हिटी असोसिएशनसाठी MACsec सुरक्षा मोड स्टॅटिक-कॅक म्हणून कॉन्फिगर करा.
[संपादित करा] crypto-officer@hostname:fips# सेट सुरक्षा macsec कनेक्टिव्हिटी-असोसिएशन CA1 securitymode static-cak
MKA की सर्व्हर प्राधान्य सेट करा.
[संपादित करा] crypto-officer@hostname:fips# सुरक्षा macsec कनेक्टिव्हिटी-असोसिएशन CA1 mka keyserver-priority 1 सेट करा
MKA ट्रान्समिट मध्यांतर सेट करा.
[संपादित करा] crypto-officer@hostname:fips# सुरक्षा macsec कनेक्टिव्हिटी-असोसिएशन CA1 mka transmitinterval 3000 सेट करा
MKA सुरक्षित सक्षम करा.
[संपादित करा] crypto-officer@hostname:fips# सेट सुरक्षा macsec कनेक्टिव्हिटी-असोसिएशन CA1 समाविष्ट-sci
इंटरफेसला कनेक्टिव्हिटी असोसिएशन नियुक्त करा.
[संपादित करा] crypto-officer@hostname:fips# सुरक्षा macsec इंटरफेस इंटरफेस-नाव कनेक्टिव्हिटी असोसिएशन सेट करा
CA1
crypto-officer@hostname:fips# सेट इंटरफेस इंटरफेस-नाव युनिट 0 फॅमिली इनेट ॲड्रेस 10.1.1.2/24

लेयर 2 रहदारीसाठी स्टॅटिक MACsec कॉन्फिगर करत आहे
डिव्हाइस R2 आणि डिव्हाइस R0 दरम्यान लेयर 1 रहदारीसाठी स्थिर MACsec कॉन्फिगर करण्यासाठी:
R0 मध्ये:

MKA की सर्व्हर प्राधान्य सेट करा.
[संपादित करा] crypto-officer@hostname:fips# सुरक्षा macsec कनेक्टिव्हिटी-असोसिएशन CA1 mka की सर्व्हर-प्राधान्य 1 सेट करा
वापरण्यासाठी गुप्त पासवर्ड तयार करा. ही 64 वर्णांपर्यंत लांबीची हेक्साडेसिमल अंकांची स्ट्रिंग आहे. अक्षरांची स्ट्रिंग अवतरण चिन्हांमध्ये संलग्न असल्यास पासवर्डमध्ये मोकळी जागा समाविष्ट होऊ शकते. कीचेनचा गुप्त-डेटा CAK म्हणून वापरला जातो.
[संपादित करा] crypto-officer@hostname:fips# प्रॉम्प्ट सुरक्षा प्रमाणीकरण-की-चेन्स की-चेन macseckc1 की 0 गुप्त नवीन कॅक (गुप्त):
नवीन cak पुन्हा टाइप करा (गुप्त):
उदाample, गुप्त की मूल्य 2345678922334455667788992223334123456789223344556677889922233341 आहे.
प्रीशेअर केलेले कीचेन नाव कनेक्टिव्हिटी असोसिएशनसह संबद्ध करा. crypto-officer@hostname:fips# सेट सुरक्षा macsec connectivity-association CA1 pre-sharedkey-chain macsec-kc1 crypto-officer@hostname:fips# सेट सुरक्षा macsec कनेक्टिव्हिटी-असोसिएशन CA1 ऑफसेट 50 crypto-officer@hostname:fips # सुरक्षा macsec कनेक्टिव्हिटी-असोसिएशन CA1 सिफर-सूट gcm-aes-256 सेट करा
ट्रेस पर्याय मूल्ये सेट करा. [संपादित करा] crypto-officer@hostname:fips# सुरक्षा macsec ट्रेसऑप्शन सेट करा file MACsec.log crypto-officer@hostname:fips# सुरक्षा macsec ट्रेसऑप्शन सेट करा file आकार 4000000000 crypto-officer@hostname:fips# सुरक्षा macsec traceoptions सर्व ध्वजांकित करा
इंटरफेसला ट्रेस नियुक्त करा. [संपादित करा] crypto-officer@hostname:fips# सुरक्षा macsec इंटरफेस इंटरफेस-नाव ट्रेसऑप्शन सेट करा file mka_xe आकार 1g crypto-officer@hostname:fips# सेट सुरक्षा macsec इंटरफेस इंटरफेस-नाव ट्रेसऑप्शन सर्व ध्वजांकित करा
कनेक्टिव्हिटी असोसिएशनसाठी MACsec सुरक्षा मोड स्टॅटिक-कॅक म्हणून कॉन्फिगर करा.
[संपादित करा] crypto-officer@hostname:fips# सेट सुरक्षा macsec कनेक्टिव्हिटी-असोसिएशन CA1 securitymode static-cak
MKA की सर्व्हर प्राधान्य सेट करा. [संपादित करा] crypto-officer@hostname:fips# सुरक्षा macsec कनेक्टिव्हिटी-असोसिएशन CA1 mka की सर्व्हर-प्राधान्य 1 सेट करा
MKA ट्रान्समिट मध्यांतर सेट करा.
[संपादित करा] crypto-officer@hostname:fips# सुरक्षा macsec कनेक्टिव्हिटी-असोसिएशन CA1 mka transmitinterval 3000 सेट करा
MKA सुरक्षित सक्षम करा.
[संपादित करा] crypto-officer@hostname:fips# सेट सुरक्षा macsec कनेक्टिव्हिटी-असोसिएशन CA1 समाविष्ट-sci
इंटरफेसला कनेक्टिव्हिटी असोसिएशन नियुक्त करा.
[संपादित करा] crypto-officer@hostname:fips# सुरक्षा macsec इंटरफेस इंटरफेस-नाव कनेक्टिव्हिटी असोसिएशन सेट करा
CA1
VLAN कॉन्फिगर करा tagजिंग
crypto-officer@hostname:fips# संच इंटरफेस इंटरफेस-नाम1 लवचिक-vlan-tagging
crypto-officer@hostname:fips# संच इंटरफेस इंटरफेस-name1 encapsulation लवचिक इथरनेट-सेवा
crypto-officer@hostname:fips#
सेट इंटरफेस इंटरफेस-नाम1 युनिट 100 एन्कॅप्सुलेशन व्हलनब्रिज
crypto-officer@hostname:fips#
इंटरफेस इंटरफेस-नाम1 युनिट 100 vlan-id 100 सेट करा
crypto-officer@hostname:fips# सेट इंटरफेस इंटरफेस-नाम2 लवचिक-vlan-tagging
crypto-officer@hostname:fips# संच इंटरफेस इंटरफेस-name2 encapsulation लवचिक इथरनेट-सेवा
crypto-officer@hostname:fips#
सेट इंटरफेस इंटरफेस-नाम2 युनिट 100 एन्कॅप्सुलेशन व्हलनब्रिज
crypto-officer@hostname:fips#
इंटरफेस इंटरफेस-नाम2 युनिट 100 vlan-id 100 सेट करा
ब्रिज डोमेन कॉन्फिगर करा.
[संपादित करा] crypto-officer@hostname:fips# BD-110 डोमेन-प्रकार ब्रिज सेट करा
crypto-officer@hostname:fips# सेट ब्रिज-डोमेन BD-110 vlan-id 100
crypto-officer@hostname:fips# सेट ब्रिज-डोमेन BD-110 इंटरफेस इंटरफेस-name1 100
crypto-officer@hostname:fips# सेट ब्रिज-डोमेन BD-110 इंटरफेस इंटरफेस-name2 100

R1 मध्ये:

वापरण्यासाठी गुप्त पासवर्ड तयार करा. ही 64 वर्णांपर्यंत लांबीची हेक्साडेसिमल अंकांची स्ट्रिंग आहे. द
जर अक्षरांची स्ट्रिंग अवतरण चिन्हांमध्ये संलग्न असेल तर पासवर्डमध्ये मोकळी जागा समाविष्ट होऊ शकते. कीचेनचे
गुप्त-डेटा CAK म्हणून वापरला जातो.
[संपादित करा] crypto-officer@hostname:fips# प्रॉम्प्ट सुरक्षा प्रमाणीकरण-की-चेन्स की-चेन macseckc1 की 0 गुप्त
नवीन केक
(गुप्त):
नवीन केक पुन्हा टाइप करा
(गुप्त):
उदाample, गुप्त की मूल्य आहे
2345678922334455667788992223334123456789223344556677889922233341.
प्रीशेअर केलेले कीचेन नाव कनेक्टिव्हिटी असोसिएशनसह संबद्ध करा.
[संपादित करा] crypto-officer@hostname:fips# सुरक्षा macsec कनेक्टिव्हिटी-असोसिएशन CA1 pre-sharedkey-chain सेट करा
macsec-kc1 crypto-officer@hostname:fips#
सुरक्षा macsec कनेक्टिव्हिटी-असोसिएशन CA1 ऑफसेट 50 सेट करा
crypto-officer@hostname:fips# सुरक्षा macsec कनेक्टिव्हिटी-असोसिएशन CA1 cipher-suite gcm-aes-256 सेट करा
ट्रेस पर्याय मूल्ये सेट करा.
[संपादित करा] crypto-officer@hostname:fips# सुरक्षा macsec ट्रेसऑप्शन सेट करा file MACsec.log
crypto-officer@hostname:fips# सुरक्षा macsec ट्रेसऑप्शन सेट करा file आकार 4000000000
crypto-officer@hostname:fips# सुरक्षा macsec ट्रेसऑप्शन सर्व ध्वजांकित करा
इंटरफेसला ट्रेस नियुक्त करा.
[संपादित करा] crypto-officer@hostname:fips# सुरक्षा macsec इंटरफेस इंटरफेस-नाव ट्रेसऑप्शन सेट करा file mka_xe आकार 1g
crypto-officer@hostname:fips# सुरक्षा macsec इंटरफेस इंटरफेस-नाव ट्रेसऑप्शन सेट करा
सर्व ध्वजांकित करा
कनेक्टिव्हिटी असोसिएशनसाठी MACsec सुरक्षा मोड स्टॅटिक-कॅक म्हणून कॉन्फिगर करा.
[संपादित करा] crypto-officer@hostname:fips# सुरक्षा macsec कनेक्टिव्हिटी-असोसिएशन CA1 सुरक्षा मोड सेट करा
स्टॅटिक-कॅक
MKA की सर्व्हर प्राधान्य सेट करा.
[संपादित करा] crypto-officer@hostname:fips# सुरक्षा macsec कनेक्टिव्हिटी-असोसिएशन CA1 mka की सर्व्हर-प्राधान्य 1 सेट करा
MKA ट्रान्समिट मध्यांतर सेट करा.
[संपादित करा] crypto-officer@hostname:fips# सुरक्षा macsec कनेक्टिव्हिटी-असोसिएशन CA1 mka transmitinterval सेट करा
3000
MKA सुरक्षित सक्षम करा.
[संपादित करा] crypto-officer@hostname:fips# सेट सुरक्षा macsec कनेक्टिव्हिटी-असोसिएशन CA1 समाविष्ट-sci
इंटरफेसला कनेक्टिव्हिटी असोसिएशन नियुक्त करा.
[संपादित करा] crypto-officer@hostname:fips# सेट सुरक्षा macsec इंटरफेस इंटरफेस-नाव कनेक्टिव्हिटी असोसिएशन CA1
VLAN कॉन्फिगर करा tagजिंग
crypto-officer@hostname:fips# संच इंटरफेस इंटरफेस-नाम1 लवचिक-vlan-tagging
crypto-officer@hostname:fips# संच इंटरफेस इंटरफेस-name1 encapsulation लवचिक इथरनेट-सेवा
crypto-officer@hostname:fips# सेट इंटरफेस इंटरफेस-नाम1 युनिट 100 एन्कॅप्सुलेशन व्लानब्रिज
crypto-officer@hostname:fips#
इंटरफेस इंटरफेस-नाम1 युनिट 100 vlan-id 100 सेट करा
crypto-officer@hostname:fips# सेट इंटरफेस इंटरफेस-नाम2 लवचिक-vlan-tagging
crypto-officer@hostname:fips# संच इंटरफेस इंटरफेस-name2 encapsulation लवचिक इथरनेट-सेवा
crypto-officer@hostname:fips#
सेट इंटरफेस इंटरफेस-नाम2 युनिट 100 एन्कॅप्सुलेशन व्हलनब्रिज
crypto-officer@hostname:fips#
इंटरफेस इंटरफेस-नाम2 युनिट 100 vlan-id 100 सेट करा
ब्रिज डोमेन कॉन्फिगर करा.
[संपादित करा] crypto-officer@hostname:fips# BD-110 डोमेन-प्रकार ब्रिज सेट करा
crypto-officer@hostname:fips# सेट ब्रिज-डोमेन BD-110 vlan-id 100
crypto-officer@hostname:fips# सेट ब्रिज-डोमेन BD-110 इंटरफेस इंटरफेस-name1 100
crypto-officer@hostname:fips# सेट ब्रिज-डोमेन BD-110 इंटरफेस इंटरफेस-name2 100

लेयर 2 रहदारीसाठी कीचेनसह MACsec कॉन्फिगर करत आहे

डिव्हाइस R0 आणि डिव्हाइस R1 दरम्यान ICMP रहदारीसाठी कीचेनसह MACsec कॉन्फिगर करण्यासाठी:
R0 मध्ये:

प्रमाणीकरण की साखळीला सहिष्णुता मूल्य नियुक्त करा.
[संपादित करा] crypto-officer@hostname:fips# सेट सुरक्षा प्रमाणीकरण-की-चेन्स की-चेन macsec-kc1 सहिष्णुता 20
वापरण्यासाठी गुप्त पासवर्ड तयार करा. ही 64 वर्णांपर्यंत लांबीची हेक्साडेसिमल अंकांची स्ट्रिंग आहे. अक्षरांची स्ट्रिंग अवतरण चिन्हांमध्ये संलग्न असल्यास पासवर्डमध्ये मोकळी जागा समाविष्ट होऊ शकते. कीचेनचा गुप्त-डेटा CAK म्हणून वापरला जातो.
[संपादित करा] crypto-officer@hostname:fips# सुरक्षा प्रमाणीकरण-की-चेन्स की-चेन macsec-kc1 सेट करा
key 0 key-name 2345678922334455667788992223334445556667778889992222333344445551
crypto-officer@hostname:fips# सेट सुरक्षा प्रमाणीकरण-की-चेन्स की-चेन macsec-kc1
की 0 प्रारंभ-वेळ 2018-03-20.20:35
crypto-officer@hostname:fips# सेट सुरक्षा प्रमाणीकरण-की-चेन्स की-चेन macsec-kc1
key 1 key-name 2345678922334455667788992223334445556667778889992222333344445552
crypto-officer@hostname:fips# सेट सुरक्षा प्रमाणीकरण-की-चेन्स की-चेन macsec-kc1
की 1 प्रारंभ-वेळ 2018-03-20.20:37
crypto-officer@hostname:fips# सेट सुरक्षा प्रमाणीकरण-की-चेन्स की-चेन macsec-kc1
key 2 key-name 2345678922334455667788992223334445556667778889992222333344445553
crypto-officer@hostname:fips# सेट सुरक्षा प्रमाणीकरण-की-चेन्स की-चेन macsec-kc1
की 2 प्रारंभ-वेळ 2018-03-20.20:39
crypto-officer@hostname:fips# सेट सुरक्षा प्रमाणीकरण-की-चेन्स की-चेन macsec-kc1
key 3 key-name 2345678922334455667788992223334445556667778889992222333344445554
crypto-officer@hostname:fips# सेट सुरक्षा प्रमाणीकरण-की-चेन्स की-चेन macsec-kc1
की 3 प्रारंभ-वेळ 2018-03-20.20:41
crypto-officer@hostname:fips# सेट सुरक्षा प्रमाणीकरण-की-चेन्स की-चेन macsec-kc1
key 4 key-name 2345678922334455667788992223334445556667778889992222333344445555
crypto-officer@hostname:fips# सेट सुरक्षा प्रमाणीकरण-की-चेन्स की-चेन macsec-kc1
की 4 प्रारंभ-वेळ 2018-03-20.20:43
crypto-officer@hostname:fips# सेट सुरक्षा प्रमाणीकरण-की-चेन्स की-चेन macsec-kc1
key 5 key-name 2345678922334455667788992223334445556667778889992222333344445556
crypto-officer@hostname:fips# सेट सुरक्षा प्रमाणीकरण-की-चेन्स की-चेन macsec-kc1
की 5 प्रारंभ-वेळ 2018-03-20.20:45
crypto-officer@hostname:fips# सेट सुरक्षा प्रमाणीकरण-की-चेन्स की-चेन macsec-kc1
key 6 key-name 2345678922334455667788992223334445556667778889992222333344445557
crypto-officer@hostname:fips# सेट सुरक्षा प्रमाणीकरण-की-चेन्स की-चेन macsec-kc1
की 6 प्रारंभ-वेळ 2018-03-20.20:47
crypto-officer@hostname:fips# सेट सुरक्षा प्रमाणीकरण-की-चेन्स की-चेन macsec-kc1
key 7 key-name 2345678922334455667788992223334445556667778889992222333344445558
crypto-officer@hostname:fips# सेट सुरक्षा प्रमाणीकरण-की-चेन्स की-चेन macsec-kc1
की 7 प्रारंभ-वेळ 2018-03-20.20:49
गुप्त की मूल्य प्रविष्ट करण्यासाठी प्रॉम्प्ट कमांड वापरा. उदाample, गुप्त की मूल्य आहे
2345678922334455667788992223334123456789223344556677889922233341.
[संपादित करा] crypto-officer@hostname:fips# प्रॉम्प्ट सुरक्षा प्रमाणीकरण-की-चेन्स की-चेन macseckc1 की 0 गुप्त
नवीन केक
(गुप्त):
नवीन केक पुन्हा टाइप करा
(गुप्त):
crypto-officer@hostname:fips#
प्रॉम्प्ट सुरक्षा प्रमाणीकरण-की-चेन्स की-चेन मॅकसेक1 की 1 गुप्त
नवीन केक
(गुप्त):
नवीन केक पुन्हा टाइप करा
(गुप्त):
crypto-officer@hostname:fips# प्रॉम्प्ट सुरक्षा प्रमाणीकरण-की-चेन्स की-चेन macseckc1 की 2 गुप्त
नवीन केक
(गुप्त):
नवीन केक पुन्हा टाइप करा
(गुप्त):
crypto-officer@hostname:fips#
प्रॉम्प्ट सुरक्षा प्रमाणीकरण-की-चेन्स की-चेन मॅकसेक1 की 3 गुप्त
नवीन केक
(गुप्त):
नवीन केक पुन्हा टाइप करा
(गुप्त):
crypto-officer@hostname:fips#
प्रॉम्प्ट सुरक्षा प्रमाणीकरण-की-चेन्स की-चेन मॅकसेक1 की 4 गुप्त
नवीन केक
(गुप्त):
नवीन केक पुन्हा टाइप करा
(गुप्त):
crypto-officer@hostname:fips#
प्रॉम्प्ट सुरक्षा प्रमाणीकरण-की-चेन्स की-चेन मॅकसेक1 की 5 गुप्त
नवीन केक
(गुप्त):
नवीन केक पुन्हा टाइप करा
(गुप्त):
crypto-officer@hostname:fips#
प्रॉम्प्ट सुरक्षा प्रमाणीकरण-की-चेन्स की-चेन मॅकसेक1 की 6 गुप्त
नवीन केक
(गुप्त):
नवीन केक पुन्हा टाइप करा
(गुप्त):
crypto-officer@hostname:fips#
प्रॉम्प्ट सुरक्षा प्रमाणीकरण-की-चेन्स की-चेन मॅकसेक1 की 7 गुप्त
नवीन केक
(गुप्त):
नवीन केक पुन्हा टाइप करा
(गुप्त):
प्रीशेअर केलेले कीचेन नाव कनेक्टिव्हिटी असोसिएशनसह संबद्ध करा.
[संपादित करा] crypto-officer@hostname:fips# सुरक्षा macsec कनेक्टिव्हिटी-असोसिएशन CA1 pre-sharedkey-chain सेट करा
macsec-kc1
crypto-officer@hostname:fips#
सुरक्षा macsec कनेक्टिव्हिटी-असोसिएशन CA1 सिफर-सूट सेट करा
gcm-aes-256
ट्रेस पर्याय मूल्ये सेट करा.
[संपादित करा] crypto-officer@hostname:fips# सुरक्षा macsec ट्रेसऑप्शन सेट करा file MACsec.log
crypto-officer@hostname:fips# सुरक्षा macsec ट्रेसऑप्शन सेट करा file आकार 4000000000
crypto-officer@hostname:fips# सुरक्षा macsec ट्रेसऑप्शन सर्व ध्वजांकित करा
इंटरफेसला ट्रेस नियुक्त करा.
[संपादित करा] crypto-officer@hostname:fips# सुरक्षा macsec इंटरफेस इंटरफेस-नाव ट्रेसऑप्शन सेट करा
file mka_xe आकार 1g
crypto-officer@hostname:fips# सुरक्षा macsec इंटरफेस इंटरफेस-नाव ट्रेसऑप्शन सेट करा
सर्व ध्वजांकित करा
कनेक्टिव्हिटी असोसिएशनसाठी MACsec सुरक्षा मोड स्टॅटिक-कॅक म्हणून कॉन्फिगर करा.
[संपादित करा] crypto-officer@hostname:fips# सुरक्षा macsec कनेक्टिव्हिटी-असोसिएशन CA1 सुरक्षा मोड सेट करा
स्टॅटिक-कॅक
MKA की सर्व्हर प्राधान्य सेट करा.
[संपादित करा] crypto-officer@hostname:fips# सुरक्षा macsec कनेक्टिव्हिटी-असोसिएशन CA1 mka की सर्व्हर-प्राधान्य 1 सेट करा
MKA ट्रान्समिट मध्यांतर सेट करा.
[संपादित करा] crypto-officer@hostname:fips# सुरक्षा macsec कनेक्टिव्हिटी-असोसिएशन CA1 mka transmitinterval सेट करा
3000
MKA सुरक्षित सक्षम करा.
[संपादित करा] crypto-officer@hostname:fips# सेट सुरक्षा macsec कनेक्टिव्हिटी-असोसिएशन CA1 समाविष्ट-sci
इंटरफेसला कनेक्टिव्हिटी असोसिएशन नियुक्त करा.
[संपादित करा] crypto-officer@hostname:fips# सुरक्षा macsec इंटरफेस इंटरफेस-नाव कनेक्टिव्हिटी असोसिएशन सेट करा
CA1
VLAN कॉन्फिगर करा tagजिंग
crypto-officer@hostname:fips# संच इंटरफेस इंटरफेस-नाम1 लवचिक-vlan-tagging
crypto-officer@hostname:fips# संच इंटरफेस इंटरफेस-name1 encapsulation flexibleethernet-services
crypto-officer@hostname:fips#
सेट इंटरफेस इंटरफेस-नाम1 युनिट 100 एन्कॅप्सुलेशन व्हलनब्रिज
crypto-officer@hostname:fips#
इंटरफेस इंटरफेस-नाम1 युनिट 100 vlan-id 100 सेट करा
crypto-officer@hostname:fips# सेट इंटरफेस इंटरफेस-नाम2 लवचिक-vlan-tagging
crypto-officer@hostname:fips# संच इंटरफेस इंटरफेस-name2 encapsulation flexibleethernet-services
crypto-officer@hostname:fips#
सेट इंटरफेस इंटरफेस-नाम2 युनिट 100 एन्कॅप्सुलेशन व्हलनब्रिज
crypto-officer@hostname:fips#
इंटरफेस इंटरफेस-नाम2 युनिट 100 vlan-id 100 सेट करा
ब्रिज डोमेन कॉन्फिगर करा.
[संपादित करा] crypto-officer@hostname:fips# BD-110 डोमेन-प्रकार ब्रिज सेट करा
crypto-officer@hostname:fips# सेट ब्रिज-डोमेन BD-110 vlan-id 100
crypto-officer@hostname:fips# सेट ब्रिज-डोमेन BD-110 इंटरफेस इंटरफेस-name1 100
crypto-officer@hostname:fips# सेट ब्रिज-डोमेन BD-110 इंटरफेस इंटरफेस-name2 100

R1 मध्ये:

प्रमाणीकरण की साखळीला सहिष्णुता मूल्य नियुक्त करा.
[संपादित करा] crypto-officer@hostname:fips# सेट सुरक्षा प्रमाणीकरण-की-चेन्स की-चेन macsec-kc1 सहिष्णुता 20
वापरण्यासाठी गुप्त पासवर्ड तयार करा. ही 64 वर्णांपर्यंत लांबीची हेक्साडेसिमल अंकांची स्ट्रिंग आहे. अक्षरांची स्ट्रिंग अवतरण चिन्हांमध्ये संलग्न असल्यास पासवर्डमध्ये मोकळी जागा समाविष्ट होऊ शकते. कीचेनचा गुप्त-डेटा CAK म्हणून वापरला जातो.
[संपादित करा] crypto-officer@hostname:fips# सुरक्षा प्रमाणीकरण-की-चेन्स की-चेन macsec-kc1 सेट करा
key 0 key-name 2345678922334455667788992223334445556667778889992222333344445551
crypto-officer@hostname:fips# सेट सुरक्षा प्रमाणीकरण-की-चेन्स की-चेन macsec-kc1
की 0 प्रारंभ-वेळ 2018-03-20.20:35
crypto-officer@hostname:fips# सेट सुरक्षा प्रमाणीकरण-की-चेन्स की-चेन macsec-kc1
key 1 key-name 2345678922334455667788992223334445556667778889992222333344445552
crypto-officer@hostname:fips# सेट सुरक्षा प्रमाणीकरण-की-चेन्स की-चेन macsec-kc1
की 1 प्रारंभ-वेळ 2018-03-20.20:37
crypto-officer@hostname:fips# सेट सुरक्षा प्रमाणीकरण-की-चेन्स की-चेन macsec-kc1
key 2 key-name 2345678922334455667788992223334445556667778889992222333344445553
crypto-officer@hostname:fips# सेट सुरक्षा प्रमाणीकरण-की-चेन्स की-चेन macsec-kc1
की 2 प्रारंभ-वेळ 2018-03-20.20:39
crypto-officer@hostname:fips# सेट सुरक्षा प्रमाणीकरण-की-चेन्स की-चेन macsec-kc1
key 3 key-name 2345678922334455667788992223334445556667778889992222333344445554
crypto-officer@hostname:fips# सेट सुरक्षा प्रमाणीकरण-की-चेन्स की-चेन macsec-kc1
की 3 प्रारंभ-वेळ 2018-03-20.20:41
crypto-officer@hostname:fips# सेट सुरक्षा प्रमाणीकरण-की-चेन्स की-चेन macsec-kc1
key 4 key-name 2345678922334455667788992223334445556667778889992222333344445555
crypto-officer@hostname:fips# सेट सुरक्षा प्रमाणीकरण-की-चेन्स की-चेन macsec-kc1
की 4 प्रारंभ-वेळ 2018-03-20.20:43
crypto-officer@hostname:fips# सेट सुरक्षा प्रमाणीकरण-की-चेन्स की-चेन macsec-kc1
key 5 key-name 2345678922334455667788992223334445556667778889992222333344445556
crypto-officer@hostname:fips# सेट सुरक्षा प्रमाणीकरण-की-चेन्स की-चेन macsec-kc1
की 5 प्रारंभ-वेळ 2018-03-20.20:45
crypto-officer@hostname:fips# सेट सुरक्षा प्रमाणीकरण-की-चेन्स की-चेन macsec-kc1
key 6 key-name 2345678922334455667788992223334445556667778889992222333344445557
crypto-officer@hostname:fips# सेट सुरक्षा प्रमाणीकरण-की-चेन्स की-चेन macsec-kc1
की 6 प्रारंभ-वेळ 2018-03-20.20:47
crypto-officer@hostname:fips# सेट सुरक्षा प्रमाणीकरण-की-चेन्स की-चेन macsec-kc1
key 7 key-name 2345678922334455667788992223334445556667778889992222333344445558
crypto-officer@hostname:fips# सेट सुरक्षा प्रमाणीकरण-की-चेन्स की-चेन macsec-kc1
की 7 प्रारंभ-वेळ 2018-03-20.20:49
गुप्त की मूल्य प्रविष्ट करण्यासाठी प्रॉम्प्ट कमांड वापरा. उदाample, गुप्त की मूल्य आहे
2345678922334455667788992223334123456789223344556677889922233341.
[संपादित करा] crypto-officer@hostname:fips# प्रॉम्प्ट सुरक्षा प्रमाणीकरण-की-चेन्स की-चेन macseckc1 की 0 गुप्त
नवीन केक
(गुप्त):
नवीन केक पुन्हा टाइप करा
(गुप्त):
crypto-officer@hostname:fips#
प्रॉम्प्ट सुरक्षा प्रमाणीकरण-की-चेन्स की-चेन मॅकसेक1 की 1 गुप्त
नवीन केक
(गुप्त):
नवीन cak पुन्हा टाइप करा (गुप्त):
crypto-officer@hostname:fips# प्रॉम्प्ट सुरक्षा प्रमाणीकरण-की-चेन्स की-चेन macseckc1 की 2 गुप्त
नवीन केक
(गुप्त):
नवीन केक पुन्हा टाइप करा
(गुप्त):
crypto-officer@hostname:fips#
प्रॉम्प्ट सुरक्षा प्रमाणीकरण-की-चेन्स की-चेन मॅकसेक1 की 3 गुप्त
नवीन केक
(गुप्त):
नवीन केक पुन्हा टाइप करा
(गुप्त):
crypto-officer@hostname:fips#
प्रॉम्प्ट सुरक्षा प्रमाणीकरण-की-चेन्स की-चेन मॅकसेक1 की 4 गुप्त
नवीन केक
(गुप्त):
नवीन केक पुन्हा टाइप करा
(गुप्त):
crypto-officer@hostname:fips#
प्रॉम्प्ट सुरक्षा प्रमाणीकरण-की-चेन्स की-चेन मॅकसेक1 की 5 गुप्त
नवीन केक
(गुप्त):
नवीन केक पुन्हा टाइप करा
(गुप्त):
crypto-officer@hostname:fips#
प्रॉम्प्ट सुरक्षा प्रमाणीकरण-की-चेन्स की-चेन मॅकसेक1 की 6 गुप्त
नवीन केक
(गुप्त):
नवीन केक पुन्हा टाइप करा
(गुप्त):
crypto-officer@hostname:fips#
प्रॉम्प्ट सुरक्षा प्रमाणीकरण-की-चेन्स की-चेन मॅकसेक1 की 7 गुप्त
नवीन केक
(गुप्त):
नवीन cak पुन्हा टाइप करा (गुप्त):
प्रीशेअर केलेले कीचेन नाव कनेक्टिव्हिटी असोसिएशनसह संबद्ध करा.
[संपादित करा] crypto-officer@hostname:fips# सुरक्षा macsec कनेक्टिव्हिटी-असोसिएशन CA1 pre-sharedkey-chain सेट करा
macsec-kc1
crypto-officer@hostname:fips#
सुरक्षा macsec कनेक्टिव्हिटी-असोसिएशन CA1 सिफर-सूट सेट करा
gcm-aes-256
ट्रेस पर्याय मूल्ये सेट करा.
[संपादित करा] crypto-officer@hostname:fips# सुरक्षा macsec ट्रेसऑप्शन सेट करा file MACsec.log
crypto-officer@hostname:fips# सुरक्षा macsec ट्रेसऑप्शन सेट करा file आकार 4000000000
crypto-officer@hostname:fips# सुरक्षा macsec ट्रेसऑप्शन सर्व ध्वजांकित करा
इंटरफेसला ट्रेस नियुक्त करा.
[संपादित करा] crypto-officer@hostname:fips# सुरक्षा macsec इंटरफेस इंटरफेस-नाव ट्रेसऑप्शन सेट करा
file mka_xe आकार 1g
crypto-officer@hostname:fips# सुरक्षा macsec इंटरफेस इंटरफेस-नाव ट्रेसऑप्शन सेट करा
सर्व ध्वजांकित करा
कनेक्टिव्हिटी असोसिएशनसाठी MACsec सुरक्षा मोड स्टॅटिक-कॅक म्हणून कॉन्फिगर करा.
[संपादित करा] crypto-officer@hostname:fips# सुरक्षा macsec कनेक्टिव्हिटी-असोसिएशन CA1 सुरक्षा मोड सेट करा
स्टॅटिक-कॅक
MKA की सर्व्हर प्राधान्य सेट करा.
[संपादित करा] crypto-officer@hostname:fips# सुरक्षा macsec कनेक्टिव्हिटी-असोसिएशन CA1 mka keyserver-priority सेट करा
MKA ट्रान्समिट मध्यांतर सेट करा.
[संपादित करा] crypto-officer@hostname:fips# सुरक्षा macsec कनेक्टिव्हिटी-असोसिएशन CA1 mka transmitinterval सेट करा
3000
MKA सुरक्षित सक्षम करा.
[संपादित करा] crypto-officer@hostname:fips# सेट सुरक्षा macsec कनेक्टिव्हिटी-असोसिएशन CA1 समाविष्ट-sci
इंटरफेसला कनेक्टिव्हिटी असोसिएशन नियुक्त करा.
[संपादित करा] crypto-officer@hostname:fips# सुरक्षा macsec इंटरफेस इंटरफेस-नाव कनेक्टिव्हिटी असोसिएशन सेट करा
CA1
VLAN कॉन्फिगर करा tagजिंग
crypto-officer@hostname:fips# संच इंटरफेस इंटरफेस-नाम1 लवचिक-vlan-tagging
crypto-officer@hostname:fips# संच इंटरफेस इंटरफेस-name1 encapsulation flexibleethernet-services
crypto-officer@hostname:fips#
सेट इंटरफेस इंटरफेस-नाम1 युनिट 100 एन्कॅप्सुलेशन व्हलनब्रिज
crypto-officer@hostname:fips#
इंटरफेस इंटरफेस-नाम1 युनिट 100 vlan-id 100 सेट करा
crypto-officer@hostname:fips# सेट इंटरफेस इंटरफेस-नाम2 लवचिक-vlan-tagging
crypto-officer@hostname:fips# संच इंटरफेस इंटरफेस-name2 encapsulation लवचिक इथरनेट-सेवा
crypto-officer@hostname:fips#
सेट इंटरफेस इंटरफेस-नाम2 युनिट 100 एन्कॅप्सुलेशन व्हलनब्रिज
crypto-officer@hostname:fips#
इंटरफेस इंटरफेस-नाम2 युनिट 100 vlan-id 100 सेट करा
ब्रिज डोमेन कॉन्फिगर करा.
[संपादित करा] crypto-officer@hostname:fips# BD-110 डोमेन-प्रकार ब्रिज सेट करा
crypto-officer@hostname:fips# सेट ब्रिज-डोमेन BD-110 vlan-id 100
crypto-officer@hostname:fips# सेट ब्रिज-डोमेन BD-110 इंटरफेस इंटरफेस-name1 100
crypto-officer@hostname:fips# सेट ब्रिज-डोमेन BD-110 इंटरफेस इंटरफेस-name2 100

इव्हेंट लॉगिंग कॉन्फिगर करत आहे

इव्हेंट लॉगिंग ओव्हरview
मूल्यमापन केलेल्या कॉन्फिगरेशनसाठी सिस्टम लॉगद्वारे कॉन्फिगरेशन बदलांचे ऑडिट करणे आवश्यक आहे.
याव्यतिरिक्त, जुनोस ओएस हे करू शकते:

ऑडिट इव्हेंट्सना स्वयंचलित प्रतिसाद पाठवा (syslog एंट्री निर्मिती).
अधिकृत व्यवस्थापकांना ऑडिट लॉग तपासण्याची परवानगी द्या.
लेखापरीक्षण पाठवा files बाह्य सर्व्हरवर.
अधिकृत व्यवस्थापकांना सिस्टमला ज्ञात स्थितीत परत करण्याची अनुमती द्या.

मूल्यांकन केलेल्या कॉन्फिगरेशनसाठी लॉगिंगमध्ये खालील इव्हेंट्स कॅप्चर करणे आवश्यक आहे:

कॉन्फिगरेशनमधील गुप्त की डेटामध्ये बदल.
वचनबद्ध बदल.
वापरकर्त्यांचे लॉगिन/लॉगआउट.
सिस्टम स्टार्टअप.
SSH सत्र स्थापित करण्यात अयशस्वी.
SSH सत्राची स्थापना/समाप्ती.
(सिस्टम) वेळेत बदल.
सत्र लॉकिंग यंत्रणेद्वारे दूरस्थ सत्राची समाप्ती.
परस्परसंवादी सत्राची समाप्ती.

याव्यतिरिक्त, जुनिपर नेटवर्क्स शिफारस करतात की लॉगिंग देखील:

कॉन्फिगरेशनमधील सर्व बदल कॅप्चर करा.
लॉगिंग माहिती दूरस्थपणे साठवा.

इव्हेंट लॉगिंग स्थानिक वर कॉन्फिगर करणे File
तुम्ही स्थानिकांना ऑडिट माहितीचे संचयन कॉन्फिगर करू शकता file syslog विधानासह. या माजीample स्टोअर लॉग इन a file ऑडिट नावाचे -File:
सिस्टम [संपादित करा] syslog {
file ऑडिट-File;
}
इव्हेंट संदेशांचा अर्थ लावणे
खालील आउटपुट असे दर्शवितेampघटना संदेश.
फेब्रुवारी २७ ०२:३३:०४ bm-a mgd[27]: UI_LOGIN_EVENT: वापरकर्ता 'सुरक्षा-अधिकारी' लॉगिन, वर्ग 'j-सुपरयुजर'
[००६],
ssh-कनेक्शन ”, क्लायंट-मोड
'cli'
फेब्रुवारी 27 02:33:49 bm-a mgd[6520]: UI_DBASE_LOGIN_EVENT: वापरकर्ता 'सुरक्षा-अधिकारी' कॉन्फिगरेशनमध्ये प्रवेश करत आहे
मोड
फेब्रुवारी 27 02:38:29 bm-a mgd[6520]: UI_CMDLINE_READ_LINE: वापरकर्ता 'सुरक्षा-अधिकारी', कमांड 'रन शो
लॉग
ऑडिट लॉग | grep लॉगिन
पृष्ठ 4 वरील तक्ता 69 इव्हेंट संदेशासाठी फील्डचे वर्णन करते. जर सिस्टम लॉगिंग युटिलिटी विशिष्ट फील्डमधील मूल्य निर्धारित करू शकत नसेल, तर त्याऐवजी हायफन ( – ) दिसेल.
तक्ता 4: इव्हेंट संदेशांमधील फील्ड

फील्ड	वर्णन	Exampलेस
वेळamp	संदेश व्युत्पन्न झाला तेव्हाची वेळ, दोनपैकी एकात: • MMM-DD HH:MM:SS.MS+/-HH:MM, स्थानिक वेळेत महिना, दिवस, तास, मिनिट, सेकंद आणि मिलिसेकंद आहे. अधिक चिन्ह (+) किंवा वजा चिन्ह (-) चे अनुसरण करणारे तास आणि मिनिट हे समन्वित युनिव्हर्सल टाइम (UTC) पासून स्थानिक टाइम झोनचे ऑफसेट आहे. • YYYY-MM-DDTHH:MM:SS.MSZ हे UTC मध्ये वर्ष, महिना, दिवस, तास, मिनिट, सेकंद आणि मिलिसेकंद आहे.	फेब्रुवारी 27 02:33:04 ही सर्वात वेळ आहेamp युनायटेड स्टेट्स मध्ये स्थानिक वेळ म्हणून व्यक्त. 2012-02-27T03:17:15.713Z is 2 फेब्रुवारी रोजी 33:27 AM UTC 2012.
होस्टनाव	मूलतः संदेश व्युत्पन्न करणाऱ्या होस्टचे नाव.	राउटर1
प्रक्रिया	संदेश व्युत्पन्न केलेल्या Junos OS प्रक्रियेचे नाव.	mgd
प्रोसेसआयडी	जुनोस OS प्रक्रियेचा UNIX प्रोसेस आयडी (PID) ज्याने संदेश व्युत्पन्न केला.	4153
TAG	जुनोस ओएस सिस्टम लॉग संदेश tag, जे विशिष्टपणे संदेश ओळखते.	UI_DBASE_LOGOUT_EVENT
वापरकर्तानाव	इव्हेंट सुरू करणाऱ्या वापरकर्त्याचे वापरकर्तानाव.	"प्रशासक"
संदेश-मजकूर	कार्यक्रमाचे इंग्रजी-भाषेतील वर्णन.	सेट: [सिस्टम त्रिज्या-सर्व्हर 1.2.3.4 गुप्त]

गुप्त डेटामध्ये बदल लॉग करणे
खालील माजी आहेतampगुप्त डेटा बदलणाऱ्या इव्हेंटचे ऑडिट लॉग. जेव्हा जेव्हा कॉन्फिगरेशनमध्ये बदल होतो example, syslog इव्हेंटने खालील लॉग कॅप्चर केले पाहिजेत:
जुलै 24 17:43:28 राउटर1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: वापरकर्ता 'प्रशासक' संच:
[सिस्टम त्रिज्या-सर्व्हर 1.2.3.4 गुप्त] जुलै 24 17:43:28 राउटर1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: वापरकर्ता 'प्रशासक' संच:
[सिस्टम लॉगिन वापरकर्ता प्रशासक प्रमाणीकरण एनक्रिप्टेड-पासवर्ड] जुलै 24 17:43:28 राउटर1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: वापरकर्ता 'प्रशासक' संच:
[सिस्टम लॉगिन वापरकर्ता admin2 प्रमाणीकरण एनक्रिप्टेड-पासवर्ड] प्रत्येक वेळी कॉन्फिगरेशन अद्यतनित किंवा बदलले जाते तेव्हा, सिस्लॉगने हे लॉग कॅप्चर केले पाहिजेत:
24 जुलै 18:29:09 राउटर1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: वापरकर्ता 'प्रशासक' बदला:
[सिस्टम त्रिज्या-सर्व्हर 1.2.3.4 गुप्त] जुलै 24 18:29:09 राउटर1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: वापरकर्ता 'प्रशासक' बदला:
[सिस्टम लॉगिन वापरकर्ता प्रशासक प्रमाणीकरण एन्क्रिप्टेड-पासवर्ड] जुलै 24 18:29:09 राउटर1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: वापरकर्ता 'प्रशासक' बदला:
[सिस्टम लॉगिन वापरकर्ता प्रशासक प्रमाणीकरण एनक्रिप्टेड-पासवर्ड] पॅरामीटर्स कॉन्फिगर करणे आणि लॉग व्यवस्थापित करणे याबद्दल अधिक माहितीसाठी files, जुनोस ओएस सिस्टम पहा
लॉग संदेश संदर्भ.
SSH वापरून लॉगिन आणि लॉगआउट कार्यक्रम
जेव्हा वापरकर्ता यशस्वीरित्या किंवा अयशस्वीपणे SSH प्रवेश करण्याचा प्रयत्न करतो तेव्हा सिस्टम लॉग संदेश व्युत्पन्न केले जातात. लॉगआउट इव्हेंट देखील रेकॉर्ड केले जातात. उदाample, खालील लॉग हे दोन अयशस्वी प्रमाणीकरण प्रयत्नांचे परिणाम आहेत, नंतर एक यशस्वी, आणि शेवटी लॉगआउट:
डिसेंबर 20 23:17:35 bilbo sshd[16645]: 172.17.58.45 पोर्ट 1673 ssh2 वरून op साठी अयशस्वी पासवर्ड
डिसेंबर 20 23:17:42 bilbo sshd[16645]: 172.17.58.45 पोर्ट 1673 ssh2 वरून op साठी अयशस्वी पासवर्ड
डिसेंबर 20 23:17:53 bilbo sshd[16645]: 172.17.58.45 पोर्ट 1673 ssh2 वरून op साठी स्वीकृत पासवर्ड
डिसेंबर 20 23:17:53 bilbo mgd[16648]: UI_AUTH_EVENT: परवानगी स्तरावर प्रमाणीकृत वापरकर्ता 'op'
'j-ऑपरेटर'
डिसेंबर २० २३:१७:५३ बिल्बो एमजीडी[१६६४८]: UI_LOGIN_EVENT: वापरकर्ता 'op' लॉगिन, वर्ग 'j-operator' [१६६४८] डिसें २० २३:१७:५६ बिल्बो एमजीडी[१६६४८]: UI_CMDLINE:'User'ADLINE_REop 'सोड' आदेश
डिसेंबर 20 23:17:56 bilbo mgd[16648]: UI_LOGOUT_EVENT: वापरकर्ता 'op' लॉगआउट
ऑडिट स्टार्टअपचे लॉगिंग
लॉग केलेल्या ऑडिट माहितीमध्ये Junos OS च्या स्टार्टअपचा समावेश आहे. यामुळे ऑडिट सिस्टमच्या स्टार्टअप इव्हेंट्सची ओळख होते, जी स्वतंत्रपणे अक्षम किंवा सक्षम केली जाऊ शकत नाही. उदाample, Junos OS रीस्टार्ट झाल्यास, ऑडिट लॉगमध्ये खालील माहिती असते:
20 डिसेंबर 23:17:35 बिल्बो syslogd: सिग्नल 14 वर बाहेर पडत आहे
डिसेंबर 20 23:17:35 bilbo syslogd: रीस्टार्ट करा
डिसेंबर 20 23:17:35 bilbo syslogd /kernel: डिसेंबर 20 23:17:35 init: syslogd (PID 19128) सह बाहेर पडले
स्थिती=1
20 डिसेंबर 23:17:42 बिल्बो /कर्नल:
डिसेंबर 20 23:17:53 init: syslogd (PID 19200) सुरू

डिव्हाइसवर स्वयं-चाचण्या करणे

FIPS स्व-चाचण्या समजून घेणे
क्रिप्टोग्राफिक मॉड्यूल ज्युनिपर नेटवर्क्स जुनोस कार्यरत असल्याची खात्री करण्यासाठी सुरक्षा नियमांची अंमलबजावणी करते
FIPS मोडमधील प्रणाली (जुनोस ओएस) FIPS 140-2 स्तर 1 च्या सुरक्षा आवश्यकता पूर्ण करते. प्रमाणित करण्यासाठी
FIPS साठी मंजूर क्रिप्टोग्राफिक अल्गोरिदमचे आउटपुट आणि काही सिस्टम मॉड्यूल्सच्या अखंडतेची चाचणी,
डिव्हाइस ज्ञात उत्तर चाचणी (KAT) स्वयं-चाचण्यांची खालील मालिका करते:

kernel_kats—कर्नल क्रिप्टोग्राफिक दिनचर्यासाठी KAT
md_kats—अंग आणि libc साठी KAT
openssl_kats—ओपनएसएसएल क्रिप्टोग्राफिक अंमलबजावणीसाठी KAT
Quicksec_kats—QuickSec टूलकिट क्रिप्टोग्राफिक अंमलबजावणीसाठी KAT
ssh_ipsec_kats—SSH IPsec टूलकिट क्रिप्टोग्राफिक अंमलबजावणीसाठी KAT
macsec_kats—MACsec क्रिप्टोग्राफिक अंमलबजावणीसाठी KAT

KAT स्वयं-चाचण्या स्टार्टअपवर स्वयंचलितपणे केल्या जातात. डिजिटल स्वाक्षरी केलेले सॉफ्टवेअर पॅकेज, व्युत्पन्न यादृच्छिक क्रमांक, RSA आणि ECDSA की जोड्या आणि मॅन्युअली एंटर केलेल्या की सत्यापित करण्यासाठी सशर्त स्वयं-चाचण्या देखील स्वयंचलितपणे केल्या जातात.
KATs यशस्वीरित्या पूर्ण झाल्यास, सिस्टम लॉग (syslog) file अंमलात आणलेल्या चाचण्या प्रदर्शित करण्यासाठी अद्यतनित केले आहे.
KAT अयशस्वी झाल्यास, डिव्हाइस सिस्टम लॉगवर तपशील लिहिते file, FIPS एरर स्टेट (पॅनिक) मध्ये प्रवेश करते आणि रीबूट होते.
द file show /var/log/messages कमांड सिस्टम लॉग प्रदर्शित करते.
तुम्ही विनंती vmhost रीबूट कमांड जारी करून FIPS स्व-चाचणी देखील चालवू शकता. जेव्हा सिस्टम येत असेल तेव्हा तुम्ही कन्सोलवर FIPS स्व-चाचणी लॉग पाहू शकता.
Example: FIPS स्व-चाचण्या कॉन्फिगर करा
या माजीample हे दर्शविते की वेळोवेळी चालवण्यासाठी FIPS स्व-चाचण्या कशा कॉन्फिगर करायच्या.
हार्डवेअर आणि सॉफ्टवेअर आवश्यकता

FIPS स्व-चाचण्या कॉन्फिगर करण्यासाठी तुमच्याकडे प्रशासकीय विशेषाधिकार असणे आवश्यक आहे.
डिव्हाइसने FIPS मोड सॉफ्टवेअरमध्ये जुनोस OS ची मूल्यमापन केलेली आवृत्ती चालवली पाहिजे.

ओव्हरview
FIPS स्व-चाचणीमध्ये ज्ञात उत्तर चाचण्यांचे (KATs) खालील संच असतात:

kernel_kats—कर्नल क्रिप्टोग्राफिक दिनचर्यासाठी KAT
md_kats—libmd आणि libc साठी KAT
Quicksec_kats—QuickSec टूलकिट क्रिप्टोग्राफिक अंमलबजावणीसाठी KAT
openssl_kats—ओपनएसएसएल क्रिप्टोग्राफिक अंमलबजावणीसाठी KAT
ssh_ipsec_kats—SSH IPsec टूलकिट क्रिप्टोग्राफिक अंमलबजावणीसाठी KAT
macsec_kats—MACsec क्रिप्टोग्राफिक अंमलबजावणीसाठी KAT
यामध्ये माजीample, FIPS स्व-चाचणी दर बुधवारी, USA, न्यूयॉर्क शहरात सकाळी 9:00 वाजता कार्यान्वित केली जाते.

टीप: साप्ताहिक चाचण्यांऐवजी, तुम्ही महिना आणि महिन्याचे दिवस स्टेटमेंट समाविष्ट करून मासिक चाचण्या कॉन्फिगर करू शकता.
जेव्हा KAT स्व-चाचणी अयशस्वी होते, तेव्हा सिस्टम लॉग संदेशांवर एक लॉग संदेश लिहिला जातो file चाचणी अपयशाच्या तपशीलांसह. मग सिस्टम घाबरते आणि रीबूट होते.
CLI द्रुत कॉन्फिगरेशन
हे त्वरीत कॉन्फिगर करण्यासाठी माजीample, खालील आज्ञा कॉपी करा, त्यांना मजकूरात पेस्ट करा file, कोणतेही लाइन ब्रेक काढून टाका, तुमच्या नेटवर्क कॉन्फिगरेशनशी जुळण्यासाठी आवश्यक असलेले कोणतेही तपशील बदला, आणि नंतर पदानुक्रम स्तरावर CLI मध्ये आज्ञा कॉपी आणि पेस्ट करा.
सिस्टम fips स्व-चाचणी नियतकालिक प्रारंभ-वेळ 09:00 सेट करा
सेट सिस्टम fips स्व-चाचणी नियतकालिक आठवड्यातील दिवस 3
चरण-दर-चरण प्रक्रिया
FIPS स्व-चाचणी कॉन्फिगर करण्यासाठी, क्रिप्टो-ऑफिसर क्रेडेन्शियल्ससह डिव्हाइसवर लॉग इन करा:

दर बुधवारी सकाळी 9:00 वाजता कार्यान्वित करण्यासाठी FIPS स्व-चाचणी कॉन्फिगर करा.
[सिस्टम fips स्व-चाचणी संपादित करा] crypto-officer@hostname:fips# नियतकालिक प्रारंभ-वेळ सेट करा 09:00
crypto-officer@hostname:fips# आठवड्याचे नियतकालिक दिवस 3 सेट करा
तुम्ही डिव्हाइस कॉन्फिगर करणे पूर्ण केले असल्यास, कॉन्फिगरेशन करा.
[सिस्टम fips स्व-चाचणी संपादित करा] crypto-officer@hostname:fips# कमिट

परिणाम
कॉन्फिगरेशन मोडमधून, शो सिस्टम कमांड जारी करून तुमच्या कॉन्फिगरेशनची पुष्टी करा. आउटपुट इच्छित कॉन्फिगरेशन प्रदर्शित करत नसल्यास, या माजी मधील सूचना पुन्हा कराampकॉन्फिगरेशन दुरुस्त करण्यासाठी le.
crypto-officer@hostname:fips# सिस्टीम दाखवा
फिप्स {
स्वपरीक्षा {
नियतकालिक {
प्रारंभ वेळ "09:00";
आठवड्यातील दिवस 3;
}
}
}

पडताळणी

कॉन्फिगरेशन योग्यरित्या कार्य करत असल्याची पुष्टी करा.
FIPS स्व-चाचणी सत्यापित करत आहे

उद्देश
FIPS स्व-चाचणी सक्षम असल्याचे सत्यापित करा.
कृती
विनंती प्रणाली fips स्व-चाचणी आदेश जारी करून FIPS स्व-चाचणी व्यक्तिचलितपणे चालवा किंवा डिव्हाइस रीबूट करा.
विनंती प्रणाली fips स्व-चाचणी आदेश जारी केल्यानंतर किंवा डिव्हाइस रीबूट केल्यानंतर, सिस्टम लॉग file अंमलात आणलेल्या KAT प्रदर्शित करण्यासाठी अद्यतनित केले जाते. ला view सिस्टम लॉग file, जारी करा file /var/log/ संदेश कमांड दाखवा.
user@host# file दाखवा /var/log/messages
RE KATS:
mgd: FIPS स्व-चाचण्या चालवत आहे
mgd: चाचणी कर्नल KATS:
mgd: NIST 800-90 HMAC DRBG ज्ञात उत्तर चाचणी: उत्तीर्ण
mgd: DES3-CBC ज्ञात उत्तर चाचणी: उत्तीर्ण
mgd: HMAC-SHA1 ज्ञात उत्तर चाचणी: उत्तीर्ण
mgd: HMAC-SHA2-256 ज्ञात उत्तर चाचणी: उत्तीर्ण
mgd: SHA-2-384 ज्ञात उत्तर चाचणी: उत्तीर्ण
mgd: SHA-2-512 ज्ञात उत्तर चाचणी: उत्तीर्ण
mgd: AES128-CMAC ज्ञात उत्तर चाचणी: उत्तीर्ण
mgd: AES-CBC ज्ञात उत्तर चाचणी: उत्तीर्ण
mgd: चाचणी MACSec KATS:
mgd: AES128-CMAC ज्ञात उत्तर चाचणी: उत्तीर्ण
mgd: AES256-CMAC ज्ञात उत्तर चाचणी: उत्तीर्ण
mgd: AES-ECB ज्ञात उत्तर चाचणी: उत्तीर्ण
mgd: AES-KEYWRAP ज्ञात उत्तर चाचणी: उत्तीर्ण
mgd: KBKDF ज्ञात उत्तर चाचणी: उत्तीर्ण
mgd: चाचणी libmd KATS:
mgd: HMAC-SHA1 ज्ञात उत्तर चाचणी: उत्तीर्ण
mgd: HMAC-SHA2-256 ज्ञात उत्तर चाचणी: उत्तीर्ण
mgd: SHA-2-512 ज्ञात उत्तर चाचणी: उत्तीर्ण
mgd: OpenSSL KATS चाचणी करत आहे:
mgd: NIST 800-90 HMAC DRBG ज्ञात उत्तर चाचणी: उत्तीर्ण
mgd: FIPS ECDSA ज्ञात उत्तर चाचणी: उत्तीर्ण
mgd: FIPS ECDH ज्ञात उत्तर चाचणी: उत्तीर्ण
mgd: FIPS RSA ज्ञात उत्तर चाचणी: उत्तीर्ण
mgd: DES3-CBC ज्ञात उत्तर चाचणी: उत्तीर्ण
mgd: HMAC-SHA1 ज्ञात उत्तर चाचणी: उत्तीर्ण
mgd: HMAC-SHA2-224 ज्ञात उत्तर चाचणी: उत्तीर्ण
mgd: HMAC-SHA2-256 ज्ञात उत्तर चाचणी: उत्तीर्ण
mgd: HMAC-SHA2-384 ज्ञात उत्तर चाचणी: उत्तीर्ण
mgd: HMAC-SHA2-512 ज्ञात उत्तर चाचणी: उत्तीर्ण
mgd: AES-CBC ज्ञात उत्तर चाचणी: उत्तीर्ण
mgd: AES-GCM ज्ञात उत्तर चाचणी: उत्तीर्ण
mgd: ECDSA-SIGN ज्ञात उत्तर चाचणी: उत्तीर्ण
mgd: KDF-IKE-V1 ज्ञात उत्तर चाचणी: उत्तीर्ण
mgd: KDF-SSH-SHA256 ज्ञात उत्तर चाचणी: उत्तीर्ण
mgd: KAS-ECC-EPHEM-UNIFIED-NOKC ज्ञात उत्तर चाचणी: उत्तीर्ण
mgd: KAS-FFC-EPHEM-NOKC ज्ञात उत्तर चाचणी: उत्तीर्ण
mgd: QuickSec 7.0 KATS चाचणी करत आहे:
mgd: NIST 800-90 HMAC DRBG ज्ञात उत्तर चाचणी: उत्तीर्ण
mgd: DES3-CBC ज्ञात उत्तर चाचणी: उत्तीर्ण
mgd: HMAC-SHA1 ज्ञात उत्तर चाचणी: उत्तीर्ण
mgd: HMAC-SHA2-224 ज्ञात उत्तर चाचणी: उत्तीर्ण
mgd: HMAC-SHA2-256 ज्ञात उत्तर चाचणी: उत्तीर्ण
mgd: HMAC-SHA2-384 ज्ञात उत्तर चाचणी: उत्तीर्ण
mgd: HMAC-SHA2-512 ज्ञात उत्तर चाचणी: उत्तीर्ण
mgd: AES-CBC ज्ञात उत्तर चाचणी: उत्तीर्ण
mgd: AES-GCM ज्ञात उत्तर चाचणी: उत्तीर्ण
mgd: SSH-RSA-ENC ज्ञात उत्तर चाचणी: उत्तीर्ण
mgd: SSH-RSA-SIGN ज्ञात उत्तर चाचणी: उत्तीर्ण
mgd: SSH-ECDSA-SIGN ज्ञात उत्तर चाचणी: उत्तीर्ण
mgd: KDF-IKE-V1 ज्ञात उत्तर चाचणी: उत्तीर्ण
mgd: KDF-IKE-V2 ज्ञात उत्तर चाचणी: उत्तीर्ण
mgd: QuickSec KATS चाचणी करत आहे:
mgd: NIST 800-90 HMAC DRBG ज्ञात उत्तर चाचणी: उत्तीर्ण
mgd: DES3-CBC ज्ञात उत्तर चाचणी: उत्तीर्ण
mgd: HMAC-SHA1 ज्ञात उत्तर चाचणी: उत्तीर्ण
mgd: HMAC-SHA2-224 ज्ञात उत्तर चाचणी: उत्तीर्ण
mgd: HMAC-SHA2-256 ज्ञात उत्तर चाचणी: उत्तीर्ण
mgd: HMAC-SHA2-384 ज्ञात उत्तर चाचणी: उत्तीर्ण
mgd: HMAC-SHA2-512 ज्ञात उत्तर चाचणी: उत्तीर्ण
mgd: AES-CBC ज्ञात उत्तर चाचणी: उत्तीर्ण
mgd: AES-GCM ज्ञात उत्तर चाचणी: उत्तीर्ण
mgd: SSH-RSA-ENC ज्ञात उत्तर चाचणी: उत्तीर्ण
mgd: SSH-RSA-SIGN ज्ञात उत्तर चाचणी: उत्तीर्ण
mgd: KDF-IKE-V1 ज्ञात उत्तर चाचणी: उत्तीर्ण
mgd: KDF-IKE-V2 ज्ञात उत्तर चाचणी: उत्तीर्ण
mgd: चाचणी SSH IPsec KATS:
mgd: NIST 800-90 HMAC DRBG ज्ञात उत्तर चाचणी: उत्तीर्ण
mgd: DES3-CBC ज्ञात उत्तर चाचणी: उत्तीर्ण
mgd: HMAC-SHA1 ज्ञात उत्तर चाचणी: उत्तीर्ण
mgd: HMAC-SHA2-256 ज्ञात उत्तर चाचणी: उत्तीर्ण
mgd: AES-CBC ज्ञात उत्तर चाचणी: उत्तीर्ण
mgd: SSH-RSA-ENC ज्ञात उत्तर चाचणी: उत्तीर्ण
mgd: SSH-RSA-SIGN ज्ञात उत्तर चाचणी: उत्तीर्ण
mgd: KDF-IKE-V1 ज्ञात उत्तर चाचणी: उत्तीर्ण
mgd: चाचणी file अखंडता:
mgd: File अखंडता ज्ञात उत्तर चाचणी: उत्तीर्ण
mgd: क्रिप्टो अखंडतेची चाचणी करणे:
mgd: क्रिप्टो अखंडता ज्ञात उत्तर चाचणी: उत्तीर्ण
mgd: एक exec AuthenticatiMAC/veriexec अपेक्षित आहे: फिंगरप्रिंट नाही (file=/sbin/kats/cannot-exec
fsid=246 fileid=49356 gen=1 uid=0 pid=9384 ppid=9354 gppid=9352)त्रुटीवर…
mgd: /sbin/kats/run-tests: /sbin/kats/cannot-exec: प्रमाणीकरण त्रुटी
mgd: FIPS स्वयं-चाचण्या उत्तीर्ण
LC KATS:
12 सप्टेंबर 10:50:44 network_macsec_kats_input xe- /0/0:0:
no> pic:0 port:0 chan:0 FIPS AES-256-GCM MACsec KATS एन्क्रिप्शन पास झाले
12 सप्टेंबर 10:50:50 network_macsec_kats_input xe- /0/1:0:
no> pic:0 port:1 chan:0 FIPS AES-256-GCM MACsec KATS एन्क्रिप्शन पास झाले
12 सप्टेंबर 10:50:55 network_macsec_kats_input xe- /0/0:0:
no> pic:0 port:0 chan:0 FIPS AES-256-GCM MACsec KATS डिक्रिप्शन पास झाले
12 सप्टेंबर 10:50:56 network_macsec_kats_input xe- /0/2:0:
no> pic:0 port:2 chan:0 FIPS AES-256-GCM MACsec KATS एन्क्रिप्शन पास झाले
12 सप्टेंबर 10:51:01 network_macsec_kats_input xe- /0/1:0:
no> pic:0 port:1 chan:0 FIPS AES-256-GCM MACsec KATS डिक्रिप्शन पास झाले
12 सप्टेंबर 10:51:02 network_macsec_kats_input xe- /0/2:0:
no> pic:0 port:2 chan:0 FIPS AES-256-GCM MACsec KATS डिक्रिप्शन पास झाले
12 सप्टेंबर 10:51:06 network_macsec_kats_input xe- /0/3:0:
no> pic:0 port:3 chan:0 FIPS AES-256-GCM MACsec KATS एन्क्रिप्शन पास झाले
12 सप्टेंबर 10:51:12 network_macsec_kats_input xe- /0/3:0:
no> pic:0 port:3 chan:0 FIPS AES-256-GCM MACsec KATS डिक्रिप्शन पास झाले
12 सप्टेंबर 10:51:17 network_macsec_kats_input xe- /0/4:0:
no> pic:0 port:4 chan:0 FIPS AES-256-GCM MACsec KATS एन्क्रिप्शन पास झाले
12 सप्टेंबर 10:51:17 network_macsec_kats_input xe- /0/4:0:
no> pic:0 port:4 chan:0 FIPS AES-256-GCM MACsec KATS डिक्रिप्शन पास झाले
12 सप्टेंबर 10:51:26 network_macsec_kats_input xe- /0/5:0:
no> pic:0 port:5 chan:0 FIPS AES-256-GCM MACsec KATS एन्क्रिप्शन पास झाले
12 सप्टेंबर 10:51:27 network_macsec_kats_input xe- /0/5:0:
no> pic:0 port:5 chan:0 FIPS AES-256-GCM MACsec KATS डिक्रिप्शन पास झाले
12 सप्टेंबर 10:51:36 network_macsec_kats_input xe- /0/6:0:
no> pic:0 port:6 chan:0 FIPS AES-256-GCM MACsec KATS एन्क्रिप्शन पास झाले
12 सप्टेंबर 10:51:36 network_macsec_kats_input xe- /0/6:0:
no> pic:0 port:6 chan:0 FIPS AES-256-GCM MACsec KATS डिक्रिप्शन पास झाले
12 सप्टेंबर 10:51:44 network_macsec_kats_input xe- /0/7:0:
no> pic:0 port:7 chan:0 FIPS AES-256-GCM MACsec KATS एन्क्रिप्शन पास झाले
12 सप्टेंबर 10:51:44 network_macsec_kats_input xe- /0/7:0:
no> pic:0 port:7 chan:0 FIPS AES-256-GCM MACsec KATS डिक्रिप्शन पास झाले
12 सप्टेंबर 10:51:51 network_macsec_kats_input xe- /0/8:0:
no> pic:0 port:8 chan:0 FIPS AES-256-GCM MACsec KATS एन्क्रिप्शन पास झाले
12 सप्टेंबर 10:51:51 network_macsec_kats_input xe- /0/8:0:
no> pic:0 port:8 chan:0 FIPS AES-256-GCM MACsec KATS डिक्रिप्शन पास झाले
12 सप्टेंबर 10:51:58 network_macsec_kats_input xe- /0/9:0:
no> pic:0 port:9 chan:0 FIPS AES-256-GCM MACsec KATS एन्क्रिप्शन पास झाले
12 सप्टेंबर 10:51:58 network_macsec_kats_input xe- /0/9:0:
no> pic:0 port:9 chan:0 FIPS AES-256-GCM MACsec KATS डिक्रिप्शन पास झाले
12 सप्टेंबर 10:52:05 network_macsec_kats_input xe- /0/10:0:
स्लॉट नंबर> pic:0 पोर्ट:10 chan:0 FIPS AES-256-GCM MACsec KATS एन्क्रिप्शन पास झाले
12 सप्टेंबर 10:52:05 network_macsec_kats_input xe- /0/10:0:
स्लॉट नंबर> pic:0 पोर्ट:10 chan:0 FIPS AES-256-GCM MACsec KATS डिक्रिप्शन पास झाले
12 सप्टेंबर 10:52:12 network_macsec_kats_input xe- /0/11:0:
स्लॉट नंबर> pic:0 पोर्ट:11 chan:0 FIPS AES-256-GCM MACsec KATS एन्क्रिप्शन पास झाले
12 सप्टेंबर 10:52:12 network_macsec_kats_input xe- /0/11:0:
स्लॉट नंबर> pic:0 पोर्ट:11 chan:0 FIPS AES-256-GCM MACsec KATS डिक्रिप्शन पास झाले
12 सप्टेंबर 10:52:20 network_macsec_kats_input xe- /1/0:0:
no> pic:1 port:0 chan:0 FIPS AES-256-GCM MACsec KATS एन्क्रिप्शन पास झाले
12 सप्टेंबर 10:52:20 network_macsec_kats_input xe- /1/0:0:
no> pic:1 port:0 chan:0 FIPS AES-256-GCM MACsec KATS डिक्रिप्शन पास झाले
12 सप्टेंबर 10:52:27 network_macsec_kats_input xe- /1/1:0:
no> pic:1 port:1 chan:0 FIPS AES-256-GCM MACsec KATS एन्क्रिप्शन पास झाले
12 सप्टेंबर 10:52:28 network_macsec_kats_input xe- /1/1:0:
no> pic:1 port:1 chan:0 FIPS AES-256-GCM MACsec KATS डिक्रिप्शन पास झाले
12 सप्टेंबर 10:52:34 network_macsec_kats_input xe- /1/2:0:
no> pic:1 port:2 chan:0 FIPS AES-256-GCM MACsec KATS एन्क्रिप्शन पास झाले
अर्थ
सिस्टम लॉग file KATs कार्यान्वित झाल्याची तारीख आणि वेळ आणि त्यांची स्थिती प्रदर्शित करते.

ऑपरेशनल कमांड्स

वाक्यरचना
सिस्टम शून्य करण्याची विनंती करा
वर्णन
RE1800 साठी, राउटिंग इंजिनवरील सर्व कॉन्फिगरेशन माहिती काढून टाका आणि सर्व की व्हॅल्यू रीसेट करा. डिव्हाइसमध्ये दुहेरी रूटिंग इंजिन असल्यास, कमांड डिव्हाइसवरील सर्व रूटिंग इंजिनवर प्रसारित केली जाते. कमांड सर्व डेटा काढून टाकते files, सानुकूलित कॉन्फिगरेशन आणि लॉगसह files, अनलिंक करून files त्यांच्या निर्देशिकांमधून. कमांड वापरकर्त्याने तयार केलेले सर्व काढून टाकते fileSSH, स्थानिक एनक्रिप्शन, स्थानिक प्रमाणीकरण, IPsec, RADIUS, TACACS+ आणि SNMP साठी सर्व साधे मजकूर संकेतशब्द, रहस्ये आणि खाजगी की समाविष्ट करून सिस्टीममधील s.
हा आदेश डिव्हाइस रीबूट करतो आणि फॅक्टरी डीफॉल्ट कॉन्फिगरेशनवर सेट करतो. रीबूट केल्यानंतर, तुम्ही व्यवस्थापन इथरनेट इंटरफेसद्वारे डिव्हाइसमध्ये प्रवेश करू शकत नाही. रूट म्हणून कन्सोलद्वारे लॉग इन करा आणि प्रॉम्प्टवर cli टाइप करून जुनोस OS CLI सुरू करा.
आवश्यक विशेषाधिकार स्तर
देखभाल
विनंती vmhost zeroize no-forwarding
वाक्यरचना
विनंती vmhost zeroize no-forwarding
वर्णन
REMX2K-X8 साठी, राउटिंग इंजिनवरील सर्व कॉन्फिगरेशन माहिती काढून टाका आणि सर्व मुख्य मूल्ये रीसेट करा. डिव्हाइसमध्ये दुहेरी रूटिंग इंजिन असल्यास, कमांड डिव्हाइसवरील दोन्ही रूटिंग इंजिनवर प्रसारित केली जाते.
कमांड सर्व डेटा काढून टाकते files, सानुकूलित कॉन्फिगरेशन आणि लॉगसह files, अनलिंक करून files त्यांच्या निर्देशिकांमधून. कमांड वापरकर्त्याने तयार केलेले सर्व काढून टाकते fileSSH, स्थानिक एनक्रिप्शन, स्थानिक प्रमाणीकरण, IPsec, RADIUS, TACACS+ आणि SNMP साठी सर्व साधे-मजकूर संकेतशब्द, रहस्ये आणि खाजगी की समाविष्ट करून सिस्टीममधील s.
हा आदेश डिव्हाइस रीबूट करतो आणि फॅक्टरी-डिफॉल्ट कॉन्फिगरेशनवर सेट करतो. रीबूट केल्यानंतर, तुम्ही व्यवस्थापन इथरनेट इंटरफेसद्वारे डिव्हाइसमध्ये प्रवेश करू शकत नाही. रूट वापरकर्ता म्हणून कन्सोलद्वारे लॉग इन करा आणि प्रॉम्प्टवर cli टाइप करून Junos OS CLI सुरू करा.
Sample आउटपुट
विनंती vmhost zeroize no-forwarding
user@host> विनंती vmhost zeroize no-forwarding
VMHost शून्यीकरण : कॉन्फिगरेशन आणि लॉगसह सर्व डेटा पुसून टाका files ?
[होय, नाही] (नाही) होय
re0:
चेतावणी: Vmhost रीबूट होईल आणि त्याशिवाय बूट होणार नाही
कॉन्फिगरेशन
चेतावणी: vmhost सह पुढे जात आहे
शून्य करणे
शून्य दुय्यम अंतर्गत डिस्क
दुय्यम वर zeroize सह पुढे जाणे
डिस्क
साठी तयारी मध्ये आरोहित साधन
शून्य करा…
शून्यासाठी लक्ष्य डिस्क साफ करणे
निशाणावर शून्य केले
डिस्क
दुय्यम डिस्कचे शून्यीकरण
पूर्ण
प्राथमिक अंतर्गत डिस्क शून्य करा
प्राथमिक वर zeroize सह पुढे जात आहे
डिस्क
/etc/ssh/ssh_host_ecdsa_key.pub
/etc/ssh/ssh_host_rsa_key
/etc/ssh/ssh_host_dsa_key.pub
/etc/ssh/ssh_host_rsa_key.pub
/etc/ssh/ssh_host_ecdsa_key
/etc/ssh/ssh_host_dsa_key
साठी तयारी मध्ये आरोहित साधन
शून्य करा…
शून्यासाठी लक्ष्य डिस्क साफ करणे
निशाणावर शून्य केले
डिस्क
प्राथमिक डिस्कचे शून्यीकरण
पूर्ण
शून्य करा
पूर्ण
—(अधिक)— थांबत आहे
क्रॉन
PIDS ची प्रतीक्षा करत आहे:
6135.
.
फेब्रुवारी 16 14:59:33 jlaunchd: नियतकालिक-पॅकेट-सेवा (PID 6181) समाप्त सिग्नल 15 पाठवले
16 फेब्रुवारी 14:59:33 jlaunchd: smg-service (PID 6234) टर्मिनेट सिग्नल 15 पाठवले
फेब्रुवारी १६ 16:14:59 jlaunchd: अर्ज-ओळख (PID 33) समाप्त सिग्नल 6236 पाठवले
फेब्रु 16 14:59:33 jlaunchd: ifstate-tracing-process (PID 6241) समाप्त सिग्नल 15 पाठवला
फेब्रु 16 14:59:33 jlaunchd: संसाधन-व्यवस्थापन (PID 6243) समाप्त सिग्नल 15 पाठवले
फेब्रु 16 14:59:33 jlaunchd: चार्ज केलेले (PID 6246) समाप्त सिग्नल 15 पाठवले
फेब्रु 16 14:59:33 jlaunchd: परवाना-सेवा (PID 6255) समाप्त सिग्नल 15 पाठवला
16 फेब्रुवारी 14:59:33 jlaunchd: ntp (PID 6620) टर्मिनेट सिग्नल 15 पाठवला
16 फेब्रुवारी 14:59:33 jlaunchd: gkd-चेसिस (PID 6621) टर्मिनेट सिग्नल 15 पाठवले
16 फेब्रुवारी 14:59:33 jlaunchd: gkd-lchassis (PID 6622) टर्मिनेट सिग्नल 15 पाठवले
फेब्रु 16 14:59:33 jlaunchd: राउटिंग (PID 6625) टर्मिनेट सिग्नल 15 पाठवले
16 फेब्रुवारी 14:59:33 jlaunchd: sonet-aps (PID 6626) टर्मिनेट सिग्नल 15 पाठवले
फेब्रु 16 14:59:33 jlaunchd: रिमोट-ऑपरेशन्स (PID 6627) समाप्त सिग्नल 15 पाठवले
फेब्रुवारी 16 14:59:33 jlaunchd: सेवा वर्ग
…….
99

कागदपत्रे / संसाधने

ज्युनिपर नेटवर्क जुनोस ओएस FIPS मूल्यांकन केलेली उपकरणे [pdf] वापरकर्ता मार्गदर्शक
जुनोस OS FIPS मूल्यांकन केलेली उपकरणे, जुनोस OS, FIPS मूल्यांकन केलेली उपकरणे, मूल्यमापन केलेली उपकरणे, उपकरणे

संदर्भ

वापरकर्ता मॅन्युअल

ज्युनिपर नेटवर्क जुनोस ओएस FIPS मूल्यांकन केलेली उपकरणे

ओव्हरview

प्रशासकीय क्रेडेन्शियल्स आणि विशेषाधिकार कॉन्फिगर करणे

भूमिका आणि प्रमाणीकरण पद्धती कॉन्फिगर करणे

SSH आणि कन्सोल कनेक्शन कॉन्फिगर करत आहे

MACsec कॉन्फिगर करत आहे

लेयर 2 रहदारीसाठी कीचेनसह MACsec कॉन्फिगर करत आहे

इव्हेंट लॉगिंग कॉन्फिगर करत आहे

डिव्हाइसवर स्वयं-चाचण्या करणे

ऑपरेशनल कमांड्स

कागदपत्रे / संसाधने

संदर्भ

एक टिप्पणी द्या

उत्तर रद्द करा