Juniper EX4400 ມາດຕະຖານທົ່ວໄປທີ່ປະເມີນການຕັ້ງຄ່າ
ຂໍ້ມູນຈໍາເພາະ
- ຮູບແບບ: EX4400-24MP, EX4400-24P, EX4400-24T, EX4400-48F, EX4400-48MP, EX4400-48P, EX4400-48T
- ຈັດພີມມາ: 2024-04-30
- ລຸ້ນ: 22.3R1
- ຜູ້ຜະລິດ: Juniper Networks, Inc.
ຂໍ້ມູນຜະລິດຕະພັນ
ຊຸດ EX4400 ຂອງອຸປະກອນໂດຍ Juniper Networks ຖືກອອກແບບມາສໍາລັບການຄຸ້ມຄອງເຄືອຂ່າຍທີ່ປອດໄພແລະມີປະສິດທິພາບ. ອຸປະກອນເຫຼົ່ານີ້ຮອງຮັບມາດຕະຖານທົ່ວໄປ ແລະມາດຕະຖານ FIPS ເພື່ອຮັບປະກັນຄວາມປອດໄພຂອງຂໍ້ມູນ ແລະຄວາມຖືກຕ້ອງ.
ເກີນview
ເຂົ້າໃຈເງື່ອນໄຂການປະເມີນທົ່ວໄປ:
- ອ່ານຜ່ານຄູ່ມືເພື່ອເຂົ້າໃຈຂໍ້ກໍານົດການຕັ້ງຄ່າສໍາລັບການປະເມີນເງື່ອນໄຂທົ່ວໄປ.
ການຕັ້ງຄ່າບົດບາດ ແລະວິທີການກວດສອບຄວາມຖືກຕ້ອງ
ຄວາມເຂົ້າໃຈບົດບາດ ແລະການບໍລິການສຳລັບ Junos OS ໃນເກນທົ່ວໄປ ແລະ FIPS:
- ຮຽນຮູ້ກ່ຽວກັບບົດບາດ ແລະການບໍລິການທີ່ມີຢູ່ໃນ Junos OS ສໍາລັບການປະຕິບັດຕາມເງື່ອນໄຂທົ່ວໄປ ແລະມາດຕະຖານ FIPS.
ກຳລັງຕິດຕັ້ງຊຸດຊອບແວ Junos OS
- ດາວໂຫລດຊຸດຊອບແວທີ່ຕ້ອງການຈາກ Juniper Networks.
- ປະຕິບັດຕາມຄໍາແນະນໍາການຕິດຕັ້ງທີ່ສະຫນອງໃຫ້ຢູ່ໃນຄູ່ມື.
ເປີດໃຊ້ໂໝດ FIPS
- ປະຕິບັດຕາມຂັ້ນຕອນເພື່ອເປີດໃຊ້ໂໝດ FIPS ໃນອຸປະກອນເພື່ອປັບປຸງ
ຄວາມປອດໄພ.
ການຕັ້ງຄ່າຂໍ້ມູນປະຈໍາຕົວການບໍລິຫານແລະສິດທິພິເສດ
ຄວາມເຂົ້າໃຈກົດລະບຽບລະຫັດຜ່ານທີ່ກ່ຽວຂ້ອງສໍາລັບຜູ້ບໍລິຫານທີ່ໄດ້ຮັບອະນຸຍາດ:
- Review ກົດລະບຽບລະຫັດຜ່ານສໍາລັບຜູ້ບໍລິຫານທີ່ໄດ້ຮັບອະນຸຍາດເພື່ອຮັບປະກັນການເຂົ້າເຖິງທີ່ປອດໄພ.
ວິທີການກວດສອບໃນຮູບແບບ FIPS ຂອງການດໍາເນີນງານ:
- ສຳຫຼວດວິທີການກວດສອບຄວາມຖືກຕ້ອງທີ່ມີໃຫ້ສຳລັບການເຮັດວຽກຂອງໂໝດ FIPS.
FAQs
ຖາມ: ຂ້ອຍຈະດາວໂຫລດຊຸດຊອບແວຈາກ Juniper Networks ໄດ້ແນວໃດ?
A: ທ່ານສາມາດດາວໂຫລດຊຸດຊອບແວຈາກ Juniper Networks ໂດຍການຢ້ຽມຢາມຢ່າງເປັນທາງການຂອງພວກເຂົາ webເວັບໄຊ ແລະການເຂົ້າເຖິງພາກສ່ວນການດາວໂຫຼດທີ່ກ່ຽວຂ້ອງສໍາລັບອຸປະກອນຂອງທ່ານ.
ຖາມ: ໂໝດ FIPS ແມ່ນຫຍັງ ແລະເປັນຫຍັງມັນຈຶ່ງສຳຄັນ?
A: ໂຫມດ FIPS ແມ່ນມາດຕະຖານຄວາມປອດໄພທີ່ຮັບປະກັນວ່າລະບົບການເຂົ້າລະຫັດລັບຖືກປະຕິບັດຢ່າງຖືກຕ້ອງສໍາລັບການຈັດການຂໍ້ມູນທີ່ປອດໄພ. ມັນເປັນສິ່ງສໍາຄັນສໍາລັບການຮັກສາຄວາມຊື່ສັດແລະຄວາມລັບຂອງຂໍ້ມູນ.
1 ບົດ
ເກີນview
ຄວາມເຂົ້າໃຈມາດຕະຖານທົ່ວໄປທີ່ປະເມີນການຕັ້ງຄ່າ | 2 ຄວາມເຂົ້າໃຈ Junos OS ໃນ FIPS Mode | 3 ຄວາມເຂົ້າໃຈຫຼັກເກນທົ່ວໄປ ແລະ FIPS Terminology ແລະຮອງຮັບລະບົບການເຂົ້າລະຫັດລັບ | 5 ການກໍານົດການຈັດສົ່ງສິນຄ້າທີ່ປອດໄພ | 9 ຄວາມເຂົ້າໃຈໃນການໂຕ້ຕອບການຄຸ້ມຄອງ | 11
2
ຄວາມເຂົ້າໃຈກ່ຽວກັບເງື່ອນໄຂການປະເມີນທົ່ວໄປ
ໃນພາກນີ້ ຄວາມເຂົ້າໃຈຫຼັກເກນທົ່ວໄປ | 2 ເວທີທີ່ສະຫນັບສະຫນູນ | 3
ເອກະສານນີ້ອະທິບາຍຂັ້ນຕອນທີ່ຈໍາເປັນເພື່ອເຮັດຊ້ໍາການຕັ້ງຄ່າຂອງອຸປະກອນທີ່ໃຊ້ Junos OS ເມື່ອອຸປະກອນຖືກປະເມີນ. ອັນນີ້ເອີ້ນວ່າການກຳນົດຄ່າທີ່ຖືກປະເມີນ. ບັນຊີລາຍຊື່ຕໍ່ໄປນີ້ອະທິບາຍມາດຕະຖານທີ່ອຸປະກອນໄດ້ຮັບການປະເມີນ: · NDcPP v2.2e–https://www.niap-ccevs.org/MMO/PP/CPP_ND_V2.2E.pdf The Archived Protection Profileເອກະສານມີຢູ່ https://www.niap-ccevs.org/Profile/PP.cfm? ເກັບໄວ້=1.
ຄວາມເຂົ້າໃຈມາດຕະຖານທົ່ວໄປ
ມາດຕະຖານທົ່ວໄປສໍາລັບເຕັກໂນໂລຢີຂໍ້ມູນຂ່າວສານແມ່ນຂໍ້ຕົກລົງລະຫວ່າງປະເທດທີ່ລົງນາມໂດຍຫຼາຍປະເທດທີ່ອະນຸຍາດໃຫ້ການປະເມີນຜົນຂອງຜະລິດຕະພັນຄວາມປອດໄພຕໍ່ກັບມາດຕະຖານທົ່ວໄປ. ໃນການຈັດການການຮັບຮູ້ມາດຕະຖານທົ່ວໄປ (CCRA) ຢູ່ https://www.commoncriteriaportal.org/ccra/, ຜູ້ເຂົ້າຮ່ວມຕົກລົງທີ່ຈະຮັບຮູ້ເຊິ່ງກັນແລະກັນການປະເມີນຜົນຂອງຜະລິດຕະພັນທີ່ປະຕິບັດໃນປະເທດອື່ນໆ. ການປະເມີນຜົນທັງຫມົດແມ່ນປະຕິບັດໂດຍນໍາໃຊ້ວິທີການທົ່ວໄປສໍາລັບການປະເມີນຄວາມປອດໄພເຕັກໂນໂລຊີຂໍ້ມູນຂ່າວສານ. ສໍາລັບຂໍ້ມູນເພີ່ມເຕີມກ່ຽວກັບເງື່ອນໄຂທົ່ວໄປ, ເບິ່ງ https://www.commoncriteriaportal.org/. ເປົ້າໝາຍຂອງການປະເມີນ (TOE) ແມ່ນອຸປະກອນ ຫຼືລະບົບທີ່ຂຶ້ນກັບການປະເມີນໂດຍອີງໃສ່ການຮ່ວມມືດ້ານການປົກປ້ອງ Profile (cPP).
3
ເວທີທີ່ສະຫນັບສະຫນູນ
ສໍາລັບລັກສະນະຕ່າງໆທີ່ອະທິບາຍໄວ້ໃນເອກະສານນີ້, ເວທີຕໍ່ໄປນີ້ໄດ້ຮັບການສະຫນັບສະຫນູນເພື່ອໃຫ້ມີຄຸນສົມບັດ NDcPPv2.2e: · EX4400 Series ອຸປະກອນ (https://www.juniper.net/us/en/products/switches/ex-series.html).
ເອກະສານທີ່ກ່ຽວຂ້ອງກໍານົດການຈັດສົ່ງສິນຄ້າທີ່ປອດໄພ | 9
ເຂົ້າໃຈ Junos OS ໃນ FIPS Mode
ໃນພາກນີ້ກ່ຽວກັບຂອບເຂດການເຂົ້າລະຫັດລັບໃນອຸປະກອນຂອງທ່ານ | 4 ໂໝດ FIPS ແຕກຕ່າງຈາກໂໝດບໍ່ FIPS ແນວໃດ | 4 ສະບັບທີ່ຖືກຕ້ອງຂອງ Junos OS ໃນ FIPS Mode | 4
ມາດຕະຖານການປະມວນຜົນຂໍ້ມູນຂອງລັດຖະບານກາງ (FIPS) 140-3 ກໍານົດລະດັບຄວາມປອດໄພສໍາລັບຮາດແວແລະຊອບແວທີ່ປະຕິບັດຫນ້າທີ່ເຂົ້າລະຫັດລັບ. ການປະຕິບັດອຸປະກອນຂອງທ່ານໃນສະພາບແວດລ້ອມ FIPS 140-3 ລະດັບ 1 ຮຽກຮ້ອງໃຫ້ມີການເປີດແລະການຕັ້ງຄ່າຮູບແບບ FIPS ໃນອຸປະກອນຈາກ Junos OS CLI. ຜູ້ເບິ່ງແຍງຄວາມປອດໄພເປີດໃຊ້ໂໝດ FIPS ໃນ Junos OS ແລະຕັ້ງກະແຈ ແລະລະຫັດຜ່ານສຳລັບລະບົບ ແລະຜູ້ໃຊ້ FIPS ອື່ນໆທີ່ສາມາດ view ການຕັ້ງຄ່າ. ທັງຜູ້ເບິ່ງແຍງລະບົບຄວາມປອດໄພ ແລະຜູ້ໃຊ້ສາມາດປະຕິບັດວຽກງານການຕັ້ງຄ່າປົກກະຕິໃນອຸປະກອນ (ເຊັ່ນ: ແກ້ໄຂປະເພດການໂຕ້ຕອບ) ຕາມການກຳນົດຄ່າຂອງຜູ້ໃຊ້ແຕ່ລະຄົນອະນຸຍາດໃຫ້.
4
ກ່ຽວກັບຂອບເຂດການເຂົ້າລະຫັດລັບໃນອຸປະກອນຂອງທ່ານ
ການປະຕິບັດຕາມ FIPS 140-3 ຮຽກຮ້ອງໃຫ້ມີຂອບເຂດການເຂົ້າລະຫັດລັບທີ່ກໍານົດໄວ້ປະມານແຕ່ລະໂມດູນການເຂົ້າລະຫັດໃນອຸປະກອນ. Junos OS ຢູ່ໃນໂໝດ FIPS ປ້ອງກັນໂມດູນການເຂົ້າລະຫັດຈາກການປະຕິບັດຊອບແວທີ່ບໍ່ໄດ້ເປັນສ່ວນຫນຶ່ງຂອງການແຈກຢາຍທີ່ໄດ້ຮັບການຢັ້ງຢືນ FIPS, ແລະອະນຸຍາດໃຫ້ໃຊ້ພຽງແຕ່ສູດການຄິດໄລ່ການເຂົ້າລະຫັດທີ່ອະນຸມັດໂດຍ FIPS ເທົ່ານັ້ນ. ບໍ່ມີຕົວກໍານົດຄວາມປອດໄພທີ່ສໍາຄັນ (CSPs), ເຊັ່ນ: ລະຫັດຜ່ານແລະກະແຈ, ສາມາດຂ້າມຂອບເຂດ cryptographic ຂອງໂມດູນໃນຮູບແບບທີ່ບໍ່ໄດ້ເຂົ້າລະຫັດ.
ຂໍ້ຄວນລະວັງ: ຄຸນສົມບັດ Virtual Chassis ບໍ່ຮອງຮັບໃນໂໝດ FIPS. ຢ່າປັບຄ່າຕົວເຄື່ອງ Virtual ໃນໂໝດ FIPS.
ໂໝດ FIPS ແຕກຕ່າງຈາກໂໝດທີ່ບໍ່ແມ່ນ FIPS ແນວໃດ
ບໍ່ເຫມືອນກັບ Junos OS ໃນໂຫມດທີ່ບໍ່ແມ່ນ FIPS, Junos OS ໃນໂຫມດ FIPS ແມ່ນສະພາບແວດລ້ອມການດໍາເນີນງານທີ່ບໍ່ສາມາດດັດແປງໄດ້. ນອກຈາກນັ້ນ, Junos OS ໃນໂຫມດ FIPS ແຕກຕ່າງຈາກ Junos OS ໃນໂຫມດທີ່ບໍ່ແມ່ນ FIPS: · ການທົດສອບຕົນເອງຂອງລະບົບການເຂົ້າລະຫັດລັບທັງໝົດແມ່ນດໍາເນີນໃນຕອນເລີ່ມຕົ້ນ. · ການທົດສອບຕົວເອງຂອງຕົວເລກສຸ່ມແລະການຜະລິດທີ່ສໍາຄັນແມ່ນປະຕິບັດຢ່າງຕໍ່ເນື່ອງ. · ຂັ້ນຕອນການເຂົ້າລະຫັດທີ່ອ່ອນແອເຊັ່ນ: Data Encryption Standard (DES) ແລະ Message Digest 5 (MD5)
ຖືກປິດ. · ການເຊື່ອມຕໍ່ການຄຸ້ມຄອງທີ່ອ່ອນແອຫຼືບໍ່ໄດ້ເຂົ້າລະຫັດຈະບໍ່ຕ້ອງໄດ້ຮັບການຕັ້ງຄ່າ. ຢ່າງໃດກໍຕາມ, TOE ອະນຸຍາດໃຫ້ທ້ອງຖິ່ນ
ແລະ un-encrypted console ເຂົ້າເຖິງໃນທົ່ວທຸກຮູບແບບຂອງການດໍາເນີນງານ. · ລະຫັດຜ່ານຕ້ອງຖືກເຂົ້າລະຫັດດ້ວຍລະບົບວິທີທາງດຽວທີ່ເຂັ້ມແຂງທີ່ບໍ່ອະນຸຍາດໃຫ້ຖອດລະຫັດ. · ລະຫັດຜ່ານຜູ້ເບິ່ງແຍງລະບົບ Junos-FIPS ຕ້ອງມີຄວາມຍາວຢ່າງໜ້ອຍ 10 ຕົວອັກສອນ. · ລະຫັດການເຂົ້າລະຫັດຈະຕ້ອງຖືກເຂົ້າລະຫັດກ່ອນທີ່ຈະສົ່ງ.
ເວີຊັນທີ່ຜ່ານການຮັບຮອງຂອງ Junos OS ໃນໂໝດ FIPS
ເພື່ອກໍານົດວ່າສະບັບ Junos OS ຖືກກວດສອບໂດຍ NIST, ເບິ່ງຫນ້າການປະຕິບັດຕາມຢູ່ໃນ Juniper Networks Web ເວັບໄຊ (https://apps.juniper.net/compliance/).
5
ເອກະສານທີ່ກ່ຽວຂ້ອງກໍານົດການຈັດສົ່ງສິນຄ້າທີ່ປອດໄພ | 9
ຄວາມເຂົ້າໃຈຫຼັກເກນທົ່ວໄປ ແລະຄຳສັບ FIPS ແລະລະບົບການເຂົ້າລະຫັດລັບທີ່ຮອງຮັບ
ໃນພາກນີ້ ຄໍາສັບຄໍາສັບ | 5 ຮອງຮັບລະບົບການເຂົ້າລະຫັດລັບ | 7
ໃຊ້ຄໍານິຍາມຂອງເງື່ອນໄຂທົ່ວໄປ ແລະຂໍ້ກໍານົດ FIPS, ແລະລະບົບທີ່ຮອງຮັບເພື່ອຊ່ວຍໃຫ້ທ່ານເຂົ້າໃຈ Junos OS.
ຄໍາສັບ
ເງື່ອນໄຂທົ່ວໄປ
ຜູ້ບໍລິຫານຄວາມປອດໄພ
NDcPPv2.2e
ມາດຕະຖານທົ່ວໄປສໍາລັບເຕັກໂນໂລຢີຂໍ້ມູນຂ່າວສານແມ່ນຂໍ້ຕົກລົງລະຫວ່າງປະເທດທີ່ລົງນາມໂດຍຫຼາຍປະເທດທີ່ອະນຸຍາດໃຫ້ການປະເມີນຜົນຂອງຜະລິດຕະພັນຄວາມປອດໄພຕໍ່ກັບມາດຕະຖານທົ່ວໄປ.
ສໍາລັບເງື່ອນໄຂທົ່ວໄປ, ບັນຊີຜູ້ໃຊ້ໃນ TOE ມີຄຸນສົມບັດດັ່ງຕໍ່ໄປນີ້: ຕົວຕົນຜູ້ໃຊ້ (ຊື່ຜູ້ໃຊ້), ຂໍ້ມູນການພິສູດຢືນຢັນ (ລະຫັດຜ່ານ), ແລະບົດບາດ (ສິດທິພິເສດ). ຜູ້ເບິ່ງແຍງລະບົບຄວາມປອດໄພແມ່ນກ່ຽວຂ້ອງກັບປະເພດການເຂົ້າສູ່ລະບົບທີ່ຖືກກໍານົດໄວ້ "security-admin", ເຊິ່ງມີການອະນຸຍາດທີ່ຈໍາເປັນເພື່ອອະນຸຍາດໃຫ້ຜູ້ບໍລິຫານປະຕິບັດຫນ້າທັງຫມົດທີ່ມີຄວາມຈໍາເປັນໃນການຄຸ້ມຄອງ Junos OS.
ການປົກປ້ອງຮ່ວມມື Profile ສຳລັບອຸປະກອນເຄືອຂ່າຍ, ເວີຊັນ 2.2e, ລົງວັນທີ 23 ມີນາ 2020.
6
ຕົວກໍານົດການຄວາມປອດໄພທີ່ສໍາຄັນ (CSP)
ຂໍ້ມູນກ່ຽວກັບຄວາມປອດໄພ - ສໍາລັບການ example, ກະແຈເຂົ້າລະຫັດລັບ ແລະສ່ວນຕົວ ແລະຂໍ້ມູນການພິສູດຢືນຢັນເຊັ່ນ: ລະຫັດຜ່ານ ແລະໝາຍເລກປະຈຳຕົວສ່ວນບຸກຄົນ (PINs) – ເຊິ່ງການເປີດເຜີຍ ຫຼືການດັດແກ້ສາມາດທຳລາຍຄວາມປອດໄພຂອງໂມດູນການເຂົ້າລະຫັດລັບ ຫຼືຂໍ້ມູນທີ່ມັນປົກປ້ອງ. ສໍາລັບລາຍລະອຽດ, ເບິ່ງ “ການເຂົ້າໃຈສະພາບແວດລ້ອມການດໍາເນີນງານສໍາລັບ Junos OS ໃນ FIPS Mode” ໃນຫນ້າ 15.
ໂມດູນການເຂົ້າລະຫັດລັບ
ຊຸດຂອງຮາດແວ, ຊອບແວ, ແລະເຟີມແວທີ່ປະຕິບັດຫນ້າທີ່ຄວາມປອດໄພທີ່ໄດ້ຮັບການອະນຸມັດ (ລວມທັງລະບົບການເຂົ້າລະຫັດລັບແລະການສ້າງລະຫັດ) ແລະຖືກບັນຈຸຢູ່ໃນຂອບເຂດການເຂົ້າລະຫັດລັບ. ສໍາລັບອຸປະກອນການຕັ້ງຄ່າຄົງທີ່, ໂມດູນ cryptographic ແມ່ນກໍລະນີອຸປະກອນ. ສໍາລັບອຸປະກອນ modular, ໂມດູນ cryptographic ແມ່ນ Routing Engine.
ESP
ໂປຣໂຕຄໍ Encapsulating Security Payload (ESP). ສ່ວນຂອງອະນຸສັນຍາ IPsec ນັ້ນ
ຮັບປະກັນຄວາມລັບຂອງແພັກເກັດຜ່ານການເຂົ້າລະຫັດ. ອະນຸສັນຍາຮັບປະກັນ
ວ່າຖ້າແພັກເກັດ ESP ຖືກຖອດລະຫັດຢ່າງສໍາເລັດຜົນ, ແລະບໍ່ມີພາກສ່ວນອື່ນໃດຮູ້ຄວາມລັບ
ກຸນແຈທີ່ໝູ່ເພື່ອນແບ່ງປັນ, ແພັກເກັດບໍ່ໄດ້ຖືກຕັດສາຍໃນການຂົນສົ່ງ.
FIPS
ມາດຕະຖານການປະມວນຜົນຂໍ້ມູນຂອງລັດຖະບານກາງ. FIPS 140-3 ກໍານົດຄວາມຕ້ອງການສໍາລັບ
ໂມດູນຄວາມປອດໄພແລະລະຫັດລັບ. Junos OS ໃນໂໝດ FIPS ປະຕິບັດຕາມ FIPS
140-3 ລະດັບ 1.
ພາລະບົດບາດບໍາລຸງຮັກສາ FIPS
ບົດບາດທີ່ຜູ້ບໍລິຫານຄວາມປອດໄພຖືວ່າປະຕິບັດການບໍາລຸງຮັກສາທາງກາຍະພາບ ຫຼືການບໍລິການບໍາລຸງຮັກສາຢ່າງມີເຫດຜົນ ເຊັ່ນ: ການວິນິດໄສຂອງຮາດແວ ຫຼືຊອບແວ. ສໍາລັບການປະຕິບັດຕາມ FIPS 140-3, ຜູ້ເບິ່ງແຍງຄວາມປອດໄພຈະສູນ Routing Engine ໃນການເຂົ້າແລະອອກຈາກຫນ້າທີ່ການບໍາລຸງຮັກສາ FIPS ເພື່ອລຶບລະຫັດລັບແລະກະແຈສ່ວນຕົວທັງຫມົດແລະ CSPs ທີ່ບໍ່ມີການປ້ອງກັນ.
ໝາຍເຫດ: ບົດບາດການບຳລຸງຮັກສາ FIPS ບໍ່ຮອງຮັບໃນ Junos OS ໃນໂໝດ FIPS.
Hashing KATs SA
ວິທີການກວດສອບຂໍ້ຄວາມທີ່ນຳໃຊ້ເຕັກນິກການເຂົ້າລະຫັດແບບຊ້ຳໆກັບຂໍ້ຄວາມທີ່ມີຄວາມຍາວຕາມຕົນຕົວ ແລະສ້າງການຍ່ອຍຂໍ້ຄວາມ hash ຫຼືລາຍເຊັນຂອງຄວາມຍາວຄົງທີ່ທີ່ຕິດຢູ່ກັບຂໍ້ຄວາມເມື່ອສົ່ງ.
ການທົດສອບຄໍາຕອບທີ່ຮູ້ຈັກ. ການທົດສອບດ້ວຍຕົນເອງຂອງລະບົບທີ່ກວດສອບຜົນຜະລິດຂອງລະບົບການເຂົ້າລະຫັດລັບທີ່ຖືກອະນຸມັດສໍາລັບ FIPS ແລະທົດສອບຄວາມສົມບູນຂອງບາງໂມດູນ Junos OS. ສໍາລັບລາຍລະອຽດ, ເບິ່ງ “ການເຂົ້າໃຈການທົດສອບຕົນເອງ FIPS” ໃນໜ້າ 118.
ສະມາຄົມຄວາມປອດໄພ (SA). ການເຊື່ອມຕໍ່ລະຫວ່າງເຈົ້າພາບທີ່ອະນຸຍາດໃຫ້ພວກເຂົາຕິດຕໍ່ສື່ສານຢ່າງປອດໄພໂດຍການກໍານົດ, ສໍາລັບການຍົກຕົວຢ່າງample, ເຂົາເຈົ້າແລກປ່ຽນກະແຈສ່ວນຕົວແນວໃດ. ໃນຖານະຜູ້ເບິ່ງແຍງຄວາມປອດໄພ, ທ່ານຕ້ອງຕັ້ງຄ່າ SA ພາຍໃນໃນອຸປະກອນດ້ວຍຕົນເອງ
7
SSH Zeroization
ແລ່ນ Junos OS ໃນໂໝດ FIPS. ຄ່າທັງໝົດ, ລວມທັງກະແຈ, ຕ້ອງຖືກລະບຸຢ່າງສະຖິດຢູ່ໃນການຕັ້ງຄ່າ. ໃນອຸປະກອນທີ່ມີເຄື່ອງຈັກ Routing Engine ຫຼາຍກວ່າໜຶ່ງອັນ, ການຕັ້ງຄ່າຈະຕ້ອງກົງກັນຢູ່ທັງສອງສົ້ນຂອງການເຊື່ອມຕໍ່ລະຫວ່າງ Routing Engines. ສໍາລັບການສື່ສານທີ່ຈະເກີດຂຶ້ນ, ແຕ່ລະ Routing Engine ຕ້ອງມີທາງເລືອກໃນການຕັ້ງຄ່າດຽວກັນ, ເຊິ່ງບໍ່ຈໍາເປັນຕ້ອງມີການເຈລະຈາແລະບໍ່ຫມົດອາຍຸ. .
ໂປຣໂຕຄໍທີ່ໃຊ້ການພິສູດຢືນຢັນທີ່ເຂັ້ມແຂງແລະການເຂົ້າລະຫັດລັບສໍາລັບການເຂົ້າເຖິງຈາກໄລຍະໄກໃນທົ່ວເຄືອຂ່າຍທີ່ບໍ່ປອດໄພ. SSH ໃຫ້ການເຂົ້າສູ່ລະບົບຫ່າງໄກສອກຫຼີກ, ການປະຕິບັດໂຄງການຫ່າງໄກສອກຫຼີກ, file ສໍາເນົາ, ແລະຫນ້າທີ່ອື່ນໆ. ມັນມີຈຸດປະສົງເປັນການທົດແທນທີ່ປອດໄພສໍາລັບ rlogin, rsh, ແລະ rcp ໃນສະພາບແວດລ້ອມ UNIX. ເພື່ອຮັບປະກັນຂໍ້ມູນທີ່ສົ່ງຜ່ານການເຊື່ອມຕໍ່ບໍລິຫານ, ໃຊ້ SSHv2 ສໍາລັບການຕັ້ງຄ່າ CLI. ໃນ Junos OS, SSHv2 ຖືກເປີດໃຊ້ໂດຍຄ່າເລີ່ມຕົ້ນ, ແລະ SSHv1, ເຊິ່ງບໍ່ຖືວ່າປອດໄພ, ແມ່ນຖືກປິດໃຊ້ງານ.
ການລຶບລ້າງ CSPs ທັງໝົດ ແລະຂໍ້ມູນອື່ນໆທີ່ສ້າງຂຶ້ນໂດຍຜູ້ໃຊ້ຢູ່ໃນອຸປະກອນໃດໜຶ່ງກ່ອນການເຮັດວຽກຂອງມັນເປັນໂມດູນການເຂົ້າລະຫັດ FIPS – ຫຼືໃນການກະກຽມສໍາລັບອຸປະກອນ repurposing ສໍາລັບການດໍາເນີນງານທີ່ບໍ່ແມ່ນ FIPS. ຜູ້ຈັດການຄວາມປອດໄພສາມາດສູນລະບົບດ້ວຍຄໍາສັ່ງປະຕິບັດງານ CLI. ສໍາລັບລາຍລະອຽດ, ເບິ່ງ “ຄວາມເຂົ້າໃຈ Zeroization ເພື່ອລຶບຂໍ້ມູນລະບົບສໍາລັບ FIPS Mode” ໃນຫນ້າ 23.
ຮອງຮັບລະບົບການເຂົ້າລະຫັດລັບ
ຕາຕະລາງ 1 ໃນໜ້າທີ 8 ສະຫຼຸບການສະໜັບສະໜູນລະບົບໂປຣໂຕຄອນລະດັບສູງ.
8
ຕາຕະລາງ 1: ອະນຸສັນຍາທີ່ອະນຸຍາດໃນໂໝດ FIPS
ການແລກປ່ຽນລະຫັດໂປໂຕຄອນ
ການຢືນຢັນ
ລະຫັດລັບ
ຄວາມຊື່ສັດ
SSHv2
· dh-group14-sha1 · ECDH-sha2-nistp256 · ECDH-sha2-nistp384 · ECDH-sha2-nistp521
ເຈົ້າພາບ (ໂມດູນ): · ECDSA P-256 · SSH-RSA Client (ຜູ້ໃຊ້): · ECDSA P-256 · ECDSA P-384 · ECDSA P-521 · SSH-RSA · RSA-SHA2-256 · RSA-SHA2-512
· AES CTR 128 · AES CTR 256 · AES CBC 128 · AES CBC 256
· HMAC-SHA-1 · HMAC-SHA-256 · HMAC-SHA-512
ຂັ້ນຕອນການເຂົ້າລະຫັດຕໍ່ໄປນີ້ຖືກຮອງຮັບໃນໂໝດ FIPS. ວິທີການ symmetric ໃຊ້ລະຫັດດຽວກັນສໍາລັບການເຂົ້າລະຫັດແລະການຖອດລະຫັດ, ໃນຂະນະທີ່ວິທີການ asymmetric ໃຊ້ກະແຈທີ່ແຕກຕ່າງກັນສໍາລັບການເຂົ້າລະຫັດແລະການຖອດລະຫັດ.
AES
ມາດຕະຖານການເຂົ້າລະຫັດຂັ້ນສູງ (AES), ກຳນົດໄວ້ໃນ FIPS PUB 197. ສູດການຄິດໄລ່ AES
ໃຊ້ກະແຈຂອງ 128 ຫຼື 256 bits ເພື່ອເຂົ້າລະຫັດ ແລະຖອດລະຫັດຂໍ້ມູນໃນບລັອກ 128 bits.
DiffieHellman
ວິທີການແລກປ່ຽນກະແຈໃນທົ່ວສະພາບແວດລ້ອມທີ່ບໍ່ປອດໄພ (ເຊັ່ນ: ອິນເຕີເນັດ). ສູດການຄິດໄລ່ Diffie-Hellman ເຈລະຈາຕໍ່ລອງຫຼັກຂອງເຊດຊັນ ໂດຍບໍ່ຕ້ອງສົ່ງລະຫັດຕົວມັນເອງໄປທົ່ວເຄືອຂ່າຍ ໂດຍການໃຫ້ແຕ່ລະຝ່າຍເລືອກກະແຈບາງສ່ວນຢ່າງເປັນອິດສະຫຼະ ແລະສົ່ງສ່ວນໜຶ່ງຂອງກະແຈນັ້ນໄປຫາອີກຝ່າຍ. ຈາກນັ້ນແຕ່ລະດ້ານຈະຄິດໄລ່ຄ່າຫຼັກທົ່ວໄປ. ນີ້ແມ່ນວິທີການ symmetrical – ໂດຍປົກກະຕິກະແຈໄດ້ຖືກນໍາໃຊ້ພຽງແຕ່ສໍາລັບການໃຊ້ເວລາສັ້ນ, ການປະຖິ້ມ, ແລະສ້າງໃຫມ່.
ECDH
Elliptic Curve Diffie-Hellman. ຕົວແປຂອງລະບົບການແລກປ່ຽນລະຫັດ Diffie-Hellman ທີ່ໃຊ້ການເຂົ້າລະຫັດລັບໂດຍອີງໃສ່ໂຄງສ້າງພຶດຊະຄະນິດຂອງເສັ້ນໂຄ້ງຮູບສ້ວຍໃນຂອບເຂດຈໍາກັດ. ECDH ອະນຸຍາດໃຫ້ສອງຝ່າຍ, ແຕ່ລະຝ່າຍມີເສັ້ນໂຄ້ງຮູບຮີ, ຄູ່ຄີສາທາລະນະ-ເອກະຊົນ, ສ້າງຄວາມລັບຮ່ວມກັນຜ່ານຊ່ອງທາງທີ່ບໍ່ປອດໄພ. ຄວາມລັບທີ່ແບ່ງປັນສາມາດຖືກນໍາໃຊ້ເປັນກະແຈຫຼືເພື່ອເອົາລະຫັດອື່ນສໍາລັບການເຂົ້າລະຫັດການສື່ສານຕໍ່ມາໂດຍໃຊ້ລະຫັດລັບທີ່ສົມມາດ.
9
ECDSA
ສູດການຄິດໄລ່ລາຍເຊັນດິຈິຕອນເສັ້ນໂຄ້ງຮູບຮີ. ຕົວແປຂອງລະບົບ Digital Signature Algorithm (DSA) ທີ່ໃຊ້ການເຂົ້າລະຫັດລັບໂດຍອີງໃສ່ໂຄງສ້າງພຶດຊະຄະນິດຂອງເສັ້ນໂຄ້ງຮູບສ້ວຍຜ່ານຊ່ອງຂໍ້ມູນທີ່ມີກຳນົດ. ຂະໜາດນ້ອຍຂອງເສັ້ນໂຄ້ງຮູບສ້ວຍກຳນົດຄວາມຫຍຸ້ງຍາກໃນການຖອດລະຫັດຄີ. ກະແຈສາທາລະນະທີ່ເຊື່ອວ່າຕ້ອງການສໍາລັບ ECDSA ແມ່ນປະມານສອງເທົ່າຂອງຂະຫນາດຄວາມປອດໄພ, ເປັນບິດ. ECDSA ໃຊ້ເສັ້ນໂຄ້ງ P-256, P-384, ແລະ P-521 ທີ່ສາມາດຕັ້ງຄ່າໄດ້ພາຍໃຕ້ OpenSSH.
HMAC
ຖືກກໍານົດເປັນ "Keyed-Hashing ສໍາລັບການພິສູດຢືນຢັນຂໍ້ຄວາມ" ໃນ RFC 2104, HMAC ປະສົມປະສານລະບົບການ hashing ກັບລະຫັດເຂົ້າລະຫັດເພື່ອການກວດສອບຂໍ້ຄວາມ.
SHA-256, SHA-384, ແລະ SHA-512
ສູດການຄິດໄລ່ hash ທີ່ປອດໄພ (SHA) ເປັນຂອງມາດຕະຖານ SHA-2 ທີ່ກຳນົດໄວ້ໃນ FIPS PUB 180-2. ພັດທະນາໂດຍ NIST, SHA-256 ຜະລິດ 256-bit hash digest, SHA-384 ຜະລິດ hash digest 384-bit, ແລະ SHA-512 ຜະລິດ hash digest 512-bit.
AES-CMAC
AES-CMAC ສະຫນອງການຮັບປະກັນຄວາມສົມບູນຂອງຂໍ້ມູນທີ່ເຂັ້ມແຂງກວ່າ checksum ຫຼືລະຫັດທີ່ຜິດພາດ. ການກວດສອບ checksum ຫຼືລະຫັດການກວດສອບຄວາມຜິດພາດຈະກວດພົບພຽງແຕ່ການດັດແປງຂໍ້ມູນໂດຍບັງເອີນ, ໃນຂະນະທີ່ CMAC ຖືກອອກແບບມາເພື່ອກວດພົບການດັດແປງຂໍ້ມູນໂດຍເຈດຕະນາ, ບໍ່ໄດ້ຮັບອະນຸຍາດ, ເຊັ່ນດຽວກັນກັບການດັດແປງໂດຍບັງເອີນ.
ເອກະສານທີ່ກ່ຽວຂ້ອງ ຄວາມເຂົ້າໃຈ FIPS ການທົດສອບຕົນເອງ | 118 ຄວາມເຂົ້າໃຈ Zeroization ເພື່ອລຶບຂໍ້ມູນລະບົບສໍາລັບ FIPS Mode | 23
ການກໍານົດການຈັດສົ່ງສິນຄ້າທີ່ປອດໄພ
ມີຫຼາຍກົນໄກທີ່ສະຫນອງໃຫ້ໃນຂະບວນການຈັດສົ່ງເພື່ອຮັບປະກັນວ່າລູກຄ້າໄດ້ຮັບຜະລິດຕະພັນທີ່ຍັງບໍ່ທັນໄດ້ tampered ກັບ. ລູກຄ້າຄວນເຮັດການກວດສອບຕໍ່ໄປນີ້ເມື່ອໄດ້ຮັບອຸປະກອນເພື່ອກວດສອບຄວາມສົມບູນຂອງເວທີ. · ປ້າຍກຳກັບການຂົນສົ່ງ-ໃຫ້ແນ່ໃຈວ່າປ້າຍກຳກັບລະບຸຊື່ລູກຄ້າທີ່ຖືກຕ້ອງ ແລະຖືກຕ້ອງ
ທີ່ຢູ່ເຊັ່ນດຽວກັນກັບອຸປະກອນ. · ການຫຸ້ມຫໍ່ພາຍນອກ-ກວດກາກ່ອງຂົນສົ່ງພາຍນອກ ແລະເທບ. ໃຫ້ແນ່ໃຈວ່າ tape ການຂົນສົ່ງບໍ່ມີ
ຖືກຕັດ ຫຼືຖືກທຳລາຍ. ໃຫ້ແນ່ໃຈວ່າກ່ອງບໍ່ໄດ້ຖືກຕັດຫຼືເສຍຫາຍເພື່ອອະນຸຍາດໃຫ້ເຂົ້າເຖິງອຸປະກອນ. · ພາຍໃນບັນຈຸພັນ-ກວດກາຖົງຢາງ ແລະປະທັບຕາ. ໃຫ້ແນ່ໃຈວ່າຖົງບໍ່ໄດ້ຖືກຕັດຫຼືເອົາອອກ. ໃຫ້ແນ່ໃຈວ່າປະທັບຕາຍັງຄົງຢູ່.
10
ຖ້າລູກຄ້າກໍານົດບັນຫາໃນລະຫວ່າງການກວດກາ, ລາວຄວນຕິດຕໍ່ຜູ້ສະຫນອງທັນທີ. ສະໜອງໝາຍເລກການສັ່ງຊື້, ໝາຍເລກຕິດຕາມ ແລະລາຍລະອຽດຂອງບັນຫາທີ່ລະບຸໃຫ້ກັບຜູ້ສະໜອງ. ນອກຈາກນັ້ນ, ມີການກວດສອບຈໍານວນຫນຶ່ງທີ່ສາມາດປະຕິບັດໄດ້ເພື່ອຮັບປະກັນວ່າລູກຄ້າໄດ້ຮັບກ່ອງທີ່ສົ່ງໂດຍ Juniper Networks ແລະບໍ່ແມ່ນບໍລິສັດທີ່ແຕກຕ່າງກັນທີ່ປອມຕົວເປັນ Juniper Networks. ລູກຄ້າຄວນເຮັດການກວດສອບຕໍ່ໄປນີ້ເມື່ອໄດ້ຮັບອຸປະກອນເພື່ອກວດສອບຄວາມຖືກຕ້ອງຂອງອຸປະກອນ: · ກວດສອບວ່າອຸປະກອນຖືກສັ່ງໂດຍໃຊ້ຄໍາສັ່ງຊື້. ອຸປະກອນ Juniper Networks ບໍ່ເຄີຍມີ
ຈັດສົ່ງໂດຍບໍ່ມີການສັ່ງຊື້.
· ເມື່ອອຸປະກອນຖືກຈັດສົ່ງ, ການແຈ້ງເຕືອນການຂົນສົ່ງຈະຖືກສົ່ງໄປຫາທີ່ຢູ່ອີເມລທີ່ໃຫ້ໄວ້ໂດຍລູກຄ້າເມື່ອການສັ່ງຊື້. ກວດສອບວ່າໄດ້ຮັບແຈ້ງການອີເມລນີ້. ກວດສອບວ່າອີເມລມີຂໍ້ມູນດັ່ງຕໍ່ໄປນີ້: · ເລກຄໍາສັ່ງການຊື້
·ໝາຍເລກຄໍາສັ່ງ Juniper Networks ໃຊ້ເພື່ອຕິດຕາມການຂົນສົ່ງ
· ໝາຍເລກຕິດຕາມຜູ້ຂົນສົ່ງທີ່ໃຊ້ໃນການຕິດຕາມການຂົນສົ່ງ
·ບັນຊີລາຍການຂອງການຂົນສົ່ງລວມທັງຈໍານວນ serial
· ທີ່ຢູ່ ແລະຕິດຕໍ່ພົວພັນຂອງທັງຜູ້ສະໜອງ ແລະລູກຄ້າ
·ກວດສອບວ່າການຂົນສົ່ງໄດ້ຖືກລິເລີ່ມໂດຍ Juniper Networks. ເພື່ອກວດສອບວ່າການຂົນສົ່ງໄດ້ຖືກລິເລີ່ມໂດຍ Juniper Networks, ທ່ານຄວນປະຕິບັດວຽກງານຕໍ່ໄປນີ້: · ປຽບທຽບເລກຕິດຕາມຜູ້ໃຫ້ບໍລິການຂອງໝາຍເລກຄໍາສັ່ງ Juniper Networks ທີ່ລະບຸໄວ້ໃນການແຈ້ງເຕືອນການຂົນສົ່ງ Juniper Networks ກັບເລກຕິດຕາມໃນຊຸດທີ່ໄດ້ຮັບ.
· ເຂົ້າສູ່ລະບົບ Juniper Networks online support portal ຢູ່ https://support.juniper.net/ support/ to view ສະຖານະການຄໍາສັ່ງ. ປຽບທຽບໝາຍເລກຕິດຕາມຜູ້ໃຫ້ບໍລິການ ຫຼືໝາຍເລກການສັ່ງຊື້ຂອງ Juniper Networks ທີ່ລະບຸໄວ້ໃນການແຈ້ງເຕືອນການຈັດສົ່ງຂອງ Juniper Networks ກັບໝາຍເລກຕິດຕາມໃນຊຸດທີ່ໄດ້ຮັບ.
ເອກະສານທີ່ກ່ຽວຂ້ອງ ເຂົ້າໃຈເງື່ອນໄຂການປະເມີນທົ່ວໄປ | 2
11
ຄວາມເຂົ້າໃຈໃນການໂຕ້ຕອບການຄຸ້ມຄອງ
ການໂຕ້ຕອບການຈັດການຕໍ່ໄປນີ້ສາມາດຖືກນໍາໃຊ້ໃນການຕັ້ງຄ່າການປະເມີນ: · Local Management Interfaces–The RJ-45 console port on the rear panel of a device is configured as
ອຸປະກອນສະຖານີຂໍ້ມູນ RS-232 (DTE). ທ່ານສາມາດນໍາໃຊ້ການໂຕ້ຕອບເສັ້ນຄໍາສັ່ງ (CLI) ຜ່ານພອດນີ້ເພື່ອກໍານົດຄ່າອຸປະກອນຈາກສະຖານທີ່ໄດ້. · Remote Management Protocols-ອຸປະກອນສາມາດຈັດການໄລຍະໄກຜ່ານອິນເຕີເຟດອີເທີເນັດ. SSHv2 ເປັນໂປຣໂຕຄໍການຈັດການທາງໄກທີ່ອະນຸຍາດເທົ່ານັ້ນທີ່ສາມາດໃຊ້ໃນການຕັ້ງຄ່າທີ່ປະເມີນໄດ້. ໂປໂຕຄອນການຈັດການທາງໄກ J-Web ແລະ Telnet ບໍ່ສາມາດໃຊ້ໄດ້ໃນອຸປະກອນ.
ເອກະສານທີ່ກ່ຽວຂ້ອງ ເຂົ້າໃຈເງື່ອນໄຂການປະເມີນທົ່ວໄປ | 2
2 ບົດ
ການຕັ້ງຄ່າບົດບາດ ແລະວິທີການກວດສອບຄວາມຖືກຕ້ອງ
ຄວາມເຂົ້າໃຈກ່ຽວກັບບົດບາດ ແລະການບໍລິການສຳລັບ Junos OS ໃນເກນທົ່ວໄປ ແລະ FIPS | 13
ຄວາມເຂົ້າໃຈສະພາບແວດລ້ອມການດໍາເນີນງານສໍາລັບ Junos OS ໃນ FIPS Mode | 15 ຄວາມເຂົ້າໃຈສະເພາະລະຫັດຜ່ານ ແລະຂໍ້ແນະນໍາສໍາລັບ Junos OS ໃນ FIPS Mode | 19 ການດາວໂຫຼດຊຸດຊອບແວຈາກ Juniper Networks | 21 ຕິດຕັ້ງຊຸດຊອບແວ Junos OS | 21 ຄວາມເຂົ້າໃຈ Zeroization ເພື່ອລຶບຂໍ້ມູນລະບົບສໍາລັບ FIPS Mode | 23 Zeroizing ລະບົບ | 25 ການເປີດໃຊ້ງານ FIPS Mode | 26 ການຕັ້ງຄ່າຜູ້ເບິ່ງແຍງລະບົບຄວາມປອດໄພ ແລະ FIPS User Identification and Access | 30
13
ຄວາມເຂົ້າໃຈກ່ຽວກັບບົດບາດ ແລະການບໍລິການສຳລັບ Junos OS ໃນເກນທົ່ວໄປ ແລະ FIPS
ໃນພາກນີ້ ບົດບາດ ແລະຄວາມຮັບຜິດຊອບຂອງຜູ້ບໍລິຫານຄວາມປອດໄພ | 13 ບົດບາດ ແລະ ຄວາມຮັບຜິດຊອບຂອງຜູ້ໃຊ້ FIPS | 14 ສິ່ງທີ່ຄາດຫວັງຂອງຜູ້ໃຊ້ FIPS ທັງຫມົດ | 14
ຜູ້ເບິ່ງແຍງລະບົບຄວາມປອດໄພແມ່ນກ່ຽວຂ້ອງກັບປະເພດການເຂົ້າສູ່ລະບົບທີ່ຖືກກໍານົດໄວ້ "security-admin", ເຊິ່ງມີການອະນຸຍາດທີ່ຈໍາເປັນເພື່ອໃຫ້ຜູ້ບໍລິຫານສາມາດປະຕິບັດວຽກງານທັງຫມົດທີ່ມີຄວາມຈໍາເປັນໃນການຄຸ້ມຄອງ Junos OS. ຜູ້ໃຊ້ບໍລິຫານ (ຜູ້ບໍລິຫານຄວາມປອດໄພ) ຕ້ອງສະຫນອງການລະບຸຕົວຕົນແລະຂໍ້ມູນການກວດສອບເປັນເອກະລັກກ່ອນທີ່ຈະໄດ້ຮັບການເຂົ້າເຖິງການບໍລິຫານຂອງລະບົບໃດຫນຶ່ງ. ພາລະບົດບາດ ແລະ ຄວາມຮັບຜິດຊອບຂອງຜູ້ບໍລິຫານຄວາມປອດໄພມີດັ່ງນີ້: 1. ຜູ້ບໍລິຫານຄວາມປອດໄພສາມາດບໍລິຫານພາຍໃນ ແລະ ຫ່າງໄກສອກຫຼີກ. 2. ສ້າງ, ແກ້ໄຂ, ແລະລຶບບັນຊີຜູ້ເບິ່ງແຍງລະບົບ, ລວມທັງການຕັ້ງຄ່າຄວາມລົ້ມເຫຼວຂອງການກວດສອບ
ຕົວກໍານົດການ. 3. ເປີດໃຊ້ບັນຊີຜູ້ເບິ່ງແຍງລະບົບຄືນໃໝ່. 4. ຮັບຜິດຊອບສໍາລັບການຕັ້ງຄ່າແລະການບໍາລຸງຮັກສາອົງປະກອບ cryptographic ທີ່ກ່ຽວຂ້ອງກັບການ
ການສ້າງຕັ້ງການເຊື່ອມຕໍ່ທີ່ປອດໄພກັບແລະຈາກຜະລິດຕະພັນການປະເມີນຜົນ. ລະບົບປະຕິບັດການ Juniper Networks Junos (Junos OS) ທີ່ໃຊ້ໃນໂໝດທີ່ບໍ່ແມ່ນ FIPS ຊ່ວຍໃຫ້ຄວາມສາມາດຫຼາກຫຼາຍສຳລັບຜູ້ໃຊ້, ແລະການພິສູດຢືນຢັນແມ່ນອີງໃສ່ຕົວຕົນ. ຜູ້ເບິ່ງແຍງຄວາມປອດໄພປະຕິບັດທຸກໜ້າທີ່ການກຳນົດຄ່າທີ່ກ່ຽວຂ້ອງກັບໂໝດ FIPS ແລະອອກຄຳຖະແຫຼງ ແລະຄຳສັ່ງທັງໝົດສຳລັບ Junos OS ໃນໂໝດ FIPS.
ບົດບາດ ແລະ ຄວາມຮັບຜິດຊອບຂອງຜູ້ບໍລິຫານຄວາມປອດໄພ
ຜູ້ເບິ່ງແຍງລະບົບຄວາມປອດໄພແມ່ນຜູ້ຮັບຜິດຊອບໃນການເປີດໃຊ້ງານ, ຕັ້ງຄ່າ, ຕິດຕາມ, ແລະຮັກສາ Junos OS ໃນໂໝດ FIPS ໃນອຸປະກອນ. ຜູ້ເບິ່ງແຍງລະບົບຄວາມປອດໄພຕິດຕັ້ງ Junos OS ຢ່າງປອດໄພ
14
ໃນອຸປະກອນ, ເປີດໃຊ້ໂໝດ FIPS, ຕັ້ງລະຫັດ ແລະລະຫັດຜ່ານສຳລັບຜູ້ໃຊ້ອື່ນ ແລະໂມດູນຊອບແວ, ແລະເລີ່ມອຸປະກອນກ່ອນການເຊື່ອມຕໍ່ເຄືອຂ່າຍ.
ການປະຕິບັດທີ່ດີທີ່ສຸດ: ພວກເຮົາແນະນໍາໃຫ້ຜູ້ບໍລິຫານຄວາມປອດໄພຄຸ້ມຄອງລະບົບໃນລັກສະນະທີ່ປອດໄພໂດຍການຮັກສາລະຫັດຜ່ານໃຫ້ປອດໄພແລະການກວດສອບການກວດສອບ files.
ການອະນຸຍາດທີ່ຈໍາແນກຜູ້ເບິ່ງແຍງຄວາມປອດໄພຈາກຜູ້ໃຊ້ FIPS ອື່ນໆແມ່ນຄວາມລັບ, ຄວາມປອດໄພ, ການຮັກສາ, ແລະການຄວບຄຸມ. ສໍາລັບການປະຕິບັດຕາມ FIPS, ມອບຫມາຍຜູ້ເບິ່ງແຍງຄວາມປອດໄພໃຫ້ກັບຫ້ອງຮຽນເຂົ້າສູ່ລະບົບທີ່ປະກອບດ້ວຍການອະນຸຍາດທັງຫມົດເຫຼົ່ານີ້. ຜູ້ໃຊ້ທີ່ມີການອະນຸຍາດການບໍາລຸງຮັກສາ Junos OS ສາມາດອ່ານໄດ້ files ມີຕົວກໍານົດຄວາມປອດໄພທີ່ສໍາຄັນ (CSPs). ໃນບັນດາວຽກງານທີ່ກ່ຽວຂ້ອງກັບ Junos OS ໃນໂຫມດ FIPS, ຜູ້ເບິ່ງແຍງຄວາມປອດໄພຄາດວ່າຈະ: · ຕັ້ງລະຫັດຜ່ານຮາກເບື້ອງຕົ້ນ. ຄວາມຍາວຂອງລະຫັດຜ່ານຄວນມີຢ່າງໜ້ອຍ 10 ຕົວອັກສອນ. · ຣີເຊັດລະຫັດຜ່ານຜູ້ໃຊ້ດ້ວຍລະບົບການອະນຸມັດ FIPS. · ກວດສອບບັນທຶກແລະການກວດສອບ files ສໍາລັບເຫດການທີ່ມີຄວາມສົນໃຈ. ·ລຶບຜູ້ໃຊ້ສ້າງ files, ຄີ, ແລະຂໍ້ມູນໂດຍການສູນອຸປະກອນ.
ບົດບາດ ແລະ ຄວາມຮັບຜິດຊອບຂອງຜູ້ໃຊ້ FIPS
ຜູ້ໃຊ້ FIPS ທັງຫມົດ, ລວມທັງຜູ້ເບິ່ງແຍງຄວາມປອດໄພ, ສາມາດ view ການຕັ້ງຄ່າ. ສະເພາະຜູ້ໃຊ້ທີ່ຖືກມອບໝາຍໃຫ້ເປັນຜູ້ເບິ່ງແຍງລະບົບຄວາມປອດໄພສາມາດແກ້ໄຂການຕັ້ງຄ່າໄດ້. ຜູ້ໃຊ້ FIPS ສາມາດ view ສະຖານະຜົນໄດ້ຮັບແຕ່ບໍ່ສາມາດປິດເປີດ ຫຼືປິດອຸປະກອນໄດ້.
ສິ່ງທີ່ຄາດຫວັງຂອງຜູ້ໃຊ້ FIPS ທັງຫມົດ
ຜູ້ໃຊ້ FIPS ທັງໝົດ, ລວມທັງຜູ້ເບິ່ງແຍງລະບົບຄວາມປອດໄພ, ຕ້ອງປະຕິບັດຕາມຄໍາແນະນໍາດ້ານຄວາມປອດໄພຕະຫຼອດເວລາ. ຜູ້ໃຊ້ FIPS ທັງໝົດຕ້ອງ: · ຮັກສາລະຫັດຜ່ານທັງໝົດເປັນຄວາມລັບ. · ເກັບຮັກສາອຸປະກອນ ແລະເອກະສານຢູ່ໃນພື້ນທີ່ປອດໄພ. · ນຳໃຊ້ອຸປະກອນໃນພື້ນທີ່ປອດໄພ. · ກວດສອບການກວດສອບ files ເປັນໄລຍະ.
15
· ປະຕິບັດຕາມກົດລະບຽບຄວາມປອດໄພ FIPS 140-3 ອື່ນໆທັງໝົດ. ·ປະຕິບັດຕາມຄໍາແນະນໍາເຫຼົ່ານີ້:
· ຜູ້ໃຊ້ໄດ້ຮັບຄວາມໄວ້ວາງໃຈ. · ຜູ້ໃຊ້ປະຕິບັດຕາມຄຳແນະນຳຄວາມປອດໄພທັງໝົດ. · ຜູ້ໃຊ້ບໍ່ເຈດຕະນາປະນີປະນອມຄວາມປອດໄພ. · ຜູ້ໃຊ້ປະຕິບັດຄວາມຮັບຜິດຊອບໃນທຸກເວລາ.
ເອກະສານທີ່ກ່ຽວຂ້ອງ Zeroizing ລະບົບ | 25 ການຕັ້ງຄ່າຜູ້ເບິ່ງແຍງລະບົບຄວາມປອດໄພ ແລະ FIPS User Identification and Access | 30
ຄວາມເຂົ້າໃຈສະພາບແວດລ້ອມການດໍາເນີນງານສໍາລັບ Junos OS ໃນ FIPS Mode
ໃນພາກນີ້ສະພາບແວດລ້ອມຮາດແວສໍາລັບ Junos OS ໃນ FIPS Mode | 16 ສະພາບແວດລ້ອມຊອບແວສໍາລັບ Junos OS ໃນ FIPS Mode | 16 ຕົວກໍານົດຄວາມປອດໄພທີ່ສໍາຄັນ | 17
ອຸປະກອນ Juniper Networks ທີ່ໃຊ້ລະບົບປະຕິບັດການ Junos (Junos OS) ໃນໂໝດ FIPS ປະກອບເປັນປະເພດພິເສດຂອງສະພາບແວດລ້ອມການເຮັດວຽກຂອງຮາດແວ ແລະຊອບແວທີ່ແຕກຕ່າງຈາກສະພາບແວດລ້ອມຂອງອຸປະກອນໃນໂໝດທີ່ບໍ່ແມ່ນ FIPS:
16
ສະພາບແວດລ້ອມຮາດແວສຳລັບ Junos OS ໃນໂໝດ FIPS
Junos OS ໃນໂໝດ FIPS ສ້າງຂອບເຂດການເຂົ້າລະຫັດໃນອຸປະກອນທີ່ບໍ່ມີຕົວກໍານົດຄວາມປອດໄພທີ່ສໍາຄັນ (CSPs) ສາມາດຂ້າມຜ່ານຂໍ້ຄວາມທໍາມະດາໄດ້. ແຕ່ລະອົງປະກອບຮາດແວຂອງອຸປະກອນທີ່ຕ້ອງການຂອບເຂດການເຂົ້າລະຫັດລັບສໍາລັບການປະຕິບັດຕາມ FIPS 140-3 ແມ່ນໂມດູນການເຂົ້າລະຫັດແຍກຕ່າງຫາກ. ມີສອງປະເພດຂອງຮາດແວທີ່ມີຂອບເຂດການເຂົ້າລະຫັດລັບໃນ Junos OS ໃນໂຫມດ FIPS: ຫນຶ່ງສໍາລັບແຕ່ລະ Routing Engine ແລະຫນຶ່ງສໍາລັບ chassis ທັງຫມົດ. ວິທີການເຂົ້າລະຫັດລັບບໍ່ແມ່ນການທົດແທນຄວາມປອດໄພທາງກາຍະພາບ. ຮາດແວຈະຕ້ອງຢູ່ໃນສະພາບແວດລ້ອມທາງກາຍະພາບທີ່ປອດໄພ. ຜູ້ໃຊ້ທຸກປະເພດຕ້ອງບໍ່ເປີດເຜີຍກະແຈ ຫຼືລະຫັດຜ່ານ, ຫຼືອະນຸຍາດໃຫ້ບຸກຄົນທີ່ບໍ່ໄດ້ຮັບອະນຸຍາດໃຫ້ເຫັນບັນທຶກເປັນລາຍລັກອັກສອນ.
ສະພາບແວດລ້ອມຊອບແວສໍາລັບ Junos OS ໃນໂໝດ FIPS
ອຸປະກອນ Juniper Networks ທີ່ໃຊ້ Junos OS ໃນໂໝດ FIPS ປະກອບເປັນປະເພດພິເສດຂອງສະພາບແວດລ້ອມການເຮັດວຽກທີ່ບໍ່ສາມາດປ່ຽນແປງໄດ້. ເພື່ອບັນລຸສະພາບແວດລ້ອມນີ້ໃນອຸປະກອນ, ລະບົບປ້ອງກັນການປະຕິບັດຂອງຖານສອງໃດໆ file ນັ້ນບໍ່ແມ່ນສ່ວນຫນຶ່ງຂອງການແຈກຢາຍ Junos OS ທີ່ໄດ້ຮັບການຮັບຮອງ. ເມື່ອອຸປະກອນຢູ່ໃນໂໝດ FIPS, ມັນສາມາດແລ່ນໄດ້ພຽງແຕ່ Junos OS. Junos OS ໃນສະພາບແວດລ້ອມຊອຟແວໂໝດ FIPS ຖືກສ້າງຕັ້ງຂຶ້ນຫຼັງຈາກຜູ້ເບິ່ງແຍງຄວາມປອດໄພເປີດໃຊ້ໂໝດ FIPS ໃນອຸປະກອນຢ່າງສຳເລັດຜົນ. ຮູບພາບ Junos OS ທີ່ປະກອບມີໂໝດ FIPS ແມ່ນມີຢູ່ໃນ Juniper Networks website ແລະສາມາດໄດ້ຮັບການຕິດຕັ້ງຢູ່ໃນອຸປະກອນປະຕິບັດຫນ້າ. ສໍາລັບການປະຕິບັດຕາມ FIPS 140-3, ພວກເຮົາແນະນໍາໃຫ້ລຶບທັງຫມົດທີ່ຜູ້ໃຊ້ສ້າງ files ແລະຂໍ້ມູນຈາກ (zeroizing) ລະບົບທັນທີຫຼັງຈາກທີ່ເປີດໃຊ້ຮູບແບບ FIPS. ການເປີດໃຊ້ໂໝດ FIPS ປິດໃຊ້ງານໂປຣໂຕຄໍ ແລະບໍລິການ Junos OS ປົກກະຕິຫຼາຍຢ່າງ. ໂດຍສະເພາະ, ທ່ານບໍ່ສາມາດກຳນົດຄ່າບໍລິການຕໍ່ໄປນີ້ໃນ Junos OS ໃນໂໝດ FIPS: · finger · ftp · rlogin · telnet · tftp · xnm-clear-text ຄວາມພະຍາຍາມໃນການຕັ້ງຄ່າການບໍລິການເຫຼົ່ານີ້, ຫຼືການໂຫຼດການຕັ້ງຄ່າກັບການບໍລິການເຫຼົ່ານີ້ຖືກຕັ້ງຄ່າ, ສົ່ງຜົນໃຫ້ມີການຕັ້ງຄ່າ. syntax ຜິດພາດ.
17
ທ່ານສາມາດນໍາໃຊ້ພຽງແຕ່ SSH ເປັນບໍລິການເຂົ້າເຖິງຫ່າງໄກສອກຫຼີກ. ລະຫັດຜ່ານທັງໝົດທີ່ສ້າງຂຶ້ນສຳລັບຜູ້ໃຊ້ຫຼັງຈາກການອັບເກຣດເປັນ Junos OS ໃນໂໝດ FIPS ຕ້ອງສອດຄ່ອງກັບ Junos OS ໃນໂໝດ FIPS ສະເພາະ. ລະຫັດຜ່ານຕ້ອງມີຄວາມຍາວລະຫວ່າງ 10 ຫາ 20 ຕົວອັກສອນ ແລະຕ້ອງໃຊ້ຢ່າງໜ້ອຍສາມຕົວໃນຫ້າຊຸດຕົວອັກສອນທີ່ກຳນົດໄວ້ (ຕົວພິມໃຫຍ່ ແລະ ຕົວພິມນ້ອຍ, ຕົວເລກ, ເຄື່ອງໝາຍວັກຕອນ, ແລະຕົວອັກສອນແປ້ນພິມເຊັ່ນ % ແລະ &, ບໍ່ລວມຢູ່ໃນຕົວພິມອື່ນ. ສີ່ປະເພດ). ຄວາມພະຍາຍາມທີ່ຈະຕັ້ງຄ່າລະຫັດຜ່ານທີ່ບໍ່ສອດຄ່ອງກັບກົດລະບຽບເຫຼົ່ານີ້ສົ່ງຜົນໃຫ້ເກີດຄວາມຜິດພາດ. ລະຫັດຜ່ານ ແລະກະແຈທັງໝົດທີ່ໃຊ້ເພື່ອພິສູດຢືນຢັນຕົວຕົນຕ້ອງມີຄວາມຍາວຢ່າງໜ້ອຍ 10 ຕົວ, ແລະໃນບາງກໍລະນີ ຄວາມຍາວຕ້ອງກົງກັບຂະໜາດຍ່ອຍ.
ໝາຍເຫດ: ຢ່າແນບອຸປະກອນໃສ່ເຄືອຂ່າຍຈົນກວ່າເຈົ້າ, ຜູ້ເບິ່ງແຍງຄວາມປອດໄພ, ສຳເລັດການຕັ້ງຄ່າຈາກການເຊື່ອມຕໍ່ຄອນໂຊພາຍໃນເຄື່ອງ.
ສໍາລັບການປະຕິບັດຕາມຢ່າງເຂັ້ມງວດ, ບໍ່ຄວນກວດເບິ່ງຂໍ້ມູນຫຼັກແລະ crash dump ໃນ console ທ້ອງຖິ່ນໃນ Junos OS ໃນຮູບແບບ FIPS ເພາະວ່າບາງ CSPs ອາດຈະຖືກສະແດງຢູ່ໃນຂໍ້ຄວາມທໍາມະດາ.
ຕົວກໍານົດການຄວາມປອດໄພທີ່ສໍາຄັນ
ຕົວກໍານົດການຄວາມປອດໄພທີ່ສໍາຄັນ (CSPs) ແມ່ນຂໍ້ມູນທີ່ກ່ຽວຂ້ອງກັບຄວາມປອດໄພເຊັ່ນ: ກະແຈເຂົ້າລະຫັດລັບແລະລະຫັດຜ່ານທີ່ສາມາດປະນີປະນອມຄວາມປອດໄພຂອງໂມດູນການເຂົ້າລະຫັດລັບຫຼືຄວາມປອດໄພຂອງຂໍ້ມູນທີ່ປ້ອງກັນໂດຍໂມດູນຖ້າຫາກວ່າພວກເຂົາເຈົ້າໄດ້ຖືກເປີດເຜີຍຫຼືດັດແກ້.
Zeroization ຂອງລະບົບຈະລຶບຮ່ອງຮອຍທັງຫມົດຂອງ CSPs ໃນການກະກຽມສໍາລັບການປະຕິບັດງານອຸປະກອນຫຼື Routing Engine ເປັນໂມດູນການເຂົ້າລະຫັດລັບ.
ຕາຕະລາງ 2 ໃນໜ້າທີ 17 ລາຍຊື່ CSPs ໃນອຸປະກອນທີ່ໃຊ້ Junos OS.
ຕາຕະລາງ 2: ຕົວກໍານົດການຄວາມປອດໄພທີ່ສໍາຄັນ
CSP
ລາຍລະອຽດ
Zeroization
ໃຊ້
ວິທີການ
ກະແຈໂຮສສ່ວນຕົວ SSH-2
ລະຫັດ ECDSA / RSA ທີ່ໃຊ້ເພື່ອກໍານົດເຈົ້າພາບ, ສ້າງ SSH ຄັ້ງທໍາອິດຖືກຕັ້ງຄ່າ.
Zeroize ຄໍາສັ່ງ. ໃຊ້ເພື່ອກໍານົດເຈົ້າພາບ.
18
ຕາຕະລາງ 2: ຕົວກໍານົດຄວາມປອດໄພທີ່ສໍາຄັນ (ຕໍ່)
CSP
ລາຍລະອຽດ
Zeroization
ໃຊ້
ວິທີການ
ລະຫັດເຊດຊັນ SSH-2
ກະແຈ Session ທີ່ໃຊ້ກັບ SSHv2 ແລະເປັນລະຫັດສ່ວນຕົວ Diffie-Hellman.
ການເຂົ້າລະຫັດ: AES-128, AES-256.
ວົງຈອນພະລັງງານແລະຢຸດເຊດຊັນ.
ກະແຈ Symmetric ໃຊ້ເພື່ອເຂົ້າລະຫັດຂໍ້ມູນລະຫວ່າງແມ່ຂ່າຍ ແລະລູກຂ່າຍ.
MACs: HMAC-SHA-1, HMACSHA-2-256,HMAC-SHA2-512.
ການແລກປ່ຽນຫຼັກ: dh-group14-sha1, ECDHsha2-nistp256, ECDH-sha2-nistp384, ແລະ ECDH-sha2-nistp521.
ການຢືນຢັນຜູ້ໃຊ້ Hash ຂອງລະຫັດຜ່ານຂອງຜູ້ໃຊ້: SHA-256,
ກະແຈ
SHA-512.
Zeroize ຄໍາສັ່ງ.
ໃຊ້ເພື່ອຮັບຮອງຜູ້ໃຊ້ເຂົ້າລະຫັດລັບ.
ກະແຈການຮັບຮອງຄວາມຖືກຕ້ອງຂອງຜູ້ເບິ່ງແຍງລະບົບຄວາມປອດໄພ
Hash ຂອງລະຫັດຜ່ານຂອງຜູ້ເບິ່ງແຍງຄວາມປອດໄພ: SHA-256, SHA-512.
Zeroize ຄໍາສັ່ງ.
ໃຊ້ເພື່ອພິສູດຕົວຜູ້ເບິ່ງແຍງຄວາມປອດໄພໃຫ້ກັບໂມດູນການເຂົ້າລະຫັດລັບ.
ແກ່ນພືດ HMAC DRBG ສໍາລັບການກໍານົດ randon bit generator (DRBG).
ແກ່ນບໍ່ໄດ້ຖືກເກັບຮັກສາໄວ້ໂດຍໂມດູນການເຂົ້າລະຫັດລັບ.
ໃຊ້ສໍາລັບການປູກເມັດ DRBG.
ຄ່າ HMAC DRBG V
ຄ່າ (V) ຂອງຄວາມຍາວຕັນຜົນຜະລິດ (outlen) ເປັນບິດ, ເຊິ່ງຈະຖືກປັບປຸງໃນແຕ່ລະຄັ້ງທີ່ຜະລິດອອກ bits outlen ອື່ນ.
ວົງຈອນພະລັງງານ.
ຄ່າສຳຄັນຂອງສະຖານະພາຍໃນຂອງ DRBG.
ຄ່າຫຼັກ HMAC DRBG
ມູນຄ່າປັດຈຸບັນຂອງປຸ່ມ outlen-bit, ເຊິ່ງໄດ້ຖືກປັບປຸງຢ່າງຫນ້ອຍຫນຶ່ງຄັ້ງໃນແຕ່ລະຄັ້ງທີ່ກົນໄກ DRBG ສ້າງ pseudorandom bits.
ວົງຈອນພະລັງງານ.
ຄ່າສຳຄັນຂອງສະຖານະພາຍໃນຂອງ DRBG.
19
ຕາຕະລາງ 2: ຕົວກໍານົດຄວາມປອດໄພທີ່ສໍາຄັນ (ຕໍ່)
CSP
ລາຍລະອຽດ
NDRNG entropy
ໃຊ້ເປັນສາຍເຂົ້າ entropy ກັບ HMAC DRBG.
ວິທີການ Zeroization
ວົງຈອນພະລັງງານ.
ໃຊ້
ຄ່າສຳຄັນຂອງສະຖານະພາຍໃນຂອງ DRBG.
ໃນ Junos OS ໃນໂໝດ FIPS, CSP ທັງໝົດຕ້ອງເຂົ້າ ແລະອອກຈາກໂມດູນການເຂົ້າລະຫັດໃນຮູບແບບທີ່ຖືກເຂົ້າລະຫັດ. CSP ໃດໆທີ່ເຂົ້າລະຫັດດ້ວຍລະບົບສູດການຄິດໄລ່ທີ່ບໍ່ໄດ້ຮັບການອະນຸມັດແມ່ນຖືວ່າເປັນຂໍ້ຄວາມທຳມະດາໂດຍ FIPS.
ລະຫັດຜ່ານທ້ອງຖິ່ນແມ່ນໄດ້ຖືກ hash ດ້ວຍວິທີການ hash ຄວາມປອດໄພ SHA-256, ຫຼື SHA-512. ການກູ້ລະຫັດຜ່ານເປັນໄປບໍ່ໄດ້ໃນ Junos OS ໃນຮູບແບບ FIPS. Junos OS ໃນໂຫມດ FIPS ບໍ່ສາມາດບູດເຂົ້າໄປໃນໂຫມດຜູ້ໃຊ້ດຽວໂດຍບໍ່ມີລະຫັດຜ່ານຮາກທີ່ຖືກຕ້ອງ.
ເອກະສານທີ່ກ່ຽວຂ້ອງ ຄວາມເຂົ້າໃຈສະເພາະຂອງລະຫັດຜ່ານ ແລະຂໍ້ແນະນໍາສໍາລັບ Junos OS ໃນ FIPS Mode | 19 ຄວາມເຂົ້າໃຈ Zeroization ເພື່ອລຶບຂໍ້ມູນລະບົບສໍາລັບ FIPS Mode | 23
ເຂົ້າໃຈສະເພາະລະຫັດຜ່ານ ແລະຂໍ້ແນະນຳສຳລັບ Junos OS ໃນໂໝດ FIPS
ໃຫ້ແນ່ໃຈວ່າອຸປະກອນຢູ່ໃນໂຫມດ FIPS ກ່ອນທີ່ທ່ານຈະກໍາຫນົດຄ່າຜູ້ເບິ່ງແຍງຄວາມປອດໄພຫຼືຜູ້ໃຊ້ໃດໆ. ລະຫັດຜ່ານທັງໝົດທີ່ສ້າງຂຶ້ນສຳລັບຜູ້ໃຊ້ໂດຍຜູ້ເບິ່ງແຍງລະບົບຄວາມປອດໄພຕ້ອງສອດຄ່ອງກັບ Junos OS ຕໍ່ໄປນີ້ໃນຄວາມຕ້ອງການຂອງໂໝດ FIPS. ຄວາມພະຍາຍາມໃນການຕັ້ງຄ່າລະຫັດຜ່ານທີ່ບໍ່ສອດຄ່ອງກັບສະເພາະຕໍ່ໄປນີ້ສົ່ງຜົນໃຫ້ເກີດຄວາມຜິດພາດ. · ຄວາມຍາວ. ລະຫັດຜ່ານຕ້ອງມີຢ່າງໜ້ອຍ 10 ຕົວອັກສອນ. ·ຄວາມຕ້ອງການຂອງຕົວອັກສອນ. ລະຫັດຜ່ານຕ້ອງມີຢ່າງໜ້ອຍສາມໃນຫ້າອັນຕໍ່ໄປນີ້ທີ່ກຳນົດໄວ້
ຊຸດຕົວອັກສອນ: · ໂຕພິມໃຫຍ່ · ຕົວພິມນ້ອຍ · ຕົວເລກ
20
· ເຄື່ອງໝາຍວັກຕອນ · ຕົວອັກສອນແປ້ນພິມບໍ່ໄດ້ລວມຢູ່ໃນສີ່ຊຸດອື່ນໆ ເຊັ່ນ: ເຄື່ອງໝາຍສ່ວນຮ້ອຍ (%) ແລະ
ampersand (&) · ຄວາມຕ້ອງການຢັ້ງຢືນ. ລະຫັດຜ່ານ ແລະກະແຈທັງໝົດທີ່ໃຊ້ເພື່ອພິສູດຢືນຢັນຕົວຕົນຈະຕ້ອງມີຢູ່
ຢ່າງໜ້ອຍ 10 ຕົວອັກສອນ, ແລະໃນບາງກໍລະນີຈຳນວນຕົວອັກສອນຕ້ອງກົງກັບຂະໜາດຍ່ອຍ. · ການເຂົ້າລະຫັດລະຫັດຜ່ານ: ການປ່ຽນແປງວິທີການເຂົ້າລະຫັດເລີ່ມຕົ້ນ (SHA512) ປະກອບມີຮູບແບບ
ຄໍາຖະແຫຼງທີ່ [ແກ້ໄຂລະຫັດຜ່ານເຂົ້າສູ່ລະບົບ] ລະດັບລໍາດັບຊັ້ນ. ຂໍ້ແນະນໍາສໍາລັບລະຫັດຜ່ານທີ່ເຂັ້ມແຂງ. ລະຫັດຜ່ານທີ່ແຂງແຮງ ແລະສາມາດນຳໃຊ້ຄືນໄດ້ສາມາດອີງໃສ່ຕົວອັກສອນຈາກປະໂຫຍກ ຫຼືຄຳສັບທີ່ມັກ ແລະຈາກນັ້ນປະສົມກັບຄຳສັບອື່ນໆທີ່ບໍ່ກ່ຽວຂ້ອງ, ພ້ອມກັບຕົວເລກ ແລະເຄື່ອງໝາຍວັກຕອນທີ່ເພີ່ມເຂົ້າ. ໂດຍທົ່ວໄປ, ລະຫັດຜ່ານທີ່ເຂັ້ມແຂງແມ່ນ: · ຈື່ງ່າຍເພື່ອບໍ່ໃຫ້ຜູ້ໃຊ້ຖືກລໍ້ລວງໃຫ້ຂຽນມັນລົງ. · ປະກອບມາຈາກຕົວອັກສອນທີ່ເປັນຕົວເລກ ແລະ ເຄື່ອງໝາຍວັກຕອນປະສົມ. ສໍາລັບການປະຕິບັດຕາມ FIPS ປະກອບມີຢ່າງຫນ້ອຍ
ການປ່ຽນແປງຂອງກໍລະນີຫນຶ່ງ, ຫນຶ່ງຫຼືຫຼາຍຕົວເລກ, ແລະຫນຶ່ງຫຼືຫຼາຍເຄື່ອງຫມາຍວັກຕອນ. · ມີການປ່ຽນແປງເປັນແຕ່ລະໄລຍະ. · ບໍ່ໄດ້ແບ່ງປັນໃຫ້ໃຜ. ລັກສະນະຂອງລະຫັດຜ່ານທີ່ອ່ອນແອ. ຢ່າໃຊ້ລະຫັດຜ່ານທີ່ອ່ອນແອຕໍ່ໄປນີ້: · ຄໍາສັບທີ່ອາດຈະພົບເຫັນຢູ່ໃນຫຼືມີຢູ່ໃນຮູບແບບທີ່ອະນຸຍາດໃຫ້ຢູ່ໃນລະບົບ. files ເຊັ່ນ /etc/passwd. · ຊື່ເຈົ້າພາບຂອງລະບົບ (ເປັນການຄາດເດົາທຳອິດສະເໝີ). · ຄຳສັບ ຫຼືປະໂຫຍກໃດນຶ່ງທີ່ປາກົດຢູ່ໃນວັດຈະນານຸກົມ ຫຼືແຫຼ່ງທີ່ຮູ້ຈັກອື່ນໆ ລວມທັງວັດຈະນານຸກົມ
ແລະ thesauruses ໃນພາສາອື່ນທີ່ບໍ່ແມ່ນພາສາອັງກິດ; ເຮັດວຽກໂດຍນັກຂຽນຄລາສສິກຫຼືທີ່ນິຍົມ; ຫຼືຄໍາສັບທົ່ວໄປແລະປະໂຫຍກຈາກກິລາ, ຄໍາເວົ້າ, ຮູບເງົາຫຼືລາຍການໂທລະພາບ. · ການປ່ຽນແປງອັນໃດນຶ່ງຂ້າງເທິງນີ້—ສໍາລັບຕົວຢ່າງample, ຄໍາວັດຈະນານຸກົມທີ່ມີຕົວອັກສອນແທນທີ່ດ້ວຍຕົວເລກ (ຮາກ) ຫຼືມີການເພີ່ມຕົວເລກໃສ່ທ້າຍ. · ລະຫັດຜ່ານທີ່ເຄື່ອງຈັກສ້າງຂຶ້ນ. Algorithms ຫຼຸດຜ່ອນພື້ນທີ່ຄົ້ນຫາຂອງໂປລແກລມການຄາດເດົາລະຫັດຜ່ານແລະດັ່ງນັ້ນບໍ່ຄວນຖືກນໍາໃຊ້.
ເອກະສານທີ່ກ່ຽວຂ້ອງ ຄວາມເຂົ້າໃຈໃນສະພາບແວດລ້ອມການດໍາເນີນງານຂອງ Junos OS ໃນ FIPS Mode | 15
21
ການດາວໂຫຼດຊຸດຊອບແວຈາກ Juniper Networks
ທ່ານສາມາດດາວໂຫລດຊຸດຊອບແວ Junos OS ຈາກ Juniper Networks webເວັບໄຊ. ກ່ອນທີ່ທ່ານຈະເລີ່ມຕົ້ນດາວໂຫລດຊອບແວ, ໃຫ້ແນ່ໃຈວ່າທ່ານມີ Juniper Networks Web ບັນຊີແລະສັນຍາສະຫນັບສະຫນູນທີ່ຖືກຕ້ອງ. ເພື່ອຮັບບັນຊີ, ໃຫ້ຕື່ມແບບຟອມລົງທະບຽນຢູ່ Juniper Networks webເວັບໄຊທ໌: https://userregistration.juniper.net/. ເພື່ອດາວໂຫລດຊຸດຊອບແວຈາກ Juniper Networks: 1. ການນໍາໃຊ້ a Web browser, ປະຕິບັດຕາມການເຊື່ອມຕໍ່ກັບການດາວໂຫຼດ URL ໃນ Juniper Networks webໜ້າ.
https://support.juniper.net/support/downloads/ 2. Log in to the Juniper Networks authentication system using the username (generally your e-mail
ທີ່ຢູ່) ແລະລະຫັດຜ່ານທີ່ສະຫນອງໂດຍຕົວແທນ Juniper Networks. 3. ດາວໂຫຼດຊອບແວ. ເບິ່ງການດາວໂຫຼດຊອບແວ.
ເອກະສານທີ່ກ່ຽວຂ້ອງຕິດຕັ້ງ Junos OS Software Package | 21
ຕິດຕັ້ງຊຸດຊອບແວ Junos OS
ທ່ານສາມາດນໍາໃຊ້ຂັ້ນຕອນນີ້ເພື່ອຍົກລະດັບ Junos OS ໃນອຸປະກອນດ້ວຍ Routing Engine ດຽວ.
ໝາຍເຫດ: Junos OS ຖືກຈັດສົ່ງໃນແພັກເກັດທີ່ມີລາຍເຊັນທີ່ມີລາຍເຊັນດິຈິຕອນເພື່ອຮັບປະກັນວ່າຊອບແວ Juniper Networks ເຮັດວຽກຢູ່. ເມື່ອຕິດຕັ້ງຊຸດຊອບແວ, Junos OS ກວດສອບລາຍເຊັນ ແລະໃບຢັ້ງຢືນຫຼັກສາທາລະນະທີ່ໃຊ້ເພື່ອເຊັນຊຸດຊອບແວແບບດິຈິຕອນ. ຖ້າລາຍເຊັນ ຫຼືໃບຢັ້ງຢືນຖືກພົບວ່າບໍ່ຖືກຕ້ອງ (ຕົວຢ່າງເຊັ່ນampດັ່ງນັ້ນ, ເມື່ອໄລຍະເວລາຄວາມຖືກຕ້ອງຂອງໃບຢັ້ງຢືນໄດ້ຫມົດອາຍຸຫຼືບໍ່ສາມາດກວດສອບກັບຮາກ CA ທີ່ເກັບໄວ້ໃນຮ້ານ Junos OS ພາຍໃນ), ຂະບວນການຕິດຕັ້ງລົ້ມເຫລວ.
ເພື່ອຕິດຕັ້ງການອັບເກຣດຊອບແວໃນອຸປະກອນຂອງທ່ານດ້ວຍ Routing Engine ດຽວ: 1. ດາວໂຫລດຊຸດຊອບແວທີ່ອະທິບາຍໄວ້ໃນ “ການດາວໂຫຼດຊຸດຊອບແວຈາກ Juniper
ເຄືອຂ່າຍ” ໃນໜ້າທີ 21.
22
2. ຖ້າທ່ານຍັງບໍ່ໄດ້ເຮັດແນວນັ້ນ, ເຊື່ອມຕໍ່ກັບພອດ console ໃນອຸປະກອນຈາກອຸປະກອນການຄຸ້ມຄອງຂອງທ່ານ, ແລະເຂົ້າສູ່ລະບົບ Junos OS CLI.
3. (ທາງເລືອກ) ສຳຮອງການຕັ້ງຄ່າຊອບແວປັດຈຸບັນເປັນທາງເລືອກການເກັບຮັກສາທີສອງ. ເບິ່ງຄູ່ມືການຕິດຕັ້ງ ແລະອັບເກຣດ Junos OS ສໍາລັບຄໍາແນະນໍາໃນການປະຕິບັດວຽກງານນີ້.
4. (ທາງເລືອກ) ຄັດລອກຊຸດຊອບແວໃສ່ອຸປະກອນ. ພວກເຮົາແນະນໍາໃຫ້ທ່ານໃຊ້ FTP ເພື່ອຄັດລອກ file ໄປທີ່ໄດເລກະທໍລີ /var/tmp/. ຂັ້ນຕອນນີ້ເປັນທາງເລືອກເພາະວ່າ Junos OS ສາມາດໄດ້ຮັບການຍົກລະດັບໃນເວລາທີ່ຮູບພາບຊອບແວໄດ້ຖືກເກັບຮັກສາໄວ້ຢູ່ທີ່ຫ່າງໄກສອກຫຼີກ. ຄໍາແນະນໍາເຫຼົ່ານີ້ອະທິບາຍຂະບວນການຍົກລະດັບຊອບແວສໍາລັບທັງສອງສະຖານະການ.
5. ຕິດຕັ້ງຊຸດໃໝ່ໃນອຸປະກອນ:
user@host> ຂໍຊອບແວລະບົບເພີ່ມຊຸດ
ປ່ຽນແພັກເກັດດ້ວຍໜຶ່ງໃນເສັ້ນທາງຕໍ່ໄປນີ້: · ສໍາລັບຊຸດຊອບແວໃນໄດເລກະທໍລີທ້ອງຖິ່ນໃນອຸປະກອນ, ໃຫ້ໃຊ້ /var/tmp/package.tgz.
· ສໍາລັບຊຸດຊອບແວຢູ່ໃນເຄື່ອງແມ່ຂ່າຍຫ່າງໄກສອກຫຼີກ, ໃຫ້ໃຊ້ຫນຶ່ງໃນເສັ້ນທາງຕໍ່ໄປນີ້, ປ່ຽນແພັກເກັດທີ່ມີຊື່ຊຸດຊອບແວ. · ftp://hostname/pathname/package.tgz
· http://hostname/pathname/package.tgz
ຫມາຍເຫດ: ຖ້າທ່ານຕ້ອງການຢຸດການຕິດຕັ້ງ, ຢ່າປິດເປີດອຸປະກອນຂອງທ່ານ; ແທນທີ່ຈະ, ສໍາເລັດການຕິດຕັ້ງແລະຫຼັງຈາກນັ້ນອອກຄໍາສັ່ງຊອບແວລະບົບການຮ້ອງຂໍລຶບ package.tgz. ນີ້ແມ່ນໂອກາດສຸດທ້າຍຂອງເຈົ້າທີ່ຈະຢຸດການຕິດຕັ້ງ.
6. ປິດເປີດອຸປະກອນຄືນໃໝ່ເພື່ອໂຫຼດການຕິດຕັ້ງ ແລະເລີ່ມຊອບແວໃໝ່:
user@host> ຮ້ອງຂໍໃຫ້ລະບົບ reboot
7. ຫຼັງຈາກ reboot ໄດ້ສໍາເລັດ, ເຂົ້າສູ່ລະບົບແລະນໍາໃຊ້ຄໍາສັ່ງສະແດງໃຫ້ເຫັນສະບັບເພື່ອກວດສອບວ່າສະບັບໃຫມ່ຂອງຊອບແວໄດ້ຖືກຕິດຕັ້ງສົບຜົນສໍາເລັດ.
user@host> ສະແດງເວີຊັນ Hostname: hostname Model: ex4400-24t Junos: 22.3R3.5 JUNOS OS Kernel 64-bit [20220603.3f9a7bb_builder_stable_12_214] JUNOS OS libs [20220603.3_9builder7st
23
JUNOS OS runtime [20220603.3f9a7bb_builder_stable_12_214] JUNOS OS ຂໍ້ມູນເຂດເວລາ [20220603.3f9a7bb_builder_stable_12_214] JUNOS OS libs compat32 [20220603.3f9a7bb_builder_stable_12_214] JUNOS OS libs compat32 [20220603.3 ຄວາມເຂົ້າກັນໄດ້ 9 ບິດ [7f12a214bb_builder_stable_20220719.195034_214] JUNOS py extensions [3_builder_junos_20220719.195034_r214] JUNOS py base [3_builder_junos_20220719.195034_r214] JUNOS py base [3_builder_junos_20220603.3_r9] JUNOS py base [7. ex config [12_builder_junos_214_r20220603.3] JUNOS OS EFI runtime [9f7a12bb_builder_stable_214_XNUMX] JUNOS OS crypto [XNUMXfXNUMXaXNUMXbbable OSXNUMXboot] files [20220603.3f9a7bb_builder_stable_12_214] ບູດ JUNOS OS EFI files [20220603.3f9a7bb_builder_stable_12_214] JUNOS network stack ແລະ utilities [20220719.195034_builder_junos_214_r3] JUNOS libs [20220719.195034_builder_junos_214_r3] JUNOS libs [32UNos_20220719.195034] 214_builder_junos_3_r20220719.195034] JUNOS runtime [214_builder_junos_3_r22.3] JUNOS na telemetry [3.5RXNUMX] JUNOS Web ແພັກເກດແພລດຟອມການຈັດການ [20220719.195034_builder_junos_214_r3] JUNOS ex runtime [20220719.195034_builder_junos_214_r3] ຄວາມເຂົ້າໃຈ Zeroization ເພື່ອລຶບຂໍ້ມູນລະບົບສຳລັບໂໝດ FIPS
ຢູ່ໃນພາກນີ້
ເປັນຫຍັງ Zeroize? | 24 ເມື່ອໃດທີ່ຈະ Zeroize? | 24
Zeroization ຈະລຶບຂໍ້ມູນການຕັ້ງຄ່າທັງໝົດໃນ Routing Engines ທັງໝົດ, ລວມທັງລະຫັດຜ່ານຂໍ້ຄວາມທຳມະດາທັງໝົດ, ຄວາມລັບ, ແລະກະແຈສ່ວນຕົວສຳລັບ SSH, ການເຂົ້າລະຫັດທ້ອງຖິ່ນ, ການພິສູດຢືນຢັນທ້ອງຖິ່ນ ແລະ IPsec.
ຜູ້ເບິ່ງແຍງຄວາມປອດໄພເລີ່ມຕົ້ນຂະບວນການ zeroization ໂດຍການເຂົ້າໄປໃນລະບົບການຮ້ອງຂໍ zeroize ຄໍາສັ່ງປະຕິບັດງານຈາກ CLI ຫຼັງຈາກເປີດໃຊ້ໂຫມດ FIPS. ການໃຊ້ຄໍາສັ່ງນີ້ຖືກຈໍາກັດໃຫ້ຜູ້ເບິ່ງແຍງຄວາມປອດໄພ.
24
ຂໍ້ຄວນລະວັງ: ດໍາເນີນການສູນລະບົບດ້ວຍຄວາມລະມັດລະວັງ. ຫຼັງຈາກຂະບວນການ zeroization ໄດ້ສໍາເລັດສົມບູນ, ບໍ່ມີຂໍ້ມູນຖືກປະໄວ້ຢູ່ໃນ Routing Engine. ອຸປະກອນຖືກກັບຄືນສູ່ສະຖານະເລີ່ມຕົ້ນຂອງໂຮງງານ, ໂດຍບໍ່ມີການກໍານົດຜູ້ໃຊ້ຫຼືການຕັ້ງຄ່າໃດໆ files. Zeroization ສາມາດໃຊ້ເວລາຫຼາຍ. ເຖິງແມ່ນວ່າການຕັ້ງຄ່າທັງຫມົດຈະຖືກລຶບອອກໃນສອງສາມວິນາທີ, ຂະບວນການ zeroization ດໍາເນີນຕໍ່ໄປເພື່ອຂຽນທັບສື່ທັງຫມົດ, ເຊິ່ງສາມາດໃຊ້ເວລາຫຼາຍຂຶ້ນຢູ່ກັບຂະຫນາດຂອງສື່.
ເປັນຫຍັງ Zeroize?
ອຸປະກອນຂອງທ່ານບໍ່ໄດ້ຮັບຖືວ່າເປັນໂມດູນການເຂົ້າລະຫັດ FIPS ທີ່ຖືກຕ້ອງຈົນກ່ວາຕົວກໍານົດການຄວາມປອດໄພທີ່ສໍາຄັນ (CSPs) ທັງຫມົດໄດ້ຮັບການເຂົ້າ – ຫຼືເຂົ້າໃຫມ່ – ໃນຂະນະທີ່ອຸປະກອນແມ່ນຢູ່ໃນຮູບແບບ FIPS. ສໍາລັບການປະຕິບັດຕາມ FIPS 140-3, ວິທີດຽວທີ່ຈະອອກຈາກໂຫມດ FIPS ແມ່ນການສູນ TOE.
ເມື່ອໃດທີ່ຈະ Zeroize?
ໃນຖານະເປັນຜູ້ບໍລິຫານຄວາມປອດໄພ, ປະຕິບັດ zeroization ໃນສະຖານະການດັ່ງຕໍ່ໄປນີ້: · ກ່ອນທີ່ຈະເປີດໃຊ້ງານຮູບແບບ FIPS: ເພື່ອກະກຽມອຸປະກອນຂອງທ່ານສໍາລັບການດໍາເນີນງານເປັນ FIPS
ໂມດູນການເຂົ້າລະຫັດລັບ, ດໍາເນີນການສູນກ່ອນທີ່ຈະເປີດໃຊ້ໂໝດ FIPS. · ກ່ອນທີ່ຈະ repurposing ກັບຮູບແບບການບໍ່ແມ່ນ FIPS ຂອງການດໍາເນີນງານ: ເພື່ອເລີ່ມຕົ້ນການ repurposing ອຸປະກອນຂອງທ່ານສໍາລັບການບໍ່ແມ່ນ FIPS
ຮູບແບບການດໍາເນີນການ, ດໍາເນີນການ zeroization ໃນອຸປະກອນ.
ຫມາຍເຫດ: Juniper Networks ບໍ່ຮອງຮັບການຕິດຕັ້ງຊອບແວທີ່ບໍ່ແມ່ນ FIPS ໃນສະພາບແວດລ້ອມ FIPS, ແຕ່ການເຮັດດັ່ງນັ້ນອາດຈະມີຄວາມຈໍາເປັນໃນສະພາບແວດລ້ອມການທົດສອບບາງຢ່າງ. ໃຫ້ແນ່ໃຈວ່າຈະສູນລະບົບກ່ອນ.
ເອກະສານທີ່ກ່ຽວຂ້ອງ ເປີດໃຊ້ໂໝດ FIPS | 26
25
Zeroizing ລະບົບ
ອຸປະກອນຂອງທ່ານບໍ່ໄດ້ຮັບຖືວ່າເປັນໂມດູນການເຂົ້າລະຫັດ FIPS ທີ່ຖືກຕ້ອງຈົນກ່ວາຕົວກໍານົດການຄວາມປອດໄພທີ່ສໍາຄັນ (CSPs) ທັງຫມົດໄດ້ຮັບການເຂົ້າ – ຫຼືເຂົ້າໃຫມ່ – ໃນຂະນະທີ່ອຸປະກອນແມ່ນຢູ່ໃນຮູບແບບ FIPS. ສໍາລັບການປະຕິບັດຕາມ FIPS 140-3, ທ່ານຕ້ອງສູນລະບົບເພື່ອເອົາຂໍ້ມູນທີ່ລະອຽດອ່ອນອອກກ່ອນທີ່ຈະປິດການທໍາງານຂອງຮູບແບບ FIPS ໃນອຸປະກອນ. ໃນຖານະເປັນຜູ້ເບິ່ງແຍງຄວາມປອດໄພ, ທ່ານດໍາເນີນການລະບົບການຮ້ອງຂໍໃຫ້ສູນຄໍາສັ່ງທີ່ຈະເອົາທັງຫມົດທີ່ຜູ້ໃຊ້ສ້າງ files ຈາກອຸປະກອນແລະປ່ຽນແທນຂໍ້ມູນຜູ້ໃຊ້ດ້ວຍສູນ. ຄຳສັ່ງນີ້ລຶບຂໍ້ມູນການຕັ້ງຄ່າທັງໝົດໃນ Routing Engines ທັງໝົດ, ລວມທັງການກຳນົດຄ່າ rollback ທັງໝົດ. files ແລະລະຫັດຜ່ານຂໍ້ຄວາມທໍາມະດາ, ຄວາມລັບ, ແລະກະແຈສ່ວນຕົວສໍາລັບ SSH, ການເຂົ້າລະຫັດທ້ອງຖິ່ນ, ການພິສູດຢືນຢັນທ້ອງຖິ່ນ, ແລະ IPsec. ເພື່ອສູນອຸປະກອນຂອງທ່ານ:
ຂໍ້ຄວນລະວັງ: ດໍາເນີນການສູນລະບົບດ້ວຍຄວາມລະມັດລະວັງ. ຫຼັງຈາກຂະບວນການ zeroization ໄດ້ສໍາເລັດສົມບູນ, ບໍ່ມີຂໍ້ມູນຖືກປະໄວ້ຢູ່ໃນ Routing Engine. ອຸປະກອນຖືກກັບຄືນສູ່ສະຖານະເລີ່ມຕົ້ນຂອງໂຮງງານ, ໂດຍບໍ່ມີການກໍານົດຜູ້ໃຊ້ຫຼືການຕັ້ງຄ່າໃດໆ files.
1. ຈາກ CLI, ເຂົ້າ
root@host> ຮ້ອງຂໍລະບົບ zeroize ເຕືອນ: ລະບົບຈະ rebooted ແລະອາດຈະບໍ່ boot ໂດຍບໍ່ມີການ configuration ລົບຂໍ້ມູນທັງຫມົດ, ລວມທັງ configuration ແລະ log. files? [yes, no] (ບໍ່) 2. ເພື່ອເລີ່ມຕົ້ນຂະບວນການ zeroization, ພິມ yes ໃນ prompt:
ລຶບຂໍ້ມູນທັງໝົດ, ລວມທັງການຕັ້ງຄ່າ ແລະບັນທຶກ files? [ແມ່ນ, ບໍ່] (ບໍ່) yes ເຕືອນ: zeroizing localre
ການດໍາເນີນງານທັງຫມົດສາມາດໃຊ້ເວລາຫຼາຍຂຶ້ນຢູ່ກັບຂະຫນາດຂອງສື່, ແຕ່ວ່າຕົວກໍານົດການຄວາມປອດໄພທີ່ສໍາຄັນ (CSPs) ທັງຫມົດຈະຖືກລຶບອອກພາຍໃນສອງສາມວິນາທີ. ສະພາບແວດລ້ອມທາງກາຍະພາບຕ້ອງຮັກສາຄວາມປອດໄພຈົນກ່ວາຂະບວນການ zeroization ສໍາເລັດ.
ເອກະສານທີ່ກ່ຽວຂ້ອງ ເປີດໃຊ້ໂໝດ FIPS | 26 ຄວາມເຂົ້າໃຈ Zeroization ເພື່ອລຶບຂໍ້ມູນລະບົບສໍາລັບ FIPS Mode | 23
26
ເປີດໃຊ້ໂໝດ FIPS
ໂໝດ FIPS ບໍ່ໄດ້ຖືກເປີດໃຊ້ໂດຍອັດຕະໂນມັດເມື່ອທ່ານຕິດຕັ້ງ Junos OS ໃນອຸປະກອນ. ໃນຖານະເປັນຜູ້ບໍລິຫານຄວາມປອດໄພ, ທ່ານຈະຕ້ອງເປີດໃຊ້ງານຮູບແບບ FIPS ຢ່າງຊັດເຈນໃນອຸປະກອນໂດຍການຕັ້ງຄ່າ FIPS ລະດັບ 1 (ຫນຶ່ງ), ລະດັບ FIPS 140-3 ທີ່ອຸປະກອນໄດ້ຮັບການຢັ້ງຢືນ. ອຸປະກອນທີ່ບໍ່ໄດ້ເປີດໃຊ້ໂໝດ FIPS ມີລະດັບ FIPS ເປັນ 0 (ສູນ).
ໝາຍເຫດ: ເພື່ອປ່ຽນໄປສູ່ໂໝດ FIPS, ລະຫັດຜ່ານຈະຕ້ອງຖືກເຂົ້າລະຫັດດ້ວຍລະບົບ hash algorithm ທີ່ສອດຄ່ອງກັບ FIPS. ຮູບແບບການເຂົ້າລະຫັດຈະຕ້ອງເປັນ SHA-256 ຫຼືສູງກວ່າ. ລະຫັດຜ່ານທີ່ບໍ່ກົງກັບຄວາມຕ້ອງການນີ້, ເຊັ່ນ: ລະຫັດຜ່ານທີ່ຖືກ hashed ກັບ MD5, ຕ້ອງໄດ້ຮັບການ configure ຫຼືເອົາອອກຈາກການຕັ້ງຄ່າກ່ອນທີ່ຈະສາມາດເປີດໂໝດ FIPS.
ເພື່ອເປີດໃຊ້ໂໝດ FIPS ໃນ Junos OS ໃນອຸປະກອນ: 1. ເຂົ້າສູ່ໂໝດການຕັ້ງຄ່າ:
root@host> configure ເຂົ້າສູ່ຮູບແບບການຕັ້ງຄ່າ [ແກ້ໄຂ] root@host#
2. ເປີດໃຊ້ໂໝດ FIPS ໃນອຸປະກອນໂດຍການຕັ້ງລະດັບ FIPS ເປັນ 1, ແລະກວດສອບລະດັບ:
[ແກ້ໄຂ] root@host# ຕັ້ງລະບົບ fips ລະດັບ 1
[ແກ້ໄຂ] root@host#show ລະບົບ fips {
ລະດັບ 1; }
3. ກໍານົດການຕັ້ງຄ່າ:
27
ໝາຍເຫດ: ຖ້າເຄື່ອງອຸປະກອນສະແດງຂໍ້ຜິດພາດກ່ຽວກັບການປະກົດຕົວຂອງຕົວກໍານົດຄວາມປອດໄພທີ່ສໍາຄັນ (CSPs), ໃຫ້ລຶບ CSPs ເຫຼົ່ານັ້ນ, ແລະຈາກນັ້ນເຮັດການປັບຄ່າ.
root@host# ກວດສອບການຕັ້ງຄ່າສຳເລັດ [ປັບປຸງແກ້ໄຂ ] 'ລະບົບ' reboot ແມ່ນຕ້ອງການເພື່ອປ່ຽນເປັນ FIPS ລະດັບ 1
ຄໍາຫມັ້ນສັນຍາສໍາເລັດ
4. ປິດເປີດອຸປະກອນຄືນໃໝ່:
[ປັບປຸງແກ້ໄຂ ] root@host# ແລ່ນການຮ້ອງຂໍລະບົບ reboot reboot ລະບົບ? [ແມ່ນ, ບໍ່] (ບໍ່) ແມ່ນແລ້ວ
ໃນລະຫວ່າງການ reboot, ອຸປະກອນແລ່ນການທົດສອບການຕອບທີ່ຮູ້ຈັກ (KATS). ມັນສົ່ງຄືນການເຕືອນການເຂົ້າສູ່ລະບົບ:
ຫມາຍເຫດ: ສູດການຄິດໄລ່ hash ໃຫມ່ມີຜົນກະທົບພຽງແຕ່ລະຫັດຜ່ານເຫຼົ່ານັ້ນທີ່ຖືກສ້າງຂຶ້ນຫຼັງຈາກຄໍາຫມັ້ນສັນຍາ.
@1556787428 mgd start ການສ້າງການຕັ້ງຄ່າເບື້ອງຕົ້ນ: … mgd: ແລ່ນ FIPS ການທົດສອບຕົນເອງ mgd: ການທົດສອບ kernel KATS: mgd: NIST 800-90 HMAC DRBG Known Answer Test: mgd: DES3-CBC Known Answer Test ຄໍາຕອບ: mgd: HMAC-SHA1 ການທົດສອບ: mgd: HMAC-SHA2-256 Known Answer Test: mgd: SHA-2-384 Known Answer Test: mgd: SHA-2-512 Known Answer Test: mgd: AES128-CMAC Known Answer Test: mgd: AES-CBC Known ການທົດສອບຄໍາຕອບ: mgd: ການທົດສອບ MACSec KATS: mgd: AES128-CMAC Known Answer Test: mgd: AES256-CMAC Known Answer Test: mgd: AES-ECB Known Answer Test: mgd: AES-KEYWRAP Known Answer Test:
Passed ຜ່ານ Passed ຜ່ານ Passed ຜ່ານ Passed ຜ່ານ
Passed ຜ່ານ Passed ຜ່ານ
28
mgd: KBKDF Known Answer Test: mgd: Testing libmd KATS: mgd: HMAC-SHA1 Known Answer Test: mgd: HMAC-SHA2-256 Known Answer Test: mgd: SHA-2-512 Known Answer Test: mgd: ການທົດສອບ OpenSSL v1.0.2. 800 KATS: mgd: NIST 90-3 HMAC DRBG Known Answer Test: mgd: FIPS ECDSA Known Answer Test: mgd: FIPS ECDH Known Answer Test: mgd: FIPS RSA Known Answer Test: mgd: DES1-CBC Known Answer Test: mgd: ການທົດສອບຄໍາຕອບທີ່ຮູ້ຈັກ HMAC-SHA2: mgd: HMAC-SHA224-2 Known Answer Test: mgd: HMAC-SHA256-2 Known Answer Test: mgd: HMAC-SHA384-2 Known Answer Test: mgd: HMAC-SHA512-1 Known Answer Test : mgd: AES-CBC Known Answer Test: mgd: AES-GCM Known Answer Test: mgd: ECDSA-SIGN Known Answer Test: mgd: KDF-IKE-V256 Known Answer Test: mgd: KDF-SSH-SHA800 Known Answer Test: mgd: KAS-ECC-EPHEM-UNIFIED-NOKC Known Answer Test: mgd: KAS-FFC-EPHEM-NOKC Known Answer Test: mgd: ການທົດສອບ OpenSSL KATS: mgd: NIST 90-3 HMAC DRBG Known Answer Test: mgd: FIPS ECDSA ການທົດສອບຄໍາຕອບທີ່ຮູ້ຈັກ: mgd: FIPS ECDH Known Answer Test: mgd: FIPS RSA Known Answer Test: mgd: DES1-CBC Known Answer Test: mgd: HMAC-SHA2 Known Answer Test: mgd: HMAC-SHA224-2 Known Answer Test: mgd : HMAC-SHA256-2 Known Answer Test: mgd: HMAC-SHA384-2 Known Answer Test: mgd: HMAC-SHA512-1 Known Answer Test: mgd: AES-CBC Known Answer Test: mgd: AES-GCM Known Answer Test: mgd: ECDSA-SIGN ການທົດສອບຄໍາຕອບທີ່ຮູ້ຈັກ: mgd: KDF-IKE-V256 ການທົດສອບຄໍາຕອບທີ່ຮູ້ຈັກ: mgd: KDF-SSH-SHA7.0 ການທົດສອບຄໍາຕອບທີ່ຮູ້ຈັກ: mgd: KAS-ECC-EPHEM-UNIFIED-NOKC ການທົດສອບຄໍາຕອບທີ່ຮູ້ຈັກ: mgd: KAS- FFC-EPHEM-NOKC Known Answer Test: mgd: ການທົດສອບ QuickSec 800 KATS: mgd: NIST 90-XNUMX HMAC DRBG Known Answer Test:
ຜ່ານ
Passed ຜ່ານ
Passed Passed ຜ່ານ Passed ຜ່ານ Passed ຜ່ານ Pass
Passed Passed ຜ່ານ Passed ຜ່ານ Passed ຜ່ານ Pass
ຜ່ານ
29
mgd: DES3-CBC Known Answer Test: mgd: HMAC-SHA1 Known Answer Test: mgd: HMAC-SHA2-224 Known Answer Test: mgd: HMAC-SHA2-256 Known Answer Test: mgd: HMAC-SHA2-384 Known Answer Test : mgd: HMAC-SHA2-512 Known Answer Test: mgd: AES-CBC Known Answer Test: mgd: AES-GCM Known Answer Test: mgd: SSH-RSA-ENC Known Answer Test: mgd: SSH-RSA-SIGN Known Answer ການທົດສອບ: mgd: SSH-ECDSA-SIGN Known Answer Test: mgd: KDF-IKE-V1 Known Answer Test: mgd: KDF-IKE-V2 Known Answer Test: mgd: ການທົດສອບ QuickSec KATS: mgd: NIST 800-90 HMAC DRBG ຮູ້ຈັກ ການທົດສອບຄໍາຕອບ: mgd: DES3-CBC Known Answer Test: mgd: HMAC-SHA1 Known Answer Test: mgd: HMAC-SHA2-224 Known Answer Test: mgd: HMAC-SHA2-256 Known Answer Test: mgd: HMAC-SHA2-384 ການທົດສອບຄໍາຕອບທີ່ຮູ້ຈັກ: mgd: HMAC-SHA2-512 Known Answer Test: mgd: AES-CBC Known Answer Test: mgd: AES-GCM Known Answer Test: mgd: SSH-RSA-ENC ການທົດສອບຄໍາຕອບທີ່ຮູ້ຈັກ: mgd: SSH-RSA- SIGN Known Answer Test: mgd: KDF-IKE-V1 Known Answer Test: mgd: KDF-IKE-V2 Known Answer Test: mgd: Testing SSH IPsec KATS: mgd: NIST 800-90 HMAC DRBG Known Answer Test: mgd: DES3- CBC Known Answer Test: mgd: HMAC-SHA1 Known Answer Test: mgd: HMAC-SHA2-256 Known Answer Test: mgd: AES-CBC Known Answer Test: mgd: SSH-RSA-ENC Known Answer Test: mgd: SSH-RSA -SIGN Known Answer Test: mgd: KDF-IKE-V1 Known Answer Test: mgd: ການທົດສອບ file ຄວາມຊື່ສັດ: mgd: File ຄວາມຊື່ສັດ ການທົດສອບຄໍາຕອບທີ່ຮູ້ຈັກ: mgd: ການທົດສອບຄວາມສົມບູນຂອງ crypto: mgd: Crypto integrity Known Answer Test:
Passed ຜ່ານ Passed ຜ່ານ Passed ຜ່ານ Passed ຜ່ານ Passed ຜ່ານ Passed ຜ່ານ Passed ຜ່ານ
Passed ຜ່ານ Passed ຜ່ານ Passed ຜ່ານ Passed ຜ່ານ Passed ຜ່ານ Passed ຜ່ານ Passed ຜ່ານ
Passed ຜ່ານ Passed ຜ່ານ Passed ຜ່ານ Passed ຜ່ານ
ຜ່ານ
ຜ່ານ
30
ເຂົ້າສູ່ລະບົບອຸປະກອນ. CLI ສະແດງປ້າຍໂຄສະນາທີ່ປະຕິບັດຕາມດ້ວຍການເຕືອນທີ່ປະກອບມີ ":fips":
— JUNOS 22.3R1-20190716 ສ້າງຂຶ້ນ 2019-12-29 04:12:22 UTC root@host:fips> 5. ຣີບູດອຸປະກອນອີກຄັ້ງເພື່ອຟື້ນຟູ HMAC-DRBG ເປັນອະແດັບເຕີສຸ່ມທີ່ເຮັດວຽກ:
[ປັບປຸງແກ້ໄຂ ] root@host# ແລ່ນການຮ້ອງຂໍລະບົບ reboot reboot ລະບົບ? [ແມ່ນ, ບໍ່] (ບໍ່) ແມ່ນແລ້ວ ໃນລະຫວ່າງການປິດເປີດເຄື່ອງໃໝ່, ອຸປະກອນຈະແລ່ນການທົດສອບຄຳຕອບທີ່ຮູ້ຈັກ (KATS) ດັ່ງທີ່ສະແດງຢູ່ໃນຂັ້ນຕອນທີ 4. ມັນຈະສົ່ງຄືນການເຕືອນການເຂົ້າສູ່ລະບົບ:
— JUNOS 22.3R1-20190716 ສ້າງຂຶ້ນ 2019-12-29 04:12:22 UTC root@host:fips> 6. ຫຼັງຈາກຣີບູດສຳເລັດແລ້ວ, ໃຫ້ເຂົ້າສູ່ລະບົບ ແລະໃຊ້ຄຳສັ່ງສະແດງເວີຊັນທ້ອງຖິ່ນເພື່ອກວດສອບ.
ຫມາຍເຫດ: ໃຊ້ຄໍາສໍາຄັນ "ທ້ອງຖິ່ນ" ສໍາລັບຄໍາສັ່ງປະຕິບັດງານໃນຮູບແບບ FIPS. ຕົວຢ່າງample, ສະແດງໃຫ້ເຫັນສະບັບໃນທ້ອງຖິ່ນ, ແລະສະແດງໃຫ້ເຫັນລະບົບ uptime ໃນທ້ອງຖິ່ນ.
ການຕັ້ງຄ່າຜູ້ເບິ່ງແຍງລະບົບຄວາມປອດໄພ ແລະ FIPS User Identification ແລະການເຂົ້າເຖິງ
ໃນພາກນີ້ການຕັ້ງຄ່າຄວາມປອດໄພ Administrator ເຂົ້າສູ່ລະບົບ | 31 ການຕັ້ງຄ່າ FIPS User Login Access | 32
31
ຜູ້ເບິ່ງແຍງຄວາມປອດໄພ ແລະຜູ້ໃຊ້ FIPS ປະຕິບັດໜ້າທີ່ການກຳນົດຄ່າທັງໝົດສຳລັບ Junos OS ໃນໂໝດ FIPS ແລະອອກຄຳສັ່ງ ແລະຄຳສັ່ງທັງໝົດຂອງ Junos OS ໃນໂໝດ FIPS. ຜູ້ເບິ່ງແຍງລະບົບຄວາມປອດໄພ ແລະການຕັ້ງຄ່າຜູ້ໃຊ້ FIPS ຕ້ອງປະຕິບັດຕາມ Junos OS ໃນຂໍ້ແນະນຳໂໝດ FIPS.
ການຕັ້ງຄ່າຄວາມປອດໄພຂອງຜູ້ເບິ່ງແຍງລະບົບການເຂົ້າເຖິງການເຂົ້າສູ່ລະບົບ
Junos OS ໃນໂຫມດ FIPS ສະເໜີໃຫ້ລາຍລະອຽດການອະນຸຍາດຂອງຜູ້ໃຊ້ລະອຽດກວ່າທີ່ກຳນົດໂດຍ FIPS 140-3.
ສໍາລັບການປະຕິບັດຕາມ FIPS 140-3, ຜູ້ໃຊ້ FIPS ໃດໆທີ່ມີຄວາມລັບ, ຄວາມປອດໄພ, ການຮັກສາ, ແລະການຄວບຄຸມການອະນຸຍາດທີ່ກໍານົດໄວ້ແມ່ນຜູ້ເບິ່ງແຍງຄວາມປອດໄພ. ໃນກໍລະນີຫຼາຍທີ່ສຸດ, ລະດັບຜູ້ໃຊ້ super ພຽງພໍສໍາລັບຜູ້ເບິ່ງແຍງຄວາມປອດໄພ.
ເພື່ອຕັ້ງຄ່າການເຂົ້າສູ່ລະບົບສໍາລັບຜູ້ເບິ່ງແຍງຄວາມປອດໄພ:
1. ເຂົ້າສູ່ລະບົບອຸປະກອນທີ່ມີລະຫັດຜ່ານຮາກຖ້າຫາກວ່າທ່ານບໍ່ໄດ້ເຮັດແນວນັ້ນ, ແລະເຂົ້າຮູບແບບການຕັ້ງຄ່າ:
root@host:fips> configure ເຂົ້າສູ່ຮູບແບບການຕັ້ງຄ່າ [ແກ້ໄຂ] root@host:fips#
2. ຕັ້ງຊື່ຜູ້ໃຊ້ “security-administrator” ແລະມອບໝາຍໃຫ້ຜູ້ບໍລິຫານຄວາມປອດໄພເປັນ ID ຜູ້ໃຊ້ (ຕົວຢ່າງເຊັ່ນ.ample, 6400) ແລະຊັ້ນຮຽນ (ສໍາລັບ example, super-user). ເມື່ອທ່ານມອບຫມາຍຊັ້ນຮຽນ, ທ່ານມອບສິດອະນຸຍາດ - ສໍາລັບການຍົກຕົວຢ່າງample, ຄວາມລັບ, ຄວາມປອດໄພ, ການຮັກສາ, ແລະການຄວບຄຸມ.
[ດັດແກ້] ຮາກ
3. ປະຕິບັດຕາມຂໍ້ແນະນຳໃນ “ຄວາມເຂົ້າໃຈສະເພາະລະຫັດຜ່ານ ແລະຂໍ້ແນະນຳສຳລັບ Junos OS ໃນໂໝດ FIPS” ໃນໜ້າທີ 19, ມອບໝາຍໃຫ້ຜູ້ເບິ່ງແຍງລະບົບຄວາມປອດໄພໃສ່ລະຫັດຜ່ານຂໍ້ຄວາມທຳມະດາສຳລັບການພິສູດຢືນຢັນການເຂົ້າສູ່ລະບົບ. ຕັ້ງລະຫັດຜ່ານໂດຍການພິມລະຫັດຜ່ານຫຼັງຈາກການກະຕຸ້ນລະຫັດຜ່ານໃຫມ່ແລະພິມລະຫັດຜ່ານໃຫມ່.
[ປັບປຸງແກ້ໄຂ ] root@host:fips# ຕັ້ງລະບົບເຂົ້າສູ່ລະບົບຜູ້ໃຊ້ crypto-officer class super-user authentication plaintext-password
32
4. ທາງເລືອກ, ສະແດງການຕັ້ງຄ່າ:
[ດັດແກ້] root@host:fips# ລະບົບດັດແກ້ [ດັດແກ້ລະບົບ] root@host:fips# ສະແດງການເຂົ້າສູ່ລະບົບ {
ຜູ້ໃຊ້ crypto-officer { uid 6400; ການກວດສອບຄວາມຖືກຕ້ອງ { encrypted-password “ ”; ## SECRET-DATA } class super-user;
} }
5. ຖ້າຫາກວ່າທ່ານສໍາເລັດການຕັ້ງຄ່າອຸປະກອນ, ໃຫ້ເຮັດການຕັ້ງຄ່າແລະອອກ:
[ແກ້ໄຂ] root@host:fips# commit commit completeroot@host:fips# exit root@host:fips> exit
ຖ້າບໍ່ດັ່ງນັ້ນ, ໃຫ້ໄປທີ່ “ການຕັ້ງຄ່າການເຂົ້າເຖິງຜູ້ໃຊ້ FIPS” ໃນໜ້າ 32.
ກຳນົດຄ່າການເຂົ້າລະບົບຜູ້ໃຊ້ FIPS
ຜູ້ໃຊ້ fips ຖືກກໍານົດວ່າເປັນຜູ້ໃຊ້ FIPS ໃດໆທີ່ບໍ່ມີຄວາມລັບ, ຄວາມປອດໄພ, ການຮັກສາແລະການຄວບຄຸມການອະນຸຍາດທີ່ກໍານົດໄວ້. ໃນຖານະເປັນຜູ້ເບິ່ງແຍງຄວາມປອດໄພ, ທ່ານຕັ້ງຄ່າຜູ້ໃຊ້ FIPS.
ເພື່ອຕັ້ງຄ່າການເຂົ້າສູ່ລະບົບສໍາລັບຜູ້ໃຊ້ FIPS:
1. ເຂົ້າສູ່ລະບົບອຸປະກອນທີ່ມີລະຫັດຜ່ານ Security Administrator ຂອງທ່ານຖ້າຫາກວ່າທ່ານຍັງບໍ່ທັນໄດ້ເຮັດດັ່ງນັ້ນ, ແລະເຂົ້າໄປໃນຮູບແບບການຕັ້ງຄ່າ:
crypto-officer@host:fips> configure ເຂົ້າສູ່ໂໝດການຕັ້ງຄ່າ
33
[ປັບປຸງແກ້ໄຂ ] crypto-officer@host:fips#
2. ໃຫ້ຜູ້ໃຊ້ຊື່ຜູ້ໃຊ້, ມອບຫມາຍໃຫ້ຜູ້ໃຊ້ FIPS ID ຜູ້ໃຊ້ (ສໍາລັບ example, 6401) ແລະຊັ້ນຮຽນ (ສໍາລັບ example , ອ່ານເທົ່ານັ້ນ). ເມື່ອທ່ານມອບຫມາຍຊັ້ນຮຽນ, ທ່ານກໍານົດການອະນຸຍາດ - ສໍາລັບ example, clear, configure, network, resetview, ແລະ view- ການຕັ້ງຄ່າ.
[ແກ້ໄຂ] crypto-officer@host:fips# ຕັ້ງລະບົບເຂົ້າສູ່ລະບົບຜູ້ໃຊ້ fips-user1 uid 6401 ຫ້ອງຮຽນອ່ານເທົ່ານັ້ນ
3. ປະຕິບັດຕາມຂໍ້ແນະນຳໃນ “ຄວາມເຂົ້າໃຈສະເພາະລະຫັດຜ່ານ ແລະຂໍ້ແນະນຳສຳລັບ Junos OS ໃນໂໝດ FIPS” ໃນໜ້າທີ 19, ກຳນົດໃຫ້ FIPS ເປັນລະຫັດຜ່ານຂໍ້ຄວາມທຳມະດາສຳລັບການຢືນຢັນການເຂົ້າສູ່ລະບົບ. ຕັ້ງລະຫັດຜ່ານໂດຍການພິມລະຫັດຜ່ານຫຼັງຈາກການກະຕຸ້ນລະຫັດຜ່ານໃຫມ່ແລະພິມລະຫັດຜ່ານໃຫມ່.
[ປັບປຸງແກ້ໄຂ] crypto-officer@host:fips# ຕັ້ງລະບົບການເຂົ້າສູ່ລະບົບຜູ້ໃຊ້ fips-user1 class operator authentication plain-text-password
4. ທາງເລືອກ, ສະແດງການຕັ້ງຄ່າ:
[ປັບປຸງແກ້ໄຂ ] crypto-officer@host:fips# ລະບົບແກ້ໄຂ [ປັບປຸງແກ້ໄຂລະບົບ] crypto-officer@host:fips# ສະແດງໃຫ້ເຫັນການເຂົ້າສູ່ລະບົບ {
ຜູ້ໃຊ້ fips-user1 { uid 6401; ການກວດສອບຄວາມຖືກຕ້ອງ { encrypted-password “ ”; ## ຂໍ້ມູນລັບ } ອ່ານເທົ່ານັ້ນ;
} }
5. ຖ້າຫາກວ່າທ່ານສໍາເລັດການຕັ້ງຄ່າອຸປະກອນ, ໃຫ້ເຮັດການຕັ້ງຄ່າແລະອອກ:
[ແກ້ໄຂ] crypto-officer@host:fips# commit crypto-officer@host:fips> exit
34
ເອກະສານທີ່ກ່ຽວຂ້ອງ ຄວາມເຂົ້າໃຈກ່ຽວກັບບົດບາດ ແລະການບໍລິການຂອງ Junos OS ໃນເງື່ອນໄຂທົ່ວໄປ ແລະ FIPS | 13
3 ບົດ
ການຕັ້ງຄ່າຂໍ້ມູນປະຈໍາຕົວການບໍລິຫານແລະສິດທິພິເສດ
ຄວາມເຂົ້າໃຈກົດລະບຽບລະຫັດຜ່ານທີ່ກ່ຽວຂ້ອງສໍາລັບຜູ້ບໍລິຫານທີ່ໄດ້ຮັບອະນຸຍາດ | 36
ວິທີການກວດສອບຄວາມຖືກຕ້ອງໃນ FIPS Mode ຂອງການດໍາເນີນງານ | 38 ການກຳນົດຄ່າ Network Device collaborative Protection Profile ສໍາລັບຜູ້ບໍລິຫານທີ່ໄດ້ຮັບອະນຸຍາດ | 39 ປັບແຕ່ງເວລາ | 41 ການຕັ້ງຄ່າໄລຍະເວລາທີ່ບໍ່ມີການເຄື່ອນໄຫວ, ແລະການສິ້ນສຸດ Session Idle ທ້ອງຖິ່ນ ແລະໄລຍະໄກ | 41
36
ເຂົ້າໃຈກົດລະບຽບລະຫັດຜ່ານທີ່ກ່ຽວຂ້ອງສໍາລັບຜູ້ບໍລິຫານທີ່ໄດ້ຮັບອະນຸຍາດ
ຜູ້ບໍລິຫານທີ່ໄດ້ຮັບອະນຸຍາດແມ່ນກ່ຽວຂ້ອງກັບຫ້ອງຮຽນການເຂົ້າສູ່ລະບົບທີ່ກໍານົດ, ແລະຜູ້ບໍລິຫານໄດ້ຖືກມອບຫມາຍດ້ວຍການອະນຸຍາດທັງຫມົດ. ຂໍ້ມູນຖືກເກັບຮັກສາໄວ້ໃນທ້ອງຖິ່ນສໍາລັບການກວດສອບລະຫັດຜ່ານຄົງທີ່.
ຫມາຍເຫດ: ພວກເຮົາແນະນໍາໃຫ້ທ່ານບໍ່ໃຊ້ຕົວອັກສອນຄວບຄຸມໃນລະຫັດຜ່ານ.
ໃຊ້ຂໍ້ແນະນຳຕໍ່ໄປນີ້ ແລະຕົວເລືອກການຕັ້ງຄ່າສຳລັບລະຫັດຜ່ານ ແລະເມື່ອເລືອກລະຫັດຜ່ານສຳລັບບັນຊີຜູ້ເບິ່ງແຍງລະບົບທີ່ໄດ້ຮັບອະນຸຍາດ. ລະຫັດຜ່ານຄວນຈະເປັນ: · ຈື່ງ່າຍເພື່ອບໍ່ໃຫ້ຜູ້ໃຊ້ຖືກລໍ້ລວງໃຫ້ຂຽນມັນລົງ. · ມີການປ່ຽນແປງເປັນແຕ່ລະໄລຍະ. · ສ່ວນຕົວແລະບໍ່ໄດ້ແບ່ງປັນກັບໃຜ. ·ມີຢ່າງໜ້ອຍ 10 ຕົວອັກສອນ. ຄວາມຍາວຂອງລະຫັດຜ່ານຕໍ່າສຸດແມ່ນ 10 ຕົວອັກສອນ. · ຮວມທັງຕົວພິມນ້ອຍ ແລະເຄື່ອງໝາຍວັກຕອນ, ປະກອບດ້ວຍການປະສົມຂອງຕົວເທິງ ແລະ
ຕົວພິມນ້ອຍ, ຕົວເລກ, ແລະຕົວອັກສອນພິເສດເຊັ່ນ, “!”, “@”, “#”, “$”, “%”, “^”, “&”, “*”, “(“, ແລະ “) ”. ຄວນມີການປ່ຽນແປງຢ່າງໜ້ອຍໜຶ່ງກໍລະນີ, ຕົວເລກໜຶ່ງ ຫຼື ຫຼາຍຕົວ, ແລະເຄື່ອງໝາຍວັກຕອນໜຶ່ງ ຫຼື ຫຼາຍກວ່ານັ້ນ. ·ບັນຈຸຊຸດຕົວອັກສອນ. ຊຸດຕົວອັກສອນທີ່ຖືກຕ້ອງປະກອບມີຕົວອັກສອນຕົວພິມໃຫຍ່, ຕົວພິມນ້ອຍ, ຕົວເລກ, ເຄື່ອງໝາຍວັກຕອນ ແລະຕົວອັກສອນພິເສດອື່ນໆ.
[ ແກ້ໄຂ ] security-administrator@host# ຕັ້ງລະບົບການເຂົ້າສູ່ລະບົບລະຫັດຜ່ານການປ່ຽນປະເພດຕົວອັກສອນຊຸດ
·ບັນຈຸມີຈໍານວນຕໍາ່ສຸດທີ່ຂອງຊຸດຕົວອັກສອນຫຼືການປ່ຽນແປງຊຸດຕົວອັກສອນ. ຈໍານວນຕໍາ່ສຸດທີ່ຂອງຕົວອັກສອນທີ່ຕ້ອງການໃນລະຫັດຜ່ານຂໍ້ຄວາມທໍາມະດາໃນ Junos FIPS ແມ່ນ 3.
[ ແກ້ໄຂ ] security-administrator@host# ຕັ້ງລະບົບເຂົ້າສູ່ລະບົບລະຫັດຜ່ານ ການປ່ຽນແປງຕໍາ່ສຸດທີ່ 3
37
·ບັນຈຸຕົວເລກຕໍາ່ສຸດທີ່ຂອງຕົວອັກສອນທີ່ຕ້ອງການສໍາລັບລະຫັດຜ່ານ. ໂດຍຄ່າເລີ່ມຕົ້ນ, ລະຫັດຜ່ານ Junos OS ຕ້ອງມີຄວາມຍາວຢ່າງໜ້ອຍ 6 ຕົວອັກສອນ. ໄລຍະທີ່ຖືກຕ້ອງສໍາລັບຕົວເລືອກນີ້ແມ່ນ 10 ຫາ 20 ຕົວອັກສອນ.
[ ແກ້ໄຂ ] security-administrator@host:fips# ຕັ້ງລະບົບເຂົ້າສູ່ລະບົບລະຫັດຜ່ານ ຄວາມຍາວຕໍ່າສຸດ 10
ໝາຍເຫດ: ອຸປະກອນຮອງຮັບ ECDSA (P-256, P-384, ແລະ P-521) ແລະ RSA (2048, 3072, ແລະ 4092 modulus bit length) key-types. [ ດັດແກ້ ] administrator@host# ຕັ້ງລະບົບການເຂົ້າສູ່ລະບົບລະຫັດຜ່ານ sha256
ລະຫັດຜ່ານທີ່ອ່ອນແອແມ່ນ: · ຄຳສັບທີ່ອາດຈະຖືກພົບເຫັນຢູ່ໃນ ຫຼືມີຢູ່ໃນຮູບແບບທີ່ຖືກອະນຸຍາດໃນລະບົບ file ເຊັ່ນ /etc/passwd. · ຊື່ເຈົ້າພາບຂອງລະບົບ (ເປັນການຄາດເດົາທຳອິດສະເໝີ). · ຄຳສັບໃດນຶ່ງທີ່ປາກົດຢູ່ໃນວັດຈະນານຸກົມ. ນີ້ປະກອບມີວັດຈະນານຸກົມອື່ນທີ່ບໍ່ແມ່ນພາສາອັງກິດ, ແລະຄໍາທີ່ພົບເຫັນ
ໃນວຽກງານເຊັ່ນ Shakespeare, Lewis Carroll, Roget's Thesaurus, ແລະອື່ນໆ. ຂໍ້ຫ້າມນີ້ລວມມີຄຳສັບທົ່ວໄປ ແລະປະໂຫຍກຈາກກິລາ, ຄຳເວົ້າ, ຮູບເງົາ, ແລະລາຍການໂທລະພາບ. · ການປ່ຽນແປງກ່ຽວກັບການໃດໆຂອງຂ້າງເທິງນີ້. ຕົວຢ່າງample, ຄຳສັບວັດຈະນານຸກົມທີ່ມີຕົວສະຫຼຽງແທນທີ່ດ້ວຍຕົວເລກ (ຕົວຢ່າງample f00t) ຫຼືມີການເພີ່ມຕົວເລກໃສ່ທ້າຍ. · ລະຫັດຜ່ານທີ່ເຄື່ອງຈັກສ້າງຂຶ້ນ. Algorithms ຫຼຸດຜ່ອນພື້ນທີ່ຄົ້ນຫາຂອງໂປລແກລມການຄາດເດົາລະຫັດຜ່ານແລະດັ່ງນັ້ນບໍ່ຄວນຖືກນໍາໃຊ້. ລະຫັດຜ່ານທີ່ສາມາດໃຊ້ຄືນໄດ້ທີ່ເຂັ້ມແຂງສາມາດອີງໃສ່ຕົວອັກສອນຈາກປະໂຫຍກຫຼືຄໍາທີ່ມັກ, ແລະຫຼັງຈາກນັ້ນປະສົມປະສານກັບຄໍາອື່ນໆ, ທີ່ບໍ່ກ່ຽວຂ້ອງ, ພ້ອມກັບຕົວເລກເພີ່ມເຕີມແລະເຄື່ອງຫມາຍວັກຕອນ.
ໝາຍເຫດ: ຄວນປ່ຽນລະຫັດຜ່ານເປັນໄລຍະໆ.
ເອກະສານທີ່ກ່ຽວຂ້ອງກໍານົດການຈັດສົ່ງສິນຄ້າທີ່ປອດໄພ | 9
38
ວິທີການກວດສອບຄວາມຖືກຕ້ອງໃນໂຫມດ FIPS ຂອງການດໍາເນີນງານ
ຢູ່ໃນພາກນີ້ ການກວດສອບຊື່ຜູ້ໃຊ້ ແລະລະຫັດຜ່ານຜ່ານ Console ແລະ SSH | 38 ຊື່ຜູ້ໃຊ້ ແລະການກວດສອບລະຫັດສາທາລະນະຜ່ານ SSH | 39
ລະບົບປະຕິບັດການ Juniper Networks Junos (Junos OS) ທີ່ໃຊ້ໃນໂຫມດການໃຊ້ງານ FIPS ຊ່ວຍໃຫ້ຜູ້ໃຊ້ມີຄວາມສາມາດຫຼາກຫຼາຍ, ແລະການພິສູດຢືນຢັນແມ່ນອີງໃສ່ຕົວຕົນ. ປະເພດຂອງການພິສູດຢືນຢັນຕົວຕົນຕໍ່ໄປນີ້ແມ່ນຮອງຮັບໃນໂໝດການດຳເນີນການ FIPS:
ການກວດສອບຊື່ຜູ້ໃຊ້ ແລະລະຫັດຜ່ານຜ່ານ Console ແລະ SSH
ໃນວິທີການກວດສອບນີ້, ຜູ້ໃຊ້ຖືກຮ້ອງຂໍໃຫ້ໃສ່ຊື່ຜູ້ໃຊ້ແລະລະຫັດຜ່ານຫຼັງຈາກເຂົ້າສູ່ລະບົບ TOE. ອຸປະກອນບັງຄັບໃຫ້ຜູ້ໃຊ້ໃສ່ລະຫັດຜ່ານຢ່າງໜ້ອຍ 10 ຕົວອັກສອນທີ່ເລືອກຈາກ 96 ຕົວອັກສອນ ASCII ທີ່ມະນຸດສາມາດອ່ານໄດ້.
ໝາຍເຫດ: ຄວາມຍາວລະຫັດຜ່ານສູງສຸດແມ່ນ 20 ຕົວອັກສອນ.
ໃນວິທີການນີ້, ອຸປະກອນບັງຄັບໃຊ້ກົນໄກການເຂົ້າຫາເວລາ - ສໍາລັບ example, ຄວາມພະຍາຍາມສອງຄັ້ງທໍາອິດທີ່ລົ້ມເຫລວໃນການໃສ່ລະຫັດຜ່ານທີ່ຖືກຕ້ອງ (ສົມມຸດວ່າ 0 ເວລາທີ່ຈະດໍາເນີນການ), ບໍ່ມີການເຂົ້າເຖິງການກໍານົດເວລາຖືກບັງຄັບ. ເມື່ອຜູ້ໃຊ້ໃສ່ລະຫັດຜ່ານເປັນຄັ້ງທີສາມ, ໂມດູນບັງຄັບໃຊ້ການຊັກຊ້າ 5 ວິນາທີ. ແຕ່ລະຄວາມພະຍາຍາມທີ່ລົ້ມເຫລວຫຼັງຈາກນັ້ນສົ່ງຜົນໃຫ້ມີຄວາມລ່າຊ້າຕື່ມອີກ 5 ວິນາທີຂ້າງເທິງຄວາມພະຍາຍາມທີ່ລົ້ມເຫລວທີ່ຜ່ານມາ. ຕົວຢ່າງample, ຖ້າຄວາມພະຍາຍາມທີ່ລົ້ມເຫລວຄັ້ງທີສີ່ແມ່ນການຊັກຊ້າ 10 ວິນາທີ, ຄວາມພະຍາຍາມທີ່ລົ້ມເຫລວຄັ້ງທີຫ້າແມ່ນການຊັກຊ້າ 15 ວິນາທີ, ຄວາມພະຍາຍາມທີ່ລົ້ມເຫລວຄັ້ງທີ 20 ແມ່ນການຊັກຊ້າ 25 ວິນາທີ, ແລະຄວາມພະຍາຍາມທີ່ລົ້ມເຫລວຄັ້ງທີ VII ແມ່ນການຊັກຊ້າ 1 ວິນາທີ. ດັ່ງນັ້ນ, ນີ້ເຮັດໃຫ້ຄວາມພະຍາຍາມທີ່ເປັນໄປໄດ້ສູງສຸດເຈັດຄັ້ງໃນໄລຍະເວລາ 4 ນາທີສໍາລັບແຕ່ລະຈຸດທີ່ມີການເຄື່ອນໄຫວຂອງ getty. ດັ່ງນັ້ນ, ວິທີການທີ່ດີທີ່ສຸດສໍາລັບຜູ້ໂຈມຕີຈະເປັນການຕັດການເຊື່ອມຕໍ່ຫຼັງຈາກ 9.6 ຄວາມພະຍາຍາມທີ່ລົ້ມເຫລວ, ແລະລໍຖ້າການເກີດໃຫມ່ຂອງ getty. ອັນນີ້ຈະເຮັດໃຫ້ຜູ້ໂຈມຕີສາມາດພະຍາຍາມປະມານ 576 ເທື່ອຕໍ່ນາທີ (60 ຄວາມພະຍາຍາມຕໍ່ຊົ່ວໂມງ ຫຼື 9 ນາທີ). ອັນນີ້ຈະຖືກຕັດອອກເປັນ 0.6 ຄວາມພະຍາຍາມຕໍ່ນາທີ, ເພາະວ່າບໍ່ມີຄວາມພະຍາຍາມ 1 ເທື່ອ. ດັ່ງນັ້ນ, ຄວາມເປັນໄປໄດ້ຂອງຄວາມພະຍາຍາມສຸ່ມທີ່ປະສົບຜົນສໍາເລັດແມ່ນ 9610/1, ເຊິ່ງແມ່ນຫນ້ອຍກວ່າ 1/1 ລ້ານ. ຄວາມເປັນໄປໄດ້ຂອງຄວາມສໍາເລັດດ້ວຍການພະຍາຍາມຫຼາຍຄັ້ງຕິດຕໍ່ກັນໃນໄລຍະເວລາ 9 ນາທີແມ່ນ 9610/(1), ເຊິ່ງແມ່ນຫນ້ອຍກວ່າ 100,000/XNUMX.
39
ຊື່ຜູ້ໃຊ້ ແລະການກວດສອບລະຫັດສາທາລະນະຜ່ານ SSH
ດ້ວຍການກວດສອບລະຫັດສາທາລະນະ SSH, ຜູ້ໃຊ້ໃຫ້ຊື່ຜູ້ໃຊ້ແລະພິສູດຄວາມເປັນເຈົ້າຂອງຂອງກະແຈສ່ວນຕົວທີ່ກົງກັບລະຫັດສາທາລະນະທີ່ເກັບໄວ້ໃນເຄື່ອງແມ່ຂ່າຍ. ອຸປະກອນສະຫນັບສະຫນູນ ECDSA (P-256, P-384, ແລະ P-521) ແລະ RSA (2048-bit ຫຼືສູງກວ່ານັບຕັ້ງແຕ່ການປະຕິບັດ RSA ຂອງພວກເຮົາແມ່ນປະຕິບັດຕາມ FIPS 186-4). ຄວາມເປັນໄປໄດ້ຂອງຄວາມສໍາເລັດດ້ວຍການພະຍາຍາມຫຼາຍຄັ້ງຕິດຕໍ່ກັນໃນໄລຍະເວລາ 1 ນາທີແມ່ນ 5.6e7/(2128).
ເອກະສານທີ່ກ່ຽວຂ້ອງ ການຕັ້ງຄ່າ SSH ໃນການຕັ້ງຄ່າການປະເມີນ | 47
ຕັ້ງຄ່າອຸປະກອນເຄືອຂ່າຍຮ່ວມມືປົກປ້ອງ Profile ສໍາລັບຜູ້ບໍລິຫານທີ່ໄດ້ຮັບອະນຸຍາດ
ບັນຊີສໍາລັບຮາກແມ່ນສະເຫມີຢູ່ໃນການຕັ້ງຄ່າແລະບໍ່ໄດ້ມີຈຸດປະສົງສໍາລັບການນໍາໃຊ້ໃນການດໍາເນີນງານປົກກະຕິ. ໃນການຕັ້ງຄ່າການປະເມີນ, ບັນຊີຮາກຖືກຈໍາກັດໃນການຕິດຕັ້ງແລະການຕັ້ງຄ່າເບື້ອງຕົ້ນຂອງອຸປະກອນທີ່ຖືກປະເມີນ. ຜູ້ເບິ່ງແຍງລະບົບທີ່ໄດ້ຮັບອະນຸຍາດ NDcPP ເວີຊັນ 2.2e ຕ້ອງມີສິດອະນຸຍາດທັງໝົດ, ລວມທັງຄວາມສາມາດໃນການປ່ຽນການຕັ້ງຄ່າເຣົາເຕີ. ເພື່ອຕັ້ງຄ່າຜູ້ເບິ່ງແຍງລະບົບທີ່ໄດ້ຮັບອະນຸຍາດ: 1. ສ້າງຫ້ອງຮຽນເຂົ້າສູ່ລະບົບທີ່ມີຊື່ວ່າ security-admin ດ້ວຍການອະນຸຍາດທັງໝົດ.
[ປັບປຸງແກ້ໄຂ] root@host# ຕັ້ງລະບົບການເຂົ້າສູ່ລະບົບຊັ້ນ security-admin ການອະນຸຍາດທັງຫມົດ 2. ຕັ້ງຄ່າວິທີການ hashing ທີ່ໃຊ້ສໍາລັບການເກັບຮັກສາລະຫັດຜ່ານເປັນ sha512.
root@host# ຕັ້ງລະບົບການເຂົ້າສູ່ລະບົບລະຫັດຜ່ານຮູບແບບ sha512
ຫມາຍເຫດ: ສໍາລັບອຸປະກອນຄວາມປອດໄພຂອງທ່ານ, ສູດການຄິດໄລ່ລະຫັດຜ່ານເລີ່ມຕົ້ນແມ່ນ sha512, ແລະມັນບໍ່ຈໍາເປັນທີ່ຈະກໍາຫນົດຄ່າລະຫັດຜ່ານຂໍ້ຄວາມທໍາມະດາສໍາລັບສະວິດ EX4650 ແລະປຸ່ມ QFX5120.
40
3. ສັນຍາການປ່ຽນແປງ.
[ແກ້ໄຂ] root@host# ຄໍາຫມັ້ນສັນຍາ
4. ກໍານົດ NDcPP Version 2.2e ຂອງຜູ້ເບິ່ງແຍງລະບົບທີ່ໄດ້ຮັບອະນຸຍາດຂອງທ່ານ.
[ປັບປຸງແກ້ໄຂ ] root@host#set ລະບົບການເຂົ້າສູ່ລະບົບຜູ້ໃຊ້ຊື່ຜູ້ໃຊ້ລະດັບຄວາມປອດໄພ admin ການກວດສອບ encryptedpassword
5. ໂຫລດລະຫັດ SSH file ທີ່ຖືກສ້າງຂຶ້ນໃນເມື່ອກ່ອນໂດຍໃຊ້ ssh-keygen. ຄຳສັ່ງນີ້ໂຫຼດ RSA (SSH ເວີຊັນ 2), ຫຼື ECDSA (SSH ເວີຊັນ 2).
[ແກ້ໄຂ] root@host# ຕັ້ງລະບົບ root-authentication load-key-file url:fileຊື່
6. ຕັ້ງຄຳຖະແຫຼງການກຳນົດຄ່າ log-key-changes ເພື່ອບັນທຶກເມື່ອມີການເພີ່ມ ຫຼືຖອດລະຫັດການຢືນຢັນ SSH ອອກ.
[ປັບປຸງແກ້ໄຂ ] root@host#set ການບໍລິການລະບົບ ssh log-key-ການປ່ຽນແປງ
ໝາຍເຫດ: ເມື່ອຄຳຖະແຫຼງການກຳນົດຄ່າຕົວປ່ຽນແປງຖືກເປີດໃຊ້ງານ ແລະຕັ້ງໃຈໄວ້ (ດ້ວຍຄຳສັ່ງ commit ໃນໂໝດການຕັ້ງຄ່າ), Junos OS ບັນທຶກການປ່ຽນແປງໃສ່ຊຸດຂອງກະແຈ SSH ທີ່ໄດ້ຮັບອະນຸຍາດສຳລັບຜູ້ໃຊ້ແຕ່ລະຄົນ (ລວມທັງກະແຈທີ່ຖືກເພີ່ມ ຫຼືເອົາອອກ) . Junos OS ບັນທຶກຄວາມແຕກຕ່າງຕັ້ງແຕ່ຄັ້ງສຸດທ້າຍທີ່ຄຳຖະແຫຼງການກຳນົດຄ່າການປ່ຽນແປງຂອງບັນທຶກຖືກເປີດໃຊ້ງານ. ຖ້າຄຳຖະແຫຼງການກຳນົດຄ່າຕົວປ່ຽນແປງຂອງບັນທຶກການປ່ຽນບໍ່ເຄີຍຖືກເປີດໃຊ້ງານ, Junos OS ຈະບັນທຶກປຸ່ມ SSH ທີ່ໄດ້ຮັບອະນຸຍາດທັງໝົດ.
7. ສັນຍາການປ່ຽນແປງ.
[ແກ້ໄຂ] root@host# ຄໍາຫມັ້ນສັນຍາ
41
ເອກະສານທີ່ກ່ຽວຂ້ອງ ຄວາມເຂົ້າໃຈກົດລະບຽບລະຫັດຜ່ານທີ່ກ່ຽວຂ້ອງສໍາລັບຜູ້ບໍລິຫານທີ່ໄດ້ຮັບອະນຸຍາດ | 36
ປັບແຕ່ງເວລາ
ເພື່ອປັບແຕ່ງເວລາ, ປິດ NTP ແລະກໍານົດວັນທີ. 1. ປິດໃຊ້ງານ NTP.
[ປັບປຸງແກ້ໄຂ] security-administrator@hostname:fips# ປິດໃຊ້ງານລະບົບທົ່ວໂລກ ntp security-administrator@hostname:fips# deactivate system ntp security-administrator@hostname:fips# commit security-administrator@hostname:fips# exit 2. ການຕັ້ງຄ່າວັນທີແລະ ເວລາ. ຮູບແບບວັນທີ ແລະເວລາແມ່ນ YYYYMMDDHHMM.ss.
security-administrator@hostname:fips> ຕັ້ງວັນທີ 201803202034.00 security-administrator@hostname:fips> ຕັ້ງ cli timestamp
ການຕັ້ງຄ່າໄລຍະເວລາການໝົດເວລາທີ່ບໍ່ມີການເຄື່ອນໄຫວ, ແລະການສິ້ນສຸດ Session Idle ໃນທ້ອງຖິ່ນ ແລະໄລຍະໄກ.
ຢູ່ໃນພາກນີ້ ຕັ້ງຄ່າການຢຸດເຊດຊັນ | 42 ສample ຜົນໄດ້ຮັບສໍາລັບການສິ້ນສຸດກອງປະຊຸມບໍລິຫານທ້ອງຖິ່ນ | 43 ສample ຜົນຜະລິດສໍາລັບການສິ້ນສຸດກອງປະຊຸມບໍລິຫານໄລຍະໄກ | 43 ສample ຜົນຜະລິດສໍາລັບການຢຸດເຊົາຜູ້ໃຊ້ລິເລີ່ມ | 44
42
ຕັ້ງຄ່າການຢຸດເຊດຊັນ
ຢຸດເຊດຊັນຫຼັງຈາກຜູ້ເບິ່ງແຍງລະບົບຄວາມປອດໄພລະບຸໄລຍະເວລາທີ່ບໍ່ມີການເຄື່ອນໄຫວ. 1. ຕັ້ງເວລາໝົດເວລາບໍ່ໄດ້ເຮັດວຽກ.
[ປັບປຸງແກ້ໄຂ] security-administrator@host:fips# ຕັ້ງລະບົບການເຂົ້າສູ່ລະບົບ class security-admin idle-timeout 2 2. ກຳນົດຄ່າສິດການເຂົ້າລະບົບ.
[ປັບປຸງແກ້ໄຂ] security-administrator@host:fips# ຕັ້ງລະບົບການເຂົ້າສູ່ລະບົບການອະນຸຍາດການເຂົ້າສູ່ລະບົບລະດັບການບໍລິຫານທັງຫມົດ 3. ຄໍາຫມັ້ນສັນຍາການຕັ້ງຄ່າ.
[ແກ້ໄຂ] security-administrator@host:fips# commit
commit complete 4. ຕັ້ງລະຫັດຜ່ານ.
[ປັບປຸງແກ້ໄຂ ] security-administrator@host:fips# ຕັ້ງລະບົບການເຂົ້າສູ່ລະບົບຜູ້ໃຊ້ NDcPPv2-user authentication plaintext-password ລະຫັດຜ່ານໃຫມ່: ພິມລະຫັດຜ່ານໃຫມ່: 5. ກໍານົດລະດັບການເຂົ້າສູ່ລະບົບ.
[ແກ້ໄຂ] security-administrator@host:fips# ຕັ້ງລະບົບເຂົ້າສູ່ລະບົບຜູ້ໃຊ້ NDcPPv2-user class security-admin
43
6. ປະຕິບັດການຕັ້ງຄ່າ.
[ແກ້ໄຂ] security-administrator@host:fips# commit
ຄໍາຫມັ້ນສັນຍາສໍາເລັດ
Sample ຜົນໄດ້ຮັບສໍາລັບການສິ້ນສຸດກອງປະຊຸມບໍລິຫານທ້ອງຖິ່ນ
con host ພະຍາຍາມ abcd… 'autologin': ການໂຕ້ຖຽງທີ່ບໍ່ຮູ້ຈັກ ('ຕັ້ງ ?' ສໍາລັບການຊ່ວຍເຫຼືອ). ເຊື່ອມຕໍ່ກັບ device.example.com ຕົວອັກສອນ Escape ແມ່ນ '^]'. ພິມປຸ່ມຮ້ອນເພື່ອຢຸດການເຊື່ອມຕໍ່: Z FreeBSD/amd64 (host) (ttyu0) ເຂົ້າສູ່ລະບົບ: NDcPPv2- ລະຫັດຜ່ານຜູ້ໃຊ້: ເຂົ້າສູ່ລະບົບຄັ້ງສຸດທ້າຍ: Sun Jun 23 22:42:27 ຈາກ 10.224.33.70 — JUNOS 22.3R1 Kernel 64-bit JNPR-12.1-20220628-bit JNPR-2-1 @host> ຄຳເຕືອນ: ເຊສຊັນຈະຖືກປິດໃນ 10 ນາທີ ຖ້າບໍ່ມີກິດຈະກຳ ຄຳເຕືອນ: ເຊດຊັນຈະປິດໃນ 64 ວິນາທີ ຖ້າບໍ່ມີກິດຈະກຳ Idle timeout ເກີນ: ປິດ session FreeBSD/amd0 (host) (ttyuXNUMX)
Sample ຜົນຜະລິດສໍາລັບການປິດກອງປະຊຸມບໍລິຫານໄລຍະໄກ
ssh NDcPPv2-user@host ລະຫັດຜ່ານ: ເຂົ້າສູ່ລະບົບຄັ້ງສຸດທ້າຍ: Sun Jun 23 22:48:05 2019 — JUNOS 22.3R1 Kernel 64-bit JNPR-12.1-20220628.HEAD__ci_fbs
44
NDcPPv2-user@host> ອອກ
ການເຊື່ອມຕໍ່ກັບໂຮສປິດ. ssh NDcPPv2-user@host ລະຫັດຜ່ານ: ເຂົ້າສູ່ລະບົບຄັ້ງສຸດທ້າຍ: Sun Jun 23 22:50:50 2019 ຈາກ 10.224.33.70 — JUNOS 22.3R1 Kernel 64-bit JNPR-12.1-20220628.HEADning_NDPP_fbs> session ປິດໃນ 2 ນາທີ ຖ້າບໍ່ມີກິດຈະກຳ ຄຳເຕືອນ: ເຊດຊັນຈະປິດໃນ 1 ວິນາທີ ຖ້າບໍ່ມີກິດຈະກຳເກີນເວລາ Idle: ປິດເຊດຊັນ
ການເຊື່ອມຕໍ່ກັບໂຮສປິດ.
Sample ຜົນຜະລິດສໍາລັບການຢຸດເຊົາຜູ້ໃຊ້ລິເລີ່ມ
ssh NDcPPv2-user@host ລະຫັດຜ່ານ: ເຂົ້າສູ່ລະບົບຄັ້ງສຸດທ້າຍ: Sun Jun 23 22:48:05 2019 — JUNOS 22.3R1 Kernel 64-bit JNPR-12.1-20220628.HEAD__ci_fbs NDcPPv2-user@host> exit
ການເຊື່ອມຕໍ່ກັບໂຮສປິດ.
4 ບົດ
ການຕັ້ງຄ່າ SSH ແລະການເຊື່ອມຕໍ່ Console
ການຕັ້ງຄ່າຂໍ້ຄວາມເຂົ້າສູ່ລະບົບ ແລະປະກາດ | 46 ການຕັ້ງຄ່າ SSH ຢູ່ໃນການຕັ້ງຄ່າການປະເມີນ | 47 ການຈໍາກັດຈໍານວນຄວາມພະຍາຍາມເຂົ້າສູ່ລະບົບຂອງຜູ້ໃຊ້ສໍາລັບ SSH Sessions | 49
46
ການຕັ້ງຄ່າຂໍ້ຄວາມເຂົ້າສູ່ລະບົບແລະການປະກາດ
ຂໍ້ຄວາມເຂົ້າສູ່ລະບົບຈະປາກົດຂຶ້ນກ່ອນທີ່ຜູ້ໃຊ້ເຂົ້າສູ່ລະບົບແລະການປະກາດຈະປະກົດຂຶ້ນຫຼັງຈາກທີ່ຜູ້ໃຊ້ເຂົ້າສູ່ລະບົບໂດຍເລີ່ມຕົ້ນ, ບໍ່ມີຂໍ້ຄວາມເຂົ້າສູ່ລະບົບຫຼືການປະກາດຈະສະແດງຢູ່ໃນອຸປະກອນ. ເພື່ອຕັ້ງຄ່າຂໍ້ຄວາມເຂົ້າສູ່ລະບົບຜ່ານ console ຫຼືການໂຕ້ຕອບການຈັດການ, ໃຊ້ຄໍາສັ່ງຕໍ່ໄປນີ້:
[ປັບປຸງແກ້ໄຂ] user@host# ຕັ້ງລະບົບຂໍ້ຄວາມເຂົ້າສູ່ລະບົບ login-message-banner-text ເພື່ອຕັ້ງຄ່າການປະກາດລະບົບ, ໃຊ້ຄໍາສັ່ງດັ່ງຕໍ່ໄປນີ້:
[ປັບປຸງແກ້ໄຂ] user@host# ຕັ້ງລະບົບການປະກາດການເຂົ້າສູ່ລະບົບການປະກາດ system-announcement-text
ໝາຍເຫດ: · ຖ້າຂໍ້ຄວາມມີຊ່ອງຫວ່າງໃດນຶ່ງ, ໃຫ້ໃສ່ເຄື່ອງໝາຍວົງຢືມ. · ທ່ານສາມາດຈັດຮູບແບບຂໍ້ຄວາມໂດຍໃຊ້ຕົວອັກສອນພິເສດຕໍ່ໄປນີ້:
· n-ແຖວໃໝ່ · t-ແຖບແນວນອນ · '–ເຄື່ອງໝາຍວົງຢືມດ່ຽວ · “–ເຄື່ອງໝາຍວົງຢືມຄູ່ · \–Backslash
ເອກະສານທີ່ກ່ຽວຂ້ອງ ການຕັ້ງຄ່າ SSH ໃນການຕັ້ງຄ່າການປະເມີນ | 47
47
ການຕັ້ງຄ່າ SSH ໃນການຕັ້ງຄ່າທີ່ຖືກປະເມີນ
SSH ເປັນການໂຕ້ຕອບການຈັດການທາງໄກທີ່ໄດ້ຮັບອະນຸຍາດໃນການຕັ້ງຄ່າການປະເມີນ. ຫົວຂໍ້ນີ້ອະທິບາຍວິທີການປັບຄ່າ SSH ໃນອຸປະກອນ.
·ກ່ອນທີ່ທ່ານຈະເລີ່ມຕົ້ນ, ເຂົ້າສູ່ລະບົບດ້ວຍບັນຊີຮາກຂອງທ່ານໃນອຸປະກອນ.
ເພື່ອຕັ້ງຄ່າ SSH ໃນອຸປະກອນ:
1. ລະບຸລະບົບທີ່ອະນຸຍາດ SSH host-key algorithms ສໍາລັບການບໍລິການລະບົບ.
[ດັດແກ້] root@host# ຕັ້ງບໍລິການລະບົບ ssh hostkey-algorithm ssh-ecdsa root@host# ຕັ້ງບໍລິການລະບົບ ssh hostkey-algorithm no-ssh-dss root@host# ຕັ້ງບໍລິການລະບົບ ssh hostkey-algorithm ssh-rsa root@host # ຕັ້ງການບໍລິການລະບົບ ssh hostkey-algorithm no-ssh-ed25519
2. ລະບຸການປ່ຽນລະຫັດ SSH ສໍາລັບກະແຈ Diffie-Hellman ສໍາລັບການບໍລິການລະບົບ.
[ດັດແກ້] root@host# ຕັ້ງບໍລິການລະບົບ ssh key-exchange dh-group14-sha1 root@host# ຕັ້ງບໍລິການລະບົບ ssh key-exchange ecdh-sha2-nistp256 root@host# ຕັ້ງບໍລິການລະບົບ ssh key-exchange ecdh-sha2- nistp384 root@host# ຕັ້ງການບໍລິການລະບົບ ssh key-exchange ecdh-sha2-nistp521
3. ລະບຸລະຫັດການຢືນຢັນຂໍ້ຄວາມທີ່ອະນຸຍາດທັງໝົດສຳລັບ SSHv2.
[ດັດແກ້] root@host# ຕັ້ງບໍລິການລະບົບ ssh macs hmac-sha1 root@host# ຕັ້ງບໍລິການລະບົບ ssh macs hmac-sha2-256 root@host# ຕັ້ງບໍລິການລະບົບ ssh macs hmac-sha2-512
4. ລະບຸລະຫັດທີ່ອະນຸຍາດໃຫ້ໃຊ້ສໍາລັບໂປຣໂຕຄໍເວີຊັ່ນ 2.
[ດັດແກ້] root@host# ກໍານົດການບໍລິການລະບົບ ssh ciphers aes128-cbc root@host# ກໍານົດການບໍລິການລະບົບ ssh ciphers aes256-cbc root@host# ກໍານົດການບໍລິການລະບົບ ssh ciphers aes128-ctr root@host# ກໍານົດການບໍລິການລະບົບ ssh ciphers aes256- ctr
48
ໝາຍເຫດ: ເພື່ອປິດການບໍລິການ SSH, ທ່ານສາມາດປິດການກຳນົດຄ່າ SSH ໄດ້: root@host# ປິດໃຊ້ງານການບໍລິການລະບົບ ssh
ໝາຍເຫດ: ເພື່ອປິດການບໍລິການ Netconf, ທ່ານສາມາດປິດການກຳນົດຄ່າ netconf ໄດ້: root@host# ປິດໃຊ້ງານການບໍລິການລະບົບ netconf ssh
ຮອງຮັບ SSH hostkey algorithm:
ssh-ecdsa ssh-rsa
ອະນຸຍາດໃຫ້ການຜະລິດຂອງ ECDSA host-key ອະນຸຍາດໃຫ້ການຜະລິດຂອງ RSA host-key
ຮອງຮັບ SSH key-exchange algorithm:
dh-group14-sha1 ecdh-sha2-nistp256 ecdh-sha2-nistp384 ecdh-sha2-nistp521
RFC 4253 ບັງຄັບໃຫ້ group14 ກັບ SHA1 hash The EC Diffie-Hellman on nistp256 with SHA2-256 The EC Diffie-Hellman on nistp384 with SHA2-384 The EC Diffie-Hellman on nistp521 with SHA2-512
ສະຫນັບສະຫນູນວິທີການ MAC:
hmac-sha1 hmac-sha2-256 hmac-sha2-512
MAC ທີ່ອີງໃສ່ Hash ໂດຍໃຊ້ Secure Hash Algorithm (SHA1) MAC ທີ່ອີງໃສ່ Hash ໂດຍໃຊ້ Secure Hash Algorithm (SHA2) MAC ທີ່ອີງໃສ່ Hash ໂດຍໃຊ້ Secure Hash Algorithm (SHA2)
ຂັ້ນຕອນການເຂົ້າລະຫັດ SSH ທີ່ຮອງຮັບ:
aes128-cbc aes128-ctr
aes256-cbc aes256-ctr
AES 128-bit ກັບ Cipher Block Chaning 128-bit AES ກັບ Counter Mode
AES 256-bit ກັບ Cipher Block Chaning 256-bit AES ກັບ Counter Mode
49
ເອກະສານທີ່ກ່ຽວຂ້ອງ ການຈໍາກັດຈໍານວນຄວາມພະຍາຍາມເຂົ້າສູ່ລະບົບຂອງຜູ້ໃຊ້ສໍາລັບ SSH Sessions | 49
ການຈໍາກັດຈໍານວນຄວາມພະຍາຍາມເຂົ້າສູ່ລະບົບຂອງຜູ້ໃຊ້ສໍາລັບ SSH Sessions
ຜູ້ເບິ່ງແຍງລະບົບອາດຈະເຂົ້າສູ່ລະບົບອຸປະກອນຈາກໄລຍະໄກຜ່ານ SSH. ຂໍ້ມູນປະຈຳຕົວຂອງຜູ້ເບິ່ງແຍງລະບົບຖືກເກັບໄວ້ໃນເຄື່ອງ. ຖ້າຜູ້ເບິ່ງແຍງລະບົບນໍາສະເຫນີຊື່ຜູ້ໃຊ້ແລະລະຫັດຜ່ານທີ່ຖືກຕ້ອງ, ການເຂົ້າເຖິງເປົ້າຫມາຍຂອງການປະເມີນຜົນ (TOE) ແມ່ນອະນຸຍາດໃຫ້. ຖ້າຂໍ້ມູນປະຈຳຕົວບໍ່ຖືກຕ້ອງ, TOE ອະນຸຍາດໃຫ້ການພິສູດຢືນຢັນຄືນໃໝ່ຫຼັງຈາກໄລຍະໜຶ່ງທີ່ເລີ່ມຫຼັງຈາກ 1 ວິນາທີ ແລະເພີ່ມຂຶ້ນເປັນເລກກຳລັງ. ຖ້າຈໍານວນຄວາມພະຍາຍາມພິສູດຢືນຢັນເກີນກໍານົດຄ່າສູງສຸດ, ບໍ່ມີການຍອມຮັບຄວາມພະຍາຍາມທີ່ຈະພິສູດຢືນຢັນໃນໄລຍະເວລາທີ່ກໍານົດໄວ້. ເມື່ອຊ່ວງເວລາໝົດອາຍຸ, ຄວາມພະຍາຍາມຢັ້ງຢືນຈະຖືກຍອມຮັບອີກຄັ້ງ.
ທ່ານກໍານົດຈໍານວນເວລາທີ່ອຸປະກອນຖືກລັອກຫຼັງຈາກຄວາມພະຍາຍາມບໍ່ສໍາເລັດ. ໄລຍະເວລາໃນນາທີກ່ອນທີ່ຜູ້ໃຊ້ສາມາດພະຍາຍາມເຂົ້າສູ່ລະບົບອຸປະກອນຫຼັງຈາກຖືກລັອກເນື່ອງຈາກຈໍານວນການເຂົ້າສູ່ລະບົບລົ້ມເຫລວທີ່ລະບຸໄວ້ໃນຄໍາຖະແຫຼງການພະຍາຍາມກ່ອນທີ່ຈະຕັດການເຊື່ອມຕໍ່. ເມື່ອຜູ້ໃຊ້ບໍ່ສາມາດເຂົ້າສູ່ລະບົບໄດ້ຢ່າງຖືກຕ້ອງຫຼັງຈາກຈໍານວນການພະຍາຍາມທີ່ລະບຸໄວ້ໂດຍຄໍາຖະແຫຼງການພະຍາຍາມກ່ອນທີ່ຈະຕັດການເຊື່ອມຕໍ່, ຜູ້ໃຊ້ຕ້ອງລໍຖ້າຈໍານວນນາທີທີ່ກໍານົດໄວ້ກ່ອນທີ່ຈະພະຍາຍາມເຂົ້າສູ່ລະບົບອຸປະກອນອີກເທື່ອຫນຶ່ງ. ໃນລະຫວ່າງໄລຍະເວລາປິດປະຕູນີ້, ຜູ້ໃຊ້ເຊດຊັນທາງໄກຍັງສາມາດເຂົ້າເຖິງ TOE ຜ່ານຄອນໂຊນເປັນຜູ້ໃຊ້ຮາກ. ໄລຍະເວລາການລັອກຕ້ອງຫຼາຍກວ່າສູນ. ຊ່ວງເວລາທີ່ທ່ານສາມາດກຳນົດຄ່າໄລຍະເວລາລັອກອອກແມ່ນໜຶ່ງຫາ 43,200 ນາທີ.
[ດັດແກ້ການເຂົ້າສູ່ລະບົບ] user@host# ຕັ້ງ retry-options lockout-time number
ທ່ານສາມາດກໍາຫນົດຄ່າອຸປະກອນເພື່ອຈໍາກັດຈໍານວນຄວາມພະຍາຍາມທີ່ຈະໃສ່ລະຫັດຜ່ານໃນຂະນະທີ່ເຂົ້າສູ່ລະບົບ SSH. ການນໍາໃຊ້ຄໍາສັ່ງຕໍ່ໄປນີ້, ການເຊື່ອມຕໍ່.
[ປັບປຸງການເຂົ້າສູ່ລະບົບ] user@host# ຕັ້ງ retry-options tries-before-disconnect number
ທີ່ນີ້, tries-before-disconnect ແມ່ນຈໍານວນເວລາທີ່ຜູ້ໃຊ້ສາມາດພະຍາຍາມໃສ່ລະຫັດຜ່ານໃນເວລາເຂົ້າສູ່ລະບົບ. ການເຊື່ອມຕໍ່ຈະປິດຖ້າຜູ້ໃຊ້ບໍ່ສາມາດເຂົ້າສູ່ລະບົບຫຼັງຈາກຈໍານວນທີ່ກໍານົດໄວ້. ໄລຍະແມ່ນຕັ້ງແຕ່ 2 ຫາ 10, ແລະຄ່າເລີ່ມຕົ້ນແມ່ນ 3.
50
ການເຂົ້າເຖິງຜູ້ເບິ່ງແຍງລະບົບທ້ອງຖິ່ນຈະຖືກຮັກສາໄວ້ເຖິງແມ່ນວ່າການຈັດການທາງໄກຈະຖືກເຮັດຢ່າງຖາວອນຫຼືຊົ່ວຄາວບໍ່ສາມາດໃຊ້ໄດ້ເນື່ອງຈາກຄວາມພະຍາຍາມເຂົ້າສູ່ລະບົບລົ້ມເຫລວຫຼາຍຄັ້ງ. ການເຂົ້າສູ່ລະບົບ console ສໍາລັບການບໍລິຫານທ້ອງຖິ່ນຈະມີໃຫ້ຜູ້ໃຊ້ໃນລະຫວ່າງໄລຍະເວລາ lockout.
ນອກນັ້ນທ່ານຍັງສາມາດກໍານົດການຊັກຊ້າ, ໃນວິນາທີ, ກ່ອນທີ່ຜູ້ໃຊ້ສາມາດພະຍາຍາມໃສ່ລະຫັດຜ່ານຫຼັງຈາກຄວາມພະຍາຍາມລົ້ມເຫລວ.
[ດັດແກ້ການເຂົ້າສູ່ລະບົບ] user@host# ຕັ້ງ retry-options backoff-threshold number
ທີ່ນີ້, backoff-threshold ແມ່ນເກນສໍາລັບຈໍານວນຄວາມພະຍາຍາມເຂົ້າສູ່ລະບົບທີ່ລົ້ມເຫລວກ່ອນທີ່ຜູ້ໃຊ້ຈະປະສົບກັບຄວາມລ່າຊ້າໃນການສາມາດໃສ່ລະຫັດຜ່ານອີກເທື່ອຫນຶ່ງ. ໄລຍະແມ່ນຕັ້ງແຕ່ 1 ຫາ 3, ແລະຄ່າເລີ່ມຕົ້ນແມ່ນ 2 ວິນາທີ.
ນອກຈາກນັ້ນ, ອຸປະກອນສາມາດຖືກຕັ້ງຄ່າເພື່ອກໍານົດຂອບເຂດສໍາລັບຈໍານວນຄວາມພະຍາຍາມທີ່ລົ້ມເຫລວກ່ອນທີ່ຜູ້ໃຊ້ຈະປະສົບກັບຄວາມລ່າຊ້າໃນການໃສ່ລະຫັດຜ່ານອີກເທື່ອຫນຶ່ງ.
[ດັດແກ້ການເຂົ້າສູ່ລະບົບ] user@host# ຕັ້ງ retry-options backoff-factor number
ທີ່ນີ້, backoff-factor ແມ່ນໄລຍະເວລາ, ເປັນວິນາທີ, ກ່ອນທີ່ຜູ້ໃຊ້ສາມາດພະຍາຍາມເຂົ້າສູ່ລະບົບຫຼັງຈາກຄວາມພະຍາຍາມທີ່ລົ້ມເຫລວ. ຄວາມລ່າຊ້າເພີ່ມຂຶ້ນໂດຍຄ່າທີ່ລະບຸໄວ້ສໍາລັບແຕ່ລະຄວາມພະຍາຍາມຕໍ່ໄປຫຼັງຈາກເກນ. ຊ່ວງແມ່ນຕັ້ງແຕ່ 5 ຫາ 10, ແລະຄ່າເລີ່ມຕົ້ນແມ່ນ 5 ວິນາທີ. ທ່ານສາມາດຄວບຄຸມການເຂົ້າເຖິງຜູ້ໃຊ້ຜ່ານ SSH. ໂດຍການຕັ້ງຄ່າ ssh root-login ປະຕິເສດ, ທ່ານສາມາດຮັບປະກັນວ່າບັນຊີຮາກຍັງຄົງມີການເຄື່ອນໄຫວແລະສືບຕໍ່ມີສິດທິໃນການຄຸ້ມຄອງທ້ອງຖິ່ນຕໍ່ກັບ TOE ເຖິງແມ່ນວ່າຜູ້ໃຊ້ຫ່າງໄກສອກຫຼີກອື່ນໆຈະຖືກປິດ.
[ດັດແກ້ລະບົບ] user@host# ຕັ້ງການບໍລິການ ssh root-login ປະຕິເສດ
ໂປໂຕຄອນ SSH2 ສະຫນອງເຊດຊັນ terminal ທີ່ປອດໄພໂດຍໃຊ້ການເຂົ້າລະຫັດທີ່ປອດໄພ. ໂປຣໂຕຄໍ SSH2 ບັງຄັບໃຫ້ແລ່ນໄລຍະການແລກປ່ຽນລະຫັດ ແລະປ່ຽນລະຫັດການເຂົ້າລະຫັດ ແລະຄວາມສົມບູນຂອງເຊດຊັນ. ການແລກປ່ຽນລະຫັດແມ່ນເຮັດເປັນແຕ່ລະໄລຍະ, ຫຼັງຈາກວິນາທີທີ່ກໍານົດຫຼືຫຼັງຈາກ bytes ຂອງຂໍ້ມູນໄດ້ຜ່ານການເຊື່ອມຕໍ່. ທ່ານສາມາດກໍານົດຂອບເຂດສໍາລັບການ rekeying SSH, FCS_SSHS_EXT.1.8 ແລະ FCS_SSHC_EXT.1.8. TSF ຮັບປະກັນວ່າພາຍໃນການເຊື່ອມຕໍ່ SSH ມີການໃຊ້ປຸ່ມເຊດຊັນດຽວກັນ
51
ສໍາລັບຂອບເຂດຂອງບໍ່ເກີນຫນຶ່ງຊົ່ວໂມງ, ແລະບໍ່ມີຫຼາຍກ່ວາຫນຶ່ງ gigabyte ຂອງຂໍ້ມູນການຖ່າຍທອດ. ເມື່ອໃດໜຶ່ງເຖິງເກນໃດໜຶ່ງແມ່ນຕ້ອງໄດ້ຮັບການເຮັດວຽກຄືນໃໝ່.
[ດັດແກ້ລະບົບ] security-administrator@host:fips# set services ssh rekey time-limit number limit time before renegotiating session keys ແມ່ນ 1 ຫາ 1440 ນາທີ.
[ດັດແກ້ລະບົບ] security-administrator@host:fips# set services ssh rekey data-limit number ຂອບເຂດຈໍາກັດຂໍ້ມູນກ່ອນທີ່ຈະ renegotiating session keys ແມ່ນ 51200 ຜ່ານ 4294967295 byte.
ຫມາຍເຫດ: ສໍາລັບການເຊື່ອມຕໍ່ SSH ຖືກທໍາລາຍໂດຍບໍ່ໄດ້ຕັ້ງໃຈ, ພວກເຮົາຈໍາເປັນຕ້ອງເລີ່ມຕົ້ນການເຊື່ອມຕໍ່ SSH ອີກເທື່ອຫນຶ່ງເພື່ອເຂົ້າສູ່ລະບົບກັບຄືນໄປບ່ອນ TOE.
ເອກະສານທີ່ກ່ຽວຂ້ອງ ການຕັ້ງຄ່າ SSH ໃນການຕັ້ງຄ່າການປະເມີນ | 47
5 ບົດ
ການຕັ້ງຄ່າເຊີບເວີ Syslog ໄລຍະໄກ
ການຕັ້ງຄ່າເຊີບເວີ Syslog ໃນລະບົບ Linux | 53
ເອກະສານ / ຊັບພະຍາກອນ
 |
Juniper EX4400 ມາດຕະຖານທົ່ວໄປທີ່ປະເມີນການຕັ້ງຄ່າ [pdf] ຄູ່ມືຜູ້ໃຊ້ 24MP, 24P, 24T, 48F, 48MP, 48P, 48T, EX4400 ເງື່ອນໄຂການປະເມີນທົ່ວໄປ, EX4400, ເງື່ອນໄຂການປະເມີນທົ່ວໄປ, ເງື່ອນໄຂການປະເມີນການຕັ້ງຄ່າ, ການຕັ້ງຄ່າການປະເມີນ |