Juniper NETWORKS MX240Junos OS ഉപകരണങ്ങൾ സേവന കാർഡ് ഉപയോക്തൃ ഗൈഡ്

പൊതുവായ മാനദണ്ഡങ്ങൾ വിലയിരുത്തിയ കോൺഫിഗറേഷൻ കഴിഞ്ഞുview:
പൊതുവായ മാനദണ്ഡം വിലയിരുത്തിയ കോൺഫിഗറേഷൻ ഒരു ഓവർ നൽകുന്നുview MX-SPC240 സേവന കാർഡുള്ള MX480, MX960, MX3 ഉപകരണങ്ങൾക്ക് ആവശ്യമായ സുരക്ഷാ ഫീച്ചറുകളും കോൺഫിഗറേഷനുകളും. മൂല്യനിർണ്ണയ കോൺഫിഗറേഷൻ്റെ ഉദ്ദേശ്യവും വ്യാപ്തിയും ഈ വിഭാഗം വിശദീകരിക്കുന്നു.

FIPS ഓപ്പറേഷൻ മോഡിൽ ജൂനോസ് ഒഎസ്view:
FIPS പ്രവർത്തന രീതിയിലുള്ള Junos OS, ക്രിപ്‌റ്റോഗ്രാഫിക് മൊഡ്യൂളുകൾക്കുള്ള ഫെഡറൽ ഇൻഫർമേഷൻ പ്രോസസ്സിംഗ് സ്റ്റാൻഡേർഡ്‌സ് (FIPS) പാലിക്കുന്നത് ഉറപ്പാക്കുന്നു. ഈ വിഭാഗം ഒരു ഓവർ നൽകുന്നുview FIPS മോഡും അതിൻ്റെ നേട്ടങ്ങളും.

കഴിഞ്ഞുview FIPS ടെർമിനോളജിയും പിന്തുണയ്ക്കുന്ന ക്രിപ്റ്റോഗ്രാഫിക് അൽഗോരിതങ്ങളും:
ഈ വിഭാഗം FIPS മോഡിൽ ഉപയോഗിക്കുന്ന ടെർമിനോളജി വിശദീകരിക്കുകയും പിന്തുണയ്ക്കുന്ന ക്രിപ്റ്റോഗ്രാഫിക് അൽഗോരിതങ്ങളെക്കുറിച്ചുള്ള വിവരങ്ങൾ നൽകുകയും ചെയ്യുന്നു.

സുരക്ഷിതമായ ഉൽപ്പന്ന ഡെലിവറി തിരിച്ചറിയുക:
ഡെലിവർ ചെയ്ത സോഫ്റ്റ്‌വെയർ പാക്കേജുകളുടെ സമഗ്രത പരിശോധിക്കുന്നത് ഉൾപ്പെടെ, ഉൽപ്പന്നത്തിൻ്റെ സുരക്ഷിതമായ ഡെലിവറി എങ്ങനെ ഉറപ്പാക്കാം എന്നതിനെക്കുറിച്ചുള്ള മാർഗ്ഗനിർദ്ദേശങ്ങൾ ഈ വിഭാഗം നൽകുന്നു.

മാനേജ്മെൻ്റ് ഇൻ്റർഫേസുകൾ കഴിഞ്ഞുview:
MX-SPC240 സേവന കാർഡ് ഉപയോഗിച്ച് MX480, MX960, MX3 ഉപകരണങ്ങൾക്കായി ലഭ്യമായ വിവിധ മാനേജ്‌മെൻ്റ് ഇൻ്റർഫേസുകളെക്കുറിച്ച് അറിയുക. ഓരോ ഇൻ്റർഫേസിൻ്റെയും ഉദ്ദേശ്യവും ഉപയോഗവും ഈ വിഭാഗം വിശദീകരിക്കുന്നു.

റോളുകളും പ്രാമാണീകരണ രീതികളും കോൺഫിഗർ ചെയ്യുക

കഴിഞ്ഞുview Junos OS-നുള്ള റോളുകളും സേവനങ്ങളും:
ഈ വിഭാഗം ഒരു ഓവർ നൽകുന്നുview Junos OS-ൽ ലഭ്യമായ വിവിധ റോളുകളുടെയും സേവനങ്ങളുടെയും മൂല്യനിർണ്ണയ കോൺഫിഗറേഷനായി അവ എങ്ങനെ കോൺഫിഗർ ചെയ്യാമെന്ന് വിശദീകരിക്കുന്നു.

കഴിഞ്ഞുview FIPS മോഡിൽ Junos OS-നുള്ള പ്രവർത്തന പരിസ്ഥിതി:
FIPS മോഡിൽ Junos OS പ്രവർത്തിപ്പിക്കുന്നതിനുള്ള പ്രവർത്തന പരിസ്ഥിതി ആവശ്യകതകൾ മനസ്സിലാക്കുക. ഈ വിഭാഗം ആവശ്യമായ കോൺഫിഗറേഷനുകളും പരിഗണനകളും ഉൾക്കൊള്ളുന്നു.

കഴിഞ്ഞുview FIPS മോഡിൽ Junos OS-നുള്ള പാസ്‌വേഡ് സവിശേഷതകളും മാർഗ്ഗനിർദ്ദേശങ്ങളും:
FIPS മോഡിൽ Junos OS-നുള്ള പാസ്‌വേഡ് സ്പെസിഫിക്കേഷനുകളെയും മാർഗ്ഗനിർദ്ദേശങ്ങളെയും കുറിച്ച് അറിയുക. ശക്തവും സുരക്ഷിതവുമായ പാസ്‌വേഡുകൾ സൃഷ്‌ടിക്കുന്നതിനുള്ള ശുപാർശകൾ ഈ വിഭാഗം നൽകുന്നു.

ജുനൈപ്പർ നെറ്റ്‌വർക്കുകളിൽ നിന്ന് സോഫ്റ്റ്‌വെയർ പാക്കേജുകൾ ഡൗൺലോഡ് ചെയ്യുക:
ജുനൈപ്പർ നെറ്റ്‌വർക്കുകളിൽ നിന്ന് സോഫ്റ്റ്‌വെയർ പാക്കേജുകൾ എങ്ങനെ ഡൗൺലോഡ് ചെയ്യാം എന്നതിനെക്കുറിച്ചുള്ള ഘട്ടം ഘട്ടമായുള്ള നിർദ്ദേശങ്ങൾ webസൈറ്റ്. നിങ്ങൾക്ക് ഏറ്റവും പുതിയ ഫേംവെയർ അപ്‌ഡേറ്റുകളും സുരക്ഷാ പാച്ചുകളും ഉണ്ടെന്ന് ഈ വിഭാഗം ഉറപ്പാക്കുന്നു.

Junos സോഫ്റ്റ്‌വെയർ പാക്കേജുകൾ ഇൻസ്റ്റാൾ ചെയ്യുക:
നിങ്ങളുടെ MX240, MX480, അല്ലെങ്കിൽ MX960 ഉപകരണത്തിൽ Junos സോഫ്റ്റ്‌വെയർ പാക്കേജുകൾ എങ്ങനെ ഇൻസ്റ്റാൾ ചെയ്യാം എന്നതിനെക്കുറിച്ചുള്ള വിശദമായ ഗൈഡ്. പ്രാരംഭ ഇൻസ്റ്റലേഷനും നവീകരണ പ്രക്രിയകളും ഈ വിഭാഗം ഉൾക്കൊള്ളുന്നു.

കഴിഞ്ഞുview FIPS മോഡിനുള്ള സീറോയ്‌സേഷൻ മുതൽ സിസ്റ്റം ഡാറ്റ മായ്‌ക്കുക:
FIPS മോഡിൽ പ്രവർത്തിക്കുമ്പോൾ സെൻസിറ്റീവ് ഡാറ്റ മായ്‌ക്കുന്നതിന് സിസ്റ്റം പൂജ്യമാക്കുന്ന പ്രക്രിയ മനസ്സിലാക്കുക. ഈ വിഭാഗത്തിൽ ഉൾപ്പെട്ടിരിക്കുന്ന ഘട്ടങ്ങളും പരിഗണനകളും വിശദീകരിക്കുന്നു.

സിസ്റ്റം പൂജ്യമാക്കുക:

എല്ലാ സെൻസിറ്റീവ് ഡാറ്റയും നീക്കം ചെയ്യുന്നതിനായി സിസ്റ്റം എങ്ങനെ സീറോയിസ് ചെയ്യാം എന്നതിനെക്കുറിച്ചുള്ള ഘട്ടം ഘട്ടമായുള്ള നിർദ്ദേശങ്ങൾ. നീക്കം ചെയ്യുന്നതിനോ പുനർക്രമീകരിക്കുന്നതിനോ മുമ്പായി ഡാറ്റയുടെ ശരിയായ മായ്ക്കൽ ഈ വിഭാഗം ഉറപ്പാക്കുന്നു.

FIPS മോഡ് പ്രവർത്തനക്ഷമമാക്കുക:
നിങ്ങളുടെ MX240, MX480, അല്ലെങ്കിൽ MX960 ഉപകരണത്തിൽ FIPS മോഡ് എങ്ങനെ പ്രവർത്തനക്ഷമമാക്കാമെന്ന് അറിയുക. ഈ വിഭാഗം ആവശ്യമായ കോൺഫിഗറേഷനുകളും പരിഗണനകളും നൽകുന്നു.

സെക്യൂരിറ്റി അഡ്മിനിസ്ട്രേറ്ററും FIPS ഉപയോക്തൃ ഐഡൻ്റിഫിക്കേഷനും ആക്സസും കോൺഫിഗർ ചെയ്യുക:
സെക്യൂരിറ്റി അഡ്‌മിനിസ്‌ട്രേറ്ററും FIPS ഉപയോക്തൃ ഐഡൻ്റിഫിക്കേഷനും ആക്‌സസും എങ്ങനെ കോൺഫിഗർ ചെയ്യാമെന്ന് ഈ വിഭാഗം വിശദീകരിക്കുന്നു. ശരിയായ പ്രാമാണീകരണത്തിനും അംഗീകാരത്തിനും ആവശ്യമായ ഘട്ടങ്ങൾ ഇത് ഉൾക്കൊള്ളുന്നു.

സുരക്ഷാ അഡ്മിനിസ്ട്രേറ്റർ ആക്സസ് കോൺഫിഗർ ചെയ്യുക:
മൂല്യനിർണ്ണയ കോൺഫിഗറേഷനായി സുരക്ഷാ അഡ്മിനിസ്ട്രേറ്റർ ആക്സസ് കോൺഫിഗർ ചെയ്യുന്നതിനുള്ള വിശദമായ ഗൈഡ്. ഈ വിഭാഗം ആവശ്യമായ കോൺഫിഗറേഷനുകളും മികച്ച രീതികളും ഉൾക്കൊള്ളുന്നു.

FIPS ഉപയോക്തൃ ലോഗിൻ ആക്സസ് കോൺഫിഗർ ചെയ്യുക:
മൂല്യനിർണ്ണയ കോൺഫിഗറേഷനായി FIPS ഉപയോക്തൃ ലോഗിൻ ആക്സസ് കോൺഫിഗർ ചെയ്യുന്നതിനുള്ള ഘട്ടം ഘട്ടമായുള്ള നിർദ്ദേശങ്ങൾ. ഈ വിഭാഗം സുരക്ഷിതമായ ഉപയോക്തൃ പ്രാമാണീകരണവും ആക്സസ് നിയന്ത്രണവും ഉറപ്പാക്കുന്നു.

അഡ്മിനിസ്ട്രേറ്റീവ് ക്രെഡൻഷ്യലുകളും പ്രത്യേകാവകാശങ്ങളും കോൺഫിഗർ ചെയ്യുക

ഒരു അംഗീകൃത അഡ്മിനിസ്ട്രേറ്റർക്കുള്ള അനുബന്ധ പാസ്‌വേഡ് നിയമങ്ങൾ മനസ്സിലാക്കുന്നു:
അംഗീകൃത അഡ്മിനിസ്ട്രേറ്ററുമായി ബന്ധപ്പെട്ട പാസ്‌വേഡ് നിയമങ്ങളെക്കുറിച്ച് ഈ വിഭാഗം മനസ്സിലാക്കുന്നു. ഇത് പാസ്‌വേഡ് സങ്കീർണ്ണത, കാലഹരണപ്പെടൽ, മറ്റ് അനുബന്ധ പരിഗണനകൾ എന്നിവ ഉൾക്കൊള്ളുന്നു.

ഒരു നെറ്റ്‌വർക്ക് ഉപകരണ സഹകരണ സംരക്ഷണ പ്രോ കോൺഫിഗർ ചെയ്യുന്നുfile അംഗീകൃത അഡ്മിനിസ്ട്രേറ്റർ:
ഒരു നെറ്റ്‌വർക്ക് ഉപകരണ സഹകരണ സംരക്ഷണ പ്രോ കോൺഫിഗർ ചെയ്യുന്നതിനെക്കുറിച്ചുള്ള വിശദമായ ഗൈഡ്file അംഗീകൃത അഡ്മിനിസ്ട്രേറ്റർ. മൂല്യനിർണ്ണയ കോൺഫിഗറേഷനായി ശരിയായ അഡ്മിനിസ്ട്രേറ്റീവ് ആക്സസ് നിയന്ത്രണം ഈ വിഭാഗം ഉറപ്പാക്കുന്നു.

സമയം ഇഷ്ടാനുസൃതമാക്കുക:
നിങ്ങളുടെ MX240, MX480, അല്ലെങ്കിൽ MX960 ഉപകരണത്തിൽ സമയ ക്രമീകരണം എങ്ങനെ ഇഷ്‌ടാനുസൃതമാക്കാമെന്ന് അറിയുക. കൃത്യമായ സമയ സമന്വയത്തിന് ആവശ്യമായ കോൺഫിഗറേഷനുകൾ ഈ വിഭാഗം ഉൾക്കൊള്ളുന്നു.

നിഷ്‌ക്രിയത്വ കാലഹരണപ്പെടൽ കാലയളവ് കോൺഫിഗറേഷൻ, പ്രാദേശികവും വിദൂരവുമായ നിഷ്‌ക്രിയ സെഷൻ അവസാനിപ്പിക്കൽ:
മൂല്യനിർണ്ണയ കോൺഫിഗറേഷനായി നിഷ്‌ക്രിയത്വ കാലഹരണപ്പെടൽ കാലയളവും ലോക്കൽ/റിമോട്ട് നിഷ്‌ക്രിയ സെഷൻ അവസാനിപ്പിക്കലും കോൺഫിഗർ ചെയ്യുക. സെഷൻ ടൈംഔട്ടുകൾ ക്രമീകരിക്കുന്നതിനുള്ള നിർദ്ദേശങ്ങൾ ഈ വിഭാഗം നൽകുന്നു.

സെഷൻ അവസാനിപ്പിക്കൽ കോൺഫിഗർ ചെയ്യുക:
മൂല്യനിർണ്ണയ കോൺഫിഗറേഷനായി സെഷൻ അവസാനിപ്പിക്കൽ എങ്ങനെ കോൺഫിഗർ ചെയ്യാം എന്നതിനെക്കുറിച്ചുള്ള ഘട്ടം ഘട്ടമായുള്ള നിർദ്ദേശങ്ങൾ. ഈ വിഭാഗം ശരിയായ സെഷൻ മാനേജ്മെൻ്റും സുരക്ഷയും ഉറപ്പാക്കുന്നു.

Sampലോക്കൽ അഡ്മിനിസ്ട്രേറ്റീവ് സെഷൻ അവസാനിപ്പിക്കുന്നതിനുള്ള ഔട്ട്പുട്ട്:
Sample ഔട്ട്പുട്ടും എക്സിampറഫറൻസിനായി ലോക്കൽ അഡ്മിനിസ്ട്രേറ്റീവ് സെഷൻ അവസാനിപ്പിക്കുന്നതിൻ്റെ ലെസ്. പ്രതീക്ഷിക്കുന്ന സ്വഭാവവും ഔട്ട്‌പുട്ടും മനസ്സിലാക്കാൻ ഈ വിഭാഗം നിങ്ങളെ സഹായിക്കുന്നു.

Sampറിമോട്ട് അഡ്മിനിസ്ട്രേറ്റീവ് സെഷൻ അവസാനിപ്പിക്കുന്നതിനുള്ള ഔട്ട്പുട്ട്:
Sample ഔട്ട്പുട്ടും എക്സിampറഫറൻസിനായി റിമോട്ട് അഡ്മിനിസ്ട്രേറ്റീവ് സെഷൻ അവസാനിപ്പിക്കുന്നതിൻ്റെ ലെസ്. പ്രതീക്ഷിക്കുന്ന സ്വഭാവവും ഔട്ട്‌പുട്ടും മനസ്സിലാക്കാൻ ഈ വിഭാഗം നിങ്ങളെ സഹായിക്കുന്നു.

Sampയൂസർ ഇനീഷ്യേറ്റഡ് ടെർമിനേഷനുള്ള ഔട്ട്പുട്ട്:
Sample ഔട്ട്പുട്ടും എക്സിampറഫറൻസിനായി ഉപയോക്താക്കൾ ആരംഭിച്ച സെഷൻ അവസാനിപ്പിക്കൽ. പ്രതീക്ഷിക്കുന്ന സ്വഭാവവും ഔട്ട്‌പുട്ടും മനസ്സിലാക്കാൻ ഈ വിഭാഗം നിങ്ങളെ സഹായിക്കുന്നു.

SSH, കൺസോൾ കണക്ഷൻ കോൺഫിഗർ ചെയ്യുക

ഒരു സിസ്റ്റം ലോഗിൻ സന്ദേശവും അറിയിപ്പും കോൺഫിഗർ ചെയ്യുക:
മൂല്യനിർണ്ണയ കോൺഫിഗറേഷനായി ഒരു സിസ്റ്റം ലോഗിൻ സന്ദേശവും അറിയിപ്പും എങ്ങനെ കോൺഫിഗർ ചെയ്യാമെന്ന് ഈ വിഭാഗം വിശദീകരിക്കുന്നു. ലോഗിൻ അനുഭവം ഇഷ്ടാനുസൃതമാക്കുന്നതിനുള്ള നിർദ്ദേശങ്ങൾ ഇത് നൽകുന്നു.

NDcPPv2.2e-നുള്ള മൂല്യനിർണ്ണയ കോൺഫിഗറേഷനിൽ SSH കോൺഫിഗർ ചെയ്യുക:
NDcPPv2.2e പാലിക്കുന്നതിനുള്ള മൂല്യനിർണ്ണയ കോൺഫിഗറേഷനിൽ SSH എങ്ങനെ കോൺഫിഗർ ചെയ്യാം എന്നതിനെക്കുറിച്ചുള്ള ഘട്ടം ഘട്ടമായുള്ള നിർദ്ദേശങ്ങൾ. ഈ വിഭാഗം ഉപകരണത്തിലേക്ക് സുരക്ഷിതമായ വിദൂര ആക്സസ് ഉറപ്പാക്കുന്നു.

SSH സെഷനുകൾക്കായുള്ള ഉപയോക്തൃ ലോഗിൻ ശ്രമങ്ങളുടെ എണ്ണം പരിമിതപ്പെടുത്തുക:
മൂല്യനിർണ്ണയ കോൺഫിഗറേഷനിൽ SSH സെഷനുകൾക്കായുള്ള ഉപയോക്തൃ ലോഗിൻ ശ്രമങ്ങളുടെ എണ്ണം പരിമിതപ്പെടുത്തുന്നത് എങ്ങനെയെന്ന് അറിയുക. ക്രൂരമായ ആക്രമണങ്ങൾക്കെതിരായ സുരക്ഷ വർദ്ധിപ്പിക്കുന്നതിനുള്ള നിർദ്ദേശങ്ങൾ ഈ വിഭാഗം നൽകുന്നു.

സ്പെസിഫിക്കേഷനുകൾ

പൊതുവായ മാനദണ്ഡ കോൺഫിഗറേഷൻ ഗൈഡ്: MX-SPC240 സേവന കാർഡുള്ള MX480, MX960, MX3 ഉപകരണങ്ങൾ

പ്രസിദ്ധീകരണ തീയതി: 2023-12-25

പതിപ്പ് റിലീസ് ചെയ്യുക: 22.2R1

പതിവ് ചോദ്യങ്ങൾ (FAQ)

ചോദ്യം: ജുനൈപ്പർ നെറ്റ്‌വർക്കുകളുടെ ഹാർഡ്‌വെയർ, സോഫ്റ്റ്‌വെയർ ഉൽപ്പന്നങ്ങളുടെ വർഷമാണോ? 2000 അനുസരിച്ചാണോ?
ഉത്തരം: അതെ, ജുനൈപ്പർ നെറ്റ്‌വർക്കുകളുടെ ഹാർഡ്‌വെയറും സോഫ്റ്റ്‌വെയർ ഉൽപ്പന്നങ്ങളും 2000 വർഷം പാലിക്കുന്നവയാണ്. Junos OS-ന് 2038 വരെ സമയവുമായി ബന്ധപ്പെട്ട പരിമിതികളൊന്നുമില്ല.

ചോദ്യം: അന്തിമ ഉപയോക്തൃ ലൈസൻസ് കരാർ (EULA) എനിക്ക് എവിടെ കണ്ടെത്താനാകും ജുനൈപ്പർ നെറ്റ്‌വർക്ക് സോഫ്റ്റ്‌വെയർ?
ഉത്തരം: ജുനൈപ്പർ നെറ്റ്‌വർക്ക് സോഫ്‌റ്റ്‌വെയറിനായുള്ള അന്തിമ ഉപയോക്തൃ ലൈസൻസ് കരാർ (EULA) ഇവിടെ കാണാം https://support.juniper.net/support/eula/. സോഫ്‌റ്റ്‌വെയർ ഡൗൺലോഡ് ചെയ്യുകയോ ഇൻസ്റ്റാൾ ചെയ്യുകയോ ഉപയോഗിക്കുകയോ ചെയ്യുന്നതിലൂടെ, നിങ്ങൾ EULA-യുടെ നിബന്ധനകളും വ്യവസ്ഥകളും അംഗീകരിക്കുന്നു.

View Fullscreen

Junos® OS
MX-SPC240 സേവന കാർഡുള്ള MX480, MX960, MX3 ഉപകരണങ്ങൾക്കുള്ള പൊതു മാനദണ്ഡ കോൺഫിഗറേഷൻ ഗൈഡ്

പ്രസിദ്ധീകരിച്ചു
2023-12-25

റിലീസ് ചെയ്യുക
22.2R1

ii
ജുനൈപ്പർ നെറ്റ്‌വർക്ക്സ്, ഇൻക്. 1133 ഇന്നൊവേഷൻ വേ സണ്ണിവെയ്ൽ, കാലിഫോർണിയ 94089 യുഎസ്എ 408-745-2000 www.juniper.net
ജുനൈപ്പർ നെറ്റ്‌വർക്കുകൾ, ജുനൈപ്പർ നെറ്റ്‌വർക്കുകളുടെ ലോഗോ, ജുനൈപ്പർ, ജുനോസ് എന്നിവ യുണൈറ്റഡ് സ്റ്റേറ്റ്‌സിലും മറ്റ് രാജ്യങ്ങളിലും ജുനൈപ്പർ നെറ്റ്‌വർക്ക്സ്, Inc. ന്റെ രജിസ്റ്റർ ചെയ്ത വ്യാപാരമുദ്രകളാണ്. മറ്റ് എല്ലാ വ്യാപാരമുദ്രകളും, സേവന മാർക്കുകളും, രജിസ്റ്റർ ചെയ്ത മാർക്കുകളും അല്ലെങ്കിൽ രജിസ്റ്റർ ചെയ്ത സേവന മാർക്കുകളും അവയുടെ ഉടമസ്ഥരുടെ സ്വത്താണ്.
ഈ ഡോക്യുമെന്റിലെ അപാകതകൾക്ക് ജുനൈപ്പർ നെറ്റ്‌വർക്കുകൾ ഒരു ഉത്തരവാദിത്തവും ഏറ്റെടുക്കുന്നില്ല. അറിയിപ്പ് കൂടാതെ ഈ പ്രസിദ്ധീകരണം മാറ്റാനോ പരിഷ്‌ക്കരിക്കാനോ കൈമാറ്റം ചെയ്യാനോ അല്ലെങ്കിൽ പരിഷ്‌ക്കരിക്കാനോ ഉള്ള അവകാശം ജുനൈപ്പർ നെറ്റ്‌വർക്കുകളിൽ നിക്ഷിപ്തമാണ്.
MX-SPC240 സേവന കാർഡ് 480R960 ഉള്ള MX3, MX22.2, MX1 ഉപകരണങ്ങൾക്കായുള്ള Junos® OS കോമൺ ക്രിറ്റീരിയ കോൺഫിഗറേഷൻ ഗൈഡ് പകർപ്പവകാശം © 2023 Juniper Networks, Inc. എല്ലാ അവകാശങ്ങളും നിക്ഷിപ്തം.
ഈ പ്രമാണത്തിലെ വിവരങ്ങൾ ശീർഷക പേജിലെ തീയതി മുതൽ നിലവിലുള്ളതാണ്.
വർഷം 2000 അറിയിപ്പ്
ജുനൈപ്പർ നെറ്റ്‌വർക്കുകളുടെ ഹാർഡ്‌വെയർ, സോഫ്‌റ്റ്‌വെയർ ഉൽപ്പന്നങ്ങൾ 2000 വർഷം പാലിക്കുന്നവയാണ്. 2038-ൽ Junos OS-ന് സമയവുമായി ബന്ധപ്പെട്ട പരിമിതികളൊന്നുമില്ല. എന്നിരുന്നാലും, NTP ആപ്ലിക്കേഷന് 2036-ൽ ചില ബുദ്ധിമുട്ടുകൾ ഉണ്ടായതായി അറിയപ്പെടുന്നു.
ഉപയോക്തൃ ലൈസൻസ് കരാർ അവസാനിപ്പിക്കുക
ഈ സാങ്കേതിക ഡോക്യുമെൻ്റേഷൻ്റെ വിഷയമായ ജുനൈപ്പർ നെറ്റ്‌വർക്കുകളുടെ ഉൽപ്പന്നത്തിൽ ജുനൈപ്പർ നെറ്റ്‌വർക്കുകളുടെ സോഫ്‌റ്റ്‌വെയർ അടങ്ങിയിരിക്കുന്നു (അല്ലെങ്കിൽ ഉപയോഗിക്കുന്നതിന് ഉദ്ദേശിച്ചുള്ളതാണ്). ഇത്തരം സോഫ്‌റ്റ്‌വെയറിൻ്റെ ഉപയോഗം https://support.juniper.net/support/eula/ എന്നതിൽ പോസ്റ്റ് ചെയ്‌തിട്ടുള്ള അന്തിമ ഉപയോക്തൃ ലൈസൻസ് കരാറിൻ്റെ (“EULA”) നിബന്ധനകൾക്കും വ്യവസ്ഥകൾക്കും വിധേയമാണ്. അത്തരം സോഫ്‌റ്റ്‌വെയർ ഡൗൺലോഡ് ചെയ്യുകയോ ഇൻസ്റ്റാൾ ചെയ്യുകയോ ഉപയോഗിക്കുകയോ ചെയ്യുന്നതിലൂടെ, നിങ്ങൾ ആ EULA-യുടെ നിബന്ധനകളും വ്യവസ്ഥകളും അംഗീകരിക്കുന്നു.

ഈ ഗൈഡിനെക്കുറിച്ച്

കോമൺ ക്രൈറ്റീരിയ (സിസി) പാലിക്കുന്നതിനായി MX240, MX480, MX960 ഉപകരണങ്ങൾ കോൺഫിഗർ ചെയ്യുന്നതിനും വിലയിരുത്തുന്നതിനും ഈ ഗൈഡ് ഉപയോഗിക്കുക. പൊതു മാനദണ്ഡങ്ങൾക്കനുസൃതമായി സുരക്ഷാ ഉൽപ്പന്നങ്ങളുടെ മൂല്യനിർണ്ണയം അനുവദിക്കുന്ന നിരവധി രാജ്യങ്ങൾ ഒപ്പുവെച്ച അന്താരാഷ്ട്ര കരാറാണ് വിവരസാങ്കേതികവിദ്യയുടെ പൊതു മാനദണ്ഡം.
ബന്ധപ്പെട്ട ഡോക്യുമെൻ്റേഷൻ പൊതു മാനദണ്ഡങ്ങളും FIPS സർട്ടിഫിക്കേഷനുകളും

1 അധ്യായം
കഴിഞ്ഞുview
പൊതുവായ മാനദണ്ഡങ്ങൾ വിലയിരുത്തിയ കോൺഫിഗറേഷൻ കഴിഞ്ഞുview | FIPS പ്രവർത്തനരീതിയിൽ 2 Junos OS ഓവർview | 3 ഓവർview FIPS ടെർമിനോളജിയും പിന്തുണയ്ക്കുന്ന ക്രിപ്റ്റോഗ്രാഫിക് അൽഗോരിതങ്ങളും | 5 സുരക്ഷിതമായ ഉൽപ്പന്ന ഡെലിവറി തിരിച്ചറിയുക | 8 മാനേജ്മെൻ്റ് ഇൻ്റർഫേസുകൾ കഴിഞ്ഞുview | 9

പൊതുവായ മാനദണ്ഡങ്ങൾ വിലയിരുത്തിയ കോൺഫിഗറേഷൻ കഴിഞ്ഞുview
ഈ വിഭാഗത്തിൽ പൊതുവായ മാനദണ്ഡം കഴിഞ്ഞുview | 2 പിന്തുണയ്ക്കുന്ന പ്ലാറ്റ്ഫോമുകൾ | 3
ഉപകരണം വിലയിരുത്തുമ്പോൾ Junos OS പ്രവർത്തിക്കുന്ന ഉപകരണത്തിൻ്റെ കോൺഫിഗറേഷൻ ഡ്യൂപ്ലിക്കേറ്റ് ചെയ്യുന്നതിന് ആവശ്യമായ ഘട്ടങ്ങൾ ഈ പ്രമാണം വിവരിക്കുന്നു. ഇതിനെ വിലയിരുത്തിയ കോൺഫിഗറേഷൻ എന്ന് വിളിക്കുന്നു. ഉപകരണം വിലയിരുത്തിയ മാനദണ്ഡങ്ങൾ ഇനിപ്പറയുന്ന ലിസ്റ്റ് വിവരിക്കുന്നു: · NDcPPv2.2e–https://www.niap-ccevs.org/MMO/PP/CPP_ND_V2.2E.pdf · MOD_VPN–https://www.niap -ccevs.org/Profile/Info.cfm?PPID=449 ആർക്കൈവ് ചെയ്ത പ്രൊട്ടക്ഷൻ പ്രോfileഎന്ന വിലാസത്തിൽ രേഖകൾ ലഭ്യമാണ് https://www.niap-ccevs.org/Profile/PP.cfm? ആർക്കൈവ് ചെയ്തത്=1.
ശ്രദ്ധിക്കുക: Junos OS റിലീസ് 240R480 ഉള്ള MX960, MX22.2, MX1 ഉപകരണങ്ങൾ ഉപകരണങ്ങളിൽ FIPS മോഡ് പ്രവർത്തനക്ഷമമാക്കിയിട്ടുള്ള പൊതു മാനദണ്ഡങ്ങൾക്കായി സാക്ഷ്യപ്പെടുത്തിയിരിക്കുന്നു.
പൊതു മാനദണ്ഡം കഴിഞ്ഞുview
പൊതു മാനദണ്ഡങ്ങൾക്കനുസൃതമായി സുരക്ഷാ ഉൽപ്പന്നങ്ങളുടെ മൂല്യനിർണ്ണയം അനുവദിക്കുന്ന നിരവധി രാജ്യങ്ങൾ ഒപ്പുവച്ച അന്താരാഷ്ട്ര കരാറാണ് വിവരസാങ്കേതികവിദ്യയുടെ പൊതു മാനദണ്ഡം. കോമൺ ക്രൈറ്റീരിയ റെക്കഗ്നിഷൻ അറേഞ്ച്മെൻ്റിൽ (CCRA) https://www.commoncriteriaportal.org/ccra/, മറ്റ് രാജ്യങ്ങളിൽ നടത്തുന്ന ഉൽപ്പന്നങ്ങളുടെ വിലയിരുത്തലുകൾ പരസ്പരം തിരിച്ചറിയാൻ പങ്കാളികൾ സമ്മതിക്കുന്നു. വിവര സാങ്കേതിക സുരക്ഷാ മൂല്യനിർണ്ണയത്തിനുള്ള ഒരു പൊതു രീതി ഉപയോഗിച്ചാണ് എല്ലാ മൂല്യനിർണ്ണയങ്ങളും നടത്തുന്നത്. പൊതു മാനദണ്ഡത്തെക്കുറിച്ചുള്ള കൂടുതൽ വിവരങ്ങൾക്ക്, https://www.commoncriteriaportal.org/ കാണുക.

3
പിന്തുണയ്ക്കുന്ന പ്ലാറ്റ്ഫോമുകൾ
ഈ ഡോക്യുമെൻ്റിൽ വിവരിച്ചിരിക്കുന്ന സവിശേഷതകൾക്കായി, ഇനിപ്പറയുന്ന പ്ലാറ്റ്‌ഫോമുകൾ MX-SPC3 സേവന കാർഡ് ഉപയോഗിച്ച് പിന്തുണയ്ക്കുന്നു. NDcPPv2.2e, MOD_VPN എന്നിവ ഇതിന് ബാധകമാണ്: · MX240 (https://www.juniper.net/us/en/products/routers/mx-series/mx240-universal-routing-
platform.html) · MX480 (https://www.juniper.net/us/en/products/routers/mx-series/mx480-universal-routing-
platform.html) · MX960 (https://www.juniper.net/us/en/products/routers/mx-series/mx960-universal-routing-
platform.html)
ബന്ധപ്പെട്ട ഡോക്യുമെൻ്റേഷൻ സുരക്ഷിത ഉൽപ്പന്ന ഡെലിവറി തിരിച്ചറിയുക | 8
FIPS ഓപ്പറേഷൻ മോഡിൽ ജൂനോസ് ഒഎസ്view
ഈ വിഭാഗത്തിൽ നിങ്ങളുടെ ഉപകരണത്തിലെ ക്രിപ്‌റ്റോഗ്രാഫിക് അതിർത്തിയെക്കുറിച്ച് | 4 FIPS പ്രവർത്തന രീതി FIPS അല്ലാത്ത പ്രവർത്തനത്തിൽ നിന്ന് എങ്ങനെ വ്യത്യാസപ്പെട്ടിരിക്കുന്നു | 4 FIPS പ്രവർത്തനരീതിയിൽ Junos OS-ൻ്റെ സാധുതയുള്ള പതിപ്പ് | 5
ഫെഡറൽ ഇൻഫർമേഷൻ പ്രോസസ്സിംഗ് സ്റ്റാൻഡേർഡ്സ് (FIPS) 140-3, ക്രിപ്റ്റോഗ്രാഫിക് പ്രവർത്തനങ്ങൾ നിർവഹിക്കുന്ന ഹാർഡ്‌വെയറിനും സോഫ്റ്റ്‌വെയറിനുമുള്ള സുരക്ഷാ നിലകൾ നിർവ്വചിക്കുന്നു. ഫെഡറൽ ഇൻഫർമേഷൻ പ്രോസസ്സിംഗ് സ്റ്റാൻഡേർഡ് (FIPS) 140-3 അനുസരിക്കുന്ന ജൂനോസ് ഓപ്പറേറ്റിംഗ് സിസ്റ്റത്തിൻ്റെ (Junos OS) ഒരു പതിപ്പാണ് Junos-FIPS. ഒരു FIPS 140-3 ലെവൽ 2 പരിതസ്ഥിതിയിൽ നിങ്ങളുടെ സുരക്ഷാ ഉപകരണങ്ങൾ പ്രവർത്തിപ്പിക്കുന്നതിന്, Junos OS കമാൻഡ്-ലൈൻ ഇൻ്റർഫേസിൽ (CLI) നിന്ന് ഉപകരണത്തിൽ FIPS പ്രവർത്തന രീതി പ്രവർത്തനക്ഷമമാക്കുകയും കോൺഫിഗർ ചെയ്യുകയും ചെയ്യേണ്ടതുണ്ട്.

4
സെക്യൂരിറ്റി അഡ്‌മിനിസ്‌ട്രേറ്റർ Junos OS Release 22.2R1-ൽ FIPS പ്രവർത്തന രീതി പ്രവർത്തനക്ഷമമാക്കുകയും സിസ്റ്റത്തിനും മറ്റ് FIPS ഉപയോക്താക്കൾക്കും വേണ്ടി കീകളും പാസ്‌വേഡുകളും സജ്ജമാക്കുകയും ചെയ്യുന്നു. view കോൺഫിഗറേഷൻ. വ്യക്തിഗത ഉപയോക്തൃ കോൺഫിഗറേഷൻ അനുവദിക്കുന്നതുപോലെ, രണ്ട് ഉപയോക്തൃ തരങ്ങൾക്കും ഉപകരണത്തിൽ സാധാരണ കോൺഫിഗറേഷൻ ജോലികൾ ചെയ്യാൻ കഴിയും (ഇൻ്റർഫേസ് തരങ്ങൾ പരിഷ്ക്കരിക്കുന്നത് പോലെ).
മികച്ച പ്രാക്ടീസ്: നിങ്ങളുടെ ഉപകരണത്തിൻ്റെ സുരക്ഷിത ഡെലിവറി പരിശോധിച്ചുറപ്പിച്ച് ടി പ്രയോഗിക്കുകampഅതിൻ്റെ ദുർബലമായ തുറമുഖങ്ങളിലേക്ക് വ്യക്തമായ മുദ്രകൾ.
നിങ്ങളുടെ ഉപകരണത്തിലെ ക്രിപ്‌റ്റോഗ്രാഫിക് അതിർത്തിയെക്കുറിച്ച്
FIPS 140-3 പാലിക്കുന്നതിന് ഒരു ഉപകരണത്തിലെ ഓരോ ക്രിപ്‌റ്റോഗ്രാഫിക് മൊഡ്യൂളിനും ചുറ്റും ഒരു നിർവ്വചിച്ച ക്രിപ്‌റ്റോഗ്രാഫിക് അതിർത്തി ആവശ്യമാണ്. FIPS-സർട്ടിഫൈഡ് ഡിസ്ട്രിബ്യൂഷൻ്റെ ഭാഗമല്ലാത്ത ഏതെങ്കിലും സോഫ്‌റ്റ്‌വെയർ പ്രവർത്തിപ്പിക്കുന്നതിൽ നിന്ന് ക്രിപ്‌റ്റോഗ്രാഫിക് മൊഡ്യൂളിനെ FIPS പ്രവർത്തനരീതിയിലുള്ള Junos OS തടയുന്നു, കൂടാതെ FIPS-അംഗീകൃത ക്രിപ്‌റ്റോഗ്രാഫിക് അൽഗോരിതങ്ങൾ മാത്രം ഉപയോഗിക്കാൻ അനുവദിക്കുന്നു. പാസ്‌വേഡുകളും കീകളും പോലുള്ള നിർണായക സുരക്ഷാ പാരാമീറ്ററുകൾക്കൊന്നും (CSP-കൾ) മൊഡ്യൂളിൻ്റെ ക്രിപ്‌റ്റോഗ്രാഫിക് അതിർത്തി കടക്കാൻ കഴിയില്ല, ഉദാഹരണത്തിന്ample, ഒരു കൺസോളിൽ പ്രദർശിപ്പിക്കുന്നു അല്ലെങ്കിൽ ഒരു ബാഹ്യ ലോഗിൽ എഴുതുന്നു file.
ശ്രദ്ധിക്കുക: FIPS പ്രവർത്തനരീതിയിൽ വെർച്വൽ ചേസിസ് സവിശേഷതകൾ പിന്തുണയ്ക്കുന്നില്ല. FIPS പ്രവർത്തനരീതിയിൽ ഒരു വെർച്വൽ ചേസിസ് കോൺഫിഗർ ചെയ്യരുത്.
ക്രിപ്‌റ്റോഗ്രാഫിക് മൊഡ്യൂൾ ഭൗതികമായി സുരക്ഷിതമാക്കാൻ, എല്ലാ ജുനൈപ്പർ നെറ്റ്‌വർക്കുകളുടെയും ഉപകരണങ്ങൾ ഇവിടെ ആവശ്യമാണ്ampUSB, മിനി-USB പോർട്ടുകളിൽ വ്യക്തമായ മുദ്ര.
FIPS പ്രവർത്തന രീതി FIPS അല്ലാത്ത പ്രവർത്തനത്തിൽ നിന്ന് എങ്ങനെ വ്യത്യാസപ്പെട്ടിരിക്കുന്നു
FIPS അല്ലാത്ത പ്രവർത്തന രീതിയിലുള്ള Junos OS-ൽ നിന്ന് വ്യത്യസ്തമായി, FIPS പ്രവർത്തന രീതിയിലുള്ള Junos OS ഒരു മാറ്റാനാകാത്ത പ്രവർത്തന അന്തരീക്ഷമാണ്. കൂടാതെ, FIPS പ്രവർത്തന രീതിയിലുള്ള Junos OS, FIPS ഇതര പ്രവർത്തന രീതിയിലുള്ള Junos OS-ൽ നിന്ന് ഇനിപ്പറയുന്ന രീതികളിൽ വ്യത്യാസപ്പെട്ടിരിക്കുന്നു: · എല്ലാ ക്രിപ്റ്റോഗ്രാഫിക് അൽഗോരിതങ്ങളുടെയും സ്വയം പരിശോധനകൾ സ്റ്റാർട്ടപ്പിൽ നടത്തുന്നു. · റാൻഡം നമ്പർ, കീ ജനറേഷൻ എന്നിവയുടെ സ്വയം പരിശോധനകൾ തുടർച്ചയായി നടത്തുന്നു. · ഡാറ്റ എൻക്രിപ്ഷൻ സ്റ്റാൻഡേർഡ് (DES), MD5 എന്നിവ പോലുള്ള ദുർബലമായ ക്രിപ്റ്റോഗ്രാഫിക് അൽഗോരിതങ്ങൾ പ്രവർത്തനരഹിതമാക്കിയിരിക്കുന്നു. · ദുർബലമായ, റിമോട്ട് അല്ലെങ്കിൽ എൻക്രിപ്റ്റ് ചെയ്യാത്ത മാനേജ്മെൻ്റ് കണക്ഷനുകൾ കോൺഫിഗർ ചെയ്യാൻ പാടില്ല. എന്നിരുന്നാലും, TOE
എല്ലാ പ്രവർത്തന രീതികളിലും ലോക്കൽ, എൻക്രിപ്റ്റ് ചെയ്യാത്ത കൺസോൾ ആക്സസ് അനുവദിക്കുന്നു.

5
· പാസ്‌വേഡുകൾ ഡീക്രിപ്ഷൻ അനുവദിക്കാത്ത ശക്തമായ വൺ-വേ അൽഗോരിതങ്ങൾ ഉപയോഗിച്ച് എൻക്രിപ്റ്റ് ചെയ്തിരിക്കണം. · Junos-FIPS അഡ്‌മിനിസ്‌ട്രേറ്റർ പാസ്‌വേഡുകൾക്ക് കുറഞ്ഞത് 10 പ്രതീകങ്ങൾ ഉണ്ടായിരിക്കണം. · ക്രിപ്റ്റോഗ്രാഫിക് കീകൾ പ്രക്ഷേപണം ചെയ്യുന്നതിനു മുമ്പ് എൻക്രിപ്റ്റ് ചെയ്തിരിക്കണം. FIPS 140-3 നിലവാരം നാഷണൽ ഇൻസ്റ്റിറ്റ്യൂട്ട് ഓഫ് സ്റ്റാൻഡേർഡ്സ് ആൻഡ് ടെക്നോളജിയിൽ (NIST) നിന്ന് ഡൗൺലോഡ് ചെയ്യാൻ http://csrc.nist.gov/publications/fips/fips140-3/fips1402.pdf-ൽ ലഭ്യമാണ്.
FIPS പ്രവർത്തനരീതിയിൽ Junos OS-ൻ്റെ സാധുതയുള്ള പതിപ്പ്
ഒരു Junos OS റിലീസ് NIST-സാധുതയുള്ളതാണോ എന്ന് നിർണ്ണയിക്കാൻ, ജുനൈപ്പർ നെറ്റ്‌വർക്കുകളിലെ കംപ്ലയിൻസ് പേജ് കാണുക Web സൈറ്റ് (https://apps.juniper.net/compliance).
ബന്ധപ്പെട്ട ഡോക്യുമെൻ്റേഷൻ സുരക്ഷിത ഉൽപ്പന്ന ഡെലിവറി തിരിച്ചറിയുക | 8
കഴിഞ്ഞുview FIPS ടെർമിനോളജിയും പിന്തുണയ്ക്കുന്ന ക്രിപ്റ്റോഗ്രാഫിക് അൽഗോരിതങ്ങളും
ഈ വിഭാഗത്തിൽ FIPS ടെർമിനോളജി | 6 പിന്തുണയ്ക്കുന്ന ക്രിപ്റ്റോഗ്രാഫിക് അൽഗോരിതങ്ങൾ | 7
FIPS മോഡിൽ Junos OS മനസ്സിലാക്കാൻ നിങ്ങളെ സഹായിക്കുന്നതിന് FIPS നിബന്ധനകളുടെ നിർവചനങ്ങളും പിന്തുണയ്ക്കുന്ന അൽഗോരിതങ്ങളും ഉപയോഗിക്കുക.

FIPS ടെർമിനോളജി

ഗുരുതരമായ സുരക്ഷാ പാരാമീറ്റർ (CSP)

സുരക്ഷയുമായി ബന്ധപ്പെട്ട വിവരങ്ങൾ-ഉദാample, രഹസ്യവും സ്വകാര്യവുമായ ക്രിപ്‌റ്റോഗ്രാഫിക് കീകളും പാസ്‌വേഡുകളും വ്യക്തിഗത ഐഡൻ്റിഫിക്കേഷൻ നമ്പറുകളും (PIN-കൾ) പോലെയുള്ള പ്രാമാണീകരണ ഡാറ്റയും- ഒരു ക്രിപ്‌റ്റോഗ്രാഫിക് മൊഡ്യൂളിൻ്റെ അല്ലെങ്കിൽ അത് പരിരക്ഷിക്കുന്ന വിവരങ്ങളുടെ വെളിപ്പെടുത്തലോ പരിഷ്‌ക്കരണമോ അപകടത്തിലാക്കാം.

ക്രിപ്റ്റോഗ്രാഫിക് മൊഡ്യൂൾ

അംഗീകൃത സുരക്ഷാ ഫംഗ്‌ഷനുകൾ (ക്രിപ്‌റ്റോഗ്രാഫിക് അൽഗോരിതങ്ങളും കീ ജനറേഷനും ഉൾപ്പെടെ) നടപ്പിലാക്കുന്ന ഹാർഡ്‌വെയർ, സോഫ്‌റ്റ്‌വെയർ, ഫേംവെയർ എന്നിവയുടെ സെറ്റ് ക്രിപ്‌റ്റോഗ്രാഫിക് അതിർത്തിക്കുള്ളിൽ അടങ്ങിയിരിക്കുന്നു.

സുരക്ഷാ അഡ്മിനിസ്ട്രേറ്റർ

ഒരു ഉപകരണത്തിൽ FIPS പ്രവർത്തനരീതിയിൽ Junos OS സുരക്ഷിതമായി പ്രവർത്തനക്ഷമമാക്കുന്നതിനും കോൺഫിഗർ ചെയ്യുന്നതിനും നിരീക്ഷിക്കുന്നതിനും പരിപാലിക്കുന്നതിനും ഉത്തരവാദിത്തമുള്ള ഉചിതമായ അനുമതികളുള്ള വ്യക്തി. വിശദാംശങ്ങൾക്ക്, FIPS ഓപ്പറേഷൻ മോഡിലെ ജൂനോസ് OS കാണുകview3-ാം പേജിൽ.

ഇ.എസ്.പി

എൻകാപ്സുലേറ്റിംഗ് സെക്യൂരിറ്റി പേലോഡ് (ESP) പ്രോട്ടോക്കോൾ. IPsec പ്രോട്ടോക്കോളിൻ്റെ ഭാഗം

എൻക്രിപ്ഷൻ വഴി പാക്കറ്റുകളുടെ രഹസ്യസ്വഭാവം ഉറപ്പുനൽകുന്നു. പ്രോട്ടോക്കോൾ ഉറപ്പാക്കുന്നു

ഒരു ESP പാക്കറ്റ് വിജയകരമായി ഡീക്രിപ്റ്റ് ചെയ്താൽ, മറ്റൊരു കക്ഷിക്കും അതിൻ്റെ രഹസ്യം അറിയില്ല

സമപ്രായക്കാർ പങ്കുവെക്കുന്ന പ്രധാന കാര്യം, ട്രാൻസിറ്റിൽ പാക്കറ്റ് വയർടാപ്പ് ചെയ്തിട്ടില്ല.

FIPS

ഫെഡറൽ ഇൻഫർമേഷൻ പ്രോസസ്സിംഗ് സ്റ്റാൻഡേർഡുകൾ. FIPS 140-3 ആവശ്യകതകൾ വ്യക്തമാക്കുന്നു

സുരക്ഷയും ക്രിപ്റ്റോഗ്രാഫിക് മൊഡ്യൂളുകളും. FIPS പ്രവർത്തന രീതിയിലുള്ള Junos OS പാലിക്കുന്നു

FIPS 140-3 ലെവൽ 2 ഉപയോഗിച്ച്.

ഐ.കെ

ഇൻ്റർനെറ്റ് കീ എക്‌സ്‌ചേഞ്ച് (IKE) IPsec-ൻ്റെ ഭാഗമാണ് കൂടാതെ സുരക്ഷിതമായ മാർഗ്ഗങ്ങൾ നൽകുന്നു

ആധികാരികത തലക്കെട്ടും (AH) ESP ഉം പങ്കിട്ട സ്വകാര്യ കീകൾ ചർച്ച ചെയ്യുക

IPsec-ൻ്റെ ഭാഗങ്ങൾ ശരിയായി പ്രവർത്തിക്കേണ്ടതുണ്ട്. IKE ഡിഫി-ഹെൽമാൻ കീ ഉപയോഗിക്കുന്നു-

എക്സ്ചേഞ്ച് രീതികൾ IPsec-ൽ ഓപ്ഷണൽ ആണ്. (പങ്കിട്ട കീകൾ സ്വമേധയാ നൽകാം

അവസാന പോയിൻ്റുകളിൽ.)

IPsec

IP സെക്യൂരിറ്റി (IPsec) പ്രോട്ടോക്കോൾ. ഇൻ്റർനെറ്റ് കമ്മ്യൂണിക്കേഷനുകളിൽ സുരക്ഷ ചേർക്കുന്നതിനുള്ള ഒരു സാധാരണ മാർഗം. ഒരു IPsec സെക്യൂരിറ്റി അസോസിയേഷൻ (SA) പരസ്പര പ്രാമാണീകരണവും എൻക്രിപ്ഷനും വഴി മറ്റൊരു FIPS ക്രിപ്റ്റോഗ്രാഫിക് മൊഡ്യൂളുമായി സുരക്ഷിത ആശയവിനിമയം സ്ഥാപിക്കുന്നു.

KAT-കൾ

അറിയപ്പെടുന്ന ഉത്തര പരീക്ഷകൾ. FIPS-നായി അംഗീകരിച്ച ക്രിപ്‌റ്റോഗ്രാഫിക് അൽഗോരിതങ്ങളുടെ ഔട്ട്‌പുട്ട് സാധൂകരിക്കുന്നതും ചില Junos OS മൊഡ്യൂളുകളുടെ സമഗ്രത പരിശോധിക്കുന്നതുമായ സിസ്റ്റം സെൽഫ് ടെസ്റ്റുകൾ. വിശദാംശങ്ങൾക്ക്, "FIPS സ്വയം-പരിശോധന കഴിഞ്ഞുview122-ാം പേജിൽ.

സെക്യൂരിറ്റി അസോസിയേഷൻ (എസ്എ). അവരെ അനുവദിക്കുന്ന ഹോസ്റ്റുകൾ തമ്മിലുള്ള ഒരു കണക്ഷൻ

നിർവചിച്ചുകൊണ്ട് സുരക്ഷിതമായി ആശയവിനിമയം നടത്തുക, ഉദാഹരണത്തിന്ample, അവർ എങ്ങനെയാണ് സ്വകാര്യ കീകൾ കൈമാറുന്നത്. പോലെ

സെക്യൂരിറ്റി അഡ്‌മിനിസ്‌ട്രേറ്റർ, നിങ്ങൾ ഉപകരണങ്ങളിൽ ഒരു ഇൻ്റേണൽ SA സ്വമേധയാ കോൺഫിഗർ ചെയ്യണം

എസ്പിഐ എസ്എസ്എച്ച് സീറോയൈസേഷൻ

FIPS പ്രവർത്തനരീതിയിൽ Junos OS പ്രവർത്തിക്കുന്നു. കീകൾ ഉൾപ്പെടെ എല്ലാ മൂല്യങ്ങളും കോൺഫിഗറേഷനിൽ സ്ഥിരമായി വ്യക്തമാക്കിയിരിക്കണം.
സുരക്ഷാ പാരാമീറ്റർ സൂചിക (SPI). ഒരു SA-യെ തിരിച്ചറിയാൻ IPsec-ലെ ലക്ഷ്യസ്ഥാന വിലാസവും സുരക്ഷാ പ്രോട്ടോക്കോളും ഉപയോഗിച്ച് ഒരു സംഖ്യാ ഐഡൻ്റിഫയർ ഉപയോഗിക്കുന്നു. FIPS ഓപ്പറേഷൻ മോഡിൽ നിങ്ങൾ Junos OS-നായി SA സ്വമേധയാ കോൺഫിഗർ ചെയ്യുന്നതിനാൽ, SPI ക്രമരഹിതമായി ലഭിക്കുന്നതിന് പകരം ഒരു പാരാമീറ്ററായി നൽകണം.
സുരക്ഷിതമല്ലാത്ത നെറ്റ്‌വർക്കിലുടനീളം വിദൂര ആക്‌സസിനായി ശക്തമായ പ്രാമാണീകരണവും എൻക്രിപ്ഷനും ഉപയോഗിക്കുന്ന ഒരു പ്രോട്ടോക്കോൾ. SSH റിമോട്ട് ലോഗിൻ, റിമോട്ട് പ്രോഗ്രാം എക്സിക്യൂഷൻ എന്നിവ നൽകുന്നു, file പകർപ്പ്, മറ്റ് പ്രവർത്തനങ്ങൾ. UNIX പരിതസ്ഥിതിയിൽ rlogin, rsh, rcp എന്നിവയ്‌ക്കുള്ള സുരക്ഷിതമായ പകരക്കാരനായാണ് ഇത് ഉദ്ദേശിക്കുന്നത്. അഡ്മിനിസ്ട്രേറ്റീവ് കണക്ഷനുകളിലൂടെ അയച്ച വിവരങ്ങൾ സുരക്ഷിതമാക്കാൻ, CLI കോൺഫിഗറേഷനായി SSHv2 ഉപയോഗിക്കുക. Junos OS-ൽ, SSHv2 സ്ഥിരസ്ഥിതിയായി പ്രവർത്തനക്ഷമമാക്കിയിരിക്കുന്നു, കൂടാതെ സുരക്ഷിതമായി കണക്കാക്കാത്ത SSHv1 പ്രവർത്തനരഹിതമാക്കിയിരിക്കുന്നു.
ഒരു FIPS ക്രിപ്‌റ്റോഗ്രാഫിക് മൊഡ്യൂളായി പ്രവർത്തിക്കുന്നതിന് മുമ്പ് ഒരു ഉപകരണത്തിലെ എല്ലാ CSP-കളും ഉപയോക്താക്കൾ സൃഷ്‌ടിച്ച മറ്റ് ഡാറ്റയും മായ്‌ക്കുക-അല്ലെങ്കിൽ FIPS പ്രവർത്തനത്തിനായുള്ള ഉപകരണം പുനർനിർമ്മിക്കുന്നതിനുള്ള തയ്യാറെടുപ്പ്. സെക്യൂരിറ്റി അഡ്‌മിനിസ്‌ട്രേറ്റർക്ക് ഒരു CLI പ്രവർത്തന കമാൻഡ് ഉപയോഗിച്ച് സിസ്റ്റം പൂജ്യമാക്കാൻ കഴിയും. വിശദാംശങ്ങൾക്ക്, "ഓവർ" കാണുകview FIPS മോഡിനുള്ള സിസ്റ്റം ഡാറ്റ മായ്‌ക്കാൻ സീറോയ്‌സേഷൻ” പേജ് 23-ൽ.

പിന്തുണയ്‌ക്കുന്ന ക്രിപ്‌റ്റോഗ്രാഫിക് അൽഗോരിതങ്ങൾ
ഒരു അൽഗൊരിതത്തിൻ്റെ ഓരോ നിർവ്വഹണവും അറിയപ്പെടുന്ന ഉത്തര പരീക്ഷകളുടെ (KAT) സ്വയം-ടെസ്റ്റുകൾ വഴി പരിശോധിക്കുന്നു. ഏതെങ്കിലും സ്വയം-പരിശോധന പരാജയം ഒരു FIPS പിശക് അവസ്ഥയിൽ കലാശിക്കുന്നു.

മികച്ച പ്രാക്ടീസ്: FIPS 140-3 പാലിക്കുന്നതിന്, FIPS പ്രവർത്തനരീതിയിൽ Junos OS-ൽ FIPS-അംഗീകൃത ക്രിപ്‌റ്റോഗ്രാഫിക് അൽഗോരിതങ്ങൾ മാത്രം ഉപയോഗിക്കുക.

ഇനിപ്പറയുന്ന ക്രിപ്‌റ്റോഗ്രാഫിക് അൽഗോരിതങ്ങൾ FIPS പ്രവർത്തനരീതിയിൽ പിന്തുണയ്ക്കുന്നു. സിമെട്രിക് രീതികൾ എൻക്രിപ്ഷനും ഡീക്രിപ്ഷനും ഒരേ കീ ഉപയോഗിക്കുന്നു, അതേസമയം അസമമായ രീതികൾ (ഇഷ്ടപ്പെടുന്നത്) എൻക്രിപ്ഷനും ഡീക്രിപ്ഷനും വ്യത്യസ്ത കീകൾ ഉപയോഗിക്കുന്നു.

എഇഎസ്

അഡ്വാൻസ്ഡ് എൻക്രിപ്ഷൻ സ്റ്റാൻഡേർഡ് (AES), FIPS PUB 197-ൽ നിർവചിച്ചിരിക്കുന്നു. AES അൽഗോരിതം ഉപയോഗിക്കുന്നു

128, 192, അല്ലെങ്കിൽ 256 ബിറ്റുകളുടെ കീകൾ 128 ബിറ്റുകളുടെ ബ്ലോക്കുകളിൽ ഡാറ്റ എൻക്രിപ്റ്റ് ചെയ്യാനും ഡീക്രിപ്റ്റ് ചെയ്യാനും.

ഡിഫി ഹെൽമാൻ

സുരക്ഷിതമല്ലാത്ത പരിതസ്ഥിതിയിൽ (ഇൻ്റർനെറ്റ് പോലുള്ളവ) കീ കൈമാറ്റത്തിൻ്റെ ഒരു രീതി. ഡിഫി-ഹെൽമാൻ അൽഗോരിതം ഒരു സെഷൻ കീ നെറ്റ്‌വർക്കിലുടനീളം കീ അയയ്‌ക്കാതെ തന്നെ ഓരോ കക്ഷിയെയും സ്വതന്ത്രമായി ഒരു ഭാഗിക കീ തിരഞ്ഞെടുക്കാനും ആ കീയുടെ ഒരു ഭാഗം അയയ്ക്കാനും അനുവദിക്കുന്നു.

ECDH ECDSA HMAC

മറ്റൊന്നിലേക്ക്. ഓരോ വശവും ഒരു പൊതു കീ മൂല്യം കണക്കാക്കുന്നു. ഇതൊരു സമമിതി രീതിയാണ്, കീകൾ സാധാരണഗതിയിൽ ഒരു ചെറിയ സമയത്തേക്ക് മാത്രമേ ഉപയോഗിക്കുകയുള്ളൂ, ഉപേക്ഷിക്കുകയും പുനരുജ്ജീവിപ്പിക്കുകയും ചെയ്യുന്നു.
എലിപ്റ്റിക് കർവ് ഡിഫി-ഹെൽമാൻ. ഡിഫി-ഹെൽമാൻ കീ എക്‌സ്‌ചേഞ്ച് അൽഗോരിതത്തിൻ്റെ ഒരു വകഭേദം, പരിമിതമായ ഫീൽഡുകൾക്ക് മുകളിലുള്ള ദീർഘവൃത്താകൃതിയിലുള്ള വളവുകളുടെ ബീജഗണിത ഘടനയെ അടിസ്ഥാനമാക്കിയുള്ള ക്രിപ്‌റ്റോഗ്രഫി ഉപയോഗിക്കുന്നു. ECDH രണ്ട് കക്ഷികളെ അനുവദിക്കുന്നു, ഓരോന്നിനും ദീർഘവൃത്താകൃതിയിലുള്ള വക്രതയുള്ള പൊതു-സ്വകാര്യ കീ ജോഡി, ഒരു സുരക്ഷിതമല്ലാത്ത ചാനലിൽ പങ്കിട്ട രഹസ്യം സ്ഥാപിക്കാൻ. പങ്കിട്ട രഹസ്യം ഒരു കീ ആയി ഉപയോഗിക്കാം അല്ലെങ്കിൽ ഒരു സമമിതി കീ സൈഫർ ഉപയോഗിച്ച് തുടർന്നുള്ള ആശയവിനിമയങ്ങൾ എൻക്രിപ്റ്റ് ചെയ്യുന്നതിന് മറ്റൊരു കീ ഉണ്ടാക്കാം.
എലിപ്റ്റിക് കർവ് ഡിജിറ്റൽ സിഗ്നേച്ചർ അൽഗോരിതം. ഡിജിറ്റൽ സിഗ്നേച്ചർ അൽഗോരിതത്തിൻ്റെ (ഡിഎസ്എ) ഒരു വകഭേദം, പരിമിതമായ ഫീൽഡുകൾക്ക് മുകളിലുള്ള ദീർഘവൃത്താകൃതിയിലുള്ള കർവുകളുടെ ബീജഗണിത ഘടനയെ അടിസ്ഥാനമാക്കിയുള്ള ക്രിപ്റ്റോഗ്രഫി ഉപയോഗിക്കുന്നു. എലിപ്റ്റിക് കർവിൻ്റെ ബിറ്റ് വലുപ്പം കീ ഡീക്രിപ്റ്റ് ചെയ്യുന്നതിനുള്ള ബുദ്ധിമുട്ട് നിർണ്ണയിക്കുന്നു. ECDSA-യ്‌ക്ക് ആവശ്യമെന്ന് വിശ്വസിക്കപ്പെടുന്ന പബ്ലിക് കീ, ബിറ്റുകളിൽ സെക്യൂരിറ്റി ലെവലിൻ്റെ ഇരട്ടി വലുപ്പമുള്ളതാണ്. ECDSA P-256, P-384 അല്ലെങ്കിൽ P-521 കർവ് ഉപയോഗിച്ച് OpenSSH-ന് കീഴിൽ ക്രമീകരിക്കാവുന്നതാണ്.
RFC 2104-ൽ "കീഡ്-ഹാഷിംഗ് ഫോർ മെസേജ് ഓതൻ്റിക്കേഷൻ" എന്ന് നിർവചിച്ചിരിക്കുന്നത്, സന്ദേശ പ്രാമാണീകരണത്തിനായുള്ള ക്രിപ്‌റ്റോഗ്രാഫിക് കീകളുമായി HMAC ഹാഷിംഗ് അൽഗോരിതം സംയോജിപ്പിക്കുന്നു. FIPS പ്രവർത്തന രീതിയിലുള്ള Junos OS-ന്, HMAC ഒരു രഹസ്യ കീ സഹിതം ആവർത്തിച്ചുള്ള ക്രിപ്‌റ്റോഗ്രാഫിക് ഹാഷ് ഫംഗ്‌ഷൻ SHA-1 (HMAC-SHA1 എന്ന് നിയുക്തമാക്കിയിരിക്കുന്നു) ഉപയോഗിക്കുന്നു.

ബന്ധപ്പെട്ട ഡോക്യുമെൻ്റേഷൻ FIPS സ്വയം പരിശോധന കഴിഞ്ഞുview | 122 ഓവർview FIPS മോഡിനായി സിസ്റ്റം ഡാറ്റ മായ്‌ക്കാൻ സീറോയ്‌സേഷൻ | 23
സുരക്ഷിതമായ ഉൽപ്പന്ന ഡെലിവറി തിരിച്ചറിയുക
ഒരു ഉപഭോക്താവിന് ടി അല്ലാത്ത ഒരു ഉൽപ്പന്നം ലഭിക്കുന്നുണ്ടെന്ന് ഉറപ്പാക്കാൻ ഡെലിവറി പ്രക്രിയയിൽ നിരവധി സംവിധാനങ്ങൾ നൽകിയിട്ടുണ്ട്ampകൂടെ ered. പ്ലാറ്റ്‌ഫോമിൻ്റെ സമഗ്രത പരിശോധിക്കുന്നതിനായി ഉപഭോക്താവ് ഒരു ഉപകരണം ലഭിക്കുമ്പോൾ ഇനിപ്പറയുന്ന പരിശോധനകൾ നടത്തണം. ഷിപ്പിംഗ് ലേബൽ - ഷിപ്പിംഗ് ലേബൽ ശരിയായ ഉപഭോക്താവിൻ്റെ പേര് കൃത്യമായി തിരിച്ചറിയുന്നുവെന്ന് ഉറപ്പാക്കുക
വിലാസവും ഉപകരണവും. · പുറത്ത് പാക്കേജിംഗ്-പുറത്തെ ഷിപ്പിംഗ് ബോക്സും ടേപ്പും പരിശോധിക്കുക. ഷിപ്പിംഗ് ടേപ്പ് ഇല്ലെന്ന് ഉറപ്പാക്കുക
വെട്ടിമുറിക്കുകയോ അല്ലെങ്കിൽ വിട്ടുവീഴ്ച ചെയ്യുകയോ ചെയ്തു. ഉപകരണത്തിലേക്ക് ആക്‌സസ് അനുവദിക്കുന്നതിന് ബോക്‌സ് മുറിക്കുകയോ കേടുപാടുകൾ സംഭവിക്കുകയോ ചെയ്തിട്ടില്ലെന്ന് ഉറപ്പാക്കുക.

9
· പാക്കേജിംഗിനുള്ളിൽ - പ്ലാസ്റ്റിക് ബാഗ് പരിശോധിച്ച് മുദ്രയിടുക. ബാഗ് മുറിക്കുകയോ നീക്കം ചെയ്യുകയോ ചെയ്തിട്ടില്ലെന്ന് ഉറപ്പാക്കുക. മുദ്ര കേടുകൂടാതെയുണ്ടെന്ന് ഉറപ്പാക്കുക.
പരിശോധനയ്ക്കിടെ ഉപഭോക്താവ് ഒരു പ്രശ്നം തിരിച്ചറിഞ്ഞാൽ, അവൻ അല്ലെങ്കിൽ അവൾ ഉടൻ വിതരണക്കാരനെ ബന്ധപ്പെടണം. ഓർഡർ നമ്പർ, ട്രാക്കിംഗ് നമ്പർ, തിരിച്ചറിഞ്ഞ പ്രശ്നത്തിൻ്റെ വിവരണം എന്നിവ വിതരണക്കാരന് നൽകുക. കൂടാതെ, ജുനൈപ്പർ നെറ്റ്‌വർക്കുകൾ അയച്ച ഒരു ബോക്‌സ് ഉപഭോക്താവിന് ലഭിച്ചിട്ടുണ്ടെന്നും ജുനൈപ്പർ നെറ്റ്‌വർക്കുകളായി വേഷമിടുന്ന മറ്റൊരു കമ്പനിയല്ലെന്നും ഉറപ്പാക്കാൻ നിരവധി പരിശോധനകൾ നടത്താം. ഉപകരണത്തിൻ്റെ ആധികാരികത പരിശോധിക്കുന്നതിനായി ഉപഭോക്താവ് ഒരു ഉപകരണം ലഭിച്ചാൽ ഇനിപ്പറയുന്ന പരിശോധനകൾ നടത്തണം: · ഒരു പർച്ചേസ് ഓർഡർ ഉപയോഗിച്ചാണ് ഉപകരണം ഓർഡർ ചെയ്തതെന്ന് പരിശോധിക്കുക. ജുനൈപ്പർ നെറ്റ്‌വർക്ക് ഉപകരണങ്ങൾ ഒരിക്കലും അല്ല
പർച്ചേസ് ഓർഡർ ഇല്ലാതെ അയച്ചു. · ഒരു ഉപകരണം ഷിപ്പ് ചെയ്യുമ്പോൾ, നൽകിയിരിക്കുന്ന ഇ-മെയിൽ വിലാസത്തിലേക്ക് ഒരു ഷിപ്പ്മെൻ്റ് അറിയിപ്പ് അയയ്ക്കും
ഓർഡർ എടുക്കുമ്പോൾ ഉപഭോക്താവ്. ഈ ഇ-മെയിൽ അറിയിപ്പ് ലഭിച്ചിട്ടുണ്ടോയെന്ന് പരിശോധിക്കുക. ഇമെയിലിൽ ഇനിപ്പറയുന്ന വിവരങ്ങൾ അടങ്ങിയിട്ടുണ്ടെന്ന് ഉറപ്പാക്കുക: · പർച്ചേസ് ഓർഡർ നമ്പർ · ഷിപ്പ്‌മെൻ്റ് ട്രാക്ക് ചെയ്യാൻ ഉപയോഗിക്കുന്ന ജുനൈപ്പർ നെറ്റ്‌വർക്കുകളുടെ ഓർഡർ നമ്പർ ഉപഭോക്താവ് · ഷിപ്പിംഗ് ആരംഭിച്ചത് ജുനൈപ്പർ നെറ്റ്‌വർക്കുകൾ ആണെന്ന് പരിശോധിക്കുക. ജുനൈപ്പർ നെറ്റ്‌വർക്കുകൾ വഴിയാണ് ഷിപ്പ്‌മെൻ്റ് ആരംഭിച്ചതെന്ന് പരിശോധിക്കാൻ, നിങ്ങൾ ഇനിപ്പറയുന്ന ജോലികൾ ചെയ്യണം:
ലഭിച്ച പാക്കേജിലെ ട്രാക്കിംഗ് നമ്പറുള്ള നെറ്റ്‌വർക്കുകളുടെ ഷിപ്പിംഗ് അറിയിപ്പ്. · https://support.juniper.net/ എന്നതിൽ ജൂനിപ്പർ നെറ്റ്‌വർക്കുകളുടെ ഓൺലൈൻ ഉപഭോക്തൃ പിന്തുണ പോർട്ടലിലേക്ക് ലോഗിൻ ചെയ്യുക
പിന്തുണ / വരെ view ഓർഡർ നില. കാരിയർ ട്രാക്കിംഗ് നമ്പറോ ജൂണിപ്പർ നെറ്റ്‌വർക്കുകളുടെ ഷിപ്പ്‌മെൻ്റ് അറിയിപ്പിൽ ലിസ്റ്റ് ചെയ്‌തിരിക്കുന്ന ജുനൈപ്പർ നെറ്റ്‌വർക്കുകളുടെ ഓർഡർ നമ്പറോ ലഭിച്ച പാക്കേജിലെ ട്രാക്കിംഗ് നമ്പറുമായി താരതമ്യം ചെയ്യുക.
മാനേജ്മെൻ്റ് ഇൻ്റർഫേസുകൾ കഴിഞ്ഞുview
മൂല്യനിർണ്ണയ കോൺഫിഗറേഷനിൽ ഇനിപ്പറയുന്ന മാനേജ്മെൻ്റ് ഇൻ്റർഫേസുകൾ ഉപയോഗിക്കാം:

10
· ലോക്കൽ മാനേജ്മെൻ്റ് ഇൻ്റർഫേസുകൾ - ഉപകരണത്തിലെ RJ-45 കൺസോൾ പോർട്ട് RS-232 ഡാറ്റ ടെർമിനൽ ഉപകരണമായി (DTE) ക്രമീകരിച്ചിരിക്കുന്നു. ഒരു ടെർമിനലിൽ നിന്ന് ഉപകരണം കോൺഫിഗർ ചെയ്യുന്നതിന് ഈ പോർട്ടിലൂടെ നിങ്ങൾക്ക് കമാൻഡ്-ലൈൻ ഇൻ്റർഫേസ് (CLI) ഉപയോഗിക്കാം.
· റിമോട്ട് മാനേജ്മെൻ്റ് പ്രോട്ടോക്കോളുകൾ - ഏത് ഇഥർനെറ്റ് ഇൻ്റർഫേസിലൂടെയും ഉപകരണം വിദൂരമായി കൈകാര്യം ചെയ്യാൻ കഴിയും. മൂല്യനിർണ്ണയ കോൺഫിഗറേഷനിൽ ഉപയോഗിക്കാനാകുന്ന ഏക അനുവദനീയമായ റിമോട്ട് മാനേജ്മെൻ്റ് പ്രോട്ടോക്കോൾ SSHv2 ആണ്. റിമോട്ട് മാനേജ്മെൻ്റ് പ്രോട്ടോക്കോളുകൾ ജെ-Web ഉപകരണത്തിൽ ഉപയോഗിക്കുന്നതിന് ടെൽനെറ്റും ലഭ്യമല്ല.

2 അധ്യായം
റോളുകളും പ്രാമാണീകരണ രീതികളും കോൺഫിഗർ ചെയ്യുക
കഴിഞ്ഞുview Junos OS-നുള്ള റോളുകളുടെയും സേവനങ്ങളുടെയും | 12 ഓവർview FIPS മോഡിൽ Junos OS-നുള്ള പ്രവർത്തന പരിസ്ഥിതി | 14 കഴിഞ്ഞുview FIPS മോഡിൽ Junos OS-നുള്ള പാസ്‌വേഡ് സ്പെസിഫിക്കേഷനുകളും മാർഗ്ഗനിർദ്ദേശങ്ങളും |
18 ജുനൈപ്പർ നെറ്റ്‌വർക്കുകളിൽ നിന്ന് സോഫ്റ്റ്‌വെയർ പാക്കേജുകൾ ഡൗൺലോഡ് ചെയ്യുക | 19 Junos സോഫ്റ്റ്‌വെയർ പാക്കേജുകൾ ഇൻസ്റ്റാൾ ചെയ്യുക | 20 ഓവർview FIPS മോഡിനായി സിസ്റ്റം ഡാറ്റ മായ്‌ക്കാൻ സീറോയ്‌സേഷൻ | 23 സിസ്റ്റം പൂജ്യമാക്കുക | 24 FIPS മോഡ് പ്രവർത്തനക്ഷമമാക്കുക | 26 സെക്യൂരിറ്റി അഡ്മിനിസ്ട്രേറ്ററും FIPS ഉപയോക്തൃ ഐഡൻ്റിഫിക്കേഷനും ആക്സസും കോൺഫിഗർ ചെയ്യുക | 28

12
കഴിഞ്ഞുview Junos OS-നുള്ള റോളുകളും സേവനങ്ങളും
ഈ വിഭാഗത്തിൽ സുരക്ഷാ അഡ്മിനിസ്ട്രേറ്ററുടെ റോളും ഉത്തരവാദിത്തങ്ങളും | 12 FIPS ഉപയോക്തൃ റോളും ഉത്തരവാദിത്തങ്ങളും | 13 എല്ലാ FIPS ഉപയോക്താക്കളിൽ നിന്നും എന്താണ് പ്രതീക്ഷിക്കുന്നത് | 13
സെക്യൂരിറ്റി അഡ്മിനിസ്‌ട്രേറ്റർ, നിർവചിക്കപ്പെട്ട ലോഗിൻ ക്ലാസ് സെക്യൂരിറ്റി-അഡ്‌മിനുമായി ബന്ധപ്പെട്ടിരിക്കുന്നു, ജുനോസ് ഒഎസ് മാനേജുചെയ്യുന്നതിന് ആവശ്യമായ എല്ലാ ജോലികളും ചെയ്യാൻ അഡ്മിനിസ്ട്രേറ്ററെ അനുവദിക്കുന്നതിന് ആവശ്യമായ അനുമതി സജ്ജീകരിച്ചിരിക്കുന്നു. അഡ്‌മിനിസ്‌ട്രേറ്റീവ് ഉപയോക്താക്കൾ (സെക്യൂരിറ്റി അഡ്‌മിനിസ്‌ട്രേറ്റർ) സിസ്റ്റത്തിലേക്ക് ഏതെങ്കിലും അഡ്മിനിസ്‌ട്രേറ്റീവ് ആക്‌സസ് അനുവദിക്കുന്നതിന് മുമ്പ് തനതായ ഐഡൻ്റിഫിക്കേഷനും പ്രാമാണീകരണ ഡാറ്റയും നൽകണം. സെക്യൂരിറ്റി അഡ്മിനിസ്ട്രേറ്ററുടെ റോളുകളും ഉത്തരവാദിത്തങ്ങളും ഇനിപ്പറയുന്നവയാണ്: 1. സെക്യൂരിറ്റി അഡ്മിനിസ്ട്രേറ്റർക്ക് പ്രാദേശികമായും വിദൂരമായും നിയന്ത്രിക്കാനാകും. 2. പ്രാമാണീകരണ പരാജയത്തിൻ്റെ കോൺഫിഗറേഷൻ ഉൾപ്പെടെ, അഡ്മിനിസ്ട്രേറ്റർ അക്കൗണ്ടുകൾ സൃഷ്ടിക്കുക, പരിഷ്ക്കരിക്കുക, ഇല്ലാതാക്കുക
പരാമീറ്ററുകൾ. 3. ഒരു അഡ്മിനിസ്ട്രേറ്റർ അക്കൗണ്ട് വീണ്ടും പ്രവർത്തനക്ഷമമാക്കുക. 4. ഇതുമായി ബന്ധപ്പെട്ട ക്രിപ്‌റ്റോഗ്രാഫിക് ഘടകങ്ങളുടെ കോൺഫിഗറേഷനും പരിപാലനത്തിനും ഉത്തരവാദിത്തമുണ്ട്
മൂല്യനിർണ്ണയ ഉൽപ്പന്നത്തിലേക്കും പുറത്തേക്കും സുരക്ഷിതമായ കണക്ഷനുകളുടെ സ്ഥാപനം. FIPS ഇതര മോഡിൽ പ്രവർത്തിക്കുന്ന ജൂനിപ്പർ നെറ്റ്‌വർക്കുകൾ ജുനോസ് ഓപ്പറേറ്റിംഗ് സിസ്റ്റം (Junos OS) ഉപയോക്താക്കൾക്ക് വിപുലമായ കഴിവുകൾ അനുവദിക്കുന്നു, കൂടാതെ ആധികാരികത ഐഡൻ്റിറ്റി അടിസ്ഥാനമാക്കിയുള്ളതാണ്. സെക്യൂരിറ്റി അഡ്‌മിനിസ്‌ട്രേറ്റർ FIPS-മോഡുമായി ബന്ധപ്പെട്ട എല്ലാ കോൺഫിഗറേഷൻ ടാസ്‌ക്കുകളും നിർവഹിക്കുകയും FIPS മോഡിൽ Junos OS-നുള്ള എല്ലാ പ്രസ്താവനകളും കമാൻഡുകളും നൽകുകയും ചെയ്യുന്നു.
സുരക്ഷാ അഡ്മിനിസ്ട്രേറ്ററുടെ റോളും ഉത്തരവാദിത്തങ്ങളും
ഒരു ഉപകരണത്തിൽ FIPS മോഡിൽ Junos OS പ്രവർത്തനക്ഷമമാക്കുന്നതിനും കോൺഫിഗർ ചെയ്യുന്നതിനും നിരീക്ഷിക്കുന്നതിനും പരിപാലിക്കുന്നതിനും ഉത്തരവാദിത്തമുള്ള വ്യക്തിയാണ് സുരക്ഷാ അഡ്മിനിസ്ട്രേറ്റർ. സെക്യൂരിറ്റി അഡ്‌മിനിസ്‌ട്രേറ്റർ സുരക്ഷിതമായി ഉപകരണത്തിൽ Junos OS ഇൻസ്റ്റാൾ ചെയ്യുന്നു, FIPS മോഡ് പ്രവർത്തനക്ഷമമാക്കുന്നു, മറ്റ് ഉപയോക്താക്കൾക്കും സോഫ്റ്റ്‌വെയർ മൊഡ്യൂളുകൾക്കുമായി കീകളും പാസ്‌വേഡുകളും സ്ഥാപിക്കുന്നു, കൂടാതെ നെറ്റ്‌വർക്ക് കണക്ഷന് മുമ്പ് ഉപകരണം ആരംഭിക്കുന്നു.

13
മികച്ച പ്രാക്ടീസ്: പാസ്‌വേഡുകൾ സുരക്ഷിതമാക്കിയും ഓഡിറ്റ് പരിശോധിച്ചും സുരക്ഷാ അഡ്മിനിസ്ട്രേറ്റർ സിസ്റ്റം സുരക്ഷിതമായ രീതിയിൽ നിയന്ത്രിക്കാൻ ഞങ്ങൾ ശുപാർശ ചെയ്യുന്നു files.
മറ്റ് FIPS ഉപയോക്താക്കളിൽ നിന്ന് സെക്യൂരിറ്റി അഡ്മിനിസ്ട്രേറ്ററെ വേർതിരിക്കുന്ന അനുമതികൾ രഹസ്യം, സുരക്ഷ, പരിപാലനം, നിയന്ത്രണം എന്നിവയാണ്. ഈ എല്ലാ അനുമതികളും അടങ്ങുന്ന ഒരു ലോഗിൻ ക്ലാസിലേക്ക് സെക്യൂരിറ്റി അഡ്മിനിസ്ട്രേറ്ററെ നിയോഗിക്കുക. FIPS മോഡിൽ Junos OS-മായി ബന്ധപ്പെട്ട ജോലികളിൽ, സെക്യൂരിറ്റി അഡ്മിനിസ്ട്രേറ്റർ പ്രതീക്ഷിക്കുന്നത്: · പ്രാരംഭ റൂട്ട് പാസ്‌വേഡ് സജ്ജമാക്കുക. പാസ്‌വേഡിൻ്റെ ദൈർഘ്യം കുറഞ്ഞത് 10 പ്രതീകങ്ങൾ ആയിരിക്കണം. · FIPS-അംഗീകൃത അൽഗോരിതങ്ങൾ ഉപയോഗിച്ച് ഉപയോക്തൃ പാസ്‌വേഡുകൾ പുനഃസജ്ജമാക്കുക. · ലോഗും ഓഡിറ്റും പരിശോധിക്കുക fileതാൽപ്പര്യമുള്ള സംഭവങ്ങൾക്ക് എസ്. · ഉപയോക്താവ് സൃഷ്ടിച്ചത് മായ്‌ക്കുക fileഉപകരണം പൂജ്യമാക്കുന്നതിലൂടെ s, കീകൾ, ഡാറ്റ എന്നിവ.
FIPS ഉപയോക്തൃ റോളും ഉത്തരവാദിത്തങ്ങളും
സുരക്ഷാ അഡ്മിനിസ്ട്രേറ്റർ ഉൾപ്പെടെ എല്ലാ FIPS ഉപയോക്താക്കൾക്കും കഴിയും view കോൺഫിഗറേഷൻ. സെക്യൂരിറ്റി അഡ്‌മിനിസ്‌ട്രേറ്ററായി നിയോഗിക്കപ്പെട്ട ഉപയോക്താവിന് മാത്രമേ കോൺഫിഗറേഷൻ പരിഷ്‌ക്കരിക്കാൻ കഴിയൂ. FIPS ഉപയോക്താവിന് കഴിയും view സ്റ്റാറ്റസ് ഔട്ട്പുട്ട്, പക്ഷേ ഉപകരണം റീബൂട്ട് ചെയ്യാനോ പൂജ്യമാക്കാനോ കഴിയില്ല.
എല്ലാ FIPS ഉപയോക്താക്കളിൽ നിന്നും എന്താണ് പ്രതീക്ഷിക്കുന്നത്
സെക്യൂരിറ്റി അഡ്മിനിസ്‌ട്രേറ്റർ ഉൾപ്പെടെ എല്ലാ FIPS ഉപയോക്താക്കളും എല്ലായ്‌പ്പോഴും സുരക്ഷാ മാർഗ്ഗനിർദ്ദേശങ്ങൾ പാലിക്കണം. എല്ലാ FIPS ഉപയോക്താക്കളും നിർബന്ധമായും: · എല്ലാ പാസ്‌വേഡുകളും രഹസ്യമായി സൂക്ഷിക്കുക. · ഉപകരണങ്ങളും ഡോക്യുമെൻ്റേഷനുകളും സുരക്ഷിതമായ സ്ഥലത്ത് സൂക്ഷിക്കുക. · സുരക്ഷിതമായ സ്ഥലങ്ങളിൽ ഉപകരണങ്ങൾ വിന്യസിക്കുക. · ഓഡിറ്റ് പരിശോധിക്കുക fileഇടയ്ക്കിടെ കൾ. മറ്റെല്ലാ FIPS 140-3 സുരക്ഷാ നിയമങ്ങളും പാലിക്കുക. · ഈ മാർഗ്ഗനിർദ്ദേശങ്ങൾ പാലിക്കുക:

14
· ഉപയോക്താക്കൾ വിശ്വസനീയമാണ്. · ഉപയോക്താക്കൾ എല്ലാ സുരക്ഷാ മാർഗ്ഗനിർദ്ദേശങ്ങളും പാലിക്കുന്നു. · ഉപയോക്താക്കൾ ബോധപൂർവം സുരക്ഷയിൽ വിട്ടുവീഴ്ച ചെയ്യരുത്. · ഉപയോക്താക്കൾ എല്ലാ സമയത്തും ഉത്തരവാദിത്തത്തോടെ പെരുമാറുന്നു.
അനുബന്ധ ഡോക്യുമെൻ്റേഷൻ സിസ്റ്റം സീറോയിസ് | 24
കഴിഞ്ഞുview FIPS മോഡിൽ Junos OS-നുള്ള പ്രവർത്തന പരിസ്ഥിതി
ഈ വിഭാഗത്തിൽ FIPS മോഡിൽ Junos OS-നുള്ള ഹാർഡ്‌വെയർ എൻവയോൺമെൻ്റ് | 14 FIPS മോഡിൽ Junos OS-നുള്ള സോഫ്റ്റ്‌വെയർ എൻവയോൺമെൻ്റ് | 15 നിർണായക സുരക്ഷാ പാരാമീറ്ററുകൾ | 16
FIPS മോഡിൽ Juniper Networks Junos ഓപ്പറേറ്റിംഗ് സിസ്റ്റം (Junos OS) പ്രവർത്തിക്കുന്ന ഒരു ജുനൈപ്പർ നെറ്റ്‌വർക്ക് ഉപകരണം, FIPS ഇതര മോഡിലുള്ള ഒരു ഉപകരണത്തിൻ്റെ പരിതസ്ഥിതിയിൽ നിന്ന് വ്യത്യസ്തമായ ഒരു പ്രത്യേക തരം ഹാർഡ്‌വെയറും സോഫ്റ്റ്‌വെയർ പ്രവർത്തന അന്തരീക്ഷവും ഉണ്ടാക്കുന്നു:
FIPS മോഡിൽ Junos OS-നുള്ള ഹാർഡ്‌വെയർ എൻവയോൺമെൻ്റ്
FIPS മോഡിലുള്ള Junos OS ഉപകരണത്തിൽ ഒരു ക്രിപ്‌റ്റോഗ്രാഫിക് അതിർത്തി സ്ഥാപിക്കുന്നു, അത് പ്ലെയിൻ ടെക്‌സ്‌റ്റ് ഉപയോഗിച്ച് ക്രിട്ടിക്കൽ സെക്യൂരിറ്റി പാരാമീറ്ററുകൾ (CSP-കൾ) മറികടക്കാൻ കഴിയില്ല. FIPS 140-3 പാലിക്കുന്നതിന് ക്രിപ്‌റ്റോഗ്രാഫിക് അതിർത്തി ആവശ്യമുള്ള ഉപകരണത്തിൻ്റെ ഓരോ ഹാർഡ്‌വെയർ ഘടകവും ഒരു പ്രത്യേക ക്രിപ്‌റ്റോഗ്രാഫിക് മൊഡ്യൂളാണ്. FIPS മോഡിൽ Junos OS-ൽ ക്രിപ്‌റ്റോഗ്രാഫിക് ബൗണ്ടറികളുള്ള രണ്ട് തരം ഹാർഡ്‌വെയർ ഉണ്ട്: ഓരോ റൂട്ടിംഗ് എഞ്ചിനും ഒന്ന് മുഴുവൻ ഷാസിക്കും.

15
ക്രിപ്‌റ്റോഗ്രാഫിക് രീതികൾ ശാരീരിക സുരക്ഷയ്ക്ക് പകരമല്ല. ഹാർഡ്‌വെയർ സുരക്ഷിതമായ ഭൗതിക പരിതസ്ഥിതിയിലായിരിക്കണം. എല്ലാ തരത്തിലുമുള്ള ഉപയോക്താക്കൾ കീകളോ പാസ്‌വേഡുകളോ വെളിപ്പെടുത്തരുത്, അല്ലെങ്കിൽ രേഖാമൂലമുള്ള രേഖകളോ കുറിപ്പുകളോ അനധികൃത വ്യക്തികൾക്ക് കാണാൻ അനുവദിക്കരുത്.
FIPS മോഡിൽ Junos OS-നുള്ള സോഫ്റ്റ്‌വെയർ എൻവയോൺമെൻ്റ്
FIPS മോഡിൽ Junos OS പ്രവർത്തിക്കുന്ന ഒരു Juniper Networks ഉപകരണം ഒരു പ്രത്യേക തരം മാറ്റാനാകാത്ത പ്രവർത്തന അന്തരീക്ഷം സൃഷ്ടിക്കുന്നു. ഉപകരണത്തിൽ ഈ പരിതസ്ഥിതി കൈവരിക്കുന്നതിന്, സിസ്റ്റം ഏതെങ്കിലും ബൈനറിയുടെ നിർവ്വഹണത്തെ തടയുന്നു file അത് FIPS മോഡ് വിതരണത്തിൽ സാക്ഷ്യപ്പെടുത്തിയ Junos OS-ൻ്റെ ഭാഗമായിരുന്നില്ല. ഒരു ഉപകരണം FIPS മോഡിൽ ആയിരിക്കുമ്പോൾ, അതിന് Junos OS മാത്രമേ പ്രവർത്തിപ്പിക്കാൻ കഴിയൂ. സെക്യൂരിറ്റി അഡ്‌മിനിസ്‌ട്രേറ്റർ ഒരു ഉപകരണത്തിൽ FIPS മോഡ് വിജയകരമായി പ്രവർത്തനക്ഷമമാക്കിയതിന് ശേഷമാണ് FIPS മോഡ് സോഫ്‌റ്റ്‌വെയർ പരിതസ്ഥിതിയിലുള്ള Junos OS സ്ഥാപിക്കുന്നത്. FIPS മോഡ് ഉൾപ്പെടുന്ന Junos OS ചിത്രം ജുനൈപ്പർ നെറ്റ്‌വർക്കുകളിൽ ലഭ്യമാണ് webസൈറ്റ് കൂടാതെ ഒരു പ്രവർത്തിക്കുന്ന ഉപകരണത്തിൽ ഇൻസ്റ്റാൾ ചെയ്യാൻ കഴിയും. FIPS 140-3 പാലിക്കുന്നതിന്, ഉപയോക്താക്കൾ സൃഷ്‌ടിച്ചതെല്ലാം ഇല്ലാതാക്കാൻ ഞങ്ങൾ ശുപാർശ ചെയ്യുന്നു fileFIPS മോഡ് പ്രവർത്തനക്ഷമമാക്കുന്നതിന് മുമ്പ് ഉപകരണം പൂജ്യമാക്കിക്കൊണ്ട് s-ഉം ഡാറ്റയും. FIPS മോഡ് പ്രവർത്തനക്ഷമമാക്കുന്നത് പല സാധാരണ Junos OS പ്രോട്ടോക്കോളുകളും സേവനങ്ങളും പ്രവർത്തനരഹിതമാക്കുന്നു. പ്രത്യേകിച്ചും, നിങ്ങൾക്ക് FIPS മോഡിൽ Junos OS-ൽ ഇനിപ്പറയുന്ന സേവനങ്ങൾ കോൺഫിഗർ ചെയ്യാൻ കഴിയില്ല: · വിരൽ
· ftp
· rlogin
· ടെൽനെറ്റ്
· tftp
xnm-clear-text
ഈ സേവനങ്ങൾ കോൺഫിഗർ ചെയ്യാനുള്ള ശ്രമങ്ങൾ, അല്ലെങ്കിൽ കോൺഫിഗർ ചെയ്‌തിരിക്കുന്ന ഈ സേവനങ്ങൾക്കൊപ്പം കോൺഫിഗറേഷനുകൾ ലോഡ് ചെയ്യുക, ഒരു കോൺഫിഗറേഷൻ വാക്യഘടന പിശകിന് കാരണമാകുന്നു. നിങ്ങൾക്ക് ഒരു വിദൂര ആക്സസ് സേവനമായി SSH മാത്രമേ ഉപയോഗിക്കാൻ കഴിയൂ. FIPS മോഡിൽ Junos OS-ലേക്ക് അപ്‌ഗ്രേഡ് ചെയ്‌ത ശേഷം ഉപയോക്താക്കൾക്കായി സ്ഥാപിതമായ എല്ലാ പാസ്‌വേഡുകളും FIPS മോഡിലെ സ്പെസിഫിക്കേഷനുകളിലെ Junos OS-ന് അനുസൃതമായിരിക്കണം. പാസ്‌വേഡുകൾക്ക് 10-നും 20-നും ഇടയിലുള്ള പ്രതീകങ്ങൾ നീളം ഉണ്ടായിരിക്കണം, കൂടാതെ നിർവചിക്കപ്പെട്ട അഞ്ച് പ്രതീക സെറ്റുകളിൽ കുറഞ്ഞത് മൂന്നെണ്ണമെങ്കിലും ഉപയോഗിക്കേണ്ടതുണ്ട് (വലിയക്ഷരങ്ങളും ചെറിയക്ഷരങ്ങളും, അക്കങ്ങളും, വിരാമചിഹ്നങ്ങളും, കീബോർഡ് പ്രതീകങ്ങളും, അതായത് %, &, മറ്റുള്ളവയിൽ ഉൾപ്പെടുത്തിയിട്ടില്ല. നാല് വിഭാഗങ്ങൾ). ഈ നിയമങ്ങളുമായി പൊരുത്തപ്പെടാത്ത പാസ്‌വേഡുകൾ കോൺഫിഗർ ചെയ്യാനുള്ള ശ്രമങ്ങൾ ഒരു പിശകിൽ കലാശിക്കുന്നു. സമപ്രായക്കാരെ പ്രാമാണീകരിക്കാൻ ഉപയോഗിക്കുന്ന എല്ലാ പാസ്‌വേഡുകളും കീകളും കുറഞ്ഞത് 10 പ്രതീകങ്ങളെങ്കിലും നീളമുള്ളതായിരിക്കണം, ചില സന്ദർഭങ്ങളിൽ നീളം ഡൈജസ്റ്റ് വലുപ്പവുമായി പൊരുത്തപ്പെടണം.

ശ്രദ്ധിക്കുക: ലോക്കൽ കൺസോൾ കണക്ഷനിൽ നിന്ന് സെക്യൂരിറ്റി അഡ്മിനിസ്ട്രേറ്റർ കോൺഫിഗറേഷൻ പൂർത്തിയാക്കുന്നത് വരെ ഉപകരണം ഒരു നെറ്റ്‌വർക്കിലേക്ക് അറ്റാച്ചുചെയ്യരുത്.
കർശനമായ പാലിക്കലിനായി, FIPS മോഡിൽ Junos OS-ലെ ലോക്കൽ കൺസോളിലെ കോർ, ക്രാഷ് ഡംപ് വിവരങ്ങൾ പരിശോധിക്കരുത്, കാരണം ചില CSP-കൾ പ്ലെയിൻ ടെക്സ്റ്റിൽ കാണിച്ചേക്കാം.

ഗുരുതരമായ സുരക്ഷാ പാരാമീറ്ററുകൾ

ക്രിപ്‌റ്റോഗ്രാഫിക് കീകളും പാസ്‌വേഡുകളും പോലുള്ള സുരക്ഷാ സംബന്ധിയായ വിവരങ്ങളാണ് ക്രിട്ടിക്കൽ സെക്യൂരിറ്റി പാരാമീറ്ററുകൾ (CSP-കൾ) ക്രിപ്‌റ്റോഗ്രാഫിക് മൊഡ്യൂളിൻ്റെ സുരക്ഷയിൽ വിട്ടുവീഴ്ച ചെയ്യാൻ കഴിയും അല്ലെങ്കിൽ അവ വെളിപ്പെടുത്തുകയോ പരിഷ്‌ക്കരിക്കുകയോ ചെയ്താൽ മൊഡ്യൂൾ സംരക്ഷിച്ചിരിക്കുന്ന വിവരങ്ങളുടെ സുരക്ഷയിൽ വിട്ടുവീഴ്ച ചെയ്യും.
ഒരു ക്രിപ്‌റ്റോഗ്രാഫിക് മൊഡ്യൂളായി ഡിവൈസ് അല്ലെങ്കിൽ റൂട്ടിംഗ് എഞ്ചിൻ പ്രവർത്തിപ്പിക്കുന്നതിനുള്ള തയ്യാറെടുപ്പിനായി സിസ്റ്റത്തിൻ്റെ സീറോയൈസേഷൻ CSP-കളുടെ എല്ലാ അടയാളങ്ങളും മായ്‌ക്കുന്നു.
പേജ് 1-ലെ പട്ടിക 16, Junos OS പ്രവർത്തിക്കുന്ന ഉപകരണങ്ങളിൽ CSP-കൾ പട്ടികപ്പെടുത്തുന്നു.
പട്ടിക 1: ഗുരുതരമായ സുരക്ഷാ പാരാമീറ്ററുകൾ

സി.എസ്.പി

വിവരണം

പൂജ്യമാക്കുക

ഉപയോഗിക്കുക

SSHv2 സ്വകാര്യ ഹോസ്റ്റ് കീ

ഹോസ്റ്റിനെ തിരിച്ചറിയാൻ ഉപയോഗിക്കുന്ന ECDSA / RSA കീ, ആദ്യമായി SSH കോൺഫിഗർ ചെയ്യുമ്പോൾ ജനറേറ്റ് ചെയ്യപ്പെടുന്നു.

Zeroize കമാൻഡ്.

ഹോസ്റ്റിനെ തിരിച്ചറിയാൻ ഉപയോഗിക്കുന്നു.

SSHv2 സെഷൻ കീകൾ

SSHv2-നൊപ്പം ഒരു പവർ സൈക്കിളായും സെഷൻ കീ ഉപയോഗിക്കുന്നു

ഡിഫി-ഹെൽമാൻ സ്വകാര്യ കീ.

സെഷൻ അവസാനിപ്പിക്കുക.

എൻക്രിപ്ഷൻ: AES-128, AES-256.

ഹോസ്റ്റിനും ക്ലയൻ്റിനുമിടയിൽ ഡാറ്റ എൻക്രിപ്റ്റ് ചെയ്യാൻ ഉപയോഗിക്കുന്ന സിമെട്രിക് കീ.

MAC-കൾ: HMAC-SHA-1, HMACSHA-2-256, HMAC-SHA2-512.

കീ കൈമാറ്റം: dh-group14-sha1, ECDH-sha2-nistp256, ECDH-sha2nistp384, ECDH-sha2-nistp521.

പട്ടിക 1: ഗുരുതരമായ സുരക്ഷാ പാരാമീറ്ററുകൾ (തുടരും)

സി.എസ്.പി

വിവരണം

പൂജ്യമാക്കുക

ഉപയോഗിക്കുക

ഉപയോക്തൃ ആധികാരികത ഉപയോക്താവിൻ്റെ പാസ്‌വേഡിൻ്റെ ഹാഷ്: SHA256, Zeroize കമാൻഡ്.

താക്കോൽ

SHA512.

ക്രിപ്‌റ്റോഗ്രാഫിക് മൊഡ്യൂളിലേക്ക് ഒരു ഉപയോക്താവിനെ പ്രാമാണീകരിക്കാൻ ഉപയോഗിക്കുന്നു.

ക്രിപ്‌റ്റോ ഓഫീസർ പ്രാമാണീകരണ കീ

ക്രിപ്‌റ്റോ ഓഫീസറുടെ പാസ്‌വേഡിൻ്റെ ഹാഷ്: SHA256, SHA512.

Zeroize കമാൻഡ്.

ക്രിപ്‌റ്റോഗ്രാഫിക് മൊഡ്യൂളിലേക്ക് സെക്യൂരിറ്റി അഡ്മിനിസ്ട്രേറ്ററെ പ്രാമാണീകരിക്കാൻ ഉപയോഗിക്കുന്നു.

HMAC DRBG വിത്ത്

ഡിറ്റർമിനിസ്റ്റിക് റാൻഡൺ ബിറ്റ് ജനറേറ്ററിനുള്ള വിത്ത് (DRBG).

വിത്ത് ക്രിപ്‌റ്റോഗ്രാഫിക് മൊഡ്യൂൾ സംഭരിക്കുന്നില്ല.

DRBG വിത്ത് പാകാൻ ഉപയോഗിക്കുന്നു.

HMAC DRBG V മൂല്യം

ബിറ്റുകളിലെ ഔട്ട്‌പുട്ട് ബ്ലോക്ക് ദൈർഘ്യത്തിൻ്റെ (ഔട്ട്‌ലെൻ) മൂല്യം (V), ഓരോ തവണയും ഔട്ട്‌പുട്ടിൻ്റെ മറ്റൊരു ഔട്ട്‌ലെൻ ബിറ്റുകൾ നിർമ്മിക്കപ്പെടുമ്പോൾ അത് അപ്‌ഡേറ്റ് ചെയ്യുന്നു.

പവർ സൈക്കിൾ.

DRBG-യുടെ ആന്തരിക അവസ്ഥയുടെ നിർണായക മൂല്യം.

HMAC DRBG കീ മൂല്യം

ഔട്ട്‌ലെൻ-ബിറ്റ് കീയുടെ നിലവിലെ മൂല്യം, DRBG മെക്കാനിസം സ്യൂഡോറാൻഡം ബിറ്റുകൾ സൃഷ്ടിക്കുമ്പോൾ ഒരിക്കലെങ്കിലും അപ്‌ഡേറ്റ് ചെയ്യപ്പെടുന്നു.

പവർ സൈക്കിൾ.

DRBG-യുടെ ആന്തരിക അവസ്ഥയുടെ നിർണായക മൂല്യം.

NDRNG എൻട്രോപ്പി

HMAC DRBG-യിലേക്കുള്ള എൻട്രോപ്പി ഇൻപുട്ട് സ്ട്രിംഗ് ആയി ഉപയോഗിക്കുന്നു.

പവർ സൈക്കിൾ.

DRBG-യുടെ ആന്തരിക അവസ്ഥയുടെ നിർണായക മൂല്യം.

FIPS മോഡിലുള്ള Junos OS-ൽ, എല്ലാ CSP-കളും എൻക്രിപ്റ്റ് ചെയ്ത രൂപത്തിൽ ക്രിപ്റ്റോഗ്രാഫിക് മൊഡ്യൂൾ നൽകുകയും വിടുകയും വേണം. അംഗീകൃതമല്ലാത്ത അൽഗോരിതം ഉപയോഗിച്ച് എൻക്രിപ്റ്റ് ചെയ്ത ഏതൊരു സിഎസ്പിയും FIPS പ്ലെയിൻ ടെക്സ്റ്റായി കണക്കാക്കുന്നു.
പ്രാദേശിക പാസ്‌വേഡുകൾ SHA256 അല്ലെങ്കിൽ SHA512 അൽഗോരിതം ഉപയോഗിച്ച് ഹാഷ് ചെയ്‌തിരിക്കുന്നു. FIPS മോഡിലെ Junos OS-ൽ പാസ്‌വേഡ് വീണ്ടെടുക്കൽ സാധ്യമല്ല. FIPS മോഡിലുള്ള Junos OS-ന് ശരിയായ റൂട്ട് പാസ്‌വേഡ് ഇല്ലാതെ സിംഗിൾ-യൂസർ മോഡിലേക്ക് ബൂട്ട് ചെയ്യാൻ കഴിയില്ല.

ബന്ധപ്പെട്ട ഡോക്യുമെൻ്റേഷൻ കഴിഞ്ഞുview FIPS മോഡിനായി സിസ്റ്റം ഡാറ്റ മായ്‌ക്കാൻ സീറോയ്‌സേഷൻ | 23

18
കഴിഞ്ഞുview FIPS മോഡിൽ Junos OS-നുള്ള പാസ്‌വേഡ് സ്പെസിഫിക്കേഷനുകളും മാർഗ്ഗനിർദ്ദേശങ്ങളും
സെക്യൂരിറ്റി അഡ്‌മിനിസ്‌ട്രേറ്റർ ഉപയോക്താക്കൾക്കായി സ്ഥാപിച്ചിട്ടുള്ള എല്ലാ പാസ്‌വേഡുകളും FIPS മോഡിൽ ഇനിപ്പറയുന്ന ജൂനോസ് OS-ന് അനുസൃതമായിരിക്കണം. ഇനിപ്പറയുന്ന സവിശേഷതകളുമായി പൊരുത്തപ്പെടാത്ത പാസ്‌വേഡുകൾ കോൺഫിഗർ ചെയ്യാനുള്ള ശ്രമങ്ങൾ ഒരു പിശകിൽ കലാശിക്കുന്നു. · ദൈർഘ്യം: പാസ്‌വേഡുകളിൽ 10 മുതൽ 20 വരെ പ്രതീകങ്ങൾ ഉണ്ടായിരിക്കണം. · പ്രതീക സെറ്റ് ആവശ്യകതകൾ: പാസ്‌വേഡുകളിൽ നിർവചിച്ചിരിക്കുന്ന ഇനിപ്പറയുന്ന അഞ്ചിൽ മൂന്നെണ്ണമെങ്കിലും ഉണ്ടായിരിക്കണം
പ്രതീക സെറ്റുകൾ: · വലിയക്ഷരങ്ങൾ · ചെറിയ അക്ഷരങ്ങൾ · അക്കങ്ങൾ · വിരാമചിഹ്നങ്ങൾ · കീബോർഡ് പ്രതീകങ്ങൾ മറ്റ് നാല് സെറ്റുകളിൽ ഉൾപ്പെടുത്തിയിട്ടില്ല-ശതമാന ചിഹ്നം (%) എന്നിവയും
ampersand (&) · പ്രാമാണീകരണ ആവശ്യകതകൾ: സമപ്രായക്കാരെ പ്രാമാണീകരിക്കാൻ ഉപയോഗിക്കുന്ന എല്ലാ പാസ്‌വേഡുകളും കീകളും ഇതിൽ അടങ്ങിയിരിക്കണം
കുറഞ്ഞത് 10 പ്രതീകങ്ങൾ, ചില സന്ദർഭങ്ങളിൽ പ്രതീകങ്ങളുടെ എണ്ണം ഡൈജസ്റ്റ് വലുപ്പവുമായി പൊരുത്തപ്പെടണം. · പാസ്‌വേഡ് എൻക്രിപ്ഷൻ: ഡിഫോൾട്ട് എൻക്രിപ്ഷൻ രീതി മാറ്റാൻ (SHA512) ഫോർമാറ്റ് ഉൾപ്പെടുത്തുക
[സിസ്റ്റം ലോഗിൻ പാസ്‌വേഡ് എഡിറ്റ് ചെയ്യുക] ശ്രേണി തലത്തിലുള്ള പ്രസ്താവന. ശക്തമായ പാസ്‌വേഡുകൾക്കുള്ള മാർഗ്ഗനിർദ്ദേശങ്ങൾ: ശക്തവും പുനരുപയോഗിക്കാവുന്നതുമായ പാസ്‌വേഡുകൾ ഒരു പ്രിയപ്പെട്ട വാക്യത്തിൽ നിന്നോ പദത്തിൽ നിന്നോ ഉള്ള അക്ഷരങ്ങളെ അടിസ്ഥാനമാക്കിയുള്ളതാകാം, തുടർന്ന് കൂട്ടിച്ചേർത്ത അക്കങ്ങളും വിരാമചിഹ്നങ്ങളും സഹിതം ബന്ധമില്ലാത്ത മറ്റ് വാക്കുകളുമായി സംയോജിപ്പിക്കാം. പൊതുവേ, ശക്തമായ ഒരു പാസ്‌വേഡ് ഇതാണ്: · ഓർമ്മിക്കാൻ എളുപ്പമുള്ളതിനാൽ ഉപയോക്താക്കൾ അത് എഴുതാൻ പ്രലോഭിപ്പിക്കപ്പെടില്ല. · മിക്സഡ് ആൽഫാന്യൂമെറിക് പ്രതീകങ്ങളും വിരാമചിഹ്നങ്ങളും ചേർന്നതാണ്. FIPS പാലിക്കുന്നതിന് കുറഞ്ഞത് ഉൾപ്പെടുന്നു
കേസിൻ്റെ ഒരു മാറ്റം, ഒന്നോ അതിലധികമോ അക്കങ്ങൾ, ഒന്നോ അതിലധികമോ ചിഹ്ന ചിഹ്നങ്ങൾ. · ഇടയ്ക്കിടെ മാറ്റി. · ആരോടും വെളിപ്പെടുത്തിയിട്ടില്ല. ദുർബലമായ പാസ്‌വേഡുകളുടെ സവിശേഷതകൾ: ഇനിപ്പറയുന്ന ദുർബലമായ പാസ്‌വേഡുകൾ ഉപയോഗിക്കരുത്: · ഒരു സിസ്റ്റത്തിൽ ക്രമാനുഗതമായ ഫോമിൽ കണ്ടെത്തിയതോ നിലനിൽക്കുന്നതോ ആയ വാക്കുകൾ file/etc/passwd പോലുള്ളവ.

19
· സിസ്റ്റത്തിൻ്റെ ഹോസ്റ്റ്നാമം (എല്ലായ്പ്പോഴും ഒരു ആദ്യ ഊഹം). · നിഘണ്ടുവിലോ നിഘണ്ടുക്കൾ ഉൾപ്പെടെയുള്ള മറ്റ് അറിയപ്പെടുന്ന ഉറവിടങ്ങളിലോ ദൃശ്യമാകുന്ന ഏതെങ്കിലും വാക്കോ ശൈലിയോ
ഇംഗ്ലീഷ് ഒഴികെയുള്ള ഭാഷകളിലെ തെസോറസുകളും; ക്ലാസിക്കൽ അല്ലെങ്കിൽ ജനപ്രിയ എഴുത്തുകാരുടെ കൃതികൾ; അല്ലെങ്കിൽ സ്പോർട്സ്, വാക്യങ്ങൾ, സിനിമകൾ അല്ലെങ്കിൽ ടെലിവിഷൻ ഷോകളിൽ നിന്നുള്ള സാധാരണ വാക്കുകളും ശൈലികളും. · മുകളിൽ പറഞ്ഞവയിൽ ഏതെങ്കിലുമൊരു ക്രമമാറ്റങ്ങൾ-ഉദാample, അക്ഷരങ്ങൾക്ക് പകരം അക്കങ്ങൾ (r00t) അല്ലെങ്കിൽ അവസാനം അക്കങ്ങൾ ചേർത്ത ഒരു നിഘണ്ടു വാക്ക്. · ഏതെങ്കിലും മെഷീൻ സൃഷ്ടിച്ച പാസ്‌വേഡ്. അൽഗോരിതങ്ങൾ പാസ്‌വേഡ് ഊഹിക്കുന്ന പ്രോഗ്രാമുകളുടെ തിരയൽ ഇടം കുറയ്ക്കുന്നു, അതിനാൽ ഉപയോഗിക്കരുത്.
ബന്ധപ്പെട്ട ഡോക്യുമെൻ്റേഷൻ കഴിഞ്ഞുview FIPS മോഡിൽ Junos OS-നുള്ള പ്രവർത്തന പരിസ്ഥിതി | 14
ജുനൈപ്പർ നെറ്റ്‌വർക്കുകളിൽ നിന്ന് സോഫ്റ്റ്‌വെയർ പാക്കേജുകൾ ഡൗൺലോഡ് ചെയ്യുക
Juniper Networks-ൽ നിന്ന് Junos OS സോഫ്റ്റ്‌വെയർ പാക്കേജ് നിങ്ങൾക്ക് ഡൗൺലോഡ് ചെയ്യാം webസൈറ്റ്. നിങ്ങൾ സോഫ്‌റ്റ്‌വെയർ ഡൗൺലോഡ് ചെയ്യാൻ തുടങ്ങുന്നതിനുമുമ്പ്, നിങ്ങൾക്ക് ഒരു ജുനൈപ്പർ നെറ്റ്‌വർക്കുകൾ ഉണ്ടെന്ന് ഉറപ്പാക്കുക Web അക്കൗണ്ടും സാധുതയുള്ള പിന്തുണാ കരാറും. ഒരു അക്കൗണ്ട് ലഭിക്കുന്നതിന്, ജൂണിപ്പർ നെറ്റ്‌വർക്കുകളിൽ രജിസ്ട്രേഷൻ ഫോം പൂരിപ്പിക്കുക webസൈറ്റ്: https://userregistration.juniper.net/. ജുനൈപ്പർ നെറ്റ്‌വർക്കുകളിൽ നിന്ന് സോഫ്റ്റ്‌വെയർ പാക്കേജുകൾ ഡൗൺലോഡ് ചെയ്യുന്നതിന്: 1. ഉപയോഗിക്കുന്നത് a Web ബ്രൗസർ, ഡൗൺലോഡ് ലിങ്കുകൾ പിന്തുടരുക URL ജുനൈപ്പർ നെറ്റ്‌വർക്കുകളിൽ webപേജ്.
https://support.juniper.net/support/downloads/ 2. Log in to the Juniper Networks authentication system using the username (generally your e-mail
ജുനൈപ്പർ നെറ്റ്‌വർക്ക് പ്രതിനിധികൾ നൽകിയ വിലാസവും പാസ്‌വേഡും. 3. സോഫ്റ്റ്‌വെയർ ഡൗൺലോഡ് ചെയ്യുക. സോഫ്‌റ്റ്‌വെയർ ഡൗൺലോഡ് ചെയ്യുന്നത് കാണുക.
ബന്ധപ്പെട്ട ഡോക്യുമെൻ്റേഷൻ ഇൻസ്റ്റാളേഷനും അപ്‌ഗ്രേഡ് ഗൈഡും

Junos സോഫ്റ്റ്‌വെയർ പാക്കേജുകൾ ഇൻസ്റ്റാൾ ചെയ്യുക

ഒരൊറ്റ റൂട്ടിംഗ് എഞ്ചിൻ ഉപയോഗിച്ച് ഉപകരണത്തിൽ Junos OS അപ്‌ഗ്രേഡ് ചെയ്യാൻ നിങ്ങൾക്ക് ഈ നടപടിക്രമം ഉപയോഗിക്കാം. ഒരൊറ്റ റൂട്ടിംഗ് എഞ്ചിൻ ഉള്ള ഉപകരണത്തിൽ സോഫ്റ്റ്‌വെയർ അപ്‌ഗ്രേഡുകൾ ഇൻസ്റ്റാൾ ചെയ്യാൻ: 1. "ജൂനിപ്പറിൽ നിന്ന് സോഫ്റ്റ്‌വെയർ പാക്കേജുകൾ ഡൗൺലോഡ് ചെയ്യുക" എന്നതിൽ വിവരിച്ചിരിക്കുന്നതുപോലെ സോഫ്റ്റ്‌വെയർ പാക്കേജ് ഡൗൺലോഡ് ചെയ്യുക
പേജ് 19-ലെ നെറ്റ്‌വർക്കുകൾ". 2. നിങ്ങൾ ഇതിനകം അങ്ങനെ ചെയ്തിട്ടില്ലെങ്കിൽ, നിങ്ങളുടെ മാനേജ്‌മെൻ്റിൽ നിന്ന് ഉപകരണത്തിലെ കൺസോൾ പോർട്ടിലേക്ക് കണക്റ്റുചെയ്യുക
ഉപകരണം, Junos OS CLI-ലേക്ക് ലോഗിൻ ചെയ്യുക. 3. (ഓപ്ഷണൽ) നിലവിലെ സോഫ്‌റ്റ്‌വെയർ കോൺഫിഗറേഷൻ രണ്ടാമത്തെ സ്റ്റോറേജ് ഓപ്ഷനിലേക്ക് ബാക്കപ്പ് ചെയ്യുക. സോഫ്റ്റ്‌വെയർ കാണുക
ഈ ടാസ്‌ക് നിർവഹിക്കുന്നതിനുള്ള നിർദ്ദേശങ്ങൾക്കായുള്ള ഇൻസ്റ്റാളേഷനും അപ്‌ഗ്രേഡ് ഗൈഡും. 4. (ഓപ്ഷണൽ) സോഫ്റ്റ്വെയർ പാക്കേജ് ഉപകരണത്തിലേക്ക് പകർത്തുക. പകർത്താൻ FTP ഉപയോഗിക്കാൻ ഞങ്ങൾ ശുപാർശ ചെയ്യുന്നു
file /var/tmp/ ഡയറക്ടറിയിലേക്ക്. ഈ ഘട്ടം ഓപ്ഷണൽ ആണ്, കാരണം ഒരു വിദൂര ലൊക്കേഷനിൽ സോഫ്റ്റ്‌വെയർ ഇമേജ് സൂക്ഷിക്കുമ്പോൾ Junos OS അപ്‌ഗ്രേഡുചെയ്യാനും കഴിയും. ഈ നിർദ്ദേശങ്ങൾ രണ്ട് സാഹചര്യങ്ങൾക്കുമുള്ള സോഫ്റ്റ്‌വെയർ അപ്‌ഗ്രേഡ് പ്രക്രിയയെ വിവരിക്കുന്നു. 5. ഉപകരണത്തിൽ പുതിയ പാക്കേജ് ഇൻസ്റ്റാൾ ചെയ്യുക:
user@host> vmhost സോഫ്റ്റ്‌വെയർ ചേർക്കുക അഭ്യർത്ഥിക്കുക
ഇനിപ്പറയുന്ന പാത്തുകളിലൊന്ന് ഉപയോഗിച്ച് പാക്കേജ് മാറ്റിസ്ഥാപിക്കുക: · ഉപകരണത്തിലെ ഒരു ലോക്കൽ ഡയറക്ടറിയിലെ ഒരു സോഫ്‌റ്റ്‌വെയർ പാക്കേജിനായി, /var/tmp/package.tgz ഉപയോഗിക്കുക. · ഒരു വിദൂര സെർവറിലെ ഒരു സോഫ്‌റ്റ്‌വെയർ പാക്കേജിനായി, വേരിയബിള് മാറ്റി പകരം ഇനിപ്പറയുന്ന പാതകളിലൊന്ന് ഉപയോഗിക്കുക
സോഫ്‌റ്റ്‌വെയർ പാക്കേജിൻ്റെ പേരുള്ള ഓപ്ഷൻ പാക്കേജ്. ftp://hostname/pathname/package.tgz · http://hostname/pathname/package.tgz 6. ഇൻസ്റ്റലേഷൻ ലോഡുചെയ്യാൻ ഉപകരണം റീബൂട്ട് ചെയ്യുക:
user@host> vmhost റീബൂട്ട് 7 അഭ്യർത്ഥിക്കുക. റീബൂട്ട് പൂർത്തിയായ ശേഷം, ലോഗിൻ ചെയ്‌ത് പുതിയതാണോ എന്ന് പരിശോധിക്കാൻ ഷോ പതിപ്പ് കമാൻഡ് ഉപയോഗിക്കുക
സോഫ്റ്റ്വെയറിൻ്റെ പതിപ്പ് വിജയകരമായി ഇൻസ്റ്റാൾ ചെയ്തു.
user@host> ഷോ പതിപ്പ് ഹോസ്റ്റ്നാമം: ഹോസ്റ്റ്നാമം മോഡൽ: mx240

21
Junos: 22.2R1.10 JUNOS OS കേർണൽ 64-ബിറ്റ് [20210529.2f59a40_builder_stable_12] JUNOS OS libs [20210529.2f59a40_builder_stable_12] JUNOS_20210529.2stable_59 40] JUNOS OS ടൈം സോൺ വിവരങ്ങൾ [12f20210529.2a59_builder_stable_40] JUNOS നെറ്റ്‌വർക്ക് സ്റ്റാക്കും യൂട്ടിലിറ്റികളും [12_builder_junos_20210622.124332_r212] JUNOS libs [1_Bild_junos_20210622.124332_r212] ജുഗോസ് ഒഎസ് ലിബ്സ് compations_1] 32_R20210529.2] py വിപുലീകരണങ്ങൾ [59_builder_junos_40_r12] JUNOS py ബേസ് [32_builder_junos_20210529.2_r59] JUNOS OS vmguest [40 ക്രിപ്‌റ്റ്_ഓസ് 12 മുതൽ 32f20210622.124332a212_builder_stable_1] JUNOS OS boot-ve files [20210529.2f59a40_builder_stable_12] JUNOS ന ടെലിമെട്രി [22.2R1.10] JUNOS സെക്യൂരിറ്റി ഇൻ്റലിജൻസ് [20210622.124332_builder_junos_212_r1] [32_20210622.124332 compat_212 s_1_r20210621.124332] JUNOS mx റൺടൈം [212_builder_junos_1_r22.2] JUNOS RPD ടെലിമെട്രി ആപ്ലിക്കേഷൻ [1.10R20210621.124332] JUNOS റൂട്ടിംഗ് mpls- oam-basic [212_builder_junos_1_r20210621.124332] JUNOS റൂട്ടിംഗ് mpls-oam-advanced [212_builder_junos_1_r20210621.124332] JUNOS റൂട്ടിംഗ് _r212] JUNOS റൂട്ടിംഗ് കൺട്രോളർ-ആന്തരികം [1_builder_junos_20210621.124332_r212] JUNOS റൂട്ടിംഗ് കൺട്രോളർ-എക്‌ടേണൽ [1_builder_junos_20210621.124332_r212] Verible 1UNOS Robits [32_builder_junos_20210621.124332_r212] JUNOS റൂട്ടിംഗ് സമാഹരിച്ചു [1_builder_junos_20210621.124332_r212] Redis [1_20210621.124332_212 1_builder_junos_20210621.124332_r212] JUNOS പൊതു പ്ലാറ്റ്‌ഫോം പിന്തുണ [1_builder_junos_20210621.124332_r212] JUNOS Openconfig [1R22.2] JUNOS mtx നെറ്റ്‌വർക്ക് മൊഡ്യൂളുകൾ UNOS മൊഡ്യൂളുകൾ [ 1.10_builder_junos_20210621.124332_r212] JUNOS mx മൊഡ്യൂളുകൾ [1_builder_junos_20210621.124332_r212] JUNOS mx libs [1_s [20210621.124332_builder_junos_212_r1] JUNOS mtx ഡാറ്റാ പ്ലെയിൻ ക്രിപ്‌റ്റോ സപ്പോർട്ട് [20210621.124332_builder_junos_212_r1] JUNOS ഡെമണുകൾ [20210621.124332]212 ഡെമൺസ് [1_builder_junos_20210621.124332_r212] JUNOS ബ്രോഡ്‌ബാൻഡ് Egde യൂസർ പ്ലെയിൻ ആപ്പുകൾ [1R20210621.124332]

22
JUNOS appidd-mx ആപ്ലിക്കേഷൻ-ഐഡൻ്റിഫിക്കേഷൻ ഡെമൺ [20210621.124332_builder_junos_212_r1] JUNOS TPM2 [20210621.124332_builder_junos_212_r1] JUNOS സേവനങ്ങൾ URL ഫിൽട്ടർ പാക്കേജ് [20210621.124332_builder_junos_212_r1] JUNOS സേവനങ്ങൾ TLB സേവന PIC പാക്കേജ് [20210621.124332_builder_junos_212_r1] JUNOS സേവനങ്ങൾ ടെലിമെട്രി OS സേവനങ്ങൾ TCP-LOG [20210621.124332_builder_junos_212_r1] JUNOS സേവനങ്ങൾ SSL [20210621.124332_builder_junos_212_r1] JUNOS സേവനങ്ങൾ SOFTWIRE_20210621.124332 OS സേവനങ്ങൾ സ്റ്റേറ്റ്ഫുൾ ഫയർവാൾ . unossa_212_r1] ജുഗോസ് സേവന നാട്ട് [20210621.124332_BILD_JUNOS_212_R1] ജുഗോസ് സേവനങ്ങൾ മൊബൈൽ സബ്സ്ക്രൈബർപോകൾ കണ്ടെയ്നർ പാക്കേജ് [20210621.124332_BILD_JUNOS_212_R1] MuGEDENETFREET സോഫ്റ്റ്വെയർ പാക്കേജ് [ 20210621.124332_builder_junos_212_r1] JUNOS സേവനങ്ങൾ ലോഗിംഗ് റിപ്പോർട്ട് ഫ്രെയിംവർക്ക് പാക്കേജ് [20210621.124332_builder_junos_212_r1] JUNOS Services LL-PDF 20210621.124332 പാക്കേജ് 212. 1] JUNOS സേവനങ്ങൾ Jflow കണ്ടെയ്‌നർ പാക്കേജ് [20210621.124332_builder_junos_212_r1] JUNOS സേവനങ്ങൾ ഡീപ് പാക്കറ്റ് പരിശോധന പാക്കേജ് [20210621.124332_builder_junos_212_r1]20210621.124332_r212. 1_r20210621.124332] JUNOS സേവനങ്ങൾ IDS [212_builder_junos_1_r20210621.124332] JUNOS IDP സേവനങ്ങൾ [212_builder_junos_1_r20210621.124332] JUNOS Services HTTP ഉള്ളടക്ക മാനേജ്മെൻ്റ്212der1. ] JUNOS സേവനങ്ങൾ DNS ഫിൽട്ടർ പാക്കേജ് (i20210621.124332) [212_builder_junos_1_r20210621.124332] JUNOS സേവനങ്ങൾ ക്രിപ്‌റ്റോ [212_builder_junos_1_r20210621.124332] Contive DUNOS സേവനങ്ങളും Contive DUNOS സേവനങ്ങളും കണ്ടെയ്‌നർ പാക്കേജ് [212_builder_junos_1_r20210621.124332] JUNOS സേവനങ്ങൾ COS [212_builder_junos_1_r20210621.124332] JUNOS AppId Services [212 Apps ലെവൽ ഗേറ്റ്‌വേകൾ [1_builder_junos_386_r20210621.124332] JUNOS സേവനങ്ങൾ AACL കണ്ടെയ്‌നർ പാക്കേജ് [212_builder_junos_1_r20210621.124332] JUNOS SDN Software212_1. ] ജൂനോസ് എക്സ്റ്റൻഷൻ ടൂൾകിറ്റ് [ 20210621.124332_builder_junos_212_r1] JUNOS പാക്കറ്റ് ഫോർവേഡിംഗ് എഞ്ചിൻ പിന്തുണ (wrlinux20210621.124332) [212_builder_junos_1_r20210621.124332] JUNOS പാക്കറ്റ് ഫോർവേഡിംഗ് .212_builder_junos_1_r20210621.124332] JUNOS പാക്കറ്റ് ഫോർവേഡിംഗ് എഞ്ചിൻ പിന്തുണ (M/T കോമൺ) [212_builder_junos_1_r20210621.124332] JUNOS പാക്കറ്റ് ഫോർവേഡിംഗ് എഞ്ചിൻ പിന്തുണ (aft) [212_builder_junos_1_r20210621.124332] JUNOS പാക്കറ്റ് ഫോർവേഡിംഗ് എഞ്ചിൻ സപ്പോർട്ട് (MX Common) [212_builder_junos_1_r20210621.124332] JUNOS Juniper Removal212 .1_builder_junos_9_r20210621.124332] JUNOS J-Insight [212_builder_junos_1_r92] JUNOS jfirmware [20210621.124332_builder_junos_212_junos_1]

23
JUNOS ഓൺലൈൻ ഡോക്യുമെൻ്റേഷൻ [20210621.124332_builder_junos_212_r1] JUNOS ജയിൽ റൺടൈം [20210529.2f59a40_builder_stable_12] ബന്ധപ്പെട്ട ഡോക്യുമെൻ്റേഷൻ ഇൻസ്റ്റാളേഷനും അപ്‌ഗ്രേഡ് ഗൈഡും
കഴിഞ്ഞുview FIPS മോഡിനായി സിസ്റ്റം ഡാറ്റ മായ്‌ക്കാൻ സീറോയ്‌സേഷൻ
ഈ വിഭാഗത്തിൽ എന്തുകൊണ്ട് സീറോയിസ് ചെയ്യണം? | 24 എപ്പോഴാണ് സീറോയിസ് ചെയ്യേണ്ടത്? | 24
SSH, ലോക്കൽ എൻക്രിപ്ഷൻ, ലോക്കൽ ആധികാരികത, IPsec എന്നിവയ്‌ക്കായുള്ള എല്ലാ പ്ലെയിൻടെക്‌സ്റ്റ് പാസ്‌വേഡുകളും രഹസ്യങ്ങളും സ്വകാര്യ കീകളും ഉൾപ്പെടെ ഉപകരണത്തിലെ എല്ലാ കോൺഫിഗറേഷൻ വിവരങ്ങളും സീറോയൈസേഷൻ പൂർണ്ണമായും മായ്‌ക്കുന്നു. FIPS മോഡിൽ നിന്ന് പുറത്തുകടക്കാൻ നിങ്ങൾ ഉപകരണം പൂജ്യമാക്കേണ്ടതുണ്ട്. സെക്യൂരിറ്റി അഡ്‌മിനിസ്‌ട്രേറ്റർ vmhost zeroize നോ-ഫോർവേഡിംഗ് ഓപ്പറേഷൻ കമാൻഡ് നൽകി പൂജ്യമാക്കൽ പ്രക്രിയ ആരംഭിക്കുന്നു. ക്രിപ്‌റ്റോഗ്രാഫിക് കീ നാശത്തെ പരാമർശിച്ച്, കാലതാമസം നേരിടുന്ന കീ നശിപ്പിക്കലിനെ TOE പിന്തുണയ്ക്കുന്നില്ല.
ശ്രദ്ധിക്കുക: സിസ്റ്റം സീറോയൈസേഷൻ ശ്രദ്ധയോടെ നടത്തുക. പൂജ്യമാക്കൽ പ്രക്രിയ പൂർത്തിയായ ശേഷം, ഉപകരണത്തിൽ ഡാറ്റയൊന്നും അവശേഷിക്കുന്നില്ല. സീറോയൈസേഷൻ സമയമെടുക്കും. കുറച്ച് നിമിഷങ്ങൾക്കുള്ളിൽ എല്ലാ കോൺഫിഗറേഷനുകളും നീക്കം ചെയ്യപ്പെടുമെങ്കിലും, സീറോയ്‌സേഷൻ പ്രക്രിയ എല്ലാ മീഡിയകളെയും തിരുത്തിയെഴുതുന്നു, ഇത് മീഡിയയുടെ വലുപ്പത്തെ ആശ്രയിച്ച് ഗണ്യമായ സമയമെടുക്കും.

24
എന്തുകൊണ്ട് Zeroize?
ഉപകരണം FIPS മോഡിൽ ആയിരിക്കുമ്പോൾ, എല്ലാ നിർണായക സുരക്ഷാ പാരാമീറ്ററുകളും (CSP-കൾ) നൽകുന്നതുവരെ നിങ്ങളുടെ ഉപകരണം ഒരു സാധുവായ FIPS ക്രിപ്‌റ്റോഗ്രാഫിക് മൊഡ്യൂളായി കണക്കാക്കില്ല. FIPS 140-3 പാലിക്കുന്നതിന്, ഉപകരണത്തിൽ FIPS മോഡ് പ്രവർത്തനരഹിതമാക്കുന്നതിന് മുമ്പ് സെൻസിറ്റീവ് വിവരങ്ങൾ നീക്കംചെയ്യുന്നതിന് നിങ്ങൾ സിസ്റ്റം പൂജ്യമാക്കണം.
എപ്പോഴാണ് സീറോയിസ് ചെയ്യേണ്ടത്?
സെക്യൂരിറ്റി അഡ്‌മിനിസ്‌ട്രേറ്റർ എന്ന നിലയിൽ, ഇനിപ്പറയുന്ന സാഹചര്യങ്ങളിൽ സീറോയ്‌സേഷൻ നടത്തുക: · FIPS പ്രവർത്തന രീതി പ്രവർത്തനക്ഷമമാക്കുന്നതിന് മുമ്പ്: ഒരു FIPS ആയി പ്രവർത്തനത്തിനായി നിങ്ങളുടെ ഉപകരണം തയ്യാറാക്കുന്നതിന്
ക്രിപ്‌റ്റോഗ്രാഫിക് മൊഡ്യൂൾ, FIPS മോഡ് പ്രവർത്തനക്ഷമമാക്കുന്നതിന് മുമ്പ് പൂജ്യം നടത്തുക. · FIPS പ്രവർത്തന രീതി പ്രവർത്തനരഹിതമാക്കുന്നതിന് മുമ്പ്: FIPS ഇതര പ്രവർത്തനത്തിനായി നിങ്ങളുടെ ഉപകരണം പുനർനിർമ്മിക്കുന്നത് ആരംഭിക്കുന്നതിന്,
ഉപകരണത്തിൽ FIPS മോഡ് പ്രവർത്തനരഹിതമാക്കുന്നതിന് മുമ്പ് പൂജ്യം നടത്തുക.
ശ്രദ്ധിക്കുക: ഒരു FIPS പരിതസ്ഥിതിയിൽ FIPS ഇതര സോഫ്‌റ്റ്‌വെയർ ഇൻസ്റ്റാൾ ചെയ്യുന്നതിനെ ജുനൈപ്പർ നെറ്റ്‌വർക്കുകൾ പിന്തുണയ്ക്കുന്നില്ല, എന്നാൽ ചില ടെസ്റ്റ് പരിതസ്ഥിതികളിൽ അങ്ങനെ ചെയ്യുന്നത് ആവശ്യമായി വന്നേക്കാം. ആദ്യം സിസ്റ്റം പൂജ്യമാക്കുന്നത് ഉറപ്പാക്കുക.
അനുബന്ധ ഡോക്യുമെൻ്റേഷൻ സിസ്റ്റം സീറോയിസ് | 24
സിസ്റ്റം സീറോയിസ് ചെയ്യുക
നിങ്ങളുടെ ഉപകരണം പൂജ്യമാക്കുന്നതിന്, ഇനിപ്പറയുന്ന നടപടിക്രമം പിന്തുടരുക:

25
1. ക്രിപ്‌റ്റോ ഓഫീസറായി ഉപകരണത്തിലേക്ക് ലോഗിൻ ചെയ്ത് CLI-ൽ നിന്ന് നൽകുക
crypto-officer@host> അഭ്യർത്ഥന vmhost zeroize no-forwarding VMHost Zeroization : കോൺഫിഗറേഷനും ലോഗും ഉൾപ്പെടെ എല്ലാ ഡാറ്റയും മായ്‌ക്കുക fileഎസ് ? [അതെ, ഇല്ല] (ഇല്ല) അതെ
2. പൂജ്യം പ്രക്രിയ ആരംഭിക്കുന്നതിന്, പ്രോംപ്റ്റിൽ അതെ എന്ന് ടൈപ്പ് ചെയ്യുക:
കോൺഫിഗറേഷനും ലോഗും ഉൾപ്പെടെ എല്ലാ ഡാറ്റയും മായ്‌ക്കുക fileഎസ്? [അതെ, ഇല്ല] (ഇല്ല) അതെ VMHost Zeroization : കോൺഫിഗറേഷനും ലോഗും ഉൾപ്പെടെ എല്ലാ ഡാറ്റയും മായ്‌ക്കുക fileഎസ് ? [അതെ, ഇല്ല] (ഇല്ല) അതെ
മുന്നറിയിപ്പ്: കോൺഫിഗറേഷൻ മുന്നറിയിപ്പ് ഇല്ലാതെ Vmhost റീബൂട്ട് ചെയ്യും, കൂടാതെ ബൂട്ട് ചെയ്യില്ല: vmhost സീറോയിസ് സെക്കണ്ടറി ഇൻ്റേണൽ ഡിസ്ക് ഉപയോഗിച്ച് തുടരുന്നു ... സെക്കൻ്ററി ഡിസ്കിൽ സീറോയിസുമായി മുന്നോട്ട് പോകുന്നു സീറോയിസിനുള്ള തയ്യാറെടുപ്പിൽ ഉപകരണം മൗണ്ടുചെയ്യുന്നു... പൂജ്യമാക്കാനുള്ള തയ്യാറെടുപ്പിലാണ് ടാർഗെറ്റ് ഡിസ്ക് വൃത്തിയാക്കുന്നത് ... ടാർഗെറ്റ് ഡിസ്കിൽ സീറോയിസ് ചെയ്തു. സെക്കണ്ടറി ഡിസ്കിൻ്റെ സീറോയിസ് പൂർത്തിയാക്കി പ്രാഥമിക ആന്തരിക ഡിസ്ക് സീറോയിസ് ചെയ്യുക … പ്രൈമറി ഡിസ്കിൽ zeroize ഉപയോഗിച്ച് തുടരുന്നു /etc/ssh/ssh_host_ecdsa_key.pub /etc/ssh/ssh_host_rsa_key.pub /etc/ssh/ssh_host_ecdsa_key host_dsa_key .pub /etc/ssh/ssh_host_rsa_key പൂജ്യമാക്കുന്നതിനുള്ള തയ്യാറെടുപ്പിലാണ് ഉപകരണം മൗണ്ടുചെയ്യുന്നത്... പൂജ്യത്തിനായി ടാർഗെറ്റ് ഡിസ്ക് വൃത്തിയാക്കുന്നു ... ടാർഗെറ്റ് ഡിസ്കിൽ സീറോയിസ് ചെയ്തു. പ്രൈമറി ഡിസ്കിൻ്റെ സീറോയ്‌സ് പൂർത്തിയായി സീറോയിസ് ചെയ്‌തിരിക്കുന്നു മുന്നറിയിപ്പ്: vmhost റീബൂട്ട് ഉപയോഗിച്ച് തുടരുന്നു vmhost റീബൂട്ട് ആരംഭിക്കുന്നു...
മീഡിയയുടെ വലുപ്പത്തെ ആശ്രയിച്ച് മുഴുവൻ പ്രവർത്തനത്തിനും ഗണ്യമായ സമയമെടുക്കും, എന്നാൽ എല്ലാ നിർണായക സുരക്ഷാ പാരാമീറ്ററുകളും (CSP-കൾ) കുറച്ച് നിമിഷങ്ങൾക്കുള്ളിൽ നീക്കം ചെയ്യപ്പെടും. പൂജ്യമാക്കൽ പ്രക്രിയ പൂർത്തിയാകുന്നതുവരെ ഭൗതിക അന്തരീക്ഷം സുരക്ഷിതമായി നിലകൊള്ളണം.

FIPS മോഡ് പ്രവർത്തനക്ഷമമാക്കുക

സെക്യൂരിറ്റി അഡ്‌മിനിസ്‌ട്രേറ്റർ എന്ന നിലയിൽ, "ഓവർ" എന്നതിലെ FIPS പാസ്‌വേഡ് ആവശ്യകതകൾക്ക് അനുസൃതമായി നിങ്ങൾ ഒരു റൂട്ട് പാസ്‌വേഡ് സ്ഥാപിക്കണംview FIPS മോഡിലെ Junos OS-നുള്ള പാസ്‌വേഡ് സ്പെസിഫിക്കേഷനുകളും മാർഗ്ഗനിർദ്ദേശങ്ങളും പേജ് 18-ൽ. നിങ്ങൾ ഉപകരണത്തിൽ Junos OS-ൽ FIPS മോഡ് പ്രവർത്തനക്ഷമമാക്കുമ്പോൾ, ഈ മാനദണ്ഡം പാലിക്കുന്നില്ലെങ്കിൽ നിങ്ങൾക്ക് പാസ്‌വേഡുകൾ കോൺഫിഗർ ചെയ്യാൻ കഴിയില്ല.
സുരക്ഷിതമായ ഹാഷ് അൽഗോരിതം SHA256 അല്ലെങ്കിൽ SHA512 ഉപയോഗിച്ച് ലോക്കൽ പാസ്‌വേഡുകൾ എൻക്രിപ്റ്റ് ചെയ്തിരിക്കുന്നു. FIPS മോഡിലെ Junos OS-ൽ പാസ്‌വേഡ് വീണ്ടെടുക്കൽ സാധ്യമല്ല. FIPS മോഡിലുള്ള Junos OS-ന് ശരിയായ റൂട്ട് പാസ്‌വേഡ് ഇല്ലാതെ സിംഗിൾ-യൂസർ മോഡിലേക്ക് ബൂട്ട് ചെയ്യാൻ കഴിയില്ല.
ഉപകരണത്തിലെ Junos OS-ൽ FIPS മോഡ് പ്രവർത്തനക്ഷമമാക്കാൻ:
1. FIPS മോഡിൽ പ്രവേശിക്കുന്നതിന് മുമ്പ് എല്ലാ CSP-കളും ഇല്ലാതാക്കാൻ ഉപകരണം സീറോയിസ് ചെയ്യുക. വിശദവിവരങ്ങൾക്ക് പേജ് 24-ലെ "സിറോയിസ് ദ സിസ്റ്റം" കാണുക.
2. ഉപകരണം 'Amnesiac മോഡിൽ' വന്നതിനുശേഷം, ഉപയോക്തൃനാമം റൂട്ടും പാസ്‌വേഡും ഉപയോഗിച്ച് ലോഗിൻ ചെയ്യുക “” (ശൂന്യം).

FreeBSD/amd64 (Amnesiac) (ttyu0) ലോഗിൻ: റൂട്ട് — JUNOS 22.2R1.10 Kernel 64-bit root@:~ # cli root>

JNPR-12.1-20210529.2f59a40_build

3. കുറഞ്ഞത് 10 പ്രതീകങ്ങളോ അതിലധികമോ പാസ്‌വേഡ് ഉപയോഗിച്ച് റൂട്ട് പ്രാമാണീകരണം കോൺഫിഗർ ചെയ്യുക.

റൂട്ട്> എഡിറ്റ് കോൺഫിഗറേഷൻ മോഡിൽ പ്രവേശിക്കുന്നു [തിരുത്തുക] റൂട്ട്# സിസ്റ്റം റൂട്ട്-ആധികാരികത പ്ലെയിൻ-ടെക്സ്റ്റ്-പാസ്‌വേഡ് സജ്ജമാക്കുക പുതിയ പാസ്‌വേഡ്: പുതിയ പാസ്‌വേഡ് വീണ്ടും ടൈപ്പ് ചെയ്യുക: [edit] root# commit commit Complete
4. ഉപകരണത്തിലേക്ക് കോൺഫിഗറേഷൻ ലോഡുചെയ്‌ത് പുതിയ കോൺഫിഗറേഷൻ നടത്തുക. സെക്യൂരിറ്റി അഡ്മിനിസ്ട്രേറ്റർ കോൺഫിഗർ ചെയ്യുക ഒപ്പം
സുരക്ഷാ അഡ്മിനിസ്ട്രേറ്റർ ക്രെഡൻഷ്യലുകൾ ഉപയോഗിച്ച് ലോഗിൻ ചെയ്യുക.

27
5. FIPS പ്രവർത്തനക്ഷമമാക്കുന്നതിന് ആവശ്യമായ ഓപ്ഷണൽ പാക്കേജുകളാണ് fips-mode, jpfe-fips എന്നിവ. ഈ പാക്കേജുകൾ Junos OS സോഫ്റ്റ്‌വെയറിൻ്റെ ഭാഗമാണ്. ഈ പാക്കേജുകൾ പ്രവർത്തനക്ഷമമാക്കാൻ, താഴെയുള്ള കമാൻഡുകൾ ഉപയോഗിക്കുക:
security-administrator@hostname> അഭ്യർത്ഥന സിസ്റ്റം സോഫ്‌റ്റ്‌വെയർ ഓപ്‌ഷണൽ ചേർക്കുക://fips-mode.tgz പരിശോധിച്ച fips-mode ഒപ്പിട്ടത് PackageDevelopmentECP256_2020 രീതി ECDSA256+SHA256cryptoofficer@hostname> അഭ്യർത്ഥന സിസ്റ്റം സോഫ്‌റ്റ്‌വെയർ ചേർക്കുക ഓപ്‌ഷണൽ./jpfe-fipsrt /pkg: പാക്കേജ് jpfe-fips-x86-32-20.3I-20200610_dev_common.0.0743 ഇതിനകം ഇൻസ്റ്റാൾ ചെയ്തിട്ടുണ്ട്
6. സിസ്റ്റം ഫിപ്‌സ് ചേസിസ് ലെവൽ 1 സജ്ജീകരിച്ച് ചേസിസ് ബൗണ്ടറി ഫിപ്പുകൾ കോൺഫിഗർ ചെയ്യുക.
ലോഡുചെയ്‌ത കോൺഫിഗറേഷനിൽ പഴയ CSP-കൾ ഇല്ലാതാക്കാൻ FIPS കംപ്ലയിൻ്റ് ഹാഷ് മുന്നറിയിപ്പ് ഉപയോഗിക്കുന്നതിന് എൻക്രിപ്റ്റ് ചെയ്‌ത പാസ്‌വേഡ് വീണ്ടും കോൺഫിഗർ ചെയ്‌തിരിക്കണം.
7. CSP-കൾ ഇല്ലാതാക്കി വീണ്ടും കോൺഫിഗർ ചെയ്‌ത ശേഷം, പ്രതിബദ്ധത കടന്നുപോകും, FIPS മോഡിൽ പ്രവേശിക്കുന്നതിന് ഉപകരണം റീബൂട്ട് ചെയ്യേണ്ടതുണ്ട്.
FIPS ലെവൽ 1 ലേക്ക് മാറുന്നതിന് സെക്യൂരിറ്റി-അഡ്‌മിനിസ്ട്രേറ്റർ@ഹോസ്റ്റ്‌നെയിം# കമ്മിറ്റ് [തിരുത്തുക] സിസ്റ്റം റീബൂട്ട് ആവശ്യമാണ്.
8. ഉപകരണം റീബൂട്ട് ചെയ്ത ശേഷം, FIPS സ്വയം പരിശോധനകൾ പ്രവർത്തിക്കുകയും ഉപകരണം FIPS മോഡിലേക്ക് പ്രവേശിക്കുകയും ചെയ്യും.
security-administrator@hostname:fips>

28
സെക്യൂരിറ്റി അഡ്മിനിസ്ട്രേറ്ററും FIPS ഉപയോക്തൃ ഐഡൻ്റിഫിക്കേഷനും ആക്സസും കോൺഫിഗർ ചെയ്യുക
ഈ വിഭാഗത്തിൽ സെക്യൂരിറ്റി അഡ്മിനിസ്ട്രേറ്റർ ആക്സസ് കോൺഫിഗർ ചെയ്യുക | 28 FIPS ഉപയോക്തൃ ലോഗിൻ ആക്സസ് കോൺഫിഗർ ചെയ്യുക | 30
സെക്യൂരിറ്റി അഡ്‌മിനിസ്‌ട്രേറ്ററും FIPS ഉപയോക്താക്കളും FIPS മോഡിൽ Junos OS-നുള്ള എല്ലാ കോൺഫിഗറേഷൻ ജോലികളും നിർവഹിക്കുകയും എല്ലാ Junos OS-ഉം FIPS മോഡ് സ്റ്റേറ്റ്‌മെൻ്റുകളിലും കമാൻഡുകളിലും നൽകുകയും ചെയ്യുന്നു. സെക്യൂരിറ്റി അഡ്‌മിനിസ്‌ട്രേറ്ററും FIPS ഉപയോക്തൃ കോൺഫിഗറേഷനുകളും FIPS മോഡ് മാർഗ്ഗനിർദ്ദേശങ്ങളിൽ Junos OS പിന്തുടരേണ്ടതാണ്.
സുരക്ഷാ അഡ്മിനിസ്ട്രേറ്റർ ആക്സസ് കോൺഫിഗർ ചെയ്യുക
FIPS മോഡിലുള്ള Junos OS, FIPS 140-3 അനുശാസിക്കുന്നതിനേക്കാൾ മികച്ച ഉപയോക്തൃ അനുമതികൾ വാഗ്ദാനം ചെയ്യുന്നു. FIPS 140-3 പാലിക്കുന്നതിന്, രഹസ്യം, സുരക്ഷ, പരിപാലനം, നിയന്ത്രണ അനുമതി ബിറ്റുകൾ എന്നിവയുള്ള ഏതൊരു FIPS ഉപയോക്താവും ഒരു സുരക്ഷാ അഡ്മിനിസ്ട്രേറ്ററാണ്. മിക്ക കേസുകളിലും സെക്യൂരിറ്റി അഡ്മിനിസ്ട്രേറ്റർക്ക് സൂപ്പർ യൂസർ ക്ലാസ് മതിയാകും. ഒരു സെക്യൂരിറ്റി അഡ്‌മിനിസ്‌ട്രേറ്റർക്കുള്ള ലോഗിൻ ആക്‌സസ് കോൺഫിഗർ ചെയ്യുന്നതിന്: 1. നിങ്ങൾ ഇതിനകം അങ്ങനെ ചെയ്‌തിട്ടില്ലെങ്കിൽ റൂട്ട് പാസ്‌വേഡ് ഉപയോഗിച്ച് ഉപകരണത്തിലേക്ക് ലോഗിൻ ചെയ്‌ത് കോൺഫിഗറേഷൻ നൽകുക
മോഡ്:
root@hostname# എഡിറ്റ് കോൺഫിഗറേഷൻ മോഡിൽ പ്രവേശിക്കുന്നു [edit] root@hostname# 2. ഉപയോക്തൃ സുരക്ഷാ-അഡ്‌മിനിസ്‌ട്രേറ്റർ എന്ന് പേര് നൽകുകയും സുരക്ഷാ അഡ്മിനിസ്ട്രേറ്റർക്ക് ഒരു ഉപയോക്തൃ ഐഡി നൽകുകയും ചെയ്യുക (ഉദാ.ample, 6400, ഇത് 100-ൻ്റെ പരിധിയിലുള്ള ലോഗിൻ അക്കൗണ്ടുമായി ബന്ധപ്പെട്ട ഒരു അദ്വിതീയ സംഖ്യയായിരിക്കണം

29
64000) ഒരു ക്ലാസും (ഉദാample, സൂപ്പർ യൂസർ). നിങ്ങൾ ക്ലാസ് അസൈൻ ചെയ്യുമ്പോൾ, നിങ്ങൾ അനുമതികൾ നൽകുന്നു- ഉദാample, രഹസ്യം, സുരക്ഷ, പരിപാലനം, നിയന്ത്രണം.
[edit] root@hostname# സെറ്റ് സിസ്റ്റം ലോഗിൻ ഉപയോക്തൃനാമം uid മൂല്യം ക്ലാസ് ക്ലാസ്-നാമം
ഉദാampLe:
[edit] root@hostname# സെറ്റ് സിസ്റ്റം ലോഗിൻ യൂസർ സെക്യൂരിറ്റി-അഡ്‌മിനിസ്‌ട്രേറ്റർ uid 6400 ക്ലാസ് സൂപ്പർ-യൂസർ
3. "ഓവർ" എന്നതിലെ മാർഗ്ഗനിർദ്ദേശങ്ങൾ പിന്തുടരുകview FIPS മോഡിലെ Junos OS-നുള്ള പാസ്‌വേഡ് സ്പെസിഫിക്കേഷനുകളുടെയും മാർഗ്ഗനിർദ്ദേശങ്ങളുടെയും" പേജ് 18-ൽ, ലോഗിൻ പ്രാമാണീകരണത്തിനായി സെക്യൂരിറ്റി അഡ്മിനിസ്ട്രേറ്റർക്ക് ഒരു പ്ലെയിൻ-ടെക്സ്റ്റ് പാസ്‌വേഡ് നൽകുക. പുതിയ പാസ്‌വേഡ്, പുതിയ പാസ്‌വേഡ് വീണ്ടും ടൈപ്പ് ചെയ്യുക എന്നീ നിർദ്ദേശങ്ങൾക്ക് ശേഷം ഒരു പാസ്‌വേഡ് ടൈപ്പ് ചെയ്തുകൊണ്ട് പാസ്‌വേഡ് സജ്ജമാക്കുക.
[edit] root@hostname# സെറ്റ് സിസ്റ്റം ലോഗിൻ ഉപയോക്തൃനാമം ക്ലാസ് ക്ലാസ്-നാമം പ്രാമാണീകരണം (പ്ലെയിൻ-ടെസ്റ്റ് പാസ്‌വേഡ് | എൻക്രിപ്റ്റ് ചെയ്ത-പാസ്‌വേഡ്)
ഉദാampLe:
[edit] root@hostname# സെറ്റ് സിസ്റ്റം ലോഗിൻ യൂസർ സെക്യൂരിറ്റി-അഡ്‌മിനിസ്‌ട്രേറ്റർ ക്ലാസ് സൂപ്പർ-യൂസർ ഓതൻ്റിക്കേഷൻ പ്ലെയിൻ-ടെക്‌സ്റ്റ്-പാസ്‌വേഡ്
4. ഓപ്ഷണലായി, കോൺഫിഗറേഷൻ പ്രദർശിപ്പിക്കുക:
[edit] root@hostname#edit system [edit system] root@hostname#show login {
ഉപയോക്തൃ സുരക്ഷാ-അഡ്മിനിസ്‌ട്രേറ്റർ {uid 6400; പ്രാമാണീകരണം {എൻക്രിപ്റ്റഡ്-പാസ്വേഡ് " ”; ## SECRET-DATA } ക്ലാസ് സൂപ്പർ-ഉപയോക്താവ്;

30
} }
5. നിങ്ങൾ ഉപകരണം കോൺഫിഗർ ചെയ്തുകഴിഞ്ഞാൽ, കോൺഫിഗറേഷൻ നടത്തി പുറത്തുകടക്കുക:
[തിരുത്തുക] root@hostname# സമ്പൂർണ്ണ റൂട്ട്@hostname# എക്സിറ്റ് കമ്മിറ്റ് ചെയ്യുക
FIPS ഉപയോക്തൃ ലോഗിൻ ആക്സസ് കോൺഫിഗർ ചെയ്യുക
രഹസ്യം, സുരക്ഷ, പരിപാലനം, നിയന്ത്രണ അനുമതി ബിറ്റുകൾ എന്നിവ സജ്ജീകരിക്കാത്ത ഏതൊരു FIPS ഉപയോക്താവിനെയും ഒരു fips-ഉപയോക്താവ് നിർവചിച്ചിരിക്കുന്നു. സുരക്ഷാ അഡ്മിനിസ്ട്രേറ്റർ എന്ന നിലയിൽ നിങ്ങൾ FIPS ഉപയോക്താക്കളെ സജ്ജമാക്കി. FIPS ഉപയോക്താക്കൾക്ക് സാധാരണയായി സെക്യൂരിറ്റി അഡ്മിനിസ്ട്രേറ്റർക്കായി റിസർവ് ചെയ്തിട്ടുള്ള അനുമതികൾ നൽകാൻ കഴിയില്ല-ഉദാample, സിസ്റ്റം പൂജ്യമാക്കാനുള്ള അനുമതി. ഒരു FIPS ഉപയോക്താവിനായി ലോഗിൻ ആക്‌സസ് കോൺഫിഗർ ചെയ്യുന്നതിന്: 1. നിങ്ങൾ ഇതിനകം അങ്ങനെ ചെയ്‌തിട്ടില്ലെങ്കിൽ, നിങ്ങളുടെ സുരക്ഷാ അഡ്മിനിസ്ട്രേറ്റർ പാസ്‌വേഡ് ഉപയോഗിച്ച് ഉപകരണത്തിലേക്ക് ലോഗിൻ ചെയ്യുക, കൂടാതെ
കോൺഫിഗറേഷൻ മോഡ് നൽകുക:
security-administrator@hostname:fips> എഡിറ്റ് കോൺഫിഗറേഷൻ മോഡിൽ പ്രവേശിക്കുന്നു [edit] security-administrator@hostname:fips# 2. ഉപയോക്താവിന് ഒരു ഉപയോക്തൃനാമം നൽകുക, ഉപയോക്താവിന് ഒരു ഉപയോക്തൃ ഐഡി നൽകുക (ഉദാ.ample, 6401, അത് 1 മുതൽ 64000 വരെയുള്ള ശ്രേണിയിലെ ഒരു അദ്വിതീയ സംഖ്യയായിരിക്കണം) കൂടാതെ ഒരു ക്ലാസും. നിങ്ങൾ ക്ലാസ് അസൈൻ ചെയ്യുമ്പോൾ, നിങ്ങൾ അനുമതികൾ നൽകുന്നു-ഉദാampലെ, ക്ലിയർ, നെറ്റ്വർക്ക്, റീസെറ്റ്view, ഒപ്പം view-കോൺഫിഗറേഷൻ.
[തിരുത്തുക] security-administrator@hostname:fips# സിസ്റ്റം ലോഗിൻ ഉപയോക്തൃനാമം uid മൂല്യ ക്ലാസ് ക്ലാസ് നാമം സജ്ജമാക്കുക

31
ഉദാampLe:
[edit]security-administrator@hostname:fips# സെറ്റ് സിസ്റ്റം ലോഗിൻ ഉപയോക്താവ് fips-user1 uid 6401 ക്ലാസ് റീഡ്-ഒൺലി
3. "ഓവർ" എന്നതിലെ മാർഗ്ഗനിർദ്ദേശങ്ങൾ പിന്തുടരുകview FIPS മോഡിലെ Junos OS-നുള്ള പാസ്‌വേഡ് സ്പെസിഫിക്കേഷനുകളും മാർഗ്ഗനിർദ്ദേശങ്ങളും" പേജ് 18-ൽ, ലോഗിൻ പ്രാമാണീകരണത്തിനായി FIPS ഉപയോക്താവിന് ഒരു പ്ലെയിൻ-ടെക്‌സ്റ്റ് പാസ്‌വേഡ് നൽകുക. പുതിയ പാസ്‌വേഡ്, പുതിയ പാസ്‌വേഡ് വീണ്ടും ടൈപ്പ് ചെയ്യുക എന്നീ നിർദ്ദേശങ്ങൾക്ക് ശേഷം ഒരു പാസ്‌വേഡ് ടൈപ്പ് ചെയ്തുകൊണ്ട് പാസ്‌വേഡ് സജ്ജമാക്കുക.
[edit] security-administrator@hostname:fips# സിസ്റ്റം ലോഗിൻ ഉപയോക്തൃനാമം ക്ലാസ് ക്ലാസ്-നാമം പ്രാമാണീകരണം (പ്ലെയിൻ-ടെക്സ്റ്റ്-പാസ്‌വേഡ് | എൻക്രിപ്റ്റഡ്-പാസ്‌വേഡ്)
ഉദാampLe:
[edit] security-administrator@hostname:fips# സെറ്റ് സിസ്റ്റം ലോഗിൻ ഉപയോക്താവ് fips-user1 ക്ലാസ് റീഡ്-ഒൺലി ആധികാരികത പ്ലെയിൻ-ടെക്സ്റ്റ്-പാസ്‌വേഡ്
4. ഓപ്ഷണലായി, കോൺഫിഗറേഷൻ പ്രദർശിപ്പിക്കുക:
[edit] security-administrator@hostname:fips# എഡിറ്റ് സിസ്റ്റം [എഡിറ്റ് സിസ്റ്റം] security-administrator@hostname:fips# ലോഗിൻ കാണിക്കുക {
ഉപയോക്താവ് fips-user1 {uid 6401; പ്രാമാണീകരണം {എൻക്രിപ്റ്റഡ്-പാസ്വേഡ് " ”; ## SECRET-DATA } ക്ലാസ് വായന-മാത്രം;
} }

32
5. നിങ്ങൾ ഉപകരണം കോൺഫിഗർ ചെയ്തുകഴിഞ്ഞാൽ, കോൺഫിഗറേഷൻ നടത്തി പുറത്തുകടക്കുക:
[തിരുത്തുക] security-administrator@hostname:fips# commit security-administrator@hostname:fips# എക്സിറ്റ്
ബന്ധപ്പെട്ട ഡോക്യുമെൻ്റേഷൻ കഴിഞ്ഞുview Junos OS-നുള്ള റോളുകളുടെയും സേവനങ്ങളുടെയും | 12

3 അധ്യായം
അഡ്മിനിസ്ട്രേറ്റീവ് ക്രെഡൻഷ്യലുകളും പ്രത്യേകാവകാശങ്ങളും കോൺഫിഗർ ചെയ്യുക
ഒരു അംഗീകൃത അഡ്മിനിസ്ട്രേറ്റർക്കുള്ള അനുബന്ധ പാസ്‌വേഡ് നിയമങ്ങൾ മനസ്സിലാക്കുന്നു | 34
ഒരു നെറ്റ്‌വർക്ക് ഉപകരണ സഹകരണ സംരക്ഷണ പ്രോ കോൺഫിഗർ ചെയ്യുന്നുfile അംഗീകൃത അഡ്മിനിസ്ട്രേറ്റർ | 36 സമയം ഇഷ്ടാനുസൃതമാക്കുക | 37 നിഷ്‌ക്രിയത്വ കാലഹരണപ്പെട്ട കാലയളവ് കോൺഫിഗറേഷൻ, പ്രാദേശികവും വിദൂരവുമായ നിഷ്‌ക്രിയ സെഷൻ അവസാനിപ്പിക്കൽ | 38

34
ഒരു അംഗീകൃത അഡ്മിനിസ്ട്രേറ്റർക്കുള്ള അനുബന്ധ പാസ്‌വേഡ് നിയമങ്ങൾ മനസ്സിലാക്കുന്നു
അംഗീകൃത അഡ്‌മിനിസ്‌ട്രേറ്റർ ഒരു നിർവചിക്കപ്പെട്ട ലോഗിൻ ക്ലാസുമായി ബന്ധപ്പെട്ടിരിക്കുന്നു, കൂടാതെ അഡ്മിനിസ്‌ട്രേറ്ററെ എല്ലാ അനുമതികളോടും കൂടി നിയോഗിക്കുന്നു. സ്ഥിരമായ പാസ്‌വേഡ് പ്രാമാണീകരണത്തിനായി ഡാറ്റ പ്രാദേശികമായി സംഭരിക്കുന്നു.
ശ്രദ്ധിക്കുക: പാസ്‌വേഡുകളിൽ നിയന്ത്രണ പ്രതീകങ്ങൾ ഉപയോഗിക്കരുത് എന്ന് ഞങ്ങൾ ശുപാർശ ചെയ്യുന്നു.
പാസ്‌വേഡുകൾക്കും അംഗീകൃത അഡ്മിനിസ്ട്രേറ്റർ അക്കൗണ്ടുകൾക്കായി പാസ്‌വേഡുകൾ തിരഞ്ഞെടുക്കുമ്പോഴും ഇനിപ്പറയുന്ന മാർഗ്ഗനിർദ്ദേശങ്ങളും കോൺഫിഗറേഷൻ ഓപ്ഷനുകളും ഉപയോഗിക്കുക. പാസ്‌വേഡുകൾ ഇതായിരിക്കണം: · ഓർമ്മിക്കാൻ എളുപ്പമുള്ളതിനാൽ ഉപയോക്താക്കൾ അത് എഴുതാൻ പ്രലോഭിപ്പിക്കപ്പെടില്ല. · ഇടയ്ക്കിടെ മാറ്റി. · സ്വകാര്യവും ആരുമായും പങ്കിടാത്തതും. · കുറഞ്ഞത് 10 പ്രതീകങ്ങൾ അടങ്ങിയിരിക്കുന്നു. ഏറ്റവും കുറഞ്ഞ പാസ്‌വേഡ് ദൈർഘ്യം 10 പ്രതീകങ്ങളാണ്.
[തിരുത്തുക] security-administrator@host# സിസ്റ്റം ലോഗിൻ പാസ്‌വേഡ് മിനിമം-ദൈർഘ്യം 10 സജ്ജമാക്കുക
· വലിയക്ഷരങ്ങളും ചെറിയക്ഷരങ്ങളും, അക്കങ്ങളും, "!", "@", "#", "$", "%", "^" എന്നിങ്ങനെയുള്ള പ്രത്യേക പ്രതീകങ്ങളും ചേർന്ന് നിർമ്മിച്ച ആൽഫാന്യൂമെറിക്, വിരാമചിഹ്ന പ്രതീകങ്ങൾ എന്നിവ ഉൾപ്പെടുത്തുക. "&", "*", "(", ഒപ്പം ")". ഒന്നോ അതിലധികമോ അക്കങ്ങൾ, ഒന്നോ അതിലധികമോ ചിഹ്ന ചിഹ്നങ്ങൾ എന്നിവയിൽ കുറഞ്ഞത് ഒരു മാറ്റമെങ്കിലും ഉണ്ടായിരിക്കണം.
· പ്രതീക സെറ്റുകൾ അടങ്ങിയിരിക്കുന്നു. വലിയ അക്ഷരങ്ങൾ, ചെറിയക്ഷരങ്ങൾ, അക്കങ്ങൾ, വിരാമചിഹ്നങ്ങൾ, മറ്റ് പ്രത്യേക പ്രതീകങ്ങൾ എന്നിവ സാധുവായ പ്രതീക സെറ്റുകളിൽ ഉൾപ്പെടുന്നു.
[ തിരുത്തുക ] security-administrator@host# സെറ്റ് സിസ്റ്റം ലോഗിൻ പാസ്‌വേഡ് മാറ്റുക-തരം പ്രതീക-സെറ്റുകൾ

35
· ഏറ്റവും കുറഞ്ഞ പ്രതീക സെറ്റുകളോ പ്രതീക സെറ്റ് മാറ്റങ്ങളോ അടങ്ങിയിരിക്കുക. ജുനോസ് FIPS-ലെ പ്ലെയിൻ-ടെക്‌സ്‌റ്റ് പാസ്‌വേഡുകളിൽ ആവശ്യമായ പ്രതീക സെറ്റുകളുടെ ഏറ്റവും കുറഞ്ഞ എണ്ണം 3 ആണ്.
[തിരുത്തുക] security-administrator@host# സിസ്റ്റം ലോഗിൻ പാസ്‌വേഡ് മിനിമം-മാറ്റങ്ങൾ സജ്ജമാക്കുക 3
· ഉപയോക്തൃ പാസ്‌വേഡുകൾക്കുള്ള ഹാഷിംഗ് അൽഗോരിതം SHA256 അല്ലെങ്കിൽ SHA512 ആകാം (SHA512 എന്നത് ഡിഫോൾട്ട് ഹാഷിംഗ് അൽഗോരിതം ആണ്).
[തിരുത്തുക] security-administrator@host# സിസ്റ്റം ലോഗിൻ പാസ്‌വേഡ് ഫോർമാറ്റ് sha512 സജ്ജമാക്കുക
ശ്രദ്ധിക്കുക: ഉപകരണം ECDSA (P-256, P-384, P-521), RSA (2048, 3072, 4092 മോഡുലസ് ബിറ്റ് ദൈർഘ്യം) കീ-ടൈപ്പുകൾ പിന്തുണയ്ക്കുന്നു.
ശ്രദ്ധിക്കുക: കമ്മിറ്റിന് ശേഷം ജനറേറ്റ് ചെയ്യുന്ന പാസ്‌വേഡുകളെ മാത്രമേ പുതിയ ഹാഷ് അൽഗോരിതം ബാധിക്കുകയുള്ളൂ.
ദുർബലമായ പാസ്‌വേഡുകൾ ഇവയാണ്: · ഒരു സിസ്റ്റത്തിൽ ക്രമീകരിച്ച ഫോമിൽ കണ്ടെത്തിയതോ നിലനിൽക്കുന്നതോ ആയ വാക്കുകൾ file /etc/passwd പോലുള്ളവ. · സിസ്റ്റത്തിൻ്റെ ഹോസ്റ്റ്നാമം (എല്ലായ്പ്പോഴും ഒരു ആദ്യ ഊഹം). · ഒരു നിഘണ്ടുവിൽ ദൃശ്യമാകുന്ന ഏതെങ്കിലും വാക്കുകൾ. ഇതിൽ ഇംഗ്ലീഷ് ഒഴികെയുള്ള നിഘണ്ടുക്കളും കണ്ടെത്തിയ വാക്കുകളും ഉൾപ്പെടുന്നു
ഷേക്സ്പിയർ, ലൂയിസ് കരോൾ, റോജറ്റിൻ്റെ തെസോറസ് തുടങ്ങിയ കൃതികളിൽ. സ്‌പോർട്‌സ്, വാക്യങ്ങൾ, സിനിമകൾ, ടെലിവിഷൻ ഷോകൾ എന്നിവയിൽ നിന്നുള്ള പൊതുവായ വാക്കുകളും ശൈലികളും ഈ നിരോധനത്തിൽ ഉൾപ്പെടുന്നു. · മുകളിൽ പറഞ്ഞവയിലേതെങ്കിലും ക്രമപ്പെടുത്തലുകൾ. ഉദാample, സ്വരാക്ഷരങ്ങളുള്ള ഒരു നിഘണ്ടു വാക്ക് അക്കങ്ങൾ ഉപയോഗിച്ച് മാറ്റി (ഉദാample f00t) അല്ലെങ്കിൽ അവസാനം അക്കങ്ങൾ ചേർത്തു. · ഏതെങ്കിലും മെഷീൻ സൃഷ്ടിച്ച പാസ്‌വേഡുകൾ. അൽഗോരിതങ്ങൾ പാസ്‌വേഡ് ഊഹിക്കുന്ന പ്രോഗ്രാമുകളുടെ തിരയൽ ഇടം കുറയ്ക്കുന്നു, അതിനാൽ അവ ഉപയോഗിക്കാൻ പാടില്ല. ശക്തമായ പുനരുപയോഗിക്കാവുന്ന പാസ്‌വേഡുകൾ ഒരു പ്രിയപ്പെട്ട വാക്യത്തിൽ നിന്നോ വാക്കിൽ നിന്നോ ഉള്ള അക്ഷരങ്ങളെ അടിസ്ഥാനമാക്കിയുള്ളതാകാം, തുടർന്ന് അധിക അക്കങ്ങളും വിരാമചിഹ്നങ്ങളും സഹിതം ബന്ധമില്ലാത്ത മറ്റ് വാക്കുകളുമായി സംയോജിപ്പിക്കാം.

36
ഒരു നെറ്റ്‌വർക്ക് ഉപകരണ സഹകരണ സംരക്ഷണ പ്രോ കോൺഫിഗർ ചെയ്യുന്നുfile അംഗീകൃത അഡ്മിനിസ്ട്രേറ്റർ
ഒരു കോൺഫിഗറേഷനിൽ റൂട്ടിനായുള്ള ഒരു അക്കൗണ്ട് എല്ലായ്പ്പോഴും നിലവിലുണ്ട്, സാധാരണ പ്രവർത്തനത്തിൽ ഉപയോഗിക്കാൻ ഉദ്ദേശിച്ചുള്ളതല്ല. മൂല്യനിർണ്ണയ കോൺഫിഗറേഷനിൽ, മൂല്യനിർണ്ണയ ഉപകരണത്തിൻ്റെ പ്രാരംഭ ഇൻസ്റ്റാളേഷനും കോൺഫിഗറേഷനും റൂട്ട് അക്കൗണ്ട് പരിമിതപ്പെടുത്തിയിരിക്കുന്നു. ഒരു NDcPPv2.2e അംഗീകൃത അഡ്മിനിസ്ട്രേറ്റർക്ക് ഉപകരണ കോൺഫിഗറേഷൻ മാറ്റാനുള്ള കഴിവ് ഉൾപ്പെടെ എല്ലാ അനുമതികളും ഉണ്ടായിരിക്കണം. ഒരു അംഗീകൃത അഡ്‌മിനിസ്‌ട്രേറ്ററെ കോൺഫിഗർ ചെയ്യുന്നതിന്: 1. എല്ലാ അനുമതികളോടും കൂടി സെക്യൂരിറ്റി-അഡ്‌മിൻ എന്ന പേരിൽ ഒരു ലോഗിൻ ക്ലാസ് സൃഷ്‌ടിക്കുക.
[തിരുത്തുക] root@host# സിസ്റ്റം ലോഗിൻ ക്ലാസ് സെക്യൂരിറ്റി-അഡ്മിൻ അനുമതികൾ എല്ലാം സജ്ജമാക്കുക 2. പ്ലെയിൻ-ടെക്സ്റ്റ് പാസ്‌വേഡുകൾക്കായി ഹാഷ് ചെയ്ത അൽഗോരിതം sha512 ആയി കോൺഫിഗർ ചെയ്യുക.
[edit] root@host# സിസ്റ്റം ലോഗിൻ പാസ്‌വേഡ് ഫോർമാറ്റ് sha512 സജ്ജമാക്കുക 3. മാറ്റങ്ങൾ വരുത്തുക.
[edit] root@host# പ്രതിബദ്ധത 4. നിങ്ങളുടെ NDcPPv2.2e ഉപയോക്തൃ അംഗീകൃത അഡ്മിനിസ്ട്രേറ്ററെ നിർവചിക്കുക.
[തിരുത്തുക] root@host# സിസ്റ്റം ലോഗിൻ ഉപയോക്താവിനെ സജ്ജമാക്കുക NDcPPv2-ഉപയോക്തൃ ക്ലാസ് സുരക്ഷ-അഡ്മിൻ പ്രാമാണീകരണം എൻക്രിപ്റ്റ് ചെയ്ത പാസ്‌വേഡ്
OR
[തിരുത്തുക] root@host# സിസ്റ്റം ലോഗിൻ ഉപയോക്താവിനെ സജ്ജമാക്കുക NDcPPv2-ഉപയോക്തൃ ക്ലാസ് സുരക്ഷ-അഡ്മിൻ പ്രാമാണീകരണം പ്ലെയിൻ-ടെക്സ്റ്റ് പാസ്‌വേഡ്

37
5. ഒരു SSH കീ ലോഡ് ചെയ്യുക file അത് മുമ്പ് ssh-keygen ഉപയോഗിച്ച് സൃഷ്ടിച്ചതാണ്. ഈ കമാൻഡ് RSA (SSH പതിപ്പ് 2), അല്ലെങ്കിൽ ECDSA (SSH പതിപ്പ് 2) ലോഡ് ചെയ്യുന്നു.
[edit] root@host# സെറ്റ് സിസ്റ്റം റൂട്ട്-ഓതൻ്റിക്കേഷൻ ലോഡ്-കീ-file url:fileപേര് 6. SSH പ്രാമാണീകരണ കീകൾ ചേർക്കുമ്പോഴോ നീക്കം ചെയ്യുമ്പോഴോ ലോഗ്-കീ-മാറ്റങ്ങൾ കോൺഫിഗറേഷൻ സ്റ്റേറ്റ്മെൻ്റ് ലോഗ് ചെയ്യാൻ സജ്ജമാക്കുക.
[edit] root@host# സിസ്റ്റം സേവനങ്ങൾ ssh ലോഗ്-കീ-മാറ്റങ്ങൾ സജ്ജമാക്കുക
ശ്രദ്ധിക്കുക: ലോഗ്-കീ-മാറ്റങ്ങളുടെ കോൺഫിഗറേഷൻ സ്റ്റേറ്റ്മെൻ്റ് പ്രവർത്തനക്ഷമമാക്കുകയും പ്രതിജ്ഞാബദ്ധമാകുകയും ചെയ്യുമ്പോൾ (കമ്മിറ്റ് കമാൻഡ് കോൺഫിഗറേഷൻ മോഡിൽ), ഓരോ ഉപയോക്താവിനും വേണ്ടിയുള്ള അംഗീകൃത എസ്എസ്എച്ച് കീകളുടെ സെറ്റിലെ മാറ്റങ്ങൾ (ചേർത്തതോ നീക്കം ചെയ്തതോ ആയ കീകൾ ഉൾപ്പെടെ) Junos OS ലോഗ് ചെയ്യുന്നു. . ലോഗ്-കീ-മാറ്റങ്ങളുടെ കോൺഫിഗറേഷൻ സ്റ്റേറ്റ്മെൻ്റ് പ്രവർത്തനക്ഷമമാക്കിയതിന് ശേഷമുള്ള വ്യത്യാസങ്ങൾ Junos OS രേഖപ്പെടുത്തുന്നു. log-key-changes കോൺഫിഗറേഷൻ സ്റ്റേറ്റ്മെൻ്റ് ഒരിക്കലും പ്രവർത്തനക്ഷമമാക്കിയിട്ടില്ലെങ്കിൽ, Junos OS എല്ലാ അംഗീകൃത SSH കീകളും ലോഗ് ചെയ്യുന്നു.
7. മാറ്റങ്ങൾ വരുത്തുക.
[edit] root@host# പ്രതിബദ്ധത
ശ്രദ്ധിക്കുക: പാസ്‌വേഡ് സ്റ്റോറേജ് ഫോർമാറ്റിനായി sha256 / sha512 എന്നതിലേക്കുള്ള മാറ്റത്തിന് ശേഷം റൂട്ട് പാസ്‌വേഡ് പുനഃസജ്ജമാക്കണം. sha256 / sha512 ഹാഷ് ഉപയോഗിച്ച് പുതിയ പാസ്‌വേഡ് പരിരക്ഷിച്ചിട്ടുണ്ടെന്ന് ഇത് ഉറപ്പാക്കുന്നു. റൂട്ട് പാസ്‌വേഡ് പുനഃസജ്ജമാക്കുന്നതിന്, സിസ്റ്റം റൂട്ട്-ഓതൻ്റിക്കേഷൻ പ്ലെയിൻ-ടെക്‌സ്റ്റ് പാസ്‌വേഡ് പാസ്‌വേഡ് കമാൻഡ് ഉപയോഗിക്കുക, ആവശ്യപ്പെടുമ്പോൾ പുതിയ പാസ്‌വേഡ് സ്ഥിരീകരിക്കുക.
സമയം ഇഷ്ടാനുസൃതമാക്കുക
സമയം ഇഷ്ടാനുസൃതമാക്കാൻ, NTP പ്രവർത്തനരഹിതമാക്കി തീയതി സജ്ജമാക്കുക.

38
1. NTP പ്രവർത്തനരഹിതമാക്കുക.
[edit] security-administrator@hostname:fips# ഗ്രൂപ്പുകൾ നിർജ്ജീവമാക്കുക ഗ്ലോബൽ സിസ്റ്റം ntp security-administrator@hostname:fips# സിസ്റ്റം നിർജ്ജീവമാക്കുക ntp security-administrator@hostname:fips# commit security-administrator@hostname:fips# എക്സിറ്റ് 2. തീയതിയും ക്രമീകരണവും സമയം. തീയതിയും സമയ ഫോർമാറ്റും YYYYMMDDHHMM.ss ആണ്.
[തിരുത്തുക] security-administrator@hostname:fips# സെറ്റ് തീയതി 201803202034.00 security-administrator@hostname:fips# cli timest സജ്ജമാക്കുകamp
നിഷ്‌ക്രിയത്വ കാലഹരണപ്പെട്ട കാലയളവ് കോൺഫിഗറേഷനും പ്രാദേശികവും വിദൂരവുമായ നിഷ്‌ക്രിയ സെഷൻ അവസാനിപ്പിക്കലും
ഈ വിഭാഗത്തിൽ സെഷൻ അവസാനിപ്പിക്കൽ കോൺഫിഗർ ചെയ്യുക | 38 എസ്ample ലോക്കൽ അഡ്മിനിസ്ട്രേറ്റീവ് സെഷൻ അവസാനിപ്പിക്കുന്നതിനുള്ള ഔട്ട്പുട്ട് | 40 എസ്ampറിമോട്ട് അഡ്മിനിസ്ട്രേറ്റീവ് സെഷൻ അവസാനിപ്പിക്കുന്നതിനുള്ള ഔട്ട്പുട്ട് | 40 എസ്ampയൂസർ ഇനീഷ്യേറ്റഡ് ടെർമിനേഷനുള്ള ഔട്ട്പുട്ട് | 41
സെഷൻ അവസാനിപ്പിക്കൽ കോൺഫിഗർ ചെയ്യുക
സെക്യൂരിറ്റി അഡ്‌മിനിസ്‌ട്രേറ്റർ നിഷ്‌ക്രിയ സമയപരിധി കാലയളവ് വ്യക്തമാക്കിയതിന് ശേഷം സെഷൻ അവസാനിപ്പിക്കുക.

39
1. നിഷ്‌ക്രിയ സമയപരിധി സജ്ജീകരിക്കുക.
[തിരുത്തുക] security-administrator@host:fips# സിസ്റ്റം ലോഗിൻ ക്ലാസ് സെക്യൂരിറ്റി-അഡ്മിൻ നിഷ്‌ക്രിയ സമയപരിധി 2 സജ്ജമാക്കുക 2. ലോഗിൻ ആക്‌സസ് പ്രത്യേകാവകാശങ്ങൾ കോൺഫിഗർ ചെയ്യുക.
[തിരുത്തുക] security-administrator@host:fips# സിസ്റ്റം ലോഗിൻ ക്ലാസ് സെക്യൂരിറ്റി-അഡ്മിൻ അനുമതികൾ എല്ലാം സജ്ജമാക്കുക 3. കോൺഫിഗറേഷൻ കമ്മിറ്റ് ചെയ്യുക.
[തിരുത്തുക] security-administrator@host:fips# പ്രതിബദ്ധത
പൂർത്തിയാക്കുക 4. പാസ്‌വേഡ് സജ്ജമാക്കുക.
[edit] security-administrator@host:fips# സിസ്റ്റം ലോഗിൻ ഉപയോക്താവിനെ സജ്ജമാക്കുക NDcPPv2-ഉപയോക്തൃ പ്രാമാണീകരണം പ്ലെയിൻടെക്സ്റ്റ്-പാസ്‌വേഡ് പുതിയ പാസ്‌വേഡ്: പുതിയ പാസ്‌വേഡ് വീണ്ടും ടൈപ്പ് ചെയ്യുക: 5. ലോഗിൻ ക്ലാസ് നിർവചിക്കുക.
[തിരുത്തുക] security-administrator@host:fips# സിസ്റ്റം ലോഗിൻ ഉപയോക്താവിനെ സജ്ജമാക്കുക NDcPPv2-ഉപയോക്തൃ ക്ലാസ് സെക്യൂരിറ്റി-അഡ്മിൻ 6. കോൺഫിഗറേഷൻ കമ്മിറ്റ് ചെയ്യുക.
[തിരുത്തുക] security-administrator@host:fips# പ്രതിബദ്ധത
സമ്പൂർണ്ണമായി സമർപ്പിക്കുക

40
Sample ലോക്കൽ അഡ്മിനിസ്ട്രേറ്റീവ് സെഷൻ അവസാനിപ്പിക്കുന്നതിനുള്ള ഔട്ട്പുട്ട്
കോൺ ഹോസ്റ്റ് abcd ശ്രമിക്കുന്നു... 'ഓട്ടോലോഗിൻ': അജ്ഞാത വാദം (സഹായത്തിനായി 'സെറ്റ് ?'). device.ex-ലേക്ക് കണക്‌റ്റ് ചെയ്‌തുample.com എസ്കേപ്പ് പ്രതീകം '^]' ആണ്.
കണക്ഷൻ താൽക്കാലികമായി നിർത്താൻ ഹോട്ട് കീ ടൈപ്പ് ചെയ്യുക: Z FreeBSD/amd64 (host) (ttyu0) ലോഗിൻ: NDcPPv2-ഉപയോക്തൃ പാസ്‌വേഡ്: അവസാന ലോഗിൻ: ജൂൺ 23 22:42:27 മുതൽ 10.224.33.70
— JUNOS 22.2R1.4 കേർണൽ 64-ബിറ്റ് JNPR-11.0-20190316.df99236_buil NDcPPv2-user@host> മുന്നറിയിപ്പ്: പ്രവർത്തനമില്ലെങ്കിൽ സെഷൻ 1 മിനിറ്റിനുള്ളിൽ അവസാനിപ്പിക്കും മുന്നറിയിപ്പ്: സെഷൻ ഇല്ലെങ്കിൽ 10 സെക്കൻഡിനുള്ളിൽ ക്ലോസ് ചെയ്യും പ്രവർത്തനം നിഷ്‌ക്രിയ സമയപരിധി കവിഞ്ഞു: ക്ലോസിംഗ് സെഷൻ
FreeBSD/amd64 (ഹോസ്റ്റ്) (ttyu0)
Sampറിമോട്ട് അഡ്മിനിസ്ട്രേറ്റീവ് സെഷൻ അവസാനിപ്പിക്കുന്നതിനുള്ള ഔട്ട്പുട്ട്
ssh NDcPPv2-user@host പാസ്‌വേഡ്: അവസാന ലോഗിൻ: ജൂൺ 23 22:48:05 2019 — JUNOS 22.2R1.4 കേർണൽ 64-ബിറ്റ് JNPR-11.0-20190316.df99236_buil NDcPhov2-exiterPhovXNUMX-
ഹോസ്റ്റിലേക്കുള്ള കണക്ഷൻ അടച്ചു. ssh NDcPPv2-user@host പാസ്‌വേഡ്: അവസാനമായി ലോഗിൻ ചെയ്‌തത്: ജൂൺ 23 22:50:50 2019 മുതൽ 10.224.33.70 — JUNOS 22.2R1.6 Kernel 64-bit JNPR-11.0-20190316df99236 : സെഷൻ പ്രവർത്തനമില്ലെങ്കിൽ 2 മിനിറ്റിനുള്ളിൽ അടയ്‌ക്കും മുന്നറിയിപ്പ്: പ്രവർത്തനമില്ലെങ്കിൽ സെഷൻ 1 സെക്കൻഡിനുള്ളിൽ അടയ്‌ക്കും നിഷ്‌ക്രിയ സമയപരിധി കവിഞ്ഞു: ക്ലോസിംഗ് സെഷൻ

41
ഹോസ്റ്റിലേക്കുള്ള കണക്ഷൻ അടച്ചു.
Sample യൂസർ ഇനീഷ്യേറ്റഡ് ടെർമിനേഷനുള്ള ഔട്ട്പുട്ട്
ssh NDcPPv2-user@host പാസ്‌വേഡ്: അവസാനമായി ലോഗിൻ ചെയ്തത്: ജൂൺ 23 22:48:05 2019 — JUNOS 22.2R1.4 കേർണൽ 64-ബിറ്റ് JNPR-11.0-20190316.df99236_buil-ലേക്ക് hosterPhov2

4 അധ്യായം
SSH, കൺസോൾ കണക്ഷൻ കോൺഫിഗർ ചെയ്യുക
ഒരു സിസ്റ്റം ലോഗിൻ സന്ദേശവും അറിയിപ്പും കോൺഫിഗർ ചെയ്യുക | 43 NDcPPv2.2e എന്നതിനായുള്ള മൂല്യനിർണ്ണയ കോൺഫിഗറേഷനിൽ SSH കോൺഫിഗർ ചെയ്യുക | 44 SSH സെഷനുകൾക്കായുള്ള ഉപയോക്തൃ ലോഗിൻ ശ്രമങ്ങളുടെ എണ്ണം പരിമിതപ്പെടുത്തുക | 45

43
ഒരു സിസ്റ്റം ലോഗിൻ സന്ദേശവും അറിയിപ്പും കോൺഫിഗർ ചെയ്യുക
ഉപയോക്താവ് ലോഗിൻ ചെയ്യുന്നതിന് മുമ്പ് ഒരു സിസ്റ്റം ലോഗിൻ സന്ദേശവും ഉപയോക്താവ് ലോഗിൻ ചെയ്തതിന് ശേഷം ഒരു സിസ്റ്റം ലോഗിൻ അറിയിപ്പും ദൃശ്യമാകും. ഡിഫോൾട്ടായി, ലോഗിൻ സന്ദേശമോ അറിയിപ്പോ ഉപകരണത്തിൽ പ്രദർശിപ്പിക്കില്ല. കൺസോൾ അല്ലെങ്കിൽ മാനേജ്മെൻ്റ് ഇൻ്റർഫേസ് വഴി ഒരു സിസ്റ്റം ലോഗിൻ സന്ദേശം ക്രമീകരിക്കുന്നതിന്, ഇനിപ്പറയുന്ന കമാൻഡ് ഉപയോഗിക്കുക:
[edit] security-administrator@host:fips# സിസ്റ്റം ലോഗിൻ സന്ദേശം സജ്ജമാക്കുക login-message-banner-text സിസ്റ്റം അറിയിപ്പ് ക്രമീകരിക്കുന്നതിന്, ഇനിപ്പറയുന്ന കമാൻഡ് ഉപയോഗിക്കുക:
[തിരുത്തുക] security-administrator@host:fips# സിസ്റ്റം ലോഗിൻ പ്രഖ്യാപനം സിസ്റ്റം-പ്രഖ്യാപനം-ടെക്സ്റ്റ് സജ്ജമാക്കുക
ശ്രദ്ധിക്കുക: · സന്ദേശ വാചകത്തിൽ എന്തെങ്കിലും സ്‌പെയ്‌സുകൾ ഉണ്ടെങ്കിൽ, അത് ഉദ്ധരണി ചിഹ്നങ്ങളിൽ ഉൾപ്പെടുത്തുക. · ഇനിപ്പറയുന്ന പ്രത്യേക പ്രതീകങ്ങൾ ഉപയോഗിച്ച് നിങ്ങൾക്ക് സന്ദേശം ഫോർമാറ്റ് ചെയ്യാൻ കഴിയും:
· n–പുതിയ ലൈൻ · t–തിരശ്ചീന ടാബ് · '–ഒറ്റ ഉദ്ധരണി അടയാളം · “–ഇരട്ട ഉദ്ധരണി അടയാളം · \–ബാക്ക്സ്ലാഷ്

44
NDcPPv2.2e-നുള്ള മൂല്യനിർണ്ണയ കോൺഫിഗറേഷനിൽ SSH കോൺഫിഗർ ചെയ്യുക
മൂല്യനിർണ്ണയ കോൺഫിഗറേഷനിൽ അനുവദിച്ചിരിക്കുന്ന റിമോട്ട് മാനേജ്മെൻ്റ് ഇൻ്റർഫേസിലൂടെയുള്ള SSH. TOE-യുടെ റിമോട്ട് മാനേജ്മെൻ്റിനായി SSH എങ്ങനെ കോൺഫിഗർ ചെയ്യാമെന്ന് ഈ വിഷയം വിവരിക്കുന്നു. NDcPPv2.2e-യ്‌ക്കായി SSH സാധൂകരിക്കുന്നതിന് കോൺഫിഗർ ചെയ്യേണ്ട ഇനിപ്പറയുന്ന അൽഗോരിതങ്ങൾ. TOE-ൽ SSH കോൺഫിഗർ ചെയ്യുന്നതിന്: 1. സിസ്റ്റം സേവനങ്ങൾക്കായി അനുവദനീയമായ SSH ഹോസ്റ്റ്-കീ അൽഗോരിതങ്ങൾ വ്യക്തമാക്കുക.
സെക്യൂരിറ്റി-അഡ്‌മിനിസ്‌ട്രേറ്റർ@ഹോസ്റ്റ്:ഫിപ്‌സ്# സെറ്റ് സിസ്റ്റം സർവീസുകൾ ssh hostkey-algorithm ssh-ecdsa security-administrator@host:fips# സെറ്റ് സിസ്റ്റം സേവനങ്ങൾ ssh hostkey-algorithm no-ssh-dss security-administrator@host:fips# സെറ്റ് സിസ്റ്റം സേവനങ്ങൾ ssh hostkey-algorithm ssh-rsa security-administrator@host:fips# സെറ്റ് സിസ്റ്റം സേവനങ്ങൾ ssh hostkey-algorithm no-ssh-ed25519
2. സിസ്റ്റം സേവനങ്ങൾക്കായി Diffie-Hellman കീകൾക്കായി SSH കീ-എക്സ്ചേഞ്ച് വ്യക്തമാക്കുക.
[തിരുത്തുക] security-administrator@host:fips# സിസ്റ്റം സേവനങ്ങൾ സജ്ജമാക്കുക ssh കീ-എക്‌സ്‌ചേഞ്ച് dh-group14-sha1 security-administrator@host:fips# സിസ്റ്റം സേവനങ്ങൾ സജ്ജമാക്കുക ssh key-exchange ecdh-sha2-nistp256 security-administrator@host:fips # സിസ്റ്റം സേവനങ്ങൾ ssh കീ-എക്‌സ്‌ചേഞ്ച് ecdh-sha2-nistp384 security-administrator@host:fips# സെറ്റ് സിസ്റ്റം സേവനങ്ങൾ ssh കീ-എക്‌സ്‌ചേഞ്ച് ecdh-sha2-nistp521
3. SSHv2-നുള്ള എല്ലാ അനുവദനീയമായ സന്ദേശ പ്രാമാണീകരണ കോഡ് അൽഗോരിതങ്ങളും വ്യക്തമാക്കുക
[edit] security-administrator@host:fips# സിസ്റ്റം സേവനങ്ങൾ സജ്ജമാക്കുക ssh macs hmac-sha1 security-administrator@host:fips# സെറ്റ് സിസ്റ്റം സേവനങ്ങൾ ssh macs hmac-sha2-256 security-administrator@host:fips# സിസ്റ്റം സേവനങ്ങൾ ssh macs സജ്ജമാക്കുക hmac-sha2-512
4. പ്രോട്ടോക്കോൾ പതിപ്പ് 2-ന് അനുവദിച്ചിരിക്കുന്ന സൈഫറുകൾ വ്യക്തമാക്കുക.
[തിരുത്തുക] security-administrator@host:fips# സിസ്റ്റം സേവനങ്ങൾ സജ്ജമാക്കുക ssh സൈഫറുകൾ aes128-cbc security-administrator@host:fips# സെറ്റ് സിസ്റ്റം സേവനങ്ങൾ ssh സൈഫറുകൾ aes256-cbc

security-administrator@host:fips# സെറ്റ് സിസ്റ്റം സേവനങ്ങൾ ssh സൈഫറുകൾ aes128-ctr security-administrator@host:fips# സെറ്റ് സിസ്റ്റം സേവനങ്ങൾ ssh സൈഫറുകൾ aes256-ctr
പിന്തുണയ്ക്കുന്ന SSH ഹോസ്റ്റ്കീ അൽഗോരിതം:

ssh-ecdsa ssh-rsa

ECDSA ഹോസ്റ്റ്-കീ ജനറേഷൻ അനുവദിക്കുക RSA ഹോസ്റ്റ്-കീ ജനറേഷൻ അനുവദിക്കുക

പിന്തുണയ്ക്കുന്ന SSH കീ-എക്സ്ചേഞ്ച് അൽഗോരിതം:

dh-group14-sha1 ecdh-sha2-nistp256 ecdh-sha2-nistp384 ecdh-sha2-nistp521

SHA4253 ഹാഷിനൊപ്പം RFC 14 നിർബന്ധിത ഗ്രൂപ്പ്1, SHA256-2-നൊപ്പം nistp256-ൽ EC Diffie-Hellman, SHA384-2-നൊപ്പം EC Diffie-Hellman-ന് SHA384-521-നൊപ്പം nistp2-നൊപ്പം nistp512-നൊപ്പം ഡിഫി-ഹെൽമാൻ

പിന്തുണയ്‌ക്കുന്ന MAC-കളുടെ അൽഗോരിതം:

hmac-sha1 hmac-sha2-256 hmac-sha2-512

സുരക്ഷിത ഹാഷ് അൽഗോരിതം (SHA1) ഉപയോഗിക്കുന്ന ഹാഷ് അടിസ്ഥാനമാക്കിയുള്ള MAC (SHA2) സുരക്ഷിത ഹാഷ് അൽഗോരിതം (SHA2) ഹാഷ് അടിസ്ഥാനമാക്കിയുള്ള MAC ഉപയോഗിച്ച് സുരക്ഷിത ഹാഷ് അൽഗോരിതം (SHAXNUMX)

പിന്തുണയ്ക്കുന്ന SSH സൈഫറുകളുടെ അൽഗോരിതം:

aes128-cbc aes128-ctr aes256-cbc aes256-ctr

സൈഫർ ബ്ലോക്ക് ചെയിനിംഗിനൊപ്പം 128-ബിറ്റ് എഇഎസ്

SSH സെഷനുകൾക്കായുള്ള ഉപയോക്തൃ ലോഗിൻ ശ്രമങ്ങളുടെ എണ്ണം പരിമിതപ്പെടുത്തുക
ഒരു അഡ്‌മിനിസ്‌ട്രേറ്റർക്ക് SSH വഴി ഒരു ഉപകരണത്തിലേക്ക് വിദൂരമായി ലോഗിൻ ചെയ്യാം. അഡ്മിനിസ്ട്രേറ്റർ ക്രെഡൻഷ്യലുകൾ ഉപകരണത്തിൽ പ്രാദേശികമായി സംഭരിച്ചിരിക്കുന്നു. റിമോട്ട് അഡ്മിനിസ്‌ട്രേറ്റർ സാധുവായ ഒരു ഉപയോക്തൃനാമവും പാസ്‌വേഡും അവതരിപ്പിക്കുകയാണെങ്കിൽ, TOE-ലേക്കുള്ള ആക്‌സസ് അനുവദിക്കും. ക്രെഡൻഷ്യലുകൾ അസാധുവാണെങ്കിൽ, 1 സെക്കൻഡിന് ശേഷം ആരംഭിച്ച് ക്രമാതീതമായി വർദ്ധിക്കുന്ന ഒരു ഇടവേളയ്ക്ക് ശേഷം പ്രാമാണീകരണം വീണ്ടും ശ്രമിക്കാൻ TOE അനുവദിക്കുന്നു. പ്രാമാണീകരണ ശ്രമങ്ങളുടെ എണ്ണം എങ്കിൽ

46
കോൺഫിഗർ ചെയ്‌ത മാക്സിമം കവിയുന്നു, കോൺഫിഗർ ചെയ്‌ത സമയ ഇടവേളയ്‌ക്കായി ആധികാരികതയ്‌ക്കാനുള്ള ശ്രമങ്ങളൊന്നും സ്വീകരിക്കില്ല. ഇടവേള കാലഹരണപ്പെടുമ്പോൾ, പ്രാമാണീകരണ ശ്രമങ്ങൾ വീണ്ടും അംഗീകരിക്കപ്പെടും.
പരാജയപ്പെട്ട ശ്രമങ്ങൾക്ക് ശേഷം ഉപകരണം ലോക്ക് ചെയ്യപ്പെടുന്ന സമയം നിങ്ങൾ കോൺഫിഗർ ചെയ്യുന്നു. ട്രീസ്-ബിഫോർ-ഡിസ്‌കണക്റ്റ് സ്റ്റേറ്റ്‌മെൻ്റിൽ വ്യക്തമാക്കിയിട്ടുള്ള, പരാജയപ്പെട്ട ലോഗിൻ ശ്രമങ്ങളുടെ എണ്ണം കാരണം ലോക്ക് ഔട്ട് ആയതിന് ശേഷം ഉപകരണത്തിലേക്ക് ലോഗിൻ ചെയ്യാൻ ഉപയോക്താവിന് ശ്രമിക്കുന്നതിന് മിനിറ്റുകൾക്ക് മുമ്പുള്ള സമയം. വിച്ഛേദിക്കുന്നതിന് മുമ്പുള്ള പ്രസ്‌താവനയിൽ വ്യക്തമാക്കിയ അനുവദനീയമായ ശ്രമങ്ങളുടെ എണ്ണത്തിന് ശേഷം ഒരു ഉപയോക്താവ് ശരിയായി ലോഗിൻ ചെയ്യുന്നതിൽ പരാജയപ്പെടുമ്പോൾ, ഉപകരണത്തിലേക്ക് വീണ്ടും ലോഗിൻ ചെയ്യാൻ ശ്രമിക്കുന്നതിന് മുമ്പ് ഉപയോക്താവ് കോൺഫിഗർ ചെയ്‌ത മിനിറ്റുകൾ കാത്തിരിക്കണം.
ലോക്കൗട്ട് കാലയളവ് പൂജ്യത്തേക്കാൾ കൂടുതലായിരിക്കണം. നിങ്ങൾക്ക് ലോക്കൗട്ട് കാലയളവ് ക്രമീകരിക്കാൻ കഴിയുന്ന പരിധി ഒന്ന് മുതൽ 43,200 മിനിറ്റ് വരെയാണ്.
[സിസ്റ്റം ലോഗിൻ എഡിറ്റ് ചെയ്യുക] security-administrator@host:fips# സെറ്റ് വീണ്ടും ശ്രമിക്കൂ-ഓപ്‌ഷനുകൾ ലോക്കൗട്ട് കാലയളവ്
SSH വഴി ലോഗിൻ ചെയ്യുമ്പോൾ പാസ്‌വേഡ് നൽകാനുള്ള ശ്രമങ്ങളുടെ എണ്ണം പരിമിതപ്പെടുത്താൻ നിങ്ങൾക്ക് ഉപകരണം കോൺഫിഗർ ചെയ്യാം. ഇനിപ്പറയുന്ന കമാൻഡ് ഉപയോഗിച്ച്, കണക്ഷൻ.
[സിസ്റ്റം ലോഗിൻ എഡിറ്റ് ചെയ്യുക] security-administrator@host:fips# സെറ്റ് വീണ്ടും ശ്രമിക്കൂ-ഓപ്‌ഷനുകൾ ശ്രമിക്കുന്നതിന് മുമ്പ് വിച്ഛേദിക്കൂ
ഇവിടെ, ട്രൈസ്-ബിഫോർ-ഡിസ്‌കണക്റ്റ് എന്നത് ഒരു ഉപയോക്താവിന് ലോഗിൻ ചെയ്യുമ്പോൾ പാസ്‌വേഡ് നൽകാൻ എത്ര തവണ ശ്രമിക്കാമെന്നാണ്. വ്യക്തമാക്കിയ നമ്പറിന് ശേഷം ഒരു ഉപയോക്താവ് ലോഗിൻ ചെയ്യാൻ പരാജയപ്പെട്ടാൽ കണക്ഷൻ ക്ലോസ് ചെയ്യുന്നു. ശ്രേണി 1 മുതൽ 10 വരെയാണ്, സ്ഥിര മൂല്യം 10 ആണ്.
ഒന്നിലധികം ലോഗിൻ ശ്രമങ്ങൾ പരാജയപ്പെട്ടതിനാൽ റിമോട്ട് അഡ്മിനിസ്ട്രേഷൻ ശാശ്വതമായോ താൽക്കാലികമായോ ലഭ്യമല്ലാതാകുകയാണെങ്കിൽപ്പോലും പ്രാദേശിക അഡ്മിനിസ്ട്രേറ്റർ ആക്സസ് നിലനിർത്തും. ലോക്കൗട്ട് കാലയളവിൽ ലോക്കൽ അഡ്മിനിസ്ട്രേഷനുള്ള കൺസോൾ ലോഗിൻ ഉപയോക്താക്കൾക്ക് ലഭ്യമാകും.
പരാജയപ്പെട്ട ഒരു ശ്രമത്തിന് ശേഷം ഒരു ഉപയോക്താവിന് പാസ്‌വേഡ് നൽകാൻ ശ്രമിക്കുന്നതിന് മുമ്പ്, നിമിഷങ്ങൾക്കുള്ളിൽ നിങ്ങൾക്ക് കാലതാമസം ക്രമീകരിക്കാനും കഴിയും.
[സിസ്റ്റം ലോഗിൻ എഡിറ്റ് ചെയ്യുക] security-administrator@host:fips# വീണ്ടും ശ്രമിക്കൂ-ഓപ്‌ഷനുകൾ ബാക്ക്ഓഫ്-ത്രെഷോൾഡ് സജ്ജമാക്കുക
ഇവിടെ, ഒരു പാസ്‌വേഡ് വീണ്ടും നൽകുന്നതിന് ഉപയോക്താവിന് കാലതാമസം നേരിടുന്നതിന് മുമ്പ് പരാജയപ്പെട്ട ലോഗിൻ ശ്രമങ്ങളുടെ എണ്ണത്തിൻ്റെ പരിധിയാണ് ബാക്ക്ഓഫ്-ത്രെഷോൾഡ്. സെക്കൻ്റുകൾക്കുള്ളിലെ കാലതാമസത്തിൻ്റെ ദൈർഘ്യം വ്യക്തമാക്കാൻ ബാക്ക്ഓഫ് ഫാക്ടർ ഓപ്ഷൻ ഉപയോഗിക്കുക. ശ്രേണി 1 മുതൽ 3 വരെയാണ്, സ്ഥിര മൂല്യം 2 സെക്കൻഡ് ആണ്.

47
കൂടാതെ, ഉപയോക്താവിന് വീണ്ടും പാസ്‌വേഡ് നൽകുന്നതിൽ കാലതാമസം നേരിടുന്നതിന് മുമ്പ് പരാജയപ്പെട്ട ശ്രമങ്ങളുടെ എണ്ണത്തിൻ്റെ പരിധി വ്യക്തമാക്കുന്നതിന് ഉപകരണം കോൺഫിഗർ ചെയ്യാവുന്നതാണ്.
[സിസ്റ്റം ലോഗിൻ എഡിറ്റ് ചെയ്യുക] security-administrator@host:fips# set retry-options backoff-factor
ഇവിടെ, പരാജയപ്പെട്ട ഒരു ഉപയോക്താവിന് ലോഗിൻ ചെയ്യാൻ ശ്രമിക്കുന്നതിന് നിമിഷങ്ങൾക്കുള്ളിൽ, സമയദൈർഘ്യമാണ് ബാക്ക്ഓഫ് ഫാക്ടർ. ത്രെഷോൾഡിന് ശേഷമുള്ള ഓരോ തുടർന്നുള്ള ശ്രമത്തിനും വ്യക്തമാക്കിയ മൂല്യത്തിനനുസരിച്ച് കാലതാമസം വർദ്ധിക്കുന്നു. ശ്രേണി 5 മുതൽ 10 വരെയാണ്, സ്ഥിര മൂല്യം 5 സെക്കൻഡ് ആണ്. നിങ്ങൾക്ക് SSH വഴി ഉപയോക്തൃ ആക്സസ് നിയന്ത്രിക്കാനാകും. ssh റൂട്ട്-ലോഗിൻ നിരസിക്കൽ കോൺഫിഗർ ചെയ്യുന്നതിലൂടെ, മറ്റ് വിദൂര ഉപയോക്താക്കൾ ലോഗ് ഓഫ് ചെയ്‌താലും റൂട്ട് അക്കൗണ്ട് സജീവമായി തുടരുന്നുവെന്നും TOE-ന് പ്രാദേശിക അഡ്മിനിസ്‌ട്രേറ്റീവ് പ്രത്യേകാവകാശങ്ങൾ തുടർന്നും ഉണ്ടെന്നും നിങ്ങൾക്ക് ഉറപ്പാക്കാം.
[എഡിറ്റ് സിസ്റ്റം] security-administrator@host:fips# സെറ്റ് സേവനങ്ങൾ ssh റൂട്ട്-ലോഗിൻ നിഷേധിക്കുന്നു
SSH2 പ്രോട്ടോക്കോൾ സുരക്ഷിത എൻക്രിപ്ഷൻ ഉപയോഗിച്ച് സുരക്ഷിത ടെർമിനൽ സെഷനുകൾ നൽകുന്നു. SSH2 പ്രോട്ടോക്കോൾ കീ-എക്സ്ചേഞ്ച് ഘട്ടം പ്രവർത്തിപ്പിക്കുകയും സെഷനുവേണ്ടി എൻക്രിപ്ഷനും ഇൻ്റഗ്രിറ്റി കീകളും മാറ്റുകയും ചെയ്യുന്നു. നിർദ്ദിഷ്ട സെക്കൻഡുകൾക്ക് ശേഷമോ അല്ലെങ്കിൽ കണക്ഷനിലൂടെ ഡാറ്റയുടെ നിർദ്ദിഷ്ട ബൈറ്റുകൾ കടന്നുപോയതിന് ശേഷമോ കീ കൈമാറ്റം ഇടയ്ക്കിടെ നടക്കുന്നു. നിങ്ങൾക്ക് SSH റീകീയിംഗ്, FCS_SSHS_EXT.1.8, FCS_SSHC_EXT.1.8 എന്നിവയ്‌ക്കായി ത്രെഷോൾഡുകൾ കോൺഫിഗർ ചെയ്യാം. എസ്എസ്എച്ച് കണക്ഷനുകൾക്കുള്ളിൽ ഒരേ സെഷൻ കീകൾ ഒരു മണിക്കൂറിൽ കൂടുതൽ സമയപരിധിക്കുള്ളിൽ ഉപയോഗിക്കുന്നുണ്ടെന്നും ട്രാൻസ്മിറ്റ് ചെയ്ത ഡാറ്റയുടെ ഒരു ജിഗാബൈറ്റിൽ കൂടുതൽ ഉപയോഗിക്കരുതെന്നും ടിഎസ്എഫ് ഉറപ്പാക്കുന്നു. ഏതെങ്കിലുമൊരു പരിധിയിലെത്തുമ്പോൾ, ഒരു റീകീ നടത്തണം.
[എഡിറ്റ് സിസ്റ്റം] security-administrator@host:fips# സെറ്റ് സേവനങ്ങൾ ssh rekey സമയപരിധി
സെഷൻ കീകൾ വീണ്ടും ചർച്ച ചെയ്യുന്നതിനു മുമ്പുള്ള സമയ പരിധി 1 മുതൽ 1440 മിനിറ്റ് വരെയാണ്.
[എഡിറ്റ് സിസ്റ്റം] security-administrator@host:fips# സെറ്റ് സേവനങ്ങൾ ssh rekey ഡാറ്റ-പരിധി
സെഷൻ കീകൾ പുനരാലോചിക്കുന്നതിന് മുമ്പുള്ള ഡാറ്റ പരിധി 51200 മുതൽ 4294967295 ബൈറ്റ് വരെയാണ്.
ശ്രദ്ധിക്കുക: കണക്ഷൻ അബദ്ധവശാൽ തകരാറിലായാൽ SSH കണക്ഷൻ വീണ്ടും ആരംഭിക്കേണ്ടതുണ്ട്.

5 അധ്യായം
റിമോട്ട് സിസ്ലോഗ് സെർവർ കോൺഫിഗർ ചെയ്യുക
Sampഒരു ലിനക്സ് സിസ്റ്റത്തിലെ സിസ്ലോഗ് സെർവർ കോൺഫിഗറേഷൻ | 49

49
Sampഒരു Linux സിസ്റ്റത്തിൽ Syslog സെർവർ കോൺഫിഗറേഷൻ
സുരക്ഷിതമായ ഒരു Junos OS പരിതസ്ഥിതിക്ക് ഇവൻ്റുകൾ ഓഡിറ്റ് ചെയ്യുകയും ഒരു ലോക്കൽ ഓഡിറ്റിൽ സൂക്ഷിക്കുകയും ചെയ്യേണ്ടതുണ്ട് file. റെക്കോർഡ് ചെയ്‌ത ഇവൻ്റുകൾ ഒരേസമയം ഒരു ബാഹ്യ സിസ്‌ലോഗ് സെർവറിലേക്ക് അയയ്‌ക്കുന്നു. ഉപകരണത്തിൽ നിന്ന് സ്ട്രീം ചെയ്യുന്ന syslog സന്ദേശങ്ങൾ ഒരു syslog സെർവറിന് ലഭിക്കുന്നു. സ്ട്രീം ചെയ്ത syslog സന്ദേശങ്ങൾ സ്വീകരിക്കുന്നതിനായി കോൺഫിഗർ ചെയ്ത NETCONF പിന്തുണയുള്ള ഒരു SSH ക്ലയൻ്റ് syslog സെർവറിന് ഉണ്ടായിരിക്കണം. കോൺഫിഗറേഷൻ വിശദാംശങ്ങൾ ഉപയോഗിക്കുകയും മൂല്യനിർണ്ണയ ലക്ഷ്യത്തിനും (TOE) ഓഡിറ്റ് സെർവറിനുമിടയിൽ ഒരു സെഷൻ സ്ഥാപിക്കുകയും ചെയ്യുക. നിരവധി പ്രവർത്തനങ്ങളിൽ ഓഡിറ്റ് സെർവറിനും TOE നും ഇടയിൽ കടന്നുപോകുന്ന ട്രാഫിക് പരിശോധിക്കുക, കൂടാതെ ഓഡിറ്റ് സെർവറിലേക്ക് ട്രാൻസ്ഫർ ചെയ്യേണ്ട ഓഡിറ്റ് ഡാറ്റയും പരിശോധിക്കുക. ഓഡിറ്റ് ഡാറ്റ എക്സ്റ്റേണൽ ഓഡിറ്റ് സെർവറിലേക്ക് കൈമാറ്റം ചെയ്യപ്പെടുന്ന മാർഗങ്ങളും വിശ്വസനീയമായ ചാനൽ എങ്ങനെ നൽകപ്പെടുന്നുവെന്നും വ്യക്തമാക്കുന്നതിന് TOE സംഗ്രഹ സ്പെസിഫിക്കേഷൻ (TSS) പരിശോധിക്കുക. NDcPP ലോഗുകൾ ഇനിപ്പറയുന്ന ഇവൻ്റുകൾ ക്യാപ്‌ചർ ചെയ്യുന്നു: · പ്രതിജ്ഞാബദ്ധമായ മാറ്റങ്ങൾ · സിസ്റ്റം സ്റ്റാർട്ടപ്പ് · ഉപയോക്താക്കളുടെ ലോഗിൻ, ലോഗ്ഔട്ട് · ഒരു SSH സെഷൻ സ്ഥാപിക്കുന്നതിൽ പരാജയപ്പെടുന്നു റിമോട്ട് സിസ്റ്റം ലോഗ് സെർവറിൽ നിന്ന് ToE യിലേക്കുള്ള SSH കണക്ഷൻ ആരംഭിക്കുമ്പോൾ ഒരു റിമോട്ട് സെർവറിലേക്ക് ലോഗിൻ ചെയ്യുന്നു. 1. റിമോട്ട് സിസ്ലോഗ് സെർവറിൽ ഒരു RSA പബ്ലിക് കീ ജനറേറ്റ് ചെയ്യുക.
$ ssh-keygen -b 2048 -t rsa -C 'syslog-monitor key pair' -f ~/.ssh/syslog-monitor
ആവശ്യമുള്ള പാസ് വാക്യം നൽകാൻ നിങ്ങളോട് ആവശ്യപ്പെടും. syslog-monitor കീ ജോഡിയുടെ സംഭരണ ലൊക്കേഷനുകൾ പ്രദർശിപ്പിക്കുന്നു.

50
2. TOE-ൽ, ഇവൻ്റുകൾ കണ്ടെത്താനുള്ള അനുമതിയുള്ള മോണിറ്റർ എന്ന പേരിൽ ഒരു ക്ലാസ് സൃഷ്ടിക്കുക.
[സിസ്റ്റം ലോഗിൻ എഡിറ്റ് ചെയ്യുക] security-administrator@host:fips# സെറ്റ് ക്ലാസ് മോണിറ്റർ പെർമിഷൻസ് ട്രെയ്സ്
3. ക്ലാസ് മോണിറ്റർ ഉപയോഗിച്ച് syslog-mon എന്ന പേരിൽ ഒരു ഉപയോക്താവിനെ സൃഷ്ടിക്കുക, കൂടാതെ കീ ജോഡിയിൽ നിന്ന് syslogmonitor കീ ജോഡി ഉപയോഗിക്കുന്ന പ്രാമാണീകരണത്തോടെ file റിമോട്ട് syslog സെർവറിൽ സ്ഥിതി ചെയ്യുന്നു.
[സിസ്റ്റം ലോഗിൻ എഡിറ്റ് ചെയ്യുക] security-administrator@host:fips# syslog-monitor കീ ജോഡിയിൽ നിന്നുള്ള ഉപയോക്തൃ syslog-mon ക്ലാസ് മോണിറ്റർ പ്രാമാണീകരണം ssh-rsa പബ്ലിക് കീ സജ്ജമാക്കുക
4. SSH ഉപയോഗിച്ച് NETCONF സജ്ജീകരിക്കുക.
[സിസ്റ്റം സേവനങ്ങൾ എഡിറ്റ് ചെയ്യുക] security-administrator@host:fips# netconf ssh സജ്ജമാക്കുക
5. /var/log/messages എന്നതിൽ എല്ലാ സന്ദേശങ്ങളും ലോഗ് ചെയ്യാൻ syslog കോൺഫിഗർ ചെയ്യുക..
[സിസ്റ്റം സേവനങ്ങൾ എഡിറ്റ് ചെയ്യുക] security-administrator@host:fips# സെറ്റ് syslog file ഏതെങ്കിലും പ്രതിബദ്ധതയുള്ള സന്ദേശങ്ങൾ
6. റിമോട്ട് സിസ്റ്റം ലോഗ് സെർവറിൽ, SSH ഏജൻ്റ് ssh-ഏജൻ്റ് ആരംഭിക്കുക. syslog-monitor കീ കൈകാര്യം ചെയ്യുന്നത് ലളിതമാക്കാൻ സ്റ്റാർട്ടപ്പ് ആവശ്യമാണ്.
$ eval `ssh-agent -s`
7. റിമോട്ട് syslog സെർവറിൽ, ssh-agent-ലേക്ക് syslog-monitor കീ ജോഡി ചേർക്കുക.
$ ssh-add ~/.ssh/syslog-monitor ആവശ്യമുള്ള പാസ്‌ഫ്രെയ്‌സ് നൽകാൻ നിങ്ങളോട് ആവശ്യപ്പെടും. ഘട്ടം 1-ൽ ഉപയോഗിച്ച അതേ പാസ്‌ഫ്രെയ്‌സ് നൽകുക.

8. external_syslog_server സെഷനിൽ ലോഗിൻ ചെയ്‌ത ശേഷം, ഉപകരണത്തിലേക്ക് ഒരു തുരങ്കം സ്ഥാപിച്ച് NETCONF ആരംഭിക്കുക.

security-administrator@host:fips# $ssh syslog-mon@NDcPP_TOE -s netconf > test.out
9. NETCONF സ്ഥാപിച്ച ശേഷം, ഒരു സിസ്റ്റം ലോഗ് ഇവൻ്റുകൾ സന്ദേശ സ്ട്രീം കോൺഫിഗർ ചെയ്യുക. ഈ RPC NETCONF സേവനത്തെ സ്ഥാപിതമായ SSH കണക്ഷനിലൂടെ സന്ദേശങ്ങൾ കൈമാറാൻ തുടങ്ങും.
സന്ദേശങ്ങൾ
10. മുൻampsyslog സന്ദേശങ്ങൾക്കായുള്ള les താഴെ ലിസ്റ്റ് ചെയ്തിരിക്കുന്നു. TOE-യിലെ അഡ്മിൻ പ്രവർത്തനങ്ങൾക്കായി സൃഷ്ടിച്ച ഇവൻ്റ് ലോഗ് നിരീക്ഷിക്കുക syslog സെർവറിൽ ലഭിക്കുന്നു. ഓഡിറ്റ് സെർവറിനും TOE നും ഇടയിൽ കടന്നുപോകുന്ന ട്രാഫിക് പരിശോധിക്കുക, ഈ ഡാറ്റ അല്ലെന്ന് നിരീക്ഷിച്ച് viewഈ കൈമാറ്റ വേളയിൽ, അവ ഓഡിറ്റ് സെർവറിന് വിജയകരമായി ലഭിച്ചുവെന്നും. സിസ്‌ലോഗ് സെർവറിൽ ലോഗ് ഇൻ ചെയ്‌തിരിക്കുന്ന ലോക്കൽ ഇവൻ്റ് ലോഗിംഗും റിമോട്ട് ഇവൻ്റും തമ്മിലുള്ള ലോഗുകൾ പൊരുത്തപ്പെടുത്തുകയും പരിശോധനയ്ക്കിടെ ഓഡിറ്റ് സെർവറിൽ ഉപയോഗിക്കുന്ന പ്രത്യേക സോഫ്റ്റ്‌വെയർ (പേര്, പതിപ്പ്) രേഖപ്പെടുത്തുകയും ചെയ്യുക.
ഇനിപ്പറയുന്ന ഔട്ട്പുട്ട് syslog-server-നുള്ള ടെസ്റ്റ് ലോഗ് ഫലങ്ങൾ കാണിക്കുന്നു.

host@ssh-keygen -b 2048 -t rsa -C 'syslog-monitor key pair' -f ~/.ssh/syslog-monitor

പൊതു/സ്വകാര്യ ആർഎസ്എ കീ ജോഡി സൃഷ്ടിക്കുന്നു.

പാസ്‌ഫ്രെയ്‌സ് നൽകുക (പാസ്‌ഫ്രെയ്‌സ് ഇല്ലാത്തത് ശൂന്യമാണ്):

അതേ പാസ്‌ഫ്രെയ്‌സ് വീണ്ടും നൽകുക:

നിങ്ങളുടെ ഐഡൻ്റിഫിക്കേഷൻ /home/host/.ssh/syslog-monitor-ൽ സംരക്ഷിച്ചിരിക്കുന്നു.

നിങ്ങളുടെ പൊതു കീ /home/host/.ssh/syslog-monitor.pub-ൽ സംരക്ഷിച്ചിരിക്കുന്നു.

പ്രധാന വിരലടയാളം ഇതാണ്:

ef:75:d7:68:c5:ad:8d:6f:5e:7a:7e:9b:3d:f1:4d:3f syslog-monitor key pair

കീയുടെ ക്രമരഹിതമായ ചിത്രം ഇതാണ്:

+–[ RSA 2048]—-+

..|

. ബോ|

. . *.X|

. . ഒ ഇ@|

. .BX|

+—————–+

[host@nms5-vm-linux2 ~]$ പൂച്ച /home/host/.ssh/syslog-monitor.pub

ssh-rsa

AAAAB3NzaC1yc2EAAAADAQABAAABAQCrUREJUBpjwAoIgRrGy9zgt+

D2pikk3Q/Wdf8I5vr+njeqJhCx2bUAkrRbYXNILQQAZbg7kLfi/8TqqL eon4HOP2e6oCSorKdx/GrOTzLONL4fh0EyuSAk8bs5JuwWNBUokSFjxfjm025 CkbY+pUWb6m8/A1YjOFT+9esw+6S tF9Gbg+VpbYYk/Oday6z+z4tQHRFSrxj7G2aoliVDBLJparEMBc92w LdSUDxmgBTM8oadOmm+KreBU2KreBU6775 l9 R+lZ9RqmKH4wodIEM4K9wXEHzAzNZ2oLmaAVqT syslog-monitor കീ ജോഡി [host@nms34-vm-linux0 ~ ]$ eval `ssh-agent -s` Agent pid 01 [host@nms5-vm-linux2 ~]$ ssh-add ~/.ssh/syslog-monitor /home/host/.ssh/syslog-monitor എന്നതിനായുള്ള പാസ്ഫ്രെയ്സ് നൽകുക: ഐഡൻ്റിറ്റി ചേർത്തു: /home/host/.ssh/syslog-monitor (/home/host/.ssh/syslog-monitor)
നെറ്റ് കോൺഫിഗറേഷൻ ചാനൽ

host@nms5-vm-linux2 ~]$ ssh syslog-mon@starfire -s netconf
ഇത് NDcPP ടെസ്റ്റ് ഉപകരണമാണ്

urn:ietf:params:xml:ns:netconf:base:1.0 urn:ietf:params:xml:ns:netconf:capability:കാൻഡിഡേറ്റ്:1.0 urn:ietf:params:xml:ns:netconf:capability:confirmed-commit:1.0 urn:ietf:params:xml:ns:netconf:capability:validate:1.0 urn:ietf:params:xml:ns:netconf:ശേഷി:url:1.0?protocol=http,ftp,file</
കഴിവ്> http://xml.juniper.net/netconf/junos/1.0 http://xml.juniper.net/dmi/system/1.0
]]>]]>
സിസ്‌ലോഗ് സെർവറിൽ ലഭിക്കുന്ന TOE-ൽ സൃഷ്‌ടിച്ച ഇവൻ്റ് ലോഗുകൾ ഇനിപ്പറയുന്ന ഔട്ട്‌പുട്ട് കാണിക്കുന്നു.

ജനുവരി 20 17:04:51 ജനുവരി 20 17:04:51 ജനുവരി 20 17:04:53 55571 ssh2

starfire sshd[4182]: പിശക്: ഹോസ്റ്റ് കീ ലോഡുചെയ്യാൻ കഴിഞ്ഞില്ല: /etc/ssh/ssh_host_dsa_key starfire sshd[4182]: പിശക്: ഹോസ്റ്റ് കീ ലോഡുചെയ്യാൻ കഴിഞ്ഞില്ല: /etc/ssh/ssh_host_ecdsa_key starfire sshd-നായി]: Accepted password -അഡ്മിൻ 4182 പോർട്ടിൽ നിന്ന്

53
ജനുവരി 20 17:04:53 starfire mgd[4186]: UI_AUTH_EVENT: 'j-administrator' എന്ന അനുമതി ലെവലിൽ അംഗീകൃത ഉപയോക്താവ് 'സെക്കൻ്റ്-അഡ്മിൻ' ജനുവരി 20 17:04:53 starfire mgd[4186]: UI_LOGIN_EVENT: Usemin 'sec: ' ലോഗിൻ, ക്ലാസ് 'ജാഡ്മിനിസ്‌ട്രേറ്റർ' [4186], ssh-കണക്ഷൻ '10.209.11.24 55571 10.209.14.92 22', ക്ലയൻ്റ്-മോഡ് 'cli'
നെറ്റ് കോൺഫിഗറേഷൻ ചാനൽ
host@nms5-vm-linux2 ~]$ ssh syslog-mon@starfire -s netconf ഇതാണ് NDcPP ടെസ്റ്റ് ഉപകരണം

urn:ietf:params:xml:ns:netconf:base:1.0 urn:ietf:params:xml:ns:netconf:capability:കാൻഡിഡേറ്റ്:1.0 urn:ietf:params:xml:ns:netconf:capability:confirmed-commit:1.0 urn:ietf:params:xml:ns:netconf:capability:validate:1.0 urn:ietf:params:xml:ns:netconf:ശേഷി:url:1.0?protocol=http,ftp,file</
കഴിവ്> http://xml.juniper.net/netconf/junos/1.0 http://xml.juniper.net/dmi/system/1.0
]]>]]>
ലഭിച്ച പ്രാദേശിക സിസ്‌ലോഗുകളും റിമോട്ട് സിസ്‌ലോഗുകളും സമാനമാണെന്ന് ഇനിപ്പറയുന്ന ഔട്ട്‌പുട്ട് കാണിക്കുന്നു.
ലോക്കൽ : an 20 17:09:30 starfire mgd[4186]: UI_COMMIT_PROGRESS: കമ്മിറ്റ് ഓപ്പറേഷൻ പുരോഗമിക്കുന്നു: റിഡൻഡൻസി ഇൻ്റർഫേസ് മാനേജ്മെൻ്റ് പ്രോസസ് പുതിയ കോൺഫിഗറേഷൻ പരിശോധിക്കുന്നു ജനുവരി 20 17:09:30 starfire mgd[4186]: UI_CHILD_START' sbin/rdd' ജനുവരി 20 17:09:30 starfire mgd[4186]: UI_CHILD_STATUS: ക്ലീനപ്പ് ചൈൽഡ് '/usr/sbin/rdd', PID 4317, സ്റ്റാറ്റസ് 0 ജനുവരി 20 17:09:30 starfire mgd[4186]: UIROCOM_GREM:_SS കമ്മിറ്റ് പ്രവർത്തനം പുരോഗമിക്കുന്നു: ഡൈനാമിക് ഫ്ലോ ക്യാപ്‌ചർ സേവനം പുതിയ കോൺഫിഗറേഷൻ പരിശോധിക്കുന്നു ജനുവരി 20 17:09:30 starfire mgd[4186]: UI_CHILD_START: സ്റ്റാർട്ടിംഗ് ചൈൽഡ് '/usr/sbin/dfcd' ജനുവരി 20 17:09:30 starfire mgd[4186]: UI_CHILD_STATUS: ക്ലീനപ്പ് ചൈൽഡ് '/usr/sbin/dfcd', PID 4318, സ്റ്റാറ്റസ് 0 ജനുവരി 20 17:09:30 starfire mgd[4186]: UI_COMMIT_PROGRESS: കമ്മിറ്റ് ഓപ്പറേഷൻ പുരോഗമിക്കുന്നു: കണക്റ്റിവിറ്റി തകരാർ മാനേജ്മെൻ്റ് പ്രോസസ്സ് പരിശോധിക്കുന്നു.

54
ജനുവരി 20 17:09:30 സ്റ്റാർഫയർ mgd[4186]: UI_CHILD_START: സ്റ്റാർട്ടിംഗ് ചൈൽഡ് '/usr/sbin/cfmd' ജനുവരി 20 17:09:30 starfire mgd[4186]: UI_CHILD_STATUS: Cleanup child/cfm's , PID 4319, സ്റ്റാറ്റസ് 0 ജനുവരി 20 17:09:30 starfire mgd[4186]: UI_COMMIT_PROGRESS: കമ്മിറ്റ് ഓപ്പറേഷൻ പുരോഗമിക്കുന്നു: ലെയർ 2 വിലാസം വെള്ളപ്പൊക്കവും പഠന പ്രക്രിയയും പുതിയ കോൺഫിഗറേഷൻ പരിശോധിക്കുന്നു ജനുവരി 20 17:09:30 : സ്റ്റാർട്ടിംഗ് ചൈൽഡ് '/usr/sbin/l4186ald' ജനുവരി 2 20:17:09 starfire mgd[30]: UI_CHILD_STATUS: ക്ലീനപ്പ് ചൈൽഡ് '/usr/sbin/l4186ald', PID 2, സ്റ്റാറ്റസ് 4320 ജനുവരി 0 20:17:09 നക്ഷത്രം mgd[30]: UI_COMMIT_PROGRESS: കമ്മിറ്റ് ഓപ്പറേഷൻ പുരോഗതിയിലാണ്: ലെയർ 4186 കൺട്രോൾ പ്രോട്ടോക്കോൾ പ്രോസസ് പുതിയ കോൺഫിഗറേഷൻ പരിശോധിക്കുന്നു ജനുവരി 2 20:17:09 starfire mgd[30]: UI_CHILD_START: ആരംഭിക്കുന്ന കുട്ടി '/usr/sbin/l4186cpd' 2:20cpd'17 :09 starfire l30cp[2]: PNAC സ്റ്റേറ്റ് മെഷീനുകൾ ആരംഭിക്കുന്നു ജനുവരി 4321 20:17:09 starfire l30cp[2]: PNAC സ്റ്റേറ്റ് മെഷീനുകൾ ആരംഭിക്കുന്നത് ജനുവരി 4321 20:17:09 സ്റ്റാർഫയർ l30cp[2]: 4321 ആൻഡ് ജെ. 802.1 20:17:09 starfire l30cp[2]: ആക്സസ് പ്രോ റീഡ് ചെയ്യുകfile () config ജനുവരി 20 17:09:30 starfire mgd[4186]: UI_CHILD_STATUS: ക്ലീനപ്പ് ചൈൽഡ് '/usr/sbin/l2cpd', PID 4321, സ്റ്റാറ്റസ് 0 ജനുവരി 20 17:09:30 starfire mgd:UP_COMREMGD:[4186] പ്രവർത്തനം പുരോഗമിക്കുന്നു: മൾട്ടികാസ്റ്റ് സ്‌നൂപ്പിംഗ് പ്രോസസ്സ് പുതിയ കോൺഫിഗറേഷൻ പരിശോധിക്കുന്നു ജനുവരി 20 17:09:30 starfire mgd[4186]: UI_CHILD_START: സ്റ്റാർട്ടിംഗ് ചൈൽഡ് '/usr/sbin/mcsnoopd' ജനുവരി 20 17:09:30 starfire:USTICH_IL4186] mgd[4325] ക്ലീനപ്പ് ചൈൽഡ് '/usr/sbin/mcsnoopd', PID 0, സ്റ്റാറ്റസ് 20 ജനുവരി 17 09:30:4186 starfire mgd[20]: UI_COMMIT_PROGRESS: കമ്മിറ്റ് ഓപ്പറേഷൻ പുരോഗമിക്കുന്നു: കമ്മിറ്റ് റാപ്പപ്പ്... ജനുവരി 17 09:30:4186 starfire20:17 ]: UI_COMMIT_PROGRESS: കമ്മിറ്റ് ഓപ്പറേഷൻ പുരോഗതിയിലാണ്: '/var/etc/ntp.conf' സജീവമാക്കുന്നു ജനുവരി 09 30:4186:20 starfire mgd[17]: UI_COMMIT_PROGRESS: കമ്മിറ്റ് പ്രവർത്തനം പുരോഗമിക്കുന്നു: ffp സജീവമാക്കുക ജനുവരി 09: 30 starfire mgd[4186]: UI_CHILD_START: സ്റ്റാർട്ടിംഗ് ചൈൽഡ് '/usr/sbin/ffp' ജനുവരി 20 17:09:30 starfire ffp[4326]: “dynamic-profiles": പ്രോയ്ക്ക് മാറ്റമില്ലfiles……………………
റിമോട്ട് : an 20 17:09:30 starfire mgd[4186]: UI_COMMIT_PROGRESS: കമ്മിറ്റ് ഓപ്പറേഷൻ പുരോഗമിക്കുന്നു: റിഡൻഡൻസി ഇൻ്റർഫേസ് മാനേജ്മെൻ്റ് പ്രോസസ് പുതിയ കോൺഫിഗറേഷൻ പരിശോധിക്കുന്നു ജനുവരി 20 17:09:30 starfire mgd[4186]: UI_CHILD_START sbin/rdd' ജനുവരി 20 17:09:30 starfire mgd[4186]: UI_CHILD_STATUS: ക്ലീനപ്പ് ചൈൽഡ് '/usr/sbin/rdd', PID 4317, സ്റ്റാറ്റസ് 0 ജനുവരി 20 17:09:30 starfire mgd[4186]: UIROCOM_GREM:_SS കമ്മിറ്റ് ഓപ്പറേഷൻ പുരോഗമിക്കുന്നു: ഡൈനാമിക് ഫ്ലോ ക്യാപ്‌ചർ സേവനം പുതിയ കോൺഫിഗറേഷൻ പരിശോധിക്കുന്നു ജനുവരി 20 17:09:30 starfire mgd[4186]: UI_CHILD_START: ആരംഭിക്കുന്ന കുട്ടി '/usr/sbin/dfcd'

55
ജനുവരി 20 17:09:30 starfire mgd[4186]: UI_CHILD_STATUS: ക്ലീനപ്പ് ചൈൽഡ് '/usr/sbin/dfcd', PID 4318, സ്റ്റാറ്റസ് 0 ജനുവരി 20 17:09:30 starfire mgd[4186]: UI_GMRESIT-ൽ പ്രവർത്തനം പുരോഗമിക്കുന്നു. : കണക്റ്റിവിറ്റി തകരാർ മാനേജ്മെൻ്റ് പ്രക്രിയ പുതിയ കോൺഫിഗറേഷൻ പരിശോധിക്കുന്നു ജനുവരി 20 17:09:30 starfire mgd[4186]: UI_CHILD_START: സ്റ്റാർട്ടിംഗ് ചൈൽഡ് '/usr/sbin/cfmd' ജനുവരി 20 17:09:30 starfire mgd[4186]: UST_UST_CHIL4319] കുട്ടി '/usr/sbin/cfmd', PID 0, സ്റ്റാറ്റസ് 20 ജനുവരി 17 09:30:4186 starfire mgd[2]: UI_COMMIT_PROGRESS: കമ്മിറ്റ് ഓപ്പറേഷൻ പുരോഗമിക്കുന്നു: ലെയർ 20 വിലാസം വെള്ളപ്പൊക്കവും പഠന പ്രക്രിയയും പരിശോധിക്കുന്നു പുതിയ കോൺഫിഗറേഷൻ ജനുവരി: 17: 09 30 സ്റ്റാർഫയർ mgd[4186]: UI_CHILD_START: സ്റ്റാർട്ടിംഗ് ചൈൽഡ് '/usr/sbin/l2ald' ജനുവരി 20 17:09:30 starfire mgd[4186]: UI_CHILD_STATUS: ക്ലീനപ്പ് ചൈൽഡ് '/usr/sbin/l2ald', സ്റ്റാറ്റസ് PID, PID ജനുവരി 4320 0:20:17 starfire mgd[09]: UI_COMMIT_PROGRESS: കമ്മിറ്റ് ഓപ്പറേഷൻ പുരോഗമിക്കുന്നു: ലെയർ 30 കൺട്രോൾ പ്രോട്ടോക്കോൾ പ്രോസസ് പുതിയ കോൺഫിഗറേഷൻ പരിശോധിക്കുന്നു ജനുവരി 4186 2:20:17 starfire mgd[09]: UI_STARTStarbin mgd'/usr/CHILD_START /l30cpd' ജനുവരി 4186 2:20:17 starfire l09cp[30]: PNAC സ്റ്റേറ്റ് മെഷീനുകൾ ആരംഭിക്കുന്നു ജനുവരി 2 4321:20:17 starfire l09cp[30]: PNAC സ്റ്റേറ്റ് മെഷീനുകൾ ആരംഭിക്കുന്നത് ജനുവരി 2 4321:20:17 നക്ഷത്രം[09] : ആരംഭിച്ച 30X മൊഡ്യൂളും സ്റ്റേറ്റ് മെഷീനുകളും ജനുവരി 2 4321:802.1:20 starfire l17cp[09]: ആക്സസ് പ്രോ റീഡ് ചെയ്യുകfile () config ജനുവരി 20 17:09:30 starfire mgd[4186]: UI_CHILD_STATUS: ക്ലീനപ്പ് ചൈൽഡ് '/usr/sbin/l2cpd', PID 4321, സ്റ്റാറ്റസ് 0 ജനുവരി 20 17:09:30 starfire mgd:UP_COMREMGD:[4186] പ്രവർത്തനം പുരോഗമിക്കുന്നു: മൾട്ടികാസ്റ്റ് സ്‌നൂപ്പിംഗ് പ്രോസസ്സ് പുതിയ കോൺഫിഗറേഷൻ പരിശോധിക്കുന്നു ജനുവരി 20 17:09:30 starfire mgd[4186]: UI_CHILD_START: സ്റ്റാർട്ടിംഗ് ചൈൽഡ് '/usr/sbin/mcsnoopd' ജനുവരി 20 17:09:30 starfire:USTICH_IL4186] mgd[4325] ക്ലീനപ്പ് ചൈൽഡ് '/usr/sbin/mcsnoopd', PID 0, സ്റ്റാറ്റസ് 20 ജനുവരി 17 09:30:4186 starfire mgd[20]: UI_COMMIT_PROGRESS: കമ്മിറ്റ് ഓപ്പറേഷൻ പുരോഗമിക്കുന്നു: കമ്മിറ്റ് റാപ്പപ്പ്... ജനുവരി 17 09:30:4186 starfire20:17 ]: UI_COMMIT_PROGRESS: കമ്മിറ്റ് ഓപ്പറേഷൻ പുരോഗതിയിലാണ്: '/var/etc/ntp.conf' സജീവമാക്കുന്നു ജനുവരി 09 30:4186:20 starfire mgd[17]: UI_COMMIT_PROGRESS: കമ്മിറ്റ് പ്രവർത്തനം പുരോഗമിക്കുന്നു: ffp സജീവമാക്കുക ജനുവരി 09: 30 starfire mgd[4186]: UI_CHILD_START: സ്റ്റാർട്ടിംഗ് ചൈൽഡ് '/usr/sbin/ffp' ജനുവരി 20 17:09:30 starfire ffp[4326]: “dynamic-profiles": പ്രോയ്ക്ക് മാറ്റമില്ലfiles……………………

6 അധ്യായം
ഓഡിറ്റ് ലോഗ് ഓപ്ഷനുകൾ കോൺഫിഗർ ചെയ്യുക
മൂല്യനിർണ്ണയ കോൺഫിഗറേഷനിൽ ഓഡിറ്റ് ലോഗ് ഓപ്ഷനുകൾ കോൺഫിഗർ ചെയ്യുക | 57 എസ്ampകോൺഫിഗറേഷൻ മാറ്റങ്ങളുടെ കോഡ് ഓഡിറ്റുകൾ | 58

57
മൂല്യനിർണ്ണയ കോൺഫിഗറേഷനിൽ ഓഡിറ്റ് ലോഗ് ഓപ്ഷനുകൾ കോൺഫിഗർ ചെയ്യുക
ഈ വിഭാഗത്തിൽ ഓഡിറ്റ് ലോഗ് ഓപ്ഷനുകൾ കോൺഫിഗർ ചെയ്യുക | 57
മൂല്യനിർണ്ണയ കോൺഫിഗറേഷനിൽ ഓഡിറ്റ് ലോഗ് ഓപ്‌ഷനുകൾ എങ്ങനെ ക്രമീകരിക്കാമെന്ന് ഇനിപ്പറയുന്ന വിഭാഗം വിവരിക്കുന്നു.
ഓഡിറ്റ് ലോഗ് ഓപ്ഷനുകൾ കോൺഫിഗർ ചെയ്യുക
ഓഡിറ്റ് ലോഗ് ഓപ്‌ഷനുകൾ കോൺഫിഗർ ചെയ്യുന്നതിന്: 1. ഇവയുടെ എണ്ണം വ്യക്തമാക്കുക fileസിസ്റ്റം ലോഗിംഗ് സൗകര്യത്തിൽ ആർക്കൈവ് ചെയ്യണം.
[സിസ്റ്റം സിസ്‌ലോഗ് എഡിറ്റ് ചെയ്യുക] Security-administrator@host:fips# സെറ്റ് ആർക്കൈവ് files 2 2. വ്യക്തമാക്കുക file അതിൽ ഡാറ്റ ലോഗ് ചെയ്യണം. [സിസ്റ്റം സിസ്ലോഗ് എഡിറ്റ് ചെയ്യുക] security-administrator@host:fips# set file syslog ഏതെങ്കിലും ഏതെങ്കിലും 3. ഇതിൻ്റെ വലിപ്പം വ്യക്തമാക്കുക fileകൾ ആർക്കൈവ് ചെയ്യണം. [സിസ്റ്റം സിസ്ലോഗ് എഡിറ്റ് ചെയ്യുക] security-administrator@host:fips# set file syslog ആർക്കൈവ് വലുപ്പം 10000000

58
4. സിസ്റ്റം ലോഗിംഗ് സൗകര്യത്തിനായി സന്ദേശങ്ങളിലെ മുൻഗണനയും സൗകര്യവും വ്യക്തമാക്കുക.
[സിസ്റ്റം സിസ്ലോഗ് എഡിറ്റ് ചെയ്യുക] security-administrator@host:fips# set file syslog വ്യക്തമായ മുൻഗണന
5. ഒരു ഘടനാപരമായ ഫോർമാറ്റിൽ സിസ്റ്റം സന്ദേശങ്ങൾ ലോഗ് ചെയ്യുക.
[സിസ്റ്റം സിസ്ലോഗ് എഡിറ്റ് ചെയ്യുക] security-administrator@host:fips# set file syslog ഘടനാപരമായ ഡാറ്റ
Sampകോൺഫിഗറേഷൻ മാറ്റങ്ങളുടെ കോഡ് ഓഡിറ്റുകൾ
ഈ എസ്ample കോഡ് കോൺഫിഗറേഷൻ രഹസ്യ ഡാറ്റയിലെ എല്ലാ മാറ്റങ്ങളും ഓഡിറ്റ് ചെയ്യുകയും ലോഗുകൾ a ലേക്ക് അയയ്ക്കുകയും ചെയ്യുന്നു file ഓഡിറ്റ് എന്ന പേരിൽFile: .
[എഡിറ്റ് സിസ്റ്റം] സിസ്ലോഗ് {
file ഓഡിറ്റ്-File {അംഗീകാര വിവരം; മാറ്റം-ലോഗ് വിവരം; സംവേദനാത്മക-കമാൻഡ് വിവരം;
} }
ഈ എസ്ampരഹസ്യ ഡാറ്റ മാത്രമല്ല, കോൺഫിഗറേഷനിലെ എല്ലാ മാറ്റങ്ങളും ഓഡിറ്റ് ചെയ്യുന്നതിനായി le കോഡ് മിനിമം ഓഡിറ്റിൻ്റെ വ്യാപ്തി വിപുലീകരിക്കുന്നു, കൂടാതെ ലോഗുകൾ എ. file ഓഡിറ്റ് എന്ന പേരിൽFile: .
[എഡിറ്റ് സിസ്റ്റം] സിസ്ലോഗ് {
file ഓഡിറ്റ്-File {ഏതെങ്കിലും; അംഗീകാര വിവരം; മാറ്റം-ലോഗ് ഏതെങ്കിലും; സംവേദനാത്മക-കമാൻഡ് വിവരം;

59
കേർണൽ വിവരം; pfe വിവരം; } }
Example: കോൺഫിഗറേഷൻ മാറ്റങ്ങളുടെ സിസ്റ്റം ലോഗിംഗ്
ഈ മുൻample ആയി കാണിക്കുന്നുample കോൺഫിഗറേഷൻ, ഉപയോക്താക്കളിലും രഹസ്യ ഡാറ്റയിലും മാറ്റങ്ങൾ വരുത്തുന്നു. അപ്പോൾ അത് കാണിക്കുന്നു
യഥാർത്ഥ കോൺഫിഗറേഷനിലേക്ക് രഹസ്യ ഡാറ്റ ചേർക്കുകയും ലോഡ് കമാൻഡ് ഉപയോഗിച്ച് പ്രതിജ്ഞാബദ്ധമാക്കുകയും ചെയ്യുമ്പോൾ ഓഡിറ്റ് സെർവറിലേക്ക് അയച്ച വിവരങ്ങൾ.
[എഡിറ്റ് സിസ്റ്റം] സ്ഥാനം {
രാജ്യം-കോഡ് യുഎസ്; കെട്ടിടം B1; } … ലോഗിൻ ചെയ്യുക { സന്ദേശം “ഈ റൂട്ടറിൻ്റെ അനധികൃത ഉപയോഗം കർശനമായി നിരോധിച്ചിരിക്കുന്നു!”;
ഉപയോക്തൃ അഡ്മിൻ {uid 2000; ക്ലാസ് സൂപ്പർ യൂസർ;
പ്രാമാണീകരണം {എൻക്രിപ്റ്റഡ്-പാസ്വേഡ് "$ABC123"; # രഹസ്യ-ഡാറ്റ
} } } റേഡിയസ്-സെർവർ 192.0.2.15 {രഹസ്യമായ "$ABC123" # രഹസ്യ-ഡാറ്റ } സേവനങ്ങൾ {ssh; } സിസ്ലോഗ് { ഉപയോക്താവ് *{
ഏതെങ്കിലും അടിയന്തരാവസ്ഥ; } file സന്ദേശങ്ങൾ {
ഏതെങ്കിലും അറിയിപ്പ്; അംഗീകാര വിവരം; }

file സംവേദനാത്മക-കമാൻഡുകൾ {സംവേദനാത്മക-കമാൻഡുകൾ ഏതെങ്കിലും;
}}……
പുതിയ കോൺഫിഗറേഷൻ രഹസ്യ ഡാറ്റ കോൺഫിഗറേഷൻ പ്രസ്താവനകൾ മാറ്റുകയും ഒരു പുതിയ ഉപയോക്താവിനെ ചേർക്കുകയും ചെയ്യുന്നു.

security-administrator@host:fips# show | താരതമ്യം ചെയ്യുക

[സിസ്റ്റം ലോഗിൻ യൂസർ അഡ്‌മിൻ ആധികാരികത എഡിറ്റ് ചെയ്യുക]

എൻക്രിപ്റ്റ് ചെയ്ത-പാസ്വേഡ് "$ABC123"; # രഹസ്യ-ഡാറ്റ

+ എൻക്രിപ്റ്റ് ചെയ്ത-പാസ്വേഡ് "$ABC123"; # രഹസ്യ-ഡാറ്റ

[സിസ്റ്റം ലോഗിൻ എഡിറ്റ് ചെയ്യുക]

+ ഉപയോക്തൃ അഡ്‌മിൻ2 {

യുഐഡി 2001;

ക്ലാസ് ഓപ്പറേറ്റർ;

പ്രാമാണീകരണം {

എൻക്രിപ്റ്റ് ചെയ്ത-പാസ്വേഡ് "$ABC123";

# രഹസ്യ-ഡാറ്റ

}

[സിസ്റ്റം റേഡിയസ്-സെർവർ 192.0.2.15 എഡിറ്റ് ചെയ്യുക]

രഹസ്യം "$ABC123"; # രഹസ്യ-ഡാറ്റ

+ രഹസ്യം “$ABC123″; # രഹസ്യ-ഡാറ്റ

ഇവൻ്റ് ലോഗിംഗ് ഓവർview

വിലയിരുത്തിയ കോൺഫിഗറേഷന് സിസ്റ്റം ലോഗ് വഴിയുള്ള കോൺഫിഗറേഷൻ മാറ്റങ്ങളുടെ ഓഡിറ്റ് ആവശ്യമാണ്. കൂടാതെ, Junos OS-ന് ഇവ ചെയ്യാനാകും: · ഓഡിറ്റ് ഇവൻ്റുകളിലേക്ക് സ്വയമേവയുള്ള പ്രതികരണങ്ങൾ അയയ്‌ക്കുക (syslog എൻട്രി സൃഷ്‌ടിക്കൽ). · ഓഡിറ്റ് ലോഗുകൾ പരിശോധിക്കാൻ അംഗീകൃത മാനേജർമാരെ അനുവദിക്കുക. · ഓഡിറ്റ് അയയ്ക്കുക fileബാഹ്യ സെർവറുകളിലേക്കുള്ള എസ്. · അറിയാവുന്ന അവസ്ഥയിലേക്ക് സിസ്റ്റം തിരികെ നൽകാൻ അംഗീകൃത മാനേജർമാരെ അനുവദിക്കുക. മൂല്യനിർണ്ണയ കോൺഫിഗറേഷനായുള്ള ലോഗിംഗ് ഇവൻ്റുകൾ ക്യാപ്‌ചർ ചെയ്യണം. ലോഗിംഗ് ഇവൻ്റുകൾ ചുവടെ പട്ടികപ്പെടുത്തിയിരിക്കുന്നു: പേജ് 2-ലെ പട്ടിക 62 കാണിക്കുന്നു sampNDcPPv2.2e-നുള്ള syslog ഓഡിറ്റിങ്ങിനുള്ള le: പട്ടിക 2: ഓഡിറ്റബിൾ ഇവൻ്റുകൾ

ആവശ്യം

ഓഡിറ്റബിൾ ഇവന്റുകൾ

അധിക ഓഡിറ്റ് റെക്കോർഡ് ഉള്ളടക്കം

ഇവൻ്റ് എങ്ങനെയാണ് ജനറേറ്റ് ചെയ്യുന്നത്

FAU_GEN.1

ഒന്നുമില്ല

FAU_GEN.2

ഒന്നുമില്ല

FAU_STG_EXT.1

ഒന്നുമില്ല

FAU_STG.1

ഒന്നുമില്ല

FCS_CKM.1

ഒന്നുമില്ല

FCS_CKM.2

ഒന്നുമില്ല

FCS_CKM.4

ഒന്നുമില്ല

പട്ടിക 2: ഓഡിറ്റബിൾ ഇവൻ്റുകൾ (തുടരും)

ആവശ്യം

ഓഡിറ്റബിൾ ഇവന്റുകൾ

അധിക ഓഡിറ്റ് റെക്കോർഡ് ഉള്ളടക്കം

ഇവൻ്റ് എങ്ങനെയാണ് ജനറേറ്റ് ചെയ്യുന്നത്

FCS_COP.1/ ഡാറ്റ എൻക്രിപ്ഷൻ

ഒന്നുമില്ല

FCS_COP.1/SigGen ഒന്നുമില്ല

ഒന്നുമില്ല

FCS_COP.1/ഹാഷ്

ഒന്നുമില്ല

FCS_COP.1/ KeyedHash

ഒന്നുമില്ല

FCS_RBG_EXT.1

ഒന്നുമില്ല

FDP_RIP.2

ഒന്നുമില്ല

FIA_AFL.1

പരാജയപ്പെട്ട ലോഗിൻ ശ്രമങ്ങളുടെ പരിധി പാലിക്കുകയോ കവിഞ്ഞതോ ആണ്.

ശ്രമത്തിൻ്റെ ഉത്ഭവം (ഉദാ, IP വിലാസം).

sshd SSHD_LOGIN_ATTEMPTS_THRESHOLD [junos@2636.1.1.1.2.164 പരിധി=”3″ ഉപയോക്തൃനാമം=”റൂട്ട്”] വിജയിക്കാത്ത പ്രാമാണീകരണ ശ്രമങ്ങളുടെ പരിധി (3) ഉപയോക്താവ് 'റൂട്ട്' എത്തി

FIA_PMG_EXT.1

ഒന്നുമില്ല

പട്ടിക 2: ഓഡിറ്റബിൾ ഇവൻ്റുകൾ (തുടരും)

ആവശ്യം

ഓഡിറ്റബിൾ ഇവന്റുകൾ

അധിക ഓഡിറ്റ് റെക്കോർഡ് ഉള്ളടക്കം

ഇവൻ്റ് എങ്ങനെയാണ് ജനറേറ്റ് ചെയ്യുന്നത്

FIA_UIA_EXT.1

തിരിച്ചറിയൽ, പ്രാമാണീകരണ സംവിധാനത്തിന്റെ എല്ലാ ഉപയോഗവും.

നൽകിയ ഉപയോക്തൃ ഐഡൻ്റിറ്റി, ശ്രമത്തിൻ്റെ ഉത്ഭവം (ഉദാ, IP വിലാസം).

വിജയകരമായ റിമോട്ട് ലോഗിൻ
mgd 70652 UI_AUTH_EVENT [junos@2636.1.1.1.2.164 username=”root” authentication-level=”super-user”] 'സൂപ്പർ-യൂസർ' ക്ലാസിലേക്ക് ആധികാരികതയുള്ള ഉപയോക്താവ് 'റൂട്ട്' അസൈൻ ചെയ്‌തു
mgd 70652 UI_LOGIN_EVENT [junos@2636.1.1.1.2.164 username=”root” class-name=”super-user” local-peer=”” pid=”70652″ ssh-connection=”10.223.5.251. "" client-mode=”cli”] ഉപയോക്താവ് 'റൂട്ട്' ലോഗിൻ, ക്ലാസ് 'സൂപ്പർ-യൂസർ' [53476], ssh-കണക്ഷൻ '10.204.134.54 22 70652 10.223.5.251', ക്ലയൻ്റ്-മോഡ് 'cli'
വിദൂര ലോഗിൻ പരാജയപ്പെട്ടു
sshd – SSHD_LOGIN_FAILED [junos@2636.1.1.1.2.164 username=”root” source-address=”10.223.5.251″] ഹോസ്റ്റ് '10.223.5.251'-ൽ നിന്ന് ഉപയോക്താവിൻ്റെ 'root' നായി ലോഗിൻ പരാജയപ്പെട്ടു
വിജയകരമായ പ്രാദേശിക ലോഗിൻ
ലോഗിൻ 2671 LOGIN_INFORMATION [junos@2636.1.1.1.2.164 username=”root” hostname=”[unknown]” tty-name=”ttyu0″] ഉപയോക്താവ് റൂട്ട് ttyu0 ഉപകരണത്തിൽ ഹോസ്റ്റിൽ നിന്ന് ലോഗിൻ ചെയ്‌തു [അജ്ഞാതം]
ലോഗിൻ 2671 LOGIN_ROOT [junos@2636.1.1.1.2.164 ഉപയോക്തൃനാമം=”റൂട്ട്” ഹോസ്റ്റ്നാമം=”[അജ്ഞാതം]” tty-name=”ttyu0″] ഉപയോക്തൃ റൂട്ട് ttyu0 ഉപകരണത്തിലെ ഹോസ്റ്റിൽ നിന്ന് റൂട്ടായി ലോഗിൻ ചെയ്‌തു.
പ്രാദേശിക ലോഗിൻ പരാജയപ്പെട്ടു
ലോഗിൻ 70818 LOGIN_PAM_ERROR [junos@2636.1.1.1.2.164 username=”root” error-message=”സർവീസ് മൊഡ്യൂളിലെ പിശക്”]

പട്ടിക 2: ഓഡിറ്റബിൾ ഇവൻ്റുകൾ (തുടരും)

ആവശ്യം

ഓഡിറ്റബിൾ ഇവന്റുകൾ

അധിക ഓഡിറ്റ് റെക്കോർഡ് ഉള്ളടക്കം

ഇവൻ്റ് എങ്ങനെയാണ് ജനറേറ്റ് ചെയ്യുന്നത്

ഉപയോക്തൃ റൂട്ട് പ്രാമാണീകരിക്കുമ്പോൾ പരാജയം: സേവന മൊഡ്യൂളിലെ പിശക്
ലോഗിൻ 70818 LOGIN_FAILED [junos@2636.1.1.1.2.164 username=”root” source-address=”ttyu0″] ഹോസ്റ്റ് ttyu0-ൽ നിന്നുള്ള ഉപയോക്തൃ റൂട്ടിനായി ലോഗിൻ പരാജയപ്പെട്ടു

പട്ടിക 2: ഓഡിറ്റബിൾ ഇവൻ്റുകൾ (തുടരും)

ആവശ്യം

ഓഡിറ്റബിൾ ഇവന്റുകൾ

അധിക ഓഡിറ്റ് റെക്കോർഡ് ഉള്ളടക്കം

ഇവൻ്റ് എങ്ങനെയാണ് ജനറേറ്റ് ചെയ്യുന്നത്

FIA_UAU_EXT.2

തിരിച്ചറിയൽ, പ്രാമാണീകരണ സംവിധാനത്തിന്റെ എല്ലാ ഉപയോഗവും.

ശ്രമത്തിൻ്റെ ഉത്ഭവം (ഉദാ, IP വിലാസം).

പട്ടിക 2: ഓഡിറ്റബിൾ ഇവൻ്റുകൾ (തുടരും)

ആവശ്യം

ഓഡിറ്റബിൾ ഇവന്റുകൾ

അധിക ഓഡിറ്റ് റെക്കോർഡ് ഉള്ളടക്കം

ഇവൻ്റ് എങ്ങനെയാണ് ജനറേറ്റ് ചെയ്യുന്നത്

FIA_UAU.7

ഒന്നുമില്ല

FMT_MOF.1/ മാനുവൽ അപ്‌ഡേറ്റ്

ഒരു മാനുവൽ അപ്‌ഡേറ്റ് ആരംഭിക്കാനുള്ള ഏതൊരു ശ്രമവും.

ഒന്നുമില്ല

UI_CMDLINE_READ_LINE [junos@2636.1.1.1.2.164 ഉപയോക്തൃനാമം=”secofficer” കമാൻഡ്=”അഭ്യർത്ഥന സിസ്റ്റം സോഫ്‌റ്റ്‌വെയർ ചേർക്കുക /var/tmp/junos-mx240-22.2R1.1.tgz novalidate “] ഉപയോക്താവ് 'sec-officer', കമാൻഡ് സിസ്റ്റം 'request' സോഫ്റ്റ്‌വെയർ ചേർക്കുക /var/tmp/ junos-mx240-22.2R1.1.tgz no-validate '

FMT_MTD.1/ CoreData

TSF ഡാറ്റയുടെ എല്ലാ മാനേജ്മെൻ്റ് പ്രവർത്തനങ്ങളും

ഒന്നുമില്ല

ഈ പട്ടികയിൽ പട്ടികപ്പെടുത്തിയിരിക്കുന്ന ഓഡിറ്റ് ഇവൻ്റുകൾ കാണുക.

FMT_SMF.1/IPS

ഒന്നുമില്ല

FMT_SMF.1/ND

ഒന്നുമില്ല

FMT_SMR.2

ഒന്നുമില്ല

FPT_SKP_EXT.1

ഒന്നുമില്ല

FPT_APW_EXT.1

ഒന്നുമില്ല

FPT_TST_EXT.1

ഒന്നുമില്ല

പട്ടിക 2: ഓഡിറ്റബിൾ ഇവൻ്റുകൾ (തുടരും)

ആവശ്യം

ഓഡിറ്റബിൾ ഇവന്റുകൾ

അധിക ഓഡിറ്റ് റെക്കോർഡ് ഉള്ളടക്കം

ഇവൻ്റ് എങ്ങനെയാണ് ജനറേറ്റ് ചെയ്യുന്നത്

FPT_TUD_EXT.1

അപ്ഡേറ്റിന്റെ തുടക്കം; അപ്ഡേറ്റ് ശ്രമത്തിന്റെ ഫലം (വിജയം അല്ലെങ്കിൽ പരാജയം)

ഒന്നുമില്ല

FPT_STM_EXT.1

സമയത്തിലെ തുടർച്ചയായ മാറ്റങ്ങൾ ഒന്നുകിൽ അഡ്‌മിനിസ്‌ട്രേറ്റർ പ്രവർത്തനക്ഷമമാക്കുകയോ ഒരു യാന്ത്രിക പ്രക്രിയയിലൂടെ മാറ്റുകയോ ചെയ്യുന്നു.

സമയത്തിൻ്റെ തുടർച്ചയായ മാറ്റങ്ങൾക്ക്: കാലത്തേക്കുള്ള പഴയതും പുതിയതുമായ മൂല്യങ്ങൾ. വിജയത്തിനും പരാജയത്തിനുമുള്ള സമയം മാറ്റാനുള്ള ശ്രമത്തിൻ്റെ ഉത്ഭവം (ഐപി വിലാസം പോലുള്ളവ).

mgd 71079 UI_CMDLINE_READ_LINE [junos@2636.1.1.1.2.164 username=”root” command=”set date 202005201815.00 “] User 'root', command 'set date 202005201815.00.
mgd 71079 UI_COMMIT_PROGRESS [junos@2636.1.1.1.2.164 സന്ദേശം=”സിഗ്നലിംഗ് 'നെറ്റ്‌വർക്ക് സെക്യൂരിറ്റി ഡെമൺ', pid 2641, സിഗ്നൽ 31, അറിയിപ്പ് പിശകുകളുള്ള സ്റ്റാറ്റസ് 0 പ്രവർത്തനക്ഷമമാക്കി”] കമ്മിറ്റ് ഓപ്പറേഷൻ പുരോഗതിയിലാണ്: ദാ സിഗ്നലിംഗ് 2641 മോൺ' നെറ്റ്‌വർക്ക് 31 സിഗ്നൽ 0, അറിയിപ്പ് പിശകുകളുള്ള സ്റ്റാറ്റസ് 2641 പ്രവർത്തനക്ഷമമാക്കി nsd XNUMX NSD_SYS_TIME_CHANGE – സിസ്റ്റം സമയം മാറി

FTA_SSL_EXT.1 (സെഷൻ അവസാനിപ്പിക്കുക തിരഞ്ഞെടുത്താൽ)

സെഷൻ ലോക്കിംഗ് മെക്കാനിസം വഴി ഒരു ലോക്കൽ ഇൻ്ററാക്ടീവ് സെഷൻ്റെ അവസാനിപ്പിക്കൽ.

ഒന്നുമില്ല

cli – UI_CLI_IDLE_TIMEOUT [junos@2636.1.1.1.2.164 ഉപയോക്തൃനാമം=”root”] ഉപയോക്താവിൻ്റെ 'റൂട്ട്' എന്നതിനായുള്ള നിഷ്‌ക്രിയ സമയപരിധി കവിയുകയും സെഷൻ അവസാനിപ്പിക്കുകയും ചെയ്തു

FTA_SSL.3

സെഷൻ ലോക്കിംഗ് സംവിധാനം വഴി ഒരു റിമോട്ട് സെഷൻ അവസാനിപ്പിക്കൽ.

ഒന്നുമില്ല

പട്ടിക 2: ഓഡിറ്റബിൾ ഇവൻ്റുകൾ (തുടരും)

ആവശ്യം

ഓഡിറ്റബിൾ ഇവന്റുകൾ

അധിക ഓഡിറ്റ് റെക്കോർഡ് ഉള്ളടക്കം

ഇവൻ്റ് എങ്ങനെയാണ് ജനറേറ്റ് ചെയ്യുന്നത്

FTA_SSL.4

ഒരു സംവേദനാത്മക സെഷന്റെ അവസാനിപ്പിക്കൽ.

ഒന്നുമില്ല

mgd 71668 UI_LOGOUT_EVENT [junos@2636.1.1.1.2.164 ഉപയോക്തൃനാമം=”റൂട്ട്”] ഉപയോക്താവിൻ്റെ 'റൂട്ട്' ലോഗ്ഔട്ട്

FTA_TAB.1

ഒന്നുമില്ല

FCS_SSHS_EXT.1

പരാജയത്തിൻ്റെ കാരണം സ്ഥാപിക്കുന്നതിൽ പരാജയം ഒരു SSH സെഷൻ

sshd 72404 – – 1.1.1.2 പോർട്ട് 42168-മായി ചർച്ച ചെയ്യാൻ കഴിയുന്നില്ല: പൊരുത്തപ്പെടുന്ന സൈഫറൊന്നും കണ്ടെത്തിയില്ല. അവരുടെ ഓഫർ: chacha20poly1305@openssh.com, aes128-ctr, aes192-ctr,aes256-ctr, aes128gcm@openssh.com, aes256gcm@openssh.com, aes128-cbc, aes192-cbc-cbc-

FTP_ITC.1

വിശ്വസനീയമായ ചാനലിൻ്റെ തുടക്കം. വിശ്വസനീയ ചാനലിൻ്റെ അവസാനിപ്പിക്കൽ. വിശ്വസനീയമായ ചാനൽ പ്രവർത്തനങ്ങളുടെ പരാജയം

പരാജയപ്പെട്ട വിശ്വസനീയ ചാനലുകൾ സ്ഥാപിക്കാനുള്ള ശ്രമത്തിൻ്റെ തുടക്കക്കാരനെയും ലക്ഷ്യത്തെയും തിരിച്ചറിയൽ

വിശ്വസനീയമായ പാതയുടെ തുടക്കം
sshd 72418 – – 10.223.5.251 പോർട്ട് 42482 ssh2-ൽ നിന്നുള്ള റൂട്ടിനായി കീബോർഡ് ഇൻ്ററാക്ടീവ്/പാം സ്വീകരിച്ചു
വിശ്വസനീയമായ പാതയുടെ വിരാമം
sshd 72418 – – യൂസർ റൂട്ടിൽ നിന്ന് വിച്ഛേദിച്ചു 10.223.5.251 പോർട്ട് 42482 വിശ്വസനീയമായ പാതയുടെ പരാജയം
sshd – SSHD_LOGIN_FAILED [junos@2636.1.1.1.2.164 username=”root” source-address=”10.223.5.251″] ഹോസ്റ്റ് '10.223.5.251'-ൽ നിന്ന് ഉപയോക്താവിൻ്റെ 'root' നായി ലോഗിൻ പരാജയപ്പെട്ടു

പട്ടിക 2: ഓഡിറ്റബിൾ ഇവൻ്റുകൾ (തുടരും)

ആവശ്യം

ഓഡിറ്റബിൾ ഇവന്റുകൾ

അധിക ഓഡിറ്റ് റെക്കോർഡ് ഉള്ളടക്കം

ഇവൻ്റ് എങ്ങനെയാണ് ജനറേറ്റ് ചെയ്യുന്നത്

FTP_TRP.1/അഡ്മിൻ

വിശ്വസനീയമായ പാതയുടെ തുടക്കം. വിശ്വസനീയമായ പാതയുടെ വിരാമം. വിശ്വസനീയമായ പാത പ്രവർത്തനങ്ങളുടെ പരാജയം.

ഒന്നുമില്ല

വിശ്വസനീയമായ പാതയുടെ തുടക്കം
sshd 72418 – – 10.223.5.251 പോർട്ട് 42482 ssh2-ൽ നിന്നുള്ള റൂട്ടിനായി കീബോർഡ് ഇൻ്ററാക്ടീവ്/പാം സ്വീകരിച്ചു
വിശ്വസനീയമായ പാതയുടെ വിരാമം
sshd 72418 – – യൂസർ റൂട്ട് 10.223.5.251 പോർട്ട് 42482 ൽ നിന്ന് വിച്ഛേദിച്ചു
വിശ്വസനീയമായ പാതയുടെ പരാജയം
sshd – SSHD_LOGIN_FAILED [junos@2636.1.1.1.2.164 username=”root” source-address=”10.223.5.251″] ഹോസ്റ്റ് '10.223.5.251'-ൽ നിന്ന് ഉപയോക്താവിൻ്റെ 'root' നായി ലോഗിൻ പരാജയപ്പെട്ടു

FCS_SSHS_EXT.1

പരാജയത്തിൻ്റെ കാരണം സ്ഥാപിക്കുന്നതിൽ പരാജയം ഒരു SSH സെഷൻ

sshd 72404 – – 1.1.1.2 പോർട്ട് 42168-മായി ചർച്ച ചെയ്യാൻ കഴിയുന്നില്ല: പൊരുത്തപ്പെടുന്ന സൈഫറൊന്നും കണ്ടെത്തിയില്ല. അവരുടെ ഓഫർ: chacha20poly1305@openssh.com, aes128-ctr,aes192ctr, aes256-ctr, aes128-gcm@openssh.com, aes256-gcm@openssh.com, aes128-cbc, aes192-cb256

FIA_X509_EXT.1/റവ

ഒരു സർട്ടിഫിക്കറ്റ് സാധൂകരിക്കാനുള്ള ശ്രമം പരാജയപ്പെട്ടു

പരാജയത്തിന്റെ കാരണം

verify-sig 72830 – – ecerts.pem സാധൂകരിക്കാൻ കഴിയില്ല: സബ്ജക്റ്റ് ഇഷ്യൂവർ പൊരുത്തക്കേട്: /C=US/ ST=CA/L=Sunnyvale/O=Juniper Networks/ OU=ജൂണിപ്പർ CA/CN=PackageProduction TestEc_2017_NO_DEFECTS/ecajuniAddress. വല

FIA_X509_EXT.2

ഒന്നുമില്ല

FIA_X509_EXT.3

ഒന്നുമില്ല

പട്ടിക 2: ഓഡിറ്റബിൾ ഇവൻ്റുകൾ (തുടരും)

ആവശ്യം

ഓഡിറ്റബിൾ ഇവന്റുകൾ

അധിക ഓഡിറ്റ് റെക്കോർഡ് ഉള്ളടക്കം

ഇവൻ്റ് എങ്ങനെയാണ് ജനറേറ്റ് ചെയ്യുന്നത്

FMT_MOF.1/ പ്രവർത്തനങ്ങൾ

ഒരു ബാഹ്യ ഐടി എൻ്റിറ്റിയിലേക്കുള്ള ഓഡിറ്റ് ഡാറ്റയുടെ കൈമാറ്റം, ഓഡിറ്റ് ഡാറ്റ കൈകാര്യം ചെയ്യൽ, ലോക്കൽ ഓഡിറ്റ് സ്റ്റോറേജ് സ്പേസ് നിറഞ്ഞിരിക്കുമ്പോൾ ഓഡിറ്റ് പ്രവർത്തനം എന്നിവയുടെ പെരുമാറ്റം പരിഷ്ക്കരിക്കുക.

ഒന്നുമില്ല

mgd 71891 UI_RESTART_EVENT [junos@2636.1.1.1.2.164 ഉപയോക്തൃനാമം=”റൂട്ട്” പ്രോസസ്സ്-നാമം=”നെറ്റ്‌വർക്ക് സെക്യൂരിറ്റി ഡെമൺ” വിവരണം=” ഉടനടി”] ഉപയോക്താവ് 'റൂട്ട്' ഡെമൺ പുനരാരംഭിക്കുന്നു 'നെറ്റ്‌വർക്ക് സെക്യൂരിറ്റി ഡെമൺ' ഉടൻ ആരംഭിക്കുന്നു - – – നെറ്റ്‌വർക്ക് സുരക്ഷ. 72907) സിഗ്നൽ നമ്പർ 9 വഴി അവസാനിപ്പിച്ചു! init – – – network-security (PID 72929) ആരംഭിച്ചു

FMT_MOF.1/ സേവനങ്ങൾ

സേവനങ്ങൾ ആരംഭിക്കുന്നതും നിർത്തുന്നതും.

ഒന്നുമില്ല

FMT_MTD.1/ CryptoKeys

ക്രിപ്റ്റോഗ്രാഫിക് കീകളുടെ മാനേജ്മെൻ്റ്.

ഒന്നുമില്ല

SSH കീ
ssh-keygen 2706 – – ജനറേറ്റ് ചെയ്ത SSH കീ file /root/.ssh/id_rsa.pub വിരലടയാളമുള്ള SHA256:EQotXjlahhlVplg + YBLbFR3TdmJMpm6D1FSjRo6lVE4 ssh-keygen 2714 – – ജനറേറ്റഡ് SSH കീ file /root/.ssh/id_ecdsa.pub വിരലടയാളമുള്ള SHA256:ubQWoesME9bpOT1e/ sYv871hwWUzSG8hNqyMUe1cNc0
IPSEC കീകൾ
pkid 2458 PKID_PV_KEYPAIR_GEN [junos@2636.1.1.1.2.164 argument1=”384″ argument2=”ECDSA” argument3=”cert1″] cert384-നായി ഒരു 1 ബിറ്റ് ECDSA കീ-പെയർ സൃഷ്ടിച്ചു
pkid 2458 PKID_PV_KEYPAIR_GEN [junos@2636.1.1.1.2.164 argument1=”4096″ argument2=”RSA” argument3=”cert2″] cert4096-നായി ഒരു 2 ബിറ്റ് RSA കീ-പെയർ സൃഷ്ടിച്ചു

പട്ടിക 2: ഓഡിറ്റബിൾ ഇവൻ്റുകൾ (തുടരും)

ആവശ്യം

ഓഡിറ്റബിൾ ഇവന്റുകൾ

അധിക ഓഡിറ്റ് റെക്കോർഡ് ഉള്ളടക്കം

ഇവൻ്റ് എങ്ങനെയാണ് ജനറേറ്റ് ചെയ്യുന്നത്

FCS_IPSEC_EXT.1

സമപ്രായക്കാരുമായുള്ള സെഷൻ സ്ഥാപനം

സെഷൻ സ്ഥാപിക്കുമ്പോൾ കൈമാറ്റം ചെയ്യപ്പെടുന്ന/ സ്വീകരിച്ച പാക്കറ്റുകളുടെ മുഴുവൻ പാക്കറ്റ് ഉള്ളടക്കങ്ങളും

user@host:fips# റൺ ഷോ ലോഗ് ഐകെഡ് | ഇനിയില്ല | grep vpn
ജൂൺ 14 10:40:49.291712 [DET] [ATEC] [20.1.1.1 <-> 20.1.1.2] ipsec-sa തിരഞ്ഞെടുക്കൽ spi (0x8a45e874) ലോക്കൽ-ഐപി (20.1.1.1) റിമോട്ട്-ഐപി (20.1.1.2)XNUMX) ന് വിജയിച്ചു. vpn (IPSEC_VPN)
user@host:fips# റൺ ഷോ ലോഗ് ഐകെഡ് | ഇനിയില്ല | grep വിജയം
ജൂൺ 14 10:40:49.278061 [DET] [ATEC] [20.1.1.1 <-> 20.1.1.2] ike-atec-dh-genrate വിജയകരമായ പ്രതികരണം ipcindex=45109,local-ip=none,remote-ip=none എന്നതിന് ലഭിച്ചു
ജൂൺ 14 10:40:49.290742 [DET] [ATEC] [20.1.1.1 <-> 20.1.1.2] atec-validate-migrate for ed (0x2c09028) റിമോട്ട് ഐഡി മൂല്യനിർണ്ണയത്തിൽ വിജയിച്ചു
ജൂൺ 14 10:40:49.291392 [DET] [ATEC] [20.1.1.1 <-> 20.1.1.2] TSi: ts-മാച്ചിനായുള്ള ട്രാഫിക്-സെലക്‌ടോർമാച്ച് വിജയകരം,C:ipv4(0.0.0.0-255.255.255.255:4 R10.1.1.0) (10.1.1.255-4) N:ipv10.1.1.0(10.1.1.255-XNUMX)
ജൂൺ 14 10:40:49.291656 [EXT] [TUNL] [20.1.1.1 <-> 20.1.1.2] ike_tunnel_anchor_node_tunnel_add: തുരങ്കത്തിനായി ആങ്കർ ടണൽ ആഡ് 500009: വിജയം മൊത്തം:9
ജൂൺ 14 10:40:49.291682 [DET] [TUNL] [20.1.1.1 <-> 20.1.1.2] tunnel-sadb-add success with local-spi (0x8a45e874)
ജൂൺ 14 10:40:49.291712 [DET] [ATEC] [20.1.1.1 <-> 20.1.1.2] ipsec-sa തിരഞ്ഞെടുക്കൽ spi (0x8a45e874) ലോക്കൽ-ഐപിക്ക് വിജയിച്ചു

പട്ടിക 2: ഓഡിറ്റബിൾ ഇവൻ്റുകൾ (തുടരും)

ആവശ്യം

ഓഡിറ്റബിൾ ഇവന്റുകൾ

അധിക ഓഡിറ്റ് റെക്കോർഡ് ഉള്ളടക്കം

ഇവൻ്റ് എങ്ങനെയാണ് ജനറേറ്റ് ചെയ്യുന്നത്

(20.1.1.1) remote-ip (20.1.1.2) vpn (IPSEC_VPN)
ജൂൺ 14 10:40:49.292404 [TER] [PEER] [20.1.1.1 <-> 20.1.1.2] IKE: ഗേറ്റ്‌വേ N:IKE_GW L:20.1.1.1:500 R:20.1.1.2:500-വിജയം:20.1.1.2:2 .XNUMX U:N/A IKE:IKEvXNUMX റോൾ: ആർ
ജൂൺ 14 10:40:49.294256 [DET] [DIST] [20.1.1.1 <-> 20.1.1.2] ike_dist_ipsec_tunnel_info_add: IPsec ഡിസ്ട്രിബ്യൂഷൻ ടണൽ വിവരം ഡിബിയിലേക്ക് ചേർക്കുക വിജയകരമായ ടണൽ ഐഡി:500009
ജൂൺ 14 10:40:49.295072 [EXT] [IPSC] [20.1.1.1 <-> 20.1.1.2] ipsec_common_msg_send: IPC സന്ദേശം വിജയകരമായി അയച്ചു tag 4 iked മുതൽ SPU.0.20 വരെ
ജൂൺ 14 10:40:49.295292 [EXT] [IPSC] [20.1.1.1 <-> 20.1.1.2] ipsec_common_msg_send: IPC സന്ദേശം വിജയകരമായി അയച്ചു tag 4 iked മുതൽ SPU.0.21 വരെ
ജൂൺ 14 10:40:49.296004 [DET] [STER] [20.1.1.1 <-> 20.1.1.2] ടണൽ 0 എന്നതിനായുള്ള st500009 നെക്സ്റ്റ് ഹോപ്പ് മെറ്റാ ഡാറ്റ വിജയകരമായി പരിഷ്‌ക്കരിച്ചു
ജൂൺ 14 10:40:49.297336 [EXT] [IPSC] [20.1.1.1 <-> 20.1.1.2] ipsec_common_msg_send: IPC സന്ദേശം വിജയകരമായി അയച്ചു tag 4 iked മുതൽ SPU.0.20 വരെ
ജൂൺ 14 10:42:24.328902 [DET] [ATEC] [20.1.1.1 <-> 20.1.1.2] ike-atec-dh-genrate വിജയകരമായ പ്രതികരണം ipcindex=45111,local-ip=none,remote-ip=none എന്നതിന് ലഭിച്ചു
ജൂൺ 14 10:42:24.332381 [DET] [ATEC] [20.1.1.1 <-> 20.1.1.2] ike-atec-dh-compute വിജയകരമായ പ്രതികരണം ipc-index=0 ന് ലഭിച്ചു

പട്ടിക 2: ഓഡിറ്റബിൾ ഇവൻ്റുകൾ (തുടരും)

ആവശ്യം

ഓഡിറ്റബിൾ ഇവന്റുകൾ

അധിക ഓഡിറ്റ് റെക്കോർഡ് ഉള്ളടക്കം

ഇവൻ്റ് എങ്ങനെയാണ് ജനറേറ്റ് ചെയ്യുന്നത്

ജൂൺ 14 10:42:24.333295 [DET] [PUBL] [20.1.1.1 <-> 20.1.1.2] ike-sa-index 11282 ike-sa 0x21dec24-ന് പ്രസിദ്ധീകരിക്കുക-ike-sa വിജയിച്ചു
ജൂൺ 14 10:42:29.316880 [DET] [ATEC] [20.1.1.1 <-> 20.1.1.2] TSi: ts-മാച്ചിനായുള്ള ട്രാഫിക്-സെലക്‌ടോർമാച്ച് വിജയകരം,C:ipv4(0.0.0.0-255.255.255.255:4 R10.1.1.0) (10.1.1.255-4) N:ipv10.1.1.0(10.1.1.255-XNUMX)
ജൂൺ 14 10:42:29.316889 [DET] [ATEC] [20.1.1.1 <-> 20.1.1.2] TSr: TS-മാച്ചിനായുള്ള ട്രാഫിക്-സെലക്‌ടർമാച്ച് വിജയകരം,C:ipv4(0.0.0.0-255.255.255.255:4 R30.1.1.0) (30.1.1.255-4) N:ipv30.1.1.0(30.1.1.255-XNUMX)
ജൂൺ 14 10:42:29.317147 [DET] [TUNL] [20.1.1.1 <-> 20.1.1.2] tunnel-sadb-add success with local-spi (0x80eeab18)
ജൂൺ 14 10:42:29.317178 [DET] [ATEC] [20.1.1.1 <-> 20.1.1.2] ipsec-sa തിരഞ്ഞെടുക്കൽ spi (0x80eeab18) ലോക്കൽ-ഐപി (20.1.1.1) റിമോട്ട്-ഐപി (20.1.1.2)XNUMX. vpn (IPSEC_VPN)
ജൂൺ 14 10:42:29.320369 [DET] [ATEC] [20.1.1.1 <-> 20.1.1.2] ike-atec-dh-genrate വിജയകരമായ പ്രതികരണം ipcindex=45113,local-ip=none,remote-ip=none എന്നതിന് ലഭിച്ചു
ജൂൺ 14 10:42:29.323800 [DET] [ATEC] [20.1.1.1 <-> 20.1.1.2] ike-atec-dh-compute വിജയകരമായ പ്രതികരണം ipc-index=0 ന് ലഭിച്ചു
ജൂൺ 14 10:42:29.325513 [EXT] [IPSC] [20.1.1.1 <-> 20.1.1.2] ipsec_common_msg_send: IPC സന്ദേശം വിജയകരമായി അയച്ചു tag 4 iked മുതൽ SPU.0.20 വരെ

പട്ടിക 2: ഓഡിറ്റബിൾ ഇവൻ്റുകൾ (തുടരും)

ആവശ്യം

ഓഡിറ്റബിൾ ഇവന്റുകൾ

അധിക ഓഡിറ്റ് റെക്കോർഡ് ഉള്ളടക്കം

ഇവൻ്റ് എങ്ങനെയാണ് ജനറേറ്റ് ചെയ്യുന്നത്

FIA_X509_EXT.1

CA ഉള്ള സെഷൻ സ്ഥാപനം

kmd 7200 KMD_VPN_UP_ALARM_USER [junos@2636.1.1.1.2.164 vpname=””vpn1″” റിമോട്ട്-വിലാസം=””5.5.5.1″” ലോക്കൽ-വിലാസം=””11.11.11.1″വേ” ഗ്രൂപ്പ് name=””vpn1″” tunnelid=””1″” interface-name=””st131073″” internal-ip=””Not-Available”” name=””0.0″” peer-name=” ”11.11.11.1″” client-name=””Not-Applicable”” vrrp-groupid=””5.5.5.1″” traffic-selector-name= “””” trafficselector-cfg-local-id=””ipv0_subnet(ഏതെങ്കിലും: 4, [0..0]=7/0.0.0.0)”” traffic-selector-cfgremote-id= “”ipv0_subnet(ഏതെങ്കിലും: 4, [0..0]=7/0.0.0.0)”” വാദം0= “”സ്റ്റാറ്റിക്””] 1 മുതൽ VPN vpn1 ഉയർന്നു. ലോക്കൽ-ഐപി: 5.5.5.1, ഗേറ്റ്‌വേയുടെ പേര്: gw11.11.11.1, vpn പേര്: vpn1, ടണൽ-ഐഡി: 1, ലോക്കൽ ടണൽ-ഇഫ്: st131073, റിമോട്ട് ടണൽ-ഐപി: ലഭ്യമല്ല, പ്രാദേശിക ഐകെ-ഐഡി: 0.0. , റിമോട്ട് IKE-ID: 11.11.11.1, AAA ഉപയോക്തൃനാമം: ബാധകമല്ല, VR ഐഡി: 5.5.5.1, ട്രാഫിക്-സെലക്ടർ: , ട്രാഫിക്-സെലക്ടർ ലോക്കൽ ഐഡി: ipv0_subnet(ഏതെങ്കിലും:4,[0..0]=7/ 0.0.0.0), ട്രാഫിക്ക് സെലക്ടർ റിമോട്ട് ഐഡി: ipv0_subnet(ഏതെങ്കിലും:4, [0..0]=7/0.0.0.0), SA തരം: സ്റ്റാറ്റിക്

പട്ടിക 2: ഓഡിറ്റബിൾ ഇവൻ്റുകൾ (തുടരും)

ആവശ്യം

ഓഡിറ്റബിൾ ഇവന്റുകൾ

അധിക ഓഡിറ്റ് റെക്കോർഡ് ഉള്ളടക്കം

ഇവൻ്റ് എങ്ങനെയാണ് ജനറേറ്റ് ചെയ്യുന്നത്

FPF_RUL_EXT.1

`ലോഗ്' ഓപ്പറേഷൻ ഉപയോഗിച്ച് ക്രമീകരിച്ചിരിക്കുന്ന നിയമങ്ങളുടെ പ്രയോഗം

ഉറവിടവും ലക്ഷ്യസ്ഥാന വിലാസങ്ങളും. ഉറവിടവും ലക്ഷ്യസ്ഥാന തുറമുഖങ്ങളും. ട്രാൻസ്പോർട്ട് ലെയർ പ്രോട്ടോക്കോൾ TOE ഇൻ്റർഫേസ്

[edit] root@host:fips# റൺ ഷോ ഫയർവാൾ

ഫിൽട്ടർ: __default_bpdu_filter__

ഫിൽട്ടർ: fw_filter1 കൗണ്ടറുകൾ: പേര്
ബൈറ്റുകൾ inc1
0 inc2
840

പാക്കറ്റുകൾ 0 10

[edit] root@host:fips# [edit]

root@host:fips# ഫയർവാൾ ലോഗ് കാണിക്കുക

ലോഗ്:

സമയം

ഫിൽട്ടർ പ്രവർത്തനം

ഇൻ്റർഫേസ്

പ്രോട്ടോക്കോൾ

സീനിയർ

അഡ്രർ

ഡെസ്റ്റ് അഡ്ർ

11:05:31 pfe

st0.1

ഐ.സി.എം.പി

30.1.1.1

10.1.1.1

11:05:30 pfe

st0.1

ഐ.സി.എം.പി

30.1.1.1

10.1.1.1

11:05:29 pfe

st0.1

ഐ.സി.എം.പി

30.1.1.1

10.1.1.1

11:05:28 pfe

st0.1

ഐ.സി.എം.പി

30.1.1.1

10.1.1.1

root@host:fips# ഫയർവാൾ ലോഗ് കാണിക്കുക

ലോഗ്:

സമയം

ഫിൽട്ടർ പ്രവർത്തനം

ഇൻ്റർഫേസ്

പ്രോട്ടോക്കോൾ

സീനിയർ

പട്ടിക 2: ഓഡിറ്റബിൾ ഇവൻ്റുകൾ (തുടരും)

ആവശ്യം

ഓഡിറ്റബിൾ ഇവന്റുകൾ

അധിക ഓഡിറ്റ് റെക്കോർഡ് ഉള്ളടക്കം

ഇവൻ്റ് എങ്ങനെയാണ് ജനറേറ്റ് ചെയ്യുന്നത്

കൂട്ടിച്ചേർക്കൽ 11:19:59 pfe st0.1 30.1.1.1

ഡെസ്റ്റ് അഡർ ആർ ടിസിപി
10.1.1.1

root@host:fips# ഫയർവാൾ ലോഗ് കാണിക്കുക

ലോഗ്:

സമയം

ഫിൽട്ടർ പ്രവർത്തനം

ഇൻ്റർഫേസ്

പ്രോട്ടോക്കോൾ

സീനിയർ

അഡ്രർ

ഡെസ്റ്റ് അഡ്ർ

13:00:18 pfe

ge-0/0/4.0

ഐ.സി.എം.പി

30.1.1.5

10.1.1.1

13:00:17 pfe

ge-0/0/4.0

ഐ.സി.എം.പി

30.1.1.5

10.1.1.1

13:00:16 pfe

ge-0/0/4.0

ഐ.സി.എം.പി

30.1.1.5

10.1.1.1

13:00:15 pfe

ge-0/0/4.0

ഐ.സി.എം.പി

30.1.1.5

10.1.1.1

root@host:fips# ഫയർവാൾ ലോഗ് കാണിക്കുക

ലോഗ്:

സമയം

ഫിൽട്ടർ പ്രവർത്തനം

ഇൻ്റർഫേസ്

പ്രോട്ടോക്കോൾ

സീനിയർ

അഡ്രർ

ഡെസ്റ്റ് അഡ്ർ

13:00:45 pfe

ge-0/0/4.0

ടിസിപി

30.1.1.5

10.1.1.1

പട്ടിക 2: ഓഡിറ്റബിൾ ഇവൻ്റുകൾ (തുടരും)

ആവശ്യം

ഓഡിറ്റബിൾ ഇവന്റുകൾ

അധിക ഓഡിറ്റ് റെക്കോർഡ് ഉള്ളടക്കം

ഇവൻ്റ് എങ്ങനെയാണ് ജനറേറ്റ് ചെയ്യുന്നത്

വളരെയധികം നെറ്റ്‌വർക്ക് ട്രാഫിക് കാരണം പാക്കറ്റുകളുടെ സൂചന കുറഞ്ഞു

പാക്കറ്റുകൾ പ്രോസസ്സ് ചെയ്യാൻ കഴിയാത്ത TOE ഇൻ്റർഫേസ്

RT_FLOW – RT_FLOW_SESSION_DENY [junos@2636.1.1.1.2.164 sourceaddress=” 1.1.1. 2″ source-port=”10001″ destination-address=”2.2.2.2″ destinationport=” 21″ connection-tag=”0″ servicename=”junos-ftp” protocol-id=”6″ icmptype=” 0″ policy-name=”p2″ source-zone-na me=”ZO_A” destination-zone-name=”ZO_B” ആപ്ലിക്കേഷൻ =”അജ്ഞാത” nestedapplication=” അജ്ഞാത” ഉപയോക്തൃനാമം=”N/A” roles=”N/A” packet-incominginterface=” ge-0/0/0.0″ encrypted=”No” reason=”D ennied by policy” sessionid32 =”3″ application-category=”N/A” application-sub-category=”N/A” applicationrisk=”1″ application-characteristics=”N/A” src-vrf-grp=”N/A” dst -vrf-grp=” N/A”] സെഷൻ നിരസിച്ചു 1.1.1.2/10001->2.2.2.2/21 0x0 junos-ftp 6(0) p2 ZO_A ZO_B അജ്ഞാതമാണ് N/A(N/A) ge-0/ 0/0.0 നയം നിരസിച്ചിട്ടില്ല 3 N/AN/A -1 N/AN/AN/A

കൂടാതെ, ജുനൈപ്പർ നെറ്റ്‌വർക്കുകൾ ശുപാർശ ചെയ്യുന്നു: · കോൺഫിഗറേഷനിലെ എല്ലാ മാറ്റങ്ങളും ക്യാപ്‌ചർ ചെയ്യാൻ. · ലോഗിംഗ് വിവരങ്ങൾ വിദൂരമായി സംഭരിക്കാൻ. ലോഗ് വിശദാംശങ്ങളെക്കുറിച്ചുള്ള കൂടുതൽ വിവരങ്ങൾക്ക്, ലോഗ് വ്യക്തമാക്കുന്നത് കാണുക File വലുപ്പം, നമ്പർ, ആർക്കൈവിംഗ് പ്രോപ്പർട്ടികൾ

ഇവൻ്റ് സന്ദേശങ്ങൾ വ്യാഖ്യാനിക്കുക

ഇനിപ്പറയുന്ന ഔട്ട്‌പുട്ട് ഇങ്ങനെ കാണിക്കുന്നുampലെ ഇവൻ്റ് സന്ദേശം.

Feb 27 02:33:04 bm-a mgd[6520]: UI_LOGIN_EVENT: ഉപയോക്തൃ 'സെക്യൂരിറ്റി-ഓഫീസർ' ലോഗിൻ, ക്ലാസ് 'j-സൂപ്പർ യൂസർ' [6520], ssh-കണക്ഷൻ ”, ക്ലയൻ്റ്-മോഡ് 'ക്ലി' ഫെബ്രുവരി 27 02: 33:49 bm-a mgd[6520]: UI_DBASE_LOGIN_EVENT: ഉപയോക്തൃ 'സെക്യൂരിറ്റി-ഓഫീസർ' കോൺഫിഗറേഷൻ മോഡിൽ പ്രവേശിക്കുന്നു Feb 27 02:38:29 bm-a mgd[6520]: UI_CMDLINE_READ_LINE: ഉപയോക്താവ് 'സുരക്ഷ കാണിക്കുക'-ഓഫ് 'സെക്യൂരിറ്റി' ലോഗ് ഓഡിറ്റ്_ലോഗ് | grep ലോഗിൻ

പേജ് 3 ലെ പട്ടിക 79 ഒരു ഇവൻ്റ് സന്ദേശത്തിനുള്ള ഫീൽഡുകൾ വിവരിക്കുന്നു. സിസ്റ്റം ലോഗിംഗ് യൂട്ടിലിറ്റിക്ക് ഒരു പ്രത്യേക ഫീൽഡിലെ മൂല്യം നിർണ്ണയിക്കാൻ കഴിയുന്നില്ലെങ്കിൽ, പകരം ഒരു ഹൈഫൻ (- ) ദൃശ്യമാകുന്നു.
പട്ടിക 3: ഇവൻ്റ് സന്ദേശങ്ങളിലെ ഫീൽഡുകൾ

ഫീൽഡ്
ടൈംസ്റ്റ്amp

വിവരണം

Exampലെസ്

രണ്ട് പ്രതിനിധാനങ്ങളിൽ ഒന്നിൽ സന്ദേശം ജനറേറ്റ് ചെയ്ത സമയം:
· MMM-DD HH:MM:SS.MS+/-HH:MM, ആണ് മാസം, ദിവസം, മണിക്കൂർ,
പ്രാദേശിക സമയം മിനിറ്റ്, സെക്കൻഡ്, മില്ലിസെക്കൻഡ്. പ്ലസ് ചിഹ്നം (+) അല്ലെങ്കിൽ മൈനസ് ചിഹ്നം (-) എന്നിവയെ പിന്തുടരുന്ന മണിക്കൂറും മിനിറ്റും കോർഡിനേറ്റഡ് യൂണിവേഴ്സൽ ടൈമിൽ (UTC) നിന്നുള്ള പ്രാദേശിക സമയ മേഖലയുടെ ഓഫ്സെറ്റാണ്.

Feb 27 02:33:04 ആണ് ഏറ്റവും സമയംamp യുണൈറ്റഡ് സ്റ്റേറ്റ്സിലെ പ്രാദേശിക സമയമായി പ്രകടിപ്പിച്ചു. 2012-02-27T09:17:15.719Z 2 ഫെബ്രുവരി 33-ന് 27:2012 AM UTC ആണ്.

· YYYY-MM-DDTHH:MM:SS.MSZ ആണ് വർഷം, മാസം, ദിവസം, മണിക്കൂർ,
UTC-യിൽ മിനിറ്റ്, സെക്കൻഡ്, മില്ലിസെക്കൻഡ്.

ഹോസ്റ്റ്നാമം

സന്ദേശം യഥാർത്ഥത്തിൽ സൃഷ്ടിച്ച ഹോസ്റ്റിൻ്റെ പേര്. റൂട്ടർ1

പ്രക്രിയ

സൃഷ്ടിച്ച Junos OS പ്രക്രിയയുടെ പേര്

സന്ദേശം.

mgd

പ്രോസസ്സ് ഐഡി

Junos OS-ൻ്റെ UNIX പ്രോസസ്സ് ഐഡി (PID) അത്

സന്ദേശം ജനറേറ്റ് ചെയ്തു.

4153

പട്ടിക 3: ഇവൻ്റ് സന്ദേശങ്ങളിലെ ഫീൽഡുകൾ (തുടരും)

ഫീൽഡ്

വിവരണം

TAG

Junos OS സിസ്റ്റം ലോഗ് സന്ദേശം tag, അത് അതുല്യമായി

സന്ദേശം തിരിച്ചറിയുന്നു.

ഉപയോക്തൃനാമം

ഇവൻ്റ് ആരംഭിക്കുന്ന ഉപയോക്താവിൻ്റെ ഉപയോക്തൃനാമം.

സന്ദേശ-വാചകം ഇവൻ്റിൻ്റെ ഇംഗ്ലീഷ് ഭാഷാ വിവരണം .

Exampലെസ് UI_DBASE_LOGOUT_EVENT
"അഡ്മിൻ"
സെറ്റ്: [സിസ്റ്റം റേഡിയസ്-സെർവർ 1.2.3.4 രഹസ്യം]

ബന്ധപ്പെട്ട ഡോക്യുമെൻ്റേഷൻ ഇവൻ്റ് ലോഗിംഗ് ഓവർview
രഹസ്യ ഡാറ്റയിലേക്ക് മാറ്റങ്ങൾ ലോഗ് ചെയ്യുക
ഇനിപ്പറയുന്നവ മുൻampരഹസ്യ ഡാറ്റ മാറ്റുന്ന ഇവൻ്റുകളുടെ ഓഡിറ്റ് ലോഗുകൾ. കോൺഫിഗറേഷനിൽ മാറ്റം വരുമ്പോഴെല്ലാം example, syslog ഇവൻ്റ് താഴെയുള്ള ലോഗുകൾ ക്യാപ്‌ചർ ചെയ്യണം:
ജൂലൈ 24 17:43:28 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: ഉപയോക്തൃ 'അഡ്മിൻ' സെറ്റ്: [സിസ്റ്റം റേഡിയസ്സെർവർ 1.2.3.4 രഹസ്യം] ജൂലൈ 24 17:43:28 റൂട്ടർ1 മി.ജി.ഡി._ഇ.ടി.എം 'സെറ്റ്: [സിസ്റ്റം ലോഗിൻ ഉപയോക്തൃ അഡ്‌മിൻ പ്രാമാണീകരണം എൻക്രിപ്റ്റുചെയ്‌ത-പാസ്‌വേഡ്] ജൂലൈ 4163 24:17:43 router28 mgd[1]: UI_CFG_AUDIT_SET_SECRET: ഉപയോക്തൃ 'അഡ്മിൻ' സെറ്റ്: [സിസ്റ്റം ലോഗിൻ ഉപയോക്താവ് അഡ്മിൻ 4163 പ്രാമാണീകരണം എൻക്രിപ്റ്റ് ചെയ്‌തിരിക്കുന്നു. syslog ഈ ലോഗുകൾ ക്യാപ്‌ചർ ചെയ്യണം:
ജൂലൈ 24 18:29:09 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: ഉപയോക്തൃ 'അഡ്മിൻ' മാറ്റിസ്ഥാപിക്കുക: [സിസ്റ്റം റേഡിയസ്-സെർവർ 1.2.3.4 രഹസ്യം] ജൂലൈ 24 18:29:09 റൂട്ടർ 1:4163:XNUMX റൗട്ടർ മിനിറ്റ് പകരം: [സിസ്റ്റം ലോഗിൻ

81
ഉപയോക്തൃ അഡ്‌മിൻ ആധികാരികത എൻക്രിപ്റ്റുചെയ്‌ത-പാസ്‌വേഡ്] ജൂലൈ 24 18:29:09 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: ഉപയോക്തൃ 'അഡ്മിൻ' മാറ്റിസ്ഥാപിക്കുക: [സിസ്റ്റം ലോഗിൻ ഉപയോക്തൃ അഡ്‌മിൻ പ്രാമാണീകരണം എൻക്രിപ്റ്റഡ്-പാസ്‌വേഡ്]

ഇവൻ്റ് സന്ദേശങ്ങൾ വ്യാഖ്യാനിക്കുന്ന അനുബന്ധ ഡോക്യുമെൻ്റേഷൻ

SSH ഉപയോഗിച്ച് ഇവൻ്റുകൾ ലോഗിൻ ചെയ്യുകയും ലോഗ്ഔട്ട് ചെയ്യുകയും ചെയ്യുക

ഒരു ഉപയോക്താവ് SSH ആക്‌സസ്സ് വിജയകരമായി അല്ലെങ്കിൽ പരാജയപ്പെട്ടാൽ സിസ്റ്റം ലോഗ് സന്ദേശങ്ങൾ ജനറേറ്റുചെയ്യുന്നു. ലോഗ്ഔട്ട് ഇവൻ്റുകളും റെക്കോർഡ് ചെയ്തിട്ടുണ്ട്. ഉദാample, ഇനിപ്പറയുന്ന ലോഗുകൾ പരാജയപ്പെട്ട രണ്ട് പ്രാമാണീകരണ ശ്രമങ്ങളുടെ ഫലമാണ്, തുടർന്ന് വിജയിച്ച ഒന്ന്, ഒടുവിൽ ഒരു ലോഗ്ഔട്ട്:

ഡിസംബർ 20 23:17:35 ഡിസംബർ 20 23:17:42 ഡിസംബർ 20 23:17:53 ഡിസംബർ 20 23:17:53
ഡിസംബർ 20 23:17:53 ഡിസംബർ 20 23:17:56 ഡിസംബർ 20 23:17:56

bilbo sshd[16645]: 172.17.58.45 port 1673 ssh2 bilbo sshd[16645] എന്നതിനുള്ള പാസ്‌വേഡ് പരാജയപ്പെട്ടു. 172.17.58.45 പോർട്ട് 1673 ssh2 bilbo mgd[16645]: UI_AUTH_EVENT: അനുമതി തലത്തിൽ അംഗീകൃത ഉപയോക്തൃ 'op'
'j-operator' bilbo mgd[16648]: UI_LOGIN_EVENT: ഉപയോക്തൃ 'op' ലോഗിൻ, ക്ലാസ് 'j-ഓപ്പറേറ്റർ' [16648] bilbo mgd[16648]: UI_CMDLINE_READ_LINE: ഉപയോക്താവ് 'op', 'കമാൻഡ് ' bilbo mgd][16648 mgd] : UI_LOGOUT_EVENT: ഉപയോക്തൃ 'op' ലോഗ്ഔട്ട്

ഇവൻ്റ് സന്ദേശങ്ങൾ വ്യാഖ്യാനിക്കുന്ന അനുബന്ധ ഡോക്യുമെൻ്റേഷൻ

ഓഡിറ്റ് സ്റ്റാർട്ടപ്പിൻ്റെ ലോഗിംഗ്

ലോഗിൻ ചെയ്ത ഓഡിറ്റ് വിവരങ്ങളിൽ Junos OS-ൻ്റെ സ്റ്റാർട്ടപ്പുകൾ ഉൾപ്പെടുന്നു. ഇത് ഓഡിറ്റ് സിസ്റ്റത്തിൻ്റെ സ്റ്റാർട്ടപ്പ് ഇവൻ്റുകൾ തിരിച്ചറിയുന്നു, അത് സ്വതന്ത്രമായി പ്രവർത്തനരഹിതമാക്കാനോ പ്രവർത്തനക്ഷമമാക്കാനോ കഴിയില്ല. ഉദാample, Junos OS പുനരാരംഭിക്കുകയാണെങ്കിൽ, ഓഡിറ്റ് ലോഗിൽ ഇനിപ്പറയുന്ന വിവരങ്ങൾ അടങ്ങിയിരിക്കുന്നു:

ഡിസംബർ 20 23:17:35 ഡിസംബർ 20 23:17:35 ഡിസംബർ 20 23:17:35 സ്റ്റാറ്റസ്=1 ഡിസംബർ 20 23:17:42 ഡിസംബർ 20 23:17:53

bilbo syslogd: സിഗ്നൽ 14-ൽ നിന്ന് പുറത്തുകടക്കുന്നു bilbo syslogd: പുനരാരംഭിക്കുക bilbo syslogd /kernel: Dec 20 23:17:35 init: syslogd (PID 19128) ഉപയോഗിച്ച് പുറത്തുകടന്നു
bilbo /kernel: init: syslogd (PID 19200) ആരംഭിച്ചു

അനുബന്ധ ഡോക്യുമെൻ്റേഷൻ SSH ഉപയോഗിച്ചുള്ള ലോഗിൻ, ലോഗ്ഔട്ട് ഇവൻ്റുകൾ

8 അധ്യായം
VPN-കൾ കോൺഫിഗർ ചെയ്യുക
MOD_VPN | 84

84
MOD_VPN

സംഗ്രഹം MOD_VPN എങ്ങനെ പ്രവർത്തിക്കുന്നുവെന്ന് ഈ വിഭാഗം വിവരിക്കുന്നു.

ഈ വിഭാഗത്തിൽ
MOD_VPN കഴിഞ്ഞുview | 84 പിന്തുണയ്ക്കുന്ന IPsec-IKE അൽഗോരിതങ്ങൾ | 85 Junos OS പ്രവർത്തിക്കുന്ന ഒരു ഉപകരണത്തിൽ VPN കോൺഫിഗർ ചെയ്യുക | 88 ഫയർവാൾ നിയമങ്ങൾ ക്രമീകരിക്കുന്നു | 111

MOD_VPN കഴിഞ്ഞുview
ഒരു VPN ഗേറ്റ്‌വേയ്ക്കുള്ള സുരക്ഷാ ആവശ്യകതകൾ MOD_VPN വിവരിക്കുന്നു. ഒരു സ്വകാര്യ നെറ്റ്‌വർക്കിൻ്റെ അരികിലുള്ള ഒരു IPsec ടണൽ (ടണൽ മോഡിൽ IPsec പിന്തുണ) അവസാനിപ്പിക്കുന്ന ഒരു ഉപകരണമായി ഇത് നിർവ്വചിച്ചിരിക്കുന്നു, ഇത് ഉപകരണത്തിൻ്റെ ആധികാരികത, രഹസ്യാത്മകത, പൊതു അല്ലെങ്കിൽ വിശ്വസനീയമല്ലാത്ത നെറ്റ്‌വർക്കിലൂടെ സഞ്ചരിക്കുന്ന വിവരങ്ങളുടെ സമഗ്രത എന്നിവ നൽകുന്നു. വിപിഎൻ ഗേറ്റ്‌വേ സാങ്കേതികവിദ്യയ്‌ക്കെതിരായ നന്നായി നിർവചിക്കപ്പെട്ടതും വിവരിച്ചതുമായ ഭീഷണികൾ ലഘൂകരിക്കുന്നതിന് ലക്ഷ്യമിട്ടുള്ള ഏറ്റവും കുറഞ്ഞതും അടിസ്ഥാനപരവുമായ ആവശ്യകതകൾ നൽകാൻ ഈ മോഡ് ഉദ്ദേശിച്ചുള്ളതാണ്. ഈ ആമുഖം ഒരു കംപ്ലയിൻ്റ് ടാർഗെറ്റ് ഓഫ് ഇവാലുവേഷൻ്റെ (TOE) സവിശേഷതകളെ വിവരിക്കുന്നു, കൂടാതെ NDcPPv2-നൊപ്പം MOD_VPN എങ്ങനെ ഉപയോഗിക്കാമെന്നും ചർച്ച ചെയ്യുന്നു.
ശ്രദ്ധിക്കുക: IPsec കണക്ഷൻ അവിചാരിതമായി തകരാറിലാണെങ്കിൽ, ഇനിപ്പറയുന്ന കമാൻഡുകൾ ഉപയോഗിച്ച് IPsec സെഷൻ മായ്‌ക്കുക. ഇത് IPsec സെഷൻ വീണ്ടും ആരംഭിക്കുകയും സ്ഥാപിക്കുകയും ചെയ്യുന്നു.
user@host# റൺ ക്ലിയർ സെക്യൂരിറ്റി ipsec സെക്യൂരിറ്റി-അസോസിയേഷൻസ് user@host# റൺ ക്ലിയർ സെക്യൂരിറ്റി ഐകെ സെക്യൂരിറ്റി-അസോസിയേഷനുകൾ

85
പിന്തുണയ്ക്കുന്ന IPsec-IKE അൽഗോരിതങ്ങൾ
ഈ വിഭാഗത്തിൽ IPsec-നുള്ള പിന്തുണയുള്ള എൻക്രിപ്ഷൻ അൽഗോരിതം | 85 IKE-നുള്ള പിന്തുണയുള്ള എൻക്രിപ്ഷൻ അൽഗോരിതം | 86 പിന്തുണയുള്ള IKE DH ഗ്രൂപ്പുകൾ | 86 പിന്തുണയ്ക്കുന്ന IPsec പ്രാമാണീകരണ അൽഗോരിതം | 87 പിന്തുണയ്ക്കുന്ന IKE പ്രാമാണീകരണ അൽഗോരിതങ്ങൾ | 87 പിന്തുണയ്ക്കുന്ന പ്രാമാണീകരണ രീതികൾ | 87

നിങ്ങളുടെ ഉപകരണം ഇനിപ്പറയുന്ന IPsec-IKE അൽഗോരിതങ്ങളെ പിന്തുണയ്ക്കുന്നു:
IPsec-നുള്ള പിന്തുണയുള്ള എൻക്രിപ്ഷൻ അൽഗോരിതം

aes-128-cbc aes-128-gcm aes-192-cbc aes-192-gcm aes-256-cbc aes-256-gcm

AES-CBC 128-ബിറ്റ് എൻക്രിപ്ഷൻ അൽഗോരിതം AES-GCM 128-ബിറ്റ് എൻക്രിപ്ഷൻ അൽഗോരിതം AES-CBC 192-ബിറ്റ് എൻക്രിപ്ഷൻ അൽഗോരിതം AES-GCM 192-ബിറ്റ് എൻക്രിപ്ഷൻ അൽഗോരിതം AESCM256-CBC256 ബിറ്റ് എൻക്രിപ്ഷൻ അൽഗോരിതം

[edit] user@host# സെറ്റ് സെക്യൂരിറ്റി ipsec പ്രൊപ്പോസൽ ipsec-proposal1 എൻക്രിപ്ഷൻ-അൽഗരിതം aes-128-cbc user@host# സെറ്റ് സെക്യൂരിറ്റി ipsec പ്രൊപ്പോസൽ ipsec-proposal1 encryption-algorithm aes-128-gcm user@host# സെറ്റ് സെക്യൂരിറ്റി പ്രൊപ്പോസൽ. -proposal1 encryption-algorithm aes-192-cbc user@host# സെറ്റ് സെക്യൂരിറ്റി ipsec പ്രൊപ്പോസൽ ipsec-proposal1 encryption-algorithm aes-192-gcm user@host# സെറ്റ് സെക്യൂരിറ്റി ipsec നിർദ്ദേശം ipsec-proposal1 encryption@usalgorithm-256 ഹോസ്റ്റ്# സെറ്റ് സെക്യൂരിറ്റി ipsec പ്രൊപ്പോസൽ ipsec-proposal1 encryption-algorithm aes-256-gcm

IKE-യ്‌ക്കുള്ള പിന്തുണയുള്ള എൻക്രിപ്ഷൻ അൽഗോരിതം

aes-128-cbc aes-128-gcm aes-192-cbc aes-256-cbc aes-256-gcm

AES-CBC 128-ബിറ്റ് എൻക്രിപ്ഷൻ അൽഗോരിതം AES-GCM 128-ബിറ്റ് എൻക്രിപ്ഷൻ അൽഗോരിതം AES-CBC 192-ബിറ്റ് എൻക്രിപ്ഷൻ അൽഗോരിതം AES-CBC 256-ബിറ്റ് എൻക്രിപ്ഷൻ അൽഗോരിതം AES-GCM 256-GCM എൻക്രിപ്ഷൻ

[തിരുത്തുക] user@host# സെറ്റ് സെക്യൂരിറ്റി ഐകെ പ്രൊപ്പോസൽ ipsec-proposal1 എൻക്രിപ്ഷൻ-അൽഗരിതം aes-128-cbc user@host# സെറ്റ് സെക്യൂരിറ്റി ഐകെ പ്രൊപ്പോസൽ ipsec-proposal1 encryption-algorithm aes-128-gcm user@host# സെറ്റ് സെക്യൂരിറ്റി ഐപിഎസ് -proposal1 encryption-algorithm aes-192-cbc user@host# സെറ്റ് സെക്യൂരിറ്റി ഐകെ പ്രൊപ്പോസൽ ipsec-proposal1 encryption-algorithm aes-256-cbc user@host# സെറ്റ് സെക്യൂരിറ്റി അതുപോലെ പ്രൊപ്പോസൽ ipsec-proposal1 encryption-algorithm256

പിന്തുണയുള്ള IKE DH ഗ്രൂപ്പുകൾ

group14 group15 group16 group19 group20 group21 group24

ഡിഫി-ഹെൽമാൻ ഗ്രൂപ്പ് 14 ഡിഫി-ഹെൽമാൻ ഗ്രൂപ്പ് 15 ഡിഫി-ഹെൽമാൻ ഗ്രൂപ്പ് 16 ഡിഫി-ഹെൽമാൻ ഗ്രൂപ്പ് 19 ഡിഫി-ഹെൽമാൻ ഗ്രൂപ്പ് 20 ഡിഫി-ഹെൽമാൻ ഗ്രൂപ്പ് 21 ഡിഫി-ഹെൽമാൻ ഗ്രൂപ്പ് 24

[edit] user@host# സെറ്റ് സെക്യൂരിറ്റി ഐകെ പ്രൊപ്പോസൽ ipsec-proposal1 dh-group group14 user@host# സെറ്റ് സെക്യൂരിറ്റി ഐകെ പ്രൊപ്പോസൽ ipsec-proposal1 dh-group group15 user@host# സെറ്റ് സെക്യൂരിറ്റി ഐക്കൺ പ്രൊപ്പോസൽ ipsec-proposal1 dh-group group16 user@ ഹോസ്റ്റ്# സെറ്റ് സെക്യൂരിറ്റി ഐകെ പ്രൊപ്പോസൽ ipsec-proposal1 dh-group group19 user@host# സെറ്റ് സെക്യൂരിറ്റി ഐകെ പ്രൊപ്പോസൽ ipsec-proposal1 dh-group group20 user@host# സെറ്റ് സെക്യൂരിറ്റി ഐകെ പ്രൊപ്പോസൽ ipsec-proposal1 dh-group group21 user@host# സെറ്റ് സെക്യൂരിറ്റി ഇകെ നിർദ്ദേശം ipsec-proposal1 dh-group group24

പിന്തുണയ്ക്കുന്ന IPsec പ്രാമാണീകരണ അൽഗോരിതം

hmac-sha-256-128 hmac-sha-384 hmac-sha-512

HMAC-SHA-256-128 പ്രാമാണീകരണ അൽഗോരിതം HMAC-SHA-384 പ്രാമാണീകരണ അൽഗോരിതം HMAC-SHA-512 പ്രാമാണീകരണ അൽഗോരിതം

[edit] user@host# സെറ്റ് സെക്യൂരിറ്റി ipsec പ്രൊപ്പോസൽ ipsec-proposal1 ആധികാരികത-അൽഗരിതം hmac-sha-256-128 user@host# സെറ്റ് സെക്യൂരിറ്റി ipsec നിർദ്ദേശം ipsec-proposal1 പ്രാമാണീകരണം-അൽഗോരിതം hmac-sha-384 സെക്യൂരിറ്റി user@ipsec# സെറ്റ് നിർദ്ദേശം ipsec-proposal1 പ്രാമാണീകരണ-അൽഗോരിതം hmac-sha-512

പിന്തുണയ്ക്കുന്ന IKE പ്രാമാണീകരണ അൽഗോരിതം

sha-256 sha-384 sha-512

SHA 256-ബിറ്റ് പ്രാമാണീകരണ അൽഗോരിതം SHA 384-ബിറ്റ് പ്രാമാണീകരണ അൽഗോരിതം SHA 512-ബിറ്റ് പ്രാമാണീകരണ അൽഗോരിതം

[edit] user@host# സെറ്റ് സെക്യൂരിറ്റി ഐകെ പ്രൊപ്പോസൽ ipsec-proposal1 authentication-algorithm sha-256 user@host# സെറ്റ് സെക്യൂരിറ്റി ഐകെ പ്രൊപ്പോസൽ ipsec-proposal1 authentication-algorithm sha-384 user@host# സെറ്റ് സെക്യൂരിറ്റി അതുപോലെ പ്രൊപ്പോസൽ ipsec-proposal-1 authentic അൽഗോരിതം sha-512

പിന്തുണയ്‌ക്കുന്ന പ്രാമാണീകരണ രീതികൾ

സർട്ടിഫിക്കറ്റുകൾ

ECDSA, RSA, DSA സർട്ടിഫിക്കറ്റുകൾ അനുവദിക്കുന്നു, IKEv2 ആവശ്യമാണ്

ecdsa-signatures-256 ECDSA ഒപ്പുകൾ (256 ബിറ്റ് മോഡുലസ്)

ecdsa-signatures-384 ECDSA ഒപ്പുകൾ (384 ബിറ്റ് മോഡുലസ്)

ecdsa-signatures-521 ECDSA ഒപ്പുകൾ (521 ബിറ്റ് മോഡുലസ്)

മുൻകൂട്ടി പങ്കിട്ട കീകൾ

ആർഎസ്എ ഒപ്പുകൾ

RSA ഒപ്പുകൾ

[edit] user@host# സെറ്റ് സെക്യൂരിറ്റി ഐകെ പ്രൊപ്പോസൽ ipsec-proposal1 ആധികാരികത-രീതി സർട്ടിഫിക്കറ്റുകൾ user@host# സെറ്റ് സെക്യൂരിറ്റി ഐകെ പ്രൊപ്പോസൽ ipsec-proposal1 authentication-method ecdsa-signatures-256 user@host# സെറ്റ് സെക്യൂരിറ്റി അതുപോലെ നിർദ്ദേശം ipsec-proposal-1 ആധികാരികത രീതി ecdsa-signatures-384

88
user@host# സെറ്റ് സെക്യൂരിറ്റി ഐക്കൺ പ്രൊപ്പോസൽ ipsec-proposal1 ആധികാരികത-രീതി ecdsa-signatures-521 user@host# സെറ്റ് സെക്യൂരിറ്റി അതേ നിർദ്ദേശം ipsec-proposal1 ആധികാരികത-രീതി പ്രീ-ഷെയർ-കീകൾ user@host# സെറ്റ് സെക്യൂരിറ്റി അതുപോലെ നിർദ്ദേശം ipsec-proposal1 authentic -രീതി ആർഎസ്എ-ഒപ്പ്
പ്രവർത്തിക്കുന്ന ജൂനോസ് ഒഎസിൽ VPN കോൺഫിഗർ ചെയ്യുക
ഈ വിഭാഗത്തിൽ IKE ആധികാരികതയ്‌ക്കായി മുൻകൂട്ടി പങ്കിട്ട കീ ഉപയോഗിച്ച് ഒരു IPsec VPN കോൺഫിഗർ ചെയ്യുന്നു | 91 IKE പ്രാമാണീകരണത്തിനായി ഒരു RSA സിഗ്നേച്ചർ ഉപയോഗിച്ച് ഒരു IPsec VPN കോൺഫിഗർ ചെയ്യുന്നു | 98 IKE പ്രാമാണീകരണത്തിനായി ഒരു ECDSA സിഗ്നേച്ചർ ഉപയോഗിച്ച് ഒരു IPsec VPN കോൺഫിഗർ ചെയ്യുന്നു | 104
ഈ വിഭാഗം വിവരിക്കുന്നത്ampഇനിപ്പറയുന്ന IKE പ്രാമാണീകരണ രീതികൾ ഉപയോഗിച്ച് ഒരു Junos OS ഉപകരണത്തിൽ ഒരു IPsec VPN-ൻ്റെ കോൺഫിഗറേഷനുകൾ: · പേജ് 91-ൽ "IKE പ്രാമാണീകരണത്തിനായി ഒരു IPsec VPN ഒരു പ്രീഷെയർ ചെയ്ത കീ ഉപയോഗിച്ച് കോൺഫിഗർ ചെയ്യുന്നു" പേജ് 98 · പേജ് 104-ലെ "IKE പ്രാമാണീകരണത്തിനായി ഒരു ECDSA സിഗ്നേച്ചർ ഉപയോഗിച്ച് ഒരു IPsec VPN കോൺഫിഗർ ചെയ്യുന്നു" പേജ് 1-ലെ ചിത്രം 89 എല്ലാ മുൻഭാഗങ്ങളിലും ഉപയോഗിച്ചിരിക്കുന്ന VPN ടോപ്പോളജി ചിത്രീകരിക്കുന്നുampഈ വിഭാഗത്തിൽ വിവരിച്ചിരിക്കുന്നു. ഇവിടെ, H0, H1 എന്നിവ ഹോസ്റ്റാണ്, R0, R1 എന്നിവ IPsec VPN ടണലിൻ്റെ രണ്ട് അവസാന പോയിൻ്റുകളാണ്.

89 ചിത്രം 1: VPN ടോപ്പോളജി

പേജ് 4-ലെ പട്ടിക 89 പിന്തുണയ്ക്കുന്ന IKE പ്രോട്ടോക്കോളുകൾ, ടണൽ മോഡുകൾ, ഘട്ടം 1 നെഗോഷ്യേഷൻ മോഡ്, പ്രാമാണീകരണ രീതി അല്ലെങ്കിൽ അൽഗോരിതം, എൻക്രിപ്ഷൻ അൽഗോരിതം, IKE പ്രാമാണീകരണത്തിനും എൻക്രിപ്ഷനുമുള്ള DH ഗ്രൂപ്പുകളുടെ ഒരു പൂർണ്ണമായ ലിസ്റ്റ് നൽകുന്നു. പ്രാമാണീകരണവും എൻക്രിപ്ഷനും (ഘട്ടം1, IPsec നിർദ്ദേശം). ലിസ്‌റ്റ് ചെയ്‌തിരിക്കുന്ന പ്രോട്ടോക്കോളുകൾ, മോഡുകൾ, അൽഗോരിതങ്ങൾ എന്നിവ 2R21.2 പൊതുവായ മാനദണ്ഡങ്ങൾക്കായി പിന്തുണയ്‌ക്കുന്നതും ആവശ്യമാണ്.
പട്ടിക 4: VPN കോമ്പിനേഷൻ മാട്രിക്സ്

IKE പ്രോട്ടോക്ക് ഓൾ

ടണൽ മോഡ്

ഘട്ടം 1 ചർച്ചകൾ n മോഡ്

ഘട്ടം 1 നിർദ്ദേശം (P1, IKE) പ്രാമാണീകരണ രീതി

ആധികാരികത DH ഗ്രൂപ്പ് അൽഗോരിതം

എൻക്രിപ്ഷൻ അൽഗോരിതം

IKEv1 പ്രധാന റൂട്ട്

മുൻകൂട്ടി പങ്കിട്ട കീകൾ

ഷാ-256

ഗ്രൂപ്പ്14

aes-128-cbc

IKEv2

ആർഎസ്എ-സിഗ്നേച്ചറുകൾ-2048

ഷാ-384

ഗ്രൂപ്പ്15

aes-128-gcm

ecdsa-signatures-256

ഷാ-512

ഗ്രൂപ്പ്16

aes-192-cbc

ecdsa-signatures-384

ഗ്രൂപ്പ്19

aes-256-cbc

ecdsa-signatures-521

ഗ്രൂപ്പ്20

aes-256-gcm

പട്ടിക 4: VPN കോമ്പിനേഷൻ മാട്രിക്സ് (തുടരും)

IKE പ്രോട്ടോക്ക് ഓൾ

ടണൽ മോഡ്

ഘട്ടം 1 ചർച്ചകൾ n മോഡ്

ഘട്ടം 1 നിർദ്ദേശം (P1, IKE) പ്രാമാണീകരണ രീതി

ആധികാരികത DH ഗ്രൂപ്പ് അൽഗോരിതം

എൻക്രിപ്ഷൻ അൽഗോരിതം

ഗ്രൂപ്പ്21

ഗ്രൂപ്പ്24

IKE പ്രോട്ടോക്ക് ഓൾ

Tunne l മോഡ്

ഘട്ടം 1 ചർച്ചകൾ n മോഡ്

ഘട്ടം 2 നിർദ്ദേശം (P2, IPsec) പ്രാമാണീകരണ അൽഗോരിതം

DH ഗ്രൂപ്പ് (PFS)

IKEv1 പ്രധാന റൂട്ട്

hmac-sha-256-128

ഗ്രൂപ്പ്14

IKEv2

hmac-sha-384

ഗ്രൂപ്പ്15

hmac-sha-512

ഗ്രൂപ്പ്16

ഗ്രൂപ്പ്19

ഗ്രൂപ്പ്20

ഗ്രൂപ്പ്21

ഗ്രൂപ്പ്24

എൻക്രിപ്ഷൻ രീതി

എൻക്രിപ്ഷൻ അൽഗോരിതം

ഇ.എസ്.പി

aes-128-cbc

aes-128-gcm

aes-192-cbc

aes-192-gcm

aes-256-cbc

aes-256-gcm

ശ്രദ്ധിക്കുക: ഇനിപ്പറയുന്ന വിഭാഗങ്ങൾ s നൽകുന്നുample കോൺഫിഗറേഷനുകൾ IKEv1 IPsec VPN exampതിരഞ്ഞെടുത്ത അൽഗോരിതങ്ങൾക്കുള്ള les. എന്നതിലേക്കുള്ള കോൺഫിഗറേഷനുകളിൽ പ്രാമാണീകരണ അൽഗോരിതങ്ങൾ മാറ്റിസ്ഥാപിക്കാനാകും

ഉപയോക്താവ് ആഗ്രഹിക്കുന്ന കോൺഫിഗറേഷനുകൾ നിറവേറ്റുക. IKEv2 IPsec VPN-നായി ഗേറ്റ്‌വേ gw-name പതിപ്പ് v2-മാത്രം കമാൻഡ് സെറ്റ് സെക്യൂരിറ്റി ഉപയോഗിക്കുക.

IKE പ്രാമാണീകരണത്തിനായി ഒരു പ്രീഷെയർഡ് കീ ഉപയോഗിച്ച് ഒരു IPsec VPN കോൺഫിഗർ ചെയ്യുന്നു

ഈ വിഭാഗത്തിൽ, IKE പ്രാമാണീകരണ രീതിയായി മുൻകൂട്ടി പങ്കിട്ട കീ ഉപയോഗിച്ച് IPsec VPN-നായി Junos OS പ്രവർത്തിക്കുന്ന ഉപകരണങ്ങൾ നിങ്ങൾ കോൺഫിഗർ ചെയ്യുന്നു. IKE അല്ലെങ്കിൽ IPsec പ്രാമാണീകരണത്തിലോ എൻക്രിപ്ഷനിലോ ഉപയോഗിക്കുന്ന അൽഗോരിതങ്ങൾ പേജ് 5-ലെ പട്ടിക 91-ൽ കാണിച്ചിരിക്കുന്നു.
പട്ടിക 5: IKE അല്ലെങ്കിൽ IPsec ഓതൻ്റിക്കേഷൻ Example

IKE പ്രോട്ടോക്ക് ഓൾ

ടണൽ മോഡ്

ഘട്ടം 1 ചർച്ചകൾ n മോഡ്

ഘട്ടം 1 നിർദ്ദേശം (P1, IKE) പ്രാമാണീകരണ രീതി

ആധികാരികത DH ഗ്രൂപ്പ് അൽഗോരിതം

എൻക്രിപ്ഷൻ അൽഗോരിതം

IKEv1 പ്രധാന റൂട്ട്

മുൻകൂട്ടി പങ്കിട്ട കീകൾ

ഷാ-256

ഗ്രൂപ്പ്14

aes-256-cbc

IKE പ്രോട്ടോക്ക് ഓൾ

Tunne l മോഡ്

ഘട്ടം 1 ചർച്ചകൾ n മോഡ്

ഘട്ടം 2 നിർദ്ദേശം (P2, IPsec) പ്രാമാണീകരണ അൽഗോരിതം

DH ഗ്രൂപ്പ് (PFS)

IKEv1 പ്രധാന റൂട്ട്

hmac-sha-256-128

ഗ്രൂപ്പ്14

എൻക്രിപ്ഷൻ രീതി

എൻക്രിപ്ഷൻ അൽഗോരിതം

ഇ.എസ്.പി

aes-256-cbc

ശ്രദ്ധിക്കുക: Junos OS പ്രവർത്തിക്കുന്ന ഒരു ഉപകരണം IPsec-നായി സർട്ടിഫിക്കറ്റ് അടിസ്ഥാനമാക്കിയുള്ള പ്രാമാണീകരണമോ മുൻകൂട്ടി പങ്കിട്ട കീകളോ ഉപയോഗിക്കുന്നു. വലിയക്ഷരങ്ങളും ചെറിയക്ഷരങ്ങളും അക്കങ്ങളും !, @, #, $, %, ^, &, *, ( പോലുള്ള പ്രത്യേക പ്രതീകങ്ങളും അടങ്ങുന്ന 255 പ്രതീകങ്ങൾ (അവരുടെ ബൈനറി തത്തുല്യങ്ങൾ) വരെയുള്ള ASCII പ്രിഷേർഡ് അല്ലെങ്കിൽ ബിറ്റ് അധിഷ്‌ഠിത കീകൾ TOE സ്വീകരിക്കുന്നു. , ഒപ്പം ). IKE എക്‌സ്‌ചേഞ്ചുകൾക്കുള്ള ഹാഷ് അൽഗോരിതം ആയി കോൺഫിഗർ ചെയ്‌തിരിക്കുന്ന PRF ഉപയോഗിച്ച്, IKEv2409-നുള്ള RFC 1 അല്ലെങ്കിൽ IKEv4306-നുള്ള RFC 2 പ്രകാരം ഈ ഉപകരണം മുൻകൂട്ടി പങ്കിട്ട ടെക്‌സ്‌റ്റ് കീകൾ സ്വീകരിക്കുകയും ടെക്‌സ്‌റ്റ് സ്‌ട്രിംഗിനെ ഒരു പ്രാമാണീകരണ മൂല്യമാക്കി മാറ്റുകയും ചെയ്യുന്നു. മുൻകൂട്ടി പങ്കിട്ട കീകൾക്കായി ജുനോസ് OS മിനിമം സങ്കീർണ്ണത ആവശ്യകതകൾ ചുമത്തുന്നില്ല. അതിനാൽ, വേണ്ടത്ര സങ്കീർണ്ണതയുള്ള ദീർഘനേരം മുൻകൂട്ടി പങ്കിട്ട കീകൾ ശ്രദ്ധാപൂർവ്വം തിരഞ്ഞെടുക്കാൻ ഉപയോക്താക്കളോട് നിർദ്ദേശിക്കുന്നു.

92
ഇനീഷ്യേറ്ററിൽ IKE പ്രാമാണീകരണമായി മുൻകൂട്ടി പങ്കിട്ട കീ ഉപയോഗിച്ച് IPsec VPN കോൺഫിഗർ ചെയ്യുന്നു 1. IKE നിർദ്ദേശം കോൺഫിഗർ ചെയ്യുക:
[edit] user@host# സെറ്റ് സെക്യൂരിറ്റി ഐകെ പ്രൊപ്പോസൽ ike-proposal1 ആധികാരികത-രീതി പ്രീ-ഷെയർഡ് കീകൾ user@host# സെറ്റ് സെറ്റ് സെക്യൂരിറ്റി ഐകെ പ്രൊപ്പോസൽ ike-proposal1 dh-group group14 user@host# സെറ്റ് സെക്യൂരിറ്റി ഐകെ പ്രൊപ്പോസൽ ike-proposal1 പ്രാമാണീകരണം -algorithm sha256 user@host# സെറ്റ് സെക്യൂരിറ്റി ഐകെ പ്രൊപ്പോസൽ ike-proposal1 encryption-algorithm aes-256-cbc
ശ്രദ്ധിക്കുക: ഇവിടെ, ike-proposal1 എന്നത് അംഗീകൃത അഡ്മിനിസ്ട്രേറ്റർ നൽകിയ IKE നിർദ്ദേശ നാമമാണ്.
2. IKE നയം കോൺഫിഗർ ചെയ്യുക:
[തിരുത്തുക] user@host# സെറ്റ് സെക്യൂരിറ്റി ഐകെ പോളിസി ike-policy1 മോഡ് മെയിൻ user@host# സെറ്റ് സെക്യൂരിറ്റി ഐകെ പോളിസി ike-policy1 നിർദ്ദേശങ്ങൾ ike-proposal1
ശ്രദ്ധിക്കുക: ഇവിടെ, ike-policy1 എന്നത് IKE പോളിസി നാമവും ike-proposal1 എന്നത് അംഗീകൃത അഡ്മിനിസ്ട്രേറ്റർ നൽകുന്ന IKE നിർദ്ദേശ നാമവുമാണ്.
user@host# പ്രോംപ്റ്റ് സെക്യൂരിറ്റി ഐകെ പോളിസി ike-policy1 pre-shared-key ascii-text New ascii-text (രഹസ്യം): പുതിയ ascii-ടെക്‌സ്റ്റ് വീണ്ടും ടൈപ്പ് ചെയ്യുക (രഹസ്യം):
ശ്രദ്ധിക്കുക: ആവശ്യപ്പെടുമ്പോൾ നിങ്ങൾ മുൻകൂട്ടി പങ്കിട്ട കീ നൽകി വീണ്ടും നൽകണം. ഉദാample, മുൻകൂട്ടി പങ്കിട്ട കീ Modvpn@jnpr1234 ആകാം.
ശ്രദ്ധിക്കുക: ഷെയർ ചെയ്ത കീ ഹെക്സാഡെസിമൽ ഫോർമാറ്റിൽ നൽകാം. ഉദാample: [edit] root@host# പ്രോംപ്റ്റ് സെക്യൂരിറ്റി ഐകെ നയം ike-policy1 പ്രീ-ഷെയർഡ് കീ ഹെക്സാഡെസിമൽ

93
പുതിയ ഹെക്സാഡെസിമൽ (രഹസ്യം): പുതിയ ഹെക്സാഡെസിമൽ വീണ്ടും ടൈപ്പ് ചെയ്യുക (രഹസ്യം): ഹെക്സാഡെസിമൽ പ്രിഷേർഡ് കീ മൂല്യം നൽകുക.
3. IPsec നിർദ്ദേശം കോൺഫിഗർ ചെയ്യുക:
[edit] user@host# സെറ്റ് സെക്യൂരിറ്റി ipsec സെക്യൂരിറ്റി പ്രൊപ്പോസൽ ipsec-proposal1 പ്രോട്ടോക്കോൾ esp user@host# സെറ്റ് സെക്യൂരിറ്റി ipsec സുരക്ഷാ നിർദ്ദേശം ipsec-proposal1 ആധികാരികത-അൽഗോരിതം hmacsha-256-128 user@host# സെറ്റ് സെക്യൂരിറ്റി ipsec പ്രൊപ്പോസൽ ipsec-proposal-1 enccrypropotion-256 അൽഗോരിതം aes-XNUMX-cbc
ശ്രദ്ധിക്കുക: ഇവിടെ, ipsec-proposal1 എന്നത് അംഗീകൃത അഡ്മിനിസ്ട്രേറ്റർ നൽകിയ IPsec നിർദ്ദേശ നാമമാണ്.
4. IPsec നയം കോൺഫിഗർ ചെയ്യുക:
[edit] user@host# സെറ്റ് സെക്യൂരിറ്റി ipsec നയം ipsec-policy1 perfect-forward-secrecy keys group14 user@host# സെറ്റ് സെക്യൂരിറ്റി ipsec നയം ipsec-policy1 നിർദ്ദേശങ്ങൾ ipsec-proposal1
ശ്രദ്ധിക്കുക: ഇവിടെ, ipsec-policy1 എന്നത് IPsec പോളിസി നാമവും ipsec-proposal1 എന്നത് അംഗീകൃത അഡ്മിനിസ്ട്രേറ്റർ നൽകിയ IPsec നിർദ്ദേശ നാമവുമാണ്.
5. IKE കോൺഫിഗർ ചെയ്യുക:
[edit] user@host# സെറ്റ് സെക്യൂരിറ്റി ike gateway gw1 ike-policy ike-policy1 user@host# സെറ്റ് സെക്യൂരിറ്റി ike gateway gw1 വിലാസം 20.1.1.2 user@host# സെറ്റ് സെക്യൂരിറ്റി ike gateway gw1 ലോക്കൽ-ഐഡൻ്റിറ്റി inet 20.1.1.1 user@host # സെറ്റ് സെക്യൂരിറ്റി ike gateway gw1 എക്‌സ്‌റ്റേണൽ-ഇൻ്റർഫേസ് xe-0/0/2 user@host# സെറ്റ് സെക്യൂരിറ്റി ഐകെ ഗേറ്റ്‌വേ gw1 പതിപ്പ് v2-മാത്രം

94
ശ്രദ്ധിക്കുക: ഇവിടെ, gw1 എന്നത് ഒരു IKE ഗേറ്റ്‌വേ നാമമാണ്, 20.1.1.2 എന്നത് പിയർ VPN എൻഡ്‌പോയിൻ്റ് IP ആണ്, 20.1.1.1 എന്നത് ലോക്കൽ VPN എൻഡ്‌പോയിൻ്റ് IP ആണ്, കൂടാതെ xe-0/0/2 എന്നത് VPN എൻഡ്‌പോയിൻ്റായി ഒരു ലോക്കൽ ഔട്ട്‌ബൗണ്ട് ഇൻ്റർഫേസാണ്. IKEv2-ൻ്റെ കാര്യത്തിലും ഇനിപ്പറയുന്ന അധിക കോൺഫിഗറേഷൻ ആവശ്യമാണ്.
6. VPN കോൺഫിഗർ ചെയ്യുക:
[edit] user@host# സെറ്റ് സെക്യൂരിറ്റി ipsec vpn vpn1 ike gateway gw1 user@host# സെറ്റ് സെക്യൂരിറ്റി ipsec vpn vpn1 ike ipsec-policy ipsec-policy1 user@host# സെറ്റ് സെക്യൂരിറ്റി ipsec vpn vpn1 bind-interface user@ st0.0 സുരക്ഷാ ipsec vpn vpn1 സ്ഥാപിക്കുക-തുരങ്കങ്ങൾ ഉടൻ സജ്ജമാക്കുക
ശ്രദ്ധിക്കുക: ഇവിടെ, അംഗീകൃത അഡ്മിനിസ്ട്രേറ്റർ നൽകിയ VPN ടണൽ നാമമാണ് vpn1.
7. സർവീസ് സെറ്റ് കോൺഫിഗർ ചെയ്യുക:
[തിരുത്തുക] user@host# സെറ്റ് സേവനങ്ങൾ സേവനം-സെറ്റ് IPSEC_SS_SPC3 next-hop-service inside-service-interface vms-5/0/0.1 user@host# സെറ്റ് സേവനങ്ങൾ സേവന-സെറ്റ് IPSEC_SS_SPC3 next-hop-service external-service-interface vms-5/0/0.2 user@host# സെറ്റ് സേവനങ്ങൾ സർവീസ്-സെറ്റ് IPSEC_SS_SPC3 ipsec-vpn vpn1
8. ഇൻ്റർഫേസുകളും റൂട്ടിംഗ് ഓപ്ഷനും കോൺഫിഗർ ചെയ്യുക:
[edit] user@host# സെറ്റ് ഇൻ്റർഫേസുകൾ xe-0/0/2 യൂണിറ്റ് 0 ഫാമിലി inet വിലാസം 20.1.1.1/24 user@host# സെറ്റ് ഇൻ്റർഫേസുകൾ vms-5/0/0 യൂണിറ്റ് 0 ഫാമിലി inet user@host# സെറ്റ് ഇൻ്റർഫേസുകൾ vms -5/0/0 യൂണിറ്റ് 1 ഫാമിലി inet user@host# സെറ്റ് ഇൻ്റർഫേസുകൾ vms-5/0/0 യൂണിറ്റ് 1 കുടുംബം inet6 user@host# സെറ്റ് ഇൻ്റർഫേസുകൾ vms-5/0/0 യൂണിറ്റ് 1 സർവീസ്-ഡൊമെയ്ൻ ഉള്ളിൽ user@host# ഇൻ്റർഫേസുകൾ vms-5/0/0 യൂണിറ്റ് 2 ഫാമിലി inet user@host# സെറ്റ് ഇൻ്റർഫേസുകൾ vms-5/0/0 യൂണിറ്റ് 2 കുടുംബം inet6 user@host# സെറ്റ് ഇൻ്റർഫേസുകൾ vms-5/0/0 യൂണിറ്റ് 2 സേവനം-ഡൊമെയ്ൻ പുറത്ത് ഉപയോക്താവ് @host# സെറ്റ് ഇൻ്റർഫേസുകൾ st0 യൂണിറ്റ് 1 ഫാമിലി inet user@host# സെറ്റ് ഇൻ്റർഫേസുകൾ st0 യൂണിറ്റ് 1 ഫാമിലി inet6 user@host# സെറ്റ് ഇൻ്റർഫേസുകൾ st0 യൂണിറ്റ് 2 ഫാമിലി inet

95
user@host# സെറ്റ് ഇൻ്റർഫേസുകൾ st0 യൂണിറ്റ് 2 കുടുംബം inet6 user@host# സെറ്റ് റൂട്ടിംഗ്-ഓപ്‌ഷനുകൾ സ്റ്റാറ്റിക് റൂട്ട് 30.1.1.0/24 നെക്സ്റ്റ്-ഹോപ്പ് st0.0
റെസ്‌പോണ്ടറിൽ IKE പ്രാമാണീകരണമായി മുൻകൂട്ടി പങ്കിട്ട കീ ഉപയോഗിച്ച് IPsec VPN കോൺഫിഗർ ചെയ്യുന്നു 1. IKE നിർദ്ദേശം കോൺഫിഗർ ചെയ്യുക:
[edit] user@host# സെറ്റ് സെക്യൂരിറ്റി ഐകെ പ്രൊപ്പോസൽ ike-proposal1 ആധികാരികത-രീതി പ്രീ-ഷെയർഡ് കീകൾ user@host# സെറ്റ് സെക്യൂരിറ്റി ഐകെ പ്രൊപ്പോസൽ ike-proposal1 dh-group group14 user@host# സെറ്റ് സെക്യൂരിറ്റി ഐകെ പ്രൊപ്പോസൽ ike-proposal1 പ്രാമാണീകരണം- അൽഗോരിതം sha256 user@host# സെറ്റ് സെക്യൂരിറ്റി ഐകെ പ്രൊപ്പോസൽ ike-proposal1 encryption-algorithm aes-128-cbc
ശ്രദ്ധിക്കുക: ഇവിടെ, ike-proposal1 എന്നത് അംഗീകൃത അഡ്മിനിസ്ട്രേറ്റർ നൽകിയ IKE നിർദ്ദേശ നാമമാണ്.
2. IKE നയം കോൺഫിഗർ ചെയ്യുക:
[തിരുത്തുക] user@host# സെറ്റ് സെക്യൂരിറ്റി ഐകെ പോളിസി ike-policy1 മോഡ് മെയിൻ user@host# സെറ്റ് സെക്യൂരിറ്റി ഐകെ പോളിസി ike-policy1 നിർദ്ദേശങ്ങൾ ike-proposal1
ശ്രദ്ധിക്കുക: ഇവിടെ, ike-policy1 എന്നത് IKE പോളിസി നാമവും ike-proposal1 എന്നത് അംഗീകൃത അഡ്മിനിസ്ട്രേറ്റർ നൽകുന്ന IKE നിർദ്ദേശ നാമവുമാണ്.
user@host# പ്രോംപ്റ്റ് സെക്യൂരിറ്റി ഐകെ പോളിസി ike-policy1 pre-shared-key ascii-text New ascii-text (രഹസ്യം): പുതിയ ascii-ടെക്‌സ്റ്റ് വീണ്ടും ടൈപ്പ് ചെയ്യുക (രഹസ്യം):
ശ്രദ്ധിക്കുക: ആവശ്യപ്പെടുമ്പോൾ നിങ്ങൾ മുൻകൂട്ടി പങ്കിട്ട കീ നൽകി വീണ്ടും നൽകണം. ഉദാample, മുൻകൂട്ടി പങ്കിട്ട കീ Modvpn@jnpr1234 ആകാം.

96
ശ്രദ്ധിക്കുക: പ്രീ-ഷെയർ കീ പകരം ഹെക്സാഡെസിമൽ ഫോർമാറ്റിൽ നൽകാം. ഉദാample, user@host# പ്രോംപ്റ്റ് സെക്യൂരിറ്റി ഐകെ പോളിസി ike-policy1 പ്രീ-ഷെയർഡ്-കീ ഹെക്സാഡെസിമൽ പുതിയ ഹെക്സാഡെസിമൽ (രഹസ്യം): പുതിയ ഹെക്സാഡെസിമൽ വീണ്ടും ടൈപ്പ് ചെയ്യുക (രഹസ്യം): ഇവിടെ, ഹെക്സാഡെസിമൽ പ്രീഷെയർ ചെയ്ത കീ cc2014bae9876543 ആകാം.
3. IPsec നിർദ്ദേശം കോൺഫിഗർ ചെയ്യുക:
[edit] user@host# സെറ്റ് സെക്യൂരിറ്റി ipsec പ്രൊപ്പോസൽ ipsec-proposal1 പ്രോട്ടോക്കോൾ esp user@host# സെറ്റ് സെക്യൂരിറ്റി ipsec പ്രൊപ്പോസൽ ipsec-proposal1 authentication-algorithm hmacsha-256-128 user@host# സെറ്റ് സെക്യൂരിറ്റി ipsec നിർദ്ദേശം ipsec-proposal1 encription3desc-proposal128 -cbcaes-XNUMXcbc
ശ്രദ്ധിക്കുക: ഇവിടെ, ipsec-proposal1 എന്നത് അംഗീകൃത അഡ്മിനിസ്ട്രേറ്റർ നൽകിയ IPsec നിർദ്ദേശ നാമമാണ്.
4. IPsec നയം കോൺഫിഗർ ചെയ്യുക:
[edit] user@host# സെറ്റ് സെക്യൂരിറ്റി ipsec നയം ipsec-policy1 perfect-forward-secrecy keys group14 user@host# സെറ്റ് സെക്യൂരിറ്റി ipsec നയം ipsec-policy1 നിർദ്ദേശങ്ങൾ ipsec-proposal1
ശ്രദ്ധിക്കുക: ഇവിടെ, ipsec-policy1 എന്നത് IPsec പോളിസി നാമവും ipsec-proposal1 എന്നത് അംഗീകൃത അഡ്മിനിസ്ട്രേറ്റർ നൽകിയ IPsec നിർദ്ദേശ നാമവുമാണ്.
5. IKE കോൺഫിഗർ ചെയ്യുക.
[edit] user@host# സെറ്റ് സെക്യൂരിറ്റി ike gateway gw1 ike-policy ike-policy1 user@host# സെറ്റ് സെക്യൂരിറ്റി ike gateway gw1 വിലാസം 20.1.1.1 user@host# സെറ്റ് സെക്യൂരിറ്റി ike gateway gw1 ലോക്കൽ-ഐഡൻ്റിറ്റി inet 20.1.1.2

97
user@host# സെറ്റ് സെക്യൂരിറ്റി ike gateway gw1 എക്‌സ്‌റ്റേണൽ ഇൻ്റർഫേസ് xe-0/0/3 user@host# സെറ്റ് സെക്യൂരിറ്റി ഐകെ ഗേറ്റ്‌വേ gw1 പതിപ്പ് v2-മാത്രം
ശ്രദ്ധിക്കുക: ഇവിടെ, gw1 എന്നത് ഒരു IKE ഗേറ്റ്‌വേ നാമമാണ്, 20.1.1.1 എന്നത് പിയർ VPN എൻഡ്‌പോയിൻ്റ് IP ആണ്, 20.1.1.2 എന്നത് ലോക്കൽ VPN എൻഡ്‌പോയിൻ്റ് IP ആണ്, കൂടാതെ xe-0/0/3 എന്നത് VPN എൻഡ്‌പോയിൻ്റായി ഒരു ലോക്കൽ ഔട്ട്‌ബൗണ്ട് ഇൻ്റർഫേസാണ്. IKEv2-ൻ്റെ കാര്യത്തിലും ഇനിപ്പറയുന്ന അധിക കോൺഫിഗറേഷൻ ആവശ്യമാണ്.
6. VPN കോൺഫിഗർ ചെയ്യുക:
[edit] user@host# സെറ്റ് സെക്യൂരിറ്റി ipsec vpn vpn1 ike gateway gw1 user@host# സെറ്റ് സെക്യൂരിറ്റി ipsec vpn vpn1 ike ipsec-policy ipsec-policy1 user@host# സെറ്റ് സെക്യൂരിറ്റി ipsec vpn vpn1 bind-interface user@ st0.0 സുരക്ഷാ ipsec vpn vpn1 സ്ഥാപിക്കുക-തുരങ്കങ്ങൾ ഉടൻ സജ്ജമാക്കുക
ശ്രദ്ധിക്കുക: ഇവിടെ, അംഗീകൃത അഡ്മിനിസ്ട്രേറ്റർ നൽകിയ VPN ടണൽ നാമമാണ് vpn1.
7. സർവീസ് സെറ്റ് കോൺഫിഗർ ചെയ്യുക:
[തിരുത്തുക] user@host# സെറ്റ് സേവനങ്ങൾ സേവനം-സെറ്റ് IPSEC_SS_SPC3 next-hop-service inside-service-interface vms-4/0/0.1 user@host# സെറ്റ് സേവനങ്ങൾ സേവന-സെറ്റ് IPSEC_SS_SPC3 next-hop-service external-service-interface vms-4/0/0.2 user@host# സെറ്റ് സേവനങ്ങൾ സർവീസ്-സെറ്റ് IPSEC_SS_SPC3 ipsec-vpn vpn1
8. ഇൻ്റർഫേസുകളും റൂട്ടിംഗ് ഓപ്ഷനും കോൺഫിഗർ ചെയ്യുക:
[edit] user@host# സെറ്റ് ഇൻ്റർഫേസുകൾ xe-0/0/3 യൂണിറ്റ് 0 ഫാമിലി inet വിലാസം 20.1.1.2/24 user@host# സെറ്റ് ഇൻ്റർഫേസുകൾ vms-4/0/0 യൂണിറ്റ് 0 ഫാമിലി inet user@host# സെറ്റ് ഇൻ്റർഫേസുകൾ vms -4/0/0 യൂണിറ്റ് 1 ഫാമിലി inet user@host# സെറ്റ് ഇൻ്റർഫേസുകൾ vms-4/0/0 യൂണിറ്റ് 1 കുടുംബം inet6 user@host# സെറ്റ് ഇൻ്റർഫേസുകൾ vms-4/0/0 യൂണിറ്റ് 1 സർവീസ്-ഡൊമെയ്ൻ ഉള്ളിൽ user@host# ഇൻ്റർഫേസുകൾ vms-4/0/0 യൂണിറ്റ് 2 ഫാമിലി inet user@host# സെറ്റ് ഇൻ്റർഫേസുകൾ vms-4/0/0 യൂണിറ്റ് 2 ഫാമിലി inet6

98
user@host# സെറ്റ് ഇൻ്റർഫേസുകൾ vms-4/0/0 യൂണിറ്റ് 2 സർവീസ്-ഡൊമെയ്‌ന് പുറത്ത് user@host# സെറ്റ് ഇൻ്റർഫേസുകൾ st0 യൂണിറ്റ് 1 ഫാമിലി inet user@host# സെറ്റ് ഇൻ്റർഫേസുകൾ st0 യൂണിറ്റ് 1 ഫാമിലി inet6 user@host# സെറ്റ് ഇൻ്റർഫേസുകൾ st0 യൂണിറ്റ് 2 family inet user@host# സെറ്റ് ഇൻ്റർഫേസുകൾ st0 യൂണിറ്റ് 2 കുടുംബം inet6 user@host# സെറ്റ് റൂട്ടിംഗ്-ഓപ്‌ഷനുകൾ സ്റ്റാറ്റിക് റൂട്ട് 10.1.1.0/24 നെക്സ്റ്റ്-ഹോപ്പ് st0.0

IKE പ്രാമാണീകരണത്തിനായി ഒരു RSA സിഗ്നേച്ചർ ഉപയോഗിച്ച് ഒരു IPsec VPN കോൺഫിഗർ ചെയ്യുന്നു

ഇനിപ്പറയുന്ന വിഭാഗം ഒരു മുൻ നൽകുന്നുampRSA സിഗ്നേച്ചർ IKE ഓതൻ്റിക്കേഷൻ രീതിയായി ഉപയോഗിച്ച് IPsec VPN-നായി Junos OS ഉപകരണങ്ങൾ കോൺഫിഗർ ചെയ്യാൻ le, എന്നാൽ IKE/IPsec ഓതൻ്റിക്കേഷൻ/ എൻക്രിപ്ഷനിൽ ഉപയോഗിക്കുന്ന അൽഗോരിതം താഴെയുള്ള പട്ടികയിൽ കാണിച്ചിരിക്കുന്നത് പോലെയാണ്. ഈ വിഭാഗത്തിൽ, IKE പ്രാമാണീകരണ രീതിയായി ഒരു RSA സിഗ്നേച്ചർ ഉപയോഗിച്ച് IPsec VPN-നായി Junos OS പ്രവർത്തിക്കുന്ന ഉപകരണങ്ങൾ നിങ്ങൾ കോൺഫിഗർ ചെയ്യുന്നു. IKE അല്ലെങ്കിൽ IPsec പ്രാമാണീകരണത്തിലോ എൻക്രിപ്ഷനിലോ ഉപയോഗിക്കുന്ന അൽഗോരിതങ്ങൾ പേജ് 6-ലെ പട്ടിക 98-ൽ കാണിച്ചിരിക്കുന്നു.
പട്ടിക 6: IKE/IPsec ഓതൻ്റിക്കേഷനും എൻക്രിപ്ഷനും Example

IKE പ്രോട്ടോക്ക് ഓൾ

ടണൽ മോഡ്

ഘട്ടം 1 ചർച്ചകൾ n മോഡ്

ഘട്ടം 1 നിർദ്ദേശം (P1, IKE) പ്രാമാണീകരണ രീതി

ആധികാരികത DH ഗ്രൂപ്പ് അൽഗോരിതം

എൻക്രിപ്ഷൻ അൽഗോരിതം

IKEv1 പ്രധാന റൂട്ട്

ആർഎസ്എ-സിഗ്നേച്ചറുകൾ-2048

ഷാ-256

ഗ്രൂപ്പ്19

aes-128-cbc

IKE പ്രോട്ടോക്ക് ഓൾ

Tunne l മോഡ്

ഘട്ടം 1 ചർച്ചകൾ n മോഡ്

ഘട്ടം 2 നിർദ്ദേശം (P2, IPsec) പ്രാമാണീകരണ അൽഗോരിതം

DH ഗ്രൂപ്പ് (PFS)

IKEv1 പ്രധാന റൂട്ട്

hmac-sha-256-128

ഗ്രൂപ്പ്19

എൻക്രിപ്ഷൻ രീതി

എൻക്രിപ്ഷൻ അൽഗോരിതം

ഇ.എസ്.പി

aes-128-cbc

ഇനീഷ്യേറ്ററിൽ IKE പ്രാമാണീകരണമായി RSA സിഗ്നേച്ചർ ഉപയോഗിച്ച് IPsec VPN കോൺഫിഗർ ചെയ്യുന്നു 1. PKI കോൺഫിഗർ ചെയ്യുക. Ex. കാണുകample: PKI കോൺഫിഗർ ചെയ്യുന്നു. 2. RSA കീ ജോഡി സൃഷ്ടിക്കുക. Ex. കാണുകample: ഒരു പൊതു-സ്വകാര്യ കീ ജോഡി സൃഷ്ടിക്കുന്നു. 3. CA സർട്ടിഫിക്കറ്റ് ജനറേറ്റ് ചെയ്ത് ലോഡ് ചെയ്യുക. Ex. കാണുകample: CA, പ്രാദേശിക സർട്ടിഫിക്കറ്റുകൾ സ്വമേധയാ ലോഡുചെയ്യുന്നു.

99
4. CRL ലോഡ് ചെയ്യുക. Ex. കാണുകample: ഉപകരണത്തിലേക്ക് ഒരു CRL സ്വമേധയാ ലോഡുചെയ്യുന്നു . 5. ഒരു പ്രാദേശിക സർട്ടിഫിക്കറ്റ് ജനറേറ്റ് ചെയ്ത് ലോഡ് ചെയ്യുക. Ex. കാണുകample: CA, പ്രാദേശിക സർട്ടിഫിക്കറ്റുകൾ സ്വമേധയാ ലോഡുചെയ്യുന്നു. 6. IKE നിർദ്ദേശം കോൺഫിഗർ ചെയ്യുക:
[edit] user@host# സെറ്റ് സെക്യൂരിറ്റി ഐകെ പ്രൊപ്പോസൽ ike-proposal1 ആധികാരികത-രീതി rsa-signatures user@host# സെറ്റ് സെക്യൂരിറ്റി ഐകെ പ്രൊപ്പോസൽ ike-proposal1 dh-group group19 user@host# സെറ്റ് സെക്യൂരിറ്റി ഐകെ പ്രൊപ്പോസൽ ike-proposal1 ഓതൻ്റിക്കേഷൻ-അൽഗോരിതം sha -256 user@host# സെറ്റ് സെക്യൂരിറ്റി ഐകെ പ്രൊപ്പോസൽ ike-proposal1 encryption-algorithm aes-128-cbc
ശ്രദ്ധിക്കുക: ഇവിടെ, ike-proposal1 എന്നത് അംഗീകൃത അഡ്മിനിസ്ട്രേറ്റർ നൽകിയ പേരാണ്.
7. IKE നയം കോൺഫിഗർ ചെയ്യുക:
[തിരുത്തുക] user@host# സെറ്റ് സെക്യൂരിറ്റി ike നയം ike-policy1 മോഡ് പ്രധാന ഉപയോക്താവ്@host# സെറ്റ് സെക്യൂരിറ്റി അതേ നയം ike-policy1 നിർദ്ദേശങ്ങൾ ike-proposal1 user@host# സെറ്റ് സെക്യൂരിറ്റി ഐകെ നയം ike-policy1 സർട്ടിഫിക്കറ്റ് ലോക്കൽ-സർട്ടിഫിക്കറ്റ് cert1
ശ്രദ്ധിക്കുക: ഇവിടെ, അംഗീകൃത അഡ്മിനിസ്ട്രേറ്റർ നൽകിയ ike-policy1 IKE നയത്തിൻ്റെ പേര്.
8. IPsec നിർദ്ദേശം കോൺഫിഗർ ചെയ്യുക:
[edit] user@host# സെറ്റ് സെക്യൂരിറ്റി ipsec പ്രൊപ്പോസൽ ipsec-proposal1 പ്രോട്ടോക്കോൾ esp user@host# സെറ്റ് സെക്യൂരിറ്റി ipsec പ്രൊപ്പോസൽ ipsec-proposal1 authentication-algorithm hmacsha-256-128 user@host# സെറ്റ് സെക്യൂരിറ്റി ipsec നിർദ്ദേശം ipsec-proposal1 -128-സിബിസി
ശ്രദ്ധിക്കുക: ഇവിടെ, ipsec-proposal1 എന്നത് അംഗീകൃത അഡ്മിനിസ്ട്രേറ്റർ നൽകിയ പേരാണ്.

IPsec നയം കോൺഫിഗർ ചെയ്യുക:
[edit] user@host# സെറ്റ് സെക്യൂരിറ്റി ipsec നയം ipsec-policy1 perfect-forward-secrecy keys group19 user@host# സെറ്റ് സെക്യൂരിറ്റി ipsec നയം ipsec-policy1 നിർദ്ദേശങ്ങൾ ipsec-proposal1
ശ്രദ്ധിക്കുക: ഇവിടെ, അംഗീകൃത അഡ്മിനിസ്ട്രേറ്റർ നൽകിയ പേരാണ് ipsec-policy1.
10. IKE കോൺഫിഗർ ചെയ്യുക:
[edit] user@host# സെറ്റ് സെക്യൂരിറ്റി ike gateway gw1 ike-policy ike-policy1 user@host# സെറ്റ് സെക്യൂരിറ്റി ike gateway gw1 വിലാസം 20.1.1.2 user@host# സെറ്റ് സെക്യൂരിറ്റി ike gateway gw1 ലോക്കൽ-ഐഡൻ്റിറ്റി inet 20.1.1.1 user@host # സെറ്റ് സെക്യൂരിറ്റി ike gateway gw1 എക്‌സ്‌റ്റേണൽ-ഇൻ്റർഫേസ് xe-0/0/3 user@host# സെറ്റ് സെക്യൂരിറ്റി ഐകെ ഗേറ്റ്‌വേ gw1 പതിപ്പ് v2-മാത്രം
ശ്രദ്ധിക്കുക: ഇവിടെ, 20.1.1.2 എന്നത് പിയർ VPN എൻഡ്‌പോയിൻ്റ് IP ആണ്, 20.1.1.1 എന്നത് ലോക്കൽ VPN എൻഡ്‌പോയിൻ്റ് IP ആണ്, xe-0/0/3 എന്നത് VPN എൻഡ്‌പോയിൻ്റായി ലോക്കൽ ഔട്ട്‌ബൗണ്ട് ഇൻ്റർഫേസ് ആണ്. IKEv2-നും ഇനിപ്പറയുന്ന കോൺഫിഗറേഷൻ ആവശ്യമാണ്.
11. VPN കോൺഫിഗർ ചെയ്യുക:
[edit] user@host# സെറ്റ് സെക്യൂരിറ്റി ipsec vpn vpn1 ike gateway gw1 user@host# സെറ്റ് സെക്യൂരിറ്റി ipsec vpn vpn1 ike ipsec-policy ipsec-policy1 user@host# സെറ്റ് സെക്യൂരിറ്റി i

പ്രമാണങ്ങൾ / വിഭവങ്ങൾ

Juniper NETWORKS MX240Junos OS സേവനങ്ങൾ കാർഡുള്ള ഉപകരണങ്ങൾ [pdf] ഉപയോക്തൃ ഗൈഡ്
സേവന കാർഡുള്ള MX240Junos OS ഉപകരണങ്ങൾ, MX240Junos, സേവന കാർഡുള്ള OS ഉപകരണങ്ങൾ, സേവന കാർഡുള്ള ഉപകരണങ്ങൾ, സേവനങ്ങൾ കാർഡ്, കാർഡ്

റഫറൻസുകൾ

ഉപയോക്തൃ മാനുവൽ

Juniper NETWORKS MX240Junos OS സേവനങ്ങൾ കാർഡുള്ള ഉപകരണങ്ങൾ

ഉൽപ്പന്ന വിവരം

ഉൽപ്പന്ന ഉപയോഗ നിർദ്ദേശങ്ങൾ

കഴിഞ്ഞുview

റോളുകളും പ്രാമാണീകരണ രീതികളും കോൺഫിഗർ ചെയ്യുക

സിസ്റ്റം പൂജ്യമാക്കുക:

അഡ്മിനിസ്ട്രേറ്റീവ് ക്രെഡൻഷ്യലുകളും പ്രത്യേകാവകാശങ്ങളും കോൺഫിഗർ ചെയ്യുക

SSH, കൺസോൾ കണക്ഷൻ കോൺഫിഗർ ചെയ്യുക

സ്പെസിഫിക്കേഷനുകൾ

പതിവ് ചോദ്യങ്ങൾ (FAQ)

ഈ ഗൈഡിനെക്കുറിച്ച്

FIPS ടെർമിനോളജി

ECDH ECDSA HMAC

ഗുരുതരമായ സുരക്ഷാ പാരാമീറ്ററുകൾ

Junos സോഫ്റ്റ്‌വെയർ പാക്കേജുകൾ ഇൻസ്റ്റാൾ ചെയ്യുക

പ്രമാണങ്ങൾ / വിഭവങ്ങൾ

റഫറൻസുകൾ

ഒരു അഭിപ്രായം ഇടൂ

മറുപടി റദ്ദാക്കുക