Auditorias de código de amostra de mudanças de configuração
Este código de amostra audita todas as alterações nos dados secretos de configuração e envia os logs para um arquivo chamado Arquivo de auditoria:
[edit system]
syslog {
file Audit-File {
authorization info;
change-log info;
interactive-commands info;
}
}
Este código de amostra expande o escopo da auditoria mínima para auditar todas as alterações na configuração, não apenas dados secretos, e envia os logs para um arquivo chamado Arquivo de auditoria:
[edit system]
syslog {
file Audit-File {
any any;
authorization info;
change-log any;
interactive-commands info;
kernel info;
pfe info;
}
}
Exemplo: Registro de sistema de mudanças na configuração
Este exemplo mostra uma configuração de amostra e faz alterações aos usuários e dados secretos. Em seguida, ele mostra as informações enviadas ao servidor de auditoria quando os dados secretos são adicionados à configuração original e comprometidos com o load comando.
[edit system]
location {
country-code US;
building B1;
}
...
login {
message "UNAUTHORIZED USE OF THIS ROUTER\n\tIS STRICTLY PROHIBITED!";
user admin {
uid 2000;
class super-user;
authentication {
encrypted-password “$ABC123”;
# SECRET-DATA
}
}
}
radius-server 192.0.2.15 {
secret “$ABC123” # SECRET-DATA
}
services {
ssh;
}
syslog {
user *{
any emergency;
}
file messages {
any notice;
authorization info;
}
file interactive-commands {
interactive-commands any;
}
}
...
...
A nova configuração muda as declarações secretas de configuração de dados e adiciona um novo usuário.
security-administrator@host:fips# show | compare
[edit system login user admin authentication]
– encrypted-password “$ABC123”; # SECRET-DATA
+ encrypted-password “$ABC123”; # SECRET-DATA
[edit system login]
+ user admin2 {
+ uid 2001;
+ class operator;
+ authentication {
+ encrypted-password “$ABC123”;
# SECRET-DATA
+ }
+ }
[edit system radius-server 192.0.2.15]
– secret “$ABC123”; # SECRET-DATA
+ secret “$ABC123”; # SECRET-DATA
A Tabela 1 mostra uma amostra para auditoria de syslog para NDcPv2.2e:
Exigência |
Eventos auditáveis |
Conteúdo adicional de registro de auditoria |
Como o evento foi gerado |
|---|---|---|---|
FAU_GEN.1 |
Nenhum |
Nenhum |
|
FAU_GEN.2 |
Nenhum |
Nenhum |
|
FAU_STG_EXT.1 |
Nenhum |
Nenhum |
|
FAU_STG.1 |
Nenhum |
Nenhum |
|
FCS_CKM.1 |
Nenhum |
Nenhum |
|
FCS_CKM.2 |
Nenhum |
Nenhum |
|
FCS_CKM,4 |
Nenhum |
Nenhum |
|
FCS_COP.1/DataEncryption |
Nenhum |
Nenhum |
|
FCS_COP.1/SigGen |
Nenhum |
Nenhum |
|
FCS_COP.1/Hash |
Nenhum |
Nenhum |
|
FCS_COP.1/KeyedHash |
Nenhum |
Nenhum |
|
FCS_COP.1(1) |
Nenhum |
Nenhum |
|
FCS_COP.1 |
Nenhum |
Nenhum |
|
FCS_RBG_EXT.1 |
Nenhum |
Nenhum |
|
FIA_PMG_EXT.1 |
Nenhum |
Nenhum |
|
FIA_UIA_EXT.1 |
Todo o uso do mecanismo de identificação e autenticação. |
Origem da tentativa (por ex., endereço IP) |
Login local bem-sucedido 3 de janeiro 09:59:36 login[7637]: LOGIN_INFORMATION: Raiz do usuário logado do host [desconhecido] no dispositivo ttyu0 3 de janeiro 09:59:36 login[7637]: LOGIN_ROOT: Raiz do usuário logado como raiz do host [desconhecido] no dispositivo ttyu0 Login local mal sucedido 3 de janeiro 09:57:52 login[7637]: LOGIN_PAM_AUTHENTICATION_ERROR: senha com falha na raiz do usuário 3 de janeiro 09:57:52 login[7637]: LOGIN_FAILED: O login falhou para a raiz do usuário do host ttyu0 Login remoto bem-sucedido 3 de janeiro 09:32:07 mgd[47035]: UI_AUTH_EVENT: Usuário autenticado 'test1' atribuído à classe 'somente j-read' Jan 3 09:32:07 mgd[47035]: UI_LOGIN_EVENT: Login do usuário 'test1', classe 'j-read-only' [47035], ssh-connection '10.1.5.153 36784 10.1.2.68 22', modo cliente 'cli' Login remoto sem sucesso 3 de janeiro 09:26:56 sshd: SSHD_LOGIN_FAILED: O login falhou para o usuário 'test1' do host '10.1.5.153' |
FIA_UAU_EXT,2 |
Todo o uso do mecanismo de identificação e autenticação. |
Origem da tentativa (por ex., endereço IP) |
Login local bem-sucedido 3 de janeiro 09:59:36 login[7637]: LOGIN_INFORMATION: Raiz do usuário logado do host [desconhecido] no dispositivottyu0 Jan 3 09:59:36 login[7637]: LOGIN_ROOT: Raiz do usuário logado como raiz do host [desconhecido] no dispositivo ttyu0 Login local mal sucedido 3 de janeiro 09:57:52 Login[7637]: LOGIN_PAM_AUTHENTICATION_ERROR: Senha com falha na raiz do usuário 3 de janeiro 09:57:52 login[7637]: LOGIN_FAILED: O login falhou para a raiz do usuário do host ttyu0 Login remoto bem-sucedido 3 de janeiro 09:32:07 mgd[47035]: UI_AUTH_EVENT: Usuário autenticado 'test1' atribuído à classe 'somente j-read' Jan 3 09:32:07 mgd[47035]: UI_LOGIN_EVENT: Login do usuário 'test1', classe 'j-read-only' [47035], ssh-connection '10.1.5.153 36784 10.1.2.68 22', modo cliente 'cli' Login remoto sem sucesso 3 de janeiro 09:26:56 sshd: SSHD_LOGIN_FAILED: O login falhou para o usuário 'test1' do host '10.1.5.153' |
FIA_UAU,7 |
Nenhum |
Nenhum |
|
FMT_MOF.1/Update manual |
Qualquer tentativa de iniciar uma atualização manual |
Nenhum |
28 de dez 21:51:21 mgd[8007]:UI_CMDLINE_READ_LINE:Usuário 'raiz', comando 'solicitar software vmhost adicionar /var/tmp/junosvmhost-installmx-x86-64-19.1-20181231.0.tgz sem validação' |
FMT_MTD.1/CoreData |
Nenhum |
Nenhum |
|
FMT_SMF.1 |
Todas as atividades de gerenciamento de dados TSF |
Nenhum |
Consulte os eventos de auditoria listados nesta tabela. |
FMT_SMR.2 |
Nenhum |
Nenhum |
|
FPT_SKP_EXT.1 |
Nenhum |
Nenhum |
|
FPT_APW_EXT.1 |
Nenhum |
Nenhum |
|
FPT_TST_EXT.1 |
Nenhum |
Nenhum |
Entre Ou Reinicialize o dispositivo para visualizar o auto-teste durante a inicialização. |
FPT_TUD_EXT.1 |
Início da atualização; resultado da tentativa de atualização (sucesso ou falha) |
Nenhum |
28 de dez 21:51:21 mgd[8007]: UI_CMDLINE_READ_LINE: 'raiz' do usuário, comando 'solicite o software vmhost adicionar /var/tmp/junos-add vmhost-install-mxx86-64-19.1-20181231.0.tgz no-validado' |
FPT_STM_EXT.1 |
Alterações descontinuadas ao tempo — o administrador agiu ou mudou por meio de um processo automatizado. (Observe que nenhuma alteração contínua no tempo precisa ser registrada. Veja também a nota do aplicativo em FPT_STM_EXT.1) |
Para mudanças descontinuadas ao tempo: os valores antigos e novos da época. Origem da tentativa de mudar o tempo de sucesso e falha (por exemplo, endereço IP). |
22 de abril 15:31:37 mgd[11121]: UI_CMDLINE_READ_LINE: 'raiz' do usuário, comando 'data definida 201904221532.00 22 de abril 15:32:05 mgd[11121]: UI_CMDLINE_READ_LINE: 'raiz' do usuário, comando 'mostrar tempo de atividade do sistema' |
FPT_STM_EXT.1 FTA_SSL_EXT.1 (se "encerrar a sessão for selecionado) |
O encerramento de uma sessão interativa local pelo mecanismo de bloqueio de sessão. |
Nenhum |
3 de janeiro 11:59:29 cli: UI_CLI_IDLE_TIMEOUT: Tempo limite ocioso para o usuário 'root' excedido e sessão terminada |
FTA_SSL.3 |
O encerramento de uma sessão remota pelo mecanismo de bloqueio de sessão. |
Nenhum |
3 de janeiro 11:26:23 cli: UI_CLI_IDLE_TIMEOUT: Tempo limite ocioso para o usuário 'root' excedido e sessão terminada |
FTA_SSL,4 |
O encerramento de uma sessão interativa. |
Nenhum |
Local 3 de janeiro 11:47:25 mgd[52521]: UI_LOGOUT_EVENT: Logotipo do usuário 'raiz' Remoto 3 de janeiro 11:43:33 sshd[52425]: Desconectado da porta 10.1.5.153 36800:11: desconectado pelo usuário |
FTA_TAB.1 |
Nenhum |
Nenhum |
|
FTP_ITC.1 |
Iniciação do canal de confiança. Terminação do canal de confiança. Falha nas funções de canal confiáveis. |
Identificação do iniciador e alvo de tentativa de estabelecimento de canais confiáveis falha. |
Iniciação do caminho confiável 3 de janeiro 12:09:00 sshd[53492]: Aceito teclado interativo/pam para raiz a partir de 10.1.5.153 porta 36802 ssh2 Terminação do caminho de confiança 3 de janeiro 12:09:03 sshd[53492]: Desconectado da porta 10.1.5.153 36802:11: desconectado pelo usuário Jan 3 12:09:36 sshd: Falha no caminho de confiança SSHD_LOGIN_FAILED: O login falhou no 'root' do usuário do host '10.1.5.153' |
FTP_TRP.1/Administrador |
Iniciação do caminho de confiança. Terminação do caminho de confiança. Falha nas funções de caminho confiáveis. |
Nenhum |
Iniciação do caminho confiável 3 de janeiro 12:09:00 sshd[53492]: Aceito teclado interativo/pam para raiz a partir de 10.1.5.153 porta 36802 ssh2 Terminação do caminho de confiança 3 de janeiro 12:09:03 sshd[53492]: Desconectado da porta 10.1.5.153 36802:11: desconectado pelo usuário Jan 3 12:09:36 sshd: Falha no caminho de confiança SSHD_LOGIN_FAILED: O login falhou no 'root' do usuário do host '10.1.5.153' |
FCS_SSHS_EXT.1 |
Falha em estabelecer uma sessão de SSH |
Motivo para falha |
17 dez 15:02:12 sshd[9842]: Incapaz de negociar com 10.1.5.153 porta 43836: nenhum método de troca de chave correspondente encontrado. Sua oferta: diffie-hellman-group1-sha1,ext-info-c |
FIA_X509_EXT.1/Rev |
Tentativa mal sucedida de validar um certificado Qualquer adição, substituição ou remoção de âncoras de confiança na loja de confiança da TOE |
Motivo para falha na validação do certificado Identificação de certificados adicionados, substituídos ou removidos como âncora de confiança na loja de confiança do TOE |
28 de dez de 22:20:23 veriexec[9371]: não é possível validar /pacotes/db/pkginst.9286/manifest.ecerts: incompatibilidade do emissor do assunto: /C=US/ST=CA/L=Sunnyvale/O=Juniper Networks/OU=Juniper CA/CN=PackageProductionTestEc_2017_NO_DEFECTS/emailAddress=ca@juniper.net |
FIA_X509_EXT.2 |
Nenhum |
Nenhum |
|
FPT_TUD_EXT.2 |
Falha na atualização |
Motivo para falha (incluindo identificador de certificado inválido) |
28 de dez de 22:20:23 veriexec[9371]: não é possível validar /pacotes/db/pkginst.9286/manifest.ecerts: incompatibilidade do emissor do assunto: /C=US/ST=CA/L=Sunnyvale/O=Juniper Networks/OU=Juniper CA/CN=PackageProductionTestEc_2017_NO_DEFECTS/emailAddress=ca@juniper.net |
FMT_MOF.1/funções |
Nenhum |
Nenhum |
|
FMT_MOF.1/Serviços |
Nenhum |
Nenhum |
|
FMT_MTD.1/CryptoKeys |
Nenhum |
Nenhum |
|
FIA_AFL.1 |
Bloqueio do administrador devido a falhas excessivas de autenticação |
Nenhum |
3 de janeiro 08:13:59 sshd: SSHD_LOGIN_ATTEMPTS_THRESHOLD: Limiar para tentativas de autenticação mal sucedidas (2) alcançados pelo usuário 'test1' |