Entendendo o Junos OS no modo de operação FIPS
O Federal Information Processing Standards (FIPS) 140-2 define níveis de segurança para hardware e software que executam funções criptográficas. O modo Junos FIPS é uma versão do sistema operacional Junos (Junos OS) que está em conformidade com o Federal Information Processing Standard (FIPS) 140-2.
Operar dispositivos da Série SRX em um ambiente FIPS 140-2 Level 2 requer habilitar e configurar o modo de operação FIPS no dispositivo a partir da interface de linha de comando (CLI) do Junos OS.
No Junos OS Release 20.2R1 SRX345 e SRX380, os dispositivos estão em andamento para certificação para FIPS 140-2 Level 2.
O Cryptographic Officer permite o modo de operação FIPS no Junos OS Release 20.2R1 e configura chaves e senhas para o sistema e outros usuários FIPS que podem visualizar a configuração. Ambos os tipos de usuário também podem realizar tarefas normais de configuração no dispositivo (como modificar tipos de interface), como a configuração individual do usuário permite.
Certifique-se de verificar a entrega segura do seu dispositivo e aplicar vedações evidentes de adulteração em suas portas vulneráveis.
Sobre o limite criptográfico em seu dispositivo
A conformidade com o FIPS 140-2 requer um limite criptográfico definido em torno de cada módulo criptográfico em um dispositivo. O Junos OS no modo de operação FIPS impede o módulo criptográfico de executar qualquer software que não faça parte da distribuição certificada por FIPS, e permite que apenas algoritmos criptográficos aprovados por FIPS sejam usados. Nenhum parâmetro crítico de segurança (CSPs), como senhas e chaves, pode atravessar o limite criptográfico do módulo, por exemplo, sendo exibido em um console ou escrito em um arquivo de log externo.
Os recursos do Virtual Chassis não são suportados no modo de operação FIPS — eles não foram testados pela Juniper Networks. Não configure um Virtual Chassis no modo de operação FIPS.
Para proteger fisicamente o módulo criptográfico, todos os dispositivos da Juniper Networks exigem uma vedação aparente nas portas USB e mini-USB.
Como o modo de operação FIPS difere do modo de operação não-FIPS
Ao contrário do Junos OS no modo de operação não-FIPS, o Junos OS no modo de operação FIPS é um ambiente operacional nãomodificável. Além disso, o Junos OS no modo de operação FIPS difere das seguintes maneiras do Junos OS no modo de operação não-FIPS:
Os auto-testes de todos os algoritmos criptográficos são realizados na startup, tanto no modo FIPS quanto no modo não FIPS. Mas os resultados são exibidos no console apenas no modo FIPS.
Os auto-testes de número aleatório e geração chave são realizados continuamente.
Algoritmos criptográficos fracos, como o Data Encryption Standard (DES) e o MD5, estão desativados.
O modo FIPS usa o gerador de números aleatórios HMAC-DRBG, enquanto o modo Non-FIPS usa o gerador de números aleatórios padrão do Junos.
Teste de consistência em pairwise quando um módulo gera um par de chave pública e privada é realizado apenas no Modo FIPS.
A validação de chave pública dh e ECDH durante a geração é realizada apenas no Modo FIPS
Conexões de gerenciamento fracas ou não criptografadas não devem ser configuradas.
As senhas do administrador Junos-FIPS devem ter pelo menos 10 caracteres de comprimento.
As chaves criptográficas devem ser criptografadas antes da transmissão.
O padrão FIPS 140-2 está disponível para download no National Institute of Standards and Technology (NIST) em https://csrc.nist.gov/csrc/media/publications/fips/140/2/final/documents/fips1402.pdf.
Versão validada do Junos OS no modo de operação FIPS
Para determinar se uma versão do Junos OS é validada pelo NIST, consulte a página de conformidade no site da Juniper Networks (https://apps.juniper.net/compliance/fips.html).