Entendendo o Junos OS no modo FIPS
O Federal Information Processing Standards (FIPS) 140-2 define níveis de segurança para hardware e software que executam funções criptográficas. Este roteador da Juniper Networks que executa o sistema operacional Junos (Junos OS) da Juniper Networks no modo FIPS cumpre o padrão FIPS 140-2 Level 1.
Operar este roteador em um ambiente fips 140-2 nível 1 requer habilitar e configurar o modo FIPS nos dispositivos a partir da interface de linha de comando (CLI) do Junos OS.
O Crypto Officer permite o modo FIPS no Junos OS e configura chaves e senhas para o sistema e outros usuários FIPS.
Plataformas e hardwares suportados
Para os recursos descritos neste documento, as seguintes plataformas são usadas para qualificar a certificação FIPS:
-
Dispositivos MX240, MX480 e MX960 com as seguintes combinações de mecanismo de roteamento e concentrador modular de portas (MPC) (https://www.juniper.net/us/en/products/routers/mx-series/mx240-universal-routing-platform.html, https://www.juniper.net/us/en/products/routers/mx-series/mx480-universal-routing-platform.html e https://www.juniper.net/us/en/products/routers/mx-series/mx960-universal-routing-platform.html
-
- RE1800 e MPC7E
- NGRE e MPC7E
- NGRE e MS-MPC
- RE1800 e MS-MPC
- RE-S-X6-64G e MS-MPC
Sobre o limite criptográfico em seu dispositivo
A conformidade com o FIPS 140-2 requer um limite criptográfico definido em torno de cada módulo criptográfico em um dispositivo. O Junos OS no modo FIPS impede que o módulo criptográfico execute qualquer software que não faça parte da distribuição certificada por FIPS, e permite que apenas algoritmos criptográficos aprovados por FIPS sejam usados. Nenhum parâmetro crítico de segurança (CSPs), como senhas e chaves, pode atravessar o limite criptográfico do módulo em formato não criptografado.
Os recursos do Virtual Chassis não são suportados no modo FIPS. Não configure um Virtual Chassis no modo FIPS.
Como o modo FIPS difere do modo não-FIPS
O Junos OS no modo FIPS difere das seguintes maneiras do Junos OS no modo não-FIPS:
Os auto-testes de todos os algoritmos criptográficos são realizados na startup.
Os auto-testes de número aleatório e geração chave são realizados continuamente.
Algoritmos criptográficos fracos, como o Data Encryption Standard (DES) e o MD5, estão desativados.
Conexões de gerenciamento fracas ou não criptografadas não devem ser configuradas.
As senhas devem ser criptografadas com algoritmos de mão única fortes que não permitem a descriptografia.
As senhas do administrador devem ter pelo menos 10 caracteres de comprimento.
Versão validada do Junos OS no modo FIPS
Para determinar se uma versão do Junos OS é validada pelo NIST, consulte a página de conformidade no site da Juniper Networks (https://apps.juniper.net/compliance/).