了解 FIPS 操作模式下的 Junos OS
联邦信息处理标准 (FIPS) 140-2 定义了执行加密功能的硬件和软件的安全级别。Junos FIPS 模式是符合联邦信息处理标准 (FIPS) 140-2 的 Junos 操作系统 (Junos OS) 版本。
在 FIPS 140-2 级别 2 环境中操作 SRX 系列设备需要从 Junos OS 命令行界面 (CLI) 在设备上启用和配置 FIPS 操作模式。
在 Junos OS 20.2R1 版本中,SRX345 和 SRX380 设备正在进行 FIPS 140-2 级别 2 认证。
加密官在 Junos OS 20.2R1 版中启用 FIPS 操作模式,并为系统和其他可以查看配置的 FIPS 用户设置密钥和密码。这两种用户类型还可以在单个用户配置允许的情况下在设备上执行正常配置任务(例如修改接口类型)。
请务必验证设备的安全交付,并对其易受攻击的端口应用防篡改封条。
关于设备上的加密边界
FIPS 140-2 合规性要求在设备上的每个加密模块周围定义加密边界。FIPS 操作模式下的 Junos OS 可防止加密模块运行不属于 FIPS 认证发行版的任何软件,并且仅允许使用 FIPS 批准的加密算法。任何关键安全参数 (CSP)(如密码和密钥)都不能越过模块的加密边界,例如,显示在控制台上或写入外部日志文件。
FIPS 操作模式不支持虚拟机箱功能 — 它们尚未经过瞻博网络的测试。请勿在 FIPS 操作模式下配置虚拟机箱。
为了物理保护加密模块,所有瞻博网络设备都需要在 USB 和迷你 USB 端口上安装防篡改密封。
FIPS 操作模式与非 FIPS 操作模式有何不同
与非 FIPS 操作模式下的 Junos OS 不同,FIPS 操作模式下的 Junos OS 是 不可修改的操作环境。此外,FIPS 操作模式下的 Junos OS 与非 FIPS 操作模式下的 Junos OS 在以下方面有所不同:
所有加密算法的自检在启动时在 FIPS 模式和非 FIPS 模式下执行。但结果仅在 FIPS 模式下显示在控制台上。
随机数和密钥生成的自测试是连续执行的。
弱加密算法(如数据加密标准 (DES) 和 MD5)将被禁用。
FIPS 模式使用 HMAC-DRBG 随机数生成器,而非 FIPS 模式使用 Junos 默认的蓍草随机数生成器。
模块生成公钥和私钥对时的成对一致性测试仅在 FIPS 模式下执行。
生成过程中的 DH 和 ECDH 公钥验证仅在 FIPS 模式下执行
不得配置弱管理连接或未加密的管理连接。
Junos-FIPS 管理员密码长度必须至少为 10 个字符。
加密密钥必须在传输之前进行加密。
FIPS 140-2 标准可从美国国家标准与技术研究院 (NIST) https://csrc.nist.gov/csrc/media/publications/fips/140/2/final/documents/fips1402.pdf 下载。
FIPS 操作模式下的 Junos OS 验证版本
要确定 Junos OS 版本是否经过 NIST 验证,请参阅瞻博网络网站 (https://apps.juniper.net/compliance/fips.html) 上的合规性页面。