Grundlegendes zu Junos OS im FIPS-Betriebsmodus
Federal Information Processing Standards (FIPS) 140-2 definiert Sicherheitsstufen für Hardware und Software, die kryptografische Funktionen ausführen. Der Junos FIPS-Modus ist eine Version des Junos-Betriebssystems (Junos OS), die dem Federal Information Processing Standard (FIPS) 140-2 entspricht.
Der Betrieb von Geräten der SRX-Serie in einer FIPS 140-2 Level 2-Umgebung erfordert die Aktivierung und Konfiguration des FIPS-Betriebsmodus auf dem Gerät über die Befehlszeilenschnittstelle (CLI) von Junos OS.
In Junos OS Version 20.2R1 werden SRX345- und SRX380-Geräte für die Zertifizierung nach FIPS 140-2 Level 2 benötigt.
Der Cryptographic Officer aktiviert den FIPS-Betriebsmodus in Junos OS Version 20.2R1 und richtet Schlüssel und Kennwörter für das System und andere FIPS-Benutzer ein, die die Konfiguration anzeigen können. Beide Benutzertypen können auch normale Konfigurationsaufgaben auf dem Gerät ausführen (z. B. Ändern von Schnittstellentypen), wenn die individuelle Benutzerkonfiguration dies zulässt.
Stellen Sie sicher, dass Sie die sichere Zustellung Ihres Geräts überprüfen und die anfälligen Ports mit manipulationssicheren Siegeln versehen.
Informationen zur kryptografischen Grenze auf Ihrem Gerät
Die FIPS 140-2-Konformität erfordert eine definierte kryptografische Grenze um jedes kryptografische Modul auf einem Gerät. Junos OS im FIPS-Betriebsmodus verhindert, dass das Kryptografiemodul Software ausführt, die nicht Teil der FIPS-zertifizierten Distribution ist, und lässt nur die Verwendung von FIPS-genehmigten kryptografischen Algorithmen zu. Keine kritischen Sicherheitsparameter (CSPs), wie z. B. Kennwörter und Schlüssel, können die kryptografische Grenze des Moduls überschreiten, indem sie z. B. auf einer Konsole angezeigt oder in eine externe Protokolldatei geschrieben werden.
Virtual Chassis-Funktionen werden im FIPS-Betriebsmodus nicht unterstützt – sie wurden nicht von Juniper Networks getestet. Konfigurieren Sie kein Virtual Chassis im FIPS-Betriebsmodus.
Um das kryptografische Modul physisch zu sichern, benötigen alle Geräte von Juniper Networks ein manipulationssicheres Siegel an den USB- und Mini-USB-Anschlüssen.
Wie sich der FIPS-Betriebsmodus vom Nicht-FIPS-Betriebsmodus unterscheidet
Im Gegensatz zu Junos OS im Nicht-FIPS-Betriebsmodus ist Junos OS im FIPS-Betriebsmodus eine nicht veränderbare Betriebsumgebung. Darüber hinaus unterscheidet sich Junos OS im FIPS-Betriebsmodus wie folgt von Junos OS im Nicht-FIPS-Betriebsmodus:
Selbsttests aller kryptographischen Algorithmen werden beim Start sowohl im FIPS-Modus als auch im Nicht-FIPS-Modus durchgeführt. Die Ergebnisse werden jedoch nur im FIPS-Modus auf der Konsole angezeigt.
Selbsttests der Zufallszahlen- und Schlüsselgenerierung werden kontinuierlich durchgeführt.
Schwache kryptografische Algorithmen wie Data Encryption Standard (DES) und MD5 sind deaktiviert.
Im FIPS-Modus wird der HMAC-DRBG-Zufallszahlengenerator verwendet, während im Nicht-FIPS-Modus der standardmäßige Yarrow-Zufallszahlengenerator von Junos verwendet wird.
Der paarweise Konsistenztest, bei dem ein Modul ein öffentliches und ein privates Schlüsselpaar generiert, wird nur im FIPS-Modus durchgeführt.
Die Validierung des öffentlichen DH- und ECDH-Schlüssels während der Generierung wird nur im FIPS-Modus durchgeführt
Schwache oder unverschlüsselte Managementverbindungen dürfen nicht konfiguriert werden.
Junos-FIPS-Administratorkennwörter müssen mindestens 10 Zeichen lang sein.
Kryptografische Schlüssel müssen vor der Übertragung verschlüsselt werden.
Die Norm FIPS 140-2 steht beim National Institute of Standards and Technology (NIST) unter https://csrc.nist.gov/csrc/media/publications/fips/140/2/final/documents/fips1402.pdf zum Download zur Verfügung.
Validierte Version von Junos OS im FIPS-Betriebsmodus
Informationen dazu, ob eine Junos OS-Version NIST-validiert ist, finden Sie auf der Compliance-Seite auf der Juniper Networks-Website (https://apps.juniper.net/compliance/fips.html).