Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

Uso del módulo de plataforma fiable para enlazar secretos en dispositivos serie SRX

 

Al habilitar el módulo de plataforma segura (TPM) en los dispositivos serie SRX, la capa de software aprovecha el uso del chip de TPM subyacente. TPM es un chip especializado que protege ciertos secretos que están en reposo, como las claves privadas, las contraseñas maestras de sistema y otros datos confidenciales, almacenándolos en un formato cifrado AES256 (en lugar de guardar datos confidenciales en formato de texto sin cifrar). El dispositivo también genera un nuevo hash SHA256 de la configuración cada vez que el administrador confirma la configuración. Este valor hash se comprueba cada vez que se inicia el sistema. Si se ha alterado la configuración, la comprobación fracasará y el dispositivo no seguirá arrancando. Los datos cifrados y el código hash de la configuración están protegidos por el módulo TPM con la contraseña de cifrado maestro.

Nota

La validación de hash se realiza durante cualquier operación de confirmación mediante la realización de una comprobación de validación del archivo de configuración comparándolo con el hash guardado de confirmaciones anteriores. En un sistema de clústeres del chasis, el hash se genera de forma independiente en el sistema de copia de seguridad como parte del proceso de confirmación. Una confirmación desde cualquier modo, es decir, batch-configdynamic-configexclusive-config,, o private config genera el hash de integridad.

Nota

El hash solo se guarda para la configuración actual y no para las configuraciones de reversión. El hash no se genera durante el reinicio o el apagado del dispositivo.

El TPM cifra los siguientes secretos:

  • Hash SHA256 de la configuración

  • principal de dispositivo-contraseña

  • todos los pares de claves del dispositivo

El chip de TPM está disponible en los dispositivos SRX300, SRX320, SRX340 y SRX345. El TPM no está habilitado de forma predeterminada. Para habilitar TPM, consulte Habilitación de TPM.

Límites

Las siguientes limitaciones y excepciones se aplican a la característica integridad del archivo de configuración que usa TPM:

  • Esta característica solo se admite en los dispositivos SRX300, SRX320, SRX340 y SRX345.

  • Si no se establece la contraseña de cifrado de maestro, los datos se almacenarán sin cifrar.

  • Si se eliminan la contraseña de cifrado maestro y los distintos archivos de copia de seguridad del índice, no es posible descifrar los datos.

  • Si configura la contraseña de cifrado de maestro, no es posible retroceder a versiones anteriores que no implementan TPM. Debe eliminar la contraseña de cifrado de maestro y volver a escribir todos los datos confidenciales antes de degradar.

  • Si se eliminó la contraseña de cifrado maestro antes de que los daemons tuvieran la oportunidad de volver a cifrar los datos, los datos quedaban inutilizables.

  • La función de integridad de archivos no se admite junto con la función de encriptación del archivo de configuración que utiliza las claves guardadas en EEPROM. Solo puede habilitar una función cada vez.

Habilitación de TPM

Nota

Antes de habilitar TPM, asegúrese de haber configurado “set system master-password plain-text-password” de otro modo que el TPM no protegerá determinados datos confidenciales.

Puede habilitar el TPM mediante la configuración de la contraseña de cifrado maestro mediante el siguiente comando de CLI:

request security tpm master-encryption-password set plain-text-password

Se le pedirá que escriba dos veces la contraseña de cifrado del maestro para asegurarse de que estas contraseñas coinciden. La contraseña de cifrado maestro se valida para la seguridad de contraseña requerida.

Después de establecer la contraseña de cifrado maestro, el sistema procede a cifrar la información confidencial con la contraseña de cifrado maestro cifrada por la clave de enlace principal que es propiedad y está protegida por el chip de TPM.

Nota

Si hay algún problema con la configuración de la contraseña de cifrado de Master, se registra un mensaje de ERROR crítico en la consola y se anula el proceso.

Comprobación del estado de TPM

Puede usar el show security tpm status comando para comprobar el estado de TPM. Aparecerá la siguiente información:

  • TPM habilitada/deshabilitada

  • Propiedad de TPM

  • Estado’de clave de enlace de maestro de TPM s (creado o no creado)

  • Estado de contraseña de cifrado maestro (establecido o no establecido)

A partir de Junos OS Release 15.1 X49-D120 y Junos OS versión 17.4 R1, se ha actualizado el firmware del módulo de plataforma fiable (TPM). La versión actualizada del firmware proporciona criptografía segura adicional y mejora la seguridad. El firmware del TPM actualizado está disponible junto con el paquete Junos OS. Para actualizar el firmware de TPM, consulta la actualización del firmware de TPM en dispositivos SRX. Para confirmar la versión de firmware de TPM, show security tpm status use el comando. TPM Family y TPM Firmware version se introducen los campos de salida.

Cambiar la contraseña de cifrado del patrón

El cambio de contraseña de cifrado de maestro se realiza con la CLI.

Para cambiar la contraseña de cifrado del maestro, escriba el siguiente comando desde el modo operativo:

request security tpm master-encryption-password set plain-text-password

Nota

Se recomienda no hacer ningún cambio en la configuración mientras se cambia la contraseña de cifrado del maestro.

El sistema comprueba si la contraseña de cifrado maestro ya está configurada. Si se configura la contraseña de cifrado maestro, se le pedirá que escriba la contraseña de cifrado de maestro actual.

La contraseña de cifrado de patrón especificada se valida con la contraseña de cifrado actual para asegurarse de que estas contraseñas de cifrado principal coinciden. Si la validación se realiza correctamente, se le pedirá que escriba la nueva contraseña de cifrado maestro como texto sin formato. Se le pedirá que introduzca dos veces la tecla para validar la contraseña.

A continuación, el sistema procede volver a cifrar la información confidencial con la nueva contraseña de cifrado del patrón. Debe esperar a que se complete este proceso de nuevo cifrado antes de intentar cambiar de nuevo la contraseña de cifrado del patrón.

Si, por algún motivo, el archivo de contraseñas de cifrado de maestro cifrado se pierde o se daña, el sistema no podrá descifrar los datos confidenciales. El sistema solo se puede recuperar si se vuelve a importar la información confidencial en texto no cifrado y se vuelven a cifrar.

Si el sistema se ve comprometido, el administrador puede recuperar el sistema utilizando el método siguiente:

  • Borre la propiedad de TPM en el inicio de u e instale la imagen en el cargador de arranque mediante TFTP o USB (si el puerto USB no está restringido).

Nota

Si la versión del software instalada es anterior a Junos OS Release 15.1 X49-D110 y se activa la contraseña de cifrado maestro, la instalación de Junos OS Release 15.1 X49-D110 producirá un error. Debe realizar copias de seguridad de la configuración, certificados, pares de claves y otros secretos, además de utilizar el procedimiento de instalación de TFTP/USB.

Release History Table
Publicación
Descripción
A partir de Junos OS Release 15.1 X49-D120 y Junos OS versión 17.4 R1, se ha actualizado el firmware del módulo de plataforma fiable (TPM). La versión actualizada del firmware proporciona criptografía segura adicional y mejora la seguridad. El firmware del TPM actualizado está disponible junto con el paquete Junos OS. Para actualizar el firmware de TPM, consulta la actualización del firmware de TPM en dispositivos SRX. Para confirmar la versión de firmware de TPM, show security tpm status use el comando. TPM Family y TPM Firmware version se introducen los campos de salida.