Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Comprendre Junos OS en mode de fonctionnement FIPS

FIPS (Federal Information Processing Standards) 140-2 définit les niveaux de sécurité du matériel et des logiciels exécutant des fonctions cryptographiques. Le mode FIPS Junos est une version du système d’exploitation Junos (Junos OS) conforme à la norme FIPS (Federal Information Processing Standard) 140-2.

L’utilisation d’équipements SRX Series dans un environnement FIPS 140-2 niveau 2 nécessite d’activer et de configurer le mode de fonctionnement FIPS sur l’équipement à partir de l’interface de ligne de commande (CLI) de Junos OS.

Note:

Dans Junos OS version 20.2R1, les équipements SRX345 et SRX380 sont en cours de certification pour FIPS 140-2 niveau 2.

Le responsable cryptographique active le mode de fonctionnement FIPS dans Junos OS version 20.2R1 et configure les clés et les mots de passe pour le système et les autres utilisateurs FIPS qui peuvent afficher la configuration. Les deux types d’utilisateurs peuvent également effectuer des tâches de configuration normales sur l’appareil (telles que la modification des types d’interface) comme le permet la configuration utilisateur individuelle.

Meilleure pratique :

Assurez-vous de vérifier la livraison sécurisée de votre appareil et d’apposer des scellés d’inviolabilité sur ses ports vulnérables.

À propos de la limite cryptographique de votre appareil

La conformité FIPS 140-2 requiert une limite cryptographique définie autour de chaque module cryptographique d’un périphérique. Junos OS, en mode de fonctionnement FIPS, empêche le module cryptographique d’exécuter tout logiciel qui ne fait pas partie de la distribution certifiée FIPS et n’autorise l’utilisation que d’algorithmes de chiffrement approuvés FIPS. Aucun paramètre de sécurité critique (CSP), tel que les mots de passe et les clés, ne peut franchir la limite cryptographique du module, par exemple en étant affiché sur une console ou écrit dans un fichier journal externe.

ATTENTION:

Les fonctionnalités Virtual Chassis ne sont pas prises en charge en mode de fonctionnement FIPS et n’ont pas été testées par Juniper Networks. Ne configurez pas de Virtual Chassis en mode de fonctionnement FIPS.

Pour sécuriser physiquement le module cryptographique, tous les appareils Juniper Networks doivent être munis d’un sceau d’inviolabilité sur les ports USB et mini-USB.

En quoi le mode de fonctionnement FIPS diffère-t-il du mode de fonctionnement non FIPS

Contrairement à Junos OS en mode de fonctionnement non FIPS, Junos OS en mode de fonctionnement FIPS est un environnement opérationnel non modifiable. En outre, Junos OS en mode de fonctionnement FIPS diffère de Junos OS en mode de fonctionnement non FIPS sur les points suivants :

  • Les auto-tests de tous les algorithmes cryptographiques sont effectués au démarrage en mode FIPS et en mode non FIPS. Mais les résultats ne sont affichés sur console qu’en mode FIPS.

  • Des auto-tests de nombre aléatoire et de génération de clés sont effectués en continu.

  • Les algorithmes cryptographiques faibles tels que Data Encryption Standard (DES) et MD5 sont désactivés.

  • Le mode FIPS utilise le générateur de nombres aléatoires HMAC-DRBG, tandis que le mode non FIPS utilise le générateur de nombres aléatoires d’achillée millefeuille par défaut de Junos.

  • Le test de cohérence par paires lorsqu’un module génère une paire de clés publique et privée est effectué uniquement en mode FIPS.

  • La validation des clés publiques DH et ECDH pendant la génération est effectuée uniquement en mode FIPS

  • Les connexions de gestion faibles ou non chiffrées ne doivent pas être configurées.

  • Les mots de passe administrateur Junos-FIPS doivent comporter au moins 10 caractères.

  • Les clés cryptographiques doivent être chiffrées avant d’être transmises.

La norme FIPS 140-2 peut être téléchargée auprès du National Institute of Standards and Technology (NIST) à l’adresse https://csrc.nist.gov/csrc/media/publications/fips/140/2/final/documents/fips1402.pdf.

Version validée de Junos OS en mode de fonctionnement FIPS

Pour savoir si une version de Junos OS est validée par le NIST, consultez la page de conformité du site Web de Juniper Networks (https://apps.juniper.net/compliance/fips.html).

Documentation connexe