Comprendre Junos OS en mode FIPS
Les normes FIPS (Federal Information Processing Standards) 140-2 définissent les niveaux de sécurité du matériel et des logiciels qui exécutent des fonctions cryptographiques. En répondant aux exigences globales applicables dans la norme FIPS, les équipements Juniper Networks QFX5120-32C, QFX5120-48T, QFX5120-48Y, QFX5210-64C et EX4650-48Y exécutant le système d’exploitation Junos (Junos OS) de Juniper Networks en mode FIPS sont conformes à la norme FIPS 140-2 niveau 1.
L’exploitation de vos équipements dans un environnement FIPS 140-2 niveau 1 nécessite l’activation et la configuration du mode FIPS sur les commutateurs à partir de l’interface CLI de Junos OS.
Crypto Officer active le mode FIPS dans Junos OS et définit des clés et des mots de passe pour le système et les autres utilisateurs FIPS qui peuvent consulter la configuration.
Pour obtenir des informations sur la conformité aux normes Common Criteria et FIPS pour les produits Juniper Networks, consultez le conseiller de conformité Juniper Networks.
À propos des limites cryptographiques de votre commutateur EX et QFX Series
La conformité FIPS 140-2 nécessite une limite cryptographique définie autour de chaque module cryptographique d’un commutateur. Junos OS en mode FIPS empêche le module cryptographique d’exécuter tout logiciel qui ne fait pas partie de la distribution certifiée FIPS et permet d’utiliser uniquement des algorithmes de cryptage approuvés par la FIPS. Aucun paramètre de sécurité critique (CSP), comme les mots de passe et les clés, ne peut franchir les limites cryptographiques du module au format non chiffré.
Pour les commutateurs EX et QFX Series de Juniper Networks certifiés FIPS-140-2 niveau 1, la limite cryptographique du module est déterminée par le type de châssis. Pour obtenir la liste des commutateurs certifiés FIPS et les limites cryptographiques de chaque commutateur, reportez-vous au tableau 1.
Interrupteur |
Type de châssis |
Limites cryptographiques |
|---|---|---|
| EX4650-48Y | Configuration fixe avec deux modules d’extension |
Cas de commutateur |
| QFX5120-32C QFX5120-48T QFX5120-48Y |
Configuration fixe avec deux modules d’extension |
Cas de commutateur |
QFX5210-64C |
Configuration fixe avec deux modules d’extension |
Cas de commutateur |
Les fonctionnalités Virtual Chassis ne sont pas prises en charge en mode FIPS. Ne configurez pas un virtual Chassis en mode FIPS.
Différences entre le mode FIPS et le mode non FIPS
Contrairement à Junos OS en mode non FIPS, Junos OS en mode FIPS est un environnement opérationnel non modifiable. En outre, Junos OS en mode FIPS diffère des méthodes suivantes par rapport à Junos OS en mode non FIPS :
Des autotests de tous les algorithmes de cryptage sont effectués au démarrage.
Les autotests des nombres aléatoires et de la génération de clés sont effectués en continu.
Les algorithmes cryptographiques faibles tels que Data Encryption Standard (DES) et Message Digest 5 (MD5) sont désactivés.
Les connexions de gestion faibles ou non chiffrées ne doivent pas être configurées.
Les mots de passe doivent être chiffrés à l’aide d’algorithmes unidirectionaux puissants qui ne permettent pas le déchiffrement.
Les mots de passe de l’administrateur doivent avoir une longueur d’au moins 10 caractères.
Version validée de Junos OS en mode FIPS
Pour déterminer si une version de Junos OS est validée par le NIST, consultez la page de téléchargement du logiciel sur le site Web de Juniper Networks (https://www.juniper.net/) ou sur le site du National Institute of Standards and Technology.