Understanding Roles and Services for Junos OS in FIPS Mode
Le système d’exploitation Junos (Junos OS) de Juniper Networks qui s’exécute en mode non FIPS permet un large éventail de fonctionnalités pour les utilisateurs, et l’authentification est basée sur l’identité. En revanche, la norme FIPS 140-2 définit deux rôles d’utilisateur : Crypto Officer et UTILISATEUR FIPS. Ces rôles sont définis en termes de capacités utilisateur de Junos OS.
Tous les autres types d’utilisateurs définis pour Junos OS en mode FIPS (en lecture seule, utilisateurs administratifs, etc.) doivent entrer dans l’une des deux catégories : Crypto Officer ou utilisateur FIPS. Pour cette raison, l’authentification utilisateur dans Junos est basée sur l’identité avec l’autorisation basée sur les rôles.
Crypto Officer effectue toutes les tâches de configuration liées au mode FIPS et publie toutes les instructions et commandes pour Junos OS en mode FIPS. Les configurations des utilisateurs Crypto Officer et FIPS doivent suivre les directives de Junos OS en mode FIPS.
Rôle et responsabilités des crypto-officiers
Le crypto officer est la personne responsable de l’activation, de la configuration, de la surveillance et de la maintenance de Junos OS en mode FIPS sur un commutateur. Le crypto officer installe Junos OS en toute sécurité sur le commutateur, active le mode FIPS, établit des clés et des mots de passe pour les autres utilisateurs et modules logiciels, et initialise le commutateur avant la connexion réseau.
Nous recommandons que le crypto officer administre le système de manière sécurisée en gardant les mots de passe sécurisés.
Les autorisations qui distinguent le crypto officer des autres utilisateurs FIPS sont secrètes, la sécurité, la maintenance et le contrôle. Pour la conformité FIPS, attribuez l’agent de chiffrement à une classe de connexion contenant toutes ces autorisations. Un utilisateur disposant de l’autorisation de maintenance Junos OS peut lire des fichiers contenant des paramètres de sécurité critiques (CSP).
Junos OS en mode FIPS ne prend pas en charge le rôle de maintenance FIPS 140-2, ce qui est différent des autorisations de maintenance de Junos OS.
Parmi les tâches liées à Junos OS en mode FIPS, l’agent de chiffrement doit :
Définissez le mot de passe racine initial. La longueur du mot de passe doit être d’au moins 10 caractères.
Réinitialisez les mots de passe des utilisateurs pour les algorithmes approuvés par LAPS lors des mises à niveau de Junos OS.
Examinez les fichiers journaux et d’audit à des fins d’événements intéressants.
Effacez les fichiers, clés et données générés par l’utilisateur en zeroisant le commutateur.
Rôle et responsabilités de l’utilisateur FIPS
Tous les utilisateurs fips, y compris le crypto officer, peuvent consulter la configuration. Seul l’utilisateur affecté en tant qu’agent de chiffrement peut modifier la configuration.
Les autorisations permettant de distinguer les crypto-officiers des autres utilisateurs FIPS sont secrètes, sécurisées, de maintenance et de contrôle. Pour la conformité FIPS, attribuez l’utilisateur FIPS à une classe ne contenant aucune de ces autorisations.
L’utilisateur FIPS peut afficher l’état en sortie, mais ne peut pas redémarrer ou zeroiser le commutateur.
Ce qui est attendu de tous les utilisateurs FIPS
Tous les utilisateurs fips, y compris le crypto officer, doivent respecter les consignes de sécurité à tout moment.
Tous les utilisateurs FIPS doivent :
Gardez tous les mots de passe confidentiels.
Stockez des commutateurs et de la documentation dans une zone sécurisée.
Déployez des commutateurs dans des zones sécurisées.
Vérifiez régulièrement les fichiers d’audit.
Conforme à toutes les autres règles de sécurité FIPS 140-2.
Suivez ces directives :
Les utilisateurs ont confiance.
Les utilisateurs respectent toutes les consignes de sécurité.
Les utilisateurs ne compromettent pas délibérément la sécurité.
Les utilisateurs se comportent de manière responsable en tout temps.