Comprendre Junos OS en mode de fonctionnement FIPS
La norme FIPS (Federal Information Processing Standards) 140-3 définit les niveaux de sécurité du matériel et des logiciels qui exécutent des fonctions cryptographiques. Junos-FIPS est une version du système d’exploitation Junos (Junos OS) conforme à la norme FIPS (Federal Information Processing Standard) 140-3.
L’utilisation de pare-feu SRX Series dans un environnement FIPS 140-3 de niveau 2 nécessite d’activer et de configurer le mode de fonctionnement FIPS sur l’équipement à partir de l’interface de ligne de commande (CLI) de Junos OS.
L’administrateur de sécurité active le mode de fonctionnement FIPS dans Junos OS version 22.2R1 et configure les clés et les mots de passe pour le système et les autres utilisateurs FIPS qui peuvent consulter la configuration. Les deux types d’utilisateurs peuvent également effectuer des tâches de configuration normales sur l’appareil (telles que la modification des types d’interface) si la configuration utilisateur individuelle le permet.
Assurez-vous de vérifier la bonne livraison de votre appareil et d’appliquer des scellés inviolables sur ses ports vulnérables.
À propos de la limite cryptographique sur votre appareil
La conformité à la norme FIPS 140-3 exige de définir une limite cryptographique autour de chaque module cryptographique d’un appareil. En mode de fonctionnement FIPS, Junos OS empêche le module cryptographique d’exécuter tout logiciel qui ne fait pas partie de la distribution certifiée FIPS et n’autorise l’utilisation que d’algorithmes cryptographiques approuvés par FIPS. Aucun paramètre de sécurité critique (CSP), tel que les mots de passe et les clés, ne peut franchir les limites cryptographiques du module, par exemple en étant affiché sur une console ou écrit dans un fichier journal externe.
Les fonctionnalités de Virtual Chassis ne sont pas prises en charge en mode de fonctionnement FIPS. Ne configurez pas Virtual Chassis en mode de fonctionnement FIPS.
Pour sécuriser physiquement le module cryptographique, tous les équipements Juniper Networks doivent être munis d’un sceau d’inviolabilité sur les ports USB et mini-USB.
En quoi le mode de fonctionnement FIPS diffère-t-il du mode de fonctionnement non-FIPS ?
Contrairement à Junos OS en mode de fonctionnement non-FIPS, Junos OS en mode de fonctionnement FIPS est un environnement opérationnel non modifiable. De plus, Junos OS en mode de fonctionnement FIPS diffère de Junos OS en mode de fonctionnement non-FIPS de manière suivante :
Des autotests de tous les algorithmes cryptographiques sont effectués au démarrage.
Des autotests de nombres aléatoires et de génération de clés sont effectués en continu.
Les algorithmes cryptographiques faibles tels que Data Encryption Standard (DES) et MD5 sont désactivés.
Les connexions de gestion faibles, distantes ou non chiffrées ne doivent pas être configurées. Cependant, la TOE permet un accès à la console local et non chiffré dans tous les modes de fonctionnement.
Les mots de passe doivent être chiffrés à l’aide d’algorithmes unidirectionnels puissants qui ne permettent pas le déchiffrement.
Les mots de passe administrateur Junos-FIPS doivent comporter au moins 10 caractères.
Les clés cryptographiques doivent être chiffrées avant d’être transmises.
La norme FIPS 140-3 peut être téléchargée auprès du National Institute of Standards and Technology (NIST) à l’adresse https://csrc.nist.gov/files/pubs/fips/140-2/upd2/final/docs/fips1402.pdf.
Version validée de Junos OS en mode de fonctionnement FIPS
Pour savoir si une version de Junos OS est validée par le NIST, reportez-vous à la page de conformité sur le site Web de Juniper Networks (https://apps.juniper.net/compliance/).