Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Comprendre Junos OS en mode de fonctionnement FIPS

FIPS (Federal Information Processing Standards) 140-3 définit les niveaux de sécurité pour le matériel et les logiciels qui exécutent des fonctions cryptographiques. Junos-FIPS est une version du système d’exploitation Junos (Junos OS) conforme à la norme FIPS (Federal Information Processing Standard) 140-3.

L’utilisation de pare-feu SRX Series dans un environnement FIPS 140-3 niveau 2 nécessite d’activer et de configurer le mode de fonctionnement FIPS sur l’équipement à partir de l’interface de ligne de commande (CLI) de Junos OS.

L’administrateur de sécurité active le mode de fonctionnement FIPS dans Junos OS version 22.2R1 et configure des clés et des mots de passe pour le système et les autres utilisateurs FIPS qui peuvent afficher la configuration. Les deux types d’utilisateurs peuvent également effectuer des tâches de configuration normales sur l’appareil (telles que la modification des types d’interface) comme le permet la configuration utilisateur individuelle.

Meilleure pratique :

Assurez-vous de vérifier la livraison sécurisée de votre appareil et d’apposer des scellés d’inviolabilité sur ses ports vulnérables.

À propos de la limite cryptographique de votre appareil

La conformité FIPS 140-3 nécessite une limite cryptographique définie autour de chaque module cryptographique d’un périphérique. Junos OS, en mode de fonctionnement FIPS, empêche le module cryptographique d’exécuter tout logiciel qui ne fait pas partie de la distribution certifiée FIPS et n’autorise l’utilisation que d’algorithmes de chiffrement approuvés FIPS. Aucun paramètre de sécurité critique (CSP), tel que les mots de passe et les clés, ne peut franchir la limite cryptographique du module, par exemple en étant affiché sur une console ou écrit dans un fichier journal externe.

ATTENTION:

Les fonctionnalités Virtual Chassis ne sont pas prises en charge en mode de fonctionnement FIPS. Ne configurez pas de Virtual Chassis en mode de fonctionnement FIPS.

Pour sécuriser physiquement le module cryptographique, tous les appareils Juniper Networks doivent être munis d’un sceau d’inviolabilité sur les ports USB et mini-USB.

En quoi le mode de fonctionnement FIPS diffère-t-il du mode de fonctionnement non FIPS

Contrairement à Junos OS en mode de fonctionnement non FIPS, Junos OS en mode de fonctionnement FIPS est un environnement opérationnel non modifiable. En outre, Junos OS en mode de fonctionnement FIPS diffère de Junos OS en mode de fonctionnement non FIPS sur les points suivants :

  • Des auto-tests de tous les algorithmes cryptographiques sont effectués au démarrage.

  • Des auto-tests de nombre aléatoire et de génération de clés sont effectués en continu.

  • Les algorithmes cryptographiques faibles tels que Data Encryption Standard (DES) et MD5 sont désactivés.

  • Les connexions de gestion faibles, distantes ou non chiffrées ne doivent pas être configurées. Toutefois, la TOE permet l’accès aux consoles locales et non chiffrées dans tous les modes de fonctionnement.

  • Les mots de passe doivent être chiffrés avec des algorithmes unidirectionnels puissants qui ne permettent pas le déchiffrement.

  • Les mots de passe administrateur Junos-FIPS doivent comporter au moins 10 caractères.

  • Les clés cryptographiques doivent être chiffrées avant d’être transmises.

La norme FIPS 140-3 peut être téléchargée auprès du National Institute of Standards and Technology (NIST) à l’adresse http://csrc.nist.gov/publications/fips/fips140-3/fips1402.pdf.

Version validée de Junos OS en mode de fonctionnement FIPS

Pour déterminer si une version de Junos OS est validée par le NIST, consultez la page de conformité sur le site Web de Juniper Networks (https://apps.juniper.net/compliance).

Documentation connexe