Mot de passe principal pour le chiffrement de la configuration
Junos OS et Junos OS Evolved prennent en charge la méthode de chiffrement des secrets de configuration à l’aide d’un mot de passe maître. Le mot de passe principal dérive une clé de chiffrement qui utilise AES256-GCM pour protéger certains secrets tels que les clés privées, les mots de passe principaux du système et d’autres données sensibles en les stockant dans un format chiffré AES256. Pour plus d’informations, consultez cette rubrique.
Le mot de passe principal est distinct du mot de passe racine de l’appareil.
Renforcer les secrets partagés dans Junos OS
Comprendre le renforcement des secrets partagés
Les secrets partagés existants (format $9$) dans Junos OS utilisent actuellement un algorithme d’obfuscation, qui n’est pas un chiffrement très fort pour les secrets de configuration. Si vous souhaitez un chiffrement fort pour vos secrets de configuration, vous pouvez configurer un mot de passe principal. Le mot de passe principal est utilisé pour dériver une clé de chiffrement qui est utilisée avec AES256-GCM pour chiffrer les secrets de configuration. Cette nouvelle méthode de chiffrement utilise les chaînes formatées $8$.
À partir de Junos OS version 15.1X49-D50 et de Junos OS evolved version 22.4R1, de nouvelles commandes CLI ont été introduites pour configurer un mot de passe principal système afin de renforcer le chiffrement des secrets de configuration. Le mot de passe principal chiffre des secrets tels que le mot de passe RADIUS, les clés IKE prépartagées et d’autres secrets partagés dans la configuration du processus de gestion Junos OS (mgd). Le mot de passe principal lui-même n’est pas enregistré dans le cadre de la configuration. La qualité du mot de passe est évaluée en fonction de sa force, et l’appareil fournit un retour d’information si des mots de passe faibles sont utilisés.
Le mot de passe principal est utilisé comme entrée de la fonction de dérivation de clé basée sur le mot de passe (PBKDF2) pour générer une clé de chiffrement. la clé est utilisée comme entrée de la norme de chiffrement avancée en mode Galois/Counter (AES256-GCM). Le texte brut saisi par l’utilisateur est traité par l’algorithme de chiffrement (avec clé) pour produire le texte chiffré (texte chiffré). Voir Figure 1
L’activation du chiffrement du mot de passe principal via le module TPM (Trusted Platform Module) peut entraîner une augmentation des temps de validation. Cela est dû au traitement de chiffrement qui se produit chaque fois que la configuration est validée. L’augmentation du délai varie en fonction de la capacité du processeur et de la charge actuelle.
Les secrets de configuration à 8 $ ne peuvent être partagés qu’entre des appareils utilisant le même mot de passe principal.
Les mots de passe chiffrés à 8 $ ont le format suivant :
$8$crypt-algo$hash-algo$iterations$salt$iv$tag$encrypted. Reportez-vous à la section Tableau 1 pour plus de détails sur le format du mot de passe principal.
| Format | Description |
|
crypte-algo |
Algorithme de chiffrement/déchiffrement à utiliser. Actuellement, seul AES256-GCM est pris en charge. |
|
hash-algo |
Algorithme de hachage (prf) à utiliser pour la dérivation de la clé PBKDF2. |
|
Itérations |
Nombre d’itérations à utiliser pour la fonction de hachage PBKDF2. La valeur par défaut du nombre d’itérations actuelles est 100. Le nombre d’itérations ralentit le nombre d’itérations de hachage, ralentissant ainsi les suppositions de l’attaquant. |
|
sel |
Séquence d’octets pseudo-aléatoires codés en ASCII64 générés pendant le chiffrement qui doivent être utilisés pour saler (une chaîne aléatoire, mais connue) le mot de passe et l’entrée de la dérivation de clé PBKDF2. |
|
Iv |
Séquence d’octets pseudo-aléatoires codés en ASCII64 générés pendant le chiffrement qui doivent être utilisés comme vecteur d’initialisation pour la fonction de chiffrement AES256-GCM. |
|
étiquette |
Représentation codée en ASCII64 de la balise. |
|
crypté |
Représentation codée en ASCII64 du mot de passe chiffré. |
L’encodage ASCII64 est compatible Base64 (RFC 4648), sauf qu’aucun remplissage (caractère « = ») n’est utilisé pour garder les chaînes courtes. Par exemple : $8$aes256-gcm$hmac-sha2-256$100$y/4YMC4YDLU$fzYDI4jjN6YCyQsYLsaf8A$Ilu4jLcZarD9YnyD /Hejww$okhBlc0cGakSqYxKww
Utilisation du module Trusted Platform pour lier des secrets sur des périphériques SRX Series
En activant le module TPM (Trusted Platform Module) sur les pare-feu SRX Series, la couche logicielle exploite la puce TPM sous-jacente. Le TPM est une puce spécialisée qui protège certains secrets au repos tels que les clés privées, les mots de passe principaux du système et d’autres données sensibles en les stockant dans un format crypté AES256 (au lieu de stocker les données sensibles dans un format texte clair). L’appareil génère également un nouveau hachage SHA256 de la configuration chaque fois que l’administrateur valide la configuration. Ce hachage est vérifié à chaque démarrage du système. Si la configuration a été altérée, la vérification échoue et l’appareil ne continue pas à démarrer. Les données chiffrées et le hachage de la configuration sont protégés par le module TPM à l’aide du mot de passe de chiffrement principal.
La validation du hachage est effectuée lors de toute opération de validation en effectuant une vérification de validation du fichier de configuration par rapport au hachage enregistré lors des validations précédentes. Dans un système de cluster de châssis, le hachage est généré indépendamment sur le système de sauvegarde dans le cadre du processus de validation. Un commit à partir de n’importe quel mode, c’est-à-dire batch-config, dynamic-config, exclusive-configou private config génère le hachage d’intégrité.
Le hachage n’est enregistré que pour la configuration actuelle et non pour les configurations de restauration. Le hachage n’est pas généré lors du redémarrage ou de l’arrêt de l’appareil.
Le TPM chiffre les secrets suivants :
-
Hachage SHA256 de la configuration
-
mot de passe primaire de l’appareil
-
toutes les paires de clés de l’appareil
La puce TPM est disponible sur les appareils SRX300, SRX320, SRX340, SRX345, SRX380 SRX5400, SRX5600 et SRX5800. Sur les appareils SRX5400, SRX5600 et SRX5800, le TPM est pris en charge uniquement avec SRX5K-RE3-128G moteur de routage (RE3).
La puce TPM est activée par défaut pour utiliser la fonctionnalité TPM. Vous devez configurer le mot de passe de chiffrement principal pour chiffrer les paires de clés PKI et le hachage de configuration. Pour configurer le mot de passe de chiffrement principal, reportez-vous à la section Configuration du mot de passe de chiffrement principal.
- Limitations
- Configuration du mot de passe de chiffrement principal
- Vérification de l’état du TPM
- Modification du mot de passe du chiffrement principal
Limitations
Les limitations et exceptions suivantes s’appliquent à la fonctionnalité d’intégrité du fichier de configuration à l’aide de TPM :
-
Cette fonctionnalité est uniquement prise en charge sur les équipements SRX300, SRX320, SRX340, SRX345, SRX380, SRX5400, SRX5600 et SRX5800. Sur les appareils SRX5400, SRX5600 et SRX5800, le TPM n’est pris en charge qu’avec RE3.
-
Si le mot de passe de chiffrement principal n’est pas défini, les données sont stockées sans cryptage.
-
La fonctionnalité d’intégrité des fichiers n’est pas prise en charge, de même que la fonction de chiffrement des fichiers de configuration qui utilise des clés enregistrées dans EEPROM. Vous ne pouvez activer qu’une seule fonction à la fois.
-
Dans un cluster de châssis, les deux nœuds doivent avoir les mêmes paramètres TPM. Cela signifie que le TPM doit être activé pour les deux nœuds du cluster de châssis, ou que le TPM doit être désactivé pour les deux nœuds du cluster de châssis. L’un des nœuds sur TPM activé et l’autre nœud défini sur TPM désactivé ne doivent pas être désactivés dans le cluster de châssis.
Une fois la clé de chiffrement principale (MEK) configurée et opérationnelle, il n’est pas recommandé de passer à une version de Junos qui ne prend pas en charge la fonctionnalité TPM. En effet, l’image non compatible TPM n’est pas en mesure de déchiffrer les secrets qui ont été chiffrés par TPM après le redémarrage de l’appareil sur la version de câble non TPM.
Si vous devez rétrograder vers une image non compatible TPM, vous devez d’abord remettre l’appareil à zéro. Le processus de remise à zéro garantit que l’appareil ne contient aucun secret et supprime toutes les clés. Après la remise à zéro, l’appareil soit rétrogradé à l’image non compatible TPM souhaitée.
Configuration du mot de passe de chiffrement principal
Avant de configurer le mot de passe de chiffrement principal, assurez-vous d’avoir configuré set system master-password plain-text-password autrement, certaines données sensibles ne seront pas protégées par le TPM.
Définissez le mot de passe de chiffrement principal à l’aide de la commande CLI suivante :
request security tpm master-encryption-password set plain-text-password
Vous serez invité à saisir deux fois le mot de passe de chiffrement principal, pour vous assurer que ces mots de passe correspondent. Le mot de passe de chiffrement principal est validé pour la force de mot de passe requise.
Une fois le mot de passe de chiffrement principal défini, le système procède au chiffrement des données sensibles avec le mot de passe de chiffrement principal qui est chiffré par la clé de liaison principale détenue et protégée par la puce TPM.
En cas de problème lors de la définition du mot de passe de chiffrement principal, un message d’erreur critique est enregistré sur la console et le processus est terminé.
Vérification de l’état du TPM
Vous pouvez utiliser la show security tpm status commande pour vérifier l’état du TPM. Les informations suivantes s’affichent :
-
TPM activé/désactivé
-
Propriété TPM
-
État de la clé de liaison principale du TPM (créée ou non créée)
-
État du mot de passe du chiffrement principal (défini ou non)
À partir de Junos OS version 15.1X49-D120 et de Junos OS version 17.4R1, le firmware du module TPM (Trusted Platform Module) a été mis à jour. La version mise à jour du micrologiciel fournit une cryptographie sécurisée supplémentaire et améliore la sécurité. Le firmware TPM mis à jour est disponible avec le package Junos OS. Pour mettre à jour le microprogramme TPM, reportez-vous à la section Mise à niveau du microprogramme TPM sur les périphériques SRX. Pour confirmer la version du microprogramme TPM, utilisez la show security tpm status commande. TPM Family et TPM Firmware version les champs de sortie sont introduits.
Modification du mot de passe du chiffrement principal
La modification du mot de passe de chiffrement principal s’effectue à l’aide de l’interface de ligne de commande.
Pour modifier le mot de passe du chiffrement principal, entrez la commande suivante en mode opérationnel :
request security tpm master-encryption-password set plain-text-password
Il est recommandé qu’aucune modification de configuration ne soit apportée lors de la modification du mot de passe du chiffrement principal.
Le système vérifie si le mot de passe de chiffrement principal est déjà configuré. Si le mot de passe de chiffrement principal est configuré, vous êtes invité à entrer le mot de passe de chiffrement principal actuel.
Le mot de passe de chiffrement principal saisi est validé par rapport au mot de passe de chiffrement principal actuel pour s’assurer que ces mots de passe de chiffrement principal correspondent. Si la validation réussit, vous serez invité à saisir le nouveau mot de passe de chiffrement principal sous forme de texte brut. Il vous sera demandé d’entrer la clé deux fois pour valider le mot de passe.
Le système procède ensuite à un nouveau cryptage des données sensibles avec le nouveau mot de passe de chiffrement principal. Vous devez attendre que ce processus de rechiffrement soit terminé avant d’essayer à nouveau de modifier le mot de passe du chiffrement principal.
Si, pour une raison quelconque, le fichier de mot de passe de chiffrement principal crypté est perdu ou corrompu, le système ne sera pas en mesure de déchiffrer les données sensibles. Le système ne peut être récupéré qu’en réimportant les données sensibles en texte clair et en les chiffrant à nouveau.
Si le système est compromis, l’administrateur peut récupérer le système à l’aide de la méthode suivante :
-
Effacez la propriété TPM dans u-boot, puis installez l’image dans le chargeur de démarrage à l’aide de TFTP ou USB (si le port USB n’est pas restreint).
Si la version logicielle installée est antérieure à Junos OS version 15.1X49-D110 et que le mot de passe de chiffrement principal est activé, l’installation de Junos OS version 15.1X49-D110 échoue. Vous devez sauvegarder la configuration, les certificats, les paires de clés et d’autres secrets et utiliser la procédure d’installation TFTP/USB.
Utilisation de Trusted Platform Module sur les équipements MX Series
Le Trusted Platform Module (TPM) 1.2 est pris en charge sur les appareils MX240, MX480, MX960, MX2010, MX2020 et MX10003. Un mot de passe principal est utilisé pour chiffrer les fichiers de configuration stockés dans l’appareil.
Pour modifier le mot de passe du chiffrement principal, entrez la commande suivante en mode opérationnel :
request security tpm master-encryption-password set plain-text-password
TPM est utilisé pour protéger les données sensibles telles que le mot de passe principal du système par cryptage. TPM prend en charge le chiffrement et le déchiffrement des données à l’aide de clés. Pour déchiffrer les secrets de configuration chiffrés, le mot de passe principal doit être supprimé.
Vous pouvez empêcher de supprimer ou de modifier le mot de passe principal à l’aide de l’option protect . Une fois le mot de passe principal protégé, vous devez appliquer unprotect l’option pour supprimer ou modifier le mot de passe principal. Exécutez en suivant les étapes suivantes :
-
Configurez le mot de passe principal du système.
user@host#
set system master-password plain-text-passwordMaster password: Repeat master password: user@host#commit -
Configurez pour protéger le mot de passe principal du système contre la suppression.
user@host#
protect system master-passworduser@host#commituser@host#show systemhost-name device1; kernel-replication { traceoptions { file kernel_traces.log; flag all; } } ports { console log-out-on-disconnect; } syslog { file messages { daemon any; } } protect: master-password { password-configured; }Le mot de passe principal du système est protégé. Vous pouvez supprimer le mot de passe principal en le déprotégeant.
-
Configurez pour déprotéger le mot de passe principal en saisissant le bon mot de passe principal.
user@host #
unprotect system master-passwordEnter current master-password: user@host #commithost-name device1; kernel-replication { traceoptions { file kernel_traces.log; flag all; } } ports { console log-out-on-disconnect; } syslog { file messages { daemon any; } } master-password { password-configured; } -
Une fois que le mot de passe principal n’est pas protégé, vous pouvez supprimer ou modifier le mot de passe principal sur le système.
user@host #
delete system master-passworduser@host #commituser@host #show systemhost-name device1; kernel-replication { traceoptions { file kernel_traces.log; flag all; } } ports { console log-out-on-disconnect; } syslog { file messages { daemon any; } }
Limitations
-
Si la clé de chiffrement principale (MEK) est supprimée, les données ne peuvent pas être déchiffrées. Pour supprimer MEK, vous devez remettre l’appareil à zéro.
-
Pour rétrograder le moteur de routage, vous devez mettre à zéro le moteur de routage. Une fois l’appareil remis à zéro, il peut être rétrogradé en toute sécurité à l’image qui ne prend pas en charge cette fonctionnalité.
-
Dans la configuration à double moteur de routage, si le moteur de routage de sauvegarde doit être récupéré en raison d’une incompatibilité MEK, GRES doit être désactivé et le moteur de routage de sauvegarde doit être remis à zéro. Une fois que le moteur de routine de sauvegarde est activé, configurez MEK à l’aide de
request security tpm master-encryption-password set plain-text-passwordla commande sur Master RE. -
Dans la configuration à double moteur de routage, si un moteur de routage de sauvegarde doit être remplacé, le nouveau moteur de routage de sauvegarde doit d’abord être remis à zéro avant d’être ajouté à la configuration à double moteur de routage, GRES doit être désactivé et reconfigurer MEK sur le moteur de routage principal à l’aide
request security tpm master-encryption-password set plain-text-passwordde la commande. -
Lorsque vous configurez OSPF, IS-IS, MACsec, BGP et VRRP sur l’équipement et que vous réinitialisez le mot de passe maître, le sous-système de routage/dot1x doit être actif pendant un certain temps (en secondes).
-
Lorsque vous configurez le mot de passe maître, MEK, OSPF, IS-IS, MACsec, BGP et VRRP sur le périphérique et que vous redémarrez le périphérique, il y a un délai (en secondes) pour que le sous-système de routage/dot1x soit actif.
Tableau de l'historique des modifications
La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l' Feature Explorer pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.
show security tpm status commande. TPM Family et TPM Firmware version les champs de sortie sont introduits.