FIPS 動作モードで Junos OS を有効化および設定する方法
暗号化オフィサーは、デバイス上でFIPSモードのJunos OSを有効および設定できます。デバイスでの FIPS 動作モードの有効化と設定を開始する前に、以下の手順に従います。
デバイスの安全な配信を確認します。 セキュアな配信の特定を参照してください。
改ざん防止シールを適用します。 暗号化モジュールへの改ざん防止シールの適用を参照してください。
FIPS 動作モードで Junos OS を有効にするには、次の手順を実行します。
FIPS 動作モードを有効にする前にデバイスをゼロにする
user@host> request system zerioze
デバイスで FIPS モードを有効にします。
user@host# set system fips level 2
コミット チェックで CSP を削除し、デバイスを再起動します。
user@host# commit
モジュールが FIPS モードで動作している場合は、デバイスの電源投入時に整合性と自己テストを実行します。
IKE や IPSec の暗号化に AES-GCM を使用する場合に IKEv2 を設定します。
user@host# set security ike proposal <ike_proposal_name> encryption-algorithm ? Possible completions: 3des-cbc 3DES-CBC encryption algorithm aes-128-cbc AES-CBC 128-bit encryption algorithm aes-128-gcm AES-GCM 128-bit encryption algorithm aes-192-cbc AES-CBC 192-bit encryption algorithm aes-256-cbc AES-CBC 256-bit encryption algorithm aes-256-gcm AES-GCM 256-bit encryption algorithm user@host# set security ike proposal <ike_proposal_name> encryption-algorithm aes-256-gcm user@host# set security ipsec proposal <ipsec_proposal_name> encryption-algorithm ? Possible completions: 3des-cbc 3DES-CBC encryption algorithm aes-128-cbc AES-CBC 128-bit encryption algorithm aes-128-gcm AES-GCM 128-bit encryption algorithm aes-192-cbc AES-CBC 192-bit encryption algorithm aes-192-gcm AES-GCM 192-bit encryption algorithm aes-256-cbc AES-CBC 256-bit encryption algorithm aes-256-gcm AES-GCM 256-bit encryption algorithm user@host# set security ipsec proposal <ipsec_proposal_name> encryption-algorithm aes-128-gcm user@host# set security ike gateway <gateway_name> version ? Possible completions: v1-only The connection must be initiated using IKE version 1 v2-only The connection must be initiated using IKE version 2 user@host# set security ike gateway <gateway_name> version v2-only user@host# commit commit complete
コマンドを発行
request system snapshot
して、ファームウェアのバックアップ イメージも JUNOS-FIPS イメージであることを確認します。
および show configuration security ipsec
コマンドはshow configuration security ike
、FIPS が承認したモードで動作するデバイスの、承認済みおよび構成済みの IKE/IPsec 構成を表示します。
user@host:fips> show version Hostname: host-srx380 Model: srx380-poe-ac Junos: 20.2R1 JUNOS Software Release [20.2R1]
出力の のhostname
横の キーワードはfips
、モジュールが Junos ソフトウェア リリース 20.2R1 の FIPS モードで動作していることを示しています。
user@host:fips> show configuration security ike proposal ike-proposal1 { authentication-method pre-shared-keys; dh-group group14; encryption-algorithm aes-256-gcm; } policy ike-policy1 { mode main; proposals ike-proposal1; pre-shared-key ascii-text "$9$Hq.5zF/tpBUj9Au0IRdbwsaZ"; ## SECRET-DATA } gateway gw1 { ike-policy ike-policy1; address 198.51.100.0; local-identity inet 203.0.113.0; external-interface ge-0/0/3; version v2-only; }
user@host:fips> show configuration security ipsec proposal ipsec-proposal1 { protocol esp; encryption-algorithm aes-128-gcm; } policy ipsec-policy1 { perfect-forward-secrecy { keys group14; } proposals ipsec-proposal1; } vpn vpn1 { bind-interface st0.0; ike { gateway gw1; ipsec-policy ipsec-policy1; } }