Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの目次
 

FIPSモードにおけるJunos OSの動作環境の理解

ジュニパーネットワークスのデバイスが FIPS モードで Junos オペレーティング システム(Junos OS)を実行している場合、非 FIPS モードのデバイスの環境とは異なる、特殊なタイプのハードウェアおよびソフトウェアの動作環境が形成されます。

FIPSモードのJunos OS向けハードウェア環境

FIPSモードのJunos OSは、重要なセキュリティパラメーター(CSP)がプレーンテキストを使用して越えることができない暗号化境界をデバイス内に確立します。FIPS 140-2 に準拠するために暗号化境界を必要とするデバイスの各ハードウェア コンポーネントは、個別の暗号化モジュールです。

暗号化方式は、物理的なセキュリティに代わるものではありません。ハードウェアは、安全な物理環境に配置する必要があります。すべてのタイプのユーザーは、キーやパスワードを開示したり、権限のない人が書面による記録やメモを見せたりしてはなりません。

FIPSモードのJunos OS用ソフトウェア環境

Junos OSをFIPSモードで実行しているジュニパーネットワークスのデバイスは、特別なタイプの変更不可能な運用環境を形成します。デバイス上でこの環境を実現するために、システムは、FIPS モード配布で認定された Junos OS の一部ではないバイナリ ファイルの実行を防止します。デバイスが FIPS モードの場合、そのデバイスは Junos OS のみを実行できます。

FIPSモードのJunos OSソフトウェア環境は、Crypto OfficerがデバイスでFIPSモードを有効にした後に確立されます。FIPSモードを含むJunos OSイメージは、ジュニパーネットワークスのWebサイトで入手でき、機能しているデバイスにインストールできます。

FIPS 140-2 に準拠するため、FIPS モードを有効にする前に、デバイスを ゼロにして 、ユーザーが作成したすべてのファイルとデータを削除することをお勧めします。

FIPSモードを有効にすると、通常のJunos OSプロトコルとサービスの多くが無効になります。特に、FIPSモードのJunos OSでは、以下のサービスを設定することはできません。

  • Ftp

  • Rlogin

  • Telnet

  • Tftp

  • xnm-clear-text

これらのサービスを構成しようとしたり、これらのサービスが構成された構成を読み込もうとすると、構成構文エラーが発生します。

リモートアクセスサービスとして使用できるのはSSHのみです。

FIPSモードでJunos OSにアップグレードした後にユーザーに確立するすべてのパスワードは、Junos OS in FIPSモードの仕様に準拠している必要があります。パスワードの長さは 10 から 20 文字でなければならず、定義された 5 つの文字セット (大文字と小文字、数字、句読点、% や & などのキーボード文字、他の 4 つのカテゴリには含まれない) のうち少なくとも 3 つを使用する必要があります。これらのルールに準拠していないパスワードを設定しようとすると、エラーが発生します。ピアの認証に使用するすべてのパスワードとキーは、10 文字以上でなければならず、場合によっては、長さがダイジェスト サイズと一致する必要があります。

メモ:

Crypto Officerがローカルコンソール接続から設定を完了するまで、デバイスをネットワークに接続しないでください。

厳密にコンプライアンスするには、一部のCSPがプレーンテキストで表示される可能性があるため、FIPSモードのJunos OSのローカルコンソールでコアおよびクラッシュダンプ情報を調べないでください。

重要なセキュリティパラメータ

重要なセキュリティパラメータ(CSP)は、暗号化キーやパスワードなどのセキュリティ関連情報であり、暗号化モジュールのセキュリティまたはモジュールによって保護されている情報のセキュリティが開示または変更された場合に危険にさらされる可能性があります。

システムをゼロ化すると、デバイスまたはルーティングエンジンを暗号化モジュールとして動作させる準備として、CSPのすべての痕跡が消去されます。

表1 は、Junos OSを搭載したデバイス上のCSPの一覧です。

表 1: 重要なセキュリティパラメータ

Csp

説明

ゼロ化

使用

SSHv2プライベートホストキー

SSHが初めて設定された際に生成される、ホストの識別に使用されるECDSA/RSAキー。

ゼロ化コマンド。

ホストを識別するために使用されます。

SSHv2 セッション キー

SSHv2 および Diffie-Hellman 秘密鍵として使用されるセッション鍵。

暗号化: 3DES、AES-128、AES-192、AES-256。

MAC:HMAC-SHA-1、HMAC-SHA-2-256、HMAC-SHA2-512。

鍵交換: ECDH-sha2-nistp256、ECDH-sha2-nistp384、ECDH-sha2-nistp521。

電源を入れ直してセッションを終了します。

ホストとクライアント間のデータを暗号化するために使用される対称キー。

ユーザー認証キー

ユーザーのパスワードのハッシュ: SHA256、SHA512。

ゼロ化コマンド。

暗号化モジュールに対してユーザーを認証するために使用されます。

Crypto Officer認証キー

暗号担当者のパスワードのハッシュ:SHA256、SHA512。

ゼロ化コマンド。

暗号モジュールに対してCrypto Officerを認証するために使用されます。

HMAC DRBG シード

決定論的ランドンビットジェネレータ(DRBG)のシード。

シードは暗号化モジュールによって格納されません。

DRBGのシードに使用されます。

HMAC DRBG V 値

出力ブロック長(outlen)の値(V)(ビット単位)。出力の別のoutlenビットが生成されるたびに更新されます。

電源を入れ直します。

DRBG の内部状態のクリティカル値。

HMAC DRBG キー値

DRBG メカニズムが擬似乱数ビットを生成するたびに少なくとも 1 回更新される、アウトレンビット鍵の現在の値。

電源を入れ直します。

DRBG の内部状態のクリティカル値。

NDRNGエントロピー

HMAC DRBG へのエントロピー入力文字列として使用されます。

電源を入れ直します。

DRBG の内部状態のクリティカル値。

FIPSモードのJunos OSでは、すべてのCSPが暗号化された形式で暗号化モジュールに出入りする必要があります。承認されていないアルゴリズムで暗号化された CSP は、FIPS によってプレーンテキストと見なされます。

ベスト プラクティス:

FIPSに準拠するには、SSH接続を介してルーターを構成します。

ローカルパスワードは、SHA256 または SHA512 アルゴリズムでハッシュされます。FIPSモードのJunos OSでは、パスワードのリカバリーはできません。FIPSモードのJunos OSは、正しいrootパスワードがないとシングルユーザーモードで起動できません。