このページで
例:FIPS セルフテストの設定
この例では、FIPS セルフテストを定期的に実行するように構成する方法を示します。
ハードウェアとソフトウェアの要件
FIPS セルフテストを設定するには、管理者権限が必要です。
デバイスは、FIPS モード ソフトウェアで Junos OS の評価バージョンを実行している必要があります。
概要
FIPS セルフテストは、以下の KA(既知の回答テスト)スイートで構成されています。
-
kernel_katsカーネル暗号化ルーチン用の KAT -
md_kats- libmd および libc の KAT -
openssl_kats- OpenSSL 暗号化実装用の KAT -
quicksec_kats- QuickSec Toolkit 暗号化実装のための KAT -
macsec_kats— MACsec 暗号化実装用の KAT
この例では、FIPS セルフテストは毎週水曜日に米国ニューヨーク市で午前 9:00 に実行されます。
週次テストではなく、 および day-of-month ステートメントを含めて月次テストをmonth設定できます。
KAT の自己テストが失敗すると、テスト失敗の詳細を含むログ メッセージがシステム ログ メッセージ ファイルに書き込まれます。その後、システムはパニックになり、再起動します。
構成
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをテキスト ファイルにコピーし、改行を削除してから、 階層レベルの CLI にコマンドを [edit] 貼り付けます。
set system fips self-test periodic start-time 09:00 set system fips self-test periodic day-of-week 3
手順
手順
FIPSセルフテストを設定するには::
毎週水曜日の午前 9 時 00 分に FIPS セルフテストを実行するように構成します。
[edit system fips self-test] user@host# set periodic start-time 09:00 user@host# set periodic day-of-week 3
デバイスの設定が完了したら、設定をコミットします。
[edit system fips self-test] user@host# commit
結果
設定モードから、 コマンドを発行して設定を show system 確認します。出力結果に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。
user@host# show system
fips {
self-test {
periodic {
start-time "09:00";
day-of-week 3;
}
}
}
検証
設定が正しく機能していることを確認します。
目的
FIPS セルフテストが有効になっていることを確認します。
アクション
コマンドを発行して、FIPS セルフテストを request system fips self-test 手動で実行します。
コマンドを request system fips self-test 発行すると、システム ログ ファイルが更新され、実行された KAT が表示されます。システム ログ ファイルを表示するには、 コマンドを file show /var/log/messages 発行します。
user@host> file show /var/log/messages
mgd: Running FIPS Self-tests mgd: Testing kernel KATS: mgd: NIST 800-90 HMAC DRBG Known Answer Test: Passed mgd: DES3-CBC Known Answer Test: Passed mgd: HMAC-SHA1 Known Answer Test: Passed mgd: HMAC-SHA2-256 Known Answer Test: Passed mgd: SHA-2-384 Known Answer Test: Passed mgd: SHA-2-512 Known Answer Test: Passed mgd: AES128-CMAC Known Answer Test: Passed mgd: AES-CBC Known Answer Test: Passed mgd: Testing MACSec KATS: mgd: AES128-CMAC Known Answer Test: Passed mgd: AES256-CMAC Known Answer Test: Passed mgd: AES-ECB Known Answer Test: Passed mgd: AES-KEYWRAP Known Answer Test: Passed mgd: Testing libmd KATS: mgd: HMAC-SHA1 Known Answer Test: Passed mgd: HMAC-SHA2-256 Known Answer Test: Passed mgd: SHA-2-512 Known Answer Test: Passed mgd: Testing OpenSSL KATS: mgd: NIST 800-90 HMAC DRBG Known Answer Test: Passed mgd: FIPS ECDSA Known Answer Test: Passed mgd: FIPS ECDH Known Answer Test: Passed mgd: FIPS RSA Known Answer Test: Passed mgd: DES3-CBC Known Answer Test: Passed mgd: HMAC-SHA1 Known Answer Test: Passed mgd: HMAC-SHA2-224 Known Answer Test: Passed mgd: HMAC-SHA2-256 Known Answer Test: Passed mgd: HMAC-SHA2-384 Known Answer Test: Passed mgd: HMAC-SHA2-512 Known Answer Test: Passed mgd: AES-CBC Known Answer Test: Passed mgd: AES-GCM Known Answer Test: Passed mgd: ECDSA-SIGN Known Answer Test: Passed mgd: KDF-IKE-V1 Known Answer Test: Passed mgd: KDF-SSH-SHA256 Known Answer Test: Passed mgd: KAS-ECC-EPHEM-UNIFIED-NOKC Known Answer Test: Passed mgd: KAS-FFC-EPHEM-NOKC Known Answer Test: Passed mgd: Testing QuickSec 7.0 KATS: mgd: NIST 800-90 HMAC DRBG Known Answer Test: Passed mgd: DES3-CBC Known Answer Test: Passed mgd: HMAC-SHA1 Known Answer Test: Passed mgd: HMAC-SHA2-224 Known Answer Test: Passed mgd: HMAC-SHA2-256 Known Answer Test: Passed mgd: HMAC-SHA2-384 Known Answer Test: Passed mgd: HMAC-SHA2-512 Known Answer Test: Passed mgd: AES-CBC Known Answer Test: Passed mgd: AES-GCM Known Answer Test: Passed mgd: SSH-RSA-ENC Known Answer Test: Passed mgd: SSH-RSA-SIGN Known Answer Test: Passed mgd: SSH-ECDSA-SIGN Known Answer Test: Passed mgd: KDF-IKE-V1 Known Answer Test: Passed mgd: KDF-IKE-V2 Known Answer Test: Passed mgd: Testing QuickSec KATS: mgd: NIST 800-90 HMAC DRBG Known Answer Test: Passed mgd: DES3-CBC Known Answer Test: Passed mgd: HMAC-SHA1 Known Answer Test: Passed mgd: HMAC-SHA2-224 Known Answer Test: Passed mgd: HMAC-SHA2-256 Known Answer Test: Passed mgd: HMAC-SHA2-384 Known Answer Test: Passed mgd: HMAC-SHA2-512 Known Answer Test: Passed mgd: AES-CBC Known Answer Test: Passed mgd: AES-GCM Known Answer Test: Passed mgd: SSH-RSA-ENC Known Answer Test: Passed mgd: SSH-RSA-SIGN Known Answer Test: Passed mgd: KDF-IKE-V1 Known Answer Test: Passed mgd: KDF-IKE-V2 Known Answer Test: Passed mgd: Testing SSH IPsec KATS: mgd: NIST 800-90 HMAC DRBG Known Answer Test: Passed mgd: DES3-CBC Known Answer Test: Passed mgd: HMAC-SHA1 Known Answer Test: Passed mgd: HMAC-SHA2-256 Known Answer Test: Passed mgd: AES-CBC Known Answer Test: Passed mgd: SSH-RSA-ENC Known Answer Test: Passed mgd: SSH-RSA-SIGN Known Answer Test: Passed mgd: KDF-IKE-V1 Known Answer Test: Passed mgd: Testing file integrity: mgd: File integrity Known Answer Test: Passed mgd: Testing crypto integrity: mgd: Crypto integrity Known Answer Test: Passed mgd: Expect an everiexec: no fingerprint for file='/sbin/kats/cannot-exec' fsid=215 fileid=49356 gen=1 uid=0 pid=6039 xec Authentication error... mgd: /sbin/kats/run-tests: /sbin/kats/cannot-exec: Authentication error mgd: FIPS Self-tests Passed