FIPS モードの Junos OS について
連邦情報処理標準(FIPS)140-2では、暗号化機能を実行するハードウェアとソフトウェアのセキュリティレベルを定義しています。FIPS規格内の該当する全体的な要件を満たすことで、 FIPSモードのジュニパーネットワークスQFX5120-32C、QFX5120-48T、QFX5120-48Y、QFX5210-64C、およびEX4650-48Yデバイスは、 FIPSモード でJunos OS(Junos OS)を実行しており、FIPS 140-2レベル 1規格に準拠しています。
FIPS 140-2 レベル 1 環境でデバイスを運用するには、Junos OS CLI からスイッチ上で FIPS モードを有効化および設定する必要があります。
Crypto Officerは、Junos OSでFIPSモードを有効にし、設定を表示できるシステムやその他のFIPSユーザーのキーとパスワードを設定します。
コモン クライテリアおよびジュニパーネットワークス製品の FIPS に関する規制準拠情報については、 ジュニパーネットワークス コンプライアンス アドバイザーをご覧ください。
EX および QFX シリーズ スイッチの暗号境界について
FIPS 140-2 に準拠するには、スイッチ上の各暗号化モジュールの周囲に定義済みの暗号化境界が必要です。FIPS モードの Junos OS は、暗号化モジュールが FIPS 認定ディストリビューションに含まれていないソフトウェアを実行することを防ぎ、FIPS が承認した暗号化アルゴリズムのみを使用できるようにします。パスワードやキーなどの重要なセキュリティ パラメーター(CSP)は、暗号化されていない形式でモジュールの暗号化境界を越えるすることはできません。
FIPS-140-2 レベル 1 で認定されたジュニパーネットワークス EX および QFX シリーズ スイッチでは、モジュールの暗号化境界はシャーシ タイプによって決定されます。FIPS 認定スイッチのリストと各スイッチの暗号化境界については、 表 1 を参照してください。
スイッチ |
シャーシ タイプ |
暗号化の境界 |
---|---|---|
EX4650-48Y | 2つの拡張モジュールを備えた固定構成 |
スイッチケース |
QFX5120-32C QFX5120-48T QFX5120-48Y |
2つの拡張モジュールを備えた固定構成 |
スイッチケース |
QFX5210-64C |
2つの拡張モジュールを備えた固定構成 |
スイッチケース |
バーチャル シャーシ機能は、FIPS モードではサポートされていません。FIPS モードでバーチャル シャーシを設定しないでください。
FIPS モードと非 FIPS モードとの違い
非 FIPS モードの Junos OS とは異なり、FIPS モードの Junos OS は 変更不可能な運用環境です。さらに、FIPS モードの Junos OS は、非 FIPS モードの Junos OS とは次の点で異なります。
すべての暗号化アルゴリズムの自己テストは、起動時に実行されます。
乱数と鍵生成の自己テストが継続的に実行されます。
DES(データ暗号化標準)や MD5(メッセージ ダイジェスト 5)などの弱い暗号化アルゴリズムは無効です。
管理接続の弱い接続や暗号化されていない接続は設定しないでください。
パスワードは、暗号化解除を許可しない強力な一方向アルゴリズムで暗号化する必要があります。
管理者パスワードの長さは 10 文字以上にする必要があります。
FIPS モードの Junos OS の検証済みバージョン
Junos OS リリースが NIST で検証済みかどうかを確認するには、ジュニパーネットワークスの Web サイト(https://www.juniper.net/)または National Institute of Standards and Technology サイトのソフトウェア ダウンロード ページを参照してください。