スイッチにJunos OSをインストールしても、FIPSモードは自動的に有効になりません。
Crypto Officerとして、FIPSレベルをEXシリーズスイッチおよびQFXシリーズスイッチが認定されるFIPS 140-2レベルである1に設定して、スイッチでFIPSモードを明示的に有効にする必要があります。FIPS モードが有効になっていないスイッチの FIPS レベルは 0(ゼロ)です。
メモ:
FIPS モードに移行するには、パスワードを FIPS 準拠のハッシュ アルゴリズムで暗号化する必要があります。MD5 でハッシュされたパスワードなど、この要件を満たさないパスワードは、FIPS モードを有効にする前に、再設定するか、設定から削除する必要があります。
スイッチのJunos OSでFIPSモードを有効にするには、次の手順に従います。
- FIPS モードに入る前に、スイッチをゼロにしてすべての CSP を削除します。
- スイッチが記憶喪失モードで起動したら、ユーザー名 root とパスワード(空白)を使用してコンソールを使用してログインします。
login :root
Password:
--- JUNOS 20.2R1-20200516 built 2020-05-29 04:12:22 UTCroot@:~ # cli
root>
- 少なくとも 10 文字以上のパスワードを使用して root 認証を構成します。
root@switch> edit
Entering configuration mode
[edit]root@switch# set system root-authentication plain-text-password
New password:
Retype new password:
root@switch# commit
configuration check succeeds commit complete
- コンフィギュレーションをロードして、新しいコンフィギュレーションを切り替えてコミットします。
- Crypto Officerを設定し、Crypto Officerの認証情報でログインします。
- シャーシ境界 fips を設定するには、
set system fips level 1 コマンドの後に commit コマンドを設定します。
メモ:
デバイスは、ロードされた構成で古いCSPを削除するように警告を表示する場合があります-暗号化されたパスワードは、FIPS準拠ハッシュを使用するように再構成する必要があります。
- CSP を削除して再設定した後、コミットは成功し、FIPS モードに入るにはスイッチを再起動する必要があります。
crypto-officer@switch# commit
configuration check succeeds
[edit]
'system'
warning: reboot is required to transition to FIPS level 1
commit complete
[edit]
crypto-officer@switch# run request system reboot
- スイッチを再起動すると、FIPS セルフテストが実行され、スイッチが FIPS モードになります。
crypto-officer@switch:fips>
メモ:
FIPS モードでの操作コマンドには 、local キーワードを使用します。たとえば、 show version local、 、 show system uptime local.
