FIPS モードの Junos OS について
連邦情報処理標準(FIPS)140-2では、暗号化機能を実行するハードウェアとソフトウェアのセキュリティレベルを定義しています。 FIPSモード でジュニパーネットワークスJunosオペレーティングシステム(Junos OS)を実行するジュニパーネットワークスのルーターは、FIPS 140-2レベル1規格に準拠しています。
FIPS 140-2 レベル 1 環境でこのルーターを動作させるには、Junos OS CLI(コマンドライン インターフェイス)からデバイス上で FIPS モードを有効化および設定する必要があります。
Crypto Officerは、Junos OSでFIPSモードを有効にし、システムやその他の FIPSユーザーのキーとパスワードを設定します。
サポートされているプラットフォームとハードウェア
本書で説明する機能については、FIPS 認定資格の認定に以下のプラットフォームを使用します。
-
REMX2K-X8/RE1800、MPC9E、MACsec MIC(https://www.juniper.net/us/en/products/routers/mx-series/mx2010-universal-routing-platform.html)を搭載した MX2010 デバイス。
-
REMX2K-X8/RE1800、MPC9E、MACsec MIC(https://www.juniper.net/us/en/products/routers/mx-series/mx2020-universal-routing-platform.html)を搭載した MX2020 デバイス。
デバイスの暗号化境界について
FIPS 140-2 に準拠するには、デバイス上の各暗号化モジュールの周囲に定義済みの暗号化境界が必要です。FIPS モードの Junos OS は、暗号化モジュールが FIPS 認定ディストリビューションに含まれていないソフトウェアを実行することを防ぎ、FIPS が承認した暗号化アルゴリズムのみを使用できるようにします。パスワードやキーなどの重要なセキュリティ パラメーター(CSP)は、暗号化されていない形式でモジュールの暗号化境界を越えるすることはできません。
バーチャル シャーシ機能は、FIPS モードではサポートされていません。FIPS モードでバーチャル シャーシを設定しないでください。
FIPS モードと非 FIPS モードとの違い
FIPS モードの Junos OS は、非 FIPS モードの Junos OS とは次の点で異なります。
すべての暗号化アルゴリズムの自己テストは、起動時に実行されます。
乱数と鍵生成の自己テストが継続的に実行されます。
DES(データ暗号化標準)や MD5 などの強度の低い暗号化アルゴリズムは無効です。
管理接続の弱い接続や暗号化されていない接続は設定しないでください。
パスワードは、暗号化解除を許可しない強力な一方向アルゴリズムで暗号化する必要があります。
管理者パスワードの長さは 10 文字以上にする必要があります。
FIPS モードの Junos OS の検証済みバージョン
Junos OS リリースが NIST で検証されているかどうかを確認するには、ジュニパーネットワークスの Web サイト(https://apps.juniper.net/compliance/)にあるコンプライアンス アドバイザーのページをご覧ください。