Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの目次
 

FIPSモードのJunos OSについて

連邦情報処理標準 (FIPS) 140-2 は、暗号化機能を実行するハードウェアとソフトウェアのセキュリティ レベルを定義しています。FIPS モードでジュニパーネットワークス Junos オペレーティング システム(Junos OS)を実行しているジュニパーネットワークス PTX1000 ルーターは、FIPS 標準内で適用される全体的な要件を満たしているため、FIPS 140-2 レベル 1 標準に準拠しています。

FIPS 140-2レベル 1環境でこのルーターを操作するには、Junos OS CLIからルーターでFIPSモードを有効にして設定する必要があります。

Crypto Officerは、Junos OSでFIPSモードを有効にし、システムおよび設定を表示できる他のFIPSユーザーのキーとパスワードを設定します。

ジュニパーネットワークス製品のコモンクライテリアおよびFIPSに関する規制コンプライアンス情報については、 ジュニパーネットワークスコンプライアンスアドバイザーを参照してください。

デバイスの暗号化境界について

FIPS 140-2 に準拠するには、ルーター上の各暗号モジュールの周囲に定義された暗号境界が必要です。FIPS モードの Junos OS は、FIPS 認定ディストリビューションに含まれていないソフトウェアを暗号化モジュールが実行できなくなり、FIPS 認定の暗号化アルゴリズムのみを使用できます。パスワードやキーなどの重要なセキュリティ パラメーター (CSP) は、暗号化されていない形式でモジュールの暗号化境界を越えることはできません。

FIPS-140-2 レベル 1 で認定されたジュニパーネットワークス ルーターの場合、モジュールの暗号化境界はシャーシ タイプによって決まります。FIPS 認定ルーターと各ルーターの暗号境界のリストについては、 表 1 を参照してください。

表 1: FIPS 認定 PTX1000 ルーターの暗号化境界

ルーター

シャーシタイプ

暗号化境界

PTX1000

固定構成

ルーターケース
注意:

バーチャル シャーシ機能は、FIPS モードではサポートされていません。バーチャル シャーシをFIPSモードで設定しないでください。

FIPS モードと非 FIPS モードの違い

非FIPSモードのJunos OSとは異なり、FIPSモードのJunos OSは 変更不可能な運用環境です。また、FIPSモードのJunos OSは、非FIPSモードのJunos OSと以下の点で異なります。

  • すべての暗号アルゴリズムのセルフテストは起動時に実行されます。

  • 乱数と鍵生成のセルフテストは継続的に実行されます。

  • DES(データ暗号化標準)やMD5(メッセージダイジェスト5)などの脆弱な暗号化アルゴリズムは無効になります。

  • 脆弱な、または暗号化されていない管理接続は設定しないでください。

  • パスワードは、復号化を許可しない強力な一方向アルゴリズムで暗号化する必要があります。

  • 管理者パスワードは 10 文字以上である必要があります。

FIPSモードでのJunos OSの検証済みバージョン

Junos OSリリースがNISTで検証されているかどうかを確認するには、ジュニパーネットワークスのWebサイト(https://apps.juniper.net/compliance/)のコンプライアンスアドバイザーページを参照してください。

関連ドキュメント