ルーターにJunos OSをインストールしても、FIPSモードは自動的に有効ではありません。
Crypto Officerとして、デバイスが認定されるFIPSレベルを1(1)、FIPS 140-2レベルに設定することで、デバイスでFIPSモードを明示的に有効にする必要があります。FIPS モードが有効になっていないデバイスの FIPS レベルは 0(ゼロ)です。
メモ:
FIPS モードに移行するには、パスワードを FIPS 準拠のハッシュ アルゴリズムで暗号化する必要があります。暗号化形式は SHA-256 または SHA-512 である必要があります。MD5 でハッシュされたパスワードなど、この要件を満たしていないパスワードは、FIPS モードを有効にする前に構成から再構成または削除する必要があります。
ルーターでJunos OSでFIPSモードを有効にするには:
- FIPS モードに入る前に、ルーターをゼロにしてすべての CSP を削除します。
- ルーターが健忘モードで起動した後、ユーザー名 root とパスワードを使用してログインします(空白)。
login :root
Password:
Last login: Fri Sep 17 01:11:25 from 10.220.192.171
--- JUNOS 20.3X75-D30.6 Kernel 64-bit JNPR-11.0-20210909.a3fd70d_buil
root@host:~ #
root>
- root 認証をパスワード 10 文字以上で構成します。
root@hostname> edit
Entering configuration mode
[edit]root@hostname# set system root-authentication plain-text-password
New password:
Retype new password:
root@hostname# commit
configuration check succeeds commit complete
- ルーターへの設定を読み込み、新しい設定をコミットします。
- Crypto Officerを設定し、Crypto Officer認証情報でログインします。
- コマンドの後に コマンドを設定して、
set system fips chassis level 1
シャーシ境界 fips をcommit
設定します。
メモ:
デバイスに、読み込まれた設定で古い CSP を削除する警告が表示される場合があります。FIPS 準拠のハッシュを使用するには、Encrypted-password を再構成する必要があります。
- オプションのソフトウェア パッケージを追加できます。
user@hostname> request system software add optional://jpfe-fips.tgz
/usr/sbin/pkg: package jpfe-fips-x86-32-20.3X75-D30.6 is already installed
user@hostname> request system software add optional://fips-mode.tgz
Verified fips-mode signed by Package Production ECP256_2021 method ECDSA256+SHA256
/usr/sbin/pkg: package fips-mode-x86-32-20210915.232653_builder_junos_203_x75_d30 is already installed
- CSP を削除して再構成した後、コミットは成功し、ルーターが FIPS モードに入るために再起動する必要があります。
crypto-officer@hostname# commit
configuration check succeeds
[edit]
'system'
warning: reboot is required to transition to FIPS level 1
commit complete
[edit]
crypto-officer@hostname# run request vmhost reboot
- ルーターを再起動した後、FIPS セルフテストが実行され、ルーターが FIPS モードに入ります。
crypto-officer@hostname:fips>
メモ:
FIPS モードで運用コマンドに ローカル キーワードを使用します。例えば、 show version local
、 、 show system uptime local
.