Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

FIPS動作モードにおけるJunos OSについて

連邦情報処理標準 (FIPS) 140-3 は、暗号化機能を実行するハードウェアとソフトウェアのセキュリティ レベルを定義しています。Junos-FIPSは、連邦情報処理標準(FIPS)140-3に準拠したJunosオペレーティングシステム(Junos OS)のバージョンです。

FIPS 140-3 レベル2環境でSRXシリーズファイアウォールを動作させるには、Junos OSコマンドラインインターフェイス(CLI)からデバイス上でFIPS動作モードを有効にして設定する必要があります。

セキュリティ管理者は、Junos OS リリース 22.2R1 で FIPS 動作モードを有効にし、システムおよび構成を表示できる他の FIPS ユーザーの鍵とパスワードを設定します。どちらのユーザータイプも、個々のユーザー設定で許可されているように、デバイス上で通常の設定タスク(インターフェイスタイプの変更など)を実行できます。

ベスト プラクティス:

必ずデバイスの安全な配送を確認し、脆弱なポートに不正開封防止シールを適用してください。

デバイスの暗号化境界について

FIPS 140-3に準拠するには、デバイス上の各暗号化モジュールの周囲に定義された暗号化境界が必要です。FIPS動作モードのJunos OSは、暗号化モジュールがFIPS認定ディストリビューションに含まれていないソフトウェアを実行できないようにし、FIPSが承認した暗号化アルゴリズムのみを使用できるようにします。パスワードやキーなどの重要なセキュリティ パラメーター (CSP) は、コンソールに表示されたり、外部ログ ファイルに書き込まれたりするなど、モジュールの暗号化境界を超えることはできません。

注意:

バーチャルシャーシ機能は、FIPS動作モードではサポートされていません。FIPS動作モードでバーチャルシャーシを設定しないでください。

暗号化モジュールを物理的に保護するため、すべてのデバイスのUSBポートとミニUSBポートに不正開封防止シールが必要です。

FIPS 動作モードと非 FIPS 動作モードの違い

非FIPS動作モードのJunos OSとは異なり、FIPS動作モードのJunos OSは変更 不可能な運用環境です。また、FIPS動作モードのJunos OSは、非FIPS動作モードのJunos OSと以下の点で異なります。

  • すべての暗号化アルゴリズムのセルフテストは、起動時に実行されます。

  • 乱数と鍵生成のセルフテストが継続的に実行されます。

  • DES(データ暗号化標準)や MD5 などの脆弱な暗号化アルゴリズムは無効です。

  • 脆弱な管理接続、リモート管理接続、または暗号化されていない管理接続は設定しないでください。ただし、TOEでは、すべての操作モードでローカルおよび暗号化されていないコンソールへのアクセスが可能です。

  • パスワードは、復号化を許可しない強力な一方向アルゴリズムで暗号化する必要があります。

  • Junos-FIPS管理者パスワードは、10 文字以上でなければなりません。

  • 暗号化キーは、送信前に暗号化する必要があります。

FIPS 140-3 規格は、 http://csrc.nist.gov/publications/fips/fips140-3/fips1402.pdf の米国国立標準技術研究所 (NIST) からダウンロードできます。

FIPS動作モードにおけるJunos OSの検証済みバージョン

Junos OSリリースがNIST検証済みかどうかを確認するには、ジュニパーネットワークスのWebサイト(https://apps.juniper.net/compliance)のコンプライアンスページを参照してください。

関連資料