Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

FIPS モードの動作における Junos OS について

連邦情報処理標準 (FIPS) 140-3 は、暗号化機能を実行するハードウェアとソフトウェアのセキュリティ レベルを定義しています。Junos-FIPSは、連邦情報処理標準(FIPS)140-3に準拠したJunosオペレーティングシステム(Junos OS)のバージョンです。

FIPS 140-3レベル 1環境でvSRX仮想ファイアウォール3.0を運用するには、Junos OSコマンドラインインターフェイス(CLI)からデバイスでFIPS動作モードを有効にして設定する必要があります。

Encryption Officerは、Junos OSリリース22.2R2でFIPSモードの動作を有効にし、システムおよび設定を表示できる他のFIPSユーザーのキーとパスワードをセットアップします。どちらのユーザータイプも、個々のユーザー設定で許可されているように、デバイス上で通常の設定タスク(インターフェイスタイプの変更など)を実行することもできます。

暗号モジュールは、マルチチップスタンドアロンソフトウェアモジュールとして定義されています。このモジュールは、ハードウェア プラットフォーム上の VMware ESXi ハイパーバイザーで Junos FIPS ソフトウェアを実行します。

表 1: 暗号化モジュールでテスト済みの構成

モデル

ソフトウェアバージョン

プロセッサ

ハイパーバイザESXi

ハードウェアプラットフォーム

vSRX仮想ファイアウォール3.0

Junos OS 22.2R2S2

インテルXeon E5

ESXi 7.0

HPプロリアントDL380 Gen9サーバー

vSRX仮想ファイアウォール3.0

Junos OS 22.2R2S2

インテル Corei5

ESXi 7.0

パックスター451サーバー

デバイスの暗号化境界について

FIPS 140-3 に準拠するには、デバイス上の各暗号化モジュールの周囲に定義された暗号化境界が必要です。FIPS モード動作の Junos OS は、FIPS 認定ディストリビューションに含まれていないソフトウェアを暗号モジュールが実行することを防止し、FIPS 承認の暗号アルゴリズムのみの使用を許可します。パスワードやキーなどの重要なセキュリティ パラメーター (CSP) は、コンソールに表示されたり、外部ログ ファイルに書き込まれたりするなどして、モジュールの暗号化境界を越えることはできません。

FIPS の動作モードと非 FIPS の動作モードの違い

非FIPSモードのJunos OSとは異なり、FIPSモードの動作にあるJunos OSは 変更不可能な運用環境です。また、FIPS モード動作時の Junos OS は、非 FIPS モード動作時の Junos OS と以下の点で異なります。

  • すべての暗号アルゴリズムのセルフテストは起動時に実行されます。

  • 乱数と鍵生成のセルフテストは継続的に実行されます。

  • DES(データ暗号化標準)や MD5 などの脆弱な暗号化アルゴリズムは無効になります。

  • 脆弱な、または暗号化されていない管理接続は設定しないでください。

  • パスワードは、復号化を許可しない強力な一方向アルゴリズムで暗号化する必要があります。

  • Junos-FIPS 管理者パスワードは、10 文字以上でなければなりません。

  • 暗号化キーは、送信前に暗号化する必要があります。

メモ:

それ以外の点では、Junos-FIPS は標準の Junos OS イメージと同じように動作します。

FIPS 140-3規格は、米国国立標準技術研究所(NIST)( http://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.140-3.pdf)からダウンロードできます。

FIPSモードの動作におけるJunos OSの検証済みバージョン

ジュニパーネットワークスは、1年に1つのJunos OSリリース(Junos OSリリース22.2R2S2など)を、検証のために米国国立標準技術研究所(NIST)に提出しています。Junos OS リリースが NIST で検証済みかどうかを確認するには、ジュニパーネットワークスの Web サイト(https://www.juniper.net/)または National Institute of Standards and Technology サイトのソフトウェア ダウンロード ページを参照してください。