Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの内容
 

FIPS運用モードでのJunos OSについて

連邦情報処理標準(FIPS)140-3は、暗号化機能を実行するハードウェアとソフトウェアのセキュリティレベルを定義しています。Junos-FIPS は、連邦情報処理標準(FIPS)140-3 に準拠した Junosオペレーティングシステム(Junos OS)のバージョンです。

FIPS 140-3レベル 2環境でSRXシリーズファイアウォールを運用するには、Junos OSコマンドラインインターフェイス(CLI)からデバイス上でFIPS動作モードを有効にして設定する必要があります。

セキュリティ管理者は、Junos OSリリース22.2R1でFIPS動作モードを有効にし、システムと構成を表示できる他のFIPSユーザーのキーとパスワードを設定します。どちらのユーザータイプも、個々のユーザー構成で許可される限り、デバイス上で通常の構成タスク(インターフェイス タイプの変更など)を実行することもできます。

ベストプラクティス:

デバイスの安全な配送を必ず確認し、脆弱なポートに改ざん防止シールを貼ってください。

デバイスの暗号化境界について

FIPS 140-3に準拠するには、デバイス上の各暗号化モジュールの周囲に定義された暗号化境界が必要です。FIPS 動作モードの Junos OS は、暗号化モジュールが FIPS 認定ディストリビューションに含まれていないソフトウェアを実行できないようにし、FIPS 承認の暗号化アルゴリズムのみを使用できます。パスワードやキーなどの重要なセキュリティパラメーター(CSP)は、コンソールに表示したり、外部ログファイルに書き込まれたりすることで、モジュールの暗号化境界を越えることはできません。

注意:

バーチャルシャーシ機能は、FIPS動作モードではサポートされていません。FIPS 動作モードでバーチャルシャーシを設定しないでください。

暗号化モジュールを物理的に保護するために、すべてのジュニパーネットワークスデバイスでは、USBポートとミニUSBポートに不正開封が施されている必要があります。

FIPS 動作モードと非 FIPS 動作モードの違い

非FIPS動作モードのJunos OSとは異なり、FIPS動作モードのJunos OSは 変更不可能な運用環境です。また、FIPS モードの Junos OS は、非 FIPS 運用モードの Junos OS と、以下の点で異なります。

  • すべての暗号化アルゴリズムのセルフテストは、起動時に実行されます。

  • 乱数と鍵生成のセルフテストは継続的に実行されます。

  • DES(データ暗号化標準)やMD5などの弱い暗号化アルゴリズムは無効です。

  • 弱い管理接続、リモート接続、または暗号化されていない管理接続を設定しないでください。

  • パスワードは、復号化を許可しない強力な一方向アルゴリズムで暗号化する必要があります。

  • Junos-FIPS 管理者パスワードは、少なくとも 10 文字以上である必要があります。

  • 暗号化キーは、送信前に暗号化する必要があります。

FIPS 140-3標準は、米国国立標準技術研究所(NIST: https://csrc.nist.gov/pubs/fips/140-3/final)からダウンロードできます。

FIPS 動作モードの Junos OS の検証済みバージョン

FIPS 動作モードにおける Junos OS の検証済みバージョンを確認すること、およびジュニパーネットワークス製品の コモン クライテリアFIPS に関する規制コンプライアンス情報については、 ジュニパーネットワークス コンプライアンス アドバイザーを参照してください。