FIPS モードの Junos OS について
連邦情報処理標準 (FIPS) 140-3 は、暗号化機能を実行するハードウェアとソフトウェアのセキュリティ レベルを定義しています。
FIPS 140-3 レベル1環境でデバイスを動作させるには、Junos OS CLIからデバイス上でFIPSモードを有効にして設定する必要があります。
セキュリティ管理者は、Junos OS で FIPS モードを有効にし、システムおよび構成を表示できる他の FIPS ユーザーの鍵とパスワードを設定します。セキュリティ管理者とユーザーの両方が、個々のユーザー設定で許可されているように、デバイス上で通常の設定タスク(インターフェイスタイプの変更など)を実行できます。
デバイスの暗号化境界について
FIPS 140-3に準拠するには、デバイス上の各暗号化モジュールの周囲に定義された暗号化境界が必要です。FIPSモードのJunos OSは、暗号化モジュールがFIPS認定ディストリビューションに含まれていないソフトウェアを実行できないようにし、FIPS承認の暗号化アルゴリズムのみを使用できます。パスワードやキーなどの重要なセキュリティ パラメーター (CSP) は、暗号化されていない形式でモジュールの暗号化境界を超えることはできません。
バーチャルシャーシ機能は、FIPSモードではサポートされていません。FIPSモードでバーチャルシャーシを設定しないでください。
FIPSモードと非FIPSモードの違い
非FIPSモードのJunos OSとは異なり、FIPSモードのJunos OSは 変更不可能な運用環境です。また、FIPSモードのJunos OSは、非FIPSモードのJunos OSと以下の点で異なります。
すべての暗号化アルゴリズムのセルフテストは、起動時に実行されます。
乱数と鍵生成のセルフテストが継続的に実行されます。
DES(Data Encryption Standard)や MD5(Message Digest 5)などの脆弱な暗号化アルゴリズムは無効です。
脆弱な管理接続または暗号化されていない管理接続は設定しないでください。ただし、TOEでは、すべての操作モードでローカルおよび暗号化されていないコンソールへのアクセスが可能です。
パスワードは、復号化を許可しない強力な一方向アルゴリズムで暗号化する必要があります。
-
Junos-FIPS管理者パスワードは、10文字以上でなければなりません。
暗号化キーは、送信前に暗号化する必要があります。
FIPSモードのJunos OSの検証済みバージョン
Junos OSリリースがNIST検証済みかどうかを確認するには、ジュニパーネットワークスのWebサイト(https://apps.juniper.net/compliance/)のコンプライアンスページを参照してください。