FIPS 운영 모드에서 Junos OS를 활성화 및 구성하는 방법
암호화 책임자는 디바이스에서 FIPS 작동 모드로 Junos OS를 활성화하고 구성할 수 있습니다. 디바이스에서 FIPS 작동 모드 활성화 및 구성을 시작하기 전에 다음을 수행합니다.
디바이스의 안전한 배달을 확인합니다. 보안 전달 식별을 참조하십시오.
훼손 방지 씰을 부착합니다. 암호화 모듈에 변조 방지 씰 적용을 참조하십시오.
FIPS 운영 모드에서 Junos OS를 활성화하려면 다음 단계를 수행하십시오.
FIPS 작동 모드를 활성화하기 전에 디바이스를 영점화합니다
user@host> request system zerioze
디바이스에서 FIPS 모드를 활성화합니다.
user@host# set system fips level 2
커밋 시 CSP를 제거하고, 디바이스를 확인한 후 재부팅합니다.
user@host# commit
모듈이 FIPS 모드에서 작동 중일 때 디바이스의 전원을 켤 때 무결성 및 자체 테스트를 실행합니다.
AES-GCM이 IKE 및/또는 IPSec의 암호화에 사용되는 경우 IKEv2를 구성합니다.
user@host# set security ike proposal <ike_proposal_name> encryption-algorithm ? Possible completions: 3des-cbc 3DES-CBC encryption algorithm aes-128-cbc AES-CBC 128-bit encryption algorithm aes-128-gcm AES-GCM 128-bit encryption algorithm aes-192-cbc AES-CBC 192-bit encryption algorithm aes-256-cbc AES-CBC 256-bit encryption algorithm aes-256-gcm AES-GCM 256-bit encryption algorithm user@host# set security ike proposal <ike_proposal_name> encryption-algorithm aes-256-gcm user@host# set security ipsec proposal <ipsec_proposal_name> encryption-algorithm ? Possible completions: 3des-cbc 3DES-CBC encryption algorithm aes-128-cbc AES-CBC 128-bit encryption algorithm aes-128-gcm AES-GCM 128-bit encryption algorithm aes-192-cbc AES-CBC 192-bit encryption algorithm aes-192-gcm AES-GCM 192-bit encryption algorithm aes-256-cbc AES-CBC 256-bit encryption algorithm aes-256-gcm AES-GCM 256-bit encryption algorithm user@host# set security ipsec proposal <ipsec_proposal_name> encryption-algorithm aes-128-gcm user@host# set security ike gateway <gateway_name> version ? Possible completions: v1-only The connection must be initiated using IKE version 1 v2-only The connection must be initiated using IKE version 2 user@host# set security ike gateway <gateway_name> version v2-only user@host# commit commit complete
명령을 실행하여
request system snapshot
펌웨어의 백업 이미지도 JUNOS-FIPS 이미지인지 확인합니다.
show configuration security ike
및 show configuration security ipsec
명령은 FIPS 승인 모드에서 작동하는 디바이스에 대해 승인 및 구성된 IKE/IPsec 구성을 표시합니다.
user@host:fips> show version Hostname: host-srx380 Model: srx380-poe-ac Junos: 20.2R1 JUNOS Software Release [20.2R1]
출력에서 옆에 있는 hostname
키워드는 fips
모듈이 Junos 소프트웨어 릴리스 20.2R1에 대한 FIPS 모드에서 작동하고 있음을 나타냅니다.
user@host:fips> show configuration security ike proposal ike-proposal1 { authentication-method pre-shared-keys; dh-group group14; encryption-algorithm aes-256-gcm; } policy ike-policy1 { mode main; proposals ike-proposal1; pre-shared-key ascii-text "$9$Hq.5zF/tpBUj9Au0IRdbwsaZ"; ## SECRET-DATA } gateway gw1 { ike-policy ike-policy1; address 198.51.100.0; local-identity inet 203.0.113.0; external-interface ge-0/0/3; version v2-only; }
user@host:fips> show configuration security ipsec proposal ipsec-proposal1 { protocol esp; encryption-algorithm aes-128-gcm; } policy ipsec-policy1 { perfect-forward-secrecy { keys group14; } proposals ipsec-proposal1; } vpn vpn1 { bind-interface st0.0; ike { gateway gw1; ipsec-policy ipsec-policy1; } }