FIPS 모드의 Junos OS 이해
FIPS(Federal Information Processing Standards) 140-2는 암호화 기능을 수행하는 하드웨어 및 소프트웨어에 대한 보안 수준을 정의합니다. FIPS 표준 내에서 적용 가능한 전체 요구 사항을 충족함으로써 FIPS 모드 에서 주니퍼 네트웍스 Junos 운영체제(Junos OS)를 실행하는 QFX5120-32C, QFX5120-48T, QFX5120-48Y, QFX5210-64C 및 EX4650-48Y 디바이스를 주니퍼 네트웍스 FIPS 140-2 레벨 1 표준을 준수합니다.
FIPS 140-2 레벨 1 환경에서 디바이스를 운영하려면 Junos OS CLI의 스위치에서 FIPS 모드를 활성화하고 구성해야 합니다.
암호화 담당자는 Junos OS FIPS 모드를 활성화하고 구성을 볼 수 있는 시스템 및 기타 FIPS 사용자에 대한 키와 암호를 설정합니다.
공통 기준 및 주니퍼 네트웍스 제품에 대한 FIPS에 대한 규제 준수 정보는 주니퍼 네트웍스 Compliance Advisor를 참조하십시오.
EX 및 QFX 시리즈 스위치의 암호화 경계 정보
FIPS 140-2 규정을 준수하려면 스위치의 각 암호화 모듈을 중심으로 정의된 암호화 경계가 필요합니다. FIPS 모드의 Junos OS 암호화 모듈이 FIPS 인증 배포의 일부가 아닌 소프트웨어를 실행하는 것을 방지하고 FIPS에서 승인한 암호화 알고리즘만 사용할 수 있습니다. 암호 및 키와 같은 중요한 보안 매개 변수(CSP)는 암호화되지 않은 형식으로 모듈의 암호화 경계를 넘을 수 없습니다.
FIPS-140-2 레벨 1에서 인증을 받은 주니퍼 네트웍스 EX 및 QFX 시리즈 스위치의 경우 모듈의 암호화 경계는 섀시 유형에 따라 결정됩니다. FIPS 인증 스위치 목록과 각 스위치의 암호화 경계는 표 1을 참조하십시오.
스위치 |
섀시 유형 |
암호화 경계 |
---|---|---|
EX4650-48Y | 두 개의 확장 모듈을 통한 고정 구성 |
스위치 케이스 |
QFX5120-32C QFX5120-48T QFX5120-48Y |
두 개의 확장 모듈을 통한 고정 구성 |
스위치 케이스 |
QFX5210-64C |
두 개의 확장 모듈을 통한 고정 구성 |
스위치 케이스 |
Virtual Chassis 기능은 FIPS 모드에서 지원되지 않습니다. FIPS 모드에서 Virtual Chassis 구성하지 마십시오.
FIPS 모드가 비 FIPS 모드와 다른 방법
비 FIPS 모드의 Junos OS 달리 FIPS 모드의 Junos OS 수정할 수 없는 운영 환경입니다. 또한 FIPS 모드의 Junos OS 비 FIPS 모드의 Junos OS 다음과 같은 방식으로 다릅니다.
모든 암호화 알고리즘의 자체 테스트는 스타트업에서 수행됩니다.
난수 및 키 생성에 대한 자가 테스트가 지속적으로 수행됩니다.
데이터 암호화 표준(DES) 및 MD5(Message Digest 5)와 같은 약한 암호화 알고리즘은 비활성화됩니다.
약하거나 암호화되지 않은 관리 연결을 구성해서는 안 됩니다.
암호는 암호 해독을 허용하지 않는 강력한 단방향 알고리즘으로 암호화되어야 합니다.
관리자 암호 길이는 최소 10 자 이상이어야 합니다.
FIPS 모드에서 검증된 Junos OS 버전
Junos OS 릴리스가 NIST 검증되었는지 확인하려면 주니퍼 네트웍스 웹 사이트(https://www.juniper.net/) 또는 국립 표준 기술 연구소 사이트의 소프트웨어 다운로드 페이지를 참조하십시오.