FIPS 운영 모드에서의 Junos OS 이해
FIPS(Federal Information Processing Standards) 140-3은 암호화 기능을 수행하는 하드웨어 및 소프트웨어의 보안 수준을 정의합니다. Junos-FIPS는 FIPS(Federal Information Processing Standard) 140-3을 준수하는 Junos OS(Junos 운영 체제) 버전입니다.
FIPS 140-3 레벨 2 환경에서 SRX 시리즈 방화벽을 운영하려면 Junos OS 명령줄 인터페이스(CLI)에서 디바이스의 FIPS 작동 모드를 활성화하고 구성해야 합니다.
보안 관리자는 Junos OS 릴리스에서 FIPS 작동 모드를 활성화하고 구성을 볼 수 있는 시스템 및 기타 FIPS 사용자를 위한 키와 암호를 설정합니다. 두 사용자 유형 모두 개별 사용자 구성이 허용하는 대로 디바이스에서 일반적인 구성 작업(예: 인터페이스 유형 수정)을 수행할 수도 있습니다.
장치의 안전한 전달을 확인하고 취약한 포트에 변조 방지 봉인을 적용해야 합니다.
디바이스의 암호화 경계 정보
FIPS 140-3을 준수하려면 디바이스의 각 암호화 모듈 주위에 정의된 암호화 경계가 필요합니다. FIPS 운영 모드의 Junos OS는 암호화 모듈이 FIPS 인증 배포의 일부가 아닌 소프트웨어를 실행하는 것을 방지하고 FIPS 승인 암호화 알고리즘만 사용할 수 있도록 합니다. 암호 및 키와 같은 CSP(중요한 보안 매개 변수)는 콘솔에 표시되거나 외부 로그 파일에 기록되는 등의 방법으로 모듈의 암호화 경계를 넘을 수 없습니다.
Virtual Chassis 기능은 FIPS 운영 모드에서 지원되지 않습니다. FIPS 작동 모드에서 Virtual Chassis를 구성하지 마십시오.
암호화 모듈을 물리적으로 보호하기 위해 모든 주니퍼 네트웍스 디바이스는 USB 및 미니 USB 포트에 변조 방지 씰을 부착해야 합니다.
FIPS 작업 모드와 비 FIPS 작업 모드의 차이점
비 FIPS 운영 모드의 Junos OS와 달리 FIPS 운영 모드의 Junos OS는 수정할 수 없는 운영 환경입니다. 또한 FIPS 운영 모드의 Junos OS는 비 FIPS 운영 모드의 Junos OS와 다음과 같은 점에서 다릅니다.
-
모든 암호화 알고리즘에 대한 자체 테스트는 시작 시 수행됩니다.
-
난수 및 키 생성에 대한 자체 테스트가 지속적으로 수행됩니다.
-
DES(데이터 암호화 표준) 및 MD5와 같은 취약한 암호화 알고리즘은 사용할 수 없습니다.
-
취약하거나 원격이거나 암호화되지 않은 관리 연결은 구성하지 않아야 합니다.
-
암호는 암호 해독을 허용하지 않는 강력한 단방향 알고리즘으로 암호화해야 합니다.
-
Junos-FIPS 관리자 암호는 10 자 이상이어야 합니다.
-
암호화 키는 전송하기 전에 암호화해야 합니다.
FIPS 140-3 표준은 http://csrc.nist.gov/publications/fips/fips140-3/fips1402.pdf 의 NIST(National Institute of Standards and Technology)에서 다운로드할 수 있습니다.
FIPS 운영 모드에서 검증된 Junos OS 버전
FIPS 운영 모드에서 검증된 Junos OS 버전을 확인하고 주니퍼 네트웍스 제품에 대한 공통 기준 및 FIPS에 대한 규정 준수 정보는 주니퍼 네트웍스 규정 준수 어드바이저를 참조하십시오.