Cómo habilitar y configurar Junos OS en el modo de operación FIPS
Usted, como oficial criptográfico, puede habilitar y configurar Junos OS en modo de operación FIPS en su dispositivo. Antes de comenzar a habilitar y configurar el modo de operación FIPS en el dispositivo:
Verifique la entrega segura de su dispositivo. Consulte Identificación de la entrega segura.
Aplique sellos a prueba de manipulaciones. Consulte Aplicación de sellos a prueba de manipulaciones al módulo criptográfico.
Para habilitar Junos OS en modo de funcionamiento FIPS, realice los pasos siguientes:
Poner a cero el dispositivo antes de habilitar el modo de operación FIPS
user@host> request system zeriozeHabilite el modo FIPS en el dispositivo.
user@host# set system fips level 2Quite los CSP al confirmar, compruebe y reinicie el dispositivo.
user@host# commitEjecute pruebas de integridad y autopruebas al encender el dispositivo cuando el módulo funciona en modo FIPS.
Configure IKEv2 cuando se utilice AES-GCM para el cifrado de IKE o IPSec.
user@host# set security ike proposal <ike_proposal_name> encryption-algorithm ? Possible completions: 3des-cbc 3DES-CBC encryption algorithm aes-128-cbc AES-CBC 128-bit encryption algorithm aes-128-gcm AES-GCM 128-bit encryption algorithm aes-192-cbc AES-CBC 192-bit encryption algorithm aes-256-cbc AES-CBC 256-bit encryption algorithm aes-256-gcm AES-GCM 256-bit encryption algorithm user@host# set security ike proposal <ike_proposal_name> encryption-algorithm aes-256-gcm user@host# set security ipsec proposal <ipsec_proposal_name> encryption-algorithm ? Possible completions: 3des-cbc 3DES-CBC encryption algorithm aes-128-cbc AES-CBC 128-bit encryption algorithm aes-128-gcm AES-GCM 128-bit encryption algorithm aes-192-cbc AES-CBC 192-bit encryption algorithm aes-192-gcm AES-GCM 192-bit encryption algorithm aes-256-cbc AES-CBC 256-bit encryption algorithm aes-256-gcm AES-GCM 256-bit encryption algorithm user@host# set security ipsec proposal <ipsec_proposal_name> encryption-algorithm aes-128-gcm user@host# set security ike gateway <gateway_name> version ? Possible completions: v1-only The connection must be initiated using IKE version 1 v2-only The connection must be initiated using IKE version 2 user@host# set security ike gateway <gateway_name> version v2-only user@host# commit commit complete
Asegúrese de que la imagen de respaldo del firmware también sea una imagen JUNOS-FIPS emitiendo el
request system snapshotcomando.
Los show configuration security ike comandos y muestran la configuración de IKE/IPsec aprobada y show configuration security ipsec configurada para el dispositivo que funciona en modo aprobado por FIPS.
user@host:fips> show version Hostname: host-srx380 Model: srx380-poe-ac Junos: 20.2R1 JUNOS Software Release [20.2R1]
La fips palabra clave situada junto a la en el resultado indica que el módulo funciona en modo FIPS para la hostname versión 20.2R1 de Junos Software.
user@host:fips> show configuration security ike
proposal ike-proposal1 {
authentication-method pre-shared-keys;
dh-group group14;
encryption-algorithm aes-256-gcm;
}
policy ike-policy1 {
mode main;
proposals ike-proposal1;
pre-shared-key ascii-text "$9$Hq.5zF/tpBUj9Au0IRdbwsaZ"; ## SECRET-DATA
}
gateway gw1 {
ike-policy ike-policy1;
address 198.51.100.0;
local-identity inet 203.0.113.0;
external-interface ge-0/0/3;
version v2-only;
}
user@host:fips> show configuration security ipsec
proposal ipsec-proposal1 {
protocol esp;
encryption-algorithm aes-128-gcm;
}
policy ipsec-policy1 {
perfect-forward-secrecy {
keys group14;
}
proposals ipsec-proposal1;
}
vpn vpn1 {
bind-interface st0.0;
ike {
gateway gw1;
ipsec-policy ipsec-policy1;
}
}