Cómo habilitar y configurar Junos OS en el modo de operación FIPS
Usted, como oficial criptográfico, puede habilitar y configurar Junos OS en modo de operación FIPS en su dispositivo. Antes de comenzar a habilitar y configurar el modo de operación FIPS en el dispositivo:
Verifique la entrega segura de su dispositivo. Consulte Identificación de la entrega segura.
Aplique sellos a prueba de manipulaciones. Consulte Aplicación de sellos a prueba de manipulaciones al módulo criptográfico.
Para habilitar Junos OS en modo de funcionamiento FIPS, realice los pasos siguientes:
Poner a cero el dispositivo antes de habilitar el modo de operación FIPS
user@host> request system zerioze
Habilite el modo FIPS en el dispositivo.
user@host# set system fips level 2
Quite los CSP al confirmar, compruebe y reinicie el dispositivo.
user@host# commit
Ejecute pruebas de integridad y autopruebas al encender el dispositivo cuando el módulo funciona en modo FIPS.
Configure IKEv2 cuando se utilice AES-GCM para el cifrado de IKE o IPSec.
user@host# set security ike proposal <ike_proposal_name> encryption-algorithm ? Possible completions: 3des-cbc 3DES-CBC encryption algorithm aes-128-cbc AES-CBC 128-bit encryption algorithm aes-128-gcm AES-GCM 128-bit encryption algorithm aes-192-cbc AES-CBC 192-bit encryption algorithm aes-256-cbc AES-CBC 256-bit encryption algorithm aes-256-gcm AES-GCM 256-bit encryption algorithm user@host# set security ike proposal <ike_proposal_name> encryption-algorithm aes-256-gcm user@host# set security ipsec proposal <ipsec_proposal_name> encryption-algorithm ? Possible completions: 3des-cbc 3DES-CBC encryption algorithm aes-128-cbc AES-CBC 128-bit encryption algorithm aes-128-gcm AES-GCM 128-bit encryption algorithm aes-192-cbc AES-CBC 192-bit encryption algorithm aes-192-gcm AES-GCM 192-bit encryption algorithm aes-256-cbc AES-CBC 256-bit encryption algorithm aes-256-gcm AES-GCM 256-bit encryption algorithm user@host# set security ipsec proposal <ipsec_proposal_name> encryption-algorithm aes-128-gcm user@host# set security ike gateway <gateway_name> version ? Possible completions: v1-only The connection must be initiated using IKE version 1 v2-only The connection must be initiated using IKE version 2 user@host# set security ike gateway <gateway_name> version v2-only user@host# commit commit complete
Asegúrese de que la imagen de respaldo del firmware también sea una imagen JUNOS-FIPS emitiendo el
request system snapshot
comando.
Los show configuration security ike
comandos y muestran la configuración de IKE/IPsec aprobada y show configuration security ipsec
configurada para el dispositivo que funciona en modo aprobado por FIPS.
user@host:fips> show version Hostname: host-srx380 Model: srx380-poe-ac Junos: 20.2R1 JUNOS Software Release [20.2R1]
La fips
palabra clave situada junto a la en el resultado indica que el módulo funciona en modo FIPS para la hostname
versión 20.2R1 de Junos Software.
user@host:fips> show configuration security ike proposal ike-proposal1 { authentication-method pre-shared-keys; dh-group group14; encryption-algorithm aes-256-gcm; } policy ike-policy1 { mode main; proposals ike-proposal1; pre-shared-key ascii-text "$9$Hq.5zF/tpBUj9Au0IRdbwsaZ"; ## SECRET-DATA } gateway gw1 { ike-policy ike-policy1; address 198.51.100.0; local-identity inet 203.0.113.0; external-interface ge-0/0/3; version v2-only; }
user@host:fips> show configuration security ipsec proposal ipsec-proposal1 { protocol esp; encryption-algorithm aes-128-gcm; } policy ipsec-policy1 { perfect-forward-secrecy { keys group14; } proposals ipsec-proposal1; } vpn vpn1 { bind-interface st0.0; ike { gateway gw1; ipsec-policy ipsec-policy1; } }