Descripción de Junos OS en el modo de operación FIPS
Los estándares federales de procesamiento de información (FIPS) 140-2 definen los niveles de seguridad para hardware y software que realizan funciones criptográficas. El modo Junos FIPS es una versión del sistema operativo Junos (Junos OS) que cumple con el estándar federal de procesamiento de información (FIPS) 140-2.
El funcionamiento de dispositivos de la serie SRX en un entorno FIPS 140-2 de nivel 2 requiere habilitar y configurar el modo de operación FIPS en el dispositivo desde la interfaz de línea de comandos (CLI) de Junos OS.
En Junos OS versión 20.2R1, los dispositivos SRX345 y SRX380 están en curso para la certificación de FIPS 140-2 nivel 2.
El oficial criptográfico habilita el modo de operación FIPS en Junos OS versión 20.2R1 y configura claves y contraseñas para el sistema y otros usuarios de FIPS que pueden ver la configuración. Ambos tipos de usuario también pueden realizar tareas de configuración normales en el dispositivo (como modificar tipos de interfaz) según lo permita la configuración de usuario individual.
Asegúrese de verificar la entrega segura de su dispositivo y aplique sellos a prueba de manipulaciones a sus puertos vulnerables.
Acerca del límite criptográfico del dispositivo
El cumplimiento de FIPS 140-2 requiere un límite criptográfico definido alrededor de cada módulo criptográfico de un dispositivo. Junos OS en modo de operación FIPS impide que el módulo criptográfico ejecute cualquier software que no forme parte de la distribución certificada por FIPS y solo permite usar algoritmos criptográficos aprobados por FIPS. Ningún parámetro crítico de seguridad (CSP), como contraseñas y claves, puede cruzar el límite criptográfico del módulo, por ejemplo, mostrándose en una consola o escribiéndolo en un archivo de registro externo.
Las funciones de Virtual Chassis no son compatibles con el modo de operación FIPS, ya que Juniper Networks no las ha probado. No configure un Virtual Chassis en modo de operación FIPS.
Para proteger físicamente el módulo criptográfico, todos los dispositivos de Juniper Networks necesitan un sello a prueba de manipulaciones en los puertos USB y miniUSB.
En qué se diferencia el modo de operación FIPS del modo de operación no FIPS
A diferencia de Junos OS en el modo de operación que no es FIPS, Junos OS en modo de operación FIPS es un entorno operativo no modificable. Además, Junos OS en modo de operación FIPS difiere en los siguientes aspectos de Junos OS en modo de operación que no es FIPS:
Las autopruebas de todos los algoritmos criptográficos se realizan al inicio, tanto en modo FIPS como en modo no FIPS. Pero los resultados se muestran en la consola solo en modo FIPS.
Las autopruebas de generación de números aleatorios y claves se realizan continuamente.
Los algoritmos criptográficos débiles, como el estándar de cifrado de datos (DES) y MD5, están deshabilitados.
El modo FIPS usa el generador de números aleatorios HMAC-DRBG, mientras que el modo no FIPS usa el generador de números aleatorios de milenrama predeterminado de Junos.
La prueba de coherencia por pares cuando un módulo genera un par de claves pública y privada solo se realiza en modo FIPS.
La validación de claves públicas DH y ECDH durante la generación solo se realiza en modo FIPS
No se deben configurar conexiones de administración débiles o sin cifrar.
Las contraseñas de administrador de Junos-FIPS deben tener al menos 10 caracteres.
Las claves criptográficas deben cifrarse antes de la transmisión.
El estándar FIPS 140-2 está disponible para su descarga en el Instituto Nacional de Estándares y Tecnología (NIST) en https://csrc.nist.gov/csrc/media/publications/fips/140/2/final/documents/fips1402.pdf.
Versión validada de Junos OS en modo de operación FIPS
Para determinar si una versión de Junos OS está validada por NIST, consulte la página de cumplimiento en el sitio web de Juniper Networks (https://apps.juniper.net/compliance/fips.html).