Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Descripción de roles y servicios para Junos OS en modo FIPS y criterios comunes

Para Common Criteria, las cuentas de usuario en el TOE tienen los siguientes atributos: identidad de usuario (nombre de usuario), datos de autenticación (contraseña) y rol (privilegio). El Administrador de seguridad está asociado a la clase de inicio de sesión definida "security-admin", que tiene los permisos necesarios establecidos para permitir que el administrador realice todas las tareas necesarias para administrar Junos OS. Los usuarios administrativos (Administrador de seguridad) deben proporcionar datos únicos de identificación y autenticación antes de conceder acceso administrativo al sistema.

Las funciones y responsabilidades del administrador de seguridad son las siguientes:

  1. El administrador de seguridad puede administrar el TOE de forma local y remota.

  2. Cree, modifique y elimine cuentas de administrador, incluida la configuración de parámetros de error de autenticación.

  3. Vuelva a habilitar una cuenta de administrador.

  4. Responsable de la configuración y mantenimiento de elementos criptográficos relacionados con el establecimiento de conexiones seguras hacia y desde el producto evaluado. Las claves SSH son administradas por el administrador de seguridad.

El sistema operativo Junos de Juniper Networks (Junos OS) que se ejecuta en modo no FIPS permite una amplia gama de capacidades para los usuarios, y la autenticación se basa en la identidad. Por el contrario, el estándar FIPS 140-2 define dos roles de usuario: Crypto Officer y FIPS user. Estas funciones se definen en función de las capacidades de usuario de Junos OS.

Todos los demás tipos de usuario definidos para Junos OS en modo FIPS (operador, usuario administrativo, etc.) deben pertenecer a una de las dos categorías: Crypto Officer o usuario FIPS. Por este motivo, la autenticación de usuarios en el modo FIPS se basa en roles y no en identidades.

Además de sus roles FIPS, tanto Crypto Officer como el usuario pueden realizar tareas de configuración normales en el dispositivo NFX350 según lo permita la configuración del usuario individual.

Los criptooficiales y los usuarios de FIPS realizan todas las tareas de configuración relacionadas con el modo FIPS y emiten todas las instrucciones y comandos para Junos OS en modo FIPS. Las configuraciones de usuario de Crypto Officer y FIPS deben seguir las directrices de Junos OS en modo FIPS.

Rol y responsabilidades del oficial criptográfico

El Crypto Officer es la persona responsable de habilitar, configurar, monitorear y mantener Junos OS en modo FIPS en la serie NFX. Crypto Officer instala Junos OS de forma segura en el dispositivo NFX350, habilita el modo FIPS, establece claves y contraseñas para otros usuarios y módulos de software, e inicializa el dispositivo antes de la conexión a la red.

Práctica recomendada:

Recomendamos que el Crypto Officer administre el sistema de manera segura manteniendo las contraseñas seguras y verificando los archivos de auditoría.

Los permisos que distinguen a Crypto Officer de otros usuarios de FIPS son secret, security, maintenance, y control. Para cumplir con FIPS, asigne Crypto Officer a una clase de inicio de sesión que contenga todos estos permisos. Un usuario con el permiso de mantenimiento de Junos OS puede leer archivos que contengan parámetros de seguridad críticos (CSP).

Nota:

Junos OS en modo FIPS no admite la función de mantenimiento FIPS 140-2, que es diferente del permiso de mantenimiento de Junos OS.

Entre las tareas relacionadas con Junos OS en modo FIPS, se espera que el Crypto Officer:

  • Establezca la contraseña raíz inicial. La longitud de la contraseña debe ser, como mínimo, de 10 caracteres.

  • Restablezca las contraseñas de usuario para los algoritmos aprobados por FIPS durante las actualizaciones desde Junos OS.

  • Configure SA IPsec manuales para la configuración con motores de enrutamiento duales.

  • Examine los archivos de registro y auditoría en busca de eventos de interés.

  • Borre archivos, claves y datos generados por el usuario poniendo a cero el dispositivo.

Función y responsabilidades del usuario FIPS

Todos los usuarios de FIPS, incluido el Crypto Officer, pueden ver la configuración. Solo el usuario asignado como Crypto Officer puede modificar la configuración.

Los permisos que distinguen a los Crypto Officers de otros usuarios de FIPS son secret, security, maintenancey control. Para cumplir con FIPS, asigne el usuario FIPS a una clase que no contenga ninguno de estos permisos.

El usuario de FIPS puede ver el estado de salida, pero no puede reiniciar ni poner a cero el dispositivo.

Qué se espera de todos los usuarios de FIPS

Todos los usuarios de FIPS, incluido el Crypto Officer, deben observar las pautas de seguridad en todo momento.

Todos los usuarios de FIPS deben:

  • Mantenga todas las contraseñas confidenciales.

  • Guarde los enrutadores o conmutadores y la documentación en un área segura.

  • Despliegue enrutadores o conmutadores en áreas seguras.

  • Revise los archivos de auditoría periódicamente.

  • Cumplir con todas las demás reglas de seguridad FIPS 140-2.

  • Siga estas pautas:

    • Los usuarios son de confianza.

    • Los usuarios cumplen con todas las pautas de seguridad.

    • Los usuarios no comprometen deliberadamente la seguridad.

    • Los usuarios se comportan de manera responsable en todo momento.

Documentación relacionada