Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Contraseña maestra para cifrado de configuración

Junos OS admite el método de cifrado para la configuración de secretos mediante el uso de una contraseña maestra. La contraseña maestra obtiene una clave de cifrado que utiliza AES256-GCM para proteger ciertos secretos, como las claves privadas, las contraseñas maestras de sistema y otros datos confidenciales, almacenándolos en un formato de cifrado AES256. Para obtener más información, lea este tema.

Refuerzo de secretos compartidos en Junos OS

Descripción de la consolidación de secretos compartidos

Los secretos compartidos existentes (formato $9 $) en Junos OS utilizan actualmente un algoritmo de ofuscación, que no es un cifrado muy seguro de los secretos de configuración. Si desea un cifrado de alta seguridad para sus secretos de configuración, puede configurar una contraseña maestra. La contraseña maestra se utiliza para derivar una clave de cifrado que se utiliza con AES256-GCM para cifrar los secretos de configuración. Este nuevo método de cifrado utiliza las cadenas con formato $8 $.

A partir de Junos OS versión 15.1 X49-D50, se introducen nuevos comandos de CLI para configurar una contraseña de sistema maestro que proporcione un cifrado más seguro para los secretos de configuración. La contraseña maestra cifra secretos como el RADIUS contraseña, ICR claves previamente compartidas y otros secretos compartidos en la configuración del proceso de administración de Junos OS (MGD). La contraseña maestra propiamente dicha no se guarda como parte de la configuración. La calidad de la contraseña se evalúa para la resistencia, y el dispositivo proporciona comentarios si se utilizan contraseñas débiles.

La contraseña maestra se utiliza como entrada de la función de derivación de claves basada en contraseña (PBKDF2) para generar una clave de cifrado. la clave se utiliza como entrada del estándar de cifrado avanzado en el modo Galois/Counter (AES256-GCM). El texto sin formato que el usuario escribe se procesa con el algoritmo de cifrado (con clave) para generar el texto cifrado (texto cifrado). Aparezca Figura 1

Figura 1: Cifrado de contraseña principalCifrado de contraseña principal

Los secretos de configuración de $8 $ solo se pueden compartir entre dispositivos con la misma contraseña maestra.

Las contraseñas $8 con cifrado tienen el siguiente formato:

$8$crypt-algo$hash-algo$iterations$salt$iv$tag$encrypted. Consulte Tabla 1 los detalles del formato de contraseña principal.

Tabla 1: $8 $-formato de contraseña cifrada
AlDarFormato Descripción

Crypt-algo

Algoritmo de cifrado o descifrado que se utilizará. Actualmente, solo se admite AES256-GCM.

Hash-algo

Algoritmo hash (PRF) que se utilizará para la derivación de la clave PBKDF2.

las iteraciones

Número de iteraciones que se van a usar para la función hash PBKDF2. Iteración actual: el número predeterminado es 100. El recuento de iteraciones ralentiza el recuento de hash, lo que ralentiza la adivinación de los intrusos.

salina

Secuencia de bytes pseudoaleatorios codificados por ASCII64 generados durante el cifrado que se usarán para Salt (una cadena aleatoria, pero conocida), la contraseña y la entrada de la derivación de la clave PBKDF2.

Art

Secuencia de bytes pseudoaleatorios codificados por ASCII64 que se generaron durante el cifrado que se utilizarán como vector de inicialización para la función de cifrado AES256-GCM.

marcar

ASCII64: representación codificada de la etiqueta.

cifrado

ASCII64: representación codificada de la contraseña cifrada.

La codificación ASCII64 es compatible con Base64 (RFC 4648), excepto que no se utiliza ninguna almohadilla (carácter "=") para mantener las cadenas cortas. Por ejemplo: $8$aes256-gcm$hmac-sha2-256$100$y/4YMC4YDLU$fzYDI4jjN6YCyQsYLsaf8A$Ilu4jLcZarD9YnyD /Hejww$okhBlc0cGakSqYxKww

Consideraciones acerca del clúster de chasis

Al definir un clúster de chasis en serie SRX dispositivos, tenga en cuenta las siguientes restricciones:

  • Para los dispositivos serie SRX, configure primero la contraseña maestra en cada nodo y, a continuación, cree el clúster. Debe configurarse la misma contraseña maestra en cada nodo.

  • En el modo de clúster del chasis, no se puede eliminar la contraseña maestra.

Nota:

Un cambio en la contraseña maestra significaría una interrupción en la agrupación de los chasis; por lo tanto, debe cambiar la contraseña en ambos nodos de forma independiente.

Uso del módulo de plataforma fiable para enlazar secretos en dispositivos serie SRX

Al habilitar el módulo de plataforma segura (TPM) en los dispositivos serie SRX, la capa de software aprovecha el uso del chip de TPM subyacente. EL SME es un chip especializado que protege ciertos secretos en descanso, como claves privadas, contraseñas principales del sistema y otros datos confidenciales, ya que los almacena en un formato cifrado AES256 (en lugar de almacenar datos confidenciales en un formato de texto sin formato). El dispositivo también genera un nuevo hash SHA256 de la configuración cada vez que el administrador confirma la configuración. Este valor hash se comprueba cada vez que se inicia el sistema. Si se ha alterado la configuración, la comprobación fracasará y el dispositivo no seguirá arrancando. Los datos cifrados y el código hash de la configuración están protegidos por el módulo TPM con la contraseña de cifrado maestro.

Nota:

La validación de hash se realiza durante cualquier operación de confirmación mediante la realización de una comprobación de validación del archivo de configuración comparándolo con el hash guardado de confirmaciones anteriores. En un sistema de clústeres del chasis, el hash se genera de forma independiente en el sistema de copia de seguridad como parte del proceso de confirmación. Una confirmación desde cualquier modo, es decir, batch-configdynamic-configexclusive-config,, o private config genera el hash de integridad.

Nota:

El hash solo se guarda para la configuración actual y no para las configuraciones de reversión. El hash no se genera durante el reinicio o el apagado del dispositivo.

El TPM cifra los siguientes secretos:

  • Hash SHA256 de la configuración

  • contraseña principal del dispositivo

  • todos los pares de claves del dispositivo

El chip TPM está disponible en los dispositivos SRX300, SRX320, SRX340, SRX345, SRX5400, SRX5600 y SRX5800 externos. En SRX5400, SRX5600 y SRX5800 dispositivos, TPM solo se admite con SRX5K-RE3-128G motor de enrutamiento (RE3). El chip DESC está habilitado de forma predeterminada para hacer uso de la funcionalidad de TPM. Debe configurar la contraseña de cifrado maestro para cifrar los pares de claves de PKI y el hash de configuración. Para configurar la contraseña de cifrado maestro, consulte Configuración de contraseña de cifrado maestro .

Límites

Las siguientes limitaciones y excepciones se aplican a la característica integridad del archivo de configuración que usa TPM:

  • Esta función solo se admite en los dispositivos SRX300, SRX320, SRX340, SRX345, SRX5400, SRX5600 y SRX5800. En SRX5400, SRX5600 y SRX5800 dispositivos, ELI SE ADMITE SOLO CON RE3.

  • Si no se establece la contraseña de cifrado de maestro, los datos se almacenarán sin cifrar.

  • La función de integridad de archivos no se admite junto con la función de encriptación del archivo de configuración que utiliza las claves guardadas en EEPROM. Solo puede habilitar una función cada vez.

  • En un clúster de chasis, ambos nodos deben tener la misma configuración de BSD. Esto significa que ambos nodos del clúster de chasis deben tener HABILITADO EL BSC o que ambos nodos del clúster de chasis deben tener BSSC deshabilitado. El clúster de chasis no debe tener un nodo establecido en BSA habilitado y el otro nodo establecido en BSC está deshabilitado.

Configuración de contraseña de cifrado maestro

Nota:

Antes de configurar la contraseña de cifrado maestro, asegúrese de que configuró lo contrario, algunos datos confidenciales set system master-password plain-text-password no estarán protegidos por ELSS.

Establezca la contraseña de cifrado maestra mediante el siguiente comando CLI cifrado:

request security tpm master-encryption-password set plain-text-password

Se le pedirá que escriba dos veces la contraseña de cifrado del maestro para asegurarse de que estas contraseñas coinciden. La contraseña de cifrado maestro se valida para la seguridad de contraseña requerida.

Después de establecer la contraseña de cifrado maestro, el sistema procede a cifrar la información confidencial con la contraseña de cifrado maestro cifrada por la clave de enlace principal que es propiedad y está protegida por el chip de TPM.

Nota:

Si hay algún problema con la configuración de la contraseña de cifrado maestra, se registrará un mensaje de ERROR crítico en la consola y se cancelará el proceso.

Comprobación del estado de TPM

Puede usar el show security tpm status comando para comprobar el estado de TPM. Aparecerá la siguiente información:

  • TPM habilitada/deshabilitada

  • Propiedad de TPM

  • Estado de clave maestra de enlace de TPM (creado o no creado)

  • Estado de contraseña de cifrado maestro (establecido o no establecido)

A partir de Junos OS Release 15.1 X49-D120 y Junos OS versión 17.4 R1, se ha actualizado el firmware del módulo de plataforma fiable (TPM). La versión actualizada del firmware proporciona criptografía segura adicional y mejora la seguridad. El firmware del TPM actualizado está disponible junto con el paquete Junos OS. Para actualizar el firmware de TPM, consulta la actualización del firmware de TPM en dispositivos SRX. Para confirmar la versión de firmware de TPM, show security tpm status use el comando. TPM Family y TPM Firmware version se introducen los campos de salida.

Cambiar la contraseña de cifrado del patrón

El cambio de contraseña de cifrado de maestro se realiza con la CLI.

Para cambiar la contraseña de cifrado del maestro, escriba el siguiente comando desde el modo operativo:

request security tpm master-encryption-password set plain-text-password

Nota:

Se recomienda no hacer ningún cambio en la configuración mientras se cambia la contraseña de cifrado del maestro.

El sistema comprueba si la contraseña de cifrado maestro ya está configurada. Si se configura la contraseña de cifrado maestro, se le pedirá que escriba la contraseña de cifrado de maestro actual.

La contraseña de cifrado de patrón especificada se valida con la contraseña de cifrado actual para asegurarse de que estas contraseñas de cifrado principal coinciden. Si la validación se realiza correctamente, se le pedirá que escriba la nueva contraseña de cifrado maestro como texto sin formato. Se le pedirá que introduzca dos veces la tecla para validar la contraseña.

A continuación, el sistema procede volver a cifrar la información confidencial con la nueva contraseña de cifrado del patrón. Debe esperar a que se complete este proceso de nuevo cifrado antes de intentar cambiar de nuevo la contraseña de cifrado del patrón.

Si, por algún motivo, el archivo de contraseñas de cifrado de maestro cifrado se pierde o se daña, el sistema no podrá descifrar los datos confidenciales. El sistema solo se puede recuperar si se vuelve a importar la información confidencial en texto no cifrado y se vuelven a cifrar.

Si el sistema se ve comprometido, el administrador puede recuperar el sistema utilizando el método siguiente:

  • Borre la propiedad de TPM en el inicio de u e instale la imagen en el cargador de arranque mediante TFTP o USB (si el puerto USB no está restringido).

Nota:

Si la versión del software instalada es anterior a Junos OS Release 15.1 X49-D110 y se activa la contraseña de cifrado maestro, la instalación de Junos OS Release 15.1 X49-D110 producirá un error. Debe realizar copias de seguridad de la configuración, certificados, pares de claves y otros secretos, además de utilizar el procedimiento de instalación de TFTP/USB.

Tabla de historial de versiones
Liberación
Descripción
17.4R1
A partir de Junos OS Release 15.1 X49-D120 y Junos OS versión 17.4 R1, se ha actualizado el firmware del módulo de plataforma fiable (TPM). La versión actualizada del firmware proporciona criptografía segura adicional y mejora la seguridad. El firmware del TPM actualizado está disponible junto con el paquete Junos OS. Para actualizar el firmware de TPM, consulta la actualización del firmware de TPM en dispositivos SRX. Para confirmar la versión de firmware de TPM, show security tpm status use el comando. TPM Family y TPM Firmware version se introducen los campos de salida.
15.1X49-D50
A partir de Junos OS versión 15.1 X49-D50, se introducen nuevos comandos de CLI para configurar una contraseña de sistema maestro que proporcione un cifrado más seguro para los secretos de configuración.