Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Contraseña maestra para el cifrado de configuración

Junos OS admite el método de cifrado para secretos de configuración mediante una contraseña maestra. La contraseña maestra deriva una clave de cifrado que utiliza AES256-GCM para proteger ciertos secretos, como claves privadas, contraseñas maestras del sistema y otros datos confidenciales, almacenándolo en un formato cifrado AES256. Para obtener más información, lea este tema.

Endurecer los secretos compartidos en Junos OS

Descripción del endurecimiento de los secretos compartidos

Los secretos compartidos existentes (formato $9$) en Junos OS utilizan actualmente un algoritmo de ofuscación, que no es un cifrado muy sólido para los secretos de configuración. Si desea un cifrado seguro para sus secretos de configuración, puede configurar una contraseña maestra. La contraseña maestra se utiliza para derivar una clave de cifrado que se usa con AES256-GCM para cifrar los secretos de configuración. Este nuevo método de cifrado utiliza las cadenas con formato $8$.

A partir de Junos OS versión 15.1X49-D50, se introducen nuevos comandos de CLI para configurar una contraseña maestra del sistema para proporcionar un cifrado más sólido para los secretos de configuración. La contraseña maestra cifra secretos como la contraseña RADIUS, las claves previamente compartidas de IKE y otros secretos compartidos en la configuración del proceso de administración de Junos OS (mgd). La propia contraseña maestra no se guarda como parte de la configuración. La calidad de la contraseña se evalúa para la fuerza, y el dispositivo da comentarios si se utilizan contraseñas débiles.

La contraseña maestra se utiliza como entrada para la función de derivación de claves basada en contraseñas (PBKDF2) para generar una clave de cifrado. la clave se utiliza como entrada al estándar de cifrado avanzado en el modo galois/contador (AES256-GCM). El algoritmo de cifrado procesa el texto sin formato que ingresa el usuario (con clave) para producir el texto cifrado (texto de cifrado). Ver Figura 1

Nota:

Habilitar el cifrado de contraseña maestra a través del módulo de plataforma de confianza (TPM) puede dar como resultado un aumento de los tiempos de confirmación. Esto se debe al procesamiento de cifrado que se produce cada vez que se confirma la configuración. El aumento del retraso varía según la capacidad de la CPU y la carga actual.

Figura 1: Cifrado de contraseña maestra Cifrado de contraseña maestra

Los secretos de configuración de USD 8 solo se pueden compartir entre dispositivos con la misma contraseña maestra.

Las contraseñas cifradas de $8 tienen el siguiente formato:

$8$crypt-algo$hash-algo$iterations$salt$iv$tag$encrypted. Consulte para obtener Tabla 1 los detalles del formato de contraseña maestra.

Tabla 1: Formato de contraseña cifrado de $8
Formato Descripción

crypt-algo

Algoritmo de cifrado/descifrado que se utilizará. Actualmente solo se admite AES256-GCM.

hash-algo

Algoritmo hash (prf) que se utilizará para la derivación de clave PBKDF2.

Iteraciones

Número de iteraciones que se utilizan para la función hash PBKDF2. El valor predeterminado del recuento de iteración actual es 100. El recuento de iteración ralentiza el recuento de hash, lo que ralentiza las conjeturas del atacante.

Sal

Secuencia de bytes pseudoaleatorios codificados ASCII64 generados durante el cifrado que se usarán para sal (una cadena aleatoria, pero conocida) la contraseña y la entrada a la derivación de clave PBKDF2.

Iv

Secuencia de bytes pseudoaleatorios codificados ASCII64 generados durante el cifrado que se utilizarán como vector de inicialización para la función de cifrado AES256-GCM.

etiqueta

Representación codificada ASCII64 de la etiqueta.

Encriptados

Representación codificada ASCII64 de la contraseña cifrada.

La codificación ASCII64 es compatible con Base64 (RFC 4648), excepto que no se utiliza ningún relleno (carácter "=") para mantener las cadenas cortas. Por ejemplo: $8$aes256-gcm$hmac-sha2-256$100$y/4YMC4YDLU$fzYDI4jjN6YCyQsYLsaf8A$Ilu4jLcZarD9YnyD /Hejww$okhBlc0cGakSqYxKww

Consideraciones del clúster de chasis

Cuando defina un clúster de chasis en dispositivos de la serie SRX, tenga en cuenta las siguientes restricciones:

  • Para los dispositivos de la serie SRX, configure primero la contraseña maestra en cada nodo y, luego, cree el clúster. La misma contraseña maestra debe configurarse en cada nodo.

  • En el modo de clúster de chasis, no se puede eliminar la contraseña maestra.

Nota:

Un cambio en la contraseña maestra significaría una interrupción en la agrupación en clústeres de chasis; por lo tanto, debe cambiar la contraseña en ambos nodos de forma independiente.

Uso del módulo de plataforma de confianza para enlazar secretos en dispositivos de la serie SRX

Al habilitar el módulo de plataforma de confianza (TPM) en los dispositivos de la serie SRX, la capa de software aprovecha el uso del chip TPM subyacente. TPM es un chip especializado que protege ciertos secretos en reposo, como claves privadas, contraseñas principales del sistema y otros datos sensibles mediante su almacenamiento en un formato cifrado AES256 (en lugar de almacenar datos sensibles en un formato de texto claro). El dispositivo también genera un nuevo hash SHA256 de la configuración cada vez que el administrador confirma la configuración. Este hash se verifica cada vez que el sistema se inicia. Si la configuración se ha manipulado, se producirá un error en la verificación y el dispositivo no continuará arrancando. Tanto los datos cifrados como el hash de la configuración están protegidos por el módulo TPM mediante la contraseña de cifrado maestra.

Nota:

La validación hash se realiza durante cualquier operación de confirmación mediante la realización de una comprobación de validación del archivo de configuración con el hash guardado de confirmaciones anteriores. En un sistema de clúster de chasis, el hash se genera de forma independiente en el sistema de copia de seguridad como parte del proceso de confirmación. Una confirmación desde cualquier modo, es decir, batch-config, dynamic-config, exclusive-configo private config genera el hash de integridad.

Nota:

El hash solo se guarda para la configuración actual y no para ninguna configuración de restauración. El hash no se genera durante el reinicio o el apagado del dispositivo.

El TPM cifra los siguientes secretos:

  • Hash SHA256 de la configuración

  • contraseña principal del dispositivo

  • todos los pares de claves del dispositivo

El chip TPM está disponible en los dispositivos SRX300, SRX320, SRX340, SRX345, SRX380 SRX5400, SRX5600 y SRX5800. En los dispositivos SRX5400, SRX5600 y SRX5800, TPM solo se admite con el motor de enrutamiento SRX5K-RE3-128G (RE3). El chip TPM está habilitado de forma predeterminada para usar la funcionalidad de TPM. Debe configurar la contraseña de cifrado maestra para cifrar los pares de claves PKI y el hash de configuración. Para configurar la contraseña de cifrado maestra, consulte Configuración de contraseña de cifrado maestro.

Limitaciones

Las siguientes limitaciones y excepciones se aplican a la función de integridad del archivo de configuración mediante TPM:

  • Esta función solo se admite en los dispositivos SRX300, SRX320, SRX340, SRX345, SRX380 SRX5400, SRX5600 y SRX5800. En los dispositivos SRX5400, SRX5600 y SRX5800, TPM solo se admite con RE3.

  • Si no se establece la contraseña de cifrado maestra, los datos se almacenan sin cifrar.

  • La función de integridad de archivo no se admite junto con la función de cifrado de archivos de configuración que utiliza claves guardadas en EEPROM. Solo puede habilitar una función a la vez.

  • En un clúster de chasis, ambos nodos deben tener la misma configuración de TPM. Esto significa que ambos nodos del clúster de chasis deben tener TPM habilitado, o que ambos nodos del clúster de chasis deben tener TPM deshabilitado. El clúster de chasis no debe tener un nodo establecido en TPM habilitado y el otro nodo establecido en TPM deshabilitado.

Nota:

Después de que la clave de cifrado principal (MEK) esté configurada y operativa, no se recomienda degradar a una versión de Junos que no admita la funcionalidad de TPM. Esto se debe a que la imagen que no es compatible con TPM no es capaz de descifrar los secretos cifrados por TPM después de que el dispositivo se reinicie en la versión de cable que no sea TPM.

Si debe degradar a una imagen que no sea compatible con TPM, primero debe cero el dispositivo. El proceso de ceroización garantiza que el dispositivo no contenga ningún secreto y elimine todas las claves. Después de la ceroización, el dispositivo se degradará a la imagen no compatible con TPM deseada.

Configuración de contraseña de cifrado maestro

Nota:

Antes de configurar la contraseña de cifrado maestra, asegúrese de que ha configurado set system master-password plain-text-password lo contrario, el TPM no protegerá ciertos datos confidenciales.

Establezca la contraseña de cifrado maestra mediante el siguiente comando de CLI:

request security tpm master-encryption-password set plain-text-password

Se le pedirá que escriba la contraseña de cifrado maestra dos veces para asegurarse de que estas contraseñas coincidan. La contraseña de cifrado principal se valida para la fuerza necesaria de la contraseña.

Después de establecer la contraseña de cifrado maestro, el sistema procede a cifrar los datos confidenciales con la contraseña de cifrado maestra que está cifrada por la clave de enlace maestra que es propiedad y está protegida por el chip TPM.

Nota:

Si hay algún problema con la configuración de la contraseña de cifrado maestra, se registra un mensaje de ERROR crítico en la consola y se termina el proceso.

Verificar el estado del TPM

Puede usar el show security tpm status comando para comprobar el estado del TPM. Se muestra la siguiente información:

  • TPM habilitado/deshabilitado

  • Propiedad de TPM

  • Estado de clave de enlace maestro del TPM (creado o no creado)

  • estado de contraseña de cifrado maestro (establecido o no establecido)

A partir de Junos OS versión 15.1X49-D120 y Junos OS versión 17.4R1, se actualizó el firmware del módulo de plataforma de confianza (TPM). La versión de firmware actualizada ofrece criptografía adicional segura y mejora la seguridad. El firmware tpm actualizado está disponible junto con el paquete de Junos OS. Para actualizar el firmware de TPM, consulte Actualización del firmware de TPM en dispositivos SRX. Para confirmar la versión del firmware del TPM, use el show security tpm status comando y TPM FamilyTPM Firmware version se introducen los campos de salida.

Cambiar la contraseña de cifrado maestro

Cambiar la contraseña de cifrado maestro se realiza mediante la CLI.

Para cambiar la contraseña de cifrado maestra, escriba el siguiente comando desde el modo operativo:

request security tpm master-encryption-password set plain-text-password

Nota:

Se recomienda que no se realicen cambios en la configuración mientras cambia la contraseña de cifrado maestra.

El sistema comprueba si la contraseña de cifrado maestra ya está configurada. Si está configurada la contraseña de cifrado maestra, se le pedirá que escriba la contraseña de cifrado maestra actual.

La contraseña de cifrado maestra introducida se valida con la contraseña de cifrado maestra actual para asegurarse de que estas contraseñas de cifrado maestro coincidan. Si la validación se realiza correctamente, se le pedirá que escriba la nueva contraseña de cifrado maestra como texto sin formato. Se le pedirá que ingrese la clave dos veces para validar la contraseña.

A continuación, el sistema vuelve a cifrar los datos confidenciales con la nueva contraseña de cifrado maestra. Debe esperar a que se complete este proceso de reencripción antes de intentar cambiar de nuevo la contraseña de cifrado maestra.

Si por alguna razón, el archivo de contraseña de cifrado maestro cifrado se pierde o está dañado, el sistema no será capaz de descifrar los datos sensibles. El sistema solo se puede recuperar mediante la reimportación de los datos sensibles en texto sin cifrar y volver a cifrarlos.

Si el sistema está en peligro, el administrador puede recuperar el sistema mediante el siguiente método:

  • Elimine la propiedad del TPM en u-boot e instale la imagen en el cargador de arranque mediante TFTP o USB (si el puerto USB no está restringido).

Nota:

Si la versión de software instalada es anterior a la versión 15.1X49-D110 de Junos OS y la contraseña de cifrado principal está habilitada, la instalación de Junos OS versión 15.1X49-D110 fallará. Debe respaldar la configuración, los certificados, los pares de claves y otros secretos y utilizar el procedimiento de instalación TFTP/USB.

Tabla de historial de versiones
Liberación
Descripción
17.4R1
A partir de Junos OS versión 15.1X49-D120 y Junos OS versión 17.4R1, se actualizó el firmware del módulo de plataforma de confianza (TPM). La versión de firmware actualizada ofrece criptografía adicional segura y mejora la seguridad. El firmware tpm actualizado está disponible junto con el paquete de Junos OS. Para actualizar el firmware de TPM, consulte Actualización del firmware de TPM en dispositivos SRX. Para confirmar la versión del firmware del TPM, use el show security tpm status comando y TPM FamilyTPM Firmware version se introducen los campos de salida.
15.1X49-D50
A partir de Junos OS versión 15.1X49-D50, se introducen nuevos comandos de CLI para configurar una contraseña maestra del sistema para proporcionar un cifrado más sólido para los secretos de configuración.