Contraseña maestra para el cifrado de configuración
Junos OS y Junos OS Evolved admiten el método de cifrado para secretos de configuración mediante una contraseña maestra. La contraseña maestra deriva una clave de cifrado que utiliza AES256-GCM para proteger ciertos secretos, como claves privadas, contraseñas maestras del sistema y otros datos confidenciales almacenándola en un formato cifrado AES256. Para obtener más información, lea este tema.
La contraseña maestra es independiente de la contraseña raíz del dispositivo.
Uso del Módulo de plataforma segura para enlazar secretos en dispositivos de la serie SRX
Al habilitar el módulo de plataforma segura (TPM) en los firewalls de la serie SRX, la capa de software aprovecha el uso del chip TPM subyacente. TPM es un chip especializado que protege ciertos secretos en reposo, como claves privadas, contraseñas principales del sistema y otros datos confidenciales almacenándolos en un formato cifrado AES256 (en lugar de almacenar datos confidenciales en un formato de texto sin cifrar). El dispositivo también genera un nuevo hash SHA256 de la configuración cada vez que el administrador confirma la configuración. Este hash se verifica cada vez que se inicia el sistema. Si la configuración ha sido manipulada, la verificación falla y el dispositivo no continuará arrancando. Tanto los datos cifrados como el hash de la configuración están protegidos por el módulo TPM mediante la contraseña de cifrado maestra.
La validación de hash se realiza durante cualquier operación de confirmación mediante la realización de una comprobación de validación del archivo de configuración con el hash guardado de confirmaciones anteriores. En un sistema de clúster de chasis, el hash se genera de forma independiente en el sistema de copia de seguridad como parte del proceso de confirmación. Una confirmación desde cualquier modo, es decir, batch-config
, dynamic-config
, exclusive-config
o private config
genera el hash de integridad.
El hash se guarda solo para la configuración actual y no para ninguna configuración de reversión. El hash no se genera durante el reinicio o el apagado del dispositivo.
El TPM cifra los siguientes secretos:
-
Hash SHA256 de la configuración
-
contraseña principal del dispositivo
-
Todos los pares de claves del dispositivo
El chip TPM está disponible en los dispositivos SRX300, SRX320, SRX340, SRX345, SRX380 SRX5400, SRX5600 y SRX5800. En dispositivos SRX5400, SRX5600 y SRX5800, TPM solo se admite con el motor de enrutamiento SRX5K-RE3-128G (RE3).
El chip TPM está habilitado de forma predeterminada para hacer uso de la funcionalidad TPM. Debe configurar la contraseña de cifrado maestra para cifrar los pares de claves PKI y el hash de configuración. Para configurar la contraseña de cifrado maestro, consulte Configuración de la contraseña de cifrado maestro.
- Limitaciones
- Configuración de la contraseña de cifrado maestro
- Comprobación del estado del TPM
- Cambio de la contraseña de cifrado maestra
Limitaciones
Se aplican las siguientes limitaciones y excepciones a la característica de integridad de archivos de configuración que usa TPM:
-
Esta función solo se admite en los dispositivos SRX300, SRX320, SRX340, SRX345, SRX380, SRX5400, SRX5600 y SRX5800. En dispositivos SRX5400, SRX5600 y SRX5800, TPM solo se admite con RE3.
-
Si no se establece la contraseña de cifrado maestra, los datos se almacenan sin cifrar.
-
La función de integridad de archivos no es compatible junto con la función de cifrado de archivos de configuración que utiliza claves guardadas en EEPROM. Solo puede habilitar una función a la vez.
-
En un clúster de chasis, ambos nodos deben tener la misma configuración de TPM. Esto significa que ambos nodos del clúster de chasis deben tener TPM habilitado o que ambos nodos del clúster de chasis deben tener TPM deshabilitado. El clúster de chasis no debe tener un nodo establecido en TPM habilitado y el otro nodo establecido en TPM deshabilitado.
Después de configurar y poner en funcionamiento la clave de cifrado maestra (MEK), no se recomienda degradar a una versión de Junos que no admita la funcionalidad de TPM. Esto se debe a que la imagen que no es compatible con TPM no puede descifrar los secretos cifrados por TPM después de que el dispositivo se reinicie a la versión de cable sin TPM.
Si debe cambiar a una imagen que no sea compatible con TPM, primero debe poner a cero el dispositivo. El proceso de puesta a cero garantiza que el dispositivo no contenga ningún secreto y elimina todas las claves. Después de la puesta a cero, el dispositivo se degradará a la imagen deseada que no sea compatible con TPM.
Configuración de la contraseña de cifrado maestro
Antes de configurar la contraseña de cifrado maestro, asegúrese de haber configurado set system master-password plain-text-password
de otra manera, ciertos datos confidenciales no estarán protegidos por el TPM.
Establezca la contraseña de cifrado maestra mediante el siguiente comando de CLI:
request security tpm master-encryption-password set plain-text-password
Se le pedirá que introduzca la contraseña de cifrado maestra dos veces, para asegurarse de que estas contraseñas coinciden. La contraseña de cifrado maestra se valida para la seguridad de contraseña necesaria.
Después de establecer la contraseña de cifrado maestra, el sistema procede a cifrar los datos confidenciales con la contraseña de cifrado maestra, que se cifra mediante la clave de enlace maestra que es propiedad del chip TPM y está protegida por este.
Si hay algún problema con la configuración de la contraseña de cifrado maestro, se registra un mensaje de ERROR crítico en la consola y el proceso finaliza.
Comprobación del estado del TPM
Puede usar el show security tpm status
comando para comprobar el estado del TPM. Se muestra la siguiente información:
-
TPM habilitado/deshabilitado
-
Propiedad de TPM
-
Estado de la clave de enlace maestra de TPM (creada o no creada)
-
Estado de la contraseña de cifrado maestro (establecida o no establecida)
A partir de Junos OS versión 15.1X49-D120 y Junos OS versión 17.4R1, se actualizó el firmware del Módulo de plataforma segura (TPM). La versión de firmware actualizada proporciona criptografía segura adicional y mejora la seguridad. El firmware TPM actualizado está disponible junto con el paquete Junos OS. Para actualizar el firmware de TPM, consulte Actualización del firmware de TPM en dispositivos SRX. Para confirmar la versión del firmware de TPM, use el show security tpm status
comando TPM Family
y TPM Firmware version
se introducen los campos de salida.
Cambio de la contraseña de cifrado maestra
El cambio de la contraseña de cifrado maestro se realiza mediante la CLI.
Para cambiar la contraseña de cifrado maestro, escriba el siguiente comando desde el modo operativo:
request security tpm master-encryption-password set plain-text-password
Se recomienda que no se realicen cambios en la configuración mientras se cambia la contraseña de cifrado maestro.
El sistema comprueba si la contraseña de cifrado maestra ya está configurada. Si la contraseña de cifrado maestro está configurada, se le pedirá que introduzca la contraseña de cifrado maestra actual.
La contraseña de cifrado maestra introducida se valida con la contraseña de cifrado maestra actual para asegurarse de que estas contraseñas de cifrado maestro coinciden. Si la validación se realiza correctamente, se le pedirá que introduzca la nueva contraseña de cifrado maestra como texto sin formato. Se le pedirá que ingrese la clave dos veces para validar la contraseña.
A continuación, el sistema procede a volver a cifrar los datos confidenciales con la nueva contraseña maestra de cifrado. Debe esperar a que se complete este proceso de recifrado antes de intentar cambiar de nuevo la contraseña de cifrado maestro.
Si por alguna razón, el archivo de contraseña de cifrado maestro cifrado se pierde o se daña, el sistema no podrá descifrar los datos confidenciales. El sistema solo se puede recuperar volviendo a importar los datos confidenciales en texto sin cifrar y volviéndolos a cifrar.
Si el sistema se ve comprometido, el administrador puede recuperarlo utilizando el siguiente método:
-
Borre la propiedad del TPM en el arranque universal y, a continuación, instale la imagen en el cargador de arranque mediante TFTP o USB (si el puerto USB no está restringido).
Si la versión de software instalada es anterior a Junos OS versión 15.1X49-D110 y la contraseña de cifrado maestra está habilitada, se producirá un error en la instalación de Junos OS versión 15.1X49-D110. Debe realizar una copia de seguridad de la configuración, certificados, pares de claves y otros secretos, así como utilizar el procedimiento de instalación de TFTP/USB.
Uso del Módulo de plataforma segura en dispositivos de la serie MX
El Módulo de plataforma segura (TPM) 1.2 es compatible con dispositivos MX240, MX480, MX960, MX2010, MX2020 y MX10003. Se utiliza una contraseña maestra para cifrar los archivos de configuración almacenados en el dispositivo.
Para cambiar la contraseña de cifrado maestro, escriba el siguiente comando desde el modo operativo:
request security tpm master-encryption-password set plain-text-password
TPM se utiliza para proteger los datos confidenciales, como la contraseña maestra del sistema mediante cifrado. TPM admite cifrar y descifrar los datos mediante claves. Para descifrar los secretos de configuración cifrados, se debe eliminar la contraseña maestra.
Puede evitar eliminar o cambiar la contraseña maestra usando protect
la opción. Una vez que la contraseña maestra está protegida, debe aplicar unprotect
la opción para eliminar o cambiar la contraseña maestra. Ejecute con los siguientes pasos:
-
Configure la contraseña maestra del sistema.
user@host#
set system master-password plain-text-password
Master password: Repeat master password: user@host#commit
-
Configure para proteger la contraseña maestra del sistema de la eliminación.
user@host#
protect system master-password
user@host#commit
user@host#show system
host-name device1; kernel-replication { traceoptions { file kernel_traces.log; flag all; } } ports { console log-out-on-disconnect; } syslog { file messages { daemon any; } } protect: master-password { password-configured; }La contraseña maestra del sistema está protegida. Puede eliminar la contraseña maestra desprotegiendo la contraseña maestra.
-
Configure para desproteger la contraseña maestra introduciendo la contraseña maestra correcta.
user@host #
unprotect system master-password
Enter current master-password: user@host #commit
host-name device1; kernel-replication { traceoptions { file kernel_traces.log; flag all; } } ports { console log-out-on-disconnect; } syslog { file messages { daemon any; } } master-password { password-configured; } -
Una vez que la contraseña maestra está desprotegida, puede eliminar o cambiar la contraseña maestra en el sistema.
user@host #
delete system master-password
user@host #commit
user@host #show system
host-name device1; kernel-replication { traceoptions { file kernel_traces.log; flag all; } } ports { console log-out-on-disconnect; } syslog { file messages { daemon any; } }
Limitaciones
-
Si se elimina la clave de cifrado maestra (MEK), los datos no se pueden descifrar. Para eliminar MEK, debe poner a cero el dispositivo.
-
Para degradar el motor de enrutamiento, debe poner a cero el motor de enrutamiento. Una vez que el dispositivo se pone a cero, se puede degradar de forma segura a la imagen que no admite esta función.
-
En la configuración del motor de enrutamiento dual, si es necesario recuperar el motor de enrutamiento de reserva debido a una falta de coincidencia de MEK, GRES debe deshabilitarse y el motor de enrutamiento de respaldo debe ponerse a cero. Una vez que aparezca el motor de rutina de respaldo, configure MEK usando
request security tpm master-encryption-password set plain-text-password
el comando en Master RE. -
En la configuración del motor de enrutamiento dual, si es necesario reemplazar el motor de enrutamiento de respaldo, primero se debe poner a cero el nuevo motor de enrutamiento de respaldo antes de agregar la configuración del motor de enrutamiento dual, se debe deshabilitar GRES y volver a configurar MEK en RE maestro usando
request security tpm master-encryption-password set plain-text-password
el comando. -
Cuando configura OSPF, IS-IS, MACsec, BGP y VRRP en el dispositivo y restablece la contraseña maestra, hay un retraso de tiempo (en segundos) para que el subsistema de enrutamiento/dot1x esté activo.
-
Cuando configura la contraseña maestra, MEK, OSPF, IS-IS, MACsec, BGP y VRRP en el dispositivo y reinicia el dispositivo, hay un retraso de tiempo (en segundos) para que el subsistema de enrutamiento/dot1x esté activo.
Tabla de historial de cambios
La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice Feature Explorer a fin de determinar si una función es compatible con la plataforma.
show security tpm status
comando TPM Family
y TPM Firmware version
se introducen los campos de salida.