Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Понимание операционной среды для Junos OS в режиме FIPS

Устройство Juniper Networks операционной системы Juniper Networks Junos (Junos OS) в режиме FIPS формирует особый тип аппаратной и программной операционной среды, которая отличается от среды устройства в режиме, не относягаемом к FIPS:

Аппаратная среда для Junos OS в режиме FIPS

Junos OS FIPS в режиме FIPS устанавливает криптографическую границу устройства, которую никакие критические параметры безопасности (CSPs) не могут пересекать с использованием простого текста. Каждый аппаратный компонент устройства, требующее шифрования для соответствия FIPS 140-2, является отдельным криптографическим модулем.

Криптографические методы не заменяют физическую безопасность. Оборудование должно располагаться в безопасной физической среде. Пользователи всех типов не должны ни раскрыть ключи, ни пароли, ни разрешить запись или заметки для посторонних.

Программная среда для Junos OS в режиме FIPS

Устройство Juniper Networks, Junos OS в режиме FIPS, формирует особый тип немодициампуемой операционной среды. Чтобы реализовать эту среду на устройстве, система предотвращает выполнение любого двоичного файла, который не был частью сертифицированного Junos OS в распределении режима FIPS. Если устройство работает в режиме FIPS, оно может работать только Junos OS.

Система Junos OS в программной среде режима FIPS устанавливается после того, как Crypto Officer успешно включает режим FIPS на устройстве. Образ Junos OS, который содержит режим FIPS, доступен на Juniper Networks и может быть установлен на функционирование устройства.

Для соответствия FIPS 140-2 рекомендуется удалить все созданные пользователем файлы и данные, обнулив устройство до включения режима FIPS.

Включение режима FIPS отключает многие стандартные Junos OS протоколов и служб. В частности, в режиме FIPS нельзя настроить следующие службы Junos OS:

  • Палец

  • Ftp

  • rlogin

  • Telnet

  • Tftp

  • xnm-clear-text

Попытки настроить эти службы или загрузить конфигурации с этими службами, могут привести к ошибке синтаксиса конфигурации.

В качестве службы удаленного доступа можно использовать только SSH.

Все пароли, установленные для пользователей после обновления Junos OS в режиме FIPS, должны соответствовать Junos OS в спецификациях режима FIPS. Пароли должны иметь длину от 10 до 20 символов и требуют использования по крайней мере трех из пяти определенных наборов символов (заголовные и нижние буквы, цифры, знаки препинания и символы клавиатуры, такие как % и &, не включенные в другие четыре категории). Попытка настроить пароли, не соответствующие этим правилам, приводит к ошибке. Все пароли и ключи, используемые для аутентификации равноправных пользователей, должны иметь длину не менее 10 символов, а в некоторых случаях их длина совпадает с размером дайджеста.

Примечание:

Не присоединять устройство к сети до тех пор, пока Crypto Officer не завершит настройку с локального консольного подключения.

Для строгого соответствия не следует проверять данные дампа ядра и аварийного дампа на локальной консоли в режиме FIPS Junos OS, так как некоторые CSP могут быть показаны простым текстом.

Критические параметры безопасности

Критические параметры безопасности (CSPs) — это данные, связанные с безопасностью, такие как криптографические ключи и пароли, которые могут нарушить безопасность криптографического модуля или безопасность информации, защищенной модулем, если они будут раскрыты или изменены.

Нулевая обнуление системы стирает все следы CSP при подготовке к эксплуатации устройства в модуль маршрутизации в качестве криптографического модуля.

В таблице 1 приводится список CSP на устройствах, Junos OS.

Таблица 1. Критические параметры безопасности

CSP

Описание

Нули

Использовать

Ключ частного хоста SSHv2

Ключ ECDSA/RSA, используемый для идентификации хоста, был сгенерирован при первой настройке SSH.

Обнулить команду.

Используется для идентификации хоста.

Ключи сеанса SSHv2

Ключ сеанса используется в SSHv2 и в качестве частного ключа Diffie-Hellman.

Шифрование: 3DES, AES-128, AES-192, AES-256.

МАС: HMAC-SHA-1, HMAC-SHA-2-256, HMAC-SHA2-512.

Обмен ключами: ECDH-sha2-nistp256, ECDH-sha2-nistp384 и ECDH-sha2-nistp521.

Цикл питания и прекращение сеанса.

Симметричный ключ, используемый для шифрования данных между хостом и клиентом.

Ключ аутентификации пользователя

Пароль пользователя: SHA256, SHA512.

Обнулить команду.

Используется для аутентификации пользователя в криптографическом модуле.

Ключ аутентификации Crypto Officer

Пароль криптографа: SHA256, SHA512.

Обнулить команду.

Используется для аутентификации криптографического сотрудника к криптографическому модулею.

HMAC, семя DRBG

Семя для детерминистического генератора битов randon (DRBG).

Seed не хранится криптографическим модулем.

Используется для высечки DRBG.

Значение HMAC DRBG V

Значение (V) длины выходного блока (outlen) в битах, которое обновляется каждый раз при каждом выходе еще одного бита выходных данных.

Цикл питания.

Критическое значение внутреннего состояния DRBG.

Значение ключа HMAC DRBG

Текущее значение ключа outlen-bit, которое обновляется как минимум один раз при каждом генерации битов псевдорандома механизмом DRBG.

Цикл питания.

Критическое значение внутреннего состояния DRBG.

Entropy NDRNG

Используется в качестве строки entropy input для HMAC DRBG.

Цикл питания.

Критическое значение внутреннего состояния DRBG.

В Junos OS FIPS все CSP должны входить и выходить из криптографического модуля в зашифрованном виде. FiPS считает любой CSP, зашифрованный не утвержденным алгоритмом, нешифрованным текстом.

Лучшие практики:

Для соответствия FIPS настройте маршрутизатор по SSH-соединениям, так как они

Локальные пароли сшшются с помощью алгоритма SHA256 или SHA512. Восстановление пароля в режиме FIPS Junos OS невозможно. Junos OS FIPS-режиме не может загрузиться в одно пользовательский режим без правильного корневого пароля.