Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
NESTA PÁGINA
 

Entendendo o Junos OS no modo de operação FIPS

O Federal Information Processing Standards (FIPS) 140-2 define níveis de segurança para hardware e software que executam funções criptográficas. O modo Junos FIPS é uma versão do sistema operacional Junos (Junos OS) que está em conformidade com o Federal Information Processing Standard (FIPS) 140-2.

Operar dispositivos da Série SRX em um ambiente FIPS 140-2 Level 2 requer habilitar e configurar o modo de operação FIPS no dispositivo a partir da interface de linha de comando (CLI) do Junos OS.

Nota:

No Junos OS Release 20.2R1 SRX345 e SRX380, os dispositivos estão em andamento para certificação para FIPS 140-2 Level 2.

O Cryptographic Officer permite o modo de operação FIPS no Junos OS Release 20.2R1 e configura chaves e senhas para o sistema e outros usuários FIPS que podem visualizar a configuração. Ambos os tipos de usuário também podem realizar tarefas normais de configuração no dispositivo (como modificar tipos de interface), como a configuração individual do usuário permite.

Melhores práticas:

Certifique-se de verificar a entrega segura do seu dispositivo e aplicar vedações evidentes de adulteração em suas portas vulneráveis.

Sobre o limite criptográfico em seu dispositivo

A conformidade com o FIPS 140-2 requer um limite criptográfico definido em torno de cada módulo criptográfico em um dispositivo. O Junos OS no modo de operação FIPS impede o módulo criptográfico de executar qualquer software que não faça parte da distribuição certificada por FIPS, e permite que apenas algoritmos criptográficos aprovados por FIPS sejam usados. Nenhum parâmetro crítico de segurança (CSPs), como senhas e chaves, pode atravessar o limite criptográfico do módulo, por exemplo, sendo exibido em um console ou escrito em um arquivo de log externo.

CUIDADO:

Os recursos do Virtual Chassis não são suportados no modo de operação FIPS — eles não foram testados pela Juniper Networks. Não configure um Virtual Chassis no modo de operação FIPS.

Para proteger fisicamente o módulo criptográfico, todos os dispositivos da Juniper Networks exigem uma vedação aparente nas portas USB e mini-USB.

Como o modo de operação FIPS difere do modo de operação não-FIPS

Ao contrário do Junos OS no modo de operação não-FIPS, o Junos OS no modo de operação FIPS é um ambiente operacional nãomodificável. Além disso, o Junos OS no modo de operação FIPS difere das seguintes maneiras do Junos OS no modo de operação não-FIPS:

  • Os auto-testes de todos os algoritmos criptográficos são realizados na startup, tanto no modo FIPS quanto no modo não FIPS. Mas os resultados são exibidos no console apenas no modo FIPS.

  • Os auto-testes de número aleatório e geração chave são realizados continuamente.

  • Algoritmos criptográficos fracos, como o Data Encryption Standard (DES) e o MD5, estão desativados.

  • O modo FIPS usa o gerador de números aleatórios HMAC-DRBG, enquanto o modo Non-FIPS usa o gerador de números aleatórios padrão do Junos.

  • Teste de consistência em pairwise quando um módulo gera um par de chave pública e privada é realizado apenas no Modo FIPS.

  • A validação de chave pública dh e ECDH durante a geração é realizada apenas no Modo FIPS

  • Conexões de gerenciamento fracas ou não criptografadas não devem ser configuradas.

  • As senhas do administrador Junos-FIPS devem ter pelo menos 10 caracteres de comprimento.

  • As chaves criptográficas devem ser criptografadas antes da transmissão.

O padrão FIPS 140-2 está disponível para download no National Institute of Standards and Technology (NIST) em https://csrc.nist.gov/csrc/media/publications/fips/140/2/final/documents/fips1402.pdf.

Versão validada do Junos OS no modo de operação FIPS

Para determinar se uma versão do Junos OS é validada pelo NIST, consulte a página de conformidade no site da Juniper Networks (https://apps.juniper.net/compliance/fips.html).

Documentação relacionada