了解 FIPS 操作模式中的 Junos OS
联邦信息处理标准 (FIPS) 140-2 定义执行加密功能的硬件和软件的安全级别。Junos FIPS 模式是符合联邦信息处理标准 (FIPS) 140-2 的 Junos 操作系统 (Junos OS) 版本。
在 FIPS 140-2 级别 2 环境中操作 SRX 系列设备需要通过 Junos OS 命令行界面 (CLI) 启用和配置设备上的 FIPS 操作模式。
在 Junos OS 版本 20.2R1 SRX345 和 SRX380 设备中,FIPS 140-2 级别 2 的认证正在进行中。
加密官在 Junos OS 版本 20.2R1 中启用 FIPS 操作模式,并为系统和其他可查看配置的 FIPS 用户设置密钥和密码。两种用户类型也可根据单个用户配置允许在设备上执行正常配置任务(例如修改接口类型)。
请务必验证设备是否安全交付,并将防篡改的封条应用到其易受攻击的端口。
关于设备上的加密边界
FIPS 140-2 合规性要求设备上每个加密模块周围有一个定义的加密边界。FIPS 操作模式下的 Junos OS 会阻止加密模块运行不是 FIPS 认证分配组成部分的任何软件,并且仅允许使用 FIPS 批准的加密算法。任何关键安全参数 (CSP)(例如密码和密钥)都无法跨越模块的加密边界,例如,显示在控制台上或写入外部日志文件。
虚拟机箱功能在 FIPS 操作模式中不受支持 — 它们尚未经过瞻博网络测试。请勿在 FIPS 操作模式下配置虚拟机箱。
为了物理保护加密模块,所有瞻博网络设备都需要在 USB 和 mini-USB 端口上使用防篡改密封。
FIPS 操作模式与非 FIPS 操作模式的差异
与非 FIPS 操作模式中的 Junos OS 不同,FIPS 操作模式中的 Junos OS 是一种 不可配置的操作环境。此外,FIPS 操作模式中的 Junos OS 在非 FIPS 操作模式下与 Junos OS 不同:
所有加密算法的自我测试均在启动时在 FIPS 模式和非 FIPS 模式下执行。但结果仅以 FIPS 模式显示在控制台上。
持续执行随机编号和密钥生成的自我测试。
弱加密算法(如数据加密标准 (DES) 和 MD5)禁用。
FIPS 模式使用 HMAC-DRBG 随机编号生成器,而非 FIPS 模式使用 Junos 默认 yarrow 随机编号生成器。
模块生成公钥和私有密钥对时的成对一致性测试仅在 FIPS 模式下执行。
生成过程中的 DH 和 ECDH 公钥验证仅在 FIPS 模式下执行
不得配置弱或未加密的管理连接。
Junos-FIPS 管理员密码必须至少长 10 个 字符。
密钥在传输前必须加密。
FIPS 140-2 标准可用于 从 https://csrc.nist.gov/csrc/media/publications/fips/140/2/final/documents/fips1402.pdf 的国家标准与技术研究所 (NIST) 下载。
FIPS 操作模式下经过验证的 Junos OS 版本
要确定 Junos OS 版本是否已通过 NIST 验证,请参阅瞻博网络网站 (https://apps.juniper.net/compliance/fips.html) 上的合规性页面。