FIPS モードの動作における Junos OS について
連邦情報処理標準 (FIPS) 140-3 は、暗号化機能を実行するハードウェアとソフトウェアのセキュリティ レベルを定義しています。Junos-FIPSは、連邦情報処理標準(FIPS)140-3に準拠したJunosオペレーティングシステム(Junos OS)のバージョンです。
FIPS 140-3レベル 2環境でSRXシリーズファイアウォールを運用するには、Junos OSコマンドラインインターフェイス(CLI)からデバイス上でFIPS動作モードを有効にして設定する必要があります。
セキュリティ管理者は、Junos OSリリース22.2R1でFIPSモードの操作を有効にし、システムおよび設定を表示できる他のFIPSユーザーのキーとパスワードを設定します。どちらのユーザータイプも、個々のユーザー設定で許可されているように、デバイス上で通常の設定タスク(インターフェイスタイプの変更など)を実行することもできます。
デバイスが安全に配送されていることを確認し、脆弱なポートには不正開封防止シールを貼付してください。
デバイスの暗号化境界について
FIPS 140-3 に準拠するには、デバイス上の各暗号化モジュールの周囲に定義された暗号化境界が必要です。FIPS モード動作の Junos OS は、FIPS 認定ディストリビューションに含まれていないソフトウェアを暗号モジュールが実行することを防止し、FIPS 承認の暗号アルゴリズムのみの使用を許可します。パスワードやキーなどの重要なセキュリティ パラメーター (CSP) は、コンソールに表示されたり、外部ログ ファイルに書き込まれたりするなどして、モジュールの暗号化境界を越えることはできません。
バーチャル シャーシ機能は、FIPS モードの動作ではサポートされていません。バーチャル シャーシをFIPS動作モードで設定しないでください。
暗号モジュールを物理的に保護するために、すべてのジュニパーネットワークスデバイスでは、USBポートとmini-USBポートに不正開封防止シールが必要です。
FIPS の動作モードと非 FIPS の動作モードの違い
非FIPSモードのJunos OSとは異なり、FIPSモードの動作にあるJunos OSは 変更不可能な運用環境です。また、FIPS モード動作時の Junos OS は、非 FIPS モード動作時の Junos OS と以下の点で異なります。
すべての暗号アルゴリズムのセルフテストは起動時に実行されます。
乱数と鍵生成のセルフテストは継続的に実行されます。
DES(データ暗号化標準)や MD5 などの脆弱な暗号化アルゴリズムは無効になります。
脆弱な管理接続、リモート接続、または暗号化されていない管理接続は設定しないでください。ただし、TOE では、すべての操作モードでローカルおよび暗号化されていないコンソール アクセスが可能です。
パスワードは、復号化を許可しない強力な一方向アルゴリズムで暗号化する必要があります。
Junos-FIPS 管理者パスワードは、10 文字以上でなければなりません。
暗号化キーは、送信前に暗号化する必要があります。
FIPS 140-3 規格は、米国国立標準技術研究所 (NIST) ( http://csrc.nist.gov/publications/fips/fips140-3/fips1402.pdf) からダウンロードできます。
FIPSモードの動作におけるJunos OSの検証済みバージョン
Junos OS リリースが NIST で検証済みかどうかを確認するには、ジュニパーネットワークスの Web サイト(https://apps.juniper.net/compliance)のコンプライアンス ページを参照してください。