FIPS 운영 모드에서의 Junos OS 이해
FIPS(Federal Information Processing Standards) 140-2는 암호화 기능을 수행하는 하드웨어 및 소프트웨어의 보안 수준을 정의합니다. Junos FIPS 모드는 FIPS(Federal Information Processing Standard) 140-2를 준수하는 Junos OS(Junos 운영 체제) 버전입니다.
FIPS 140-2 레벨 2 환경에서 SRX 시리즈 디바이스를 운영하려면 Junos OS CLI(Command-Line Interface)에서 디바이스의 FIPS 운영 모드를 활성화하고 구성해야 합니다.
Junos OS 릴리스 20.2R1에서 SRX345 및 SRX380 디바이스는 FIPS 140-2 레벨 2 인증을 위해 진행 중입니다.
암호화 책임자는 Junos OS 릴리스 20.2R1에서 FIPS 작동 모드를 활성화하고 시스템 및 구성을 볼 수 있는 다른 FIPS 사용자를 위한 키와 패스워드를 설정합니다. 두 사용자 유형 모두 개별 사용자 구성이 허용하는 대로 디바이스에서 일반적인 구성 작업(예: 인터페이스 유형 수정)을 수행할 수도 있습니다.
장치의 안전한 전달을 확인하고 취약한 포트에 변조 방지 봉인을 적용해야 합니다.
디바이스의 암호화 경계 정보
FIPS 140-2를 준수하려면 디바이스의 각 암호화 모듈 주위에 정의된 암호화 경계가 필요합니다. FIPS 운영 모드의 Junos OS는 암호화 모듈이 FIPS 인증 배포의 일부가 아닌 소프트웨어를 실행하는 것을 방지하고 FIPS 승인 암호화 알고리즘만 사용할 수 있도록 합니다. 암호 및 키와 같은 CSP(중요한 보안 매개 변수)는 콘솔에 표시되거나 외부 로그 파일에 기록되는 등의 방법으로 모듈의 암호화 경계를 넘을 수 없습니다.
Virtual Chassis 기능은 FIPS 운영 모드에서 지원되지 않으며 주니퍼 네트웍스에서 테스트하지 않았습니다. FIPS 작동 모드에서 Virtual Chassis를 구성하지 마십시오.
암호화 모듈을 물리적으로 보호하기 위해 모든 주니퍼 네트웍스 디바이스는 USB 및 미니 USB 포트에 변조 방지 씰을 부착해야 합니다.
FIPS 작업 모드와 비 FIPS 작업 모드의 차이점
비 FIPS 운영 모드의 Junos OS와 달리 FIPS 운영 모드의 Junos OS는 수정할 수 없는 운영 환경입니다. 또한 FIPS 운영 모드의 Junos OS는 비 FIPS 운영 모드의 Junos OS와 다음과 같은 점에서 다릅니다.
모든 암호화 알고리즘에 대한 자체 테스트는 FIPS 모드와 비 FIPS 모드 모두에서 시작 시 수행됩니다. 그러나 결과는 FIPS 모드에서만 콘솔에 표시됩니다.
난수 및 키 생성에 대한 자체 테스트가 지속적으로 수행됩니다.
DES(데이터 암호화 표준) 및 MD5와 같은 취약한 암호화 알고리즘은 사용할 수 없습니다.
FIPS 모드는 HMAC-DRBG 난수 생성기를 사용하는 반면, 비 FIPS 모드는 Junos 기본 yarrow 난수 생성기를 사용합니다.
모듈이 공개 및 개인 키 쌍을 생성할 때 쌍별 일관성 테스트는 FIPS 모드에서만 수행됩니다.
생성 중 DH 및 ECDH 공개 키 유효성 검사는 FIPS 모드에서만 수행됩니다
취약하거나 암호화되지 않은 관리 연결은 구성하지 않아야 합니다.
Junos-FIPS 관리자 암호는 10 자 이상이어야 합니다.
암호화 키는 전송하기 전에 암호화해야 합니다.
FIPS 140-2 표준은 https://csrc.nist.gov/csrc/media/publications/fips/140/2/final/documents/fips1402.pdf 의 NIST(National Institute of Standards and Technology)에서 다운로드할 수 있습니다.
FIPS 운영 모드에서 검증된 Junos OS 버전
Junos OS 릴리스가 NIST 인증을 받았는지 확인하려면 주니퍼 네트웍스 웹 사이트(https://apps.juniper.net/compliance/fips.html)의 규정 준수 페이지를 참조하십시오.