Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Contraseña maestra para el cifrado de configuración

Junos OS y Junos OS Evolved admiten el método de cifrado para secretos de configuración mediante una contraseña maestra. La contraseña maestra deriva una clave de cifrado que utiliza AES256-GCM para proteger ciertos secretos, como claves privadas, contraseñas maestras del sistema y otros datos confidenciales almacenándola en un formato cifrado AES256. Para obtener más información, lea este tema.

Nota:

La contraseña maestra es independiente de la contraseña raíz del dispositivo.

Protección de secretos compartidos en Junos OS

Comprender los secretos compartidos del endurecimiento

Los secretos compartidos existentes (formato $9$) en Junos OS actualmente usan un algoritmo de ofuscación, que no es un cifrado muy fuerte para los secretos de configuración. Si desea un cifrado seguro para sus secretos de configuración, puede configurar una contraseña maestra. La contraseña maestra se utiliza para derivar una clave de cifrado que se utiliza con AES256-GCM para cifrar los secretos de configuración. Este nuevo método de cifrado utiliza las cadenas con formato $8$.

A partir de Junos OS versión 15.1X49-D50 y Junos OS Evolved versión 22.4R1, se introducen nuevos comandos de CLI para configurar una contraseña maestra del sistema a fin de proporcionar un cifrado más seguro para los secretos de configuración. La contraseña maestra cifra secretos como la contraseña RADIUS, las claves IKE previamente compartidas y otros secretos compartidos en la configuración del proceso de administración (mgd) de Junos OS. La contraseña maestra en sí no se guarda como parte de la configuración. La calidad de la contraseña se evalúa para determinar su seguridad, y el dispositivo da retroalimentación si se utilizan contraseñas débiles.

La contraseña maestra se utiliza como entrada para la función de derivación de claves basada en contraseña (PBKDF2) para generar una clave de cifrado. la clave se utiliza como entrada para el estándar de cifrado avanzado en modo Galois/Counter (AES256-GCM). El texto sin formato que el usuario introduce es procesado por el algoritmo de cifrado (con clave) para producir el texto cifrado (texto cifrado). Ver Figura 1

Nota:

Habilitar el cifrado de contraseña maestra a través del Módulo de plataforma segura (TPM) puede dar lugar a un aumento de los tiempos de confirmación. Esto se debe al procesamiento de cifrado que se produce cada vez que se confirma la configuración. El aumento en el retraso varía según la capacidad de la CPU y la carga actual.

Figura 1: Cifrado de contraseña maestraCifrado de contraseña maestra

Los secretos de configuración de $8$ solo se pueden compartir entre dispositivos con la misma contraseña maestra.

Las contraseñas cifradas de $8$s tienen el siguiente formato:

$8$crypt-algo$hash-algo$iterations$salt$iv$tag$encrypted. Consulte Tabla 1 para obtener los detalles del formato de contraseña maestra.

Tabla 1: Formato de contraseña cifrada por $8$.
Formato Description

cripta-algo

Algoritmo de cifrado/descifrado a utilizar. Actualmente solo se admite AES256-GCM.

hash-algo

Algoritmo hash (prf) que se utilizará para la derivación de claves PBKDF2.

Iteraciones

Número de iteraciones que se van a utilizar para la función hash PBKDF2. El valor predeterminado actual del recuento de iteraciones es 100. El recuento de iteraciones ralentiza el recuento de hash, lo que ralentiza las conjeturas de los atacantes.

sal

Secuencia de bytes pseudoaleatorios codificados en ASCII64 generados durante el cifrado que se utilizarán para sal (una cadena aleatoria, pero conocida) la contraseña y la entrada a la derivación de claves PBKDF2.

Iv

Secuencia de bytes pseudoaleatorios codificados en ASCII64 generados durante el cifrado que se utilizarán como vector de inicialización para la función de cifrado AES256-GCM.

etiqueta

ASCII64 representación codificada de la etiqueta.

encriptado

ASCII64 representación codificada de la contraseña cifrada.

La codificación ASCII64 es compatible con Base64 (RFC 4648), excepto que no se usa relleno (carácter "=") para mantener las cadenas cortas. Por ejemplo: $8$aes256-gcm$hmac-sha2-256$100$y/4YMC4YDLU$fzYDI4jjN6YCyQsYLsaf8A$Ilu4jLcZarD9YnyD /Hejww$okhBlc0cGakSqYxKww

Consideraciones sobre el clúster de chasis

Al definir un clúster de chasis en firewalls de la serie SRX, tenga en cuenta las siguientes restricciones:

  • Para los firewalls de la serie SRX, configure primero la contraseña maestra en cada nodo y, a continuación, compile el clúster. Se debe configurar la misma contraseña maestra en cada nodo.

  • En el modo de clúster de chasis, si se establece la clave de cifrado maestra (MEK), la contraseña maestra no se puede eliminar, pero puede restablecer la contraseña maestra. Solo puede eliminar la contraseña maestra poniendo a cero el motor de enrutamiento.

Nota:

Un cambio en la contraseña maestra significaría una interrupción en la agrupación en clústeres del chasis; Por lo tanto, debe cambiar la contraseña en ambos nodos de forma independiente.

Uso del Módulo de plataforma segura para enlazar secretos en dispositivos de la serie SRX

Al habilitar el módulo de plataforma segura (TPM) en los firewalls de la serie SRX, la capa de software aprovecha el uso del chip TPM subyacente. TPM es un chip especializado que protege ciertos secretos en reposo, como claves privadas, contraseñas principales del sistema y otros datos confidenciales almacenándolos en un formato cifrado AES256 (en lugar de almacenar datos confidenciales en un formato de texto sin cifrar). El dispositivo también genera un nuevo hash SHA256 de la configuración cada vez que el administrador confirma la configuración. Este hash se verifica cada vez que se inicia el sistema. Si la configuración ha sido manipulada, la verificación falla y el dispositivo no continuará arrancando. Tanto los datos cifrados como el hash de la configuración están protegidos por el módulo TPM mediante la contraseña de cifrado maestra.

Nota:

La validación de hash se realiza durante cualquier operación de confirmación mediante la realización de una comprobación de validación del archivo de configuración con el hash guardado de confirmaciones anteriores. En un sistema de clúster de chasis, el hash se genera de forma independiente en el sistema de copia de seguridad como parte del proceso de confirmación. Una confirmación desde cualquier modo, es decir, batch-config, dynamic-config, exclusive-configo private config genera el hash de integridad.

Nota:

El hash se guarda solo para la configuración actual y no para ninguna configuración de reversión. El hash no se genera durante el reinicio o el apagado del dispositivo.

El TPM cifra los siguientes secretos:

  • Hash SHA256 de la configuración

  • contraseña principal del dispositivo

  • Todos los pares de claves del dispositivo

El chip TPM está disponible en los dispositivos SRX300, SRX320, SRX340, SRX345, SRX380 SRX5400, SRX5600 y SRX5800. En dispositivos SRX5400, SRX5600 y SRX5800, TPM solo se admite con el motor de enrutamiento SRX5K-RE3-128G (RE3).

El chip TPM está habilitado de forma predeterminada para hacer uso de la funcionalidad TPM. Debe configurar la contraseña de cifrado maestra para cifrar los pares de claves PKI y el hash de configuración. Para configurar la contraseña de cifrado maestro, consulte Configuración de la contraseña de cifrado maestro.

Limitaciones

Se aplican las siguientes limitaciones y excepciones a la característica de integridad de archivos de configuración que usa TPM:

  • Esta función solo se admite en los dispositivos SRX300, SRX320, SRX340, SRX345, SRX380, SRX5400, SRX5600 y SRX5800. En dispositivos SRX5400, SRX5600 y SRX5800, TPM solo se admite con RE3.

  • Si no se establece la contraseña de cifrado maestra, los datos se almacenan sin cifrar.

  • La función de integridad de archivos no es compatible junto con la función de cifrado de archivos de configuración que utiliza claves guardadas en EEPROM. Solo puede habilitar una función a la vez.

  • En un clúster de chasis, ambos nodos deben tener la misma configuración de TPM. Esto significa que ambos nodos del clúster de chasis deben tener TPM habilitado o que ambos nodos del clúster de chasis deben tener TPM deshabilitado. El clúster de chasis no debe tener un nodo establecido en TPM habilitado y el otro nodo establecido en TPM deshabilitado.

Nota:

Después de configurar y poner en funcionamiento la clave de cifrado maestra (MEK), no se recomienda degradar a una versión de Junos que no admita la funcionalidad de TPM. Esto se debe a que la imagen que no es compatible con TPM no puede descifrar los secretos cifrados por TPM después de que el dispositivo se reinicie a la versión de cable sin TPM.

Si debe cambiar a una imagen que no sea compatible con TPM, primero debe poner a cero el dispositivo. El proceso de puesta a cero garantiza que el dispositivo no contenga ningún secreto y elimina todas las claves. Después de la puesta a cero, el dispositivo se degradará a la imagen deseada que no sea compatible con TPM.

Configuración de la contraseña de cifrado maestro

Nota:

Antes de configurar la contraseña de cifrado maestro, asegúrese de haber configurado set system master-password plain-text-password de otra manera, ciertos datos confidenciales no estarán protegidos por el TPM.

Establezca la contraseña de cifrado maestra mediante el siguiente comando de CLI:

request security tpm master-encryption-password set plain-text-password

Se le pedirá que introduzca la contraseña de cifrado maestra dos veces, para asegurarse de que estas contraseñas coinciden. La contraseña de cifrado maestra se valida para la seguridad de contraseña necesaria.

Después de establecer la contraseña de cifrado maestra, el sistema procede a cifrar los datos confidenciales con la contraseña de cifrado maestra, que se cifra mediante la clave de enlace maestra que es propiedad del chip TPM y está protegida por este.

Nota:

Si hay algún problema con la configuración de la contraseña de cifrado maestro, se registra un mensaje de ERROR crítico en la consola y el proceso finaliza.

Comprobación del estado del TPM

Puede usar el show security tpm status comando para comprobar el estado del TPM. Se muestra la siguiente información:

  • TPM habilitado/deshabilitado

  • Propiedad de TPM

  • Estado de la clave de enlace maestra de TPM (creada o no creada)

  • Estado de la contraseña de cifrado maestro (establecida o no establecida)

A partir de Junos OS versión 15.1X49-D120 y Junos OS versión 17.4R1, se actualizó el firmware del Módulo de plataforma segura (TPM). La versión de firmware actualizada proporciona criptografía segura adicional y mejora la seguridad. El firmware TPM actualizado está disponible junto con el paquete Junos OS. Para actualizar el firmware de TPM, consulte Actualización del firmware de TPM en dispositivos SRX. Para confirmar la versión del firmware de TPM, use el show security tpm status comando TPM Family y TPM Firmware version se introducen los campos de salida.

Cambio de la contraseña de cifrado maestra

El cambio de la contraseña de cifrado maestro se realiza mediante la CLI.

Para cambiar la contraseña de cifrado maestro, escriba el siguiente comando desde el modo operativo:

request security tpm master-encryption-password set plain-text-password

Nota:

Se recomienda que no se realicen cambios en la configuración mientras se cambia la contraseña de cifrado maestro.

El sistema comprueba si la contraseña de cifrado maestra ya está configurada. Si la contraseña de cifrado maestro está configurada, se le pedirá que introduzca la contraseña de cifrado maestra actual.

La contraseña de cifrado maestra introducida se valida con la contraseña de cifrado maestra actual para asegurarse de que estas contraseñas de cifrado maestro coinciden. Si la validación se realiza correctamente, se le pedirá que introduzca la nueva contraseña de cifrado maestra como texto sin formato. Se le pedirá que ingrese la clave dos veces para validar la contraseña.

A continuación, el sistema procede a volver a cifrar los datos confidenciales con la nueva contraseña maestra de cifrado. Debe esperar a que se complete este proceso de recifrado antes de intentar cambiar de nuevo la contraseña de cifrado maestro.

Si por alguna razón, el archivo de contraseña de cifrado maestro cifrado se pierde o se daña, el sistema no podrá descifrar los datos confidenciales. El sistema solo se puede recuperar volviendo a importar los datos confidenciales en texto sin cifrar y volviéndolos a cifrar.

Si el sistema se ve comprometido, el administrador puede recuperarlo utilizando el siguiente método:

  • Borre la propiedad del TPM en el arranque universal y, a continuación, instale la imagen en el cargador de arranque mediante TFTP o USB (si el puerto USB no está restringido).

Nota:

Si la versión de software instalada es anterior a Junos OS versión 15.1X49-D110 y la contraseña de cifrado maestra está habilitada, se producirá un error en la instalación de Junos OS versión 15.1X49-D110. Debe realizar una copia de seguridad de la configuración, certificados, pares de claves y otros secretos, así como utilizar el procedimiento de instalación de TFTP/USB.

Uso del Módulo de plataforma segura en dispositivos de la serie MX

El Módulo de plataforma segura (TPM) 1.2 es compatible con dispositivos MX240, MX480, MX960, MX2010, MX2020 y MX10003. Se utiliza una contraseña maestra para cifrar los archivos de configuración almacenados en el dispositivo.

Para cambiar la contraseña de cifrado maestro, escriba el siguiente comando desde el modo operativo:

request security tpm master-encryption-password set plain-text-password

TPM se utiliza para proteger los datos confidenciales, como la contraseña maestra del sistema mediante cifrado. TPM admite cifrar y descifrar los datos mediante claves. Para descifrar los secretos de configuración cifrados, se debe eliminar la contraseña maestra.

Puede evitar eliminar o cambiar la contraseña maestra usando protect la opción. Una vez que la contraseña maestra está protegida, debe aplicar unprotect la opción para eliminar o cambiar la contraseña maestra. Ejecute con los siguientes pasos:

  1. Configure la contraseña maestra del sistema.

  2. Configure para proteger la contraseña maestra del sistema de la eliminación.

    La contraseña maestra del sistema está protegida. Puede eliminar la contraseña maestra desprotegiendo la contraseña maestra.

  3. Configure para desproteger la contraseña maestra introduciendo la contraseña maestra correcta.

  4. Una vez que la contraseña maestra está desprotegida, puede eliminar o cambiar la contraseña maestra en el sistema.

Limitaciones

  • Si se elimina la clave de cifrado maestra (MEK), los datos no se pueden descifrar. Para eliminar MEK, debe poner a cero el dispositivo.

  • Para degradar el motor de enrutamiento, debe poner a cero el motor de enrutamiento. Una vez que el dispositivo se pone a cero, se puede degradar de forma segura a la imagen que no admite esta función.

  • En la configuración del motor de enrutamiento dual, si es necesario recuperar el motor de enrutamiento de reserva debido a una falta de coincidencia de MEK, GRES debe deshabilitarse y el motor de enrutamiento de respaldo debe ponerse a cero. Una vez que aparezca el motor de rutina de respaldo, configure MEK usando request security tpm master-encryption-password set plain-text-password el comando en Master RE.

  • En la configuración del motor de enrutamiento dual, si es necesario reemplazar el motor de enrutamiento de respaldo, primero se debe poner a cero el nuevo motor de enrutamiento de respaldo antes de agregar la configuración del motor de enrutamiento dual, se debe deshabilitar GRES y volver a configurar MEK en RE maestro usando request security tpm master-encryption-password set plain-text-password el comando.

  • Cuando configura OSPF, IS-IS, MACsec, BGP y VRRP en el dispositivo y restablece la contraseña maestra, hay un retraso de tiempo (en segundos) para que el subsistema de enrutamiento/dot1x esté activo.

  • Cuando configura la contraseña maestra, MEK, OSPF, IS-IS, MACsec, BGP y VRRP en el dispositivo y reinicia el dispositivo, hay un retraso de tiempo (en segundos) para que el subsistema de enrutamiento/dot1x esté activo.

Tabla de historial de cambios

La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice Feature Explorer a fin de determinar si una función es compatible con la plataforma.

Liberación
Descripción
17.4R1
A partir de Junos OS versión 15.1X49-D120 y Junos OS versión 17.4R1, se actualizó el firmware del Módulo de plataforma segura (TPM). La versión de firmware actualizada proporciona criptografía segura adicional y mejora la seguridad. El firmware TPM actualizado está disponible junto con el paquete Junos OS. Para actualizar el firmware de TPM, consulte Actualización del firmware de TPM en dispositivos SRX. Para confirmar la versión del firmware de TPM, use el show security tpm status comando TPM Family y TPM Firmware version se introducen los campos de salida.
15.1X49-D50
A partir de Junos OS versión 15.1X49-D50, se introducen nuevos comandos de CLI para configurar una contraseña maestra del sistema a fin de proporcionar un cifrado más seguro para los secretos de configuración.