Erzwungener MID-Server-FIPS-Modus

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 3 Minuten Lesedauer

    • Der MID-Server unterstützt die IL-5-Umgebung (National Security Cloud, NSC), die eine FIPS-Validierung aller verwendeten Kryptografie erfordert. Der MID-Server kann im erzwungenen FIPS-Modus ausgeführt werden, in dem nur kryptografische Algorithmen verwendet werden, die FIPS validiert sind.

    Richten Sie den Indikator für die Sicherheitsphase einStellen Sie sicher, dass der MID-Server eine Verbindung zu Elementen innerhalb und außerhalb Ihres Netzwerks herstellen kannLaden Sie den MID-Server herunter, und installieren Sie ihn auf einem Linux- oder Windows-HostKonfigurieren Sie Ihren MID-ServerKonfigurieren Sie die MID-ServersicherheitStellen Sie sicher, dass der MID-Server eine Verbindung zu Elementen innerhalb und außerhalb Ihres Netzwerks herstellen kannLaden Sie den MID-Server herunter, und installieren Sie ihn auf einem Linux- oder Windows-HostKonfigurieren Sie Ihren MID-ServerKonfigurieren Sie die MID-Serversicherheit

    Die Bundesinformationsverarbeitungsstandards sind eine Gruppe von Standards, die vom National Institute of Standards and Technology für die Verwendung in Computersystemen zusammengestellt werden. Es gibt viele FIPS-Veröffentlichungen, aber aus Gründen dieser Diskussion beziehen wir uns speziell auf diese FIPS 140-2: Sicherheitsanforderungen für kryptografische Module . Kryptografische Algorithmen können einen vom NIST angegebenen Validierungsprozess durchlaufen. Für die Zwecke unserer neuen sicheren Cloud-Umgebung verwendet der MID-Server Algorithmen, die von einem solchen Prozess validiert wurden.

    Nur MID-Server der Rom-Releasefamilie oder höher mit einer JRE-Version von 11.0,9+11 oder höher können so festgelegt werden, dass sie im erzwungenen FIPS-Modus ausgeführt werden.

    Erzwungener FIPS-Modus

    Die folgenden Algorithmen sind nicht für die Verwendung in diesen SSH-Funktionen durch den MID-Server im erzwungenen FIPS-Modus verfügbar.

    Schlüsselaustausch:
    diffie-hellman-group1-sha1
    Mac:
    • hmac-md5
    • hmac-md5-96

    Die folgenden Einschränkungen gelten jetzt für SNMP zur Verwendung durch den MID-Server im erzwungenen FIPS-Modus.

    • SNMP v1 und v2 sind vollständig deaktiviert.
    • Für SNMP v3 sind die folgenden Protokollverwendungen vom MID-Server im erzwungenen FIPS-Modus nicht zulässig:
      • Authentifizierungsprotokoll: Keine oder MD5
      • Datenschutzprotokoll: Keine oder DES

    Andere Funktionen, die den MID-Server verwenden, können betroffen sein, wenn sie im erzwungenen FIPS-Modus ausgeführt werden. Weitere Informationen finden Sie in der spezifischen Dokumentation dieser Funktionalität.

    Aktivieren Sie den erzwungenen MID-Server-FIPS-Modus

    Der MID-Server kann im erzwungenen FIPS-Modus ausgeführt werden, in dem nur kryptografische Algorithmen verwendet werden, die FIPS validiert sind.

    Vorbereitungen

    Erforderliche Rolle: Administrator

    Prozedur

    1. Stellen Sie einen neuen MID-Server bereit, oder aktualisieren Sie vorhandene MID-Server auf das Release der Rom-Familie oder höher.
    2. Fahren Sie den MID-Server herunter.
    3. Führen Sie das folgende gebündelte Skript aus, das bereitgestellt wird, um den MID so zu konvertieren, dass er im erzwungenen FIPS-Modus ausgeführt wird:
      • Für Windows-Hosts: > <MID-Installationsverzeichnis>\Agent\bin\scripts\set-fips-enforced-mode.bat auf
      • Für Linux-Hosts: $ <MID-Installationsverzeichnis>/Agent/bin/scripts/set-fips-enforced-mode.sh auf
      Erfolg wird in der Konsole protokolliert, einschließlich des Speicherorts der geänderten Dateien und aller während des Konvertierungsprozesses generierten Sicherungen. Wenn programmgesteuert aufgerufen, wird der Erfolg durch einen 0-Rückgabecode angezeigt.
    4. Starten Sie den MID-Server.

    Nächste Maßnahme

    Der Modus, in dem der MID ausgeführt wird, kann mit zwei Methoden bestätigt werden:

    1. Überprüfen Sie die Agenten-Protokolle nach dem Start, und suchen Sie nach der folgenden Protokollzeile: Wird im erzwungenen FIPS-Modus ausgeführt
    2. Überprüfen Sie die Tabelle „ecc_Agent“ in der Instanz, und suchen Sie nach dem Wert von FIPS erzwungen boolesche Spalte.

    Konvertieren Sie den MID-Server manuell in den erzwungenen FIPS-Modus

    Der MID-Server kann im erzwungenen FIPS-Modus ausgeführt werden, in dem nur kryptografische Algorithmen verwendet werden, die FIPS-validiert sind.

    Vorbereitungen

    Erforderliche Rolle: Administrator

    Warum und wann dieser Vorgang ausgeführt wird

    Um den MID-Server bei Verwendung einer externen JRE manuell in den erzwungenen FIPS-Modus zu konvertieren, müssen Sie die folgenden Schritte ausführen, während der MID-Server heruntergefahren wird:

    • Konvertieren Sie den TrustStore der JRE in den BCFKS-Typ.

    • Legen Sie den standardmäßigen Schlüsselspeichertyp der JRE auf BCFKS fest.

    • Legen Sie die Kennzeichnung für erzwungenen FIPS-Modus in der Konfigurationsdatei des MID-Servers fest.

    Prozedur

    1. Konvertieren Sie den Cacerts-Dateityp der JRE in BCFKS, indem Sie verwenden Java-Schlüsseltool Mit einem Befehl ähnlich wie:
      $ keytool -importkeystore -srckeystore <source keystore path>-Srcstoretype <source keystore type>-Srcstorepass changeit -destkeystore <Zielschlüsselspeicherpfad> -Deststoretype BCFKS -deststorepass changeit -Provider org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath <BouncyCastle-FIPS-JAR-Pfad>
      Hinweis:
      MID-Installationen in Rom und später enthalten ein BouncyCastle-JAR, das für diesen Zweck geeignet ist. Sie finden Sie unter: …/Agent/lib/bc-fips.jar
    2. Der standardmäßige Schlüsselspeichertyp der JRE kann in festgelegt werden <JRE-Installationsverzeichnis>\conf\Security\java.security Datei.
    3. Suchen Sie in dieser Datei nach Schlüsselspeicher.Typ Zeile und legen Sie ihren Wert wie folgt fest: Keystore.type=bcfks
    4. Auf den MID-Servern …/Agent/conf/Wrapper-override.conf Datei, heben Sie den Kommentar der FIPS-Zeile auf, und legen Sie ihren Wert auf „wahr“ fest.
      Die Zeile muss lauten: Wrapper.Java.additional.106=-Dorg.bouncycastle.fips.approved_only=wahr