Erzwungener Modus für MID Server-FIPS

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 3 Minuten Lesedauer

    • Der MID Server unterstützt die IL-5-Umgebung der National Security Cloud (NSC), in der die gesamte verwendete Kryptografie FIPS-validiert werden muss. Der MID Server kann im erzwungenen FIPS-Modus ausgeführt werden, in dem nur kryptografische Algorithmen verwendet werden, die FIPS-validiert sind.

    Setup-Indikator für SicherheitsphaseSicherstellen, dass vom MID Server eine Verbindung zu Elementen inner- und außerhalb Ihres Netzwerks hergestellt werden kannMID Server auf einem Linux- oder Windows-Host herunterladen und installierenMID Server konfigurierenSicherheit des MID Servers konfigurierenSicherstellen, dass vom MID Server eine Verbindung zu Elementen inner- und außerhalb Ihres Netzwerks hergestellt werden kannMID Server auf einem Linux- oder Windows-Host herunterladen und installierenMID Server konfigurierenSicherheit des MID Servers konfigurieren

    Die Federal Information Processing Standards sind eine Gruppe von Standards, die vom National Institute of Standards and Technology zur Verwendung in Computersystemen zusammengestellt wurden. Es gibt viele FIPS-Veröffentlichungen, aber im Rahmen dieser Diskussion beziehen wir uns speziell auf FIPS 140-2: Sicherheitsanforderungen für kryptografische Module. Kryptografische Algorithmen können einen vom NIST angegebenen Validierungsprozess durchlaufen. Für die Zwecke unserer neuen sicheren Cloud-Umgebung verwendet der MID-Server Algorithmen, die durch einen solchen Prozess validiert wurden.

    Nur MID Server der Rome-Release-Familie oder höher mit einer JRE-Version von 11.0.9+11 oder höher können im erzwungenen FIPS-Modus ausgeführt werden.

    Erzwungener FIPS-Modus

    Die folgenden Algorithmen können vom MID Server im erzwungenen FIPS-Modus in diesen SSH-Funktionen nicht verwendet werden.

    Schlüsselaustausch:
    difie-hellman-group1-sha1
    Mac:
    • hmac-md5
    • hmac-md5-96

    Die folgenden Einschränkungen gelten jetzt für SNMP zur Verwendung durch den MID Server im erzwungenen FIPS-Modus.

    • SNMP v1 und v2 sind vollständig deaktiviert.
    • Für SNMP v3 werden die folgenden Protokollverwendungen vom MID Server im erzwungenen FIPS-Modus nicht zugelassen:
      • Auth-Protokoll: keines oder MD5
      • Datenschutzprotokoll: keines oder DES

    Andere Funktionen, die den MID Server nutzen, können betroffen sein, wenn sie im erzwungenen FIPS-Modus ausgeführt werden. Weitere Informationen finden Sie in der spezifischen Dokumentation dieser Funktionalität.

    Aktivieren Sie den erzwungenen Modus für MID Server-FIPS

    Der MID Server kann im erzwungenen FIPS-Modus ausgeführt werden, in dem nur kryptografische Algorithmen verwendet werden, die FIPS-validiert sind.

    Vorbereitungen

    Erforderliche Rolle: admin

    Prozedur

    1. Stellen Sie einen neuen MID Server bereit, oder aktualisieren Sie vorhandene MID Server auf den Familien-Release Rome oder höher.
    2. Fahren Sie den MID-Server herunter.
    3. Führen Sie das folgende gebündelte Skript aus, um den MID für die Ausführung im erzwungenen FIPS-Modus zu konvertieren:
      • Für Windows-Hosts: ><MID install directory> \agent\bin\scripts\set-fips-enforced-mode.bat auf
      • Für Linux-Hosts: $ <MID install directory> /agent/bin/scripts/set-fips-enforced-mode.sh auf
      Der Erfolg wird in der Konsole protokolliert, einschließlich des Speicherorts der geänderten Dateien und aller während des Konvertierungsvorgangs generierten Sicherungen. Bei programmgesteuertem Aufruf wird der Erfolg durch den Rückgabecode 0 angezeigt.
    4. Starten Sie den MID Server.

    Nächste Maßnahme

    Der Modus, in dem der MID ausgeführt wird, kann auf zwei Arten bestätigt werden:

    1. Überprüfen Sie die Agent-Protokolle nach dem Start, und suchen Sie nach der folgenden Protokollzeile: Wird im erzwungenen FIPS-Modus ausgeführt
    2. Überprüfen Sie die Tabelle ecc_agent in der Instanz, und suchen Sie nach dem Wert der booleschen Spalte „ FIPS erzwungen “.

    Konvertieren Sie den MID Server manuell in den erzwungenen FIPS-Modus

    Der MID Server kann im erzwungenen FIPS-Modus ausgeführt werden, in dem nur kryptografische Algorithmen verwendet werden, die FIPS-validiert sind.

    Vorbereitungen

    Erforderliche Rolle: admin

    Warum und wann dieser Vorgang ausgeführt wird

    Um den MID Server manuell in den erzwungenen FIPS-Modus zu konvertieren, während Sie eine externe JRE verwenden, müssen Sie die folgenden Schritte ausführen, während der MID Server heruntergefahren ist:

    • Konvertieren Sie den TrustStore der JRE in den Typ BCFKS.

    • Legen Sie den Standardschlüsselspeichertyp der JRE auf BCFKS fest.

    • Legen Sie die Kennzeichnung „FIPS – erzwungener Modus“ in der Konfigurationsdatei des MID Servers fest.

    Prozedur

    1. Konvertieren Sie den cacerts-Dateityp der JRE in BCFKS, indem Sie das Java Keytool mit einem Befehl ähnlich dem folgenden verwenden:
      $ keytool -importkeystore -srckeystore <source keystore path> -srcstoretype <source keystore type> -srcstorepass changeit -destkeystore<destination keystore path> -deststoretype BCFKS -deststorepass changeit -provider org.boundycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath<BouncyCastle FIPS jar path>
      Hinweis:
      Rome und spätere MID-Installationen enthalten ein für diesen Zweck geeignetes BouncyCastle-JAR. Sie finden sie unter: …/agent/lib/bc-fips.jar
    2. Der standardmäßige KeyStore-Typ der JRE kann in festgelegt werden<JRE installation directory> Datei \conf\security\java.security.
    3. Suchen Sie in dieser Datei die Zeile keystore.type, und legen Sie ihren Wert wie folgt fest: keystore.type=bcfks
    4. Entfernen Sie in der Datei …/agent/conf/wrapper-override.conf des MID Servers den Kommentar für die FIPS-Zeile, und legen Sie ihren Wert auf true fest.
      Die Zeile sollte lauten: wrapper.java.additional.106=-Dorg.boundycastle.fips.approved_only=true