Erzwungener FIPS-Modus des MID-Servers

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 3 Minuten Lesedauer

    • Der MID-Server unterstützt die National Security Cloud (NSC) IL-5-Umgebung, die erfordert, dass die gesamte verwendete Kryptografie FIPS-validiert ist. Der MID-Server kann im erzwungenen FIPS-Modus ausgeführt werden, in dem nur kryptografische Algorithmen verwendet werden, die von FIPS validiert wurden.

    Richten Sie den Indikator für die Sicherheitsphase einSicherstellen, dass vom MID Server eine Verbindung zu Elementen inner- und außerhalb Ihres Netzwerks hergestellt werden kannMID Server auf einem Linux- oder Windows-Host herunterladen und installierenMID Server konfigurierenSicherheit des MID Servers konfigurierenSicherstellen, dass vom MID Server eine Verbindung zu Elementen inner- und außerhalb Ihres Netzwerks hergestellt werden kannMID Server auf einem Linux- oder Windows-Host herunterladen und installierenMID Server konfigurierenSicherheit des MID Servers konfigurieren

    Die Federal Information Processing Standards sind eine Gruppe von Standards, die vom National Institute of Standards and Technology für die Verwendung in Computersystemen zusammengestellt wurden. Es gibt viele FIPS-Veröffentlichungen, aber im Rahmen dieser Diskussion beziehen wir uns speziell auf FIPS 140-2: Sicherheitsanforderungen für kryptografische Module. Kryptografische Algorithmen können einen vom NIST festgelegten Validierungsprozess durchlaufen. Für die Zwecke unserer neuen sicheren Cloud-Umgebung verwendet der MID-Server Algorithmen, die durch einen solchen Prozess validiert wurden.

    Nur MID-Server der Rome-Releasefamilie oder höher mit einer JRE-Version von 11.0.9+11 oder höher können für die Ausführung im erzwungenen FIPS-Modus festgelegt werden.

    Erzwungener FIPS-Modus

    Die folgenden Algorithmen sind für die Verwendung in diesen SSH-Funktionen durch den MID-Server im erzwungenen FIPS-Modus nicht verfügbar.

    Schlüsselaustausch:
    diffie-hellman-group1-sha1
    Mac:
    • hmac-md5
    • hmac-md5-96

    Die folgenden Einschränkungen gelten jetzt für SNMP zur Verwendung durch den MID-Server im erzwungenen FIPS-Modus.

    • SNMP v1 und v2 sind vollständig deaktiviert.
    • Für SNMP v3 werden die folgenden Protokollverwendungen vom MID-Server im erzwungenen FIPS-Modus nicht zugelassen:
      • Auth-Protokoll: keines oder MD5
      • Datenschutzprotokoll: Keines oder DES

    Andere Funktionen, die den MID-Server verwenden, können betroffen sein, wenn sie im erzwungenen FIPS-Modus ausgeführt werden. Weitere Informationen finden Sie in der spezifischen Dokumentation zu dieser Funktion.

    Aktivieren Sie den erzwungenen FIPS-Modus für MID-Server

    Der MID-Server kann im erzwungenen FIPS-Modus ausgeführt werden, in dem nur kryptografische Algorithmen verwendet werden, die von FIPS validiert wurden.

    Vorbereitungen

    Erforderliche Rolle: admin

    Prozedur

    1. Stellen Sie einen neuen MID-Server bereit, oder aktualisieren Sie vorhandene MID-Server auf das Rome-Familienrelease oder höher.
    2. Fahren Sie den MID Server herunter.
    3. Führen Sie das folgende bereitgestellte gebündelte Skript aus, um den MID für die Ausführung im erzwungenen FIPS-Modus zu konvertieren:
      • Für Windows-Hosts: ><MID install directory> \agent\bin\scripts\set-fips-enforced-mode.bat auf
      • Für Linux-Hosts: $ <MID install directory> /agent/bin/scripts/set-fips-enforced-mode.sh auf
      Der Erfolg wird in der Konsole protokolliert, einschließlich des Speicherorts der geänderten Dateien und aller während des Konvertierungsprozesses generierten Sicherungen. Bei programmgesteuertem Aufruf wird der Erfolg durch den Rückgabecode 0 angezeigt.
    4. Starten Sie den MID-Server.

    Nächste Maßnahme

    Der Modus, in dem der MID ausgeführt wird, kann auf zwei Arten überprüft werden:

    1. Überprüfen Sie die Agent-Protokolle nach dem Start, und suchen Sie nach der folgenden Protokollzeile: Wird im erzwungenen FIPS-Modus ausgeführt
    2. Überprüfen Sie die Tabelle ecc_agent in der Instanz, und suchen Sie nach dem Wert der booleschen Spalte „ FIPS erzwungen “.

    Konvertieren Sie den MID-Server manuell in den erzwungenen FIPS-Modus

    Der MID-Server kann im erzwungenen FIPS-Modus ausgeführt werden, in dem nur kryptografische Algorithmen verwendet werden, die FIPS-validiert sind.

    Vorbereitungen

    Erforderliche Rolle: admin

    Warum und wann dieser Vorgang ausgeführt wird

    Um den MID-Server manuell in den erzwungenen FIPS-Modus zu konvertieren, während Sie eine externe JRE verwenden, müssen Sie die folgenden Schritte ausführen, während der MID-Server heruntergefahren wird:

    • Konvertieren Sie den TrustStore der JRE in den Typ BCFKS.

    • Legen Sie den Standard-KeyStore-Typ der JRE auf BCFKS fest.

    • Legen Sie die Kennzeichnung „Erzwungener FIPS-Modus“ in der Konfigurationsdatei des MID-Servers fest.

    Prozedur

    1. Konvertieren Sie den Dateityp „cacerts“ der JRE in BCFKS, indem Sie das Java-Keytool mit einem ähnlichen Befehl wie dem folgenden verwenden:
      $ keytool -importkeystore -srckeystore <source keystore path> -srcstoretype <source keystore type> -srcstorepass changeit -destkeystore<destination keystore path> -deststoretype BCFKS -deststorepass changeit -provider org.boundcycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath<BouncyCastle FIPS jar path>
      Hinweis:
      Rome- und spätere MID-Installationen enthalten ein für diesen Zweck geeignetes BouncyCastle-Jar. Sie finden sie unter: …/agent/lib/bc-fips.jar
    2. Der KeyStore-Standardtyp der JRE kann in festgelegt werden<JRE installation directory> \conf\security\java.security
    3. Suchen Sie in dieser Datei nach der Zeile keystore.type, und legen Sie ihren Wert wie folgt fest: keystore.type=bcfks
    4. Heben Sie in der Datei …/agent/conf/wrapper-override.conf des MID-Servers das Kommentarfeld für die FIPS-Zeile auf, und legen Sie den Wert auf „true“ fest.
      Die Zeile muss lauten: Wrapper.java.additional.106=-Dorg.boundcycastle.fips.approved_only=wahr