Mode FIPS appliqué du MID Server

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 4 minutes de lecture

    • Le MID Server prend en charge l’environnement National Security Cloud (NSC) IL-5, qui nécessite que toute la cryptographie utilisée soit validée FIPS. Le MID Server peut être exécuté en mode FIPS appliqué, où seuls les algorithmes de chiffrement validés par FIPS sont utilisés.

    Indicateur de configuration pour la phase de sécuritéAssurez-vous que le MID Server peut se connecter à des éléments à l'intérieur et à l'extérieur de votre réseauTélécharger et installer le MID Server sur un hôte Linux ou WindowsConfigurer votre MID ServerConfigurer la sécurité du MID ServerAssurez-vous que le MID Server peut se connecter à des éléments à l'intérieur et à l'extérieur de votre réseauTélécharger et installer le MID Server sur un hôte Linux ou WindowsConfigurer votre MID ServerConfigurer la sécurité du MID Server

    Les normes fédérales de traitement de l’information sont un groupe de normes compilées par le National Institute of Standards and Technology pour une utilisation dans les systèmes informatiques. Il existe de nombreuses publications FIPS, mais pour les besoins de cette discussion, nous nous référons spécifiquement à FIPS 140-2 : Security Requirements for Cryptographic Modules. Les algorithmes cryptographiques peuvent passer par un processus de validation spécifié par le NIST. Pour les besoins de notre nouvel environnement cloud sécurisé, le MID Server utilisera des algorithmes qui ont été validés par ce processus.

    Seuls les MID Servers de la famille de version Rome ou d’une version ultérieure avec une version JRE 11.0.9+11 ou ultérieure peuvent être définis pour s’exécuter en mode FIPS appliqué.

    Mode FIPS appliqué

    Les algorithmes suivants ne sont pas disponibles pour être utilisés dans ces fonctions SSH par le MID Server en mode FIPS appliqué.

    Échange de clés :
    diffie-hellman-group1-sha1
    Mac:
    • HMAC-MD5
    • HMAC-MD5-96

    Les restrictions suivantes sont maintenant en place pour SNMP afin qu’il soit utilisé par le MID Server en mode FIPS appliqué.

    • SNMP v1 et v2 sont complètement désactivés.
    • Pour SNMP v3, les utilisations des protocoles suivants ne sont pas autorisées par le MID Server en mode FIPS appliqué :
      • protocole d’authentification : aucun ou MD5
      • protocole de confidentialité : aucun ou DES

    D’autres fonctionnalités qui utilisent le MID Server peuvent être impactées lorsqu’elles sont exécutées en mode FIPS appliqué. Consultez la documentation spécifique à cette fonctionnalité pour en savoir plus.

    Activer le mode FIPS appliqué du MID Server

    Le MID Server peut être exécuté en mode FIPS appliqué, où seuls les algorithmes de chiffrement validés par FIPS sont utilisés.

    Avant de commencer

    Rôle requis : admin

    Procédure

    1. Déployez un nouveau MID Server ou mettez à niveau les MID Servers existants vers la version de famille Rome ou une version ultérieure.
    2. Arrêtez le MID Server.
    3. Exécutez le script groupé suivant fourni pour convertir le MID Server afin qu’il s’exécute en mode FIPS appliqué :
      • Pour les hôtes Windows : > <répertoire d’installation MID>\agent\bin\scripts\set-fips-enforced-mode.bat activé
      • Pour les hôtes Linux : $ <répertoire d’installation MID>/agent/bin/scripts/set-fips-enforced-mode.sh sur
      La réussite sera enregistrée dans la console, y compris l’emplacement des fichiers modifiés et toutes les sauvegardes générées pendant le processus de conversion. S’il est invoqué par programmation, le succès sera indiqué par un code de retour 0.
    4. Démarrez le MID Server.

    Que faire ensuite

    Le mode d’exécution du MID peut être confirmé via deux méthodes :

    1. Vérifiez les journaux de l’agent après le démarrage et recherchez la ligne de journal suivante : En cours d’exécution en mode FIPS appliqué
    2. Vérifiez la table ecc_agent sur l’instance et recherchez la valeur de la colonne booléenne FIPS appliquée .

    Convertir manuellement le MID Server en mode FIPS appliqué

    Le MID Server peut être exécuté en mode FIPS appliqué, où seuls les algorithmes de chiffrement validés par FIPS sont utilisés.

    Avant de commencer

    Rôle requis : admin

    Pourquoi et quand exécuter cette tâche

    Pour convertir manuellement le MID Server en mode FIPS appliqué lors de l’utilisation d’un JRE externe, vous devez effectuer les étapes suivantes lorsque le MID Server est arrêté :

    • Convertissez le magasin de clés de confiance de JRE en type BCFKS.

    • Définissez le type de KeyStore par défaut du JRE sur BCFKS.

    • Définissez le marqueur du mode FIPS appliqué dans le fichier de configuration du MID Server.

    Procédure

    1. Convertissez le type de fichier cacerts de JRE en BCFKS à l’aide de l’outil Java Keytool avec une commande similaire à :
      $ keytool -importkeystore -srckeystore <source keystore path> -srcstoretype <source keystore type> -srcstorepass changeit -destkeystore &lt;chemin du keystore de destination> -deststoretype BCFKS -deststorepass changeit -provider org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath &lt;chemin d’accès au fichier JAR FIPS de BouncyCastle>
      Remarque :
      Rome et les installations MID ultérieures contiennent un bocal BouncyCastle adapté à cet effet. Il peut être trouvé à l’adresse suivante : .../agent/lib/bc-fips.jar
    2. Le type KeyStore par défaut du JRE peut être défini dans le fichier &lt;répertoire d’installation JRE>\conf\security\java.security .
    3. Dans ce fichier, recherchez la ligne keystore.type et définissez sa valeur comme suit : keystore.type=bcfks
    4. Dans le fichier .../agent/conf/wrapper-override.conf du MID Server, annulez le commentaire de la ligne FIPS et définissez sa valeur sur vrai.
      La ligne doit se lire comme suit : wrapper.java.additional.106=-Dorg.bouncycastle.fips.approved_only=true