Mode FIPS appliqué du serveur MID

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 4 minutes de lecture

    • Le MID Server prend en charge l’environnement National Security Cloud (NSC) IL-5, qui nécessite que toute la cryptographie utilisée soit validée FIPS. Le serveur MID peut être exécuté en mode FIPS appliqué, où seuls les algorithmes de chiffrement validés par FIPS sont utilisés.

    Indicateur de configuration pour la phase de sécuritéAssurez-vous que le MID Server peut se connecter à des éléments à l'intérieur et à l'extérieur de votre réseauTélécharger et installer le MID Server sur un hôte Linux ou WindowsConfigurer votre MID ServerConfigurer la sécurité du MID ServerAssurez-vous que le MID Server peut se connecter à des éléments à l'intérieur et à l'extérieur de votre réseauTélécharger et installer le MID Server sur un hôte Linux ou WindowsConfigurer votre MID ServerConfigurer la sécurité du MID Server

    Les normes fédérales de traitement de l’information sont un groupe de normes compilées par le National Institute of Standards and Technology pour une utilisation dans les systèmes informatiques. Il existe de nombreuses publications de la FIPS, mais pour les besoins de cette discussion, nous nous référons spécifiquement à la norme FIPS 140-2 : Exigences de sécurité pour les modules cryptographiques. Les algorithmes cryptographiques peuvent passer par un processus de validation spécifié par le NIST. Dans le cadre de notre nouvel environnement infonuagique sécurisé, le MID Server utilisera des algorithmes qui auront été validés par un tel processus.

    Seuls les MID Server de la famille de versions Rome ou ultérieure avec une version JRE 11.0.9+11 ou ultérieure peuvent être définis pour s’exécuter en mode FIPS appliqué.

    Mode FIPS appliqué

    Les algorithmes suivants ne sont pas disponibles pour être utilisés dans ces fonctions SSH par le MID Server en mode FIPS appliqué.

    Échange de clés :
    diffie-hellman-group1-sha1
    Mac:
    • HMAC-MD5
    • HMAC-MD5-96

    Les restrictions suivantes sont désormais en place pour une utilisation de SNMP par le MID Server en mode FIPS appliqué.

    • SNMP v1 et v2 sont complètement désactivés.
    • Pour SNMP v3, les utilisations de protocoles suivantes ne sont pas autorisées par le MID Server en mode FIPS appliqué :
      • protocole d’authentification : aucun ou MD5
      • protocole de confidentialité : aucun ou DES

    D’autres fonctionnalités qui utilisent le serveur MID peuvent être impactées lorsqu’elles sont exécutées en mode FIPS appliqué. Veuillez vous référer à la documentation spécifique à cette fonctionnalité pour plus d’informations.

    Activer le mode FIPS appliqué du serveur MID

    Le serveur MID peut être exécuté en mode FIPS appliqué, où seuls les algorithmes de chiffrement validés par FIPS sont utilisés.

    Avant de commencer

    Rôle requis : administrateur

    Procédure

    1. Déployez un nouveau serveur MID ou mettez à niveau les serveurs MID existants vers la version de famille Rome ou une version ultérieure.
    2. Arrêtez le MID Server.
    3. Exécutez le script groupé suivant fourni pour convertir le MID Server afin qu’il s’exécute en mode FIPS appliqué :
      • Pour les hôtes Windows : > <répertoire d’installation MID>\agent\bin\scripts\set-fips-enforced-mode.bat sur
      • Pour les hôtes Linux : $ <répertoire d’installation MID>/agent/bin/scripts/set-fips-enforced-mode.sh on
      La réussite sera enregistrée dans la console, y compris l’emplacement des fichiers modifiés et toutes les sauvegardes générées pendant le processus de conversion. En cas d’invocation par programmation, la réussite est indiquée par un code de retour 0.
    4. Démarrez le MID Server.

    Que faire ensuite

    Le mode d’exécution du MID peut être confirmé via deux méthodes :

    1. Vérifiez les journaux de l’agent après le démarrage et recherchez la ligne de journal suivante : En cours d’exécution en mode FIPS appliqué
    2. Vérifiez la table ecc_agent sur l’instance et recherchez la valeur de la colonne booléenne FIPS appliquée .

    Convertir manuellement le serveur MID en mode FIPS appliqué

    Le serveur MID peut être exécuté en mode FIPS appliqué, où seuls des algorithmes de chiffrement validés par FIPS sont utilisés.

    Avant de commencer

    Rôle requis : administrateur

    Pourquoi et quand exécuter cette tâche

    Pour convertir manuellement le serveur MID en mode FIPS appliqué lors de l’utilisation d’un environnement JRE externe, vous devez effectuer les étapes suivantes lorsque le serveur MID est arrêté :

    • Convertissez le TrustStore de l’ERE en type BCFKS.

    • Définissez le type de magasin de clés par défaut de l’environnement JRE sur BCFKS.

    • Définissez le marqueur du mode FIPS appliqué dans le fichier de configuration du serveur MID.

    Procédure

    1. Convertissez le type de fichier cacerts de JRE en BCFKS à l’aide de l’outil Java Keytool avec une commande similaire à :
      $ keytool -importkeystore -srckeystore <source keystore path> -srcstoretype <source keystore type> -srcstorepass changeit -destkeystore <chemin d’accès au keystore de destination> -deststoretype BCFKS -deststorepass changeit -provider org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath <chemin d’accès au jar FIPS de BouncyCastle>
      Remarque :
      Rome et les installations MID ultérieures contiennent un bocal BouncyCastle adapté à cet effet. Il peut être consulté à l’adresse suivante : .../agent/lib/bc-fips.jar
    2. Le type de magasin de clés par défaut du JRE peut être défini dans le fichier <répertoire d’installation JRE>\conf\security\java.security .
    3. Dans ce fichier, recherchez la ligne keystore.type et définissez sa valeur comme suit : keystore.type=bcfks
    4. Dans le fichier .../agent/conf/wrapper-override.conf du serveur MID, décommentez la ligne FIPS et définissez sa valeur sur vrai.
      La ligne doit se lire comme suit : wrapper.java.additional.106=-Dorg.bouncycastle.fips.approved_only=true