Mode FIPS appliqué du Serveur MID

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 4 minutes de lecture

    • Le serveur MID prend en charge l’environnement NSC (National Security Cloud) IL-5, qui nécessite que toute la cryptographie utilisée soit validée par FIPS. Le serveur MID peut être exécuté en mode FIPS appliqué, où seuls les algorithmes de chiffrement validés par FIPS sont utilisés.

    Indicateur de configuration pour la phase de sécuritéAssurez-vous que le MID Server peut se connecter à des éléments à l'intérieur et à l'extérieur de votre réseauTélécharger et installer le MID Server sur un hôte Linux ou WindowsConfigurer votre MID ServerConfigurer la sécurité du MID ServerAssurez-vous que le MID Server peut se connecter à des éléments à l'intérieur et à l'extérieur de votre réseauTélécharger et installer le MID Server sur un hôte Linux ou WindowsConfigurer votre MID ServerConfigurer la sécurité du MID Server

    Les normes fédérales de traitement de l’information sont un groupe de normes compilées par le National Institute of Standards and Technology pour une utilisation dans les systèmes informatiques. Il existe de nombreuses publications FIPS, mais pour les besoins de cette discussion, nous nous référons spécifiquement à FIPS 140-2 : Exigences de sécurité pour les modules cryptographiques. Les algorithmes cryptographiques peuvent passer par un processus de validation spécifié par le NIST. Pour les besoins de notre nouvel environnement cloud sécurisé, le serveur MID utilisera des algorithmes qui ont été validés par ce processus.

    Seuls les serveurs MID de la famille de version Rome ou ultérieure avec une version JRE de 11.0.9+11 ou ultérieure peuvent être configurés pour s’exécuter en mode FIPS appliqué.

    Mode FIPS appliqué

    Les algorithmes suivants ne sont pas disponibles pour être utilisés dans ces fonctions SSH par le Serveur MID en mode FIPS appliqué.

    Échange de clés :
    Diffie-Hellman-Groupe1-SHA1
    Mac:
    • hmac-md5
    • HMAC-MD5-96

    Les restrictions suivantes sont désormais en place pour SNMP afin une utilisation par le serveur MID en mode FIPS appliqué.

    • SNMP v1 et v2 sont complètement désactivés.
    • Pour SNMP v3, les utilisations du protocole suivant ne sont pas autorisées par le Serveur MID en mode FIPS appliqué :
      • Protocole d’authentification : Aucun ou MD5
      • Protocole de confidentialité : aucun ou DES

    Les autres fonctionnalités qui utilisent le serveur MID peuvent être impactées lorsqu’elles sont exécutées en mode FIPS appliqué. Consultez la documentation spécifique à cette fonctionnalité pour plus d’informations.

    Activer le mode FIPS appliqué du Serveur MID

    Le serveur MID peut être exécuté en mode FIPS appliqué, où seuls les algorithmes de chiffrement validés par FIPS sont utilisés.

    Avant de commencer

    Rôle requis : admin

    Procédure

    1. Déployez un nouveau serveur MID ou mettez à niveau des serveurs MID existants vers la version Rome ou une version ultérieure.
    2. Arrêtez le Serveur MID.
    3. Exécutez le script groupé suivant fourni pour convertir le MID afin qu’il s’exécute en mode FIPS appliqué :
      • Pour les hôtes Windows : > <Répertoire d’installation MID>\agent\bin\scripts\set-fips-enforced-mode.bat sur
      • Pour les hôtes Linux : $ <répertoire d’installation MID>/agent/bin/scripts/set-fips-enforced-mode.sh sur
      La réussite sera enregistrée dans la console, y compris l’emplacement des fichiers modifiés et toutes les sauvegardes générées pendant le processus de conversion. S’il est invoqué par programmation, la réussite est indiquée par un code de retour de 0.
    4. Démarrez le Serveur MID.

    Que faire ensuite

    Le mode d’exécution du MID peut être confirmé via deux méthodes :

    1. Vérifiez les journaux de l’agent après le démarrage et recherchez la ligne de journal suivante : Exécution en mode FIPS appliqué
    2. Vérifiez la table ecc_agent sur l’instance et recherchez la valeur de la colonne booléenne FIPS appliqué .

    Conversion manuelle du serveur MID en mode FIPS appliqué

    Le serveur MID peut être exécuté en mode FIPS appliqué, où seuls des algorithmes de chiffrement validés par FIPS sont utilisés.

    Avant de commencer

    Rôle requis : admin

    Pourquoi et quand exécuter cette tâche

    Pour convertir manuellement le serveur MID en mode FIPS appliqué tout en utilisant un environnement JRE externe, vous devez effectuer les étapes suivantes lorsque le serveur MID est arrêté :

    • Convertir le TrustStore de JRE en type BCFKS.

    • Définissez le type de magasin de clés par défaut de JRE sur BCFKS.

    • Définissez le marqueur Mode appliqué FIPS dans le fichier de configuration du Serveur MID.

    Procédure

    1. Convertissez le type de fichier cacerts de JRE en BCFKS à l’aide du Java Keytool avec une commande similaire à :
      $ keytool -importkeystore -srckeystore <source keystore path> -srcstoretype <source keystore type> -srcstorepass changeit -destkeystore <chemin d’accès du keystore de destination> -deststoretype BCFKS -deststorepass changeit -provider org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath <chemin d’accès du fichier jar FIPS BouncyCastle>
      Remarque :
      Les installations de Rome et des MID ultérieures contiennent un bocal BouncyCastle adapté à cet effet. Il peut être trouvé à l’adresse suivante : .../agent/lib/bc-fips.jar
    2. Le type de magasin de clés par défaut de l’environnement JRE peut être défini dans le fichier <répertoire d’installation JRE>\conf\security\java.security .
    3. Dans ce fichier, recherchez la ligne keystore.type et définissez sa valeur comme suit : keystore.type=bcfks
    4. Dans le fichier .../agent/conf/wrapper-override.conf du Serveur MID, décommentez la ligne FIPS et définissez sa valeur sur vrai.
      La ligne doit se lire comme suit : wrapper.java.additional.106=-Dorg.bouncycastle.fips.approved_only=true