20-FIPS配置
本章节下载: 20-FIPS配置 (167.89 KB)
FIPS(Federal Information Processing Standards,联邦信息处理标准)140-2 是NIST(National Institute of Standard and Technology,美国标准与技术研究所)颁布的针对密码算法安全的一个标准,它规定了一个安全系统中的密码模块应该满足的安全性要求。FIPS 140-2定义了四个安全级别:Level 1、Level 2、Level 3和Level 4,它们安全级别依次递增,可广泛适应于密码模块的各种应用环境。目前,设备支持Level 2。
若无特殊说明,文中的FIPS即表示FIPS 140-2。
FIPS模式处于使能状态之后,为确保密码模块的功能正常运行,系统会进行一定的自检处理,具体包括启动自检和条件自检。启动自检或条件自检失败后,设备均会自动重启。
如果出现反复自检失败重启的状况,有可能是设备内部的软件或者设备本身硬件损坏,需要更新软件或对设备硬件进行维修,请联系用服工程师解决。
启动自检是在设备启动过程中对FIPS允许使用的密码算法进行的自检。启动自检也称为已知结果的自检,即使用密码算法对已知的密钥和明文进行运算,如果运算结果与已知结果相同,则表示该算法的启动自检通过,否则表示自检失败。
条件自检是在非对称密码模块和随机数生成模块被使用时进行的自检,具体包括以下两种测试:
· 密钥对有效性测试:生成DSA/RSA非对称密钥对时进行的自检,具体为,首先使用公钥加密任意一段明文,然后使用对应的私钥对生成的密文进行解密,如果解密成功,则表示自检通过,否则自检失败。
· 随机数连续性测试:生成随机数的过程中进行的自检,如果前后两次生成的随机数不同,则表示自检通过,否则自检失败。该自检过程在FIPS模式下任何调用随机数的情况下进行。
设备运行过程当中,当用户或管理员需要确认当前系统中的密码模块是否正常工作时,可以通过执行命令行来手工触发系统进行密码算法自检工作。手工触发的密码算法自检内容与设备启动时自动进行的启动自检(Power-up Self-tests)内容相同。该自检失败后,设备会自动重启。
配置FIPS的基本配置思路如下:
(1) 需要手工删除原有的密钥对,证书等。
(2) 使能FIPS功能;
(3) 使能Password-control功能;
(4) 配置设备的本地用户相关属性(包括本地用户名,服务类型和密码等)
(5) 保存配置
完成上述配置并重启动设备以后,设备进入FIPS模式,设备运行于支持FIPS 140-2标准的工作模式下。在CC认证中,进入FIPS模式后,同时相当于设备运行于支持CC标准的工作模式下。
设备不支持从非FIPS版本升级到FIPS版本。
表1-1 使能FIPS模式
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
使能FIPS模式 |
fips mode enable |
必选 缺省情况下,FIPS模式处于关闭状态 |
· 设备FIPS模式的切换,除执行相应命令(fips mode enable或undo fips mode enable),还需要重启设备才能生效。如果在IRF环境下切换FIPS模式,需要重启整个IRF后才能生效。
· 切换到FIPS模式后,原非FIPS模式下Telnet类型的本地用户将无法登录设备。
· FIPS模式下,为保证用户正常登录,请不要执行undo password-control enable命令。
进入FIPS模式后,设备上的以下功能将发生变化
· FTP/TFTP功能被禁用。
· Telnet功能被禁用。
· HTTP服务器功能被禁用。
· 集群功能被禁用。
· SNMP v1和SNMP v2c版本的SNMP功能被禁用,只允许使用SNMP v3版本。
· SSL服务器只支持TLS1.0协议。
· SSH服务器不兼容SSHv1客户端。
· SSH只支持RSA。
· RSA只支持2048位的密钥对,DSA支持至少1024位的密钥对。
· SSH、SNMPv3、IPsec和SSL不支持DES、3DES、RC4、MD5算法。
手工触发密码算法自检配置
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
手工触发密码算法自检 |
fips self-test |
必选 |
在完成上述配置后,在任意视图下执行display命令可以显示配置后FIPS模式的状态,通过查看显示信息验证配置的效果。
表1-2 FIPS的显示和维护
操作 |
命令 |
显示FIPS模式的状态 |
display fips status |
· PC通过Console口与Switch相连。
· 通过配置Switch,使终端PC成功登录交换机,并进入设备的FIPS模式。
a. 进入设备FIPS模式登录组网图
# 配置FIPS模式。
<Sysname> system-view
[Sysname] fips mode enable
FIPS mode change requires a device reboot. Continue?[Y/N]:y
Change the configuration to meet FIPS mode requirements, save the configuration to the next-startup configuration file, and then reboot to enter FIPS mode.
# 开启密码管理功能。
[Sysname] password-control enable
# 在设备上添加一个本地用户test,服务类型为终端用户类型,用户级别为3级,并设置其认证密码为AAbbcc1234%(密码要包含大小写字母,数字和特殊符号组成,并且默认最短为10位)。
[Sysname] local-user test
[Sysname-luser-test] service-type terminal
[Sysname-luser-test] authorization-attribute level 3
[Sysname-luser-test] password
Password:***********
Confirm :***********
Updating user(s) information, please wait...........
[Sysname-luser-test] quit
设置本地用户的密码时,请采用交互式方式进行设置,即本地用户视图下输入“passowrd”回车后,在提示信息下输入相应密码。
# 保存配置。
[Sysname] save
The current configuration will be written to the device. Are you sure? [Y/N]:y
Please input the file name(*.cfg)[flash:/startup.cfg]
(To leave the existing filename unchanged, press the enter key):
flash:/startup.cfg exists, overwrite? [Y/N]:y
Validating file. Please wait..........................
Saved the current configuration to mainboard device successfully.
Configuration is saved to device successfully.
[Sysname] quit
# 重启设备。
<Sysname> reboot
重启设备后,输入用户名(test)密码(AAbbcc1234%),提示首次登录成功,请用户输入新密码(新密码和老密码必须至少四个字符不同)并确认后,成功登录设备。
User interface aux0 is available.
Please press ENTER.
Login authentication
Username:test
Password:
Info: First logged in. For security reasons you will need to change your password.
Please enter your new password.
Password:**********
Confirm :**********
Updating user(s) information, please wait...........
<Sysname>
显示当前FIPS模式状态,可见设备工作在FIPS模式下。
<Sysname> display fips status
FIPS mode is enabled
如果配置FIPS模式之前未配置本地用户名或密码,只能通过忽略配置文件重启或删除配置文件后重新启动设备,设备恢复到非FIPS模式启动。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!