- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
20-FIPS配置
本章節下載: 20-FIPS配置 (177.56 KB)
FIPS(Federal Information Processing Standards,聯邦信息處理標準)140-2 是NIST(National Institute of Standard and Technology,美國標準與技術研究所)頒布的針對密碼算法安全的一個標準,它規定了一個安全係統中的密碼模塊應該滿足的安全性要求。FIPS 140-2定義了四個安全級別:Level 1、Level 2、Level 3和Level 4,它們安全級別依次遞增,可廣泛適應於密碼模塊的各種應用環境。目前,設備支持Level 2。
若無特殊說明,文中的FIPS即表示FIPS 140-2。
FIPS模式處於使能狀態之後,為確保密碼模塊的功能正常運行,係統會進行一定的自檢處理,具體包括啟動自檢和條件自檢。啟動自檢或條件自檢失敗後,設備均會自動重啟。
如果出現反複自檢失敗重啟的狀況,有可能是設備內部的軟件或者設備本身硬件損壞,需要更新軟件或對設備硬件進行維修,請聯係用服工程師解決。
啟動自檢是在設備啟動過程中對FIPS允許使用的密碼算法進行的自檢。啟動自檢也稱為已知結果的自檢,即使用密碼算法對已知的密鑰和明文進行運算,如果運算結果與已知結果相同,則表示該算法的啟動自檢通過,否則表示自檢失敗。
條件自檢是在非對稱密碼模塊和隨機數生成模塊被使用時進行的自檢,具體包括以下兩種測試:
· 密鑰對有效性測試:生成DSA/RSA非對稱密鑰對時進行的自檢,具體為,首先使用公鑰加密任意一段明文,然後使用對應的私鑰對生成的密文進行解密,如果解密成功,則表示自檢通過,否則自檢失敗。
· 隨機數連續性測試:生成隨機數的過程中進行的自檢,如果前後兩次生成的隨機數不同,則表示自檢通過,否則自檢失敗。該自檢過程在FIPS模式下任何調用隨機數的情況下進行。
設備運行過程當中,當用戶或管理員需要確認當前係統中的密碼模塊是否正常工作時,可以通過執行命令行來手工觸發係統進行密碼算法自檢工作。手工觸發的密碼算法自檢內容與設備啟動時自動進行的啟動自檢(Power-up Self-tests)內容相同。該自檢失敗後,設備會自動重啟。
配置FIPS的基本配置思路如下:
(1) 需要手工刪除原有的密鑰對,證書等。
(2) 使能FIPS功能;
(3) 使能Password-control功能;
(4) 配置設備的本地用戶相關屬性(包括本地用戶名,服務類型和密碼等)
(5) 保存配置
完成上述配置並重啟動設備以後,設備進入FIPS模式,設備運行於支持FIPS 140-2標準的工作模式下。在CC認證中,進入FIPS模式後,同時相當於設備運行於支持CC標準的工作模式下。
設備不支持從非FIPS版本升級到FIPS版本。
表1-1 使能FIPS模式
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
使能FIPS模式 |
fips mode enable |
必選 缺省情況下,FIPS模式處於關閉狀態 |
· 設備FIPS模式的切換,除執行相應命令(fips mode enable或undo fips mode enable),還需要重啟設備才能生效。如果在IRF環境下切換FIPS模式,需要重啟整個IRF後才能生效。
· 切換到FIPS模式後,原非FIPS模式下Telnet類型的本地用戶將無法登錄設備。
· FIPS模式下,為保證用戶正常登錄,請不要執行undo password-control enable命令。
進入FIPS模式後,設備上的以下功能將發生變化
· FTP/TFTP功能被禁用。
· Telnet功能被禁用。
· HTTP服務器功能被禁用。
· 集群功能被禁用。
· SNMP v1和SNMP v2c版本的SNMP功能被禁用,隻允許使用SNMP v3版本。
· SSL服務器隻支持TLS1.0協議。
· SSH服務器不兼容SSHv1客戶端。
· SSH隻支持RSA。
· RSA隻支持2048位的密鑰對,DSA支持至少1024位的密鑰對。
· SSH、SNMPv3、IPsec和SSL不支持DES、3DES、RC4、MD5算法。
手工觸發密碼算法自檢配置
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
手工觸發密碼算法自檢 |
fips self-test |
必選 |
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後FIPS模式的狀態,通過查看顯示信息驗證配置的效果。
表1-2 FIPS的顯示和維護
|
命令 |
|
|
顯示FIPS模式的狀態 |
display fips status |
· PC通過Console口與Switch相連。
· 通過配置Switch,使終端PC成功登錄交換機,並進入設備的FIPS模式。
a. 進入設備FIPS模式登錄組網圖
# 配置FIPS模式。
<Sysname> system-view
[Sysname] fips mode enable
FIPS mode change requires a device reboot. Continue?[Y/N]:y
Change the configuration to meet FIPS mode requirements, save the configuration to the next-startup configuration file, and then reboot to enter FIPS mode.
# 開啟密碼管理功能。
[Sysname] password-control enable
# 在設備上添加一個本地用戶test,服務類型為終端用戶類型,用戶級別為3級,並設置其認證密碼為AAbbcc1234%(密碼要包含大小寫字母,數字和特殊符號組成,並且默認最短為10位)。
[Sysname] local-user test
[Sysname-luser-test] service-type terminal
[Sysname-luser-test] authorization-attribute level 3
[Sysname-luser-test] password
Password:***********
Confirm :***********
Updating user(s) information, please wait...........
[Sysname-luser-test] quit
設置本地用戶的密碼時,請采用交互式方式進行設置,即本地用戶視圖下輸入“passowrd”回車後,在提示信息下輸入相應密碼。
# 保存配置。
[Sysname] save
The current configuration will be written to the device. Are you sure? [Y/N]:y
Please input the file name(*.cfg)[flash:/startup.cfg]
(To leave the existing filename unchanged, press the enter key):
flash:/startup.cfg exists, overwrite? [Y/N]:y
Validating file. Please wait..........................
Saved the current configuration to mainboard device successfully.
Configuration is saved to device successfully.
[Sysname] quit
# 重啟設備。
<Sysname> reboot
重啟設備後,輸入用戶名(test)密碼(AAbbcc1234%),提示首次登錄成功,請用戶輸入新密碼(新密碼和老密碼必須至少四個字符不同)並確認後,成功登錄設備。
User interface aux0 is available.
Please press ENTER.
Login authentication
Username:test
Password:
Info: First logged in. For security reasons you will need to change your password.
Please enter your new password.
Password:**********
Confirm :**********
Updating user(s) information, please wait...........
<Sysname>
顯示當前FIPS模式狀態,可見設備工作在FIPS模式下。
<Sysname> display fips status
FIPS mode is enabled
如果配置FIPS模式之前未配置本地用戶名或密碼,隻能通過忽略配置文件重啟或刪除配置文件後重新啟動設備,設備恢複到非FIPS模式啟動。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
