Домен даних - Конфігурація та практичні поради щодо FIPS
Summary: Файлова система DD, SMS, служба Apache HTTP, клієнт LDAP і фонова служба SSH використовують алгоритми, сумісні з FIPS 140-2 увімкнено.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Для входу в систему з увімкненим FIPS у системі захисту або екземплярі DDVE за допомогою SSH мінімально підтримуваною версією SSH є OpenSSH v5.9p1.
Увімкнення авторизації
системи безпеки За допомогою інтерфейсу командного рядка можна вмикати та вимикати політику авторизації безпеки.
Про це завдання
ПРИМІТКА: Необхідно встановити ліцензію DD Retention Lock Compliance (Відповідність вимогам DD). Забороняється відключати політику авторизації в системах відповідності DD Retention Lock.
Кроки
1. Увійдіть до CLI, використовуючи логін і пароль співробітника служби безпеки.
2. Щоб увімкнути політику авторизації співробітника служби безпеки, введіть: #
Наступні команди завжди вимагають авторизації співробітника служби безпеки:
FIPS Кнопка режиму FIPS дає змогу вмикати або вимикати режим відповідності стандарту FIPS 140-2.
Кроки
1. Виберіть Налаштування адміністрування > .
2. Клацніть «Режим FIPS», щоб увімкнути або вимкнути режим відповідності стандарту FIPS 140-2.
Підсумки
Після ввімкнення режиму відповідності стандарту FIPS 140-2 DDOS:
● Примусово змінює пароль для облікового запису системного адміністратора та одного облікового запису співробітника служби безпеки (якщо ввімкнено службу безпеки).
● Перезавантажується, що призводить до переривання доступу до файлової системи.
● Дозволяє лише програмам із FIPS-сумісними клієнтами отримувати доступ до файлової системи після завершення перезавантаження.
Конфігурація FIPS
Коротка довідка про Служби та сумісність із FIPS після ввімкнення FIPS у системі.
NIS
Якщо ввімкнено режим FIPS, переконайтеся, що сервер NIS налаштовано за допомогою SHA512 для хешування паролів користувача. Це стосується як наявних користувачів NIS, так і нових користувачів, які додаються до сервера NIS. Якщо сервер NIS вже налаштовано, раніше підтримувані користувачі NIS можуть не мати змоги увійти до системи. Усі паролі користувачів мають бути перехешовані за допомогою SHA512.
LDAP
Якщо служба SNMP не потрібна, вимкніть службу SNMP.
Якщо служба SNMP потрібна та ввімкнена, нижче наведено список конфігурацій SNMP, необхідних для ввімкнення
режиму FIPS.
● SNMP має бути налаштований за допомогою SNMP V3.
● Протокол автентифікації користувача SNMP має бути налаштований як SHA256.
● Протокол конфіденційності користувача SNMP має бути налаштований як AES.
Протоколи SNMP v2/SNMP v1 не реалізують криптографічний захист, і слід використовувати лише SNMP v3, коли в системі
ввімкнено FIPS.
Режим FIPS в операційній системі, що працює з клієнтом
DD Boost Режим FIPS можна ввімкнути в операційній системі, під керуванням якої запущено програму, яка використовує клієнт DD Boost для підключення до системи DD
, без відома програми та без увімкнення режиму FIPS у системі DD. У такому випадку має бути виконана будь-яка з наступних конфігурацій:
Увімкнення авторизації
системи безпеки За допомогою інтерфейсу командного рядка можна вмикати та вимикати політику авторизації безпеки.
Про це завдання
ПРИМІТКА: Необхідно встановити ліцензію DD Retention Lock Compliance (Відповідність вимогам DD). Забороняється відключати політику авторизації в системах відповідності DD Retention Lock.
Кроки
1. Увійдіть до CLI, використовуючи логін і пароль співробітника служби безпеки.
2. Щоб увімкнути політику авторизації співробітника служби безпеки, введіть: #
authorization policy set security-officer enabled
Наступні команди завжди вимагають авторизації співробітника служби безпеки:
# system fips-mode disable # system fips-mode enable
Увімкнення режиму
FIPS Кнопка режиму FIPS дає змогу вмикати або вимикати режим відповідності стандарту FIPS 140-2.
Кроки
1. Виберіть Налаштування адміністрування > .
2. Клацніть «Режим FIPS», щоб увімкнути або вимкнути режим відповідності стандарту FIPS 140-2.
Підсумки
Після ввімкнення режиму відповідності стандарту FIPS 140-2 DDOS:
● Примусово змінює пароль для облікового запису системного адміністратора та одного облікового запису співробітника служби безпеки (якщо ввімкнено службу безпеки).
● Перезавантажується, що призводить до переривання доступу до файлової системи.
● Дозволяє лише програмам із FIPS-сумісними клієнтами отримувати доступ до файлової системи після завершення перезавантаження.
Конфігурація FIPS
The DD file system, SMS, Apache HTTP service, LDAP client, and SSH Daemon use FIPS 140-2 compliant algorithms when FIPS is enabled. To enable FIPS compliance mode, run the following command: system fips-mode enable. NOTE: Enabling or disabling FIPS compliance mode results in a system reboot and interrupts any ongoing backup or replication activities. NOTE: Enabling FIPS mode invalidates all local users passwords. The passwords for sysadmin and one of the security officers are forced to change during enabling FIPS mode. The other local users require sysadmin to change their passwords for them by running user change password. NOTE: All backup application using DD local users must restart the backups using new DD local user passwords. This is applicable for all protocols. DDOS uses FIPS certified libraries including Dell OpenSSL Cryptographic Library, BSafe, Crypto J, Cert-J, and SSL-K. ● Dell OpenSSL Cryptographic Library v2.5 ● EMC Crypto-C Micro Edition 4.1.4 cryptographic module To disable FIPS compliance mode, run the following command: system fips-mode disable.
Коротка довідка про Служби та сумісність із FIPS після ввімкнення FIPS у системі.
| Служба | Підтримка FIPS | Примітка щодо конфігурації |
| SSH | Так | Сумісність за допомогою ввімкнення FIPS |
| HTTPS | Так | Сумісність за допомогою ввімкнення FIPS |
| Telnet | Ні | Вимкнено за замовчуванням; не вмикається для FIPS |
| FTP/FTPS | Ні | Вимкнено за замовчуванням; не вмикається для FIPS |
| SMS | Так | Сумісність за допомогою ввімкнення FIPS |
| Шифрування даних | Так | Сумісність за допомогою ввімкнення FIPS |
| Реплікація даних | Так | Використовуйте двосторонню автентифікацію |
| ШЕПЕЛ | Так | Використання SHA512 для хешування паролів користувачів |
| LDAP | Так | Використовуйте автентифікацію TLS |
| SNMP | Так | Використання SNMPV3 |
| DD Boost | Так | Клієнт DD Boost повинен бути версії 7.3 або вище |
| Active Directory | Ні | Не відповідає вимогам FIPS |
| CIFS | Ні | Незалежне від налаштувань режиму FIPS |
| НФС | Ні | Не відповідає вимогам FIPS |
| Безпечні віддалені сервіси | Ні | Вимкнено за замовчуванням |
Шифри SSH, MAC та алгоритми обміну ключами Якщо
ввімкнено FIPS:
● Можна встановити лише затверджені FIPS 140-2 шифри та MAC SSH. Ролі користувачів admin та limited-admin можуть встановити шифри та
MAC, які можна налаштувати за допомогою такої команди: adminaccess ssh option set ciphers
● Список шифрів, список MAC та список KEX (алгоритми обміну ключами) у файлі конфігурації SSHD встановлює список за замовчуванням
FIPS-сумісних шифрів, MAC та KEX. Старі налаштування втрачені.
Якщо режим відповідності FIPS вимкнено, список шифрів, список MAC і список KEX (алгоритмів обміну ключами) у файлі конфігурації
SSHD встановлює системний список шифрів, MAC і KEX за замовчуванням. Старі налаштування втрачені.
Наступні шифри підтримуються в системах або DDVE з DDOS з увімкненим FIPS:
Шифри, MAC та алгоритми обміну ключами
| Шифри | ● AES128-CTR ● AES192-CTR ● AES256-CTR |
| МАК | ● hmac-sha2-256-etm@openssh.com ● hmac-sha2-512-etm@openssh.com ● HMAC-SHA2-256 ● HMAC-SHA2-512 |
| алгоритми обміну ключами (KEX) | ● ECDH-SHA2-NISTP256 ● ECDH-SHA2-NISTP384 ● ECDH-SHA2-NISTP521 ● Група Діффі-Хеллмана16-SHA512 ● Група Діффі-Хеллмана18-SHA512 ● Група Діффі-Хеллмана14-SHA256 |
The cipher list can always be changed by running the adminaccess ssh options set ciphers command. When FIPS is enabled, users can only configure SSH service to use FIPS complaint SSH ciphers. If non-FIPS compliant ciphers are used, user would see an error. The MAC list can always be changed by running the adminaccess ssh options set macs command. When FIPS is enabled, users can only configure SSH service to use FIPS complaint SSH macs. If non-FIPS compliant macs are used, user would see an error.
Сервіс HTTPS
HTTPS Apache використовує той же список шифру, що і SMS.
Шифрування
даних у стані спокою Якщо ввімкнено функцію Data At Rest Encryption, то за замовчуванням вона сумісна з FIPS.
TLS cipher-list for management communications and replication control path In case of replication, data-path is FIPS-compliant when it is enabled with two-way authentication. If FIPS mode is enabled on the destination DD system, then Replication will not be allowed from DD systems running DDOS versions prior to DDOS 7.0. When FIPS mode is enabled, even if other ciphers were set with the adminaccess option set cipher-list command, DDOS only uses FIPS-compliant ciphers for the following communication interfaces: ● For DDMC communications to managed DD-systems ● For Replication control path ● By the Data Domain System Management (GUI) ● For REST APIs The cipher list can be configured with the adminaccess option set cipher-list command.
| Застосування | Список шифрів TLS за замовчуванням |
| Типовими наборами шифрів для налаштування реплікації та REST API є: | ● ECDHE-RSA-AES256-GCM-SHA384 |
| Типовими наборами шифрів для інтерфейсу користувача є: | ● ECDHE-RSA-AES256-GCM-SHA384 ● ECDHE-RSA-AES128-GCM-SHA256 ● ECDHE-RSA-AES256-SHA384 ● ECDHE-RSA-AES128-SHA256 |
NIS
Якщо ввімкнено режим FIPS, переконайтеся, що сервер NIS налаштовано за допомогою SHA512 для хешування паролів користувача. Це стосується як наявних користувачів NIS, так і нових користувачів, які додаються до сервера NIS. Якщо сервер NIS вже налаштовано, раніше підтримувані користувачі NIS можуть не мати змоги увійти до системи. Усі паролі користувачів мають бути перехешовані за допомогою SHA512.
LDAP
When FIPS is enabled, the LDAP client that runs on a system or DDVE must use TLS. # authentication ldap ssl enable method start_tls Otherwise, enabling FIPS compliance mode fails. On a fresh install and upgrade, LDAP SSL ciphers are not explicitly set. When FIPS compliance mode is enabled, the LDAP SSL ciphers are set to the following: ● ECDHE-RSA-AES256-GCM-SHA384 ● ECDHE-RSA-AES256-SHA384 ● DHE-RSA-AES256-GCM-SHA384 ● DHE-RSA-AES256-SHA256 ● AES256-GCM-SHA384 ● AES256-SHA256 ● ECDHE-RSA-AES128-GCM-SHA256 ● ECDHE-RSA-AES128-SHA256 ● DHE-RSA-AES128-GCM-SHA256 ● DHE-RSA-AES128-SHA256 ● AES128-GCM-SHA256 ● AES128-SHA256 The configured cipher-list should be: ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES256-GCM-SHA384:DHE-RSAAES256-SHA256:AES256-GCM-SHA384:AES256-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSAAES128-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:AES128-GCM-SHA256:AES128- SHA256 When FIPS is disabled, it is set to "", an empty string.SNMP
Якщо служба SNMP не потрібна, вимкніть службу SNMP.
Якщо служба SNMP потрібна та ввімкнена, нижче наведено список конфігурацій SNMP, необхідних для ввімкнення
режиму FIPS.
● SNMP має бути налаштований за допомогою SNMP V3.
● Протокол автентифікації користувача SNMP має бути налаштований як SHA256.
● Протокол конфіденційності користувача SNMP має бути налаштований як AES.
Протоколи SNMP v2/SNMP v1 не реалізують криптографічний захист, і слід використовувати лише SNMP v3, коли в системі
ввімкнено FIPS.
Режим FIPS в операційній системі, що працює з клієнтом
DD Boost Режим FIPS можна ввімкнути в операційній системі, під керуванням якої запущено програму, яка використовує клієнт DD Boost для підключення до системи DD
, без відома програми та без увімкнення режиму FIPS у системі DD. У такому випадку має бути виконана будь-яка з наступних конфігурацій:
● The DD Boost client on that operating system must be version >=7.1. ● The password hash for users on all DD systems that this client connects to must be sha512. This can be changed using the adminaccess option set password-hash sha512 CLI.
Якщо в операційній системі без будь-якої з перерахованих вище конфігурацій включений режим FIPS, то всі з'єднання з цього клієнта з будь-якою системою DD не вдадуться.
Клієнт DD Boost з увімкненим режимом FIPS
Коли в системі ввімкнено режим FIPS, програми, які звертаються до системи за протоколом DD Boost, повинні використовувати версію 7.3 клієнтських бібліотек DD Boost. Це гарантує, що операції сумісні з FIPS і використовують FIPS-сумісні алгоритми. Іноді програма може спричинити перехід клієнтських бібліотек DD Boost у режим FIPS, якщо програма знає FIPS і була оновлена для входу в режим FIPS у клієнтській бібліотеці. У цьому випадку будуть використовуватися не тільки FIPS-сумісні алгоритми, але і реалізації цих алгоритмів з використанням сертифікованих FIPS бібліотек.
Коли ввімкнено режим FIPS, паролі, встановлені в системі, яка використовується DD Boost для доступу до системи, повинні мати хеш-значення SHA512. Користувач з паролем з хешем MD5 не зможе підключитися до системи з підтримкою FIPS.
ПРИМІТКА: Клієнтська бібліотека Boost, яку використовує програма, повинна мати версію >=7.1, щоб програма могла успішно підключитися до системи DD, що працює під керуванням версії >DDOS =7.1 з увімкненим режимом FIPS. Версія клієнтської бібліотеки DD Boost, яка постачається разом із програмою, визначається постачальником програми. Список усіх клієнтів Boost, які підключалися до системи DD за останні 24 години, можна отримати з ddboost show connections CLI. Стовпець «Версія плагіна» слід побачити для того, щоб визначити, чи підключається будь-який клієнт із плагіном Boost, старішим за 7.1.x.x, до цієї системи DD. Всі такі клієнти не зможуть підключитися після включення режиму FIPS в системі DD і повинні бути оновлені. Зверніться до постачальника програми, щоб визначити версію клієнтської бібліотеки DD Boost, яку використовує певна версія програми, щоб дізнатися, чи можна використовувати програму з системою DD з увімкненим режимом FIPS.
Telnet
Telnet не сумісний з FIPS і вимкнений за замовчуванням.
FTP/FTPS
FTP/FTPS не є FIPS-сумісним і вимкнений за замовчуванням.
Active Directory
Active Directory не сумісна з FIPS.
Служба Active Directory продовжує працювати, коли її налаштовано та ввімкнено FIPS.
Сервер CIFS
CIFS на DDOS не залежить від налаштувань режиму FIPS. Навіть якщо клієнт увімкне режим FIPS, CIFS продовжить працювати в
несумісному з FIPS режимі.
Щоб відключити або заборонити CIFS приймати будь-які з'єднання від клієнтів: sysadmin@localhost#
cifs disable
NFS
NFS не сумісна з FIPS.
● NFS продовжує працювати в режимі, не сумісному з FIPS.
● NFS можна вимкнути за допомогою команди nfs disable.
Secure Connect Gateway (SCG)
SCG — це безпечне двостороннє з'єднання між продуктами Dell EMC і службою підтримки клієнтів Dell EMC. SCG вимкнено за замовчуванням і продовжує працювати в несумісному з FIPS режимі.
Стандарти DISA STIG
| Увімкніть шифрування, схвалене стандартом FIPS 140-2. | DD підтримує використання лише затверджених FIPS 140-2 шифрів для захищених з'єднань. DD рекомендує використовувати UI або CLI для включення режиму FIPS: ● Інтерфейс користувача: Адміністрування > Налаштування > режиму FIPS ● CLI: увімкнення системного fips-режиму |
| Використання сервера автентифікації для автентифікації користувачів перед наданням адміністративного доступу. | DD підтримує кілька протоколів серверів імен, таких як LDAP, NIS і AD. DD рекомендує використовувати OpenLDAP з увімкненим FIPS. DD управляє тільки локальними обліковими записами. DD рекомендує використовувати UI або CLI для налаштовування LDAP. ● Інтерфейс користувача: Аутентифікація доступу > адміністратора > ● CLI: Розпізнавання Команди LDAP Active Directory також можна налаштувати для входу користувачів до системи з увімкненим FIPS. Однак доступ до даних CIFS для користувачів AD більше не підтримується з цією конфігурацією. |
| Мережевий пристрій повинен автентифікувати кінцеві точки SNMP керування мережею, перш ніж установлювати локальне, віддалене або мережеве з'єднання за допомогою двонаправленої автентифікації на криптографічній основі. | DD підтримує SNMPV3, сумісний з FIPS. DD рекомендує використовувати UI або CLI для налаштування SNMPV3. ● Інтерфейс користувача: Налаштування > адміністрування > SNMP ● CLI: Команди SNMP |
| Використовуйте алгоритм криптографічного хешування, затверджений стандартом FIPS 140-2. | Система повинна використовувати криптографічну версію, схвалену FIPS 140-2 алгоритм хешування для генерації хешів паролів облікового запису. Системи повинні використовувати криптографічні хеші для паролів з використанням сімейства алгоритмів SHA-2 або схвалених FIPS 140-2 Наступники. Використання незатверджених алгоритмів може призвести до Слабкі хеші паролів більш вразливі до компрометації. ПРИМІТКА: Довідник команд DDOS описує, як використовувати adminaccess option set password-hash {md5 | sha512} для встановлення криптографічного хешування, затвердженого FIPS 140-2, у системі. Зміна алгоритму хешування не змінюється хеш-значення для будь-яких наявних паролів. Будь-які існуючі Паролі, які були хешовані за допомогою md5, все одно матимуть md5 хеш-значення після зміни алгоритму password-hash до SHA512. Ці паролі повинні бути скинуті, щоб новий Обчислюється хеш-значення SHA512. |
Additional Information
Сертифікати
із зовнішнім підписом Центр сертифікації (ЦС) має формат загальнодоступного сертифіката (PEM) для встановлення надійного з'єднання між зовнішньою сутністю та кожною системою.
Якщо система використовує диспетчер зовнішніх ключів, для встановлення надійного з'єднання між зовнішнім сервером диспетчера ключів і кожною системою, якою він керує, потрібен
сертифікат хоста PKCS12 і сертифікат ЦС у форматі PEM (відкритий ключ).Для підписання сертифіката потрібен формат PKCS10. Відкритий ключ сертифіката може мати формат PKCS12 (відкритий плюс закритий ключ) або PEM. Формат PEM сертифіката хоста використовується лише з функцією Certificate Signing Request (CSR).
Окремі сертифікати хоста можна імпортувати для HTTPS і зв'язку із зовнішнім менеджером ключів.
Підтримується імпорт сертифіката хоста у форматі PKCS12. Якщо в системі є CSR, ви можете імпортувати сертифікат хоста у форматі PEM після того, як CSR буде підписано центром сертифікації.
ПРИМІТКА: Для імпорту сертифіката потрібна системна парольна фраза.
У системі DD із підтримкою FIPS файл PKCS12 має бути сумісним із FIPS. Під час шифрування файлу PKCS12 необхідно використовувати сумісні алгоритми шифрування. Ми рекомендуємо використовувати "PBE-SHA1-3DES" для шифрування ключа та сертифіката у файлі PKCS12.
DD Encryption забезпечує вбудоване шифрування, що означає, що під час прийому даних потік дедуплікується, стискається та шифрується за допомогою ключа шифрування перед записом до групи RAID. Програмне забезпечення DD Encryption використовує бібліотеки RSA BSAFE, які пройшли перевірку FIPS 140-2.
Secure Connect Gateway (SCG)
Secure Connect Gateway — це рішення для автоматизованого підключення домашнього та віддаленої підтримки на основі IP, яке створює як уніфіковану архітектуру, так і загальну точку доступу для віддаленої підтримки, яка виконується на продукті. Рішення SCG IP
виконує такі функції:
● Забезпечує безперервний моніторинг, діагностику та усунення незначних апаратних проблем.
● Використовує найсучасніше шифрування, автентифікацію, аудит і авторизацію для віддаленої підтримки з надвисоким рівнем безпеки.
● Вирішує питання відповідності корпоративним і державним нормам, надаючи журнали всіх подій доступу.
● Забезпечує просту інтеграцію та конфігурацію з мережею керування сховищем та брандмауерами.
● Забезпечує максимальний захист інформаційної інфраструктури. Сеанси на основі IP забезпечують швидку передачу інформації та її вирішення.
● Консолідує віддалену підтримку інформації з клієнтом SCG.
● Забезпечує віддалений доступ до сайту аварійного відновлення та забезпечує безперебійне відновлення після незапланованих подій.
● Захищає інформацію в русі або в стані спокою. Шифрування AES 256 під час передачі інформації захищає інформацію.
● Зменшує витрати та безлад у центрі обробки даних і прискорює час вирішення. Відмова від витрат на модем/телефонну лінію призводить до зниження витрат.
ПРИМІТКА: SCG не відповідає вимогам FIPS.
ПРИМІТКА: Використання FTP або незахищеної електронної пошти під час підключення до SCG може становити загрозу безпеці.
Додавання хмарного блоку для Amazon Web Services S3
AWS пропонує ряд класів зберігання. Матриця сумісності хмарних провайдерів, доступна в E-Lab Navigator, надає актуальну інформацію про підтримувані класи сховищ.
Про це завдання
Для підвищення безпеки функція Cloud Tier використовує підпис версії 4 для всіх запитів AWS. Підпис версії 4 ввімкнено за замовчуванням.
Хмарний провайдер AWS використовує такі кінцеві точки, залежно від класу та регіону сховища. Переконайтеся, що DNS може розпізнати ці імена хостів, перш ніж налаштовувати хмарні блоки.
Кінцеві точки, сумісні з FIPS, доступні для AWS Government Cloud.
Починаючи з версії DDOS 7.8, регіон us-east-1 більше не підтримує застарілу кінцеву точку s3.amazonaws.com. Регіон us-east-1 тепер вимагає кінцевої точки s3.us-east-1.amazonaws.com. Переконайтеся, що брандмауер відкритий для досягнення нової кінцевої точки, перш ніж оновлюватися до DDOS 7.8.
П3.fips.us-gov-west-1.amazonaws.com
Affected Products
Data DomainArticle Properties
Article Number: 000211241
Article Type: How To
Last Modified: 03 Jul 2024
Version: 2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.