Data Domain - FIPS-configuratie en best practices

authorization policy set security-officer enabled

# system fips-mode disable
# system fips-mode enable

The DD file system, SMS, Apache HTTP service, LDAP client, and SSH Daemon use FIPS 140-2 compliant algorithms when FIPS is enabled.
To enable FIPS compliance mode, run the following command: system fips-mode enable.
NOTE: Enabling or disabling FIPS compliance mode results in a system reboot and interrupts any ongoing backup or replication activities.
NOTE: Enabling FIPS mode invalidates all local users passwords. The passwords for sysadmin and one of the security officers are forced to change during enabling FIPS mode. 
The other local users require sysadmin to change their passwords for them by running user change password.
NOTE: All backup application using DD local users must restart the backups using new DD local user passwords. This is applicable for all protocols.
DDOS uses FIPS certified libraries including Dell OpenSSL Cryptographic Library, BSafe, Crypto J, Cert-J, and SSL-K.
● Dell OpenSSL Cryptographic Library v2.5
● EMC Crypto-C Micro Edition 4.1.4 cryptographic module
To disable FIPS compliance mode, run the following command: system fips-mode disable.

SSH-cijfers, MAC's en algoritmen

voor sleuteluitwisseling Wanneer FIPS is ingeschakeld:
● Alleen door FIPS 140-2 goedgekeurde SSH-cijfers en MAC's kunnen worden ingesteld. Gebruikersrollen admin en limited-admin kunnen de ciphers en
MAC's instellen, die kunnen worden geconfigureerd met behulp van de volgende opdracht: adminaccess ssh option set ciphers
● De lijst met cijfers, de MAC-lijst en de lijst met KEX-bestanden (key exchange algorithms) in het SSHD-configuratiebestand wordt ingesteld op een standaardlijst met
FIPS-compatibele cijfers, MAC's en KEX's. De oude instellingen gaan verloren.
Wanneer de FIPS-nalevingsmodus is uitgeschakeld, wordt de lijst met coderingen, de MAC-lijst en de lijst met KEX (Key Exchange Algorithms) in het SSHD-configuratiebestand
ingesteld op de standaardlijst van het systeem met coderingen, MAC's en KEX's. De oude instellingen gaan verloren.

De volgende versleutelingen worden ondersteund op systemen, of DDVE waarop DDOS wordt uitgevoerd met FIPS ingeschakeld:
cijfers, MAC's en algoritmen voor sleuteluitwisseling

The cipher list can always be changed by running the adminaccess ssh options set ciphers command. 
When FIPS is enabled, users can only configure SSH service to use FIPS complaint SSH ciphers. 
If non-FIPS compliant ciphers are used, user would see an error. 

The MAC list can always be changed by running the adminaccess ssh options set macs command. 
When FIPS is enabled, users can only configure SSH service to use FIPS complaint SSH macs. 
If non-FIPS compliant macs are used, user would see an error.

HTTPS

HTTPS Apache-service gebruikt dezelfde lijst met cijfers als sms.

Versleuteling

van data-at-rest Als versleuteling van data-at-rest is ingeschakeld, is deze standaard FIPS-compatibel.

TLS cipher-list for management communications and replication control path
In case of replication, data-path is FIPS-compliant when it is enabled with two-way authentication. If FIPS mode is enabled on
the destination DD system, then Replication will not be allowed from DD systems running DDOS versions prior to DDOS 7.0.
When FIPS mode is enabled, even if other ciphers were set with the adminaccess option set cipher-list command,
DDOS only uses FIPS-compliant ciphers for the following communication interfaces:
● For DDMC communications to managed DD-systems
● For Replication control path
● By the Data Domain System Management (GUI)
● For REST APIs
The cipher list can be configured with the adminaccess option set cipher-list command.

When FIPS is enabled, the LDAP client that runs on a system or DDVE must use TLS.
# authentication ldap ssl enable method start_tls
Otherwise, enabling FIPS compliance mode fails.
On a fresh install and upgrade, LDAP SSL ciphers are not explicitly set.
When FIPS compliance mode is enabled, the LDAP SSL ciphers are set to the following:

● ECDHE-RSA-AES256-GCM-SHA384
● ECDHE-RSA-AES256-SHA384
● DHE-RSA-AES256-GCM-SHA384
● DHE-RSA-AES256-SHA256
● AES256-GCM-SHA384
● AES256-SHA256
● ECDHE-RSA-AES128-GCM-SHA256
● ECDHE-RSA-AES128-SHA256
● DHE-RSA-AES128-GCM-SHA256
● DHE-RSA-AES128-SHA256
● AES128-GCM-SHA256
● AES128-SHA256

The configured cipher-list should be:
ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES256-GCM-SHA384:DHE-RSAAES256-SHA256:AES256-GCM-SHA384:AES256-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSAAES128-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:AES128-GCM-SHA256:AES128-
SHA256
When FIPS is disabled, it is set to "", an empty string.

● The DD Boost client on that operating system must be version >=7.1.
● The password hash for users on all DD systems that this client connects to must be sha512. 
   This can be changed using the adminaccess option set password-hash sha512 CLI.

Als de FIPS-modus is ingeschakeld op het besturingssysteem zonder een van de bovenstaande configuraties, zullen alle verbindingen van deze client met een DD-systeem mislukken.

DD Boost Client met FIPS-modus ingeschakeld

Wanneer de FIPS-modus op het systeem is ingeschakeld, moeten applicaties die toegang hebben tot het systeem met behulp van het DD Boost-protocol versie 7.3 van de DD Boost-clientbibliotheken gebruiken. Dit garandeert dat bewerkingen FIPS-compatibel zijn en gebruikmaken van FIPS-compatibele algoritmen. Soms kan de applicatie ervoor zorgen dat de DD Boost-clientbibliotheken naar de FIPS-modus gaan als de applicatie FIPS-bewust is en is bijgewerkt om de FIPS-modus in de clientbibliotheek te activeren. In dat geval worden niet alleen FIPS-compatibele algoritmen gebruikt, maar maken de implementaties van die algoritmen gebruik van FIPS-gecertificeerde bibliotheken.

Wanneer de FIPS-modus is ingeschakeld, moeten de wachtwoorden die zijn ingesteld op het systeem dat door DD Boost wordt gebruikt om toegang te krijgen tot het systeem, hash SHA512-waarden hebben. Een gebruiker met een wachtwoord met een MD5-hash kan geen verbinding maken met een FIPS-systeem.

NOTITIE: De Boost-clientbibliotheek die een applicatie gebruikt, moet versie >=7.1 zijn om verbinding te kunnen maken met een DD-systeem waarop een DDOS-versie >=7.1 wordt uitgevoerd met de FIPS-modus ingeschakeld. De DD Boost-clientbibliotheekversie die bij een applicatie wordt geleverd, wordt bepaald door de applicatieprovider. Een lijst met alle Boost-clients die in de afgelopen 24 uur verbinding hebben gemaakt met het DD-systeem kan worden verkregen via de ddboost show connections CLI. De kolom Plugin Version moet worden bekeken om te bepalen of een client met een Boost-plug-in ouder dan 7.1.x.x momenteel verbinding maakt met dit DD-systeem. Al deze clients kunnen geen verbinding maken nadat de FIPS-modus is ingeschakeld op het DD-systeem en moeten worden geüpgraded. Neem contact op met de applicatieleverancier om de DD Boost-clientbibliotheekversie te bepalen die een specifieke applicatieversie gebruikt om te zien of de applicatie kan worden gebruikt met een DD-systeem waarop de FIPS-modus is ingeschakeld.

Telnet
Telnet is niet FIPS-compatibel en is standaard uitgeschakeld.

FTP/FTPS
FTP/FTPS is niet FIPS-compatibel en is standaard uitgeschakeld.

Active Directory
Active Directory voldoet niet aan FIPS.
Active Directory blijft werken wanneer het is geconfigureerd en wanneer FIPS is ingeschakeld.

De CIFS CIFS-server op DDOS is agnostisch ten opzichte van de instelling van
de FIPS-modus. Zelfs als de klant de FIPS-modus inschakelt, blijft CIFS werken in
niet-FIPS-compatibele modus.
Ga als volgt te werk om CIFS uit te schakelen of te stoppen met het accepteren van verbindingen van de clients:sysadmin@localhost#

cifs disable

NFS
NFS voldoet niet aan FIPS.
● NFS blijft werken in een niet-FIPS-compatibele modus.
● NFS kan worden uitgeschakeld met de opdracht nfs disable .

Secure Connect Gateway (SCG)
SCG is een veilige tweerichtingsverbinding tussen Dell EMC producten en Dell EMC Customer Support. SCG is standaard uitgeschakeld en blijft werken in niet-FIPS-compatibele modus.

DISA STIG-standaarden

Het systeem moet een door FIPS 140-2 goedgekeurde cryptografische kaart gebruiken
Hashing-algoritme voor het genereren van hashes van accountwachtwoorden.
Systemen moeten cryptografische hashes gebruiken voor wachtwoorden
met behulp van de SHA-2-familie van algoritmen of FIPS 140-2-goedgekeurd
Opvolgers. Het gebruik van niet-goedgekeurde algoritmen kan leiden tot:
Zwakke wachtwoordhashes zijn kwetsbaarder voor compromittering.

OPMERKING: In de naslaggids voor DDOS-opdrachten wordt beschreven hoe u de 

adminaccess option set password-hash {md5 | sha512}

opdracht om de door FIPS 140-2 goedgekeurde cryptografische hashing op het systeem in te stellen. 

Het hash-algoritme verandert niet
De hash-waarde voor bestaande wachtwoorden. Alle bestaande
Wachtwoorden die zijn gehasht met MD5 hebben nog steeds MD5
hash-waarden na het wijzigen van het wachtwoord-hash-algoritme
naar sha512. Die wachtwoorden moeten opnieuw worden ingesteld, zodat een nieuwe
SHA512 hashwaarde wordt berekend.

Extern ondertekende certificaten
De certificeringsinstantie (CA) heeft de indeling Openbaar Certificaat (PEM) om een vertrouwde verbinding tot stand te brengen tussen de externe entiteit en elk systeem.
Als het systeem gebruikmaakt van de externe sleutelmanager, heeft het een PKCS12-hostcertificaat en CA-certificaat in PEM-indeling (openbare sleutel) nodig om een vertrouwde verbinding tot stand te brengen tussen de externe sleutelbeheerserver en elk systeem dat deze beheert.
Voor het ondertekenen van het certificaat is de PKCS10-indeling vereist. De openbare certificaatsleutel kan PKCS12 (openbare plus een persoonlijke sleutel) of een PEM-indeling hebben. De PEM-indeling van het hostcertificaat wordt alleen gebruikt met de functie CSR (Certificate Signing Request).
Afzonderlijke hostcertificaten kunnen worden geïmporteerd voor HTTPS en communicatie met externe sleutelbeheerder.
Het importeren van het hostcertificaat in PKCS12-indeling wordt ondersteund. Als er een CSR op het systeem staat, kunt u het hostcertificaat in PEM-indeling importeren nadat de CSR is ondertekend door een certificeringsinstantie.
NOTITIE: De systeemwachtwoordzin is vereist om het certificaat te importeren.
Op een DD-systeem met FIPS moet het PKCS12-bestand FIPS-compatibel zijn. Tijdens het versleutelen van het PKCS12-bestand moeten compatibele versleutelingsalgoritmen worden gebruikt. We raden aan om "PBE-SHA1-3DES" te gebruiken voor het versleutelen van sleutel en certificaat in het PKCS12-bestand.

DD Encryption biedt inline versleuteling, wat betekent dat wanneer data worden opgenomen, de stream wordt gededupliceerd, gecomprimeerd en versleuteld met behulp van een coderingssleutel voordat deze naar de RAID-groep wordt geschreven. DD Encryption-software maakt gebruik van RSA BSAFE-bibliotheken, die FIPS 140-2-gevalideerd zijn.

Secure Connect Gateway (SCG)
Secure Connect Gateway is een IP-gebaseerde geautomatiseerde Connect Home- en remote support-oplossing en creëert zowel een uniforme architectuur als een gemeenschappelijk toegangspunt voor externe supportactiviteiten die op het product worden uitgevoerd. De SCG IP-oplossing
doet het volgende:
● Biedt continue bewaking, diagnose en reparatie van kleine hardwareproblemen.
● Maakt gebruik van de meest geavanceerde codering, authenticatie, audit en autorisatie voor ultrahoge beveiliging op afstand.
● Richt zich op naleving van bedrijfs- en overheidsvoorschriften door logboeken te verstrekken van alle toegangsgebeurtenissen.
● Biedt eenvoudige integratie en configuratie met het opslagbeheernetwerk en firewalls.
● Biedt maximale bescherming van de informatie-infrastructuur. IP-gebaseerde sessies zorgen voor snelle informatieoverdracht en resolutie.
● Consolideert externe ondersteuning voor de informatie met de SCG-klant.
● Biedt externe toegang tot de site voor herstel na noodgevallen en maakt herstel na ongeplande gebeurtenissen naadloos.
● Beschermt informatie in beweging of in rust. AES 256-versleuteling tijdens informatieoverdracht beschermt de informatie.
● Vermindert de kosten en de wirwar van datacenters en versnelt de tijd tot oplossing. Het wegvallen van modem-/telefoonlijnkosten vertaalt zich in lagere kosten.
NOTITIE: SCG voldoet niet aan FIPS.
NOTITIE: Het gebruik van FTP of onbeveiligde e-mail bij het verbinden met SCG kan een beveiligingsrisico vormen.

Een cloudeenheid toevoegen voor Amazon Web Services S3

AWS biedt een reeks storageklassen. De compatibiliteitsmatrix voor cloudproviders, beschikbaar bij E-Lab Navigator, biedt actuele informatie over de ondersteunde storageklassen.

Over deze taak
Voor verbeterde beveiliging gebruikt de Cloud Tier-functie handtekeningversie 4 voor alle AWS-aanvragen. Ondertekening van handtekeningversie 4 is standaard ingeschakeld.
De volgende eindpunten worden gebruikt door de AWS-cloudprovider, afhankelijk van de storageklasse en -regio. Zorg ervoor dat DNS deze hostnamen kan oplossen voordat u cloudeenheden configureert.

FIPS-compatibele eindpunten zijn beschikbaar voor AWS Government Cloud.

Vanaf DDOS 7.8 biedt de us-east-1-regio geen ondersteuning meer voor de verouderde eindpunt-s3.amazonaws.com. Voor de regio us-oost-1 is nu het eindpunt s3.us-east-1.amazonaws.com vereist. Controleer of de firewall open is om het nieuwe eindpunt te bereiken voordat u een upgrade uitvoert naar DDOS 7.8.

S3.FIPS.us-gov-west-1.amazonaws.com