Data Domain – FIPS-konfiguration og bedste fremgangsmåde
Summary: DD-filsystemet, SMS, Apache HTTP-tjenesten, LDAP-klienten og SSH Daemon bruger FIPS 140-2-kompatible algoritmer, når FIPS er aktiveret.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Hvis du vil logge på med FIPS aktiveret på et beskyttelsessystem eller en DDVE-forekomst ved hjælp af SSH, er den mindste understøttede SSH-version OpenSSH v5.9p1.
Aktivering af sikkerhedsgodkendelse
Du kan bruge CLI til at aktivere og deaktivere sikkerhedsgodkendelsespolitikken.
Om denne opgave
BEMÆRK: Licensen til overholdelse af DD-fastholdelseslås skal være installeret. Du har ikke tilladelse til at deaktivere godkendelsespolitikken på DD-fastholdelseslåseoverensstemmelsessystemer.
Trin
1. Log på CLI med en sikkerhedsansvarligs brugernavn og adgangskode.
2. For at aktivere autorisationspolitikken for sikkerhedsansvarlige skal du indtaste: #
Følgende kommandoer kræver altid autorisation som sikkerhedsansvarlig:
Med FIPS-tilstandsknappen kan du aktivere eller deaktivere FIPS 140-2-overholdelsestilstand.
Trin
1. Vælg Administrationsindstillinger > .
2. Klik på FIPS-tilstand for at aktivere eller deaktivere FIPS 140-2-overholdelsestilstand.
Resultater
Efter aktivering af FIPS 140-2-overholdelsestilstand, DDOS:
● Gennemtvinger en ændring af adgangskoden for sysadmin-kontoen og én Security Officer-konto (hvis Security Officer er aktiveret).
● Genstarter, hvilket forårsager en afbrydelse i filsystemets adgang.
● Tillader kun programmer med FIPS-kompatible klienter at få adgang til filsystemet, når genstarten er fuldført.
FIPS-konfiguration
Hurtig reference til services vs. FIPS-kompatibel, når FIPS er aktiveret på systemet.
NIS
Hvis FIPS-tilstand er aktiveret, skal du sørge for, at NIS-serveren er konfigureret ved hjælp af SHA512 til hashing af brugeradgangskode. Dette gælder for eksisterende NIS-brugere og nye brugere, der føjes til NIS-serveren. Hvis NIS-serveren allerede er konfigureret, kan de tidligere understøttede NIS-brugere muligvis ikke logge på. Alle brugeradgangskoder skal hashkrypteres igen ved hjælp af SHA512.
LDAP
Hvis SNMP-tjenesten ikke er påkrævet, skal du deaktivere SNMP-tjenesten.
Hvis SNMP-tjenesten er påkrævet og aktiveret, er følgende en liste over de SNMP-konfigurationer, der skal bruges, før FIPS-tilstand aktiveres
.
● SNMP skal konfigureres med SNMP V3.
● SNMP-brugergodkendelsesprotokollen skal konfigureres som SHA256.
● SNMP-brugerens privatlivsprotokol skal konfigureres som AES.
SNMP v2/SNMP v1-protokoller implementerer ikke kryptografisk sikkerhed, og kun SNMP v3 bør anvendes, når systemet har
FIPS aktiveret.
FIPS-tilstand på operativsystemet, der kører en DD Boost-klient
FIPS-tilstand kan aktiveres på det operativsystem, der kører et program, der bruger DD Boost-klienten til at oprette forbindelse til et DD-system
, uden programmets vidende og uden at aktivere FIPS-tilstand på DD-systemet. I et sådant scenarie skal en af følgende konfigurationer foretages:
Aktivering af sikkerhedsgodkendelse
Du kan bruge CLI til at aktivere og deaktivere sikkerhedsgodkendelsespolitikken.
Om denne opgave
BEMÆRK: Licensen til overholdelse af DD-fastholdelseslås skal være installeret. Du har ikke tilladelse til at deaktivere godkendelsespolitikken på DD-fastholdelseslåseoverensstemmelsessystemer.
Trin
1. Log på CLI med en sikkerhedsansvarligs brugernavn og adgangskode.
2. For at aktivere autorisationspolitikken for sikkerhedsansvarlige skal du indtaste: #
authorization policy set security-officer enabled
Følgende kommandoer kræver altid autorisation som sikkerhedsansvarlig:
# system fips-mode disable # system fips-mode enable
Aktivering af FIPS-tilstand
Med FIPS-tilstandsknappen kan du aktivere eller deaktivere FIPS 140-2-overholdelsestilstand.
Trin
1. Vælg Administrationsindstillinger > .
2. Klik på FIPS-tilstand for at aktivere eller deaktivere FIPS 140-2-overholdelsestilstand.
Resultater
Efter aktivering af FIPS 140-2-overholdelsestilstand, DDOS:
● Gennemtvinger en ændring af adgangskoden for sysadmin-kontoen og én Security Officer-konto (hvis Security Officer er aktiveret).
● Genstarter, hvilket forårsager en afbrydelse i filsystemets adgang.
● Tillader kun programmer med FIPS-kompatible klienter at få adgang til filsystemet, når genstarten er fuldført.
FIPS-konfiguration
The DD file system, SMS, Apache HTTP service, LDAP client, and SSH Daemon use FIPS 140-2 compliant algorithms when FIPS is enabled. To enable FIPS compliance mode, run the following command: system fips-mode enable. NOTE: Enabling or disabling FIPS compliance mode results in a system reboot and interrupts any ongoing backup or replication activities. NOTE: Enabling FIPS mode invalidates all local users passwords. The passwords for sysadmin and one of the security officers are forced to change during enabling FIPS mode. The other local users require sysadmin to change their passwords for them by running user change password. NOTE: All backup application using DD local users must restart the backups using new DD local user passwords. This is applicable for all protocols. DDOS uses FIPS certified libraries including Dell OpenSSL Cryptographic Library, BSafe, Crypto J, Cert-J, and SSL-K. ● Dell OpenSSL Cryptographic Library v2.5 ● EMC Crypto-C Micro Edition 4.1.4 cryptographic module To disable FIPS compliance mode, run the following command: system fips-mode disable.
Hurtig reference til services vs. FIPS-kompatibel, når FIPS er aktiveret på systemet.
| Tjeneste | Understøttelse af FIPS | Konfigurationsbemærkning |
| SSH | Ja | Kompatibel med aktiver FIPS |
| HTTPS | Ja | Kompatibel med aktiver FIPS |
| Telnet | Nej | Deaktiveret som standard; ikke aktiveres for FIPS |
| FTP/FTPS | Nej | Deaktiveret som standard; ikke aktiveres for FIPS |
| SMS'E | Ja | Kompatibel med aktiver FIPS |
| Datakryptering | Ja | Kompatibel med aktiver FIPS |
| Replikering af data | Ja | Brug tovejsgodkendelse |
| NIS | Ja | Brug SHA512 til hashkryptering af brugeradgangskode |
| LDAP | Ja | Brug TLS-godkendelse |
| SNMP | Ja | Brug SNMPV3 |
| DD Boost | Ja | DD Boost-klienten skal være version 7.3 eller nyere |
| Active Directory | Nej | Overholder ikke FIPS |
| CIFS | Nej | Agnostisk til indstilling for FIPS-tilstand |
| NFS | Nej | Ikke FIPS-kompatibel |
| Secure Remote Services | Nej | Deaktiveret som standard |
SSH-cifre, MAC'er og nøgleudvekslingsalgoritmer
Når FIPS er aktiveret:
● Kun FIPS 140-2-godkendte SSH-cifre og MAC'er kan indstilles. Brugerroller admin og limited-admin kan indstille cifre og
MAC er, som kan konfigureres ved hjælp af følgende kommando: adminaccess ssh grupperet cifre
● Krypteringslisten, MAC-listen og KEX-listen (Key Exchange Algorithms) i SSHD-konfigurationsfilsættene til en standardliste over
FIPS-kompatible cifre, MAC'er og KEX'er. De gamle indstillinger går tabt.
Når FIPS-overholdelsestilstand er deaktiveret, indstilles krypteringslisten, MAC-listen og KEX-listen (Key Exchange Algorithms) i SSHD-konfigurationsfilerne
til systemets standardliste over cifre, MAC'er og KEX'er. De gamle indstillinger går tabt.
Følgende cifre understøttes på systemer eller DDVE, der kører DDOS med FIPS aktiveret:
Ciphers, MAC'er og nøgleudvekslingsalgoritmer
| Ciphers | ● AES128-CTR ● AES192-CTR ● AES256-CTR |
| MAC | ● hmac-sha2-256-etm@openssh.com ● hmac-sha2-512-etm@openssh.com ● hmac-sha2-256 ● hmac-sha2-512 |
| nøgleudvekslingsalgoritmer (KEX'er) | ● ECDH-SHA2-NISTP256 ● ECDH-SHA2-NISTP384 ● ECDH-SHA2-NISTP521 ● Diffie-Hellman-Group16-SHA512 ● Diffie-Hellman-Group18-SHA512 ● Diffie-Hellman-Group14-SHA256 |
The cipher list can always be changed by running the adminaccess ssh options set ciphers command. When FIPS is enabled, users can only configure SSH service to use FIPS complaint SSH ciphers. If non-FIPS compliant ciphers are used, user would see an error. The MAC list can always be changed by running the adminaccess ssh options set macs command. When FIPS is enabled, users can only configure SSH service to use FIPS complaint SSH macs. If non-FIPS compliant macs are used, user would see an error.
HTTPS
HTTPS Apache-tjenesten bruger den samme liste over chiffer som SMS.
Kryptering
af inaktive data Hvis kryptering af inaktive data er aktiveret, er den som standard FIPS-kompatibel.
TLS cipher-list for management communications and replication control path In case of replication, data-path is FIPS-compliant when it is enabled with two-way authentication. If FIPS mode is enabled on the destination DD system, then Replication will not be allowed from DD systems running DDOS versions prior to DDOS 7.0. When FIPS mode is enabled, even if other ciphers were set with the adminaccess option set cipher-list command, DDOS only uses FIPS-compliant ciphers for the following communication interfaces: ● For DDMC communications to managed DD-systems ● For Replication control path ● By the Data Domain System Management (GUI) ● For REST APIs The cipher list can be configured with the adminaccess option set cipher-list command.
| Program | Standard TLS-chifferliste |
| Standardkrypteringspakker til replikeringsopsætning og REST-API'er er: | ● ECDHE-RSA-AES256-GCM-SHA384 |
| Standardkrypteringspakker til brugergrænsefladen er: | ● ECDHE-RSA-AES256-GCM-SHA384 ● ECDHE-RSA-AES128-GCM-SHA256 ● ECDHE-RSA-AES256-SHA384 ● ECDHE-RSA-AES128-SHA256 |
NIS
Hvis FIPS-tilstand er aktiveret, skal du sørge for, at NIS-serveren er konfigureret ved hjælp af SHA512 til hashing af brugeradgangskode. Dette gælder for eksisterende NIS-brugere og nye brugere, der føjes til NIS-serveren. Hvis NIS-serveren allerede er konfigureret, kan de tidligere understøttede NIS-brugere muligvis ikke logge på. Alle brugeradgangskoder skal hashkrypteres igen ved hjælp af SHA512.
LDAP
When FIPS is enabled, the LDAP client that runs on a system or DDVE must use TLS. # authentication ldap ssl enable method start_tls Otherwise, enabling FIPS compliance mode fails. On a fresh install and upgrade, LDAP SSL ciphers are not explicitly set. When FIPS compliance mode is enabled, the LDAP SSL ciphers are set to the following: ● ECDHE-RSA-AES256-GCM-SHA384 ● ECDHE-RSA-AES256-SHA384 ● DHE-RSA-AES256-GCM-SHA384 ● DHE-RSA-AES256-SHA256 ● AES256-GCM-SHA384 ● AES256-SHA256 ● ECDHE-RSA-AES128-GCM-SHA256 ● ECDHE-RSA-AES128-SHA256 ● DHE-RSA-AES128-GCM-SHA256 ● DHE-RSA-AES128-SHA256 ● AES128-GCM-SHA256 ● AES128-SHA256 The configured cipher-list should be: ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES256-GCM-SHA384:DHE-RSAAES256-SHA256:AES256-GCM-SHA384:AES256-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSAAES128-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:AES128-GCM-SHA256:AES128- SHA256 When FIPS is disabled, it is set to "", an empty string.SNMP
Hvis SNMP-tjenesten ikke er påkrævet, skal du deaktivere SNMP-tjenesten.
Hvis SNMP-tjenesten er påkrævet og aktiveret, er følgende en liste over de SNMP-konfigurationer, der skal bruges, før FIPS-tilstand aktiveres
.
● SNMP skal konfigureres med SNMP V3.
● SNMP-brugergodkendelsesprotokollen skal konfigureres som SHA256.
● SNMP-brugerens privatlivsprotokol skal konfigureres som AES.
SNMP v2/SNMP v1-protokoller implementerer ikke kryptografisk sikkerhed, og kun SNMP v3 bør anvendes, når systemet har
FIPS aktiveret.
FIPS-tilstand på operativsystemet, der kører en DD Boost-klient
FIPS-tilstand kan aktiveres på det operativsystem, der kører et program, der bruger DD Boost-klienten til at oprette forbindelse til et DD-system
, uden programmets vidende og uden at aktivere FIPS-tilstand på DD-systemet. I et sådant scenarie skal en af følgende konfigurationer foretages:
● The DD Boost client on that operating system must be version >=7.1. ● The password hash for users on all DD systems that this client connects to must be sha512. This can be changed using the adminaccess option set password-hash sha512 CLI.
Hvis FIPS-tilstand er aktiveret på operativsystemet uden en af ovenstående konfigurationer, vil alle forbindelser fra denne klient til et DD-system mislykkes.
DD Boost-klient med FIPS-tilstand aktiveret
Når FIPS-tilstand er aktiveret på systemet, skal programmer, der har adgang til systemet ved hjælp af DD Boost-protokollen, bruge version 7.3 af DD Boost-klientbibliotekerne. Dette garanterer, at driften er FIPS-kompatibel og bruger FIPS-kompatible algoritmer. Nogle gange kan programmet få DD Boost-klientbiblioteker til at gå i FIPS-tilstand, hvis programmet er FIPS-kompatibelt og er blevet opdateret til at gå i FIPS-tilstand i klientbiblioteket. I så fald vil ikke kun FIPS-kompatible algoritmer blive brugt til, men implementeringerne af disse algoritmer bruger FIPS-certificerede biblioteker.
Når FIPS-tilstand er aktiveret, skal de adgangskoder, der er angivet på det system, som bruges af DD Boost til at få adgang til systemet, have hash SHA512-værdier. En bruger med en adgangskode med en MD5-hash kan ikke oprette forbindelse til et FIPS-aktiveret system.
SEDDEL: Det Boost-klientbibliotek, som et program bruger, skal være version >=7.1, for at programmet kan oprette forbindelse til et DD-system, der kører en DDOS-version >=7.1 med FIPS-tilstand aktiveret. Den DD Boost-klientbiblioteksversion, der leveres sammen med et program, bestemmes af programudbyderen. Du kan få en liste over alle Boost-klienter, der har oprettet forbindelse til DD-systemet inden for de seneste 24 timer, fra kommandolinjegrænsefladen for DDboost show-forbindelser. Kolonnen Pluginversion skal vises for at afgøre, om en klient med et Boost-plug-in, der er ældre end 7.1.x.x, i øjeblikket opretter forbindelse til dette DD-system. Alle disse klienter kan ikke oprette forbindelse, når FIPS-tilstand er aktiveret på DD-systemet og skal opgraderes. Kontakt programleverandøren for at finde ud af, hvilken version af DD Boost-klientbiblioteket en bestemt programversion bruger, for at se, om programmet kan bruges sammen med et DD-system med FIPS-tilstand aktiveret.
Telnet
Telnet er ikke FIPS-kompatibelt og er deaktiveret som standard.
FTP/FTPS
FTP/FTPS er ikke FIPS-kompatibel og er deaktiveret som standard.
Active Directory
Active Directory er ikke FIPS-kompatibelt.
Active Directory fortsætter med at fungere, når det er konfigureret, og når FIPS er aktiveret.
CIFS
CIFS-serveren på DDOS er agnostisk over for FIPS-tilstandsindstillingen. Selvom kunden aktiverer FIPS-tilstand, fortsætter CIFS med at arbejde i
ikke-FIPS-kompatibel tilstand.
Sådan deaktiveres eller forhindres CIFS i at acceptere forbindelser fra klienterne:sysadmin@localhost#
cifs disable
NFS
NFS er ikke FIPS-kompatibel.
● NFS fungerer fortsat i en ikke-FIPS-kompatibel tilstand.
● NFS kan deaktiveres med kommandoen nfs deaktivering.
Secure Connect Gateway (SCG)
SCG er en sikker tovejsforbindelse mellem Dell EMC-produkter og Dell EMC's kundesupport. SCG er deaktiveret som standard og fungerer fortsat i ikke-FIPS-kompatibel tilstand.
DISA STIG standarder
| Aktivér FIPS 140-2-godkendt kryptering. | DD understøtter kun brug af FIPS 140-2-godkendte cifre til sikre forbindelser. DD anbefaler, at du bruger brugergrænseflade eller CLI til at aktivere FIPS-tilstand: ● UI: Administrationsindstilling > af > FIPS-tilstand ● CLI: Aktivér system-FIPS-tilstand |
| Brug af godkendelsesserver til godkendelse af brugere, før du giver administratoradgang. | DD understøtter flere navneserverprotokoller som f.eks. LDAP, NIS og AD. DD anbefaler at bruge OpenLDAP med FIPS aktiveret. DD administrerer kun lokale konti. DD anbefaler, at du bruger brugergrænsefladen eller CLI til at konfigurere LDAP. ● UI: Godkendelse af administrationsadgang >> ● CLI: LDAP-godkendelseskommandoer Active Directory kan også konfigureres til brugerlogins med FIPS aktiveret. CIFS-dataadgang med AD-brugere understøttes dog ikke længere med denne konfiguration. |
| Netværksenheden skal godkende netværksadministrations SNMP-slutpunkter, før der oprettes en lokal, ekstern eller netværksforbindelse ved hjælp af tovejsgodkendelse, der er kryptografisk baseret. | DD understøtter SNMPV3, der er FIPS-kompatibel. DD anbefaler at bruge brugergrænsefladen eller CLI til at konfigurere SNMPV3. ● UI: Administrationsindstillinger >> SNMP ● CLI: SNMP-kommandoer |
| Brug en FIPS 140-2-godkendt kryptografisk hashingalgoritme. | Systemet skal bruge en FIPS 140-2-godkendt kryptografik hashingalgoritme til generering af hashværdier for kontoadgangskode. Systemer skal anvende kryptografiske hashes til adgangskoder ved hjælp af SHA-2-familien af algoritmer eller FIPS 140-2-godkendt Efterfølgere. Brug af ikke-godkendte algoritmer kan resultere i Svage adgangskodehashes er mere sårbare over for kompromittering. BEMÆRK: DDOS-kommandoreferencevejledningen beskriver, hvordan du bruger adminaccess option set password-hash {md5 | sha512} til at indstille den FIPS 140-2-godkendte kryptografiske hashing på systemet. Ændring af hashalgoritmen ændres ikke hashværdien for eventuelle eksisterende adgangskoder. Eventuelle eksisterende Adgangskoder, der blev hashkrypteret med MD5, vil stadig have MD5 hashværdier efter ændring af password-hash-algoritmen til sha512. Disse adgangskoder skal nulstilles, så en ny SHA512-hashværdien beregnes. |
Additional Information
Eksternt signerede certifikater
CA (Certificate Authority) er i PEM-format (Public Certificate) for at oprette en pålidelig forbindelse mellem den eksterne enhed og hvert system.
Hvis systemet bruger den eksterne nøglehåndtering, kræver det et PKCS12-værtscertifikat og CA-certifikat i PEM-format (offentlig nøgle) for at oprette en pålidelig forbindelse mellem den eksterne nøglehåndteringsserver og hvert system, det administrerer.
Certifikatsigneringen kræver PKCS10-format. Den offentlige certifikatnøgle kan enten have PKCS12 (offentlig plus en privat nøgle) eller PEM-format. PEM-formatet for værtscertifikatet bruges kun sammen med CSR-funktionen (Certificate Signing Request).
Individuelle værtscertifikater kan importeres til HTTPS og kommunikation med ekstern nøglehåndtering.
Import af værtscertifikatet i PKCS12-format understøttes. Hvis der er en CSR på systemet, kan du importere værtscertifikatet i PEM-format, efter at CSR'en er underskrevet af en certifikatmyndighed.
SEDDEL: Systemadgangsudtrykket er påkrævet for at importere certifikatet.
På et FIPS-aktiveret DD-system skal PKCS12-filen være FIPS-kompatibel. Under kryptering af PKCS12-filen skal der anvendes kompatible krypteringsalgoritmer. Vi anbefaler at bruge "PBE-SHA1-3DES" til kryptering af nøgle og certifikat i PKCS12-fil.
DD-kryptering giver indbygget kryptering, hvilket betyder, at når data indtages, deduplikeres, komprimeres og krypteres strømmen ved hjælp af en krypteringsnøgle, før den skrives til RAID-gruppen. DD-krypteringssoftwaren bruger RSA BSAFE-biblioteker, som er FIPS 140-2-validerede.
Secure Connect Gateway (SCG)
Secure Connect Gateway er en IP-baseret automatiseret Connect Home- og Remote Support-løsning, der skaber både en samlet arkitektur og et fælles adgangspunkt for fjernsupportaktiviteter, der udføres på produktet. SCG IP-løsningen
gør følgende:
● Giver løbende overvågning, diagnose og reparation af mindre hardwareproblemer.
● Bruger den mest avancerede kryptering, godkendelse, revision og autorisation til fjernsupport med ultrahøj sikkerhed.
● Adresserer overholdelse af virksomheds- og statslige regler ved at levere logfiler over alle adgangshændelser.
● Giver nem integration og konfiguration med lagerstyringsnetværket og firewalls.
● Giver maksimal beskyttelse af informationsinfrastruktur. IP-baserede sessioner muliggør hurtig informationsoverførsel og -opløsning.
● Konsoliderer fjernsupport til oplysningerne med SCG-klienten.
● Giver fjernadgang til stedet for genoprettelse efter nedbrud og gør gendannelse efter uplanlagte hændelser problemfri.
● Beskytter information i bevægelse eller i hvile. AES 256-kryptering under informationsoverførsel beskytter oplysningerne.
● Reducerer omkostninger og rod i datacenteret og fremskynder løsningstiden. Afskaffelsen af modem / telefonlinjeomkostninger betyder lavere omkostninger.
SEDDEL: SCG er ikke FIPS-kompatibel.
SEDDEL: Brug af FTP eller usikker e-mail, mens du opretter forbindelse til SCG, kan være en sikkerhedsrisiko.
Tilføjelse af en skyenhed til Amazon Web Services S3
AWS tilbyder en række lagringsklasser. Cloud Providers Compatibility Matrix, som er tilgængelig fra E-Lab Navigator, indeholder opdaterede oplysninger om de understøttede storageklasser.
Om denne opgave
For forbedret sikkerhed bruger Cloud Tier-funktionen signaturversion 4 til alle AWS-anmodninger. Signatur Version 4-signering er aktiveret som standard.
Følgende slutpunkter bruges af AWS-cloududbyderen, afhængigt af lagerklasse og region. Sørg for, at DNS kan fortolke disse værtsnavne, før du konfigurerer cloudenheder.
FIPS-kompatible slutpunkter er tilgængelige for AWS Government Cloud.
Fra og med DDOS 7.8 understøtter området US-East-1 ikke længere det ældre slutpunkt s3.amazonaws.com. US-east-1-området kræver nu slutpunktet s3.us-east-1.amazonaws.com. Kontroller, at firewallen er åben for at nå det nye slutpunkt, før du opgraderer til DDOS 7.8.
S3.FIPS.us-gov-west-1.amazonaws.com
Affected Products
Data DomainArticle Properties
Article Number: 000211241
Article Type: How To
Last Modified: 03 Jul 2024
Version: 2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.