Data Domain: Configuración y prácticas recomendadas de FIPS
Summary: El sistema de archivos DD, SMS, el servicio Apache HTTP, el cliente LDAP y el demonio SSH utilizan algoritmos compatibles con FIPS 140-2 cuando FIPS está habilitado.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Para iniciar sesión con FIPS habilitado en un sistema de protección o una instancia de DDVE mediante SSH, la versión mínima soportada de SSH es OpenSSH v5.9p1.
Habilitación de la autorización de seguridad
Puede usar la CLI para habilitar y deshabilitar la política de autorización de seguridad.
Acerca de esta tarea
NOTA: La licencia de DD Retention Lock Compliance debe estar instalada. No se permite deshabilitar la política de autorización en sistemas DD Retention Lock Compliance.
Pasos
1. Inicie sesión en la CLI con un nombre de usuario y una contraseña de director de seguridad.
2. Para habilitar la política de autorización de director de seguridad, ingrese lo siguiente: Nro.
Los siguientes comandos siempre requieren autorización del director de seguridad:
El botón FIPS Mode permite habilitar o deshabilitar el modo de cumplimiento de FIPS 140-2.
Pasos
1. Seleccione Administration > Settings.
2. Haga clic en FIPS Mode para habilitar o deshabilitar el modo de cumplimiento de FIPS 140-2.
Resultados
Después de habilitar el modo de cumplimiento de FIPS 140-2, DDOS realiza lo siguiente:
● Fuerza un cambio de contraseña para la cuenta sysadmin y una cuenta de director de seguridad (si se habilitó el director de seguridad).
● Se reinicia, lo que provoca una interrupción en el acceso al sistema de archivos.
● Solo permite que las aplicaciones con clientes compatibles con FIPS accedan al sistema de archivos después de que se completa el reinicio.
Configuración de FIPS
Referencia rápida sobre los servicios frente al cumplimiento con FIPS después de habilitar FIPS en el sistema.
NIS
Si se habilita el modo FIPS, asegúrese de configurar el servidor NIS con SHA512 para el hash de contraseña de usuario. Esto se aplica a los usuarios de NIS existentes y a los usuarios nuevos que se agregan al servidor NIS. Si ya se configuró el servidor NIS, es posible que los usuarios de NIS soportados anteriormente no puedan iniciar sesión. Es necesario volver a aplicar el hash a todas las contraseñas de usuario mediante SHA512.
LDAP
Si el servicio SNMP no es necesario, deshabilite ese servicio.
Si el servicio SNMP es necesario y se encuentra habilitado, la siguiente es una lista de las configuraciones de SNMP necesarias para habilitar
el modo FIPS.
● SNMP debe configurarse con SNMP V3.
● El protocolo de autenticación de usuarios SNMP debe configurarse como SHA256.
● El protocolo de privacidad de usuarios SNMP debe configurarse como AES.
Los protocolos SNMP v2/SNMP v1 no implementan seguridad criptográfica y solo se debe utilizar SNMP v3 cuando el sistema tiene
FIPS habilitado.
Modo FIPS en el sistema operativo que ejecuta un cliente DD Boost
El modo FIPS se puede habilitar en el sistema operativo donde se ejecuta una aplicación que utiliza el cliente DD Boost para conectarse a un sistema DD,
sin el conocimiento de la aplicación y sin habilitar el modo FIPS en el sistema DD. En esta situación, se debe establecer una de las siguientes configuraciones:
Habilitación de la autorización de seguridad
Puede usar la CLI para habilitar y deshabilitar la política de autorización de seguridad.
Acerca de esta tarea
NOTA: La licencia de DD Retention Lock Compliance debe estar instalada. No se permite deshabilitar la política de autorización en sistemas DD Retention Lock Compliance.
Pasos
1. Inicie sesión en la CLI con un nombre de usuario y una contraseña de director de seguridad.
2. Para habilitar la política de autorización de director de seguridad, ingrese lo siguiente: Nro.
authorization policy set security-officer enabled
Los siguientes comandos siempre requieren autorización del director de seguridad:
# system fips-mode disable # system fips-mode enable
Habilitación del modo FIPS
El botón FIPS Mode permite habilitar o deshabilitar el modo de cumplimiento de FIPS 140-2.
Pasos
1. Seleccione Administration > Settings.
2. Haga clic en FIPS Mode para habilitar o deshabilitar el modo de cumplimiento de FIPS 140-2.
Resultados
Después de habilitar el modo de cumplimiento de FIPS 140-2, DDOS realiza lo siguiente:
● Fuerza un cambio de contraseña para la cuenta sysadmin y una cuenta de director de seguridad (si se habilitó el director de seguridad).
● Se reinicia, lo que provoca una interrupción en el acceso al sistema de archivos.
● Solo permite que las aplicaciones con clientes compatibles con FIPS accedan al sistema de archivos después de que se completa el reinicio.
Configuración de FIPS
The DD file system, SMS, Apache HTTP service, LDAP client, and SSH Daemon use FIPS 140-2 compliant algorithms when FIPS is enabled. To enable FIPS compliance mode, run the following command: system fips-mode enable. NOTE: Enabling or disabling FIPS compliance mode results in a system reboot and interrupts any ongoing backup or replication activities. NOTE: Enabling FIPS mode invalidates all local users passwords. The passwords for sysadmin and one of the security officers are forced to change during enabling FIPS mode. The other local users require sysadmin to change their passwords for them by running user change password. NOTE: All backup application using DD local users must restart the backups using new DD local user passwords. This is applicable for all protocols. DDOS uses FIPS certified libraries including Dell OpenSSL Cryptographic Library, BSafe, Crypto J, Cert-J, and SSL-K. ● Dell OpenSSL Cryptographic Library v2.5 ● EMC Crypto-C Micro Edition 4.1.4 cryptographic module To disable FIPS compliance mode, run the following command: system fips-mode disable.
Referencia rápida sobre los servicios frente al cumplimiento con FIPS después de habilitar FIPS en el sistema.
| Servicio | Soporte de FIPS | Nota sobre la configuración |
| SSH | Sí | Compatible mediante la habilitación de FIPS |
| HTTPS | Sí | Compatible mediante la habilitación de FIPS |
| Telnet | No | Desactivado de forma predeterminada; no habilitar para FIPS |
| FTP/FTPS | No | Desactivado de forma predeterminada; no habilitar para FIPS |
| SMS | Sí | Compatible mediante la habilitación de FIPS |
| Cifrado de datos | Sí | Compatible mediante la habilitación de FIPS |
| Replicación de datos | Sí | Usar autenticación bidireccional |
| NIS | Sí | Usar SHA512 para el hash de contraseña de usuario |
| LDAP | Sí | Usar autenticación TLS |
| SNMP | Sí | Usar SNMPV3 |
| DD Boost | Sí | La versión del cliente DD Boost debe ser 7.3 o superior |
| Active Directory | No | No compatible con FIPS |
| CIFS | No | Independiente de la configuración del modo FIPS |
| NFS | No | No compatible con FIPS |
| Secure Remote Services | No | Deshabilitado de manera predeterminada |
Cifrados SSH, MAC y algoritmos de intercambio de claves
Cuando se habilita FIPS:
● Solo se pueden configurar cifrados SSH y MAC aprobados por FIPS 140-2. Las funciones de usuario admin y limited-admin pueden establecer los cifrados y las MAC,
que se pueden configurar mediante el siguiente comando: adminaccess ssh option set ciphers
● La lista de cifrados, la lista de MAC y la lista de KEX (algoritmos de intercambio de claves) en el archivo de configuración de SSHD se establecen en una lista predeterminada de
cifrados, MAC y KEX compatibles con FIPS. La configuración anterior se pierde.
Cuando se deshabilita el modo de cumplimiento de FIPS, la lista de cifrados, la lista de MAC y la lista de KEX (algoritmos de intercambio de claves) en el archivo de configuración de SSHD
se establecen en la lista predeterminada del sistema de cifrados, MAC y KEX. La configuración anterior se pierde.
Los siguientes cifrados se soportan en los sistemas o DDVE que ejecutan DDOS con FIPS habilitado:
Cifrados, MAC y algoritmos de intercambio de claves
| Cifrados | ● aes128-ctr ● aes192-ctr ● aes256-ctr |
| MAC | ● hmac-sha2-256-etm@openssh.com ● hmac-sha2-512-etm@openssh.com ● hmac-sha2-256 ● hmac-sha2-512 |
| Algoritmos de intercambio de claves (KEX) | ● ecdh-sha2-nistp256 ● ecdh-sha2-nistp384 ● ecdh-sha2-nistp521 ● diffie-hellman-group16-sha512 ● diffie-hellman-group18-sha512 ● diffie-hellman-group14-sha256 |
The cipher list can always be changed by running the adminaccess ssh options set ciphers command. When FIPS is enabled, users can only configure SSH service to use FIPS complaint SSH ciphers. If non-FIPS compliant ciphers are used, user would see an error. The MAC list can always be changed by running the adminaccess ssh options set macs command. When FIPS is enabled, users can only configure SSH service to use FIPS complaint SSH macs. If non-FIPS compliant macs are used, user would see an error.
HTTPS
El servicio HTTPS Apache utiliza la misma lista de cifrados que SMS.
Cifrado de datos en reposo
Si se habilita el cifrado de datos en reposo, el sistema es compatible con FIPS de manera predeterminada.
TLS cipher-list for management communications and replication control path In case of replication, data-path is FIPS-compliant when it is enabled with two-way authentication. If FIPS mode is enabled on the destination DD system, then Replication will not be allowed from DD systems running DDOS versions prior to DDOS 7.0. When FIPS mode is enabled, even if other ciphers were set with the adminaccess option set cipher-list command, DDOS only uses FIPS-compliant ciphers for the following communication interfaces: ● For DDMC communications to managed DD-systems ● For Replication control path ● By the Data Domain System Management (GUI) ● For REST APIs The cipher list can be configured with the adminaccess option set cipher-list command.
| Aplicación | Lista de cifrados TLS predeterminados |
| Los conjuntos de cifrados predeterminados para la configuración de replicación y las API REST son los siguientes: | ● ECDHE-RSA-AES256-GCM-SHA384 |
| Los conjuntos de cifrados predeterminados para la interfaz de usuario son los siguientes: | ● ECDHE-RSA-AES256-GCM-SHA384 ● ECDHE-RSA-AES128-GCM-SHA256 ● ECDHE-RSA-AES256-SHA384 ● ECDHE-RSA-AES128-SHA256 |
NIS
Si se habilita el modo FIPS, asegúrese de configurar el servidor NIS con SHA512 para el hash de contraseña de usuario. Esto se aplica a los usuarios de NIS existentes y a los usuarios nuevos que se agregan al servidor NIS. Si ya se configuró el servidor NIS, es posible que los usuarios de NIS soportados anteriormente no puedan iniciar sesión. Es necesario volver a aplicar el hash a todas las contraseñas de usuario mediante SHA512.
LDAP
When FIPS is enabled, the LDAP client that runs on a system or DDVE must use TLS. # authentication ldap ssl enable method start_tls Otherwise, enabling FIPS compliance mode fails. On a fresh install and upgrade, LDAP SSL ciphers are not explicitly set. When FIPS compliance mode is enabled, the LDAP SSL ciphers are set to the following: ● ECDHE-RSA-AES256-GCM-SHA384 ● ECDHE-RSA-AES256-SHA384 ● DHE-RSA-AES256-GCM-SHA384 ● DHE-RSA-AES256-SHA256 ● AES256-GCM-SHA384 ● AES256-SHA256 ● ECDHE-RSA-AES128-GCM-SHA256 ● ECDHE-RSA-AES128-SHA256 ● DHE-RSA-AES128-GCM-SHA256 ● DHE-RSA-AES128-SHA256 ● AES128-GCM-SHA256 ● AES128-SHA256 The configured cipher-list should be: ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES256-GCM-SHA384:DHE-RSAAES256-SHA256:AES256-GCM-SHA384:AES256-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSAAES128-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:AES128-GCM-SHA256:AES128- SHA256 When FIPS is disabled, it is set to "", an empty string.SNMP
Si el servicio SNMP no es necesario, deshabilite ese servicio.
Si el servicio SNMP es necesario y se encuentra habilitado, la siguiente es una lista de las configuraciones de SNMP necesarias para habilitar
el modo FIPS.
● SNMP debe configurarse con SNMP V3.
● El protocolo de autenticación de usuarios SNMP debe configurarse como SHA256.
● El protocolo de privacidad de usuarios SNMP debe configurarse como AES.
Los protocolos SNMP v2/SNMP v1 no implementan seguridad criptográfica y solo se debe utilizar SNMP v3 cuando el sistema tiene
FIPS habilitado.
Modo FIPS en el sistema operativo que ejecuta un cliente DD Boost
El modo FIPS se puede habilitar en el sistema operativo donde se ejecuta una aplicación que utiliza el cliente DD Boost para conectarse a un sistema DD,
sin el conocimiento de la aplicación y sin habilitar el modo FIPS en el sistema DD. En esta situación, se debe establecer una de las siguientes configuraciones:
● The DD Boost client on that operating system must be version >=7.1. ● The password hash for users on all DD systems that this client connects to must be sha512. This can be changed using the adminaccess option set password-hash sha512 CLI.
Si se habilita el modo FIPS en el sistema operativo sin ninguna de las configuraciones anteriores, todas las conexiones de este cliente a cualquier sistema DD fallarán.
Cliente DD Boost con el modo FIPS habilitado
Cuando se habilita el modo FIPS en el sistema, las aplicaciones que acceden al sistema mediante el protocolo de DD Boost deben usar la versión 7.3 de las bibliotecas de cliente DD Boost. Esto garantiza que las operaciones sean compatibles con FIPS y utilicen algoritmos que cumplan con FIPS. En ocasiones, la aplicación puede hacer que las bibliotecas de cliente DD Boost ingresen al modo FIPS si la aplicación reconoce FIPS y se actualizó para ingresar al modo FIPS en la biblioteca de cliente. En ese caso, no solo se utilizarán algoritmos compatibles con FIPS, sino que las implementaciones de esos algoritmos utilizarán bibliotecas certificadas por FIPS.
Cuando se habilita el modo FIPS, las contraseñas establecidas en el sistema que utiliza DD Boost para acceder al sistema deben tener valores SHA512 de hash. Si un usuario tiene una contraseña con un hash MD5, no podrá conectarse a un sistema habilitado para FIPS.
NOTA: La biblioteca de cliente Boost que utiliza una aplicación debe ser versión >=7.1 para que la aplicación se conecte correctamente a un sistema DD que ejecuta DDOS versión >=7.1 con el modo FIPS habilitado. El proveedor de la aplicación determina la versión de la biblioteca de cliente DD Boost que se envía con una aplicación. Es posible obtener una lista de todos los clientes Boost que se conectaron al sistema DD en las últimas 24 horas desde la CLI ddboost show connections. Se debe consultar la columna Plugin Version para determinar si algún cliente con un plug-in de Boost anterior a 7.1.x.x se está conectando a este sistema DD. Ninguno de esos clientes podrá conectarse después de habilitar el modo FIPS en el sistema DD y todos deberán ser actualizados. Consulte con el proveedor de la aplicación para determinar la versión de la biblioteca de cliente DD Boost que utiliza una versión específica de la aplicación a fin de ver si la aplicación se puede usar en un sistema DD con el modo FIPS habilitado.
Telnet
Telnet no es compatible con FIPS y se encuentra deshabilitado de manera predeterminada.
FTP/FTPS
FTP/FTPS no es compatible con FIPS y se encuentra deshabilitado de manera predeterminada.
Active Directory
Active Directory no es compatible con FIPS.
Active Directory sigue funcionando cuando se configura y cuando se habilita FIPS.
CIFS
El servidor CIFS en DDOS es independiente de la configuración del modo FIPS. Incluso si el cliente habilita el modo FIPS, CIFS sigue funcionando en
un modo no compatible con FIPS.
Para deshabilitar o impedir que CIFS acepte cualquier conexión de clientes sysadmin@localhost#
cifs disable
NFS
NFS no es compatible con FIPS.
● NFS sigue funcionando en un modo no compatible con FIPS.
● NFS se puede deshabilitar con el comando nfs disable.
Secure Connect Gateway (SCG)
SCG es una conexión segura y bidireccional entre los productos de Dell EMC y el soporte al cliente de Dell EMC. SCG se encuentra deshabilitado de manera predeterminada y sigue funcionando en un modo no compatible con FIPS.
Normas DISA STIG
| Habilitación del cifrado aprobado por FIPS 140-2. | DD solo soporta el uso de cifrados aprobados por FIPS 140-2 para conexiones seguras. DD recomienda usar la interfaz de usuario o la CLI para habilitar el modo FIPS: ● Interfaz de usuario: Administration > Setting > FIPS mode ● CLI: system fips-mode enable |
| Uso del servidor de autenticación para autenticar usuarios antes de otorgarles acceso administrativo. | DD soporta varios protocolos de servidores de nombres, como LDAP, NIS y AD. DD recomienda usar OpenLDAP con FIPS activado. DD administra solo cuentas locales. DD recomienda usar la interfaz de usuario o la CLI para configurar LDAP. ● Interfaz de usuario: Administration > Access > Authentication ● CLI: Comandos LDAP de autenticación Active Directory también se puede configurar para inicios de sesión de usuario con FIPS habilitado. Sin embargo, el acceso a datos de CIFS con usuarios de AD ya no soporta esa configuración. |
| El dispositivo de red debe autenticar los terminales SNMP de administración de red antes de establecer una conexión local, remota o de red mediante una autenticación bidireccional basada en criptografía. | DD soporta la opción SNMPV3 compatible con FIPS. DD recomienda usar la interfaz de usuario o la CLI para configurar SNMPV3. ● Interfaz de usuario: Administration > Settings > SNMP ● CLI: Comandos de SNMP |
| Uso de un algoritmo de hash criptográfico aprobado por FIPS 140-2. | El sistema debe utilizar un algoritmo de hash criptográfico aprobado por FIPS 140-2 para generar valores de hash de contraseña de cuenta. Los sistemas deben emplear valores de hash criptográficos para las contraseñas con la familia de algoritmos SHA-2 o los sucesores aprobados por FIPS 140-2. El uso de algoritmos no aprobados puede dar lugar a valores de hash de contraseña débiles más vulnerables a los riesgos. NOTA: En la guía de referencia de comandos de DDOS, se describe cómo usar el comando adminaccess option set password-hash {md5 | sha512} para establecer el hash criptográfico aprobado por FIPS 140-2 en el sistema. Cambiar el algoritmo de hash no cambia el valor de hash de ninguna contraseña existente. Cualquier contraseña existente a la que se aplicó un algoritmo de hash md5 seguirá teniendo valores de hash md5 después de cambiar el algoritmo password-hash a sha512. Esas contraseñas se deben restablecer para que se muestre un nuevo valor de hash sha512. |
Additional Information
Certificados firmados externamente
La autoridad de certificación (CA) presenta el formato de certificado público (PEM) para establecer una conexión de confianza entre la entidad externa y cada sistema.
Si el sistema utiliza el administrador de claves externo, se requiere un certificado de host PKCS12 y un certificado de CA en formato PEM (clave pública) para establecer una conexión de confianza entre el servidor del administrador de claves externo y cada sistema que administra.
La firma del certificado requiere el formato PKCS10. La clave del certificado público puede tener el formato PKCS12 (público más una clave privada) o PEM. El formato PEM del certificado de host se utiliza solo con la característica de solicitud de firma de certificado (CSR).
Los certificados de host individuales se pueden importar para HTTPS y la comunicación con el administrador de claves externo.
Se soporta la importación del certificado de host en formato PKCS12. Si existe una CSR en el sistema, puede importar el certificado de host en formato PEM después de que una autoridad de certificación firme la CSR.
NOTA: Se requiere la frase de contraseña del sistema para importar el certificado.
En un sistema DD habilitado para FIPS, el archivo PKCS12 debe ser compatible con FIPS. Durante el cifrado de un archivo PKCS12, se deben utilizar algoritmos de cifrado compatibles. Se recomienda usar “PBE-SHA1-3DES” para cifrar la clave y el certificado en el archivo PKCS12.
DD Encryption proporciona cifrado en línea, lo que significa que, a medida que se ingieren datos, el flujo se desduplica, se comprime y se cifra con una clave de cifrado antes de escribirse en el grupo RAID. El software DD Encryption utiliza bibliotecas RSA BSAFE, que cuentan con la validación de FIPS 140-2.
Secure Connect Gateway (SCG)
Secure Connect Gateway es una solución de soporte remoto y conexión local automatizada basada en IP que crea una arquitectura unificada y un punto de acceso común para las actividades de soporte remoto que se realizan en el producto. La solución IP
de SCG realiza lo siguiente:
● Proporciona monitoreo, diagnóstico y reparación continuos de problemas menores de hardware.
● Utiliza el cifrado, la autenticación, la auditoría y la autorización más avanzados para un soporte remoto de seguridad ultraalta.
● Aborda el cumplimiento de las normativas gubernamentales y corporativas proporcionando registros de todos los eventos de acceso.
● Proporciona una fácil integración y configuración con la red de gestión de almacenamiento y los firewalls.
● Proporciona la máxima protección de la infraestructura de información. Las sesiones basadas en IP aceleran la transferencia de información y la resolución.
● Consolida el soporte remoto de la información con el cliente SCG.
● Proporciona acceso remoto al sitio de recuperación ante desastres y hace que la recuperación de eventos no planificados sea perfecta.
● Protege la información en movimiento o en reposo. El cifrado AES 256 durante la transferencia de información protege la información.
● Reduce los costos, minimiza el desorden en el centro de datos y acelera el tiempo de resolución. La eliminación de los costos de módem/línea telefónica se traduce en costos más bajos.
NOTA: SCG no es compatible con FIPS.
NOTA: El uso de FTP o correo electrónico no seguro durante la conexión con SCG podría ser un riesgo de seguridad.
Adición de una unidad de nube para Amazon Web Services S3
AWS ofrece diversas clases de almacenamiento. La matriz de compatibilidad de proveedores de servicio en la nube, disponible en E-Lab Navigator, proporciona información actualizada acerca de las clases de almacenamiento soportadas.
Acerca de esta tarea
Para mejorar la seguridad, la característica Cloud Tier utiliza Signature Version 4 para todas las solicitudes de AWS. La firma Signature Version 4 se encuentra habilitada de forma predeterminada.
El proveedor de servicios en la nube de AWS utiliza los siguientes terminales, según la clase de almacenamiento y la región. Asegúrese de que DNS pueda resolver estos nombres de host antes de configurar las unidades de nube.
Existen terminales compatibles con FIPS disponibles para AWS Government Cloud.
A partir de DDOS 7.8, la región us-east-1 ya no soporta el terminal heredado s3.amazonaws.com. La región us-east-1 ahora requiere el terminal s3.us-east-1.amazonaws.com. Verifique que el firewall esté abierto para contactar al nuevo terminal antes de actualizar a DDOS 7.8.
S3.fips.us-gov-west-1.amazonaws.com
Affected Products
Data DomainArticle Properties
Article Number: 000211241
Article Type: How To
Last Modified: 03 Jul 2024
Version: 2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.