FIPS 140-3 Stufe 1

Der Federal Information Processing Standard 140-3 (FIPS 140-3) Level 1 ist ein öffentlicher Standard der Vereinigten Staaten, der Sicherheitsanforderungen für kryptografische Module definiert.

SFOS 20.0 MR1 und nachfolgende Wartungsversionen 20.0 sind FIPS 140-3 Level 1-konform.

Unterstützte Installationen

Die Firewall unterstützt den FIPS-Modus bei den folgenden Installationen:

Hardware der XGS-Serie
Virtuelle Maschinen (VMware vSphere, Hyper-V, KVM, Xen)
Cloud (AWS, Azure)

Die Firewall unterstützt den FIPS-Modus bei den folgenden Installationen nicht:

Software
Hardware der XG- und SG-Serie

FIPS-konforme Algorithmen

Für VPN-Konfigurationen auf FIPS-kompatiblen Firewalls stehen folgende Algorithmen zur Verfügung:

DH-Gruppen: 14, 15, 16, 17, 18, 19, 20 und 21
Verschlüsselung: AES256-CBC, AES192-CBC, AES128-CBC, AES256-GCM, AES192-GCM und AES128-GCM
RSA-Schlüssel: 2048 und höher

Nur 2048 und 3072 sind FIPS-kompatibel. Die Firewall ermöglicht Ihnen jedoch die Auswahl größerer Schlüsselgrößen, da diese stärker sind.
EC-Kurven: 224-Bit und größere Schlüsselgrößen
Authentifizierung: SHA1, SHA256, SHA384 und SHA512
PSK: 14 Bytes und größer
TLS-Versionen: TLS 1.2 und TLS 1.3

Notiz

Wir empfehlen dringend, IKEv2 für alle Neuinstallationen zu verwenden. Verwenden Sie IKEv1 nur auf älteren Systemen und mit FIPS-konformen Algorithmen.

Aktivieren Sie FIPS

Zum Aktivieren von FIPS muss die Firewall auf die Werkseinstellungen zurückgesetzt werden, um die FIPS-konformen Algorithmen auf die Firewall-Funktionen anzuwenden. Nach dem Aktivieren von FIPS muss die Firewall erneut konfiguriert werden.

Notiz

Wenn Sie FIPS in einer FIPS-kompatiblen SFOS 18.5 MR-Version aktiviert haben, können Sie auf SFOS 20.0 MR1 und nachfolgende Wartungsversionen 20.0 aktualisieren. Alternativ können Sie ein FIPS-kompatibles Backup wiederherstellen, ohne die Firewall erneut zu konfigurieren, und so die FIPS-Konformität aufrechterhalten.

Um den FIPS-Modus zu aktivieren, gehen Sie zur Befehlszeilenschnittstelle (CLI) und geben Sie den folgenden Befehl ein:

system certification fips aktivieren

Die Firewall wird mit der Werkskonfiguration neu gestartet und das Kryptografiemodul wird FIPS-kompatibel.

Warnung

Der Neustart ersetzt Ihre aktuelle Konfiguration durch die Werkseinstellungen.

Um den FIPS-Modus bei Bereitstellungen mit hoher Verfügbarkeit (HA) zu aktivieren, aktivieren Sie zuerst den FIPS-Modus und dann HA.

Beschränkung

Sie können FIPS nicht für Geräte aktivieren oder deaktivieren, für die HA bereits aktiviert ist.

Sichern und Wiederherstellen mit FIPS

Sie können Sicherungen mit aktiviertem oder deaktiviertem FIPS auf jeder kompatiblen Firewall-Version wiederherstellen. Die folgende Tabelle zeigt, wie sich dies auf den FIPS-Modus in der wiederhergestellten Konfiguration auswirkt.

Sicherungstyp	Firewall-Version, die FIPS unterstützt	Firewall-Version, die FIPS nicht unterstützt
FIPS wurde aktiviert	FIPS wird aktiviert	FIPS wird nicht verfügbar sein
FIPS wurde deaktiviert	FIPS wird deaktiviert	FIPS wird nicht verfügbar sein

Beschränkung

Sie können eine Sicherung von einer Firewall, auf der eine der FIPS-fähigen SFOS 18.5 MR-Versionen (kompatibel mit FIPS 140-2 Level 1) ausgeführt wird, nicht auf einer Firewall wiederherstellen, auf der SFOS 20.0 MR1 oder eine nachfolgende Wartungsversion 20.0 (kompatibel mit FIPS 140-3 Level 1) ausgeführt wird, wenn die 18.5-Firewall über die folgenden VPN-Konfigurationen verfügt:

Verschlüsselung: 3DES
SHA1-signiertes Zertifikat, das in der lokalen oder Remote-Konfiguration verwendet wird
RSA-Zertifikat mit 1024 oder 1536 Bit Schlüssellänge
EG-Zertifikat mit einer Schlüssellänge von weniger als 224 Bit
Pre-Shared Key mit weniger als 14 Bytes

Firmware-Upgrades mit FIPS

Wenn Sie die Firmware migrieren oder aktualisieren und dann FIPS aktivieren, können Sie zur vorherigen Version zurückkehren, bei der FIPS deaktiviert war, da die Konfiguration weiterhin verfügbar ist.

Bei aktiver Firmware mit aktiviertem FIPS schränkt die Firewall den Upload von Firmware ein, die FIPS nicht unterstützt. Wenn Sie die Firmware dennoch hochladen möchten, deaktivieren Sie den FIPS-Modus.

SFOS 20.0 MR1 und nachfolgende Wartungsversionen 20.0 sind FIPS 140-3 Level 1-kompatibel. Wenn Sie also eine FIPS 140-2 Level 1-kompatible Firewall mit SFOS 18.5 auf eine dieser Versionen migrieren möchten, müssen Sie möglicherweise zuerst die 18.5-Firewall-Konfiguration FIPS 140-3 Level 1-kompatibel machen.

Beschränkung

Sie können eine Firewall, auf der eine der FIPS-fähigen SFOS 18.5 MR-Versionen (kompatibel mit FIPS 140-2 Level 1) ausgeführt wird, nicht auf SFOS 20.0 MR1 und nachfolgende 20.0-Wartungsversionen (kompatibel mit FIPS 140-3 Level 1) aktualisieren, wenn die 18.5-Firewall über die folgenden VPN-Konfigurationen verfügt:

Verschlüsselung: 3DES
SHA1-signiertes Zertifikat, das in der lokalen oder Remote-Konfiguration verwendet wird
RSA-Zertifikat mit 1024 oder 1536 Bit Schlüssellänge
EG-Zertifikat mit einer Schlüssellänge von weniger als 224 Bit
Pre-Shared Key mit weniger als 14 Bytes

FIPS-Verhalten

Die Firewall generiert alle Standardrichtlinien mit FIPS-konformen Einstellungen.

Normalerweise generiert die Firewall die Standard-L2TP-Richtlinie mithilfe von MD5, auf FIPS-fähigen Geräten verwendet sie jedoch den mindestens erforderlichen Authentifizierungsalgorithmus SHA1.

VPN

Wenn Sie den FIPS-Modus aktivieren, verwendet IPsec die FIPS-zertifizierte Kryptografiebibliothek für den VPN-Tunnelaufbau (Phase 1). SSL VPN verwendet die FIPS-zertifizierte Kryptografiebibliothek zum Aufbau der VPN-Tunnel der Phasen 1 und 2.

Um die FIPS-Konformität zu erfüllen, sind einige Verschlüsselungsoptionen nicht verfügbar.

IPsec-VPNSSL VPNAmazon VPC

Im FIPS-Modus generiert die Firewall FIPS-konforme und FIPS-validierte Zertifikate. Die Firewall verwendet für die Generierung eine FIPS-zertifizierte Kryptografiebibliothek.

Wenn Sie Zertifikate oder Zertifizierungsstellen (CAs) hochladen, validiert die Firewall diese anhand eines FIPS-kompatiblen Algorithmus.

IPsec-Richtlinien Phase 1 und 2:
- DH-Gruppe: Sie können 1, 2, 5, 25, 26, 27, 28, 29 oder 30 nicht auswählen, da diese nicht FIPS-zertifiziert sind. Sie können 31 auswählen, da die Verschlüsselung stärker als erforderlich ist, Ihre Verbindung ist dann aber nicht FIPS-kompatibel.
- Verschlüsselung: Sie können 3DES, Blowfish, Twofish und Serpent nicht auswählen.
- Authentifizierung: Sie können MD5 nicht auswählen.
IPsec-Verbindungen
- Remote-Zugriff-VPN > IPsec > Authentifizierungstyp:
  - RSA-Schlüssel: 2048 und höher. Nur 2048 und 3072 sind FIPS-kompatibel. Die Firewall ermöglicht jedoch die Auswahl größerer Schlüsselgrößen, da diese stärker sind.
  - Digitales Zertifikat: Sie können nur FIPS-kompatible Zertifikate verwenden. Sie können „Externe Zertifizierungsstelle“ nicht als Remote-Zertifikat auswählen.
  - Vorinstallierter Schlüssel: Die Mindestlänge des vorab freigegebenen Schlüssels sollte 14 Byte betragen.
- IPsec-Assistent: Bietet FIPS-konforme Einstellungen.
IPsec (Fernzugriff) Und L2TP (Fernzugriff): Für die Authentifizierung basierend auf Digitales Zertifikatkönnen Sie nur FIPS-kompatible Zertifikate verwenden.
FIPS-fähige Geräte haben keine standardmäßige L2TP-Richtlinie.

Site-to-Site-VPN > SSL VPN > Globale SSL-VPN-Einstellungen:

SSL-Server-Zertifikat: Für die Authentifizierung basierend auf Digitales Zertifikatkönnen Sie nur FIPS-kompatible Zertifikate verwenden.
Kryptografieeinstellungen:
- Verschlüsselungsalgorithmus: Sie können BF-CBC oder 3DES nicht auswählen.
- Authentifizierungsalgorithmus: Sie können MD5 nicht auswählen.
- Schlüsselgröße: 1024 können Sie nicht auswählen.
SSL-VPN (Site-to-Site): Die Firewall generiert FIPS-konforme Server- und Clientkonfigurationen. Wenn Sie eine Serverkonfiguration von einem FIPS-fähigen Gerät herunterladen, können Sie diese nicht auf Versionen vor 18.5 MR2 verwenden, wenn die VPN-Konfiguration kennwortgeschützt ist (und umgekehrt).

In einem Site-to-Site-VPN-Tunnel, der eine Verbindung zu einer Amazon VPC herstellt, müssen Sie wie folgt vorgehen:

Verwenden Sie die VPC-Konfigurationsdatei verwenden Option zum Importieren von VPC-Verbindungen. Die Firewall unterstützt nicht die Verwenden Sie AWS-Sicherheitsanmeldeinformationen Option im FIPS-Modus. Sie können diese Option weiterhin in der Webadministrationskonsole sehen, aber die Verbindung schlägt fehl.
Aktualisieren Sie die VPC-Konfigurationsdatei manuell, um die FIPS 140-3-kompatiblen Algorithmen zu verwenden, wie in FIPS-konforme AlgorithmenStellen Sie beispielsweise sicher, dass Sie einen FIPS-kompatiblen Algorithmus für die DH-Gruppe verwenden.

Zertifikate und Zertifizierungsstellen

Im FIPS-Modus generiert die Firewall FIPS-konforme und FIPS-validierte Zertifikate. Die Firewall verwendet für die Generierung eine FIPS-zertifizierte Kryptografiebibliothek.

Wenn Sie Zertifikate oder Zertifizierungsstellen (CAs) hochladen, validiert die Firewall diese anhand eines FIPS-kompatiblen Algorithmus.

Bei digitalen Zertifikaten (lokal oder remote) hängt die Einschränkung vom Zertifikatstyp ab:

Sie können nicht auswählen MD5-Digest oder SHA1-Digest.
RSA-Schlüssel: 2048 und höher. Nur 2048 und 3072 sind FIPS-kompatibel. Die Firewall ermöglicht jedoch die Auswahl größerer Schlüsselgrößen, da diese stärker sind.
EC-Kurven: Primfeldkurven. Schlüsselgrößen von 224 und mehr sind zulässig.

Hohe Verfügbarkeit

Sie können HA auf FIPS-fähigen Geräten aktivieren. Aktivieren Sie dazu zuerst FIPS auf dem primären Gerät und dann HA. Die Firewall aktiviert FIPS dann automatisch für das Zusatzgerät.

Sie können FIPS nicht ein- oder ausschalten, während HA für die Geräte aktiviert ist.

Wenn Sie HA ausschalten, ändert sich der FIPS-Status auf keinem HA-Gerät.

Protokollierung und Berichterstellung

Der Protokoll-Viewer und die Berichte zeigen die Änderung an, wenn Sie FIPS ein- oder ausschalten.

Weitere Ressourcen

Dokumente zur Einhaltung gesetzlicher Vorschriften