La Publicación 140-2 de los Estándares Federales para el Procesamiento de la Información, Requisitos de Seguridad para Módulos Criptográficos (FIPS 140-2), describe los requisitos para módulos criptográficos del Gobierno Federal de los Estados Unidos.
El Firebox está diseñado para cumplir con los requisitos generales de la publicación FIPS 140-2, Seguridad Nivel 2, cuando se configuran de un modo acorde con los lineamientos FIPS.
Acerca del Modo FIPS
Debe usar la Command Line Interface (CLI) para activar el modo FIPS en un Firebox. Cuando el Firebox opera en modo FIPS, cada vez que el dispositivo se enciende, ejecuta una serie de auto evaluaciones exigida por la especificación 140-2 de FIPS. Si alguna de estas pruebas falla, el Firebox escribe un mensaje en el archivo de registro y se apaga.
Para obtener más información sobre los comandos CLI, consulte la Referencia de la Command Line Interface en https://www.watchguard.com/help/documentation.
Si el usuario inicia el dispositivo en modo seguro o modo de recuperación, este no funcionará en modo FIPS.
Habilitar el Funcionamiento del Modo FIPS
El Firebox no funciona en modo FIPS por defecto. Para operar en modo FIPS, haga lo siguiente:
- Emita el comando CLI fips enable para habilitar la operación en modo FIPS.
- Elija contraseñas de operador (para roles de Oficial de Criptografía y Usuario) con un mínimo de 8 caracteres.
- Ejecute fips selftest antes de realizar cambios en la configuración de la VPN.
- Mobile VPN with SSL utiliza TLS 1.2. Cuando configura los túneles VPN SSL, elija únicamente autenticación y algoritmos de cifrado aprobados por FIPS (SHA-1, SHA-256, SHA-512, Triple-DES, AES-128, AES-192, AES-256).
- Cuando configura los túneles VPN IPSec, elija únicamente autenticación y algoritmos de cifrado aprobados por FIPS (SHA-1, SHA-256, SHA-384, SHA-512, Triple-DES, AES-128, AES-192, AES-256).
- Cuando configure los túneles VPN IPSEc, elija el Grupo Diffie-Hellman 14 (2048 bits), Grupo 15 (3072 bits), Grupo 19 (curva elíptica de 256 bits) o el Grupo 20 (curva elíptica de 384 bits) para la negociación de la Fase 1 de IKE.
- Cuando configure los túneles VPN IPSec, utilice claves precompartidas o certificados RSA para la autenticación.
- Utilice solo certificados RSA para TLS.
- Utilice un mínimo de 2048-bits para todas las claves RSA.
- No utilice Mobile VPN with PPTP.
- No utilice PPPoE.
- No utilice WatchGuard System Manager para administrar el dispositivo.
- Los exploradores web deben configurarse para usar únicamente conjuntos de cifrado aprobados por TLS 1.2 y FIPS.
- Los clientes Telnet y SSH deben configurarse para utilizar el protocolo SSH V2.0 y la autenticación RSA. Si el cliente SSH utiliza el intercambio de claves Diffie-Hellman, configure el cliente para utilizar DH de 2048 bits o superior.
- Cuando se utiliza un dispositivo USB para la copia de seguridad, el Oficial de Criptografía debe tomar posesión del dispositivo USB.
- No utilice las interfaces inalámbricas.
Para determinar si el Firebox tiene habilitado el modo FIPS, ingrese el comando CLI show fips.
Cuando el usuario utilice un Firebox en modo FIPS, su uso del dispositivo está sujeto a estas limitaciones. Recomendamos considerar cuidadosamente los requisitos antes de decidir operar el Firebox en modo FIPS. Es posible que en algunos entornos le soliciten que utilice dispositivos acordes con FIPS, pero tal vez no necesite configurarlo en un modo acorde con FIPS.
Para que un Firebox en modo FIPS envíe mensajes de registro a un Servidor Dimension, el Firebox debe ejecutar Fireware v12.1.3 o superior, y el Servidor Dimension debe ejecutar Dimension v2.1.2 o superior.
Deshabilitar el Funcionamiento del Modo FIPS
Emita el comando CLI no fips enable para deshabilitar el funcionamiento del modo FIPS.