Запустить FreeRADIUS на сервере Redhat с поддержкой FIPS?
Я пытаюсь установить сервер FreeRADIUS на виртуальную машину RHEL 6.9. Эта виртуальная машина работает в режиме FIPS. Я столкнулся с проблемой, описанной в отчете об ошибке Red Hat, найденном здесь.
Согласно отчету об ошибках от марта 2015 года, протокол RADIUS требует поддержки MD5. Поэтому FreeRADIUS (и RADIUS) не могут поддерживаться в режиме FIPS.
Я надеюсь, что за 3 года, прошедшие после сообщения об ошибке, было исправление или обходной путь, который я могу применить, чтобы обойти эту проблему. К сожалению, я ограничен работой в режиме FIPS согласно требованиям DISA STIG. Кто-нибудь знает, как заставить FreeRADIUS работать на машине, работающей в режиме FIPS?
1 ответ
Кажется, что используемые пакеты FreeRADIUS создаются с включенными внутренними функциями MD5, и поэтому они не зависят от реализации MD5 в OpenSSL. Это означает, что в данном случае FreeRADIUS будет работать с OpenSSL в режиме FIPS.
Для FreeRADIUS 4 (следующей основной версии) я реализовал проверку во время выполнения для замены внутренних функций, если OpenSSL работает в режиме FIPS, и использования функций OpenSSL, если она не в режиме FIPS.
Есть две причины, по которым мы хотим использовать функции OpenSSL над внутренними, когда можем:
- У них было намного больше общественного контроля. Вероятно, в какой-то момент они оказались правильными.
- Они используют любое аппаратное ускорение, предоставляемое процессором или картами криптоускорения.
Как вы указали в комментариях, некоторые другие алгоритмы, используемые TLS, могут быть недоступны. Должна быть возможность обходить любые отключенные алгоритмы, устанавливая явный список шифров в конфигурации модуля EAP и в соответствующем разделе TLS RADSEC (синтаксический анализ конфигурации TLS является обычным кодом).