MPX FIPS-Appliances
Die NetScaler MPX 8900 FIPS-, MPX 9100 FIPS- und MPX 15000-50G FIPS-Appliances werden derzeit von einem externen Labor für die Sicherheitsanforderungen von FIPS 140-3 Level 1 validiert (derzeit in IUT https://csrc.nist.gov/projects/cryptographic-module-validation-program/modules-in-process/iut-list). Weitere Informationen zum FIPS 140-3-Standard und zum Validierungsprogramm finden Sie auf der Website des National Institute of Standards and Technology (NIST) und des Cryptographic Module Validation Program (CMVP) des Canadian Center for Cyber Security (CCCS) unter. https://csrc.nist.gov/projects/cryptographic-module-validation-program
Hinweise
- Die MPX 8900 FIPS-, MPX 9100 FIPS- und MPX 15000-50G FIPS-Appliances verwenden kein Hardware-Sicherheitsmodul eines Drittanbieters mehr. Die Anforderungen für die FIPS-Validierung sind in das System integriert.
- Nur die Firmware-Versionen, die auf der NetScaler-Downloadseite unter “NetScaler Release 13.1-FIPS” aufgeführt sind, werden auf den Plattformen MPX 8900 FIPS, MPX 9100 FIPS, MPX 15000-50G FIPS und VPX FIPS unterstützt.
- Wenn Sie klassische Richtlinien auf Ihrer NetScaler FIPS-Appliance mit der 12.1-FIPS-Softwareversion konfiguriert haben, lesen Sie https://support.citrix.com/article/CTX234821/citrix-adc-deprecated-classic-policy-based-features-and-functionalities-faqs, bevor Sie ein Upgrade auf 13.1-FIPS durchführen.
- TLS 1.3 auf 13.1-FIPS kann nur mit erweiterten SSL-Profilen konfiguriert werden. Weitere Informationen zur Konfiguration von TLS 1.3 mithilfe von Profilen finden Sie unter TLS 1.3-Protokollunterstützung, wie in RFC 8446 definiert.
Voraussetzungen
- FIPS-Plattformlizenz zusätzlich zu einer Bandbreitenlizenz.
Verschlüsselungen, die auf MPX 8900 FIPS-, MPX 9100 FIPS- und MPX 15000-50G FIPS-Appliances unterstützt werden
Alle Verschlüsselungen, die auf einer NetScaler MPX/SDX 14000 FIPS-Appliance unterstützt werden, mit Ausnahme der 3DES-Verschlüsselung, werden auf den MPX 8900-, MPX 9100 FIPS- und MPX 15000-50G-FIPS-Appliances unterstützt. Eine vollständige Liste der auf diesen Appliances unterstützten Verschlüsselungen finden Sie unter Verschlüsselungsunterstützung auf NetScaler VPXFIPS- und MPX FIPS-Appliances.
Aktualisieren Sie eine MPX FIPS-Appliance
Folgen Sie den Schritten unter Upgrade einer eigenständigen NetScaler-Appliance, um die MPX FIPS-Appliance zu aktualisieren.
Hinweis:
Wenn Sie ein Upgrade auf Version 13.1 FIPS Build 37.159 oder höher durchführen, schlägt das Hinzufügen eines Zertifikatsschlüsselpaars mithilfe von PFX-Dateien fehl.
Workaround: Verwenden Sie FIPS-zertifizierte Verschlüsselungen wie AES256, um vor dem Upgrade eine PFX-Datei zu erstellen.
Beispiel:
root@ns# cd /nsconfig/ssl/ root@ns# openssl pkcs12 -export -out example.name.pfx -inkey example.key -in example.pem -certpbe AES-256-CBC -keypbe AES-256-CBC <!--NeedCopy-->
Einschränkung
Die TACACS-Authentifizierung wird auf der MPX FIPS-Appliance nicht unterstützt.
Konfiguration
-
Führen Sie nach dem Start der Appliance den folgenden Befehl in der CLI aus:
> show system fipsStatus <!--NeedCopy-->
-
Sie müssen die folgende Ausgabe erhalten.
FipsStatus: "System is operating in FIPS mode" Done > <!--NeedCopy-->
-
Falls Sie die folgende Ausgabe erhalten, überprüfen Sie die Lizenz.
FipsStatus: "System is operating in non FIPS mode" Done > <!--NeedCopy-->
Führen Sie die folgenden Schritte aus, um die MPX-Appliance für den FIPS-Betriebsmodus zu initialisieren.
- Setzen Sie strenge Passphrase-Anforderungen durch.
- Ersetzen Sie das Standard-TLS-Zertifikat.
- Deaktivieren Sie den HTTP-Zugriff auf die Web-GUI.
- Deaktivieren Sie nach der Erstkonfiguration die lokale Authentifizierung und konfigurieren Sie die Remoteauthentifizierung mithilfe von LDAP.
Setzen Sie mithilfe der GUI strenge Passphrase-Anforderungen durch
Passphrasen werden verwendet, um Schlüssel mithilfe von PBKDF2 abzuleiten. Aktivieren Sie als Administrator mithilfe der GUI strenge Passphrase-Anforderungen.
- Navigieren Sie zu System > Einstellungen.
- Klicken Sie im Abschnitt Einstellungen auf Globale Systemeinstellungen ändern.
- Wählen Sie im Feld Starkes Kennwort die Option Alle aktivieren aus.
- Geben Sie in das Feld Minimale Kennwortlänge “8” ein.
- Klicken Sie auf OK.
Ersetzen Sie das Standard-TLS-Zertifikat
Standardmäßig enthält die MPX FIPS-Appliance ein werkseitig bereitgestelltes RSA-Zertifikat für TLS-Verbindungen (und).ns-server.cert
ns-server.key
Dieses Zertifikat ist nicht für die Verwendung in Produktionsumgebungen vorgesehen und muss ersetzt werden. Ersetzen Sie das Standardzertifikat nach der Erstinstallation durch ein neues Zertifikat.
Um das Standard-TLS-Zertifikat zu ersetzen:
-
Geben Sie in der Befehlszeile den folgenden Befehl ein, um den Hostnamen der Appliance festzulegen.
set ns hostName <hostname>
Erstellen Sie mithilfe der GUI eine Certificate Signing Request (CSR)
- Navigieren Sie zu Traffic Management > SSL > SSL-Dateien.
- Klicken Sie auf der Registerkarte CSR auf Certificate Signing Request (CSR) erstellen.
- Geben Sie die Werte ein und klicken Sie auf Erstellen.
Hinweis
Das Feld Common Name enthält den Wert des Hostnamens, der mit der ADC-CLI festgelegt wurde.
- Senden Sie die CSR-Datei an eine vertrauenswürdige Zertifizierungsstelle (CA). Die CSR-Datei ist im Verzeichnis
/nsconfig/ssl
verfügbar. - Nachdem Sie das Zertifikat von der CA erhalten haben, kopieren Sie die Datei in das Verzeichnis
/nsconfig/ssl
. - Navigieren Sie zu Traffic Management > SSL > Zertifikate > Serverzertifikate.
- Wählen Sie ns-server-certificateaus.
- Klicken Sie auf Update.
- Klicken Sie auf Zertifikat und Schlüssel aktualisieren.
- Wählen Sie im Feld Name der Zertifikatsdatei die Zertifikatsdatei aus, die Sie von der Zertifizierungsstelle (CA) erhalten haben. Wählen Sie Lokal, wenn sich die Datei auf Ihrem lokalen Computer befindet. Andernfalls wählen Sie Appliance.
- Geben Sie im Feld Schlüsseldateiname den standardmäßigen privaten Schlüsseldateinamen (
ns-server.key
) an. - Wählen Sie die Option Kein Domaincheck aus.
- Klicken Sie auf OK.
Deaktivieren Sie den HTTP-Zugriff auf die Web-GUI
Um den Datenverkehr zur Administrationsoberfläche und zur Web-GUI zu schützen, muss die Appliance für die Verwendung von HTTPS konfiguriert sein. Verwenden Sie nach dem Hinzufügen neuer Zertifikate die CLI, um den HTTP-Zugriff auf die GUI-Verwaltungsschnittstelle zu deaktivieren.
Geben Sie in der Befehlszeile Folgendes ein:
set ns ip <NSIP> -gui SECUREONLY
Deaktivieren Sie die lokale Authentifizierung und konfigurieren Sie die Remoteauthentifizierung mit LDAP
Das Superuser-Konto ist ein Standardkonto mit Root-CLI-Zugriffsrechten, die für die Erstkonfiguration erforderlich sind. Deaktivieren Sie bei der Erstkonfiguration die lokale Systemauthentifizierung, um den Zugriff auf alle lokalen Konten (einschließlich des Superuser-Kontos) zu blockieren und sicherzustellen, dass Superuser-Rechte keinem Benutzerkonto zugewiesen werden.
Gehen Sie wie folgt vor, um die lokale Systemauthentifizierung zu deaktivieren und die externe Systemauthentifizierung mithilfe der CLI zu aktivieren:
Geben Sie in der Befehlszeile Folgendes ein:
set system parameter -localauth disabled
Folgen Sie den Anweisungen unter Konfiguration der LDAP-Authentifizierung, um die externe Systemauthentifizierung für die Verwendung von LDAP zu konfigurieren.
Konfigurieren Sie die Remoteauthentifizierung mit RADIUS
Sie können die RADIUS-Authentifizierung in FIPS-Umgebungen konfigurieren.
Hinweis:
Die Option RADIUS-Erreichbarkeit testen wird für RADIUS nicht unterstützt.
Konfigurieren Sie RADIUS über TLS mithilfe der CLI
Geben Sie an der Eingabeaufforderung Folgendes ein:
add authentication radiusAction <name> [-serverIP] [-serverPort ] [-transport <transport>] [-targetLBVserver <string>]
<!--NeedCopy-->
Beispiel
add authentication radiusAction RadAction -serverIP 1.1.1.1 -radkey 123 -transport TLS -targetLBVserver rad-lb
<!--NeedCopy-->
Hinweis:
- Konfigurieren Sie für den TLS-Transporttyp einen virtuellen Ziellastausgleichsserver vom Typ TCP und binden Sie einen Dienst vom Typ SSL_TCP an diesen virtuellen Server.
- Der Servername wird nicht unterstützt.
- Die IP-Adresse und die Portnummer, die für die RADIUS-Aktion konfiguriert sind, müssen mit der IP-Adresse und der Portnummer des konfigurierten virtuellen Ziel-Lastausgleichsservers übereinstimmen.
Konfigurieren Sie RADIUS über TLS über die GUI
- Navigieren Sie zu Sicherheit > AAA - Anwendungsdatenverkehr > Richtlinien > Authentifizierung > Erweiterte Richtlinien > Aktionen > Server.
-
Wählen Sie einen vorhandenen Server aus oder erstellen Sie einen Server.
Weitere Informationen zum Erstellen eines Servers finden Sie unter So konfigurieren Sie einen RADIUS-Server mithilfe der GUI.
- Wählen Sie unter Transport die Option TLS aus.
-
Wählen Sie unter Target Load Balancing Virtual Serverden virtuellen Server aus. Einzelheiten zum Erstellen eines virtuellen Lastausgleichsservers finden Sie unter Einen virtuellen Server erstellen.
Hinweis:
- Konfigurieren Sie für den TLS-Transporttyp einen virtuellen Ziellastausgleichsserver vom Typ TCP und binden Sie einen Dienst vom Typ SSL_TCP an diesen virtuellen Server.
- Der Servername wird nicht unterstützt.
- Die IP-Adresse und die Portnummer, die für die RADIUS-Aktion konfiguriert sind, müssen mit der IP-Adresse und der Portnummer des konfigurierten virtuellen Ziel-Lastausgleichsservers übereinstimmen.
- Klicken Sie auf Erstellen.