Citrix SD-WAN

FIPS-Konformität

In Citrix SD-WAN erzwingt der FIPS-Modus Benutzer, FIPS-konforme Einstellungen für ihre IPsec-Tunnel und IPsec-Einstellungen für virtuelle Pfade zu konfigurieren.

  • Zeigt den FIPS-konformen IKE-Modus an.
  • Zeigt eine FIPS-konforme IKE DH-Gruppe an, aus der Benutzer die erforderlichen Parameter für die Konfiguration der Appliance im FIPS-konformen Modus auswählen können (2,5,14 — 21).
  • Zeigt den FIPS-kompatiblen IPsec-Tunneltyp in IPsec-Einstellungen für virtuelle Pfade an

  • IKE-Hash- und (IKEv2) Integritätsmodus, IPsec-Authentifizierungsmodus.

  • Führt Audit-Fehler für FIPS-basierte Lebensdauereinstellungen durch

So aktivieren Sie die FIPS-Konformität mit der Citrix SD-WAN GUI:

  1. Gehen Sie zu Konfiguration > Virtuelles WAN > Konfigurationseditor > Globalund wählen Sie FIPS-Modus aktivierenaus.

Das Aktivieren des FIPS-Modus erzwingt Überprüfungen während der Konfiguration, um sicherzustellen, dass alle IPSec-bezogenen Konfigurationsparameter den FIPS-Standards entsprechen. Sie werden durch Audit-Fehler und Warnungen zur Konfiguration von IPsec aufgefordert.

So konfigurieren Sie IPsec-Einstellungen für virtuelle Pfade:

  • Aktivieren Sie Virtual Path IPsec-Tunnel für alle virtuellen Pfade, bei denen FIPS-Konformität erforderlich ist. IPsec-Einstellungen für virtuelle Pfade werden über Standardsätze gesteuert.
  • Konfigurieren Sie die Nachrichtenauthentifizierung, indem Sie den IPsec-Modus in AH oder ESP+Auth ändern und eine FIPS-zugelassene Hashing-Funktion verwenden. SHA1 wird von FIPS akzeptiert, aber SHA256 wird dringend empfohlen.
  • Die IPsec-Lebensdauer sollte nicht länger als 8 Stunden (28.800 Sekunden) konfiguriert werden.

Das virtuelle WAN verwendet IKE Version 2 mit vorinstallierten Schlüsseln, um IPsec-Tunnel über den virtuellen Pfad mit den folgenden Einstellungen auszuhandeln:

  • DH Gruppe 19: ECP256 (256-Bit Elliptische Kurve) für Schlüsselaushandlung
  • 256-Bit-AES-CBC-Verschlüsselung
  • SHA256-Hashing für die Nachrichtenauthentifizierung
  • SHA256-Hashing für Nachrichtenintegrität
  • DH Gruppe 2: MODP-1024 für perfekte Vorwärtsgeheimnis

Verwenden Sie die folgenden Einstellungen, um IPsec-Tunnel für einen Drittanbieter zu konfigurieren:

  1. Konfigurieren Sie die FIPS-genehmigte DH-Gruppe Die Gruppen 2 und 5 sind unter FIPS zulässig, jedoch werden Gruppen 14 und höher dringend empfohlen.

  2. Konfigurieren Sie die FIPS-genehmigte Hash-Funktion. SHA1 wird von FIPS akzeptiert, jedoch wird SHA256 dringend empfohlen.

  3. Konfigurieren Sie bei Verwendung von IKEv2 eine FIPS-zugelassene Integritätsfunktion. SHA1 wird von FIPS akzeptiert, jedoch wird SHA256 dringend empfohlen.

  4. Konfigurieren Sie eine IKE-Lebensdauer und maximale Lebensdauer von nicht mehr als 24 Stunden (86.400 Sekunden).

  5. Konfigurieren Sie die IPsec-Nachrichtenauthentifizierung, indem Sie den IPsec-Modus in AH oder ESP+Auth ändern und eine FIPS-zugelassene Hashing-Funktion verwenden. SHA1 wird von FIPS akzeptiert, aber SHA256 wird dringend empfohlen.

  6. Konfigurieren Sie eine IPsec-Lebensdauer und eine maximale Lebensdauer von nicht mehr als acht Stunden (28.800 Sekunden).

So konfigurieren Sie IPsec-Tunnel:

  1. Wechseln Sie auf der MCN-Appliance zu Konfiguration > Virtuelles WAN > Konfigurationseditor. Öffnen Sie ein vorhandenes Konfigurationspaket. Gehen Sie zu Verbindungen > IPSec-Tunnel.

    lokalisiertes Bild

  2. Gehen Sie zu Verbindungen > IPsec-Tunnel. Bei Auswahl des LAN - oder Intranet-Tunnels unterscheidet der Bildschirm die FIPS-konformen Gruppen in den IKE-Einstellungen von denen, die nicht konform sind, sodass Sie die FIPS-Konformität einfach konfigurieren können.

    lokalisiertes Bild

Der Bildschirm zeigt auch an, ob der Hash-Algorithmus FIPS-konform ist, wie in der folgenden Abbildung gezeigt.

lokalisiertes Bild

FIPS-Konformitätsoptionen für IPsec-Einstellungen:

lokalisiertes Bild

Wenn die IPsec-Konfiguration bei Aktivierung nicht den FIPS-Standards entspricht, kann ein Überwachungsfehler ausgelöst werden. Im Folgenden sind die Arten von Audit-Fehlern aufgeführt, die in der GUI angezeigt werden.

  • Wenn der FIPS-Modus aktiviert ist und die nicht FIPS-konforme Option ausgewählt ist.
  • Wenn der FIPS-Modus aktiviert ist und ein falscher Lebensdauerwert eingegeben wird.
  • Wenn der FIPS-Modus aktiviert ist und die IPsec-Einstellungen für den Standardsatz des virtuellen Pfads ebenfalls aktiviert ist und der falsche Tunnelmodus ausgewählt ist (ESP vs ESP_Auth/AH).
  • Wenn der FIPS-Modus aktiviert ist, werden die IPsec-Einstellungen für den Standardsatz des virtuellen Pfads ebenfalls aktiviert und ein falscher Lebenszeitwert wird eingegeben.
FIPS-Konformität

In diesem Artikel