Dispositivos MPX FIPS
Los dispositivos FIPS NetScaler MPX 8900 FIPS, MPX 9100 FIPS y MPX 15000-50G están siendo validados (actualmente en la IUT https://csrc.nist.gov/projects/cryptographic-module-validation-program/modules-in-process/iut-list) por un laboratorio externo para cumplir con los requisitos de seguridad del FIPS 140-3 de nivel 1. Puede obtener más información sobre el estándar y el programa de validación del FIPS 140-3 en el sitio web del Instituto Nacional de Estándares y Tecnología (NIST) y el Programa de validación de módulos criptográficos (CMVP) del Centro Canadiense de Ciberseguridad (CCCS) en. https://csrc.nist.gov/projects/cryptographic-module-validation-program
Notas
- Los dispositivos FIPS MPX 8900, MPX 9100 FIPS y MPX 15000-50G ya no utilizan un módulo de seguridad de hardware de terceros. Los requisitos para validar el FIPS están integrados en el sistema.
- Las plataformas MPX 8900 FIPS, MPX 9100 FIPS, MPX 15000-50G FIPS y VPX FIPS solo admiten las versiones de firmware que figuran en la sección “NetScaler Release 13.1-FIPS” en la página de descargas de NetScaler.
- Si ha configurado directivas clásicas en su dispositivo NetScaler FIPS con la versión de software 12.1-FIPS, consulte https://support.citrix.com/article/CTX234821/citrix-adc-deprecated-classic-policy-based-features-and-functionalities-faqs antes de realizar una actualización a 13.1-FIPS.
- TLS 1.3 en 13.1-FIPS solo se puede configurar mediante perfiles SSL mejorados. Para obtener más información sobre cómo configurar TLS 1.3 mediante perfiles, consulte Compatibilidad con el protocolo TLS 1.3 tal como se define en el RFC8446.
Requisitos previos
- Licencia de plataforma FIPS además de una licencia de ancho de banda.
Cifrados compatibles con los dispositivos FIPS MPX 8900, MPX 9100 FIPS y MPX 15000-50G FIPS
Todos los cifrados compatibles con un dispositivo FIPS de NetScaler MPX/SDX 14000, excepto el cifrado 3DES, son compatibles con los dispositivos FIPS MPX 8900, MPX 9100 y MPX 15000-50G. Para obtener la lista completa de cifrados compatibles con estos dispositivos, consulte Soporte de cifrado en los dispositivos NetScaler VPX FIPS y MPX FIPS.
Actualización de un dispositivo MPX FIPS
Siga los pasos descritos en Actualizar un dispositivo independiente de NetScaler para actualizar el dispositivo MPX FIPS.
Nota:
Al actualizar a la versión 13.1 de FIPS, compilación 37.159 o posterior, no se puede agregar un par de claves de certificado mediante archivos pfx.
Solución alternativa: utilice cifrados certificados por FIPS, como AES256, para crear un archivo pfx antes de la actualización.
Ejemplo:
root@ns# cd /nsconfig/ssl/ root@ns# openssl pkcs12 -export -out example.name.pfx -inkey example.key -in example.pem -certpbe AES-256-CBC -keypbe AES-256-CBC <!--NeedCopy-->
Limitación
El dispositivo MPX FIPS no admite la autenticación TACACS.
Configuración
-
Una vez iniciado el dispositivo, ejecute el siguiente comando en la CLI:
> show system fipsStatus <!--NeedCopy-->
-
Debe obtener el siguiente resultado.
FipsStatus: "System is operating in FIPS mode" Done > <!--NeedCopy-->
-
En caso de que obtenga el siguiente resultado, compruebe la licencia.
FipsStatus: "System is operating in non FIPS mode" Done > <!--NeedCopy-->
Realice los siguientes pasos para inicializar el dispositivo MPX para el modo de funcionamiento FIPS.
- Exija requisitos de contraseña seguros.
- Reemplace el certificado TLS predeterminado.
- Inhabilite el acceso HTTP a la GUI web.
- Tras la configuración inicial, inhabilite la autenticación local y configure la autenticación remota mediante LDAP.
Exija requisitos de contraseña seguros mediante la interfaz gráfica de usuario
Las contraseñas se utilizan para derivar claves mediante PBKDF2. Como administrador, habilite requisitos de contraseña seguros mediante la interfaz gráfica de usuario.
- Vaya a Sistema > Configuración.
- En la sección Configuración, haga clic en Cambiar la configuración global del sistema.
- En el campo Contraseña segura, selecciona Habilitar todo.
- En el campo Longitud mínima de la contraseña, escriba “8.”
- Haga clic en Aceptar.
Reemplazar el certificado TLS predeterminado
De forma predeterminada, el dispositivo MPX FIPS incluye un certificado RSA suministrado de fábrica para las conexiones TLS (y).ns-server.cert
ns-server.key
Este certificado no está diseñado para su uso en implementaciones de producción y debe reemplazarse. Sustituya el certificado predeterminado por uno nuevo después de la instalación inicial.
Para reemplazar el certificado TLS predeterminado:
-
En la línea de comandos, escriba el siguiente comando para establecer el nombre de host del dispositivo.
set ns hostName <hostname>
Cree una solicitud de firma de certificados (CSR) mediante la GUI
- Vaya a Administración del tráfico > SSL > Archivos SSL.
- En la ficha CSR, haga clic en Crear solicitud de firma de certificado (CSR).
- Introduzca los valores y haga clic en Crear.
Nota:
El campo Nombre común contiene el valor del conjunto de nombres de host mediante la CLI de ADC.
- Envíe el archivo CSR a una autoridad de certificación (CA) de confianza. El archivo CSR está disponible en el directorio
/nsconfig/ssl
. - Tras recibir el certificado de la CA, copie el archivo en el directorio
/nsconfig/ssl
. - Vaya a Administración de Tráfico > SSL > Certificados > Certificados de servidor.
- Seleccione ns-server-certificate.
- Haga clic en Actualizar.
- Haga clic en Actualizar el certificado y la clave.
- En el campo Nombre del archivo del certificado, elija el archivo de certificado que se recibió de la autoridad certificadora (CA). Elija Local si el archivo está en su equipo local. De lo contrario, seleccione Dispositivo.
- En el campo Nombre de archivo de clave, especifique el nombre de archivo de clave privada predeterminado()
ns-server.key
. - Seleccione la opción Sin comprobación de dominio.
- Haga clic en Aceptar.
Inhabilitar el acceso HTTP a la GUI web
Para proteger el tráfico a la interfaz administrativa y a la GUI web, el dispositivo debe estar configurado para usar HTTPS. Después de agregar nuevos certificados, utilice la CLI para inhabilitar el acceso HTTP a la interfaz de administración de la GUI.
En la línea de comandos, escriba:
set ns ip <NSIP> -gui SECUREONLY
Inhabilite la autenticación local y configure la autenticación remota mediante LDAP
La cuenta de superusuario es una cuenta predeterminada con privilegios de acceso a la CLI raíz que se requieren para la configuración inicial. Durante la configuración inicial, desactive la autenticación del sistema local para bloquear el acceso a todas las cuentas locales (incluida la cuenta de superusuario) y garantizar que los privilegios de superusuario no estén asignados a ninguna cuenta de usuario.
Para inhabilitar la autenticación del sistema local y habilitar la autenticación del sistema externo mediante la CLI:
En la línea de comandos, escriba:
set system parameter -localauth disabled
Siga las instrucciones de Configuración de la autenticación LDAP para configurar la autenticación del sistema externo para usar LDAP.
Configurar la autenticación remota mediante RADIUS
Puede configurar la autenticación RADIUS en entornos FIPS.
Nota:
La opción Probar la accesibilidad de RADIUS no es compatible con RADIUS.
Configurar RADIUS sobre TLS mediante la CLI
En el símbolo del sistema, escriba:
add authentication radiusAction <name> [-serverIP] [-serverPort ] [-transport <transport>] [-targetLBVserver <string>]
<!--NeedCopy-->
Ejemplo
add authentication radiusAction RadAction -serverIP 1.1.1.1 -radkey 123 -transport TLS -targetLBVserver rad-lb
<!--NeedCopy-->
Nota:
- Para el tipo de transporte TLS, configure un servidor virtual de equilibrio de carga de destino de tipo TCP y vincule un servicio de tipo SSL_TCP a este servidor virtual.
- No se admite el nombre del servidor.
- La dirección IP y el número de puerto configurados para la acción RADIUS deben coincidir con la dirección IP y el número de puerto del servidor virtual de equilibrio de carga de destino configurado.
Configurar RADIUS a través de TLS mediante la GUI
- Vaya a Seguridad > AAA - Tráfico de aplicaciones > Directivas > Autenticación > Directivas avanzadas > Acciones > Servidores.
-
Seleccione un servidor existente o cree un servidor.
Para obtener más información sobre la creación de un servidor, consulte Para configurar un servidor RADIUS mediante la GUI.
- En Transporte, seleccione TLS.
-
En Servidor virtual de equilibrio de carga de destino, seleccione el servidor virtual. Para obtener más información sobre la creación de un servidor virtual de equilibrio de carga, consulte Creación de un servidor virtual.
Nota:
- Para el tipo de transporte TLS, configure un servidor virtual de equilibrio de carga de destino de tipo TCP y vincule un servicio de tipo SSL_TCP a este servidor virtual.
- No se admite el nombre del servidor.
- La dirección IP y el número de puerto configurados para la acción RADIUS deben coincidir con la dirección IP y el número de puerto del servidor virtual de equilibrio de carga de destino configurado.
- Haga clic en Crear.