Dispositivos VPX FIPS
El Instituto Nacional de Estándares y Tecnología (NIST) está validando el dispositivo FIPS NetScaler VPX (actualmente en la IUT https://csrc.nist.gov/projects/cryptographic-module-validation-program/modules-in-process/iut-list) para el nivel 1 del FIPS 140-3. Puede obtener más información sobre el estándar FIPS 140-3 y el programa de validación en el sitio web del NIST y del Programa de validación de módulos criptográficos (CMVP) del Centro Canadiense de Ciberseguridad (CCCS) en. https://csrc.nist.gov/projects/cryptographic-module-validation-program
Nota
- Las plataformas MPX 8900 FIPS, MPX 9100 FIPS, MPX 15000-50G FIPS y VPX FIPS solo admiten las versiones de firmware que figuran en la sección “NetScaler Release 13.1-FIPS” en la página de descargas de NetScaler.
- Si ha configurado directivas clásicas en su dispositivo NetScaler FIPS con la versión de software 12.1-FIPS, consulte https://support.citrix.com/article/CTX234821/citrix-adc-deprecated-classic-policy-based-features-and-functionalities-faqs antes de realizar una actualización a 13.1-FIPS.
- TLS 1.3 en 13.1-FIPS solo se puede configurar mediante perfiles SSL mejorados. Para obtener más información sobre cómo configurar TLS 1.3 mediante perfiles, consulte Compatibilidad con el protocolo TLS 1.3 tal como se define en el RFC8446.
Requisitos previos
-
Para los hipervisores locales, descargue la compilación especial del sitio web de Citrix. Descargue el paquete VPX FIPS completo para el hipervisor correspondiente.
-
Un dispositivo FIPS NetScaler VPX requiere una licencia de instancia FIPS y un grupo de ancho de banda para funcionar según lo esperado en el modelo de licencias agrupadas. Para las licencias no agrupadas, se requiere una única licencia VPX FIPS con la capacidad de ancho de banda requerida.
Configuración
El módulo está disponible como un paquete de software que incluye tanto el software de la aplicación como el sistema operativo. Tras comprar la licencia FIPS VPX de NetScaler, obtenga la imagen FIPS más reciente de NetScaler VPX en el sitio web de Citrix.
Siga estos pasos:
- Cargue la imagen FIPS más reciente de NetScaler VPX a uno de los siguientes hipervisores: ESXi, Citrix Hypervisor, Hyper-V, KVM, AWS, Azure o GCP.
Nota:
Está previsto que VPX FIPS se califique en ESXi 7.0.3.
-
Aplique la licencia NetScaler VPX FIPS Platform y la licencia NetScaler VPX Bandwidth y reinicie el dispositivo en caliente.
-
Una vez iniciado el dispositivo, ejecute el siguiente comando en la CLI:
> show system fipsStatus <!--NeedCopy-->
Debe obtener el siguiente resultado.
FipsStatus: System is operating in FIPS mode Done <!--NeedCopy-->
En caso de que obtenga el siguiente resultado, consulte la sección de solución de problemas para ver los pasos a seguir.
FipsStatus: "System is operating in non FIPS mode" Done > <!--NeedCopy-->
- Siga las pautas de configuración de la Guía de implementación segura.
Para obtener información sobre la autenticación remota mediante RADIUS, consulte Configurar la autenticación remota mediante RADIUS.
Cifrados compatibles con un dispositivo VPX FIPS
Todos los cifrados compatibles con un dispositivo FIPS de NetScaler MPX/SDX 14000, excepto el cifrado 3DES, son compatibles con un dispositivo FIPS VPX. Para obtener la lista completa de cifrados compatibles con un dispositivo NetScaler VPX FIPS, consulte el tema siguiente:
Actualizar un dispositivo VPX FIPS
Siga los pasos que se indican en Actualizar un dispositivo independiente de NetScaler para actualizar el dispositivo VPX FIPS.
Importante: Sustituya el comando ./installns
por ./installns -F
.
Nota:
Al actualizar a la versión 13.1 de FIPS, compilación 37.159 o posterior, no se puede agregar un par de claves de certificado mediante archivos pfx.
Solución alternativa: utilice cifrados certificados por FIPS, como AES256, para crear un archivo pfx antes de la actualización.
Ejemplo:
root@ns# cd /nsconfig/ssl/ root@ns# openssl pkcs12 -export -out example.name.pfx -inkey example.key -in example.pem -certpbe AES-256-CBC -keypbe AES-256-CBC <!--NeedCopy-->
Limitaciones
-
El dispositivo VPX FIPS no admite la autenticación TACACS.
-
VPX FIPS es una imagen independiente. No se admite la actualización de la versión de software de la versión VPX a la versión VPX FIPS. Además, la versión del software VPX FIPS no se puede degradar ni actualizar a la versión del software VPX.
-
La imagen FIPS VPX no es compatible con los dispositivos NetScaler SDX y NetScaler SDX FIPS.
Solución de problemas
Cuando ejecuta el comando show system fipsStatus
, el resultado es el siguiente:
FipsStatus: "System is operating in non FIPS mode"
Done
>
<!--NeedCopy-->
La razón podría ser una de las siguientes:
-
La licencia ha caducado o es incorrecta.
-
El sistema no puede activarse en modo FIPS. Este error puede deberse a un error POST en el núcleo de administración o en el motor de paquetes.
Para resolver:
-
Compruebe que esté instalada la licencia FIPS de NetScaler VPX correcta y que la licencia no haya caducado.
-
Compruebe si hay un error de autocomprobación de encendido (POST) en el núcleo de administración o en un motor de paquetes. Ejecute este comando:
>shell #nsconmsg -g drbg -g ssl_err -g fips -d statswt0 <!--NeedCopy-->
Los
nsssl_err_fips_post_failed counter
incrementos si POST falla durante el arranque del motor de paquetes. Es decir, hay un fallo en el plano de datos.Si el contador no aumenta, compruebe si hay alguna entrada fallida en la prueba
(/var/log/FIPS-post.log)
de algoritmo en el archivo de registro. Es decir, compruebe si hay un error POST en el núcleo de administración (fallo del plano de control).En ambos casos, póngase en contacto con el soporte de NetScaler.