Appareils MPX FIPS
Les appliances NetScaler MPX 8900 FIPS, MPX 9100 FIPS et MPX 15000-50G FIPS sont en cours de validation (actuellement en IUT https://csrc.nist.gov/projects/cryptographic-module-validation-program/modules-in-process/iut-list) par un laboratoire tiers pour les exigences de sécurité de la norme FIPS 140-3 niveau 1. De plus amples informations sur la norme FIPS 140-3 et le programme de validation sont disponibles sur le site Web du National Institute of Standards and Technology (NIST) et du Centre canadien pour la cybersécurité (CCCS) du Programme de validation des modules cryptographiques (CMVP) à l’adresse. https://csrc.nist.gov/projects/cryptographic-module-validation-program
Remarques
- Les appliances MPX 8900 FIPS, MPX 9100 FIPS et MPX 15000-50G FIPS n’utilisent plus de module de sécurité matérielle tiers. Les exigences à valider selon la FIPS sont intégrées au système.
- Seules les versions du microprogramme répertoriées sous « NetScaler Release 13.1-FIPS » sur la page de téléchargement de NetScaler sont prises en charge sur les plateformes MPX 8900 FIPS, MPX 9100 FIPS, MPX 15000-50G FIPS et VPX FIPS.
- Si vous avez configuré des stratégies classiques sur votre appliance NetScaler FIPS exécutant la version logicielle 12.1-FIPS, consultez https://support.citrix.com/article/CTX234821/citrix-adc-deprecated-classic-policy-based-features-and-functionalities-faqs avant d’effectuer une mise à niveau vers la version 13.1-FIPS.
- Le protocole TLS 1.3 sur 13.1-FIPS ne peut être configuré qu’à l’aide de profils SSL améliorés. Pour plus d’informations sur la façon de configurer le protocole TLS 1.3 à l’aide de profils, consultez la rubrique Prise en charge du protocole TLS 1.3 telle que définie dans la RFC8446.
Conditions préalables
- Licence de plateforme FIPS en plus d’une licence de bande passante.
Chiffrements pris en charge sur les appliances FIPS MPX 8900, FIPS MPX 9100 et MPX 15000-50G FIPS
Tous les chiffrements pris en charge sur une appliance FIPS NetScaler MPX/SDX 14000, à l’exception du chiffrement 3DES, sont pris en charge sur les appliances FIPS MPX 8900, MPX 9100 et MPX 15000-50G FIPS. Pour obtenir la liste complète des chiffrements pris en charge sur ces appliances, consultez la section Prise en charge du chiffrement sur les appliances NetScaler VPX FIPS et MPX FIPS.
Mettre à niveau une appliance MPX FIPS
Suivez les étapes décrites dans Mettre à niveau une appliance NetScaler autonome pour mettre à niveau l’appliance MPX FIPS.
Remarque :
lorsque vous effectuez une mise à niveau vers la version 13.1 FIPS version 37.159 ou ultérieure, l’ajout d’une paire de clés de certificat à l’aide de fichiers pfx échoue.
Solution : utilisez des chiffrements certifiés FIPS, tels que AES256, pour créer un fichier pfx avant la mise à niveau.
Exemple :
root@ns# cd /nsconfig/ssl/ root@ns# openssl pkcs12 -export -out example.name.pfx -inkey example.key -in example.pem -certpbe AES-256-CBC -keypbe AES-256-CBC <!--NeedCopy-->
Limitation
L’authentification TACACS n’est pas prise en charge sur l’appliance MPX FIPS.
Configuration
-
Une fois l’appliance démarrée, exécutez la commande suivante sur l’interface de ligne de commande :
> show system fipsStatus <!--NeedCopy-->
-
Vous devez obtenir le résultat suivant.
FipsStatus: "System is operating in FIPS mode" Done > <!--NeedCopy-->
-
Si vous obtenez le résultat suivant, vérifiez la licence.
FipsStatus: "System is operating in non FIPS mode" Done > <!--NeedCopy-->
Effectuez les étapes suivantes pour initialiser l’appliance MPX pour le mode de fonctionnement FIPS.
- Appliquez des exigences strictes en matière de phrases secrètes.
- Remplacez le certificat TLS par défaut.
- Désactivez l’accès HTTP à l’interface graphique Web.
- Après la configuration initiale, désactivez l’authentification locale et configurez l’authentification à distance à l’aide de LDAP.
Appliquez des exigences strictes en matière de phrases de passe à l’aide de l’interface graphique
Les phrases secrètes sont utilisées pour dériver des clés à l’aide de PBKDF2. En tant qu’administrateur, activez des exigences strictes en matière de phrases de passe à l’aide de l’interface graphique.
- Accédez à Système > Paramètres.
- Dans la section Paramètres, cliquez sur Modifier les paramètres généraux du système.
- Dans le champ Mot de passe sécurisé, sélectionnez Tout activer.
- Dans le champ Longueur minimale du mot de passe, tapez « 8 ».
- Cliquez sur OK.
Remplacer le certificat TLS par défaut
Par défaut, l’appliance MPX FIPS inclut un certificat RSA provisionné en usine pour les connexions TLS (et).ns-server.cert
ns-server.key
Ce certificat n’est pas destiné à être utilisé dans des déploiements de production et doit être remplacé. Remplacez le certificat par défaut par un nouveau certificat après l’installation initiale.
Pour remplacer le certificat TLS par défaut :
-
À l’invite de commandes, tapez la commande suivante pour définir le nom d’hôte de l’appliance.
set ns hostName <hostname>
Création d’une demande de signature de certificat (CSR) à l’aide de l’interface graphique
- Accédez à Gestion du trafic > SSL > Fichiers SSL.
- Dans l’onglet CSR, cliquez sur Create Certificate Signing Request (CSR).
- Entrez les valeurs et cliquez sur Créer.
Remarque
Le champ Nom commun contient la valeur du nom d’hôte défini à l’aide de l’ADC CLI.
- Soumettez le fichier CSR à une autorité de certification (CA) approuvée. Le fichier CSR est disponible dans le répertoire
/nsconfig/ssl
. - Après avoir reçu le certificat de la part de l’autorité de certification, copiez le fichier dans le
/nsconfig/ssl
répertoire. - Accédez à Gestion du trafic > SSL > Certificats > Certificats de serveur.
- Sélectionnez ns-server-certificate.
- Cliquez sur Update.
- Cliquez sur Mettre à jour le certificat et la clé.
- Dans le champ Nom du fichier de certificat, sélectionnez le fichier de certificat qui a été reçu de l’autorité de certification (CA). Choisissez Local si le fichier se trouve sur votre ordinateur local. Sinon, choisissez Appliance.
- Dans le champ Nom du fichier clé, spécifiez le nom de fichier de clé privée par défaut (
ns-server.key
). - Sélectionnez l’option Aucune vérification de domaine .
- Cliquez sur OK.
Désactiver l’accès HTTP à l’interface graphique Web
Pour protéger le trafic vers l’interface administrative et l’interface graphique Web, l’appliance doit être configurée pour utiliser le protocole HTTPS. Après avoir ajouté de nouveaux certificats, utilisez l’interface de ligne de commande pour désactiver l’accès HTTP à l’interface de gestion de l’interface graphique.
À l’invite de commandes, tapez :
set ns ip <NSIP> -gui SECUREONLY
Désactiver l’authentification locale et configurer l’authentification à distance à l’aide de LDAP
Le compte superutilisateur est un compte par défaut doté de privilèges d’accès à l’interface de ligne de commande racine qui sont requis pour la configuration initiale. Lors de la configuration initiale, désactivez l’authentification du système local pour bloquer l’accès à tous les comptes locaux (y compris le compte superutilisateur) et pour vous assurer que les privilèges de superutilisateur ne sont attribués à aucun compte utilisateur.
Pour désactiver l’authentification du système local et activer l’authentification du système externe à l’aide de l’interface de ligne de commande :
À l’invite de commandes, tapez :
set system parameter -localauth disabled
Suivez les instructions de la section Configuration de l’authentification LDAP pour configurer l’authentification du système externe afin d’utiliser LDAP.
Configurer l’authentification à distance à l’aide de RADIUS
Vous pouvez configurer l’authentification RADIUS dans les environnements FIPS.
Remarque :
L’option Tester l’accessibilité de RADIUS n’est pas prise en charge pour RADIUS.
Configurer RADIUS sur TLS à l’aide de la CLI
À l’invite de commandes, tapez :
add authentication radiusAction <name> [-serverIP] [-serverPort ] [-transport <transport>] [-targetLBVserver <string>]
<!--NeedCopy-->
Exemple
add authentication radiusAction RadAction -serverIP 1.1.1.1 -radkey 123 -transport TLS -targetLBVserver rad-lb
<!--NeedCopy-->
Remarque :
- Pour le type de transport TLS, configurez un serveur virtuel d’équilibrage de charge cible de type TCP et liez un service de type SSL_TCP à ce serveur virtuel.
- Le nom du serveur n’est pas pris en charge.
- L’adresse IP et le numéro de port configurés pour l’action RADIUS doivent correspondre à l’adresse IP et au numéro de port du serveur virtuel d’équilibrage de charge cible configuré.
Configurer RADIUS sur TLS à l’aide de l’interface graphique
- Accédez à Sécurité > AAA - Trafic des applications > Stratégies > Authentification > Stratégies avancées > Actions > Serveurs.
-
Sélectionnez un serveur existant ou créez-en un.
Pour plus d’informations sur la création d’un serveur, consultez Pour configurer un serveur RADIUS à l’aide de l’interface graphique.
- Dans Transport, sélectionnez TLS.
-
Dans Target Load Balancing Virtual Server, sélectionnez le serveur virtuel. Pour plus d’informations sur la création d’un serveur virtuel d’équilibrage de charge, consultez la section Création d’un serveur virtuel.
Remarque :
- Pour le type de transport TLS, configurez un serveur virtuel d’équilibrage de charge cible de type TCP et liez un service de type SSL_TCP à ce serveur virtuel.
- Le nom du serveur n’est pas pris en charge.
- L’adresse IP et le numéro de port configurés pour l’action RADIUS doivent correspondre à l’adresse IP et au numéro de port du serveur virtuel d’équilibrage de charge cible configuré.
- Cliquez sur Créer.