ADC

Appareils VPX FIPS

L’appliance NetScaler VPX FIPS est en cours de validation (actuellement en IUT https://csrc.nist.gov/projects/cryptographic-module-validation-program/modules-in-process/iut-list) pour la norme FIPS 140-3 niveau 1 par le National Institute of Standards and Technology (NIST). De plus amples informations sur la norme FIPS 140-3 et le programme de validation sont disponibles sur le site Web du NIST et du Programme de validation des modules cryptographiques (CMVP) du Centre canadien pour la cybersécurité (CCCS) à l’adresse. https://csrc.nist.gov/projects/cryptographic-module-validation-program

Remarque

Conditions préalables

  • Pour les hyperviseurs sur site, téléchargez la version spéciale sur le site Web de Citrix. Téléchargez le package VPX FIPS complet pour l’hyperviseur correspondant.

  • Une appliance NetScaler VPX FIPS nécessite une licence d’instance FIPS et un pool de bande passante pour fonctionner comme prévu dans le modèle de licence groupé. Pour les licences non groupées, une seule licence VPX FIPS de la capacité de bande passante requise est requise.

Configuration

Le module est disponible sous la forme d’un progiciel qui inclut à la fois le logiciel d’application et le système d’exploitation. Après avoir acheté la licence NetScaler VPX FIPS, procurez-vous la dernière image NetScaler VPX FIPS sur le site Web de Citrix.

Procédez comme suit :

  1. Téléchargez la dernière image FIPS de NetScaler VPX vers l’un des hyperviseurs suivants : ESXi, Citrix Hypervisor, Hyper-V, KVM, AWS, Azure ou GCP.

    Remarque :

    VPX FIPS devrait être qualifié sur ESXi 7.0.3.

  2. Appliquez la licence NetScaler VPX FIPS Platform et la licence NetScaler VPX Bandwidth, puis redémarrez à chaud l’appliance.

  3. Une fois l’appliance démarrée, exécutez la commande suivante sur l’interface de ligne de commande :

    > show system fipsStatus
    <!--NeedCopy-->
    

    Vous devez obtenir le résultat suivant.

    FipsStatus: System is operating in FIPS mode
    Done
    <!--NeedCopy-->
    

    Si vous obtenez le résultat suivant, consultez la section de résolution des problèmes pour connaître les étapes à suivre.

    FipsStatus: "System is operating in non FIPS mode"
    Done
    >
    <!--NeedCopy-->
    
  4. Suivez les directives de configuration du Guide de déploiement sécurisé.

Pour plus d’informations sur l’authentification à distance à l’aide de RADIUS, voir Configurer l’authentification à distance à l’aide de RADIUS.

Chiffrements pris en charge sur une appliance VPX FIPS

Tous les chiffrements pris en charge sur une appliance FIPS NetScaler MPX/SDX 14000, à l’exception du chiffrement 3DES, sont pris en charge sur une appliance FIPS VPX. Pour obtenir la liste complète des chiffrements pris en charge sur une appliance NetScaler VPX FIPS, consultez la rubrique suivante :

Mettre à niveau une appliance VPX FIPS

Suivez les étapes décrites dans Mettre à niveau une appliance autonome NetScaler pour mettre à niveau l’appliance VPX FIPS.

Important : remplacez la commande ./installns par ./installns -F.

Remarque :

lorsque vous effectuez une mise à niveau vers la version 13.1 FIPS version 37.159 ou ultérieure, l’ajout d’une paire de clés de certificat à l’aide de fichiers pfx échoue.

Solution : utilisez des chiffrements certifiés FIPS, tels que AES256, pour créer un fichier pfx avant la mise à niveau.

Exemple :

root@ns# cd /nsconfig/ssl/
root@ns# openssl pkcs12 -export -out example.name.pfx -inkey example.key -in example.pem -certpbe AES-256-CBC -keypbe AES-256-CBC
<!--NeedCopy-->

Limitations

  • L’authentification TACACS n’est pas prise en charge sur l’appliance VPX FIPS.

  • VPX FIPS est une image distincte. La mise à niveau de la version logicielle de la version VPX vers la version VPX FIPS n’est pas prise en charge. De plus, la version du logiciel VPX FIPS ne peut pas être rétrogradée ou mise à niveau vers la version du logiciel VPX.

  • L’image VPX FIPS n’est pas prise en charge sur une appliance NetScaler SDX et NetScaler SDX FIPS.

Dépannage

Lorsque vous exécutez la show system fipsStatus commande, le résultat est le suivant :

FipsStatus: "System is operating in non FIPS mode"
Done
>
<!--NeedCopy-->

La raison peut être l’une des suivantes :

  1. La licence est expirée ou incorrecte.

  2. Le système ne peut pas fonctionner en mode FIPS. Cette erreur peut être due à un échec POST sur le cœur de gestion ou le moteur de paquets.

Pour résoudre :

  1. Vérifiez que la licence NetScaler VPX FIPS appropriée est installée et qu’elle n’a pas expiré.

  2. Vérifiez qu’il n’y a pas d’échec de démarrage automatique (POST) sur le cœur de gestion ou sur un moteur de paquets. Exécutez la commande suivante :

    >shell
    #nsconmsg -g drbg -g ssl_err -g fips -d statswt0
    <!--NeedCopy-->
    

    Le compteur nsssl_err_fips_post_failed counter s’affiche par incréments en cas d’échec du POST lors du démarrage du moteur de paquets. C’est-à-dire qu’il y a une défaillance du plan de données.

    Si le compteur ne s’incrémente pas, recherchez dans le fichier journal une entrée (/var/log/FIPS-post.log) de test d’algorithme ayant échoué. C’est-à-dire qu’il faut vérifier la présence d’une défaillance POST sur le cœur de gestion (défaillance du plan de contrôle).

    Dans les deux cas, contactez le support NetScaler.

Appareils VPX FIPS