Appareils VPX FIPS
L’appliance NetScaler VPX FIPS est en cours de validation (actuellement en IUT https://csrc.nist.gov/projects/cryptographic-module-validation-program/modules-in-process/iut-list) pour la norme FIPS 140-3 niveau 1 par le National Institute of Standards and Technology (NIST). De plus amples informations sur la norme FIPS 140-3 et le programme de validation sont disponibles sur le site Web du NIST et du Programme de validation des modules cryptographiques (CMVP) du Centre canadien pour la cybersécurité (CCCS) à l’adresse. https://csrc.nist.gov/projects/cryptographic-module-validation-program
Remarque
- Seules les versions du microprogramme répertoriées sous « NetScaler Release 13.1-FIPS » sur la page de téléchargement de NetScaler sont prises en charge sur les plateformes MPX 8900 FIPS, MPX 9100 FIPS, MPX 15000-50G FIPS et VPX FIPS.
- Si vous avez configuré des stratégies classiques sur votre appliance NetScaler FIPS exécutant la version logicielle 12.1-FIPS, consultez https://support.citrix.com/article/CTX234821/citrix-adc-deprecated-classic-policy-based-features-and-functionalities-faqs avant d’effectuer une mise à niveau vers la version 13.1-FIPS.
- Le protocole TLS 1.3 sur 13.1-FIPS ne peut être configuré qu’à l’aide de profils SSL améliorés. Pour plus d’informations sur la façon de configurer le protocole TLS 1.3 à l’aide de profils, consultez la rubrique Prise en charge du protocole TLS 1.3 telle que définie dans la RFC8446.
Conditions préalables
-
Pour les hyperviseurs sur site, téléchargez la version spéciale sur le site Web de Citrix. Téléchargez le package VPX FIPS complet pour l’hyperviseur correspondant.
-
Une appliance NetScaler VPX FIPS nécessite une licence d’instance FIPS et un pool de bande passante pour fonctionner comme prévu dans le modèle de licence groupé. Pour les licences non groupées, une seule licence VPX FIPS de la capacité de bande passante requise est requise.
Configuration
Le module est disponible sous la forme d’un progiciel qui inclut à la fois le logiciel d’application et le système d’exploitation. Après avoir acheté la licence NetScaler VPX FIPS, procurez-vous la dernière image NetScaler VPX FIPS sur le site Web de Citrix.
Procédez comme suit :
- Téléchargez la dernière image FIPS de NetScaler VPX vers l’un des hyperviseurs suivants : ESXi, Citrix Hypervisor, Hyper-V, KVM, AWS, Azure ou GCP.
Remarque :
VPX FIPS devrait être qualifié sur ESXi 7.0.3.
-
Appliquez la licence NetScaler VPX FIPS Platform et la licence NetScaler VPX Bandwidth, puis redémarrez à chaud l’appliance.
-
Une fois l’appliance démarrée, exécutez la commande suivante sur l’interface de ligne de commande :
> show system fipsStatus <!--NeedCopy-->Vous devez obtenir le résultat suivant.
FipsStatus: System is operating in FIPS mode Done <!--NeedCopy-->Si vous obtenez le résultat suivant, consultez la section de résolution des problèmes pour connaître les étapes à suivre.
FipsStatus: "System is operating in non FIPS mode" Done > <!--NeedCopy--> - Suivez les directives de configuration du Guide de déploiement sécurisé.
Pour plus d’informations sur l’authentification à distance à l’aide de RADIUS, voir Configurer l’authentification à distance à l’aide de RADIUS.
Chiffrements pris en charge sur une appliance VPX FIPS
Tous les chiffrements pris en charge sur une appliance FIPS NetScaler MPX/SDX 14000, à l’exception du chiffrement 3DES, sont pris en charge sur une appliance FIPS VPX. Pour obtenir la liste complète des chiffrements pris en charge sur une appliance NetScaler VPX FIPS, consultez la rubrique suivante :
Mettre à niveau une appliance VPX FIPS
Suivez les étapes décrites dans Mettre à niveau une appliance autonome NetScaler pour mettre à niveau l’appliance VPX FIPS.
Important : remplacez la commande ./installns par ./installns -F.
Remarque :
lorsque vous effectuez une mise à niveau vers la version 13.1 FIPS version 37.159 ou ultérieure, l’ajout d’une paire de clés de certificat à l’aide de fichiers pfx échoue.
Solution : utilisez des chiffrements certifiés FIPS, tels que AES256, pour créer un fichier pfx avant la mise à niveau.
Exemple :
root@ns# cd /nsconfig/ssl/ root@ns# openssl pkcs12 -export -out example.name.pfx -inkey example.key -in example.pem -certpbe AES-256-CBC -keypbe AES-256-CBC <!--NeedCopy-->
Limitations
-
L’authentification TACACS n’est pas prise en charge sur l’appliance VPX FIPS.
-
VPX FIPS est une image distincte. La mise à niveau de la version logicielle de la version VPX vers la version VPX FIPS n’est pas prise en charge. De plus, la version du logiciel VPX FIPS ne peut pas être rétrogradée ou mise à niveau vers la version du logiciel VPX.
-
L’image VPX FIPS n’est pas prise en charge sur une appliance NetScaler SDX et NetScaler SDX FIPS.
Dépannage
Lorsque vous exécutez la show system fipsStatus commande, le résultat est le suivant :
FipsStatus: "System is operating in non FIPS mode"
Done
>
<!--NeedCopy-->
La raison peut être l’une des suivantes :
-
La licence est expirée ou incorrecte.
-
Le système ne peut pas fonctionner en mode FIPS. Cette erreur peut être due à un échec POST sur le cœur de gestion ou le moteur de paquets.
Pour résoudre :
-
Vérifiez que la licence NetScaler VPX FIPS appropriée est installée et qu’elle n’a pas expiré.
-
Vérifiez qu’il n’y a pas d’échec de démarrage automatique (POST) sur le cœur de gestion ou sur un moteur de paquets. Exécutez la commande suivante :
>shell #nsconmsg -g drbg -g ssl_err -g fips -d statswt0 <!--NeedCopy-->Le compteur
nsssl_err_fips_post_failed counters’affiche par incréments en cas d’échec du POST lors du démarrage du moteur de paquets. C’est-à-dire qu’il y a une défaillance du plan de données.Si le compteur ne s’incrémente pas, recherchez dans le fichier journal une entrée
(/var/log/FIPS-post.log)de test d’algorithme ayant échoué. C’est-à-dire qu’il faut vérifier la présence d’une défaillance POST sur le cœur de gestion (défaillance du plan de contrôle).Dans les deux cas, contactez le support NetScaler.