ADC

MPX FIPS アプライアンス

NetScaler MPX 8900 FIPS、MPX 9100 FIPS、およびMPX 15000-50G FIPSアプライアンスは、FIPS 140-3レベル1のセキュリティ要件について、サードパーティの研究所によって(現在IUTで https://csrc.nist.gov/projects/cryptographic-module-validation-program/modules-in-process/iut-list)検証中です。FIPS 140-3標準および検証プログラムの詳細については、米国標準技術研究所(NIST)およびカナダサイバーセキュリティセンター(CCCS)の暗号モジュール検証プログラム(CMVP)のWebサイトを参照してください。 https://csrc.nist.gov/projects/cryptographic-module-validation-program

メモ

  • MPX 8900 FIPS、MPX 9100 FIPS、および MPX 15000-50G FIPS アプライアンスは、サードパーティ製のハードウェアセキュリティモジュールを使用しなくなりました。FIPS 検証の要件はシステムに組み込まれています。
  • MPX 8900 FIPS、MPX 9100 FIPS、MPX 15000-50G FIPS、およびVPX FIPSプラットフォームでサポートされているのは、NetScalerダウンロードページの「NetScaler Release 13.1-FIPS」に記載されているファームウェアバージョンのみです。
  • 12.1-FIPSソフトウェアバージョンを実行するNetScaler FIPSアプライアンスでクラシックポリシーを構成している場合は、 13.1-FIPSへのアップグレードを実行する前にhttps://support.citrix.com/article/CTX234821/citrix-adc-deprecated-classic-policy-based-features-and-functionalities-faqsを参照してください。
  • 13.1-FIPS 上の TLS 1.3 は、拡張 SSL プロファイルを使用してのみ設定できます。プロファイルを使用して TLS 1.3 を設定する方法の詳細については、 RFC 8446 で定義されている TLS 1.3 プロトコルのサポートを参照してください

前提条件

  • 帯域幅ライセンスに加えて FIPS プラットフォームライセンス。

MPX 8900 FIPS、MPX 9100 FIPS、および MPX 15000-50G FIPS アプライアンスでサポートされている暗号

3DES暗号を除くNetScaler MPX/SDX 14000 FIPSアプライアンスでサポートされているすべての暗号は、MPX 8900、MPX 9100 FIPS、およびMPX 15000-50G FIPSアプライアンスでサポートされています。これらのアプライアンスでサポートされている暗号の全リストについては、「 NetScaler VPX FIPSおよびMPX FIPSアプライアンスでの暗号サポート」を参照してください。

MPX FIPS アプライアンスのアップグレード

NetScaler スタンドアロンアプライアンスのアップグレード」の手順に従って、MPX FIPSアプライアンスをアップグレードします

注:

リリース 13.1 FIPS ビルド 37.159 以降にアップグレードする場合、pfx ファイルを使用して証明書とキーのペアを追加すると失敗します。

回避策:アップグレードの前に、AES256 などの FIPS 認定の暗号を使用して pfx ファイルを作成します。

例:

root@ns# cd /nsconfig/ssl/
root@ns# openssl pkcs12 -export -out example.name.pfx -inkey example.key -in example.pem -certpbe AES-256-CBC -keypbe AES-256-CBC
<!--NeedCopy-->

制限事項

TACACS 認証は MPX FIPS アプライアンスではサポートされていません。

構成

  1. アプライアンスが起動したら、CLI で次のコマンドを実行します。

    > show system fipsStatus
    <!--NeedCopy-->
    
  2. 次の出力を取得する必要があります。

    FipsStatus: "System is operating in FIPS mode"
    Done
    >
    <!--NeedCopy-->
    
  3. 次のような出力が出た場合は、ライセンスを確認してください。

    FipsStatus: "System is operating in non FIPS mode"
    Done
    >
    <!--NeedCopy-->
    

MPX アプライアンスを FIPS モードで動作するように初期化するには、次の手順を実行します。

  1. 強力なパスフレーズ要件を強制してください。
  2. デフォルトの TLS 証明書を置き換えてください。
  3. ウェブ GUI への HTTP アクセスを無効にします。
  4. 初期設定後、ローカル認証を無効にし、LDAP を使用してリモート認証を設定します。

GUI を使用して強固なパスフレーズ要件を適用

パスフレーズは、PBKDF2 を使用してキーを生成するために使用されます。管理者は、GUI を使用して強力なパスフレーズ要件を設定してください。

  1. [System]>[Settings] に移動します。
  2. 「設定」セクションで、「 グローバルシステム設定の変更」をクリックします。
  3. 強力なパスワード 」フィールドで、「 すべて有効にする」を選択します。
  4. パスワードの最小文字数 」フィールドに「8」と入力します。
  5. [OK] をクリックします。

デフォルトの TLS 証明書を置き換える

デフォルトでは、MPX FIPS アプライアンスには TLS 接続(ns-server.certおよびns-server.key)用の工場出荷時にプロビジョニングされた RSA 証明書が含まれています。この証明書は本番環境での使用を目的としたものではないため、交換する必要があります。初期インストール後に、デフォルトの証明書を新しい証明書に置き換えます。

デフォルトの TLS 証明書を置き換えるには:

  1. コマンドプロンプトで次のコマンドを入力して、アプライアンスのホスト名を設定します。

    set ns hostName <hostname>

GUI を使用して証明書署名リクエスト (CSR) を作成する

  1. [ トラフィック管理] > [SSL] > [SSL ファイル] に移動します。
  2. [ CSR ] タブで、[ 証明書署名要求 (CSR) の作成] をクリックします。
  3. 値を入力し、[ Create] をクリックします。

    注:

    共通名フィールドには 、ADC CLI を使用して設定されたホスト名の値が含まれます。

  4. CSR ファイルを信頼できる認証局 (CA) に送信します。CSRファイルは/nsconfig/sslディレクトリにあります。
  5. CA から証明書を受け取ったら、ファイルを/nsconfig/sslディレクトリにコピーします。
  6. [ トラフィック管理] > [SSL] > [証明書] > [サーバー証明書] に移動します。
  7. ns-server-certificateを選択します。
  8. [Update] をクリックします。
  9. 証明書とキーを更新」をクリックします。
  10. 証明書ファイル名 」フィールドで、認証局 (CA) から受け取った証明書ファイルを選択します。 ファイルがローカルコンピューターにある場合は 、「ローカル」を選択します。それ以外の場合は、「 アプライアンス」を選択します。
  11. [ Key File Name ] フィールドで、デフォルトのプライベートキーファイル名 (ns-server.key) を指定します。
  12. ドメインチェックなし 」オプションを選択します。
  13. [OK] をクリックします。

ウェブ GUI への HTTP アクセスを無効にする

管理インターフェイスと Web GUI へのトラフィックを保護するには、アプライアンスを HTTPS を使用するように設定する必要があります。新しい証明書を追加したら、CLI を使用して GUI 管理インターフェイスへの HTTP アクセスを無効にします。

コマンドプロンプトで入力します:

set ns ip <NSIP> -gui SECUREONLY

ローカル認証を無効にし、LDAP を使用してリモート認証を設定します

スーパーユーザーアカウントは、初期設定に必要なルート CLI アクセス権限を持つデフォルトアカウントです。初期設定時には、ローカルシステム認証を無効にして、すべてのローカルアカウント (スーパーユーザーアカウントを含む) へのアクセスをブロックし、スーパーユーザー権限がどのユーザーアカウントにも割り当てられないようにします。

CLIを使用してローカルシステム認証を無効にし、外部システム認証を有効にするには:

コマンドプロンプトで入力します:

set system parameter -localauth disabled

LDAP 認証の設定の指示に従って、LDAP を使用するように外部システム認証を設定します。

RADIUS によるリモート認証の設定

FIPS 環境では RADIUS 認証を設定できます。

注:

RADIUS 到達可能性のテスト 」オプションは RADIUS ではサポートされていません。

CLI を使用して TLS 経由の RADIUS を構成する

コマンドプロンプトで次のように入力します:

add authentication radiusAction <name> [-serverIP] [-serverPort ] [-transport <transport>] [-targetLBVserver <string>]
<!--NeedCopy-->

add authentication radiusAction RadAction -serverIP 1.1.1.1 -radkey 123 -transport TLS -targetLBVserver rad-lb
<!--NeedCopy-->

注:

  • TLSトランスポートタイプの場合は、TCPタイプのターゲット負荷分散仮想サーバーを構成し、タイプSSL_TCPのサービスをこの仮想サーバーにバインドします。
  • サーバー名はサポートされていません。
  • RADIUSアクション用に構成されたIPアドレスとポート番号は、構成されたターゲット負荷分散仮想サーバーのIPアドレスとポート番号と一致する必要があります。

GUI を使用して TLS 経由の RADIUS を構成する

  1. セキュリティ > AAA-アプリケーショントラフィック > ポリシー > 認証 > 詳細ポリシー > アクション > サーバに移動します
  2. 既存のサーバーを選択するか、サーバーを作成します。

    サーバーの作成の詳細については、「 GUI を使用して RADIUS サーバーを構成するには」を参照してください。

    RADIUS TLS トランスポート

  3. [ トランスポート] で [ TLS] を選択します。
  4. [ ターゲット負荷分散仮想サーバー] で、仮想サーバーを選択します。負荷分散仮想サーバーの作成について詳しくは、「 仮想サーバーの作成」を参照してください。

    注:

    • TLSトランスポートタイプの場合は、TCPタイプのターゲット負荷分散仮想サーバーを構成し、タイプSSL_TCPのサービスをこの仮想サーバーにバインドします。
    • サーバー名はサポートされていません。
    • RADIUSアクション用に構成されたIPアドレスとポート番号は、構成されたターゲット負荷分散仮想サーバーのIPアドレスとポート番号と一致する必要があります。
  5. 作成」をクリックします。
MPX FIPS アプライアンス