Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuration d’IPsec pour le mode FIPS

Configuration d’IPsec pour activer les communications internes entre les moteurs de routage pour Junos OS en mode FIPS

Dans un environnement Junos OS en mode FIPS , les routeurs dotés de deux moteurs de routage doivent utiliser IPsec pour la communication interne entre les moteurs de routage. Vous configurez l’IPsec interne après avoir installé Junos OS en mode FIPS. Vous devez être agent de chiffrement pour configurer IPsec interne.

Note:

Vous ne pouvez pas configurer les SPsec basés sur DES dans Junos OS en mode FIPS. Les SAs IPsec internes utilisent l’authentification HMAC-SHA1-96 et le chiffrement 3DES-CBC.

Les SA manuels ne nécessitent aucune négociation. Toutes les valeurs, y compris les clés, sont statiques et spécifiées dans la configuration. Les SA manuels définissent statiquement les valeurs SPI, les algorithmes et les clés à utiliser, et nécessitent des configurations correspondantes aux deux extrémités du tunnel. Chaque pair doit disposer des mêmes options configurées pour que la communication ait lieu.

Note:

Lorsque le commutateur est en mode FIPS, vous ne pouvez pas utiliser la commit synchronize commande tant que vous n’avez pas établi une SA IPsec sur chaque moteur de routage.

En tant qu’agent de chiffrement, vous configurez un SA IPsec interne pour la communication entre les moteurs de routage en créant un SA sur chaque moteur de routage avec les déclarations suivantes au niveau de la [security] hiérarchie :

Pour configurer l’IPsec interne, incluez l’instruction security-association au niveau de la [security] hiérarchie. Vous pouvez configurer des paramètres, tels que la direction dans laquelle les SA IPsec manuels doivent être appliqués, la valeur SPI qui identifie le SA de manière unique à utiliser au moteur de routage récepteur, et la clé IPsec qui définit les clés d’authentification et de chiffrement pour le SA IPsec manuel.

Les tâches de configuration IPsec internes pour Junos-FIPS sont les suivantes. Vous pouvez configurer la direction dans laquelle les SPsec manuels doivent être appliqués, la valeur SPI qui identifie le SA de manière unique à utiliser au moteur de routage de réception, et la clé IPsec qui définit les clés d’authentification et de chiffrement pour le SA IPsec manuel.

Configuration de la direction SA

Pour configurer la direction IPsec SA dans laquelle les SAs manuels des tunnels IPsec doivent être appliqués, incluez l’instruction direction au niveau de la [security ipsec internal security-association manual] hiérarchie :

La valeur peut être l’une des suivantes :

  • bidirectional: appliquez les mêmes valeurs SA dans les deux sens entre les moteurs de routage.

  • inbound: appliquez ces propriétés SA uniquement au tunnel IPsec entrant.

  • outbound: appliquez ces propriétés SA uniquement au tunnel IPsec sortant.

Si vous ne configurez pas le SA comme bidirectionnel, vous devez configurer les paramètres SA pour les tunnels IPsec dans les directions entrante et sortante. L’exemple suivant utilise un tunnel IPsec entrant et sortant :

Note:

Nous vous recommandons de ne pas utiliser les clés IPsec comme clés ASCII pour Junos OS en mode FIPS. Au lieu de cela, vous devez utiliser les clés IPsec comme clés hexadécimales pour une force de clé maximale.

Configuration du SPI IPsec

Un indice de paramètres de sécurité (SPI) est un index de 32 bits qui identifie un contexte de sécurité entre une paire de moteurs de routage. Pour configurer la valeur SPI IPsec, incluez l’instruction spi au niveau de la [security ipsec internal security-association manual direction] hiérarchie :

La valeur doit être de 256 à 16 639.

Configuration de la clé IPsec

Note:

Nous vous recommandons de ne pas utiliser les clés IPsec comme clés ASCII pour Junos OS en mode FIPS. Au lieu de cela, vous devez utiliser les clés IPsec comme clés hexadécimales pour une force de clé maximale.

La distribution et la gestion des clés sont essentielles pour une utilisation réussie des VPN. Vous devez configurer les valeurs de clé texte ASCII pour l’authentification et le chiffrement. Pour configurer la clé texte ASCII, incluez l’instruction key au niveau de la [security ipsec internal security-association manual direction encryption] hiérarchie :

Pour ce type de SA, les deux clés doivent être des valeurs hexadécimales prépartage, et chacune nécessite un algorithme cryptographique spécifique :

  • Algorithme d’authentification

    • HMAC-SHA1-96 (40 caractères)

    • HMAC-SHA2-256 (64 caractères)

  • Algorithme de chiffrement

    • 3DES-CBC (48 caractères)

Vous devez saisir la valeur hexadécimale de la clé deux fois et les chaînes saisies doivent correspondre, sinon la clé ne sera pas définie. La clé hexadécimale ne s’affiche jamais en texte brut. Nous vous recommandons d’utiliser les clés IPsec en tant que clés hexadécimales pour une force de clé maximale et non en tant que clés ASCII pour Junos OS en mode FIPS.

Exemple : configuration IPsec interne

Configurez une sa IPsec bidirectionnelle avec une valeur SPI de 512 et une valeur clé conforme aux règles FIPS 140-2 :