Configuration d’IPsec pour le mode FIPS
configuration IPsec pour permettre les communications internes entre les moteurs de routage pour Junos OS en mode FIPS
Dans un environnement Junos OS en mode FIPS , les routeurs avec deux moteurs de routage doivent utiliser IPsec pour la communication interne entre les moteurs de routage. Vous configurez IPsec interne après avoir installé Junos OS en mode FIPS. Vous devez être un responsable du chiffrement pour configurer IPsec interne.
Vous ne pouvez pas configurer les SA IPsec basées sur DES dans Junos OS en mode FIPS. Les SA IPsec internes utilisent l’authentification HMAC-SHA1-96 et le chiffrement 3DES-CBC.
Les SA manuelles ne nécessitent aucune négociation. Toutes les valeurs, y compris les clés, sont statiques et spécifiées dans la configuration. Les SA manuelles définissent de manière statique les valeurs SPI, les algorithmes et les clés à utiliser, et nécessitent des configurations correspondantes aux deux extrémités du tunnel. Chaque pair doit avoir les mêmes options configurées pour que la communication ait lieu.
Lorsque le commutateur est en mode FIPS, vous ne pouvez pas utiliser la commit synchronize commande tant que vous n’avez pas établi une SA IPsec sur chaque moteur de routage.
En tant que Crypto Officer, vous configurez une SA IPsec interne pour la communication entre les moteurs de routage en créant une SA sur chaque moteur de routage avec les instructions suivantes au niveau de la [security] hiérarchie :
Pour configurer l’IPsec interne, incluez l’instruction security-association au niveau de la [security] hiérarchie. Vous pouvez configurer des paramètres, tels que la direction dans laquelle les SA IPsec manuelles doivent être appliquées, la valeur SPI qui identifie de manière unique la SA à utiliser au niveau du moteur de routage de réception et la clé IPsec qui définit les clés d’authentification et de chiffrement pour la SA IPsec manuelle.
[ security] ipsec { internal { security-association { manual { direction (bidirectional | inbound | outbound) { protocol esp; spi spi-value; encryption { algorithm (hmac-sha1-96 | hmac-sha2-256); key (ascii-text ascii-text-string | hexadecimal hexadecimal-number); } } } } } }
Les tâches de configuration d’IPsec interne pour Junos-FIPS sont les suivantes. Vous pouvez configurer la direction dans laquelle les SA IPsec manuelles doivent être appliquées, la valeur SPI qui identifie de manière unique la SA à utiliser au niveau du moteur de routage de réception et la clé IPsec qui définit les clés d’authentification et de chiffrement pour la SA IPsec manuelle.
Configuration de la direction SA
Pour configurer la direction de la SA IPsec dans laquelle les SA manuelles des tunnels IPsec doivent être appliquées, incluez l’instruction suivante direction au niveau de la [security ipsec internal security-association manual] hiérarchie :
direction (bidirectional | inbound | outbound);
La valeur peut être l’une des suivantes :
bidirectional: applique les mêmes valeurs SA dans les deux sens entre les moteurs de routage.inbound: applique ces propriétés SA uniquement au tunnel IPsec entrant.outbound: applique ces propriétés SA uniquement au tunnel IPsec sortant.
Si vous ne configurez pas la SA pour qu’elle soit bidirectionnelle, vous devez configurer les paramètres SA pour les tunnels IPsec dans les directions entrante et sortante. L’exemple suivant utilise un tunnel IPsec entrant et sortant :
Nous vous recommandons de ne pas utiliser les clés IPsec en tant que clés ASCII pour Junos OS en mode FIPS. Au lieu de cela, vous devez utiliser les clés IPsec en tant que clés hexadécimales pour une force de clé maximale.
[security]
ipsec {
internal {
security-association {
manual {
direction inbound {
protocol esp;
spi 512;
encryption {
algorithm 3des-cbc;
key hexadecimal 309fc4be20f04e53e011b00744642d3fe66c2c7c;
}
}
direction outbound {
protocol esp;
spi 513;
encryption {
algorithm 3des-cbc;
key hexadecimal b0344c61d8db38535ca8afceaf0bf12b881dc200c9833da7;
}
}
}
}
}
}
Configuration de l’IPS IPsec
Un index de paramètres de sécurité (SPI) est un index 32 bits qui identifie un contexte de sécurité entre une paire de moteurs de routage. Pour configurer la valeur SPI IPsec, incluez l’instruction suivante spi au niveau de la [security ipsec internal security-association manual direction] hiérarchie :
spi value;
La valeur doit être comprise entre 256 et 16 639.
Configuration de la clé IPsec
Nous vous recommandons de ne pas utiliser les clés IPsec en tant que clés ASCII pour Junos OS en mode FIPS. Au lieu de cela, vous devez utiliser les clés IPsec en tant que clés hexadécimales pour une force de clé maximale.
La distribution et la gestion des clés sont essentielles à la bonne utilisation des VPN. Vous devez configurer les valeurs de clé de texte ASCII pour l’authentification et le chiffrement. Pour configurer la clé de texte ASCII, incluez l’instruction key au niveau de la [security ipsec internal security-association manual direction encryption] hiérarchie :
key (ascii-text ascii-text-string | hexadecimal hexadecimal-string);
Pour ce type d’AS, les deux clés doivent être des valeurs hexadécimales prépartagées et chacune nécessite un algorithme cryptographique spécifique :
Algorithme d’authentification
HMAC-SHA1-96 (40 caractères)
HMAC-SHA2-256 (64 caractères)
Algorithme de chiffrement
3DES-CBC (48 caractères)
Vous devez entrer la valeur hexadécimale de la clé deux fois et les chaînes saisies doivent correspondre, sinon la clé ne sera pas définie. La clé hexadécimale n’est jamais affichée en texte brut. Nous vous recommandons d’utiliser les clés IPsec en tant que clés hexadécimales pour une force de clé maximale et non en tant que clés ASCII pour Junos OS en mode FIPS.
Exemple : Configuration d’IPsec interne
Configurez une SA IPsec bidirectionnelle avec une valeur SPI de 512 et une valeur de clé conforme aux règles FIPS 140-2 :
[edit security]
ipsec {
internal {
security-association {
manual {
direction bidirectional {
protocol esp;
spi 512;
encryption {
algorithm 3des-cbc;
key ascii-text “$ABC123”;
}
}
}
}
}
}