Quantum Safe IPsec VPN

Configuration matérielle requise

® Juniper Networks SRX1500 pare-feu ou des modèles d’appareils ou des Pare-feu virtuel vSRX de Juniper Networks® supérieurs (vSRX3.0)

Configuration logicielle requise

Junos OS version 22.4R1 ou ultérieure.

Avantages

• Identification des menaces

  En configurant des clés quantiques, vous pouvez établir un canal quantique sécurisé entre les équipements de QKD. Cela permet d’améliorer l’identification des menaces et de sécuriser le réseau.

• Extension de la sécurité

  Vous pouvez fusionner les clés existantes avec des clés quantiques, puis les chiffrer et les déchiffrer via des tunnels VPN existants. Cela améliore la sécurité de l’infrastructure VPN IPsec.

• Amélioration de la force cryptographique

  La conformité RFC 8784 vous offre un moyen facile d’empêcher les attaquants d’espionner la connexion et d’intercepter les clés. Cela garantit également l’interopérabilité avec d’autres appareils qui adhèrent à la norme.

• Prise en charge de l’interopérabilité

  Utilisez n’importe quel équipement QKD prenant en charge l’API REST ETSI QKD.

Ressources utiles

En savoir plus

• VPN IPsec

• VPN IPsec basé sur le routage

Expérience pratique

Bac à sable vLABs

En savoir plus

RFC 8784 - Mélange de clés prépartagées dans le protocole IKEv2 (Internet Key Exchange Protocol Version 2) pour la sécurité post-quantique

Déployez une topologie VPN IPsec dans laquelle les pare-feu SRX Series sont connectés par des tunnels VPN qui envoient le trafic via le tunnel VPN IPsec. Les tunnels VPN sont ensuite configurés pour utiliser des clés quantiques, ce qui en fait des tunnels VPN à sécurité quantique.

Établir une connexion sécurisée, la passerelle IKE utilise la stratégie IKE pour se limiter au groupe configuré d’autorités de certification (profils CA) lors de la validation du certificat.

Définissez les algorithmes et les clés utilisés pour établir la connexion IKE sécurisée avec la passerelle de sécurité homologue.

IKE crée les SA dynamiques et les négocie pour IPsec.

Répertorie les protocoles, les algorithmes et les services de sécurité à négocier avec l’homologue IPsec distant.

Définissez une combinaison de paramètres de sécurité (propositions IKE) à utiliser lors de la négociation IKE.

Contient des règles et des politiques de sécurité pour autoriser le trafic VPN de groupe entre les zones spécifiées.

Permet de sélectionner le type de trafic de données à sécuriser via les SA IPsec.

• VPN-OUT : autorise le trafic de la zone de confiance vers la zone vpn, où le critère de correspondance est :

  • adresse-source : HÔTE-1-Net

  • adresse_destination : HÔTE-2-Net

  • application: quelconque

• VPN-IN : autorise le trafic de la zone VPN vers la zone de confiance, où le critère de correspondance est :

  • adresse-source : HÔTE-2-Net

  • adresse_destination : HÔTE-1-Net

  • application: quelconque

Profils

Profil clé

Définissez comment les pare-feu SRX Series utilisent le profil de clé statique pour récupérer les clés QKD sur le VPN IPsec afin d’envoyer du trafic en toute sécurité sur Internet.

• Profil de clé : un profil km_profile_1 de clé statique est configuré pour que les applications et les services récupèrent l’ID de clé configuré et la clé correspondante.

• Proposition IKE : une proposition IKE_PROP IKE est configurée avec les algorithmes requis pour établir une IKE SA.

• Stratégie IKE : une stratégie IKE_POL IKE est configurée pour définir les attributs de négociation et d’authentification d’exécution.

• Passerelle IKE : une passerelle IKE_GW IKE est configurée pour gérer les tunnels IPsec entre les points de terminaison. A ppk-profile indique le profil de clé à utiliser pour établir un IKE sécurisé quantique ou une SA IPsec.

• Proposition IPsec : une proposition IPSEC_PROP IPsec est configurée avec les algorithmes requis pour établir une SA IPsec.

• Stratégie IPsec : une stratégie IPSEC_POL IPsec est configurée pour définir les attributs de négociation IPsec d’exécution.

• VPN IPsec : une stratégie IPSEC_VPN VPN IPsec est configurée pour définir la plage de sous-réseaux à sécuriser.

• Zone de sécurité : trois zones trustde sécurité différentes sont untrustvpn configurées pour une meilleure ségrégation du trafic attendu dans chacune de ces zones.

• Stratégie de sécurité : les stratégies trust to vpn de sécurité sont vpn to trust configurées entre les zones de sécurité pour filtrer le type de trafic de données sécurisé par le biais des SA IPsec.

Indiquez le profil de clé à utiliser pour établir des IKE ou des SA IPsec à sécurité quantique en référençant le profil de clé sous la passerelle IKE.

Segment de réseau au niveau de la zone hôte

Segment réseau au niveau de la zone du serveur de destination

Segment de réseau à travers lequel les appareils SRX1 et SRX2 interagissent.

Tâches de vérification primaires

Pare-feu SRX Series capable d’établir des tunnels IPsec

Initie la négociation IKE ou IPsec SA et établit des tunnels IPsec sécurisés pour l’ère quantique avec SRX2 à l’aide d’une clé statique configurée sur le SRX1.

afficher la sécurité ike sécurité-associations détail

Vérifiez que les IKE SA sont établies.

Afficher le détail des associations de sécurité IPSec

Vérifiez que les SA IPsec sont établies.

Afficher les statistiques IPsec de sécurité

Vérifiez les statistiques de chiffrement et de déchiffrement IPsec.

Afficher les détails des profils du gestionnaire de clés de sécurité

Vérifiez les statistiques des profils clés.

ping 192.168.80.20 source 192.168.90.20 compte 4

Envoyez un ping de HOST1 à HOST2 ou vice versa.

Configuration matérielle requise

• ® Juniper Networks SRX1500 pare-feu ou des modèles d’appareils ou des Pare-feu virtuel vSRX de Juniper Networks® supérieurs (vSRX3.0)

• Équipements tiers d’entité de gestion de clés (KME) ou de distribution de clés quantiques (QKD). Les paramètres KME sont conformes à la spécification ETSI GS QKD 014 .

Configuration logicielle requise

Junos OS version 22.4R1 ou ultérieure.

Avantages

• Identification des menaces

  Établissez un canal quantique sécurisé entre les équipements QKD qui garantit l’identification des menaces à l’aide de clés quantiques.

• Extension de la sécurité

  Fusionnez les clés existantes avec les clés quantiques, puis chiffrez-les et déchiffrez-les via les tunnels VPN existants, renforçant ainsi la sécurité de l’infrastructure VPN IPsec.

• Conforme à la RFC 8784

  Étendez la procédure RFC 8784 déjà standardisée.

• Prise en charge de l’interopérabilité

  Utilisez n’importe quel équipement QKD prenant en charge l’API REST ETSI QKD.

Ressources utiles

En savoir plus

• VPN IPsec

• AutoVPN sur les appareils en étoile

Expérience pratique

Bac à sable vLab : VPN IPsec - Basé sur des stratégies

En savoir plus

• RFC 8784 - Mélange de clés prépartagées dans le protocole IKEv2 (Internet Key Exchange Protocol Version 2) pour la sécurité post-quantique

• API REST QKD de l’ETSI

Déployez une topologie VPN IPsec en étoile où les rayons sont connectés par des tunnels VPN qui envoient du trafic via le hub. Ces tunnels VPN sont ensuite configurés pour utiliser des clés quantiques, ce qui en fait des tunnels VPN à sécurité quantique.

Établir une connexion sécurisée, la passerelle IKE utilise la stratégie IKE pour se limiter au groupe configuré d’autorités de certification (profils CA) lors de la validation du certificat.

Définissez les algorithmes et les clés utilisés pour établir la connexion IKE sécurisée avec la passerelle de sécurité homologue.

IKE crée les SA dynamiques et les négocie pour IPsec.

Répertorie les protocoles, les algorithmes et les services de sécurité à négocier avec l’homologue IPsec distant.

Définissez une combinaison de paramètres de sécurité (propositions IKE) à utiliser lors de la négociation IKE.

Contient des règles et des politiques de sécurité pour autoriser le trafic VPN de groupe entre les zones spécifiées.

Permet de sélectionner le type de trafic de données à sécuriser via les SA IPsec.

• VPN-OUT : autorise le trafic de la zone de confiance vers la zone vpn, où le critère de correspondance est :

  • adresse-source : HÔTE-1-Net

  • adresse_destination : HÔTE-2-Net

  • application: quelconque

• VPN-IN : autorise le trafic de la zone VPN vers la zone de confiance, où le critère de correspondance est :

  • adresse-source : HÔTE-2-Net

  • adresse_destination : HÔTE-1-Net

  • application: quelconque

Profils

Définissez comment les périphériques SRX communiquent avec les périphériques KME pour récupérer les clés QKD à partir du serveur KME externe. Les profils clés sont configurés séparément sur le moyeu (HUB_KM_PROFILE_1) et les rayons (SPOKE_1_KM_PROFILE_1 et SPOKE_2_KM_PROFILE_1).

Configurez SPOKE-1 et SPOKE-2 pour que les applications et services récupèrent les clés QKD à partir d’un serveur externe.

• Key profile (profil de clé) : configurez les profils de clés du gestionnaire de clés quantiques suivants sur le Hub.

  • HUB_KM_PROFILE_1

  • SPOKE_1_KM_PROFILE_1

  • SPOKE_2_KM_PROFILE_1

• Configurez SPOKE-1 et SPOKE-2 avec les algorithmes nécessaires pour établir une IKE SA.

  Proposition IKE : configurez les propositions IKE suivantes sur le Hub.

  • HUB_IKE_PROP

  • SPOKE_1_IKE_PROP

  • SPOKE_2_IKE_PROP

• Configurez SPOKE-1 et SPOKE-2 définissez les attributs de négociation et d’authentification du runtime.

  Stratégie IKE : configurez les stratégies IKE suivantes sur le Hub.

  • HUB_IKE_POL

  • SPOKE_1_IKE_POL

  • SPOKE_3_IKE_POL

• Configurez SPOKE-1 et SPOKE-2 définissez les points de terminaison entre les tunnels IPsec.

  Passerelle IKE : configurez les passerelles IKE suivantes sur le Hub.

  A ppk-profile indique le profil de clé à utiliser pour établir un IKE ou IPsec SA à sécurité quantique.

  • HUB_IKE_GW

  • SPOKE_1_IKE_GW

  • SPOKE_2_IKE_GW

• Configurez SPOKE-1 et SPOKE-2 avec les algorithmes nécessaires pour établir une SA IPsec.

  Proposition IPsec : configurez les propositions IPsec suivantes sur le Hub.

  • HUB_IPSEC_PROP

  • SPOKE_1_IPSEC_PROP

  • SPOKE_2_IPSEC_PROP

• Configurez SPOKE-1 et SPOKE-2 définissez les attributs de négociation IPsec d’exécution.

  Stratégie IPsec : configurez les stratégies IPsec suivantes sur le Hub.

  • HUB_IPSEC_POL

  • SPOKE_1_IPSEC_POL

  • SPOKE_2_IPSEC_POL

• Configurez SPOKE-1 et SPOKE-2 définissez la plage de sous-réseaux à sécuriser.

  VPN IPsec : configurez les VPN IPsec suivants sur le Hub.

  • HUB_IPSEC_VPN

  • SPOKE_1_IPSEC_VPN

  • SPOKE_2_IPSEC_VPN

• Zone de sécurité : configurez trois zones de sécurité différentes pour séparer le trafic.

  • trust

  • untrust

  • vpn

• Stratégie de sécurité : configurez les stratégies trust to vpn de sécurité et vpn to trust sélectionnez le type de trafic de données sécurisé par le biais des SA IPsec.

Indiquez le profil de clé à utiliser pour établir des IKE ou des SA IPsec à sécurité quantique en référençant le profil de clé sous la passerelle IKE.

Segment de réseau au niveau de la zone hôte.

Segment de réseau dans la zone du serveur de destination.

Segment de réseau à travers lequel le hub et les spokes interagissent.

Tâches de vérification primaires

Vérifiez que les SA IKE et IPsec établies sont sécurisées par Quantum.

afficher la sécurité ike sécurité-associations détail

Afficher le détail des associations de sécurité IPSec

Afficher les statistiques IPsec de sécurité

Afficher les détails des profils du gestionnaire de clés de sécurité

ping 192.168.90.20 source 192.168.80.20 compte 4

ping 192.168.90.20 source 192.168.70.20 compte 4

Configuration matérielle requise

• ® Juniper Networks SRX1500 pare-feu ou des modèles d’appareils ou des Pare-feu virtuel vSRX de Juniper Networks® supérieurs (vSRX3.0)

• Équipements tiers d’entité de gestion de clés (KME) ou de distribution de clés quantiques (QKD). Les paramètres KME sont conformes à la spécification ETSI GS QKD 014 .

Configuration logicielle requise

Junos OS version 22.4R1 ou ultérieure.

Avantages

• Identification des menaces

  En configurant des clés quantiques, vous pouvez établir un canal quantique sécurisé entre les équipements de QKD. Cela permet d’améliorer l’identification des menaces et de sécuriser le réseau.

• Extension de la sécurité

  Vous pouvez fusionner les clés existantes avec des clés quantiques, puis les chiffrer et les déchiffrer via des tunnels VPN existants. Cela améliore la sécurité de l’infrastructure VPN IPsec.

• Amélioration de la force cryptographique

  La conformité RFC 8784 vous offre un moyen facile d’empêcher les attaquants d’espionner la connexion et d’intercepter les clés. Cela garantit également l’interopérabilité avec d’autres appareils qui adhèrent à la norme.

• Prise en charge de l’interopérabilité

  Utilisez n’importe quel équipement QKD prenant en charge l’API REST ETSI QKD.

Ressources utiles

En savoir plus

• VPN IPsec

• AutoVPN sur les appareils en étoile

Expérience pratique

Bac à sable vLABs

En savoir plus

RFC 8784 - Mélange de clés prépartagées dans le protocole IKEv2 (Internet Key Exchange Protocol Version 2) pour la sécurité post-quantique

Obtenez l’adresse de l’autorité de certification (CA) et les informations dont elle a besoin (comme le mot de passe de demande), puis vous soumettez des demandes de certificats locaux. Reportez-vous à la section Présentation des demandes de certificat locales.

Enregistrez les certificats numériques dans chaque appareil. Voir l’exemple : Chargement manuel de l’autorité de certification et des certificats locaux.

Déploie une topologie VPN IPsec en étoile où les rayons sont connectés par des tunnels VPN qui envoient du trafic via le hub. Ces tunnels VPN sont ensuite configurés pour utiliser des clés quantiques, ce qui en fait des tunnels VPN à sécurité quantique.

Établit une connexion sécurisée, la passerelle IKE utilise la stratégie IKE pour se limiter au groupe configuré d’autorités de certification (profils CA) lors de la validation du certificat.

Définit les algorithmes et les clés utilisés pour établir la connexion IKE sécurisée avec la passerelle de sécurité homologue.

IKE crée les SA dynamiques et les négocie pour IPsec.

Répertorie les protocoles, les algorithmes et les services de sécurité à négocier avec l’homologue IPsec distant.

Définit une combinaison de paramètres de sécurité (propositions IKE) à utiliser lors de la négociation IKE.

Contient des règles et des stratégies de sécurité pour autoriser le trafic VPN de groupe entre les zones spécifiées.

Permet de sélectionner le type de trafic de données à sécuriser via les SA IPsec.

• VPN-OUT : autorise le trafic de la zone de confiance vers la zone vpn, où le critère de correspondance est :

  • adresse-source : HÔTE-1-Net

  • adresse_destination : HÔTE-2-Net

  • application: quelconque

• VPN-IN : autorise le trafic de la zone VPN vers la zone de confiance, où le critère de correspondance est :

  • adresse-source : HÔTE-2-Net

  • adresse_destination : HÔTE-1-Net

  • application: quelconque

Profils

Profil clé

Définissez comment les périphériques de pare-feu SRX Series communiquent avec les périphériques KME pour récupérer les clés QKD à partir du serveur KME externe. Les profils clés sont configurés séparément sur le moyeu (HUB_KM_PROFILE_1) et les rayons (SPOKE_1_KM_PROFILE_1 et SPOKE_2_KM_PROFILE_1).

• Key profile : profils de clés statiques HUB_KM_PROFILE_1et SPOKE_1_KM_PROFILE_1SPOKE_2_KM_PROFILE_1 configurés sur le HUB, SPOKE-1 et SPOKE-2 respectivement pour permettre aux applications/services de récupérer un ID de clé configuré via CLI et la clé correspondante.

• Proposition IKE : les propositions HUB_IKE_PROPIKE sont SPOKE_1_IKE_PROPSPOKE_2_IKE_PROP configurées sur le HUB, SPOKE-1 et SPOKE-2 respectivement avec les algorithmes requis pour établir une association de sécurité IKE.

• Stratégie IKE : stratégies HUB_IKE_POLIKE , SPOKE_1_IKE_POL et SPOKE_3_IKE_POL sont configurées sur le HUB, SPOKE-1 et SPOKE-2 respectivement pour définir les attributs de négociation/authentification d’exécution.

• Passerelle IKE—Les passerelles IKE , SPOKE_1_IKE_GW configurées HUB_IKE_GWSPOKE_2_IKE_GW respectivement sur le HUB, SPOKE-1 et SPOKE-2 pour définir les points de terminaison entre lesquels les tunnels IPsec doivent être établis, référencer la stratégie IKE configurée, la version d’IKE à utiliser et un profil ppk pour indiquer le profil de clé à utiliser pour établir des associations de sécurité IKE/IPsec sécurisées Quantum.

• Proposition IPsec : les propositions HUB_IPSEC_PROPIPSEC , SPOKE_1_IPSEC_PROP et SPOKE_2_IPSEC_PROP sont configurées sur le HUB, SPOKE-1 et SPOKE-2 respectivement avec les algorithmes requis pour établir une association de sécurité IPSEC.

• Stratégie IPsec : stratégies HUB_IPSEC_POLIPSEC , SPOKE_1_IPSEC_POL et SPOKE_2_IPSEC_POL sont configurées sur le HUB, SPOKE-1 et SPOKE-2 respectivement pour définir les attributs de négociation IPsec d’exécution.

• VPN IPsec : les VPN HUB_IPSEC_VPNIPSEC , SPOKE_1_IPSEC_VPN configurés SPOKE_2_IPSEC_VPN respectivement sur le HUB, SPOKE-1 et SPOKE-2 pour définir la plage de sous-réseaux à sécuriser, référencent la stratégie IPsec configurée et la passerelle IKE.

• Zone de sécurité : 3 zones trustde sécurité différentes sont vpnuntrust configurées pour une meilleure ségrégation du trafic attendu dans chacune de ces zones.

• Stratégie de sécurité : les stratégies trust to vpn de sécurité sont vpn to trust configurées entre les zones de sécurité pour filtrer le type de trafic de données à sécuriser via les associations de sécurité IPsec.

Indique le profil de clé à utiliser pour établir des IKE ou des SA IPsec à sécurité quantique en référençant le profil de clé sous la passerelle IKE.

Segment de réseau au niveau de la zone hôte.

Segment de réseau dans la zone du serveur de destination.

Segment de réseau à travers lequel le réseau en étoile interagit.

Tâches de vérification primaires

Configuration matérielle requise

® Juniper Networks SRX1500 pare-feu ou des modèles d’appareils ou des Pare-feu virtuel vSRX de Juniper Networks® supérieurs (vSRX3.0)

Configuration logicielle requise

Junos OS version 22.4R1 ou ultérieure.

Avantages

• Identification des menaces

  En configurant des clés quantiques, vous pouvez établir un canal quantique sécurisé entre les équipements de QKD. Cela permet d’améliorer l’identification des menaces et de sécuriser le réseau.

• Sécurité étendue

  Vous pouvez fusionner les clés existantes avec des clés quantiques, puis les chiffrer et les déchiffrer via des tunnels VPN existants. Cela améliore la sécurité de l’infrastructure VPN IPsec.

• Amélioration de la force cryptographique

  La conformité RFC 8784 vous offre un moyen facile d’empêcher les attaquants d’espionner la connexion et d’intercepter les clés. Cela garantit également l’interopérabilité avec d’autres appareils qui adhèrent à la norme.

• Prise en charge de l’interopérabilité

  Vous pouvez utiliser n’importe quel équipement QKD qui prend en charge l’API REST ETSI QKD.

Ressources utiles

En savoir plus

• VPN IPsec

• VPN IPsec basé sur le routage

• Comprendre les demandes de certificat local

• Exemple : Chargement manuel de l’autorité de certification et des certificats locaux

Expérience pratique

Bac à sable vLABs

En savoir plus

RFC 8784 - Mélange de clés prépartagées dans le protocole IKEv2 (Internet Key Exchange Protocol Version 2) pour la sécurité post-quantique

API REST QKD de l’ETSI

Déploie une topologie VPN IPsec en étoile où les rayons sont connectés par des tunnels VPN qui envoient du trafic via le hub. Ces tunnels VPN sont ensuite configurés pour utiliser des clés quantiques, ce qui en fait des tunnels VPN à sécurité quantique.

Établit une connexion sécurisée. La passerelle IKE utilise la stratégie IKE pour se limiter au groupe configuré de profils d’autorité de certification (CA) lors de la validation du certificat.

Définit les algorithmes et les clés utilisés pour établir la connexion IKE sécurisée avec la passerelle de sécurité homologue.

IKE crée les associations de sécurité dynamiques (SA) et les négocie pour IPsec.

Répertorie les protocoles, les algorithmes et les services de sécurité à négocier avec l’homologue IPsec distant.

Définit une combinaison de paramètres de sécurité (propositions IKE) à utiliser lors de la négociation IKE.

Contient des règles et des stratégies de sécurité pour autoriser le trafic VPN de groupe entre les zones spécifiées.

Permet de sélectionner le type de trafic de données à sécuriser via les SA IPsec.

• VPN-OUT : autorise le trafic de la zone de confiance vers la zone vpn, où le critère de correspondance est :

  • adresse-source : HÔTE-1-Net

  • adresse_destination : HÔTE-2-Net

  • application: quelconque

• VPN-IN : autorise le trafic de la zone VPN vers la zone de confiance, où le critère de correspondance est :

  • adresse-source : HÔTE-2-Net

  • adresse_destination : HÔTE-1-Net

  • application: quelconque

Profils

Profil clé

Définit la manière dont les pare-feu SRX Series communiquent avec les équipements KME pour récupérer les clés QKD du serveur KME externe. Les profils clés sont configurés séparément sur le moyeu (HUB_KM_PROFILE_1) et les rayons (SPOKE_1_KM_PROFILE_1 et SPOKE_2_KM_PROFILE_1).

• Profil de clé : un profil km_profile_1 de gestionnaire de clés quantiques est configuré pour permettre aux applications et services de récupérer les clés QKD à partir d’un serveur externe.

• Proposition IKE : une proposition IKE_PROP IKE est configurée avec les algorithmes requis pour établir une IKE SA.

• Stratégie IKE : une stratégie IKE_POL IKE est configurée pour définir les attributs de négociation et d’authentification d’exécution.

• Passerelle IKE : une passerelle IKE_GW IKE est configurée pour gérer les tunnels IPsec entre les points de terminaison. A ppk-profile indique le profil de clé à utiliser pour établir un IKE sécurisé quantique ou une SA IPsec.

• Proposition IPsec : une proposition IPSEC_PROP IPsec est configurée avec les algorithmes requis pour établir une SA IPsec.

• Stratégie IPsec : une stratégie IPSEC_POL IPsec est configurée pour définir les attributs de négociation IPsec d’exécution.

• VPN IPsec : une stratégie IPSEC_VPN VPN IPsec est configurée pour définir la plage de sous-réseaux à sécuriser.

• Zone de sécurité : trois zones trustde sécurité différentes sont untrustvpn configurées pour une meilleure ségrégation du trafic attendu dans chacune de ces zones.

• Stratégie de sécurité : les stratégies trust to vpn de sécurité sont vpn to trust configurées entre les zones de sécurité pour filtrer le type de trafic de données sécurisé par le biais des SA IPsec.

Indique le profil de clé à utiliser pour établir des IKE ou des SA IPsec à sécurité quantique en référençant le profil de clé sous la passerelle IKE.

Segment de réseau au niveau de la zone hôte.

Segment de réseau dans la zone du serveur de destination.

Segment de réseau à travers lequel le hub et les spokes interagissent.

Tâches de vérification primaires

Configuration matérielle requise

• ® Juniper Networks SRX1500 pare-feu ou des modèles d’appareils ou des Pare-feu virtuel vSRX de Juniper Networks® supérieurs (vSRX3.0)

• Équipements tiers d’entité de gestion de clés (KME) ou de distribution de clés quantiques (QKD). Les paramètres KME sont conformes à la spécification ETSI GS QKD 014 .

Configuration logicielle requise

Junos OS version 22.4R1 ou ultérieure.

Avantages

• Identification des menaces

  Établissez un canal quantique sécurisé entre les équipements QKD qui garantit l’identification des menaces à l’aide de clés quantiques.

• Extension de la sécurité

  Fusionnez les clés existantes avec les clés quantiques, puis chiffrez-les et déchiffrez-les via les tunnels VPN existants, renforçant ainsi la sécurité de l’infrastructure VPN IPsec.

• Conforme à la RFC 8784

  Étendez la procédure RFC 8784 déjà standardisée.

• Prise en charge de l’interopérabilité

  Utilisez n’importe quel équipement QKD prenant en charge l’API REST ETSI QKD.

Ressources utiles

En savoir plus

• VPN IPsec

• AutoVPN sur les appareils en étoile

Expérience pratique

Bac à sable vLab : VPN IPsec - Basé sur des stratégies

En savoir plus

• RFC 8784 - Mélange de clés prépartagées dans le protocole IKEv2 (Internet Key Exchange Protocol Version 2) pour la sécurité post-quantique

• API REST QKD de l’ETSI

Déployez une topologie VPN IPsec en étoile où les rayons sont connectés par des tunnels VPN qui envoient du trafic via le hub. Ces tunnels VPN sont ensuite configurés pour utiliser des clés quantiques, ce qui en fait des tunnels VPN à sécurité quantique.

Établir une connexion sécurisée, la passerelle IKE utilise la stratégie IKE pour se limiter au groupe configuré d’autorités de certification (profils CA) lors de la validation du certificat.

Définissez les algorithmes et les clés utilisés pour établir la connexion IKE sécurisée avec la passerelle de sécurité homologue.

IKE crée les SA dynamiques et les négocie pour IPsec.

Répertorie les protocoles, les algorithmes et les services de sécurité à négocier avec l’homologue IPsec distant.

Définissez une combinaison de paramètres de sécurité (propositions IKE) à utiliser lors de la négociation IKE.

Contient des règles et des politiques de sécurité pour autoriser le trafic VPN de groupe entre les zones spécifiées.

Permet de sélectionner le type de trafic de données à sécuriser via les SA IPsec.

• VPN-OUT : autorise le trafic de la zone de confiance vers la zone vpn, où le critère de correspondance est :

  • adresse-source : HÔTE-1-Net

  • adresse_destination : HÔTE-2-Net

  • application: quelconque

• VPN-IN : autorise le trafic de la zone VPN vers la zone de confiance, où le critère de correspondance est :

  • adresse-source : HÔTE-2-Net

  • adresse_destination : HÔTE-1-Net

  • application: quelconque

Profils

Définissez comment les périphériques SRX communiquent avec les périphériques KME pour récupérer les clés QKD à partir du serveur KME externe. Les profils clés sont configurés séparément sur le moyeu (HUB_KM_PROFILE_1) et les rayons (SPOKE_1_KM_PROFILE_1 et SPOKE_2_KM_PROFILE_1).

Configurez SPOKE-1 et SPOKE-2 pour que les applications et services récupèrent les clés QKD à partir d’un serveur externe.

• Key profile (profil de clé) : configurez les profils de clés du gestionnaire de clés quantiques suivants sur le Hub.

  • HUB_KM_PROFILE_1

  • SPOKE_1_KM_PROFILE_1

  • SPOKE_2_KM_PROFILE_1

• Configurez SPOKE-1 et SPOKE-2 avec les algorithmes nécessaires pour établir une IKE SA.

  Proposition IKE : configurez les propositions IKE suivantes sur le Hub.

  • HUB_IKE_PROP

  • SPOKE_1_IKE_PROP

  • SPOKE_2_IKE_PROP

• Configurez SPOKE-1 et SPOKE-2 définissez les attributs de négociation et d’authentification du runtime.

  Stratégie IKE : configurez les stratégies IKE suivantes sur le Hub.

  • HUB_IKE_POL

  • SPOKE_1_IKE_POL

  • SPOKE_3_IKE_POL

• Configurez SPOKE-1 et SPOKE-2 définissez les points de terminaison entre les tunnels IPsec.

  Passerelle IKE : configurez les passerelles IKE suivantes sur le Hub.

  A ppk-profile indique le profil de clé à utiliser pour établir un IKE ou IPsec SA à sécurité quantique.

  • HUB_IKE_GW

  • SPOKE_1_IKE_GW

  • SPOKE_2_IKE_GW

• Configurez SPOKE-1 et SPOKE-2 avec les algorithmes nécessaires pour établir une SA IPsec.

  Proposition IPsec : configurez les propositions IPsec suivantes sur le Hub.

  • HUB_IPSEC_PROP

  • SPOKE_1_IPSEC_PROP

  • SPOKE_2_IPSEC_PROP

• Configurez SPOKE-1 et SPOKE-2 définissez les attributs de négociation IPsec d’exécution.

  Stratégie IPsec : configurez les stratégies IPsec suivantes sur le Hub.

  • HUB_IPSEC_POL

  • SPOKE_1_IPSEC_POL

  • SPOKE_2_IPSEC_POL

• Configurez SPOKE-1 et SPOKE-2 définissez la plage de sous-réseaux à sécuriser.

  VPN IPsec : configurez les VPN IPsec suivants sur le Hub.

  • HUB_IPSEC_VPN

  • SPOKE_1_IPSEC_VPN

  • SPOKE_2_IPSEC_VPN

• Zone de sécurité : configurez trois zones de sécurité différentes pour séparer le trafic.

  • trust

  • untrust

  • vpn

• Stratégie de sécurité : configurez les stratégies trust to vpn de sécurité et vpn to trust sélectionnez le type de trafic de données sécurisé par le biais des SA IPsec.

Indiquez le profil de clé à utiliser pour établir des IKE ou des SA IPsec à sécurité quantique en référençant le profil de clé sous la passerelle IKE.

Segment de réseau au niveau de la zone hôte.

Segment de réseau dans la zone du serveur de destination.

Segment de réseau à travers lequel le hub et les spokes interagissent.

Tâches de vérification primaires

Vérifiez que les SA IKE et IPsec établies sont sécurisées par Quantum.

afficher la sécurité ike sécurité-associations détail

Afficher le détail des associations de sécurité IPSec

Afficher les statistiques IPsec de sécurité

Afficher les détails des profils du gestionnaire de clés de sécurité

ping 192.168.90.20 source 192.168.80.20 compte 4

ping 192.168.90.20 source 192.168.70.20 compte 4