FIPS 모드에 대한 IPsec 구성
FIPS 모드에서 Junos OS용 라우팅 엔진 간의 내부 통신을 활성화하기 위한 IPsec 구성
FIPS 모드의 Junos OS 환경에서, 두 개의 라우팅 엔진이 있는 라우터는 라우팅 엔진 간의 내부 통신을 위해 IPsec을 사용해야 합니다. FIPS 모드에서 Junos OS를 설치한 후 내부 IPsec을 구성합니다. 내부 IPsec을 구성하려면 암호화 책임자여야 합니다.
FIPS 모드의 Junos OS에서는 DES 기반 IPsec SA를 구성할 수 없습니다. 내부 IPsec SA는 HMAC-SHA1-96 인증 및 3DES-CBC 암호화를 사용합니다.
수동 SA는 협상이 필요하지 않습니다. 키를 포함한 모든 값은 정적이며 구성에 지정됩니다. 수동 SA는 사용할 SPI 값, 알고리즘 및 키를 정적으로 정의하며 터널의 양쪽 끝에서 일치하는 구성이 필요합니다. 통신을 수행하려면 각 피어에 동일한 구성 옵션이 있어야 합니다.
스위치가 FIPS 모드인 경우 각 라우팅 엔진에 IPsec SA를 설정할 때까지 명령을 사용할 commit synchronize
수 없습니다.
Crypto Officer는 계층 수준에서 다음 문을 사용하여 각 라우팅 엔진에 SA를 생성하여 라우팅 엔진 간의 통신을 위한 내부 IPsec SA를 [security]
구성합니다.
내부 IPsec을 구성하려면 계층 수준에서 문을 [security]
포함합니다security-association
. 수동 IPsec SA를 적용해야 하는 방향, 수신 라우팅 엔진에서 사용할 SA를 고유하게 식별하는 SPI 값, 수동 IPsec SA에 대한 인증 및 암호화 키를 정의하는 IPsec 키와 같은 매개 변수를 구성할 수 있습니다.
[ security] ipsec { internal { security-association { manual { direction (bidirectional | inbound | outbound) { protocol esp; spi spi-value; encryption { algorithm (hmac-sha1-96 | hmac-sha2-256); key (ascii-text ascii-text-string | hexadecimal hexadecimal-number); } } } } } }
Junos-FIPS를 위한 내부 IPsec 구성 작업은 다음과 같습니다. 수동 IPsec SA를 적용해야 하는 방향, 수신 라우팅 엔진에서 사용할 SA를 고유하게 식별하는 SPI 값, 수동 IPsec SA에 대한 인증 및 암호화 키를 정의하는 IPsec 키를 구성할 수 있습니다.
SA 방향 구성
IPsec 터널의 수동 SA를 적용해야 하는 IPsec SA 방향을 구성하려면 계층 수준에서 문을 [security ipsec internal security-association manual]
포함합니다direction
.
direction (bidirectional | inbound | outbound);
값은 다음 중 하나일 수 있습니다.
bidirectional
- 라우팅 엔진 간 양방향으로 동일한 SA 값을 적용합니다.inbound
- 이러한 SA 속성은 인바운드 IPsec 터널에만 적용합니다.outbound
- 이러한 SA 속성은 아웃바운드 IPsec 터널에만 적용합니다.
SA를 양방향으로 구성하지 않는 경우 인바운드 및 아웃바운드 방향 모두에서 IPsec 터널에 대한 SA 매개 변수를 구성해야 합니다. 다음 예에서는 인바운드 및 아웃바운드 IPsec 터널을 사용합니다.
FIPS 모드에서 Junos OS의 ASCII 키로 IPsec 키를 사용하지 않는 것이 좋습니다. 대신 최대 키 강도를 위해 IPsec 키를 16진수 키로 사용해야 합니다.
[security] ipsec { internal { security-association { manual { direction inbound { protocol esp; spi 512; encryption { algorithm 3des-cbc; key hexadecimal 309fc4be20f04e53e011b00744642d3fe66c2c7c; } } direction outbound { protocol esp; spi 513; encryption { algorithm 3des-cbc; key hexadecimal b0344c61d8db38535ca8afceaf0bf12b881dc200c9833da7; } } } } } }
IPsec SPI 구성
보안 매개 변수 인덱스(SPI)는 한 쌍의 라우팅 엔진 간의 보안 컨텍스트를 식별하는 32비트 인덱스입니다. IPsec SPI 값을 구성하려면 계층 수준에서 문을 포함합니다spi
.[security ipsec internal security-association manual direction]
spi value;
값은 256에서 16,639 사이여야 합니다.
IPsec 키 구성
FIPS 모드에서 Junos OS의 ASCII 키로 IPsec 키를 사용하지 않는 것이 좋습니다. 대신 최대 키 강도를 위해 IPsec 키를 16진수 키로 사용해야 합니다.
키의 배포 및 관리는 VPN을 성공적으로 사용하는 데 매우 중요합니다. 인증 및 암호화를 위해 ASCII 텍스트 키 값을 구성해야 합니다. ASCII 텍스트 키를 구성하려면 계층 수준에서 문을 포함합니다key
.[security ipsec internal security-association manual direction encryption]
key (ascii-text ascii-text-string | hexadecimal hexadecimal-string);
이 유형의 SA의 경우 두 키 모두 미리 공유된 16진수 값이어야 하며 각각 특정 암호화 알고리즘이 필요합니다.
인증 알고리즘
HMAC-SHA1-96(40자)
HMAC-SHA2-256(64자)
암호화 알고리즘
3DES-CBC(48자)
키 16진수 값을 두 번 입력해야 하며 입력한 문자열이 일치해야 하며 그렇지 않으면 키가 설정되지 않습니다. 16진수 키는 일반 텍스트로 표시되지 않습니다. FIPS 모드에서 Junos OS의 ASCII 키가 아닌 최대 키 강도를 위해 IPsec 키를 16진수 키로 사용하는 것이 좋습니다.
예: 내부 IPsec 구성
SPI 값 512와 FIPS 140-2 규칙을 준수하는 키 값을 사용하여 양방향 IPsec SA를 구성합니다.
[edit security] ipsec { internal { security-association { manual { direction bidirectional { protocol esp; spi 512; encryption { algorithm 3des-cbc; key ascii-text “$ABC123”; } } } } } }