Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuración de IPsec para el modo FIPS

Configuración de IPsec para habilitar comunicaciones internas entre motores de enrutamiento para Junos OS en modo FIPS

En un Junos OS en un entorno de modo FIPS , los enrutadores con dos motores de enrutamiento deben usar IPsec para la comunicación interna entre los motores de enrutamiento. Puede configurar IPsec interno después de instalar Junos OS en modo FIPS. Debe ser un oficial de cifrado para configurar IPsec interno.

Nota:

No puede configurar SA de IPsec basadas en DES en Junos OS en modo FIPS. Las SA internas de IPsec usan autenticación HMAC-SHA1-96 y cifrado 3DES-CBC.

Las SA manuales no requieren negociación. Todos los valores, incluidas las claves, son estáticos y se especifican en la configuración. Las SA manuales definen estáticamente los valores, algoritmos y claves spi que se usarán, y requieren configuraciones coincidentes en ambos extremos del túnel. Cada par debe tener las mismas opciones configuradas para que la comunicación tenga lugar.

Nota:

Cuando el conmutador está en modo FIPS, no puede usar el commit synchronize comando hasta que haya establecido una SA IPsec en cada motor de enrutamiento.

Como Crypto Officer, configura una SA IPsec interna para la comunicación entre motores de enrutamiento mediante la creación de una SA en cada motor de enrutamiento con las siguientes instrucciones en el [security] nivel jerárquico :

Para configurar IPsec interno, incluya la security-association instrucción en el [security] nivel de jerarquía. Puede configurar parámetros, como la dirección en la que se deben aplicar las SA de IPsec manuales, el valor SPI que identifica de forma exclusiva la SA que se va a usar en el motor de enrutamiento de recepción y la clave IPsec que define las claves de autenticación y cifrado para la SA IPsec manual.

Las tareas para configurar IPsec internos para Junos-FIPS son las siguientes. Puede configurar la dirección en la que se deben aplicar las SA de IPsec manuales, el valor SPI que identifica de forma exclusiva la SA que se utilizará en el motor de enrutamiento de recepción y la clave IPsec que define las claves de autenticación y cifrado para la SA de IPsec manual.

Configuración de la dirección SA

Para configurar la dirección SA de IPsec en la que se deben aplicar SA manuales de los túneles IPsec, incluya la direction instrucción en el [security ipsec internal security-association manual] nivel de jerarquía:

El valor puede ser uno de los siguientes:

  • bidirectional— Aplique los mismos valores de SA en ambas direcciones entre motores de enrutamiento.

  • inbound— Aplique estas propiedades de SA solo al túnel IPsec entrante.

  • outbound: aplique estas propiedades de SA solo al túnel IPsec saliente.

Si no configura la SA para que sea bidireccional, debe configurar los parámetros de SA para túneles IPsec en las direcciones de entrada y salida. El siguiente ejemplo usa un túnel IPsec de entrada y salida:

Nota:

Recomendamos que no utilice las claves IPsec como claves ASCII para Junos OS en modo FIPS. En su lugar, debe usar las claves IPsec como claves hexadecimales para una fuerza de clave máxima.

Configuración del SPI IPsec

Un índice de parámetros de seguridad (SPI) es un índice de 32 bits que identifica un contexto de seguridad entre un par de motores de enrutamiento. Para configurar el valor SPI IPsec, incluya la spi instrucción en el [security ipsec internal security-association manual direction] nivel jerárquico:

El valor debe ser de 256 a 16.639.

Configuración de la clave IPsec

Nota:

Recomendamos que no utilice las claves IPsec como claves ASCII para Junos OS en modo FIPS. En su lugar, debe usar las claves IPsec como claves hexadecimales para una fuerza de clave máxima.

La distribución y la administración de claves son fundamentales para usar correctamente las VPN. Debe configurar los valores de clave de texto ASCII para la autenticación y el cifrado. Para configurar la clave de texto ASCII, incluya la key instrucción en el [security ipsec internal security-association manual direction encryption] nivel de jerarquía:

Para este tipo de SA, ambas claves deben tener valores hexadecimales previamente compartidos y cada una requiere un algoritmo criptográfico específico:

  • Algoritmo de autenticación

    • HMAC-SHA1-96 (40 caracteres)

    • HMAC-SHA2-256 (64 caracteres)

  • Algoritmo de cifrado

    • 3DES-CBC (48 caracteres)

Debe introducir el valor hexadecimal de la clave dos veces y las cadenas introducidas deben coincidir, o no se establecerá la clave. La clave hexadecimal nunca se muestra en texto sin formato. Recomendamos que utilice las claves IPsec como claves hexadecimales para la máxima fuerza de clave y no como claves ASCII para Junos OS en modo FIPS.

Ejemplo: Configuración de IPsec interna

Configure una SA IPsec bidireccional con un valor SPI de 512 y un valor clave que cumpla con las reglas FIPS 140-2: