Citrix SD-WAN

Conformité aux normes FIPS

Dans Citrix SD-WAN, le mode FIPS oblige les utilisateurs à configurer les paramètres conformes FIPS pour leurs tunnels IPSec et les paramètres IPsec pour les chemins virtuels.

  • Affiche le mode IKE compatible FIPS.
  • Affiche un groupe IKE DH conforme FIPS dans lequel les utilisateurs peuvent sélectionner les paramètres requis pour configurer l’appliance en mode conforme FIPS (2,5,14 — 21).
  • Affiche le type de tunnel IPsec compatible FIPS dans les paramètres IPsec pour les chemins virtuels

  • Mode d’intégrité IKE et (IKEv2), mode d’authentification IPsec.

  • Effectue des erreurs d’audit pour les paramètres de vie basés sur FIPS

Pour activer la conformité FIPS à l’aide de l’interface graphique Citrix SD-WAN :

  1. Accédez à Configuration > Réseau étendu virtuel > Éditeur de configuration > Global, puis sélectionnez Activer le mode FIPS .

L’activation du mode FIPS impose des vérifications pendant la configuration afin de s’assurer que tous les paramètres de configuration liés à IPSec respectent les normes FIPS. Vous êtes invité par des erreurs d’audit et des avertissements à configurer IPSec.

Pour configurer les paramètres IPsec du chemin virtuel :

  • Activez Virtual Path Tunnels IPsec pour tous les chemins virtuels où la conformité FIPS est requise. Les paramètres IPsec pour les chemins virtuels sont contrôlés via les ensembles par défaut.
  • Configurez l’authentification des messages en changeant le mode IPSec en AH ou ESP+Auth et utilisez une fonction de hachage approuvée par FIPS. SHA1 est accepté par FIPS, mais SHA256 est fortement recommandé.
  • La durée de vie IPsec ne doit pas être configurée plus de 8 heures (28 800 secondes).

Le réseau WAN virtuel utilise IKE version 2 avec des clés pré-partagées pour négocier des tunnels IPSec via le chemin virtuel en utilisant les paramètres suivants :

  • DH Groupe 19 : ECP256 (courbe elliptique 256 bits) pour la négociation des clés
  • Cryptage AES-CBC 256 bits
  • Hachage SHA256 pour l’authentification des messages
  • Hachage SHA256 pour l’intégrité des messages
  • DH Groupe 2 : MODP-1024 pour un secret parfait avant

Pour configurer IPSec Tunnel pour un tiers, utilisez les paramètres suivants :

  1. Configurer le groupe DH approuvé par FIPS. Les groupes 2 et 5 sont autorisés dans le cadre de la FIPS, mais les groupes 14 et plus sont fortement recommandés.

  2. Configurer la fonction de hachage approuvée par FIPS. SHA1 est accepté par FIPS, mais SHA256 est fortement recommandé.

  3. Si vous utilisez IKev2, configurez une fonction d’intégrité approuvée par FIPS. SHA1 est accepté par FIPS, mais SHA256 est fortement recommandé.

  4. Configurez une durée de vie IKE et une durée de vie maximale ne dépassant pas 24 heures (86 400 secondes).

  5. Configurez l’authentification des messages IPSec en changeant le mode IPSec en AH ou ESP+Auth et utilisez une fonction de hachage approuvée par FIPS. SHA1 est accepté par FIPS, mais SHA256 est fortement recommandé.

  6. Configurez une durée de vie IPsec et une durée de vie maximale ne dépassant pas huit heures (28 800 secondes).

Pour configurer les tunnels IPSec :

  1. Sur l’appliance MCN, accédez à Configuration > Virtual WAN > Éditeur de configuration. Ouvrez un package de configuration existant. Accédez à Connexions > Tunnels IPSec.

    image localisée

  2. Accédez à Connexions - Tunnels IPSec. Avec le TunnelLANou Intranet sélectionné, l’écran distingue les groupes compatibles FIPS dans les paramètres IKE de ceux qui ne sont pas conformes, de sorte que vous pouvez facilement configurer la conformité FIPS.

    image localisée

L’écran indique également si l’algorithme de hachage est conforme à la norme FIPS, comme illustré dans la figure suivante.

image localisée

Options de conformité FIPS pour les paramètres IPsec :

image localisée

Si la configuration IPSec n’est pas conforme aux normes FIPS lorsqu’elle est activée, une erreur d’audit peut être déclenchée. Voici le type d’erreurs d’audit qui s’affichent dans l’interface graphique.

  • Lorsque, le mode FIPS est activé et l’option non conforme FIPS est sélectionnée.
  • Lorsque, le mode FIPS est activé et une valeur de vie incorrecte est entrée.
  • Lorsque le mode FIPS est activé et que les paramètres IPSec pour le chemin virtuel par défaut sont également activés, et le mode tunnel incorrect est sélectionné (ESP vs ESP_Auth/AH).
  • Lorsque le mode FIPS est activé, les paramètres IPsec pour le jeu par défaut du chemin virtuel sont également activés et une valeur de durée de vie incorrecte est entrée.
Conformité aux normes FIPS