Citrix SD-WAN

Conformité aux normes FIPS

Dans Citrix SD-WAN, le mode FIPS oblige les utilisateurs à configurer des paramètres conformes à FIPS pour leurs tunnels IPsec et les paramètres IPsec pour les chemins virtuels.

  • Affiche le mode IKE conforme à la norme FIPS.
  • Affiche un groupe IKE DH conforme à FIPS dans lequel les utilisateurs peuvent sélectionner les paramètres requis pour configurer l’appliance en mode FIPS (2,5,14 — 21).
  • Affiche le type de tunnel IPSec conforme à FIPS dans les paramètres IPSec pour les chemins virtuels

  • Mode Hash IKE et intégrité (IKEV2), mode Auth IPSec.

  • Effectue des erreurs d’audit pour les paramètres de vie basés sur FIPS

Pour activer la conformité FIPS à l’aide de l’interface graphique Citrix SD-WAN :

  1. Accédez à Configuration > Réseau étendu virtuel > Éditeur de configuration > Global, puis sélectionnez Activer le mode FIPS.

L’activation du mode FIPS permet d’appliquer des vérifications pendant la configuration afin de s’assurer que tous les paramètres de configuration liés à IPSec respectent les normes FIPS. Les erreurs d’audit et les avertissements vous invitent à configurer IPSec.

Pour configurer les paramètres IPSec du chemin virtuel :

  • Activez les tunnels IPSec de chemin virtuel pour tous les chemins virtuels pour lesquels la conformité FIPS est requise. Les paramètres IPSec pour les chemins virtuels sont contrôlés via les jeux par défaut.
  • Configurez l’authentification des messages en changeant le mode IPsec en AH ou ESP+Auth et en utilisant une fonction de hachage approuvée FIPS. SHA1 est accepté par la FIPS, mais SHA256 est fortement recommandé.
  • La durée de vie IPSec ne doit pas être configurée plus de 8 heures (28 800 secondes).

Le Virtual WAN utilise IKE version 2 avec des clés prépartagées pour négocier les tunnels IPSec via le Virtual Path en utilisant les paramètres suivants :

  • DH Group 19 : ECP256 (courbe elliptique de 256 bits) pour la négociation de clés
  • Chiffrement AES-CBC 256 bits
  • Hachage SHA256 pour l’authentification des messages
  • Hachage SHA256 pour l’intégrité des messages
  • DH Group 2 : MODP-1024 pour un secret direct parfait

Pour configurer le tunnel IPSec pour un tiers, utilisez les paramètres suivants :

  1. Configurer le groupe DH approuvé FIPS. Les groupes 2 et 5 sont autorisés dans le cadre de la FIPS, mais les groupes 14 et plus sont fortement recommandés.

  2. Configurer la fonction de hachage approuvée FIPS. SHA1 est accepté par FIPS, mais SHA256 est fortement recommandé.

  3. Si vous utilisez iKev2, configurez une fonction d’intégrité approuvée par FIPS. SHA1 est accepté par FIPS, mais SHA256 est fortement recommandé.

  4. Configurez une durée de vie IKE et une durée de vie maximale ne dépassant pas 24 heures (86 400 secondes).

  5. Configurez l’authentification des messages IPsec en changeant le mode IPsec en AH ou ESP+Auth et en utilisant une fonction de hachage approuvée FIPS. SHA1 est accepté par la FIPS, mais SHA256 est fortement recommandé.

  6. Configurez une durée de vie IPSec et une durée de vie maximale ne dépassant pas huit heures (28 800 secondes).

Pour configurer les tunnels IPSec :

  1. Sur l’appliance MCN, accédez à Configuration > Virtual WAN > Configuration Editor. Ouvrez un package de configuration existant. Accédez à Connexions > Tunnels IPsec.

image localisée

  1. Accédez à Connexions > Tunnels IPsec. Lorsque le tunnel LAN ou Intranet est sélectionné, l’écran distingue les groupes compatibles FIPS dans les paramètres IKE de ceux qui ne sont pas conformes, de sorte que vous pouvez facilement configurer la conformité FIPS.

image localisée

L’écran indique également si l’algorithme de hachage est conforme à FIPS, comme illustré dans la figure suivante.

image localisée

Options de conformité FIPS pour les paramètres IPSec :

image localisée

Si la configuration IPSec n’est pas conforme aux normes FIPS lorsqu’elle est activée, une erreur d’audit peut être déclenchée. Voici le type d’erreurs d’audit qui s’affichent dans l’interface graphique.

  • Lorsque le mode FIPS est activé et que l’option non compatible FIPS est sélectionnée.
  • Lorsque le mode FIPS est activé et que la valeur de vie incorrecte est entrée.
  • Lorsque le mode FIPS est activé et les paramètres IPsec pour le jeu par défaut de chemin virtuel sont également activés, et le mode Tunnel incorrect est sélectionné (ESP vs ESP_Auth/AH).
  • Lorsque le mode FIPS est activé, les paramètres IPsec pour le jeu par défaut de chemin virtuel sont également activés et la valeur de vie incorrecte est entrée.
Conformité aux normes FIPS