FIPS 準拠動作のための仮想 WAN IPsec の構成

IPSec セキュリティ設定の拡張は、連邦標準に準拠するための DH グループおよび乱数生成機能の追加によってサポートされています。

仮想パス IPsec 設定を構成するには、次の手順を実行します。

  • FIPS 準拠が必要なすべての仮想パスに対して、仮想パス IPSec トンネルを有効にします。仮想パスの IPsec 設定は、デフォルトセットを介して制御されます。
  • IPsec モードを AH または ESP+Auth に変更してメッセージ認証を設定し、FIPS 承認ハッシュ機能を使用します。SHA1はFIPSで受け入れられますが、SHA256を強くお勧めします。
  • IPSec ライフタイムは、8 時間(28,800 秒)以内に設定する必要があります。

仮想 WAN は、IKE バージョン 2 と事前共有キーを使用して、次の設定を使用して、仮想パス経由で IPsec トンネルをネゴシエートします。

  • DH グループ 19: キーネゴシエーション用の ECP256 (256 ビット楕円曲線)
  • 256 ビット AES-CBC 暗号化
  • メッセージ認証用の SHA256 ハッシュ
  • メッセージの整合性のための SHA256 ハッシュ
  • DHグループ2:完全フォワード秘密のためのMODP-1024

サードパーティの IPsec トンネルを構成するには、次の設定を使用します。

  1. FIPS 承認済みの DH グループを設定します。グループ 2 と 5 は FIPS では許可されますが、グループ 14 以上を強くお勧めします。
  2. FIPS 承認ハッシュ関数を設定します。SHA1 は FIPS で受け入れられますが、SHA256 を強くお勧めします。

  3. IKEv2 を使用する場合は、FIPS 承認の整合性機能を設定します。SHA1 は FIPS で受け入れられますが、SHA256 を強くお勧めします。

  4. IKE ライフタイムと最大ライフタイムを 24 時間(86,400 秒)以内に設定します。
  5. IPSec モードを AH または ESP+Auth に変更して、IPSec メッセージ認証を設定し、FIPS 承認ハッシュ機能を使用します。SHA1はFIPSで受け入れられますが、SHA256を強くお勧めします。

  6. IPSec ライフタイムと最大ライフタイムを 8 時間(28,800 秒)以内に設定します。

IPSec トンネルを設定するには、次の手順を実行します。

  1. MCN アプライアンスで、[ 構成 ] > [ 仮想 WAN ] > [ 構成エディタ] の順に選択します。既存の構成パッケージを開きます。[ 詳細設定 ] タブをクリックします。「 接続 」>「 IPsec トンネル」の順に選択します。 ローカライズされた画像

  2. [ IKE 設定]を展開します。[ DH Group] ドロップダウンリストでグループ を設定します。 ローカライズされた画像

  3. [ IPSec 設定]を展開します。[ PFS グループ] ドロップダウンリストでグループを構成します。 ローカライズされた画像

FIPS 準拠動作のための仮想 WAN IPsec の構成