Citrix SD-WAN

FIPS準拠

Citrix SD-WAN では、FIPSモードでは、ユーザーはIPSec トンネルに対するFIPS準拠の設定と、仮想パスのIPSec 設定を構成できます。

  • FIPS 準拠の IKE モードを表示します。
  • FIPS 準拠の IKE DH グループを表示します。このグループから、FIPS 準拠モード(2,5,14~21)でアプライアンスを構成するために必要なパラメータを選択できます。
  • 仮想パスの IPSec 設定で、FIPS 準拠の IPSec トンネルタイプを表示します。

  • IKE ハッシュおよび (IKEv2) 整合性モード、IPsec 認証モード。

  • FIPS ベースのライフタイム設定の監査エラーの実行

Citrix SD-WAN GUIを使用してFIPSコンプライアンスを有効にするには:

  1. [ 構成 ] > [ 仮想 WAN ] > [ 構成エディタ ] > [ グローバル] の順に選択し、[ FIPS モードを有効にする] を選択します。

FIPS モードを有効にすると、設定中にチェックが実行され、IPSec 関連のすべての設定パラメータが FIPS 標準に準拠しているかどうかが確認されます。IPsec を設定するために、監査エラーと警告が表示されます。

仮想パス IPsec 設定を構成するには、次の手順を実行します。

  • FIPS 準拠が必要なすべての仮想パスに対して、仮想パス IPSec トンネルを有効にします。仮想パスの IPsec 設定は、デフォルトセットを介して制御されます。
  • IPsec モードを AH または ESP+Auth に変更してメッセージ認証を設定し、FIPS 承認ハッシュ機能を使用します。SHA1はFIPSで受け入れられますが、SHA256を強くお勧めします。
  • IPSec ライフタイムは、8 時間(28,800 秒)以内に設定する必要があります。

仮想 WAN は、IKE バージョン 2 と事前共有キーを使用して、次の設定を使用して、仮想パス経由で IPsec トンネルをネゴシエートします。

  • DH グループ 19: キーネゴシエーション用の ECP256 (256 ビット楕円曲線)
  • 256 ビット AES-CBC 暗号化
  • メッセージ認証用の SHA256 ハッシュ
  • メッセージの整合性のための SHA256 ハッシュ
  • DHグループ2:完全フォワード秘密のためのMODP-1024

サードパーティの IPsec トンネルを構成するには、次の設定を使用します。

  1. FIPS 承認済みの DH グループを設定します。グループ 2 と 5 は FIPS では許可されますが、グループ 14 以上を強くお勧めします。

  2. FIPS 承認ハッシュ関数を設定します。SHA1 は FIPS で受け入れられますが、SHA256 を強くお勧めします。

  3. IKEv2 を使用する場合は、FIPS 承認の整合性機能を設定します。SHA1 は FIPS で受け入れられますが、SHA256 を強くお勧めします。

  4. IKE ライフタイムと最大ライフタイムを 24 時間(86,400 秒)以内に設定します。

  5. IPSec モードを AH または ESP+Auth に変更して、IPSec メッセージ認証を設定し、FIPS 承認ハッシュ機能を使用します。SHA1はFIPSで受け入れられますが、SHA256を強くお勧めします。

  6. IPSec ライフタイムと最大ライフタイムを 8 時間(28,800 秒)以内に設定します。

IPSec トンネルを設定するには、次の手順を実行します。

  1. MCN アプライアンスで、[ 構成 ] > [ 仮想 WAN ] > [ 構成エディタ] の順に選択します。既存の構成パッケージを開きます。「 接続 」>「 IPsec トンネル」の順に選択します。

    ローカライズされた画像

  2. 接続 」>「 IPsec トンネル」の順に選択します。[ LAN ] または [ イントラネットトンネル ] を選択すると、画面で IKE 設定の FIPS 準拠のグループと非準拠のグループが区別されるため、FIPS 準拠を簡単に構成できます。

    ローカライズされた画像

画面には、次の図に示すように、ハッシュアルゴリズムが FIPS に準拠しているかどうかも表示されます。

ローカライズされた画像

IPSec 設定の FIPS コンプライアンスオプション:

ローカライズされた画像

IPSec 設定が FIPS 標準に準拠していない場合、監査エラーがトリガーされる可能性があります。GUI に表示される監査エラーの種類を次に示します。

  • の場合、FIPS モードが有効になり、非 FIPS 準拠オプションが選択されます。
  • の場合、FIPS モードが有効になり、誤ったライフタイム値が入力されます。
  • の場合、FIPS モードが有効になり、仮想パスのデフォルトセットの IPSec 設定も有効になり、不正なトンネルモードが選択されます(ESP vs ESP_Auth/AH)。
  • FIPS モードを有効にすると、仮想パスのデフォルトセットの IPSec 設定も有効になり、誤ったライフタイム値が入力されます。

FIPS準拠