Citrix SD-WAN

FIPS 準拠の操作用に仮想 WAN IPsec を構成する

連邦規格に準拠するために、DH グループと乱数ジェネレータ機能が追加され、IPSec セキュリティ設定の拡張がサポートされます。

仮想パス IPsec 設定を構成するには、次の手順を実行します。

  • FIPS 準拠が必要なすべての仮想パスに対して、仮想パス IPSec トンネルを有効にします。仮想パスの IPsec 設定は、デフォルトセットによって制御されます。
  • IPsec モードを AH または ESP+認証に変更してメッセージ認証を構成し、FIPS 承認ハッシュ機能を使用します。SHA1 は FIPS によって受け入れられますが、SHA256 を強く推奨します。
  • IPsec ライフタイムは、8 時間(28,800 秒)以下に設定する必要があります。

仮想 WAN は、事前共有キーを持つ IKE バージョン 2 を使用して、次の設定を使用して、仮想パスを経由する IPSec トンネルをネゴシエートします。

  • DH グループ 19: キーネゴシエーションのための ECP256 (256 ビット楕円曲線)
  • 256 ビット AES-CBC暗号化
  • メッセージ認証のための SHA256 ハッシュ
  • メッセージの整合性のための SHA256 ハッシュ
  • DH Group 2: MODP-1024 Perfect Forward Secrecy

サードパーティの IPSec トンネルを構成するには、次の設定を使用します。

  1. FIPS 承認済みの DH グループを構成します。グループ 2 と 5 は FIPS では許可されますが、グループ 14 以上を強く推奨します。
  2. FIPS 承認ハッシュ関数を設定します。SHA1 は FIPS によって受け入れられますが、SHA256 を強くお勧めします。

  3. IKEv2 を使用する場合は、FIPS 承認の整合性機能を設定します。SHA1 は FIPS によって受け入れられますが、SHA256 を強くお勧めします。

  4. IKE ライフタイムおよび最大ライフタイムを 24 時間(86,400 秒)以下に設定します。
  5. IPSec モードを AH または ESP+認証に変更して IPSec メッセージ認証を構成し、FIPS 承認ハッシュ機能を使用します。SHA1 は FIPS によって受け入れられますが、SHA256 を強く推奨します。

  6. IPSec ライフタイムおよび最大ライフタイムを 8 時間(28,800 秒)以下に設定します。

IPSec トンネルを設定するには、次の手順を実行します。

  1. MCN アプライアンスで、[ 構成 ] > [ 仮想 WAN ] > [ 構成エディタ] の順に選択します。既存の構成パッケージを開きます。[ 詳細設定 ] タブをクリックします。[ 接続 ] > [ IPSec トンネル] の順に選択します。 ローカライズされた画像

  2. [ IKE 設定]を展開します。[ DH Group] ドロップダウンリストでグループ を設定します。 ローカライズされた画像

  3. [ IPSec 設定]を展開します。[ PFS グループ] ドロップダウンリストでグループを構成します。 ローカライズされた画像

FIPS 準拠の操作用に仮想 WAN IPsec を構成する

この記事の概要