FIPS モードの IPsec の設定
FIPS モードで Junos OS のルーティング エンジン間の内部通信を有効にするための IPsec の設定
FIPSモード環境のJunos OSでは、2つのルーティングエンジンを持つルーターは、ルーティングエンジン間の内部通信にIPsecを使用する必要があります。内部 IPsec は、FIPS モードで Junos OS をインストールした後に構成します。内部IPsecを構成するには、Crypto Officerである必要があります。
FIPS モードの Junos OS で DES ベースの IPsec SA を設定することはできません。内部 IPsec SA は、HMAC-SHA1-96 認証と 3DES-CBC 暗号化を使用します。
マニュアル SA にはネゴシエーションは必要ありません。キーを含むすべての値は静的であり、設定で指定されます。手動 SA は、使用する SPI 値、アルゴリズム、および鍵を静的に定義し、トンネルの両端で一致する設定が必要です。各ピアには、通信が実行されるために同じ設定されたオプションがある必要があります。
スイッチが FIPS モードの場合、各ルーティング エンジンで IPsec SA を確立するまで、 commit synchronize コマンドは使用できません。
Crypto Officerは、各ルーティングエンジンにSAを作成し、 [security] 階層レベルで以下のステートメントを設定することで、ルーティングエンジン間の通信用に内部IPsec SAを設定します。
内部IPsecを設定するには、[security]階層レベルに security-association ステートメントを含めます。手動 IPsec SA を適用する必要がある方向、受信側のルーティング エンジンで使用する SA を一意に識別する SPI 値、手動 IPsec SA の認証キーと暗号化キーを定義する IPsec キーなどのパラメーターを構成できます。
[ security] ipsec { internal { security-association { manual { direction (bidirectional | inbound | outbound) { protocol esp; spi spi-value; encryption { algorithm (hmac-sha1-96 | hmac-sha2-256); key (ascii-text ascii-text-string | hexadecimal hexadecimal-number); } } } } } }
Junos-FIPS の内部 IPsec を設定するタスクは次のとおりです。手動 IPsec SA を適用する必要がある方向、受信側のルーティング エンジンで使用する SA を一意に識別する SPI 値、手動 IPsec SA の認証キーと暗号化キーを定義する IPsec キーを構成できます。
SA の方向の設定
IPsec トンネルの手動 SA を適用する必要がある IPsec SA の方向を設定するには、[security ipsec internal security-association manual]階層レベルで direction ステートメントを含めます。
direction (bidirectional | inbound | outbound);
値は以下のいずれかです。
bidirectional- ルーティング エンジン間で同じ SA 値を両方向に適用します。inbound- これらの SA プロパティは、インバウンド IPsec トンネルにのみ適用します。outbound- これらの SA プロパティは、アウトバウンド IPsec トンネルにのみ適用します。
SA を双方向に設定しない場合は、着信方向と発信方向の両方で IPsec トンネルの SA パラメータを設定する必要があります。次の例では、インバウンドおよびアウトバウンドの IPsec トンネルを使用しています。
FIPS モードの Junos OS では、IPsec キーを ASCII キーとして使用しないことをお勧めします。代わりに、キー強度を最大にするには、IPsec キーを 16 進キーとして使用する必要があります。
[security]
ipsec {
internal {
security-association {
manual {
direction inbound {
protocol esp;
spi 512;
encryption {
algorithm 3des-cbc;
key hexadecimal 309fc4be20f04e53e011b00744642d3fe66c2c7c;
}
}
direction outbound {
protocol esp;
spi 513;
encryption {
algorithm 3des-cbc;
key hexadecimal b0344c61d8db38535ca8afceaf0bf12b881dc200c9833da7;
}
}
}
}
}
}
IPsec SPI の設定
SPI(セキュリティ パラメータ インデックス)は、ルーティング エンジンのペア間のセキュリティ コンテキストを識別する 32 ビットのインデックスです。IPsec SPI 値を設定するには、[security ipsec internal security-association manual direction] 階層レベルで spi ステートメントを含めます。
spi value;
値は 256 から 16,639 の範囲でなければなりません。
IPsecキーの設定
FIPS モードの Junos OS では、IPsec キーを ASCII キーとして使用しないことをお勧めします。代わりに、キー強度を最大にするには、IPsec キーを 16 進キーとして使用する必要があります。
VPN を正常に使用するには、鍵の配布と管理が不可欠です。認証と暗号化のための ASCII テキスト キー値を設定する必要があります。ASCIIテキストキーを設定するには、[security ipsec internal security-association manual direction encryption]階層レベルで key ステートメントを含めます。
key (ascii-text ascii-text-string | hexadecimal hexadecimal-string);
このタイプの SA では、両方のキーが事前共有された 16 進数値である必要があり、それぞれに特定の暗号化アルゴリズムが必要です。
認証アルゴリズム
HMAC-SHA1-96 (40 文字)
HMAC-SHA2-256(64文字)
暗号化アルゴリズム
3DES-CBC (48 文字)
キーの 16 進数値を 2 回入力する必要があり、入力する文字列が一致しないとキーが設定されません。16 進数のキーがプレーンテキストで表示されることはありません。IPsecキーは、FIPSモードのJunos OSのASCIIキーではなく、キー強度を最大にする16進数のキーとして使用することをお勧めします。
例:内部 IPsec の設定
SPI 値が 512 で、キー値が FIPS 140-2 ルールに準拠した双方向 IPsec SA を設定します。
[edit security]
ipsec {
internal {
security-association {
manual {
direction bidirectional {
protocol esp;
spi 512;
encryption {
algorithm 3des-cbc;
key ascii-text “$ABC123”;
}
}
}
}
}
}