Configuración de IPsec para el modo FIPS
Configuración de IPsec para habilitar las comunicaciones internas entre motores de enrutamiento para Junos OS en modo FIPS
En un entorno de Junos OS en modo FIPS , los enrutadores con dos motores de enrutamiento deben usar IPsec para la comunicación interna entre los motores de enrutamiento. Configure IPsec interno después de instalar Junos OS en modo FIPS. Debe ser un oficial de criptografía para configurar IPsec interno.
No puede configurar SA IPsec basadas en DES en Junos OS en modo FIPS. Las SA IPsec internas utilizan autenticación HMAC-SHA1-96 y cifrado 3DES-CBC.
Las SA manuales no requieren negociación. Todos los valores, incluidas las claves, son estáticos y se especifican en la configuración. Las SA manuales definen estáticamente los valores, algoritmos y claves SPI que se van a utilizar, y requieren configuraciones coincidentes en ambos extremos del túnel. Cada par debe tener las mismas opciones configuradas para que la comunicación tenga lugar.
Cuando el conmutador está en modo FIPS, no puede usar el commit synchronize
comando hasta que haya establecido una SA IPsec en cada motor de enrutamiento.
Como Crypto Officer, configure una SA IPsec interna para la comunicación entre motores de enrutamiento mediante la creación de una SA en cada motor de enrutamiento con las siguientes instrucciones en el nivel de [security]
jerarquía:
Para configurar IPsec interno, incluya la security-association
instrucción en el nivel de [security]
jerarquía. Puede configurar parámetros, como la dirección en la que se deben aplicar las SA IPsec manuales, el valor SPI que identifica de forma exclusiva la SA que se va a utilizar en el motor de enrutamiento receptor y la clave IPsec que define las claves de autenticación y cifrado para la SA IPsec manual.
[ security] ipsec { internal { security-association { manual { direction (bidirectional | inbound | outbound) { protocol esp; spi spi-value; encryption { algorithm (hmac-sha1-96 | hmac-sha2-256); key (ascii-text ascii-text-string | hexadecimal hexadecimal-number); } } } } } }
Las tareas para configurar IPsec interno para Junos-FIPS son las siguientes. Puede configurar la dirección en la que se deben aplicar las SA IPsec manuales, el valor SPI que identifica de forma exclusiva la SA que se va a utilizar en el motor de enrutamiento receptor y la clave IPsec que define las claves de autenticación y cifrado para la SA IPsec manual.
Configuración de la dirección SA
Para configurar la dirección de SA de IPsec en la que se deben aplicar las SA manuales de los túneles IPsec, incluya la direction
instrucción en el [security ipsec internal security-association manual]
nivel de jerarquía:
direction (bidirectional | inbound | outbound);
El valor puede ser uno de los siguientes:
bidirectional
: aplique los mismos valores SA en ambas direcciones entre motores de enrutamiento.inbound
: aplique estas propiedades de SA solo al túnel IPsec de entrada.outbound
: aplique estas propiedades de SA solo al túnel IPsec de salida.
Si no configura la SA para que sea bidireccional, debe configurar los parámetros de SA para los túneles IPsec en las direcciones de entrada y salida. En el ejemplo siguiente se utiliza un túnel IPsec de entrada y salida:
Se recomienda no utilizar las claves IPsec como claves ASCII para Junos OS en modo FIPS. En su lugar, debe utilizar las claves IPsec como claves hexadecimales para obtener la máxima intensidad de clave.
[security] ipsec { internal { security-association { manual { direction inbound { protocol esp; spi 512; encryption { algorithm 3des-cbc; key hexadecimal 309fc4be20f04e53e011b00744642d3fe66c2c7c; } } direction outbound { protocol esp; spi 513; encryption { algorithm 3des-cbc; key hexadecimal b0344c61d8db38535ca8afceaf0bf12b881dc200c9833da7; } } } } } }
Configuración del SPI IPsec
Un índice de parámetros de seguridad (SPI) es un índice de 32 bits que identifica un contexto de seguridad entre un par de motores de enrutamiento. Para configurar el valor SPI de IPsec, incluya la spi
instrucción en el nivel de [security ipsec internal security-association manual direction]
jerarquía:
spi value;
El valor debe estar comprendido entre 256 y 16.639.
Configuración de la clave IPsec
Se recomienda no utilizar las claves IPsec como claves ASCII para Junos OS en modo FIPS. En su lugar, debe utilizar las claves IPsec como claves hexadecimales para obtener la máxima intensidad de clave.
La distribución y administración de claves son fundamentales para el uso correcto de VPN. Debe configurar los valores de clave de texto ASCII para la autenticación y el cifrado. Para configurar la clave de texto ASCII, incluya la key
instrucción en el nivel de [security ipsec internal security-association manual direction encryption]
jerarquía:
key (ascii-text ascii-text-string | hexadecimal hexadecimal-string);
Para este tipo de SA, ambas claves deben ser valores hexadecimales previamente compartidos y cada una requiere un algoritmo criptográfico específico:
Algoritmo de autenticación
HMAC-SHA1-96 (40 caracteres)
HMAC-SHA2-256 (64 caracteres)
Algoritmo de cifrado
3DES-CBC (48 caracteres)
Debe introducir el valor hexadecimal de la clave dos veces y las cadenas introducidas deben coincidir, o bien la clave no se establecerá. La clave hexadecimal nunca se muestra en texto sin formato. Se recomienda utilizar las claves IPsec como claves hexadecimales para obtener la máxima intensidad de clave y no como claves ASCII para Junos OS en modo FIPS.
Ejemplo: configuración de IPsec interno
Configure una SA IPsec bidireccional con un valor SPI de 512 y un valor de clave conforme a las reglas FIPS 140-2:
[edit security] ipsec { internal { security-association { manual { direction bidirectional { protocol esp; spi 512; encryption { algorithm 3des-cbc; key ascii-text “$ABC123”; } } } } } }