6.8. Déployer un VPN IPsec conforme aux normes FIPS
Utilisez cette procédure pour déployer une solution VPN IPsec conforme aux normes FIPS basée sur Libreswan. Les étapes suivantes vous permettent également d'identifier les algorithmes cryptographiques disponibles et ceux qui sont désactivés pour Libreswan en mode FIPS.
Conditions préalables
-
Le référentiel
AppStream
est activé.
Procédure
Installez les paquets
libreswan
:dnf install libreswan
# dnf install libreswan
Copy to Clipboard Copied! Toggle word wrap Toggle overflow Si vous réinstallez Libreswan, supprimez son ancienne base de données NSS :
systemctl stop ipsec rm /var/lib/ipsec/nss/*db
# systemctl stop ipsec # rm /var/lib/ipsec/nss/*db
Copy to Clipboard Copied! Toggle word wrap Toggle overflow Démarrez le service
ipsec
et activez le service pour qu'il soit démarré automatiquement au démarrage :systemctl enable ipsec --now
# systemctl enable ipsec --now
Copy to Clipboard Copied! Toggle word wrap Toggle overflow Configurez le pare-feu pour qu'il autorise les ports 500 et 4500/UDP pour les protocoles IKE, ESP et AH en ajoutant le service
ipsec
:firewall-cmd --add-service="ipsec" firewall-cmd --runtime-to-permanent
# firewall-cmd --add-service="ipsec" # firewall-cmd --runtime-to-permanent
Copy to Clipboard Copied! Toggle word wrap Toggle overflow Passer le système en mode FIPS :
fips-mode-setup --enable
# fips-mode-setup --enable
Copy to Clipboard Copied! Toggle word wrap Toggle overflow Redémarrez votre système pour permettre au noyau de passer en mode FIPS :
reboot
# reboot
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
Vérification
Pour confirmer que Libreswan fonctionne en mode FIPS :
ipsec whack --fipsstatus
# ipsec whack --fipsstatus 000 FIPS mode enabled
Copy to Clipboard Copied! Toggle word wrap Toggle overflow Il est également possible de vérifier les entrées de l'unité
ipsec
dans le journalsystemd
:journalctl -u ipsec
$ journalctl -u ipsec ... Jan 22 11:26:50 localhost.localdomain pluto[3076]: FIPS Mode: YES
Copy to Clipboard Copied! Toggle word wrap Toggle overflow Pour connaître les algorithmes disponibles en mode FIPS :
Copy to Clipboard Copied! Toggle word wrap Toggle overflow Pour interroger les algorithmes désactivés en mode FIPS :
Copy to Clipboard Copied! Toggle word wrap Toggle overflow Pour dresser la liste de tous les algorithmes et chiffrements autorisés en mode FIPS :
Copy to Clipboard Copied! Toggle word wrap Toggle overflow