5.8. FIPS 準拠の IPsec VPN のデプロイ

手順

1. libreswan パッケージをインストールします。

   # yum install libreswan

   Copy to Clipboard Toggle word wrap

2. Libreswan を再インストールする場合は、古い NSS データベースを削除します。

   # systemctl stop ipsec
   # rm /etc/ipsec.d/*db

   Copy to Clipboard Toggle word wrap

3. ipsec サービスを開始して有効にし、システムの起動時にサービスを自動的に開始できるようにします。

   # systemctl enable ipsec --now

   Copy to Clipboard Toggle word wrap

4. ファイアウォールで、ipsec サービスを追加して、IKE プロトコル、ESP プロトコル、および AH プロトコルの 500 および 4500 UDP ポートを許可するように設定します。

   # firewall-cmd --add-service="ipsec"
   # firewall-cmd --runtime-to-permanent

   Copy to Clipboard Toggle word wrap

5. システムを FIPS モードに切り替えます。

   # fips-mode-setup --enable

   Copy to Clipboard Toggle word wrap

6. システムを再起動して、カーネルを FIPS モードに切り替えます。

   # reboot

   Copy to Clipboard Toggle word wrap

検証

1. Libreswan が FIPS モードで実行されていることを確認します。

   # ipsec whack --fipsstatus
   000 FIPS mode enabled

   Copy to Clipboard Toggle word wrap

2. または、systemd ジャーナルで ipsec ユニットのエントリーを確認します。

   $ journalctl -u ipsec
   ...
   Jan 22 11:26:50 localhost.localdomain pluto[3076]: FIPS Product: YES
   Jan 22 11:26:50 localhost.localdomain pluto[3076]: FIPS Kernel: YES
   Jan 22 11:26:50 localhost.localdomain pluto[3076]: FIPS Mode: YES

   Copy to Clipboard Toggle word wrap

3. FIPS モードで使用可能なアルゴリズムを表示するには、次のコマンドを実行します。

   # ipsec pluto --selftest 2>&1 | head -11
   FIPS Product: YES
   FIPS Kernel: YES
   FIPS Mode: YES
   NSS DB directory: sql:/etc/ipsec.d
   Initializing NSS
   Opening NSS database "sql:/etc/ipsec.d" read-only
   NSS initialized
   NSS crypto library initialized
   FIPS HMAC integrity support [enabled]
   FIPS mode enabled for pluto daemon
   NSS library is running in FIPS mode
   FIPS HMAC integrity verification self-test passed

   Copy to Clipboard Toggle word wrap

4. FIPS モードで無効化されたアルゴリズムをクエリーするには、次のコマンドを実行します。

   # ipsec pluto --selftest 2>&1 | grep disabled
   Encryption algorithm CAMELLIA_CTR disabled; not FIPS compliant
   Encryption algorithm CAMELLIA_CBC disabled; not FIPS compliant
   Encryption algorithm SERPENT_CBC disabled; not FIPS compliant
   Encryption algorithm TWOFISH_CBC disabled; not FIPS compliant
   Encryption algorithm TWOFISH_SSH disabled; not FIPS compliant
   Encryption algorithm NULL disabled; not FIPS compliant
   Encryption algorithm CHACHA20_POLY1305 disabled; not FIPS compliant
   Hash algorithm MD5 disabled; not FIPS compliant
   PRF algorithm HMAC_MD5 disabled; not FIPS compliant
   PRF algorithm AES_XCBC disabled; not FIPS compliant
   Integrity algorithm HMAC_MD5_96 disabled; not FIPS compliant
   Integrity algorithm HMAC_SHA2_256_TRUNCBUG disabled; not FIPS compliant
   Integrity algorithm AES_XCBC_96 disabled; not FIPS compliant
   DH algorithm MODP1024 disabled; not FIPS compliant
   DH algorithm MODP1536 disabled; not FIPS compliant
   DH algorithm DH31 disabled; not FIPS compliant

   Copy to Clipboard Toggle word wrap

5. FIPS モードで許可されているすべてのアルゴリズムと暗号のリストを表示するには、次のコマンドを実行します。

   # ipsec pluto --selftest 2>&1 | grep ESP | grep FIPS | sed "s/^.*FIPS//"
   {256,192,*128}  aes_ccm, aes_ccm_c
   {256,192,*128}  aes_ccm_b
   {256,192,*128}  aes_ccm_a
   [*192]  3des
   {256,192,*128}  aes_gcm, aes_gcm_c
   {256,192,*128}  aes_gcm_b
   {256,192,*128}  aes_gcm_a
   {256,192,*128}  aesctr
   {256,192,*128}  aes
   {256,192,*128}  aes_gmac
   sha, sha1, sha1_96, hmac_sha1
   sha512, sha2_512, sha2_512_256, hmac_sha2_512
   sha384, sha2_384, sha2_384_192, hmac_sha2_384
   sha2, sha256, sha2_256, sha2_256_128, hmac_sha2_256
   aes_cmac
   null
   null, dh0
   dh14
   dh15
   dh16
   dh17
   dh18
   ecp_256, ecp256
   ecp_384, ecp384
   ecp_521, ecp521

   Copy to Clipboard Toggle word wrap