5.8. FIPS 호환 IPsec VPN 배포

프로세스

1. libreswan 패키지를 설치합니다.

   # yum install libreswan

   Copy to Clipboard Toggle word wrap

2. Libreswan을 다시 설치하는 경우 이전 NSS 데이터베이스를 제거하십시오.

   # systemctl stop ipsec
   # rm /etc/ipsec.d/*db

   Copy to Clipboard Toggle word wrap

3. ipsec 서비스를 시작하고 부팅 시 서비스를 자동으로 시작합니다.

   # systemctl enable ipsec --now

   Copy to Clipboard Toggle word wrap

4. ipsec 서비스를 추가하여 IKE, ESP 및 AH 프로토콜에 500 및 4500 UDP 포트를 허용하도록 방화벽을 구성합니다.

   # firewall-cmd --add-service="ipsec"
   # firewall-cmd --runtime-to-permanent

   Copy to Clipboard Toggle word wrap

5. 시스템을 FIPS 모드로 전환합니다.

   # fips-mode-setup --enable

   Copy to Clipboard Toggle word wrap

6. 커널이 FIPS 모드로 전환되도록 시스템을 다시 시작하십시오.

   # reboot

   Copy to Clipboard Toggle word wrap

검증

1. Libreswan이 FIPS 모드에서 실행 중인지 확인합니다.

   # ipsec whack --fipsstatus
   000 FIPS mode enabled

   Copy to Clipboard Toggle word wrap

2. 또는 systemd 저널의 ipsec 유닛 항목을 확인합니다.

   $ journalctl -u ipsec
   ...
   Jan 22 11:26:50 localhost.localdomain pluto[3076]: FIPS Product: YES
   Jan 22 11:26:50 localhost.localdomain pluto[3076]: FIPS Kernel: YES
   Jan 22 11:26:50 localhost.localdomain pluto[3076]: FIPS Mode: YES

   Copy to Clipboard Toggle word wrap

3. FIPS 모드에서 사용 가능한 알고리즘을 보려면 다음을 수행합니다.

   # ipsec pluto --selftest 2>&1 | head -11
   FIPS Product: YES
   FIPS Kernel: YES
   FIPS Mode: YES
   NSS DB directory: sql:/etc/ipsec.d
   Initializing NSS
   Opening NSS database "sql:/etc/ipsec.d" read-only
   NSS initialized
   NSS crypto library initialized
   FIPS HMAC integrity support [enabled]
   FIPS mode enabled for pluto daemon
   NSS library is running in FIPS mode
   FIPS HMAC integrity verification self-test passed

   Copy to Clipboard Toggle word wrap

4. FIPS 모드에서 비활성화된 알고리즘을 쿼리하려면 다음을 수행합니다.

   # ipsec pluto --selftest 2>&1 | grep disabled
   Encryption algorithm CAMELLIA_CTR disabled; not FIPS compliant
   Encryption algorithm CAMELLIA_CBC disabled; not FIPS compliant
   Encryption algorithm SERPENT_CBC disabled; not FIPS compliant
   Encryption algorithm TWOFISH_CBC disabled; not FIPS compliant
   Encryption algorithm TWOFISH_SSH disabled; not FIPS compliant
   Encryption algorithm NULL disabled; not FIPS compliant
   Encryption algorithm CHACHA20_POLY1305 disabled; not FIPS compliant
   Hash algorithm MD5 disabled; not FIPS compliant
   PRF algorithm HMAC_MD5 disabled; not FIPS compliant
   PRF algorithm AES_XCBC disabled; not FIPS compliant
   Integrity algorithm HMAC_MD5_96 disabled; not FIPS compliant
   Integrity algorithm HMAC_SHA2_256_TRUNCBUG disabled; not FIPS compliant
   Integrity algorithm AES_XCBC_96 disabled; not FIPS compliant
   DH algorithm MODP1024 disabled; not FIPS compliant
   DH algorithm MODP1536 disabled; not FIPS compliant
   DH algorithm DH31 disabled; not FIPS compliant

   Copy to Clipboard Toggle word wrap

5. FIPS 모드에서 허용되는 모든 알고리즘 및 암호를 나열하려면 다음을 수행합니다.

   # ipsec pluto --selftest 2>&1 | grep ESP | grep FIPS | sed "s/^.*FIPS//"
   {256,192,*128}  aes_ccm, aes_ccm_c
   {256,192,*128}  aes_ccm_b
   {256,192,*128}  aes_ccm_a
   [*192]  3des
   {256,192,*128}  aes_gcm, aes_gcm_c
   {256,192,*128}  aes_gcm_b
   {256,192,*128}  aes_gcm_a
   {256,192,*128}  aesctr
   {256,192,*128}  aes
   {256,192,*128}  aes_gmac
   sha, sha1, sha1_96, hmac_sha1
   sha512, sha2_512, sha2_512_256, hmac_sha2_512
   sha384, sha2_384, sha2_384_192, hmac_sha2_384
   sha2, sha256, sha2_256, sha2_256_128, hmac_sha2_256
   aes_cmac
   null
   null, dh0
   dh14
   dh15
   dh16
   dh17
   dh18
   ecp_256, ecp256
   ecp_384, ecp384
   ecp_521, ecp521

   Copy to Clipboard Toggle word wrap