Nationale Zertifizierung für wesentliche Sicherheit (LINCE)
LINCE ist ein öffentlicher Standard Spaniens, der Sicherheitsanforderungen für kryptografische Module definiert.
Notiz
SFOS 20.0 MR1 und MR2 sind LINCE-zertifiziert.
LINCE-kompatible Algorithmen
Für VPN-Konfigurationen auf LINCE-kompatiblen Firewalls stehen folgende Algorithmen zur Verfügung:
- KexAlgorithms: diffie-hellman-group14-sha256, diffie-hellman-group16-sha512, diffie-hellman-group18-sha512, ecdh-sha2-nistp256, ecdh-sha2-nistp384 und ecdh-sha2-nistp521
- Verschlüsselung: [email protected] und [email protected]
- Authentifizierung mit öffentlichem Schlüssel: hmac-sha2-256 und hmac-sha2-512
- Server-Host-Schlüsselalgorithmen: rsa-sha2-512, rsa-sha2-256, ecdsa-sha2-nistp256, ecdsa-sha2-nistp384 und ecdsa-sha2-nistp521
So schalten Sie LINCE ein
Um den LINCE-Modus zu aktivieren, gehen Sie zur Befehlszeilenschnittstelle (CLI) und geben Sie den folgenden Befehl ein:
system certification lince enable
Warnung
Der SSH-Dienst wird neu gestartet und bestehende SSH-Verbindungen werden getrennt. Wenn Sie die Public-Key-Authentifizierung verwenden, stellen Sie sicher, dass das Schlüsselpaar einen der LINCE-kompatiblen Algorithmen verwendet. Siehe LINCE-kompatible Algorithmen.
Um den LINCE-Modus bei Bereitstellungen mit hoher Verfügbarkeit (HA) zu aktivieren, aktivieren Sie zuerst den LINCE-Modus und dann HA.
Sichern und Wiederherstellen mit LINCE
Sie können Backups mit aktiviertem oder deaktiviertem LINCE auf jeder kompatiblen Firewall-Version wiederherstellen. Die folgende Tabelle zeigt, wie sich dies auf den LINCE-Modus in der wiederhergestellten Konfiguration auswirkt.
Sicherungstyp | Wiederherstellung auf Firewall-Version, die LINCE unterstützt | Wiederherstellen auf eine Firewall-Version, die LINCE nicht unterstützt |
---|---|---|
LINCE wurde eingeschaltet | LINCE wird eingeschaltet In einem HA-Setup wird LINCE auf beiden HA-Knoten aktiviert. | LINCE wird nicht verfügbar sein |
LINCE wurde ausgeschaltet | LINCE wird ausgeschaltet In einer HA-Konfiguration wird LINCE auf beiden HA-Knoten ausgeschaltet. | LINCE wird nicht verfügbar sein |
Firmware-Upgrades mit LINCE
Wenn Sie die Firmware migrieren oder aktualisieren und dann LINCE aktivieren, können Sie zur vorherigen Version zurückkehren, in der LINCE deaktiviert war, da die Konfiguration weiterhin verfügbar ist.