CCN-STIC-1419
claves para SSH y TLS (grupo 14), por ello, se deben limitar las conexiones del
producto, solo permitiendo que las comunicaciones se realice de forma local en
los canales internos de la organización:
Tipo
TLS
SSH
5.6 GESTIÓN DE CERTIFICADOS
51. El producto usa certificados X.509 autoafirmados para comunicarse con un
servidor syslog externo. Sin embargo, se recomienda la importación de
certificados que cumplan con la política de seguridad del organismo. En el
módulo "sftp server enable" de la [GUÍA_PRODUCTO] se detalla como activar el
servidor de SFTP del producto; luego, se accede a este con las mismas credenciales
que para SSH, pudiendo descargar o subir ficheros.
52. Se puede importar un certificado de las CA raíz mediante el siguiente comando —
una vez el certificado ya se encuentra en la memoria del producto—:
trusted-ca load pem-ca <CA_raiz>
53. Se debe configurar el producto para que verifique la vigencia de los certificados.
Para ello, se puede subir al producto un archivo CRL para comprobar si los
certificados siguen siendo válidos, o configurar una dirección de un servidor OSCP
para que lo compruebe contra el mismo servidor.
5.7 SERVIDORES DE AUTENTICACIÓN
54. El producto puede utilizar un servidor HWTACACS externo como servidor de
autenticación; una vez el servidor HWTACACS esté listo para configurar junto al
producto, se deberán seguir los pasos descritos en la [GUÍA_PRODUCTO] en el
Centro Criptológico Nacional
Procedimiento de empleo seguro Enrutadores Huawei NE40E Series
Descripción suite de cifrado
Suites de Cifrado: TLS_RSA_WITH_AES_128_GCM_SHA256 y
TLS_RSA_WITH_AES_256_GCM_SHA384
Establecimiento de clave: diffie-hellman-group14-sha1
Firma criptográfica: RSA 3072 bits.
Algoritmos de cifrado: AES 128 GCM y AES 256 GCM
Autenticación de mensajes: HMAC_SHA256
Establecimiento de clave: diffie-hellman-group14-sha1
Firma criptográfica: SSH-RSA 3072 bits
Algoritmos de cifrado:
AEAD_AES_128_GCM y AEAD_AES_256_GCM
Autenticación de mensajes: HMAC-SHA1, HMAC-SHA1-96, HMAC-
SHA2-256
Tabla 4. Suites de cifrado configuradas en el producto
17