Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Redes Cisco de FlexPod y FIPS 140-2

Colaboradores

MDS de Cisco

Plataforma Cisco MDS 9000 con software 8.4.x. "Conforme a FIPS 140-2-2". Cisco MDS implementa módulos criptográficos y los siguientes servicios para SNMPv3 y SSH.

  • Establecimiento de sesiones en apoyo de cada servicio

  • Todos los algoritmos criptográficos subyacentes admiten las funciones de derivación de cada clave de servicios

  • Hash para cada servicio

  • Cifrado simétrico para cada servicio

Antes de activar el modo FIPS, complete las siguientes tareas en el conmutador MDS:

  1. Convierta las contraseñas en un mínimo de ocho caracteres.

  2. Desactivar Telnet. Los usuarios deben iniciar sesión solo con SSH.

  3. Desactive la autenticación remota mediante RADIUS/TACACS+. Sólo se pueden autenticar los usuarios locales del conmutador.

  4. Deshabilite SNMP v1 y v2. Cualquier cuenta de usuario existente en el conmutador que se haya configurado para SNMPv3 debe configurarse sólo con SHA para autenticación y AES/3DES para privacidad.

  5. Desactive VRRP.

  6. Elimine todas las directivas IKE que tengan MD5 para autenticación o DES para cifrado. Modifique las directivas para que utilicen SHA para la autenticación y 3DES/AES para el cifrado.

  7. Elimine todos los teclados RSA1 del servidor SSH.

Para activar el modo FIPS y mostrar el estado FIPS en el conmutador MDS, lleve a cabo los pasos siguientes:

  1. Muestra el estado de FIPS.

    MDSSwitch# show fips status
    FIPS mode is disabled
    MDSSwitch# conf
    Enter configuration commands, one per line.  End with CNTL/Z.
  2. Configure la clave SSH de 2048 bits.

    MDSSwitch(config)# no feature ssh
    XML interface to system may become unavailable since ssh is disabled
    MDSSwitch(config)# no ssh key
    MDSSwitch(config)# show ssh key
    **************************************
    could not retrieve rsa key information
    bitcount: 0
    **************************************
    could not retrieve dsa key information
    bitcount: 0
    **************************************
    no ssh keys present. you will have to generate them
    **************************************
    MDSSwitch(config)# ssh key
    dsa   rsa
    MDSSwitch(config)# ssh key rsa 2048 force
    generating rsa key(2048 bits).....
    ...
    generated rsa key
  3. Habilite el modo FIPS.

    MDSSwitch(config)# fips mode enable
    FIPS mode is enabled
    System reboot is required after saving the configuration for the system to be in FIPS mode
    Warning: As per NIST requirements in 6.X, the minimum RSA Key Size has to be 2048
  4. Muestra el estado de FIPS.

    MDSSwitch(config)# show fips status
    FIPS mode is enabled
    MDSSwitch(config)# feature ssh
    MDSSwitch(config)# show feature | grep ssh
    sshServer            1        enabled
  5. Guarde la configuración en la configuración en ejecución.

    MDSSwitch(config)# copy ru st
    [########################################] 100%
    exitCopy complete.
    MDSSwitch(config)# exit
  6. Reinicie el conmutador MDS

    MDSSwitch# reload
    This command will reboot the system. (y/n)?  [n] y
  7. Muestra el estado de FIPS.

    Switch(config)# fips mode enable
    Switch(config)# show fips status

Para obtener más información, consulte "Habilitar el modo FIPS".

Cisco Nexus

Los switches de la serie Cisco Nexus 9000 (versión 9.3) son "Conforme a FIPS 140-2-2". Cisco Nexus implementa módulos criptográficos y los siguientes servicios para SNMPv3 y SSH.

  • Establecimiento de sesiones en apoyo de cada servicio

  • Todos los algoritmos criptográficos subyacentes admiten las funciones de derivación de cada clave de servicios

  • Hash para cada servicio

  • Cifrado simétrico para cada servicio

Antes de habilitar el modo FIPS, complete las siguientes tareas en el switch Cisco Nexus:

  1. Desactivar Telnet. Los usuarios deben iniciar sesión solo con Secure Shell (SSH).

  2. Desactive SNMPv1 y v2. Cualquier cuenta de usuario existente en el dispositivo que se haya configurado para SNMPv3 debe configurarse sólo con SHA para autenticación y AES/3DES para privacidad.

  3. Elimine todos los pares de claves RSA1 del servidor SSH.

  4. Habilite la comprobación de integridad de mensajes (MIC) HMAC-SHA1 para que se utilice durante la negociación del protocolo de asociación de seguridad (SAP) de Cisco TrustSec. Para ello, introduzca el algoritmo hash de SAP HMAC-SHA-1 desde el cts-manual o. cts-dot1x modo.

Para activar el modo FIPS en el switch Nexus, realice los pasos siguientes:

  1. Configure una clave SSH de 2048 bits.

    NexusSwitch# show fips status
    FIPS mode is disabled
    NexusSwitch# conf
    Enter configuration commands, one per line.  End with CNTL/Z.
  2. Configure la clave SSH de 2048 bits.

    NexusSwitch(config)# no feature ssh
    XML interface to system may become unavailable since ssh is disabled
    NexusSwitch(config)# no ssh key
    NexusSwitch(config)# show ssh key
    **************************************
    could not retrieve rsa key information
    bitcount: 0
    **************************************
    could not retrieve dsa key information
    bitcount: 0
    **************************************
    no ssh keys present. you will have to generate them
    **************************************
    NexusSwitch(config)# ssh key
    dsa   rsa
    NexusSwitch(config)# ssh key rsa 2048 force
    generating rsa key(2048 bits).....
    ...
    generated rsa key
  3. Habilite el modo FIPS.

    NexusSwitch(config)# fips mode enable
    FIPS mode is enabled
    System reboot is required after saving the configuration for the system to be in FIPS mode
    Warning: As per NIST requirements in 6.X, the minimum RSA Key Size has to be 2048
    Show fips status
    NexusSwitch(config)# show fips status
    FIPS mode is enabled
    NexusSwitch(config)# feature ssh
    NexusSwitch(config)# show feature | grep ssh
    sshServer            1        enabled
    Save configuration to the running configuration
    NexusSwitch(config)# copy ru st
    [########################################] 100%
    exitCopy complete.
    NexusSwitch(config)# exit
  4. Reinicie el switch Nexus.

    NexusSwitch# reload
    This command will reboot the system. (y/n)?  [n] y
  5. Muestra el estado de FIPS.

    NexusSwitch(config)# fips mode enable
    NexusSwitch(config)# show fips status

Además, el software Cisco NX OS admite la función NetFlow que permite una detección mejorada de anomalías y seguridad de la red. NetFlow captura los metadatos de cada conversación de la red, las partes implicadas en la comunicación, el protocolo utilizado y la duración de la transacción. Una vez agregada y analizado la información, puede proporcionar una visión del comportamiento normal. Los datos recopilados también permiten la identificación de patrones de actividad cuestionables, como el malware que se propaga a través de la red, lo que de otra manera puede pasar desapercibida. NetFlow utiliza flujos para proporcionar estadísticas para la supervisión de la red. Un flujo es un flujo unidireccional de paquetes que llega a una interfaz de origen (o VLAN) y tiene los mismos valores para las claves. Una clave es un valor identificado para un campo dentro del paquete. Puede crear un flujo utilizando un registro de flujo para definir las claves únicas para su flujo. Puede exportar los datos que NetFlow recopila para sus flujos utilizando un exportador de flujo a un colector NetFlow remoto, como Cisco StealtWatch. StealtWatch utiliza esta información para la supervisión continua de la red y proporciona información forense de respuesta a incidentes y detección de amenazas en tiempo real si se produce un brote de ransomware.