日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

FlexPod シスコのネットワークおよび FIPS 140-2

Cisco MDS

ソフトウェア 8.4.x を搭載した Cisco MDS 9000 シリーズプラットフォームは、です "FIPS 140-2 に準拠しています"。Cisco MDS は、 SNMPv3 および SSH 用の暗号モジュールおよび次のサービスを実装しています。

  • 各サービスをサポートするセッション確立

  • 各サービスの主要な派生機能をサポートする、基盤となるすべての暗号化アルゴリズム

  • 各サービスのハッシュ化

  • 各サービスの対称暗号化

FIPS モードをイネーブルにする前に、 MDS スイッチで次の作業を実行します。

  1. パスワードは 8 文字以上にする必要があります。

  2. Telnet を無効にします。ユーザは SSH のみを使用してログインする必要があります。

  3. RADIUS/TACACS+ によるリモート認証をディセーブルにします。認証できるのは、スイッチに対してローカルなユーザだけです。

  4. SNMP v1 および v2 を無効にします。SNMPv3 用に設定されたスイッチ上の既存のユーザアカウントは、認証に SHA 、プライバシーには AES/3DES だけを設定する必要があります。

  5. VRRP を無効にします。

  6. 認証用の MD5 または暗号化用の DES を持つすべての IKE ポリシーを削除します。認証に SHA を使用し、暗号化に 3DES/AES を使用するようにポリシーを変更します。

  7. すべての SSH Server RSA1 キーペアを削除します。

MDS スイッチで FIPS モードを有効にして FIPS ステータスを表示するには、次の手順を実行します。

  1. FIPS のステータスを表示します。

    MDSSwitch# show fips status
    FIPS mode is disabled
    MDSSwitch# conf
    Enter configuration commands, one per line.  End with CNTL/Z.
  2. 2048 ビットの SSH キーを設定します。

    MDSSwitch(config)# no feature ssh
    XML interface to system may become unavailable since ssh is disabled
    MDSSwitch(config)# no ssh key
    MDSSwitch(config)# show ssh key
    **************************************
    could not retrieve rsa key information
    bitcount: 0
    **************************************
    could not retrieve dsa key information
    bitcount: 0
    **************************************
    no ssh keys present. you will have to generate them
    **************************************
    MDSSwitch(config)# ssh key
    dsa   rsa
    MDSSwitch(config)# ssh key rsa 2048 force
    generating rsa key(2048 bits).....
    ...
    generated rsa key
  3. FIPS モードを有効にする。

    MDSSwitch(config)# fips mode enable
    FIPS mode is enabled
    System reboot is required after saving the configuration for the system to be in FIPS mode
    Warning: As per NIST requirements in 6.X, the minimum RSA Key Size has to be 2048
  4. FIPS のステータスを表示します。

    MDSSwitch(config)# show fips status
    FIPS mode is enabled
    MDSSwitch(config)# feature ssh
    MDSSwitch(config)# show feature | grep ssh
    sshServer            1        enabled
  5. コンフィギュレーションを実行コンフィギュレーションに保存します。

    MDSSwitch(config)# copy ru st
    [########################################] 100%
    exitCopy complete.
    MDSSwitch(config)# exit
  6. MDS スイッチを再起動します

    MDSSwitch# reload
    This command will reboot the system. (y/n)?  [n] y
  7. FIPS のステータスを表示します。

    Switch(config)# fips mode enable
    Switch(config)# show fips status

詳細については、を参照してください "FIPS モードの有効化"

Cisco Nexus の場合

Cisco Nexus 9000 シリーズスイッチ(バージョン 9.3 )はです "FIPS 140-2 に準拠しています"。Cisco Nexus は、 SNMPv3 および SSH の暗号モジュールと次のサービスを実装します。

  • 各サービスをサポートするセッション確立

  • 各サービスの主要な派生機能をサポートする、基盤となるすべての暗号化アルゴリズム

  • 各サービスのハッシュ化

  • 各サービスの対称暗号化

FIPS モードを有効にする前に、 Cisco Nexus スイッチで次の作業を実行します。

  1. Telnet を無効にします。ユーザは Secure Shell ( SSH )のみを使用してログインする必要があります。

  2. SNMPv1 および v2 を無効にします。SNMPv3 用に設定されたデバイス上の既存のユーザアカウントは、認証に SHA 、プライバシーには AES/3DES だけを設定する必要があります。

  3. すべての SSH サーバ RSA1 キー・ペアを削除します

  4. Cisco TrustSec セキュリティアソシエーションプロトコル( SAP )ネゴシエーション中に使用する HMAC-SHA1 メッセージ整合性チェック( MIC )をイネーブルにします。これを行うには、「 cts-manual' 」または「 cts-dot1x' 」モードから sap hash-calgorithm「 HMAC-sha-1 」コマンドを入力します。

Nexus スイッチで FIPS モードを有効にするには、次の手順を実行します。

  1. 2048 ビットの SSH 鍵を設定します。

    NexusSwitch# show fips status
    FIPS mode is disabled
    NexusSwitch# conf
    Enter configuration commands, one per line.  End with CNTL/Z.
  2. 2048 ビットの SSH キーを設定します。

    NexusSwitch(config)# no feature ssh
    XML interface to system may become unavailable since ssh is disabled
    NexusSwitch(config)# no ssh key
    NexusSwitch(config)# show ssh key
    **************************************
    could not retrieve rsa key information
    bitcount: 0
    **************************************
    could not retrieve dsa key information
    bitcount: 0
    **************************************
    no ssh keys present. you will have to generate them
    **************************************
    NexusSwitch(config)# ssh key
    dsa   rsa
    NexusSwitch(config)# ssh key rsa 2048 force
    generating rsa key(2048 bits).....
    ...
    generated rsa key
  3. FIPS モードを有効にする。

    NexusSwitch(config)# fips mode enable
    FIPS mode is enabled
    System reboot is required after saving the configuration for the system to be in FIPS mode
    Warning: As per NIST requirements in 6.X, the minimum RSA Key Size has to be 2048
    Show fips status
    NexusSwitch(config)# show fips status
    FIPS mode is enabled
    NexusSwitch(config)# feature ssh
    NexusSwitch(config)# show feature | grep ssh
    sshServer            1        enabled
    Save configuration to the running configuration
    NexusSwitch(config)# copy ru st
    [########################################] 100%
    exitCopy complete.
    NexusSwitch(config)# exit
  4. Nexus スイッチを再起動します。

    NexusSwitch# reload
    This command will reboot the system. (y/n)?  [n] y
  5. FIPS のステータスを表示します。

    NexusSwitch(config)# fips mode enable
    NexusSwitch(config)# show fips status

さらに、 Cisco NX-OS ソフトウェアは、ネットワーク異常およびセキュリティの検出を強化する NetFlow 機能をサポートしています。NetFlow は、ネットワーク上のすべてのカンバセーション、通信に関係する側、使用されているプロトコル、およびトランザクションの期間のメタデータをキャプチャします。情報を集約して分析すると、正常な動作に関する洞察を得ることができます。収集されたデータを使用すると、疑わしいアクティビティのパターンを識別することもできます。たとえば、マルウェアがネットワーク全体に拡散し、これが気付かない場合があります。NetFlow では、フローを使用してネットワークモニタリングの統計情報を提供します。フローは、送信元インターフェイス(または VLAN )に着信し、キーの値が同じパケットの単方向ストリームです。キーは、パケット内のフィールドの識別された値です。フローレコードを使用してフローを作成し、フローに固有のキーを定義します。フローエクスポータを使用して、 Cisco StealthWatch などのリモート NetFlow コレクタに NetFlow が収集するデータをエクスポートできます。StealthWatch では、この情報を使用してネットワークを継続的に監視し、ランサムウェアの発生が発生した場合にリアルタイムの脅威検出およびインシデント応答フォレンジックを提供します。