Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

FlexPod シスコのネットワークおよび FIPS 140-2

共同作成者
PDF

Cisco MDS

ソフトウェア 8.4.x を搭載した Cisco MDS 9000 シリーズプラットフォームは、です "FIPS 140-2 に準拠しています"。Cisco MDS は、 SNMPv3 および SSH 用の暗号モジュールおよび次のサービスを実装しています。

  • 各サービスをサポートするセッション確立

  • 各サービスの主要な派生機能をサポートする、基盤となるすべての暗号化アルゴリズム

  • 各サービスのハッシュ化

  • 各サービスの対称暗号化

FIPS モードをイネーブルにする前に、 MDS スイッチで次の作業を実行します。

  1. パスワードは 8 文字以上にする必要があります。

  2. Telnet を無効にします。ユーザは SSH のみを使用してログインする必要があります。

  3. RADIUS/TACACS+ によるリモート認証をディセーブルにします。認証できるのは、スイッチに対してローカルなユーザだけです。

  4. SNMP v1 および v2 を無効にします。SNMPv3 用に設定されたスイッチ上の既存のユーザアカウントは、認証に SHA 、プライバシーには AES/3DES だけを設定する必要があります。

  5. VRRP を無効にします。

  6. 認証用の MD5 または暗号化用の DES を持つすべての IKE ポリシーを削除します。認証に SHA を使用し、暗号化に 3DES/AES を使用するようにポリシーを変更します。

  7. すべての SSH Server RSA1 キーペアを削除します。

MDS スイッチで FIPS モードを有効にして FIPS ステータスを表示するには、次の手順を実行します。

  1. FIPS のステータスを表示します。

    MDSSwitch# show fips status
FIPS mode is disabled
MDSSwitch# conf
Enter configuration commands, one per line.  End with CNTL/Z.

  2. 2048 ビットの SSH キーを設定します。

    MDSSwitch(config)# no feature ssh
XML interface to system may become unavailable since ssh is disabled
MDSSwitch(config)# no ssh key
MDSSwitch(config)# show ssh key
**************************************
could not retrieve rsa key information
bitcount: 0
**************************************
could not retrieve dsa key information
bitcount: 0
**************************************
no ssh keys present. you will have to generate them
**************************************
MDSSwitch(config)# ssh key
dsa   rsa
MDSSwitch(config)# ssh key rsa 2048 force
generating rsa key(2048 bits).....
...
generated rsa key

  3. FIPS モードを有効にする。

    MDSSwitch(config)# fips mode enable
FIPS mode is enabled
System reboot is required after saving the configuration for the system to be in FIPS mode
Warning: As per NIST requirements in 6.X, the minimum RSA Key Size has to be 2048

  4. FIPS のステータスを表示します。

    MDSSwitch(config)# show fips status
FIPS mode is enabled
MDSSwitch(config)# feature ssh
MDSSwitch(config)# show feature | grep ssh
sshServer            1        enabled

  5. コンフィギュレーションを実行コンフィギュレーションに保存します。

    MDSSwitch(config)# copy ru st
[########################################] 100%
exitCopy complete.
MDSSwitch(config)# exit

  6. MDS スイッチを再起動します

    MDSSwitch# reload
This command will reboot the system. (y/n)?  [n] y

  7. FIPS のステータスを表示します。

    Switch(config)# fips mode enable
Switch(config)# show fips status

詳細については、を参照してください "FIPS モードの有効化"

Cisco Nexus の場合

Cisco Nexus 9000 シリーズスイッチ(バージョン 9.3 )はです "FIPS 140-2 に準拠しています"。Cisco Nexus は、 SNMPv3 および SSH の暗号モジュールと次のサービスを実装します。

  • 各サービスをサポートするセッション確立

  • 各サービスの主要な派生機能をサポートする、基盤となるすべての暗号化アルゴリズム

  • 各サービスのハッシュ化

  • 各サービスの対称暗号化

FIPS モードを有効にする前に、 Cisco Nexus スイッチで次の作業を実行します。

  1. Telnet を無効にします。ユーザは Secure Shell ( SSH )のみを使用してログインする必要があります。

  2. SNMPv1 および v2 を無効にします。SNMPv3 用に設定されたデバイス上の既存のユーザアカウントは、認証に SHA 、プライバシーには AES/3DES だけを設定する必要があります。

  3. すべての SSH サーバ RSA1 キー・ペアを削除します

  4. Cisco TrustSec セキュリティアソシエーションプロトコル( SAP )ネゴシエーション中に使用する HMAC-SHA1 メッセージ整合性チェック( MIC )をイネーブルにします。これを行うには、「 cts-manual' 」または「 cts-dot1x' 」モードから sap hash-calgorithm「 HMAC-sha-1 」コマンドを入力します。

Nexus スイッチで FIPS モードを有効にするには、次の手順を実行します。

  1. 2048 ビットの SSH 鍵を設定します。

    NexusSwitch# show fips status
FIPS mode is disabled
NexusSwitch# conf
Enter configuration commands, one per line.  End with CNTL/Z.

  2. 2048 ビットの SSH キーを設定します。

    NexusSwitch(config)# no feature ssh
XML interface to system may become unavailable since ssh is disabled
NexusSwitch(config)# no ssh key
NexusSwitch(config)# show ssh key
**************************************
could not retrieve rsa key information
bitcount: 0
**************************************
could not retrieve dsa key information
bitcount: 0
**************************************
no ssh keys present. you will have to generate them
**************************************
NexusSwitch(config)# ssh key
dsa   rsa
NexusSwitch(config)# ssh key rsa 2048 force
generating rsa key(2048 bits).....
...
generated rsa key

  3. FIPS モードを有効にする。

    NexusSwitch(config)# fips mode enable
FIPS mode is enabled
System reboot is required after saving the configuration for the system to be in FIPS mode
Warning: As per NIST requirements in 6.X, the minimum RSA Key Size has to be 2048
Show fips status
NexusSwitch(config)# show fips status
FIPS mode is enabled
NexusSwitch(config)# feature ssh
NexusSwitch(config)# show feature | grep ssh
sshServer            1        enabled
Save configuration to the running configuration
NexusSwitch(config)# copy ru st
[########################################] 100%
exitCopy complete.
NexusSwitch(config)# exit

  4. Nexus スイッチを再起動します。

    NexusSwitch# reload
This command will reboot the system. (y/n)?  [n] y

  5. FIPS のステータスを表示します。

    NexusSwitch(config)# fips mode enable
NexusSwitch(config)# show fips status

さらに、 Cisco NX-OS ソフトウェアは、ネットワーク異常およびセキュリティの検出を強化する NetFlow 機能をサポートしています。NetFlow は、ネットワーク上のすべてのカンバセーション、通信に関係する側、使用されているプロトコル、およびトランザクションの期間のメタデータをキャプチャします。情報を集約して分析すると、正常な動作に関する洞察を得ることができます。収集されたデータを使用すると、疑わしいアクティビティのパターンを識別することもできます。たとえば、マルウェアがネットワーク全体に拡散し、これが気付かない場合があります。NetFlow では、フローを使用してネットワークモニタリングの統計情報を提供します。フローは、送信元インターフェイス(または VLAN )に着信し、キーの値が同じパケットの単方向ストリームです。キーは、パケット内のフィールドの識別された値です。フローレコードを使用してフローを作成し、フローに固有のキーを定義します。フローエクスポータを使用して、 Cisco StealthWatch などのリモート NetFlow コレクタに NetFlow が収集するデータをエクスポートできます。StealthWatch では、この情報を使用してネットワークを継続的に監視し、ランサムウェアの発生が発生した場合にリアルタイムの脅威検出およびインシデント応答フォレンジックを提供します。

"次のセクションでは、 FlexPod の ONTAP ストレージと FIPS 140-2 について説明します。"