Skip to main content
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Rede FlexPod Cisco e FIPS 140-2-2

Colaboradores
PDFs

MDS do Cisco

A plataforma da série Cisco MDS 9000 com o software 8,4.x é "Compatível com FIPS 140-2". O Cisco MDS implementa módulos criptográficos e os seguintes serviços para SNMPv3 e SSH.

  • Estabelecimento de sessão que apoia cada serviço

  • Todos os algoritmos criptográficos subjacentes que suportam cada função de derivação de chave de serviços

  • Hashing para cada serviço

  • Criptografia simétrica para cada serviço

Antes de ativar o modo FIPS, execute as seguintes tarefas no comutador MDS:

  1. Faça suas senhas com um mínimo de oito carateres.

  2. Desativar o Telnet. Os usuários devem fazer login usando apenas SSH.

  3. Desative a autenticação remota através do RADIUS/TACACS. Apenas os utilizadores locais da central podem ser autenticados.

  4. Desative o SNMP v1 e v2. Todas as contas de usuário existentes no switch que foram configuradas para SNMPv3 devem ser configuradas somente com SHA para autenticação e AES/3DES para privacidade.

  5. Desativar VRRP.

  6. Exclua todas as políticas IKE que tenham MD5 para autenticação ou DES para criptografia. Modifique as políticas para que elas usem SHA para autenticação e 3DES/AES para criptografia.

  7. Excluir todos os pares de chaves SSH Server RSA1.

Para ativar o modo FIPS e exibir o status FIPS no comutador MDS, execute as seguintes etapas:

  1. Mostrar o status FIPS.

    MDSSwitch# show fips status
FIPS mode is disabled
MDSSwitch# conf
Enter configuration commands, one per line.  End with CNTL/Z.

  2. Configure a chave SSH de 2048 bits.

    MDSSwitch(config)# no feature ssh
XML interface to system may become unavailable since ssh is disabled
MDSSwitch(config)# no ssh key
MDSSwitch(config)# show ssh key
**************************************
could not retrieve rsa key information
bitcount: 0
**************************************
could not retrieve dsa key information
bitcount: 0
**************************************
no ssh keys present. you will have to generate them
**************************************
MDSSwitch(config)# ssh key
dsa   rsa
MDSSwitch(config)# ssh key rsa 2048 force
generating rsa key(2048 bits).....
...
generated rsa key

  3. Ative o modo FIPS.

    MDSSwitch(config)# fips mode enable
FIPS mode is enabled
System reboot is required after saving the configuration for the system to be in FIPS mode
Warning: As per NIST requirements in 6.X, the minimum RSA Key Size has to be 2048

  4. Mostrar o status FIPS.

    MDSSwitch(config)# show fips status
FIPS mode is enabled
MDSSwitch(config)# feature ssh
MDSSwitch(config)# show feature | grep ssh
sshServer            1        enabled

  5. Salve a configuração na configuração em execução.

    MDSSwitch(config)# copy ru st
[########################################] 100%
exitCopy complete.
MDSSwitch(config)# exit

  6. Reinicie o MDS switch

    MDSSwitch# reload
This command will reboot the system. (y/n)?  [n] y

  7. Mostrar o status FIPS.

    Switch(config)# fips mode enable
Switch(config)# show fips status

Para obter mais informações, "Ativar o modo FIPS"consulte .

Cisco Nexus

Os switches da série Cisco Nexus 9000 (versão 9,3) são "Compatível com FIPS 140-2". O Cisco implementa módulos criptográficos e os seguintes serviços para SNMPv3 e SSH.

  • Estabelecimento de sessão que apoia cada serviço

  • Todos os algoritmos criptográficos subjacentes que suportam cada função de derivação de chave de serviços

  • Hashing para cada serviço

  • Criptografia simétrica para cada serviço

Antes de ativar o modo FIPS, execute as seguintes tarefas no switch Cisco Nexus:

  1. Desativar o Telnet. Os usuários devem fazer login usando o Secure Shell (SSH) somente.

  2. Desativar SNMPv1 e v2. Todas as contas de usuário existentes no dispositivo que foram configuradas para SNMPv3 devem ser configuradas somente com SHA para autenticação e AES/3DES para privacidade.

  3. Exclua todos os pares de chaves do servidor SSH RSA1.

  4. Ative a verificação de integridade de mensagens (MIC) HMAC-SHA1 para usar durante a negociação do protocolo de associação de segurança (SAP) do Cisco TrustSec. Para fazer isso, digite o comando sap hash-algorithm HMAC-SHA-1 no cts-manual modo ou cts-dot1x.

Para ativar o modo FIPS no switch Nexus, execute as seguintes etapas:

  1. Configure a chave SSH de 2048 bits.

    NexusSwitch# show fips status
FIPS mode is disabled
NexusSwitch# conf
Enter configuration commands, one per line.  End with CNTL/Z.

  2. Configure a chave SSH de 2048 bits.

    NexusSwitch(config)# no feature ssh
XML interface to system may become unavailable since ssh is disabled
NexusSwitch(config)# no ssh key
NexusSwitch(config)# show ssh key
**************************************
could not retrieve rsa key information
bitcount: 0
**************************************
could not retrieve dsa key information
bitcount: 0
**************************************
no ssh keys present. you will have to generate them
**************************************
NexusSwitch(config)# ssh key
dsa   rsa
NexusSwitch(config)# ssh key rsa 2048 force
generating rsa key(2048 bits).....
...
generated rsa key

  3. Ative o modo FIPS.

    NexusSwitch(config)# fips mode enable
FIPS mode is enabled
System reboot is required after saving the configuration for the system to be in FIPS mode
Warning: As per NIST requirements in 6.X, the minimum RSA Key Size has to be 2048
Show fips status
NexusSwitch(config)# show fips status
FIPS mode is enabled
NexusSwitch(config)# feature ssh
NexusSwitch(config)# show feature | grep ssh
sshServer            1        enabled
Save configuration to the running configuration
NexusSwitch(config)# copy ru st
[########################################] 100%
exitCopy complete.
NexusSwitch(config)# exit

  4. Reinicie o switch Nexus.

    NexusSwitch# reload
This command will reboot the system. (y/n)?  [n] y

  5. Mostrar o status FIPS.

    NexusSwitch(config)# fips mode enable
NexusSwitch(config)# show fips status

Além disso, o software Cisco NX os suporta o recurso NetFlow que permite a deteção aprimorada de anomalias e segurança da rede. O NetFlow captura os metadados de cada conversa na rede, as partes envolvidas na comunicação, o protocolo que está sendo usado e a duração da transação. Depois que as informações são agregadas e analisadas, elas podem fornecer informações sobre o comportamento normal. Os dados coletados também permitem a identificação de padrões questionáveis de atividade, como malware que se espalha pela rede, o que pode passar despercebido. O NetFlow usa fluxos para fornecer estatísticas para monitoramento de rede. Um fluxo é um fluxo unidirecional de pacotes que chega em uma interface de origem (ou VLAN) e tem os mesmos valores para as chaves. Uma chave é um valor identificado para um campo dentro do pacote. Você cria um fluxo usando um Registro de fluxo para definir as chaves exclusivas para o seu fluxo. Você pode exportar os dados que o NetFlow coleta para seus fluxos usando um exportador de fluxo para um coletor NetFlow remoto, como o Cisco Stealthwatch. O Stealthwatch usa essas informações para monitoramento contínuo da rede e fornece deteção de ameaças em tempo real e respostas forenses a incidentes se ocorrer um surto de ransomware.

"Próximo: Storage FlexPod NetApp ONTAP e FIPS 140-2."