简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

FlexPod Cisco 网络和 FIPS 140-2

Cisco MDS

使用软件 8.4.x 的 Cisco MDS 9000 系列平台为 "符合 FIPS 140-2"。Cisco MDS 可为 SNMPv3 和 SSH 实施加密模块和以下服务。

  • 支持每个服务的会话建立

  • 支持每个服务密钥派生功能的所有底层加密算法

  • 每个服务的哈希

  • 为每个服务提供对称加密

在启用 FIPS 模式之前,请在 MDS 交换机上完成以下任务:

  1. 使密码长度至少为八个字符。

  2. 禁用 Telnet 。用户应仅使用 SSH 登录。

  3. 禁用通过 RADIUS/TACACS+ 进行远程身份验证。只能对交换机本地的用户进行身份验证。

  4. 禁用 SNMP v1 和 v2 。交换机上为 SNMPv3 配置的任何现有用户帐户只能配置 SHA 以进行身份验证,并配置 AES/3DES 以保证隐私。

  5. 禁用 VRRP 。

  6. 删除具有用于身份验证的 MD5 或用于加密的 DES 的所有 ike 策略。修改策略,使其使用 SHA 进行身份验证,并使用 3DES/AES 进行加密。

  7. 删除所有 SSH 服务器 RSA1 密钥对。

要启用 FIPS 模式并在 MDS 交换机上显示 FIPS 状态,请完成以下步骤:

  1. 显示 FIPS 状态。

    MDSSwitch# show fips status
    FIPS mode is disabled
    MDSSwitch# conf
    Enter configuration commands, one per line.  End with CNTL/Z.
  2. 设置 2048 位 SSH 密钥。

    MDSSwitch(config)# no feature ssh
    XML interface to system may become unavailable since ssh is disabled
    MDSSwitch(config)# no ssh key
    MDSSwitch(config)# show ssh key
    **************************************
    could not retrieve rsa key information
    bitcount: 0
    **************************************
    could not retrieve dsa key information
    bitcount: 0
    **************************************
    no ssh keys present. you will have to generate them
    **************************************
    MDSSwitch(config)# ssh key
    dsa   rsa
    MDSSwitch(config)# ssh key rsa 2048 force
    generating rsa key(2048 bits).....
    ...
    generated rsa key
  3. 启用 FIPS 模式。

    MDSSwitch(config)# fips mode enable
    FIPS mode is enabled
    System reboot is required after saving the configuration for the system to be in FIPS mode
    Warning: As per NIST requirements in 6.X, the minimum RSA Key Size has to be 2048
  4. 显示 FIPS 状态。

    MDSSwitch(config)# show fips status
    FIPS mode is enabled
    MDSSwitch(config)# feature ssh
    MDSSwitch(config)# show feature | grep ssh
    sshServer            1        enabled
  5. 将配置保存到正在运行的配置中。

    MDSSwitch(config)# copy ru st
    [########################################] 100%
    exitCopy complete.
    MDSSwitch(config)# exit
  6. 重新启动 MDS 交换机

    MDSSwitch# reload
    This command will reboot the system. (y/n)?  [n] y
  7. 显示 FIPS 状态。

    Switch(config)# fips mode enable
    Switch(config)# show fips status

有关详细信息,请参见 "启用 FIPS 模式"

Cisco Nexus

Cisco Nexus 9000 系列交换机( 9.3 版) "符合 FIPS 140-2"。Cisco Nexus 为 SNMPv3 和 SSH 实施加密模块和以下服务。

  • 支持每个服务的会话建立

  • 支持每个服务密钥派生功能的所有底层加密算法

  • 每个服务的哈希

  • 为每个服务提供对称加密

在启用 FIPS 模式之前,请在 Cisco Nexus 交换机上完成以下任务:

  1. 禁用 Telnet 。用户应仅使用安全 Shell ( SSH )登录。

  2. 禁用 SNMPv1 和 v2 。设备上已配置 SNMPv3 的任何现有用户帐户只能配置 SHA 进行身份验证,并配置 AES/3DES 以保证隐私。

  3. 删除所有 SSH 服务器 RSA1 密钥对。

  4. 启用 HMAC-SHA1 消息完整性检查( Message Integrity Checking ,麦克风),以便在 Cisco TrustSec 安全关联协议( SAP )协商期间使用。要执行此操作,请在 CTS-manualCTS-dot1x 模式中输入 SAP hash-orolor HMAC-SHA-1 命令。

要在 Nexus 交换机上启用 FIPS 模式,请完成以下步骤:

  1. 设置 2048 位 SSH 密钥。

    NexusSwitch# show fips status
    FIPS mode is disabled
    NexusSwitch# conf
    Enter configuration commands, one per line.  End with CNTL/Z.
  2. 设置 2048 位 SSH 密钥。

    NexusSwitch(config)# no feature ssh
    XML interface to system may become unavailable since ssh is disabled
    NexusSwitch(config)# no ssh key
    NexusSwitch(config)# show ssh key
    **************************************
    could not retrieve rsa key information
    bitcount: 0
    **************************************
    could not retrieve dsa key information
    bitcount: 0
    **************************************
    no ssh keys present. you will have to generate them
    **************************************
    NexusSwitch(config)# ssh key
    dsa   rsa
    NexusSwitch(config)# ssh key rsa 2048 force
    generating rsa key(2048 bits).....
    ...
    generated rsa key
  3. 启用 FIPS 模式。

    NexusSwitch(config)# fips mode enable
    FIPS mode is enabled
    System reboot is required after saving the configuration for the system to be in FIPS mode
    Warning: As per NIST requirements in 6.X, the minimum RSA Key Size has to be 2048
    Show fips status
    NexusSwitch(config)# show fips status
    FIPS mode is enabled
    NexusSwitch(config)# feature ssh
    NexusSwitch(config)# show feature | grep ssh
    sshServer            1        enabled
    Save configuration to the running configuration
    NexusSwitch(config)# copy ru st
    [########################################] 100%
    exitCopy complete.
    NexusSwitch(config)# exit
  4. 重新启动 Nexus 交换机。

    NexusSwitch# reload
    This command will reboot the system. (y/n)?  [n] y
  5. 显示 FIPS 状态。

    NexusSwitch(config)# fips mode enable
    NexusSwitch(config)# show fips status

此外, Cisco NX OS 软件还支持可增强网络异常检测和安全性的网络流功能。网络流可捕获网络上每个对话的元数据,通信所涉及的各方,正在使用的协议以及事务持续时间。对信息进行汇总和分析后,可以深入了解正常行为。通过收集的数据,还可以确定可疑的活动模式,例如恶意软件在网络中传播,否则可能会被忽视。网络流使用流为网络监控提供统计信息。流量是指到达源接口(或 VLAN )且密钥值相同的单向数据包流。密钥是指数据包中某个字段的标识值。您可以使用流记录创建流,以便为流定义唯一密钥。您可以使用流量导出器将网络流为流收集的数据导出到远程网络流收集器,例如 Cisco Stealthwatch 。Stealthwatch 使用此信息持续监控网络,并在发生勒索软件爆发时提供实时威胁检测和意外事件响应取证。