Cisco MDS 9000 Family Fabric Manager コンフィ ギュレーション ガイド 、Release 4.x
FIPS の設定
FIPS の設定
発行日;2012/01/31 | 英語版ドキュメント(2009/08/27 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 42MB) | フィードバック

目次

FIPS の設定

設定時の注意事項

FIPS モードのイネーブル

FIPS のセルフテスト

FIPS の設定

Federal Information Processing Standards(FIPS; 連邦情報処理標準規格)140-2、暗号モジュール セキュリティ要件は暗号モジュールに対する米国政府の要求条件を定義しています。FIPS 140-2 では、暗号モジュールがハードウェア、ソフトウェア、ファームウェア、または何らかの組み合せのセットで、暗号機能またはプロセスを実装し、暗号アルゴリズムおよび任意の鍵生成機能を含み、明確に定義された暗号境界の内部に位置しなければならないと定義しています。

FIPS は特定の暗号アルゴリズムがセキュアであることを条件とするほか、ある暗号モジュールが FIPS 準拠であると称する場合は、どのアルゴリズムを使用すべきかも指定しています。


) Cisco MDS SAN-OS Release 3.1(1) および NX-OS Release 4.1(1b) 以降は FIPS に準拠して実装しており、現在のところ米国政府による認定途中にありますが、現時点では FIPS 準拠ではありません。


この章の内容は、次のとおりです。

「設定時の注意事項」

「FIPS モードのイネーブル」

「FIPS のセルフテスト」

設定時の注意事項

FIPS モードをイネーブルにする前に次の注意事項を守ってください。

パスワードは最小限 8 文字の長さで作成してください。

Telnet をディセーブルにしてください。ユーザのログインは SSH だけで行ってください。

RADIUS/TACACS+ によるリモート認証をディセーブルにしてください。スイッチに対してローカルのユーザだけが認証可能です。

SNMP v1 および v2 をディセーブルにしてください。SNMP v3 に対して設定された、スイッチ上の既存ユーザ アカウントのいずれについても、認証およびプライバシー用 AES/3DES は SHA で設定されていなければなりません。

VRRP をディセーブルにしてください。

認証用 MD5 または暗号用 DES のいずれかを含む、すべての IKE ポリシーを削除してください。認証に SHA、暗号用に 3DES/AES を使用するようにポリシーを修正してください。

SSH サーバの RSA1 鍵ペアすべてを削除してください。

FIPS モードのイネーブル

Fabric Manager を使用して FIPS モードをイネーブルにする手順は、次のとおりです。


ステップ 1 [Physical Attributes] ペインで [Switches] を開きます。[Security] を開いてから [FIPS] を選択します。

[Information] ペインに FIPS 有効設定の詳細が表示されます(図 38-1 を参照)。

図 38-1 Fabric Manager での FIPS 有効設定

 

ステップ 2 FIPS モードをイネーブルにするスイッチの [ModeActivation] チェックボックスにチェックを入れます。

ステップ 3 [Apply Changes] をクリックして、その変更をコミットして割り当てます。

ステップ 4 保存していない変更を廃棄するために [Undo Changes] をクリックします。


 

Device Manager を使用して FIPS モードをイネーブルにする手順は、次のとおりです。


ステップ 1 [Physical] > [System] を選択するか、[Configure] を右クリックして選択します。

図 38-2 に示す [System] ダイアログボックスが表示されます。

図 38-2 [System] ダイアログボックス

 

ステップ 2 [FIPSModeActivation] チェックボックスにチェックを入れて、選択したスイッチの FIPS モードをイネーブルにします。

ステップ 3 [Apply] をクリックして、変更内容を保存します。

ステップ 4 [Close] をクリックして、ダイアログボックスを閉じます。


 

FIPS のセルフテスト

暗号モジュールは、適正に動作していることを確認するために、電源投入時のセルフテストと条件付きセルフテストを実行しなければなりません。


) FIPS の電源投入時セルフテストは、FIPS モードがイネーブルにされていると自動的に実行されます。スイッチが FIPS モードに入るのは、すべてのセルフテストが正しく完了したときだけです。セルフテストのいずれかが失敗すると、スイッチは再起動します。


電源投入時セルフテストは、FIPS モードのイネーブル後、即時に実行されます。既知の解を使用する暗号アルゴリズム テストは、Cisco MDS 9000 ファミリ製品に実装されている FIPS 140-2 認定暗号アルゴリズムのそれぞれに対して、すべての暗号機能で実行されなければなりません。

既知解テスト(KAT)を利用すると、暗号アルゴリズムは正しい出力があらかじめわかってるデータに対して実行され、その計算出力は前回生成された出力と比較されます。計算出力が既知解と等しくない場合は、既知解テストに失敗したことになります。

何かに対応してセキュリティ機能または操作が始動された場合は、条件付きセルフテストが実行されなければなりません。電源投入時セルフテストとは異なって、条件付きセルフテストはそれぞれに関連する機能がアクセスされるたびに実行されます。

条件付きセルフテストでは次を含むテストが行われます。

ペア整合性テスト:このテストは公開鍵/秘密鍵のペアが生成されたときに実行されます。

乱数連続生成テスト:このテストは乱数が生成されたときに実行されます。

以上の両方はスイッチが FIPS モードに入っていると自動的に実行されます。