セキュリティ : Cisco PIX 500 シリーズ セキュリティ アプライアンス

Cisco PIX 525/535 セキュリティ アプライアンス用 FIPS 140-2 標準セキュリティ ポリシー

Cisco PIX 525/535 セキュリティ アプライアンス用 FIPS 140-2 標準セキュリティ ポリシー
発行日;2012/01/21 | 英語版ドキュメント(2009/05/19 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

Cisco PIX 525/535

はじめに

Submission Package

概要

PIX セキュリティ アプライアンスの検証レベル

物理特性とモジュール インターフェイス

役割とサービス

クリプト オフィサ サービス

ユーザ サービス

クリティカル セキュリティ パラメータ

認証メカニズム

暗号鍵管理

セルフテスト

その他の攻撃の軽減

セキュアな運用

クリプト オフィサ用ガイダンス:システムの初期化

クリプト オフィサ用ガイダンス:システム コンフィギュレーション

認定された暗号アルゴリズム

FIPS 未認定アルゴリズム

不透明シールドの貼付

マザーボードへのアクセス

Cisco PIX 525 のシャーシ カバーの取り外し

Cisco PIX 535 のコンポーネント トレイの取り外し

不透明シールドの貼付

ボックスを閉じる

Cisco PIX 525 のシャーシ カバーを元に戻す方法

Cisco PIX 535 のコンポーネント トレイを元に戻す方法

改ざん防止用ラベルの貼付

PIX 525

PIX 535

関連資料

技術情報の入手方法

Cisco.com

Product Documentation DVD(英語版)

マニュアルの発注方法(英語版)

シスコシステムズマニュアルセンター

シスコ製品のセキュリティの概要

シスコ製品のセキュリティ問題の報告

テクニカル サポート

Cisco Technical Support & Documentation Web サイト

Japan TAC Web サイト

サービス リクエストの発行

サービス リクエストのシビラティの定義

その他の資料および情報の入手

定義

Cisco PIX 525/535
セキュリティ アプライアンス用 FIPS 140-2
標準セキュリティ ポリシー

はじめに

これは、Cisco PIX 525 および PIX 535 セキュリティ アプライアンス用の標準暗号化モジュール セキュリティ ポリシーです。このマニュアルでは、Cisco PIX 525 および PIX 535 セキュリティ アプライアンスを PIX セキュリティ アプライアンス、デバイス、モジュール、またはアプライアンスと呼びます。このセキュリティ ポリシーは、どのように PIX セキュリティ アプライアンスが Federal Information Processing Standard(FIPS; 連邦情報処理標準)140-2 のセキュリティ要件を満たすかについて示し、また FIPS 140-2 オペレーション モードでデバイスを実行する方法を示します。

このポリシーは、Cisco PIX 525 および PIX 535 セキュリティ アプライアンスのレベル 2 FIPS 140-2 検証の一部として作成されました。

FIPS 140-2(連邦情報処理標準出版物 140-2:Security Requirements for Cryptographic Modules)は、暗号化モジュールに関する米国政府の要件を詳細に示しています。FIPS 140-2 標準および検証プログラムの詳細については、National Institute of Standards and Technology(NIST; 国立標準技術研究所)の Web サイト http://csrc.nist.gov/cryptval/ で入手できます。


) このマニュアルは、そのまますべてコピーすることができます。すべてのコピーの最終ページに、著作権表示および著作権文を入れる必要があります。


このマニュアルには、次の項があります。

「Submission Package」

「概要」

「PIX セキュリティ アプライアンスの検証レベル」

「物理特性とモジュール インターフェイス」

「役割とサービス」

「認証メカニズム」

「暗号鍵管理」

「セルフテスト」

「その他の攻撃の軽減」

「セキュアな運用」

「認定された暗号アルゴリズム」

「FIPS 未認定アルゴリズム」

「不透明シールドの貼付」

「改ざん防止用ラベルの貼付」

「関連資料」

「技術情報の入手方法」

「シスコ製品のセキュリティの概要」

「テクニカル サポート」

「その他の資料および情報の入手」

「定義」

Submission Package

このセキュリティ ポリシー マニュアルは、完全な FIPS 140-2 Submission Package の一部です。完全な FIPS 140-2 Submission Package には、このマニュアルの内容のほかに次のものが含まれています。

ベンダーの証明資料

有限状態マシン

その他の付属資料(追加の参照資料として)

この標準セキュリティ ポリシーを除き、FIPS 140-2 検証マニュアルは Cisco Systems, Inc. 独自のものであり、適切な機密保持契約の下でのみ公開することができます。これらの資料を利用するには、Cisco Systems, Inc. にお問い合せください。詳細については、「テクニカル サポート」を参照してください。

概要

Cisco PIX セキュリティ アプライアンスは、堅牢なユーザ ポリシーとアプリケーション ポリシーの適用、マルチベクトル攻撃の防止、およびセキュアな接続サービスを、費用対効果が高く導入の簡単なソリューションで実現します。Cisco PIX セキュリティ アプライアンスは、あらゆる規模のネットワーク環境に対して包括的なセキュリティ、パフォーマンス、および信頼性を提供します。

PIX セキュリティ アプライアンスは、次のような複数の統合セキュリティおよびネットワーク サービスを提供します。

アプリケーション対応のファイアウォール サービス

Voice over IP(VoIP)およびマルチメディアのセキュリティ

堅牢なサイトツーサイトおよびリモート アクセス IPSec VPN 接続

復元力

インテリジェントなネットワーク サービス

柔軟な管理ソリューション

Cisco PIX 525 および PIX 535 セキュリティ アプライアンスは、国際暗号化標準に対するハードウェアベースで高速化された IP Security(IPSec; IP セキュリティ)VPN サポートと、スケーラブルな VPN トンネルの集約を行うために、VPN Acceleration Card+(VAC+)を使用して検証されます。VAC+ はほとんどの Cisco PIX セキュリティ アプライアンスに組み込まれるか、またはアップグレードとして搭載されます。Cisco PIX セキュリティ アプライアンスは、中小企業(SMB)から大企業やサービス プロバイダーまであらゆる規模を対象に、統合ネットワーク セキュリティ サービスと投資保護を提供します。Cisco PIX VAC+ によって PIX デバイスから VPN 暗号化機能がオフロードされることにより、Cisco PIX セキュリティ アプライアンスはステートフル インスペクション ファイアウォール サービスや、高度なアプリケーションおよびプロトコルの検査、インライン侵入防止、さらに堅牢なマルチメディアおよび音声セキュリティ サービスを提供できるようになります。

PIX セキュリティ アプライアンスの検証レベル

表1 に、FIPS 140-2 セキュリティ ポリシーの各領域の検証レベルを示します。

 

表1 セクション別の検証レベル

番号
領域タイトル
レベル

1

Cryptographic Module Specification

2

2

Cryptographic Module Ports and Interfaces

2

3

Roles, Services, and Authentication

2

4

Finite State Model

2

5

Physical Security

2

6

Operational Environment

該当なし

7

Cryptographic Key management

2

8

Electromagnetic Interface/Electromagnetic Compatibility

2

9

Self-Tests

2

10

Design Assurance

2

11

Mitigation of Other Attacks

該当なし

物理特性とモジュール インターフェイス

Cisco PIX 525 および PIX 535 セキュリティ アプライアンスの設計では、リダンダント電源を PIX 535 で使用した 10/100 ファースト イーサネット インターフェイスとギガビット イーサネット インターフェイスの組み合せをサポートしています。

各 PIX セキュリティ アプライアンスは、マルチチップ スタンドアロン デバイスです。暗号境界は、ケースの「上」、「前」、「左」、「右」、および「下」面に加えて、リムーバブル インターフェイスもサービス カードもサポートしないケースの「バックプレーン」と、通常は設置されたサービス カードが占めるケース内の 3 次元空間の反対を網羅するものとして定義されます。暗号境界には、サービス カードとサービス カードをホストするマザーボード/ドーターボードとの間の接続装置が含まれますが、サービス カード自体は含まれません(VAC+ が使用可能な PIX 回路基板インターフェイスに挿入されている場合を除きます)。つまり、暗号境界は、設置されたモジュラ サービス カードを除く、デバイスのケース内にあるすべてのハードウェア コンポーネントを網羅します(VAC+ が使用可能な PIX 回路基板インターフェイスに挿入されている場合を除きます)。

各 PIX セキュリティ アプライアンスは、いくつかの物理インターフェイスと論理インターフェイスをデバイスに提供します。また、デバイスが提供する物理インターフェイスは、FIPS 140-2 で定義された 4 つの論理インターフェイス(データ入力、データ出力、制御入力、およびステータス出力)にマッピングされます。

論理インターフェイスとそのマッピングを 表2 表3 に示します。

 

表2 Cisco 525 物理インターフェイス/論理インターフェイスのマッピング

物理インターフェイス
FIPS 140-2 論理インターフェイス

10/100BaseTX イーサネット 0

10/100BaseTX イーサネット 1

回路基板インターフェイス 0 ~ 2

コンソール ポート

データ入力インターフェイス

10/100BaseTX イーサネット 0

10/100BaseTX イーサネット 1

回路基板インターフェイス 0 ~ 2

コンソール ポート

データ出力インターフェイス

10/100BaseTX イーサネット 0

10/100BaseTX イーサネット 1

回路基板インターフェイス 0 ~ 2

電源スイッチ

コンソール ポート

制御入力インターフェイス

10/100BaseTX イーサネット 0

10/100BaseTX イーサネット 0 100Mbps LED

10/100BaseTX イーサネット 0 ACT LED

10/100BaseTX イーサネット 0 LINK LED

10/100BaseTX イーサネット 1

10/100BaseTX イーサネット 1 100Mbps LED

10/100BaseTX イーサネット 1 ACT LED

10/100BaseTX イーサネット 1 LINK LED

回路基板インターフェイス 0 ~ 2

電源 LED

システム アクティビティ LED

コンソール ポート

ステータス出力インターフェイス

メイン電源プラグ

電源インターフェイス

USB ポート

シリアル フェールオーバー インターフェイス

未使用インターフェイス

 

表3 Cisco 535 物理インターフェイス/論理インターフェイスのマッピング

物理インターフェイス
FIPS 140-2 論理インターフェイス

10/100BaseTX イーサネット 0

10/100BaseTX イーサネット 1

回路基板インターフェイス 0 ~ 8

コンソール ポート

データ入力インターフェイス

10/100BaseTX イーサネット 0

10/100BaseTX イーサネット 1

回路基板インターフェイス 0 ~ 8

コンソール ポート

データ出力インターフェイス

10/100BaseTX イーサネット 0

10/100BaseTX イーサネット 1

回路基板インターフェイス 0 ~ 8

電源スイッチ

コンソール ポート

制御入力インターフェイス

10/100BaseTX イーサネット 0

10/100BaseTX イーサネット 0 100Mbps LED

10/100BaseTX イーサネット 0 ACT LED

10/100BaseTX イーサネット 0 LINK LED

10/100BaseTX イーサネット 1

10/100BaseTX イーサネット 1 100Mbps LED

10/100BaseTX イーサネット 1 ACT LED

10/100BaseTX イーサネット 1 LINK LED

回路基板インターフェイス 0 ~ 8

コンソール ポート

ステータス出力インターフェイス

電源プラグ(複数可)

電源インターフェイス

USB ポート

シリアル フェールオーバー インターフェイス

未使用インターフェイス

役割とサービス

デバイスには、次のいずれかの方法でアクセスすることができます。

コンソール ポート

IPSec による Telnet

SSH

HTTPS/TLS 経由の ASDM

FIPS 140-2 で要求されるとおり、PIX セキュリティ アプライアンスには、オペレータが想定するクリプト オフィサ役割とユーザ役割という 2 つの主な役割があります。PIX セキュリティ アプライアンスは役割ベースの認証をサポートしています。役割ごとの各サービスについては、「クリプト オフィサ サービス」「ユーザ サービス」で説明しています。

クリプト オフィサ サービス

クリプト オフィサ役割は、PIX セキュリティ アプライアンスの設定および保守を担当し、ユーザ サービスの enable コマンド(ローカル認証の場合)または login コマンド(AAA 認証の場合)から認証します。クリプト オフィサ サービスは次のもので構成されます。

Configure the Device:ネットワーク インターフェイスとネットワーク設定を定義します。PIX セキュリティ アプライアンスがサポートするプロトコルを設定します。インターフェイスとネットワーク サービスをイネーブルにします。システムの日付と時刻を設定します。認証情報をロードします。また、認証サーバ、インターフェイスとユーザのフィルタとアクセス リスト、および特権を設定します。

Define Rules and Filters:各インターフェイス上のユーザ データ ストリームに適用されるパケット フィルタを作成します。各フィルタは規則のセットで構成されます。規則は、プロトコル ID、アドレス、ポート、TCP 接続の確立、パケットの方向などの特性に基づいて、許可または拒否するパケットのセットを定義します。

View Status:コンフィギュレーション、ルーティング テーブル、アクティブ セッションを表示します。gets を使用して SNMP MIB 統計情報、ヘルス、温度、メモリ ステータス、パケット統計情報を表示します。アカウンティング ログを確認します。また、物理インターフェイス ステータスを表示します。

Manage the Device:ユーザをログオフします。PIX セキュリティ アプライアンスをシャットダウンまたはリロードします。すべてのコンフィギュレーションを表示します。すべてのステータスを表示します。ユーザの権限を管理します。また、コンフィギュレーションを復元します。

Set Encryption/Bypass:IP トンネリング用のコンフィギュレーション テーブルをセットアップします。各 IP 範囲に使用される鍵とアルゴリズムを設定します。または、指定された IP アドレスからプレーンテキスト パケットの送信を許可します。

Install Service Card:改ざん防止用ラベルを除去して、サービス カードを設置または交換します。

ユーザ サービス

ユーザは、端末プログラムを使用して、あるいは LAN ポートへの IPSec で保護された Telnet または SSH セッションで、コンソール ポートにアクセスすることによってシステムに入ります。PIX セキュリティ アプライアンスは、ユーザにパスワードの入力を求めるプロンプトを表示します。正しいパスワードを入力すると、ユーザは管理プログラムに入ることが許可されます。ユーザ役割で使用可能なサービスは、次のもので構成されます。

Status Functions:現在稼働中のバージョン、設置済みのハードウェア コンポーネント、および設置済みのハードウェアのバージョンを画像で表示します。

Network Functions:診断ネットワーク サービス(PING など)を開始します。

Directory Services:フラッシュ メモリに保持されたファイルのディレクトリを表示します。

クリティカル セキュリティ パラメータ

Critical Security Parameter(CSP; クリティカル セキュリティ パラメータ)にアクセスするサービス、アクセスのタイプ、および CSP にアクセスする役割を 表4 に示します。

表4 セキュリティ関連データ項目に対する役割とサービスのアクセス

 

認証メカニズム

PIX セキュリティ アプライアンスは、IPSec ユーザの認証にパスワードまたはデジタル証明書のいずれかをサポートします。管理目的で PIX セキュリティ アプライアンスにログインするには、オペレータが管理インターフェイス(コンソール ポート、SSH、Telnet、または ASDM)の 1 つを使用して接続し、パスワードを指定する必要があります。

表5 に、認証メカニズムの推定強度を示します。

 

表5 認証メカニズムの推定強度

認証タイプ
強度

ユーザ名パスワード メカニズム

パスワードは少なくとも 6 文字にする必要があります(「セキュアな運用」を参照)。ランダムなパスワード推測に対する false positive の確率は 1,000,000 分の 1 未満です。これは、RADIUS または TACACS+ 共有秘密鍵についても当てはまります。

パスワードは英数字の値(a ~ z、A ~ Z、0 ~ 9)で構成できるので、1 文字につき 62 の選択肢を提供します。ランダムな試みが成功する確率は 1/62^6 であり、1/1,000,000 未満になります。

証明書に基づく認証

PIX セキュリティ アプライアンスは、1024 および 2048(RSA 用)ビット鍵を使用した公開鍵に基づく認証をサポートします。したがって、ランダムな推測による false positive の確率は 1,000,000 分の 1 未満です。

1024 ビットの RSA 鍵には少なくとも 80 ビットの同等の強度があります。ランダムな試みが成功する確率は 1/2^80 であり、1/1,000,000 未満になります。

2048 ビットの RSA 鍵には少なくとも 112 ビットの同等の強度があります。ランダムな試みが成功する確率は 1/2^112 であり、1/1,000,000 未満になります。

暗号鍵管理

PIX セキュリティ アプライアンスは、動作中にさまざまなクリティカル セキュリティ パラメータを使用します。

表6 に、PIX セキュリティ アプライアンスで使用されるクリティカル セキュリティ パラメータを示します。

表6 PIX セキュリティ アプライアンスで使用されるクリティカル セキュリティ パラメータ

#
鍵/CSP 名
生成/
アルゴリズム
説明
保管
ゼロ化

1

RSA 公開/秘密鍵

ANSI X9.31/RSA

PIX セキュリティ アプライアンス自体の ID 証明書であり、IPSec、TLS、および SSH ネゴシエーションでも使用されます。PIX セキュリティ アプライアンスは 512、768、1024、および 2048 ビットの鍵サイズをサポートします。

秘密鍵:NVRAM(プレーンテキスト)と RAM(プレーンテキスト)

公開鍵:NVRAM(プレーンテキスト)と RAM(プレーンテキスト)

秘密鍵:暗号鍵をゼロ化し、スタートアップ コンフィギュレーションへの書き込み後にリブートします。

公開鍵:コンフィギュレーションからトラストポイントを削除し、スタートアップ コンフィギュレーションへの書き込み後にリブートします。

2

DSA 公開/秘密鍵

ANSI X9.31/DSA

PIX セキュリティ アプライアンス自体の ID 証明書であり、IPSec ネゴシエーションでも使用されます。PIX セキュリティ アプライアンスは 512、768、1024、および 2048 ビットの鍵サイズをサポートします。

秘密鍵:NVRAM(プレーンテキスト)と RAM(プレーンテキスト)

公開鍵:NVRAM(プレーンテキスト)と RAM(プレーンテキスト)

秘密鍵:暗号鍵をゼロ化し、スタートアップ コンフィギュレーションへの書き込み後にリブートします。

公開鍵:コンフィギュレーションからトラストポイントを削除し、スタートアップ コンフィギュレーションへの書き込み後にリブートします。

3

Diffie-Hellman 鍵ペア

ANSI X9.31 / DH

IKE、TLS、および
SSH セッション用の Key Agreement。

RAM(プレーンテキスト)

PIX セキュリティ アプライアンスのリセットまたはリブート。

4

公開鍵

DSA / RSA

ピアの公開鍵。

RAM(プレーンテキスト)

PIX セキュリティ アプライアンスのリセットまたはリブート。

5

TLS
トラフィック鍵

TLS プロトコル(X9.31PRNG + HMAC-SHA1 + HMAC-MD5 + DH または RSA のいずれか)を使用して生成

アルゴリズム:Triple DES と AES

HTTPS 接続で使用されます。

RAM(プレーンテキスト)

PIX セキュリティ アプライアンスのリセットまたはリブート。

6

SSH セッション鍵

ANSI X9.31 / Triple DES-AES

SSH 鍵。

RAM(プレーンテキスト)

PIX セキュリティ アプライアンスのリセットまたはリブート。

7

IPSec 認証鍵

ANSI X9.31 / Triple DES-AES / DH

IKE プロトコルと公開/秘密鍵ペアを使用して交換されます。これらは Triple DES または AES 鍵です。

RAM(プレーンテキスト)

PIX セキュリティ アプライアンスのリセットまたはリブート。

8

IPSec
トラフィック鍵

ANSI X9.31 / Triple DES-AES / DH

IKE プロトコルと公開/秘密鍵ペアを使用して交換されます。これらは Triple DES または AES 鍵です。

RAM(プレーンテキスト)

PIX セキュリティ アプライアンスのリセットまたはリブート。

9

IKE 事前共有鍵

共有秘密

クリプト オフィサによってプレーンテキスト形式で入力され、IKE 時の認証に使用されます。

NVRAM(プレーンテキスト)と RAM(プレーンテキスト)

鍵を新しい鍵で上書きするか、または erase flash: コマンドを使用してコンフィギュレーションから鍵を削除します。スタートアップ コンフィギュレーションへの書き込み後にリブートします。

10

IKE 認証鍵

IKE(X9.31+HMAC-SHA1+DH)を使用して生成
アルゴリズム:Triple DES、AES、SHA-1

IKE ネゴシエーションの暗号化と認証に使用されます。

RAM(プレーンテキスト)

PIX セキュリティ アプライアンスのリセットまたはリブート。

11

IKE 暗号鍵

IKE(X9.31+HMAC-SHA1+DH)を使用して生成
アルゴリズム:Triple DES、AES、SHA-1

IKE ネゴシエーションの暗号化に使用されます。

RAM(プレーンテキスト)

PIX セキュリティ アプライアンスのリセットまたはリブート。

12

RADIUS および TACACS+ 共有秘密鍵

共有秘密

PIX セキュリティ アプライアンスに対する
RADIUS または
TACACS+ サーバの認証、およびその逆の認証に使用されます。クリプト オフィサによってプレーンテキスト形式で入力され、プレーンテキスト形式で保管されます。

NVRAM(プレーンテキスト)と RAM(プレーンテキスト)

鍵を新しい鍵で上書きするか、または erase flash: コマンドを使用してコンフィギュレーションから鍵を削除します。スタートアップ コンフィギュレーションへの書き込み後にリブートします。

13

ユーザ名/
パスワード

秘密

ユーザおよびクリプト オフィサのログインを認証するために使用されるクリティカル セキュリティ パラメータ。

NVRAM(プレーンテキスト)と RAM(プレーンテキスト)

パスワードを新しいパスワードで上書きし、スタートアップ コンフィギュレーションへの書き込み後にリブートします。

14

Certificate Authority(CA; 認証局)の証明書

ANSI X9.31

CA によって発行された証明書の検証に必要です。CA 証明書をインストールしてから、下位証明書をインストールします。

NVRAM(プレーンテキスト)と RAM(プレーンテキスト)

erase flash: コマンドを使用してコンフィギュレーションからトラストポイントを削除し、スタートアップ コンフィギュレーションへの書き込み後にリブートします。

15

PRNG シード鍵

エントロピー

X9.31 PRNG 用のシード鍵。

RAM(プレーンテキスト)

新しいシードを生成してゼロ化。

16

フェールオーバー鍵

事前共有秘密

LAN ベースのフェールオーバーの暗号化と認証に使用されます。

NVRAM(プレーンテキスト)と RAM(プレーンテキスト)

鍵を新しい鍵で上書きするか、または erase flash: コマンドを使用してコンフィギュレーションから鍵を削除します。スタートアップ コンフィギュレーションへの書き込み後にリブートします。

セルフテスト

PIX セキュリティ アプライアンスには一連のセルフテストが用意されています。このセルフテストは、セキュアなデータが公開されないようにし、すべてのコンポーネントが正しく動作していることを確認するために、スタートアップ中に実行され、また動作中にも定期的に実行されます。

表7 に、PIX セキュリティ アプライアンスの電源投入時セルフテストを示します。

 

表7 セキュリティ アプライアンスの電源投入時セルフテスト

実装
実行されるテスト

PIX セキュリティ アプライアンス ソフトウェア

ソフトウェア/ファームウェア テスト

バイパス テスト

DSA KAT(シグニチャ/検証)

RSA KAT(シグニチャ/検証)

RSA KAT(暗号化/復号化)

AES KAT

Triple DES KAT

SHA-1 KAT

HMAC SHA-1 KAT

PRNG KAT

VAC+(Broadcom 5823)

DSA KAT(検証)

RSA KAT(シグニチャ/検証)

RSA KAT(暗号化/復号化)

AES KAT

Triple DES KAT

SHA-1 KAT

HMAC SHA-1 KAT

FIPS モードがイネーブルになっている場合、PIX セキュリティ アプライアンスはブート時にすべての電源投入時セルフテストを自動的に実行します。ユーザまたはクリプト オフィサがサービスを実行するためには、すべての電源投入時セルフテストに合格する必要があります。電源投入時セルフテストは、暗号化システムの初期化後、ただし LAN の初期化前に実行されます。これにより、電源投入時セルフテストの失敗時にデータがデバイスによって転送される事態を防ぎます。電源投入時セルフテストに失敗する可能性の低いイベントでは、エラー メッセージがコンソールに表示されてからシステムがリブートします。

表8 に、PIX セキュリティ アプライアンスが実行する条件付きセルフテストを示します。

 

表8 PIX セキュリティ アプライアンスの条件付きセルフテスト

実装
実行されるテスト

PIX セキュリティ アプライアンス ソフトウェア

RSA 用の鍵ペアの整合性テスト

DSA 用の鍵ペアの整合性テスト

すべての RNG 用の連続乱数発生器テスト

条件付きバイパス テスト

VAC+(Broadcom 5823)

DSA 用の鍵ペアの整合性テスト

その他の攻撃の軽減

PIX セキュリティ アプライアンスは、PIX セキュリティ アプライアンスに備わっている保護のほかには、FIPS 認定オペレーション モードで攻撃を軽減することはありません。

セキュアな運用

Cisco PIX 525 および PIX 535 セキュリティ アプライアンスは FIPS 140-2 レベル 2 要件を満たしています。

この項では、FIPS 認定オペレーション モードで PIX セキュリティ アプライアンスを設置および保持する方法について説明します。「クリプト オフィサ用ガイダンス:システムの初期化」および 「クリプト オフィサ用ガイダンス:システム コンフィギュレーション」に示す設定を維持せずに PIX セキュリティ アプライアンスを運用すると、PIX セキュリティ アプライアンスは FIPS 認定オペレーション モードから除外されます。

クリプト オフィサ用ガイダンス:システムの初期化

PIX セキュリティ アプライアンスはソフトウェア バージョン 7.0.4 を使用して検証されました。これは、FIPS 認定オペレーション モードで許可される唯一のイメージです。

次の手順を使用してシステムを初期化します。


ステップ 1 セキュリティ コンテキスト モードがシングルモードに設定されていることを確認します。

(config)#mode single
 

ステップ 2 ファイアウォール モードがルーテッドに設定されていることを確認します。

(config)#no firewall transparent
 

ステップ 3 システム クラッシュ情報のコンソール出力をディセーブルにします。

(config)#crashinfo console disable
 

ステップ 4 「FIPS モード」をイネーブルにして、デバイスが電源投入時セルフテストやバイパス テストの実行などの FIPS 準拠の動作を内部的に適用できるようにします。

(config)#fips enable
 

ステップ 5 Triple DES/AES ライセンスをインストールして、デバイスが Triple DES および AES を(データ トラフィックおよび SSH に対して)使用することを要求します(PIX ライセンスの詳細については、
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_data_sheet09186a00800b0d85.html を参照してください)。

ステップ 6 パスワード回復をディセーブルにします。

(config)#no service password-recovery
 

ステップ 7 ブート時に ROMMON プロンプトをバイパスするようにコンフィギュレーション レジスタを設定します。

(config)#config-register 0x10011
 

ステップ 8 フェールオーバーをイネーブルにする場合は、フェールオーバー鍵を定義して冗長デバイスに対するリンクの暗号化を確認してから、フェールオーバーをイネーブルにします。

(config)#failover key hex <key>
 

) フェールオーバーは FIPS オペレーション モードでは必要ありません。FIPS オペレーション モードでは LAN ベースのフェールオーバーだけが許可されます。シリアル リンク フェールオーバーは FIPS オペレーション モードでは許可されません。フェールオーバーは、イーサネット 0 のように最小の番号が付いたインターフェイスで構成しないでください。イーサネット 1 またはそれ以上のポートを使用する必要があります。最小の番号が付いたインターフェイスがすでにフェールオーバー インターフェイスとして実装されている場合、クリプト オフィサは次の作業を行う必要があります。
- V7.0.4 にアップグレードする前に、デバイス以外の場所にコンフィギュレーションをコピーします。
- テキスト エディタを使用してインターフェイスのコンフィギュレーションを修正します。
- フェールオーバー ケーブルを指定のフェールオーバー インターフェイスに変更します。
- V7.0.4 にアップグレードし、修正したコンフィギュレーションをリロードします。


ステップ 9 コンソールの AAA 認可をイネーブルにします。

(config-terminal)#aaa authentication serial console LOCAL
(config-terminal)#username <name> password <password>
 

ステップ 10 SSH および Telnet の AAA 認可をイネーブルにします。

(config-terminal)#aaa authentication ssh console LOCAL
(config-terminal)#aaa authentication telnet console LOCAL
 

ステップ 11 イネーブル モードの AAA 認可をイネーブルにします。

(config-terminal)#aaa authentication enable console LOCAL
 

ステップ 12 クリプト オフィサに特権レベル 15、ユーザに特権レベル 1 を指定し、各役割のユーザ名およびパスワードをセットアップします。

(config-terminal)#username <name> password <password> privilege 15
(config-terminal)#username <name> password <password> privilege 1
 

ステップ 13 パスワードの長さは少なくとも 6 文字になるようにします。enable や telnet など、すべてのデフォルト パスワードを新しいパスワードに置き換えます。

ステップ 14 使用可能な PIX セキュリティ アプライアンスの回路基板インターフェイスに 1 枚の VAC+ を設置します(まだ設置していない場合)。


) クリプト オフィサは、PIX-1FE、PIX-1GE-66、PIX-4FE-66 など、物理インターフェイスだけを提供するサービス カードを設置できます。PIX セキュリティ アプライアンスは、暗号化を高速化するために VPN Acceleration Card PLUS(VAC+)を使用してのみ検証されます。レガシー VAC は FIPS 認定オペレーション モードではサポートされません。


ステップ 15 「不透明シールドの貼付」で説明しているように、不透明シールドを貼ります。

ステップ 16 「改ざん防止用ラベルの貼付」で説明しているように、改ざん防止用ラベルを貼ります。

ステップ 17 PIX セキュリティ アプライアンスをリブートします。


 

クリプト オフィサ用ガイダンス:システム コンフィギュレーション

次の手順を使用してシステムを構成します。


ステップ 1 ユーザに特権レベル 1 を割り当てます。

ステップ 2 長さが少なくとも 6 文字の RADIUS および TACACS+ 共有秘密鍵を定義し、IPSec トンネルによる PIX セキュリティ アプライアンスと RADIUS/TACACS+ サーバとの間のトラフィックをすべて保護します。


) RADIUS/TACACS+ が構成されている場合のみ使用してください。


ステップ 3 HTTPS を使用した鍵導出のための TLS プロトコルを設定して、管理機能を保護します。TLS を特定バージョンの Java プラグインと共に使用する場合については、既知の問題があるため、JRE 1.5.0_05 以降にアップグレードすることをお勧めします。JRE 1.5.0_05 を設定した TLS 専用環境で ASDM を起動する場合、次の設定を使用します。

TLSv1 パケットだけを許可するようにデバイスを設定します。

(config)# ssl server-version tlsv1-only
 

ブラウザと JRE セキュリティ設定の両方で、SSL バージョン 2.0 のチェックボックスをオフにします。

ブラウザと JRE セキュリティ設定の両方で、TLS V1.0 のチェックボックスをオンにします。

ステップ 4 SSHv2 を使用するように PIX セキュリティ アプライアンスを設定します。

(config)# ssh version 2

) リモート アクセスが許可された後も、すべてのオペレータは認証を行う必要があります。


ステップ 5 Telnet を経由するすべてのリモート接続が IPSec によって確実に保護されるように PIX セキュリティ アプライアンスを設定します。

ステップ 6 IPSec トンネルには FIPS 認定アルゴリズムだけが確実に使用されるように PIX セキュリティ アプライアンスを設定します。

ステップ 7 認証されたクリプト オフィサだけが確実にエラー メッセージを表示できるように PIX セキュリティ アプライアンスを設定します。

ステップ 8 常にセキュアな IPSec トンネルを使用するように SNMP を設定します。

ステップ 9 TFTP サーバと HTTP サーバがシステム管理を実行できないようにします。

ステップ 10 インストールされたデジタル証明書が確実に FIPS 認定アルゴリズム(SHA-1)を使用して署名されるようにします。

ステップ 11 512 ビットおよび 768 ビット RSA 鍵が使用されないようにします。

ステップ 12 DSA アルゴリズムでは少なくとも 512 ビットの係数が確実に使用されるようにします。


 

認定された暗号アルゴリズム

PIX セキュリティ アプライアンスでは、数多くの暗号アルゴリズムをサポートしています。しかし、次の FIPS 認定アルゴリズムだけを使用することができます。

AES 暗号化/復号化

Triple DES 暗号化/復号化

SHA-1 ハッシュ

SHA-1 HMAC(ハッシュ化されたメッセージ認証用)

RSA 署名および検証

DSA 署名および検証

RSA 暗号化/復号化

X9.31(RNG 用)

TLS(レイヤ 7 セキュリティ用)


) 『DES Transition Plan』および撤回された連邦情報処理標準(FIPS)46-3『Data Encryption Standard (DES)』、FIPS 74『Guidelines for Implementing and Using the NBS Data Encryption Standard』、FIPS 81『DES Modes of Operation』の認可に従って、FIPS 認定オペレーション モードでは DES アルゴリズムを使用しないでください。


オンボード アクセラレーションによる PIX セキュリティ アプライアンス ソフトウェア リリースへの暗号化の実装はそれぞれ、 表9 に示す認証を実現します。

 

表9 アルゴリズムの認証

アルゴリズム
PIX セキュリティ
アプライアンス ソフトウェア
VPN Acceleration Card+

AES

320

209

Triple DES

384

298

SHA-1

393

285

SHA-1 HMAC

124

15

RNG

143

サポートされていない

RSA

105

107

DSA

150

152

FIPS 未認定アルゴリズム

PIX セキュリティ アプライアンスは、次の FIPS 未認定暗号アルゴリズムを実装しています。

DES

SSL

RC4

MD5

MD5 HMAC

Diffie-Hellman(FIPS モードでの使用が許可されている)(鍵の確立方法によって 80 ビットまたは 96 ビットの暗号化強度が提供される)

RSA 暗号化/復号化(FIPS モードでの鍵の転送が許可されている)(鍵の確立方法によって 80 ビットまたは 112 ビットの暗号化強度が提供される)

不透明シールドの貼付

Cisco PIX 525 および PIX 535 セキュリティ アプライアンスを FIPS 認定モードで動作させるには、いくつかの内部コンポーネント上の文字をシャーシの通気口から見えないようにする必要があります。

この項に示す手順を実行して、内部コンポーネントの上に不透明シールドを貼ります。


) Cisco PIX セキュリティ アプライアンスのシャーシ カバーを取り外しても、シスコの保証には影響しません。


ここでは、次の項目について説明します。

「マザーボードへのアクセス」

「不透明シールドの貼付」

「ボックスを閉じる」

マザーボードへのアクセス

この項では、PIX セキュリティ アプライアンスのマザーボードにアクセスする手順を説明します。Cisco PIX 525 のシャーシ カバーを取り外すか、あるいは Cisco PIX 535 のコンポーネント トレイを取り外して、マザーボードにアクセスします。PIX セキュリティ アプライアンスに VAC+ が組み込まれている場合は、Cisco PIX 535 のコンポーネント トレイを取り外してからアクセスします。

次の手順を実行して、マザーボードにアクセスします。


ステップ 1 『Regulatory Compliance and Safety Information』の資料を読みます。

ステップ 2 アース ストラップを素肌に触れるように手首に固定します。もう一方の端をシャーシのむき出しの金属に取り付けます。

ステップ 3 ボックスの電源を切ってから、電源コードを抜きます。


) 電源スイッチは、電源モジュールの一部です。


ステップ 4 Cisco PIX 525 の場合は、「Cisco PIX 525 のシャーシ カバーの取り外し」に示す手順を実行して、シャーシ カバーを取り外します。Cisco PIX 535 の場合は、「Cisco PIX 535 のコンポーネント トレイの取り外し」に示す手順を実行して、コンポーネント トレイを取り外します。


 

Cisco PIX 525 のシャーシ カバーの取り外し

次の手順を実行して、Cisco PIX 525 のシャーシ カバーを取り外します。


ステップ 1 Cisco PIX 525 セキュリティ アプライアンスを前面パネルが手前になるようにテーブルに置きます。

ステップ 2 図1 に示すように、シャーシ カバーの 4 つのネジを取り外します。

図1 Cisco PIX 525 のシャーシ カバーにあるネジの取り外し

 

ステップ 3 図2 に示すように、シャーシ カバーを上に持ち上げ、シャーシ背面のタブから引き抜きます。

図2 Cisco PIX 525 のシャーシ カバーの取り外し

 

ステップ 4 (オプション)PIX セキュリティ アプライアンスに VAC+ が組み込まれている場合は、カードを取り外します。


 

Cisco PIX 535 のコンポーネント トレイの取り外し

次の手順を実行して、Cisco PIX 535 のマザーボードにアクセスするためにコンポーネント トレイを取り外します。


) マザーボードにアクセスするために、Cisco PIX 535 のシャーシ カバーは取り外しません。代わりに、背面パネルからコンポーネント トレイを引き出します。



ステップ 1 コンポーネント トレイの背面パネルの取り付けネジを緩めて、トレイを引き出します。図3 を参照してください。

図3 Cisco PIX 535 のコンポーネント トレイの取り外し

 

ステップ 2 不透明シールドの必要なマザーボード上のコンポーネントに簡単にアクセスできるかどうかを確認します(シールドが必要なコンポーネントについては、図7 を参照)。

ステップ 3 (オプション)PIX セキュリティ アプライアンスに VAC+ が組み込まれている場合、または回路基板があるためにマザーボードにアクセスできない場合は、次の手順を実行してカードを取り外すと、不透明シールドを貼るために内部コンポーネントにアクセスしやすくなります(図4 を参照)。

a. VAC+ または回路基板に取り付けられたネジを、コンポーネント トレイの前面プレートから取り外します。

b. VAC+ または回路基板をコンポーネント トレイから取り外します。

c. ほかに VAC+ または回路基板があれば、ステップ 3a. とステップ 3b. を繰り返します。

図4 Cisco PIX 535 のコンポーネント トレイ

 

不透明シールドの貼付

購入した FIPS キット(69-1563-01)には、内部コンポーネント用に 3 枚の小型不透明シールド(700-22645-01)と 3 枚の大型不透明シールド(700-22646-01)、およびシャーシを保護するための 12 枚の改ざん防止用ラベル(47-12831-01)が含まれています。PIX 525 に必要な不透明シールドの数は、小型 3 枚と大型 2 枚です。PIX 535 に必要な不透明シールドの数は、小型 2 枚です。VAC+ 用の不透明シールドの数は、大型 1 枚です。


) シスコの FIPS キットにはそれぞれ、各デバイスを保護するために必要な数(4)よりも多くの改ざん防止用ラベル(12)が含まれています。これにより、新しいキットを購入せずに保守作業を行うことができます。予備のラベルは安全な場所に保管してください。


不透明シールドを使用して、内部コンポーネント上の文字を覆うには、次の手順を実行します。


ステップ 1 毛羽立ちのない綿布を使用してコンポーネントの上面をクリーンにします。

ステップ 2 メチルエチルケトン、アセトン、イソプロピル アルコールなどの工業用溶剤でコンポーネントの上面を拭きます。


注意 組み立て作業中は、クリーンな表面に触れないでください。表面が汚れている場合は、ステップ 1ステップ 2 を繰り返してください。

ステップ 3 不透明シールドから透明の剥離ライナーをはがし(図5 を参照)、粘着剤の面を出します。粘着面には指で触れないでください。

図5 不透明シールドからライナーをはがす方法

 

ステップ 4 粘着面を下にして、粘着剤をいずれかのコンポーネントの中央に合せます。約 5 ~ 10 psi の圧力で 15 秒間、しっかりと指で不透明シールド全体を押して滑らかにします。Cisco PIX 525 のコンポーネントの場所については図6 を、Cisco PIX 535 のコンポーネントの場所については図7 を、VAC+ のコンポーネントの場所については図8 をそれぞれ参照してください。

ステップ 5 ステップ 3ステップ 4 を繰り返して、追加の不透明シールドを該当するすべてのコンポーネントに貼ります。

図6 Cisco PIX 525 マザーボードの不透明シールドの位置

 

 

1

Cisco Part Number 700-22645-01(小)

4

Cisco Part Number 700-22646-01(大)

2

Cisco Part Number 700-22645-01(小)

5

Cisco Part Number 700-22646-01(大)

3

Cisco Part Number 700-22645-01(小)

図7 Cisco PIX 535 マザーボードの不透明シールドの位置

 

 

1

Cisco Part Number 700-22645-01(小)

2

Cisco Part Number 700-22645-01(小)

図8 VAC+ の不透明シールドの位置

 

 

1

Cisco Part Number 700-22646-01(大)


 

ボックスを閉じる

この項では、マザーボードをシャーシに戻して PIX を閉じる手順について説明します。

PIX 525 のシャーシ カバーを元に戻すには、「Cisco PIX 525 のシャーシ カバーを元に戻す方法」の項に示す手順を実行します。PIX 535 のシャーシにコンポーネント トレイを戻すには、「Cisco PIX 535 のコンポーネント トレイを元に戻す方法」の項に示す手順を実行します。

Cisco PIX 525 のシャーシ カバーを元に戻す方法

次の手順を実行して、Cisco PIX 525 のシャーシ カバーを元に戻します。


ステップ 1 シャーシ下部を前面パネルが手前になるように置きます。

ステップ 2 マザーボードから VAC+ を取り外さなかった場合には、ステップ 3 に進みます。

VAC+ を取り外した場合には、取り外したマザーボード上のスロットに VAC+ を挿入します。

ステップ 3 シャーシ下部の上にシャーシ カバーを重ねて、カバーの各タブを、シャーシ背面の上にあるシャーシ タブに位置合せします(図9 を参照)。

ステップ 4 上カバーの前面をシャーシに近づけて下げ、次の状態になるようにします。

シャーシ カバーの各タブが見えないように、シャーシの背面パネルの縁に収まっている。

シャーシの各タブが見えないように、シャーシ カバーの下に収まっている。

シャーシ カバー両側の側面タブが見えないように、シャーシの側面パネルの内側に収まっている。

シャーシ カバーが正しく取り付けられると、タブは見えなくなります。

ステップ 5 前に取り外した 4 つのネジでシャーシ カバーを固定します。

ステップ 6 すべてのインターフェイス ケーブルを再度設置します。

図9 シャーシ カバーを元に戻す方法

 

ステップ 7 電源をサイトの電源に接続して PIX 525 の電源を投入します。内部電源ファンが作動し始めます。


 

Cisco PIX 535 のコンポーネント トレイを元に戻す方法


ステップ 1 コンポーネント トレイから VAC+ も回路基板も取り外さなかった場合には、ステップ 2 に進みます。

マザーボード上のコンポーネントにアクセスするために VAC+ または回路基板を取り外した場合には、次の手順を実行して再度設置します。

a. VAC+ または回路基板をコンポーネント トレイの適切なスロットに挿入します。

b. 「Cisco PIX 535 のコンポーネント トレイの取り外し」ステップ 4 で取り外したネジを使用して、VAC+ または回路基板の前面プレートをコンポーネント トレイの背面パネルに取り付けます。

c. コンポーネント トレイに再度設置する必要がある VAC+ または回路基板がほかにあれば、ステップ 1a. とステップ 1b. を繰り返します。

ステップ 2 コンポーネント トレイを PIX 535 シャーシに挿入します。

ステップ 3 取り付けネジを締めます。


 

改ざん防止用ラベルの貼付

ボックスを閉じた後、FIPS 140-2 セキュリティ ポリシーに準拠するために改ざん防止用ラベルを貼ります。

クリティカル セキュリティ パラメータ(CSP)はすべて PIX セキュリティ アプライアンスの改ざん防止用ラックの中に保管されて保護されます。管理者は、すべての改ざん防止用ラベルを適切に配置する責任があります。FIPS 140-2 準拠の推奨されるセキュリティ ラベルは、FIPS キット(MECHKIT、ACCY、PIX 525&535 FIPS KIT、CISCO P/N: 69-1563-01)で提供されます。これらのセキュリティ ラベルは非常に脆弱で、はがすとラベルにはっきりとした損傷の跡が付きます。

クリプト オフィサは、定期的に改ざん防止用ラベルを検査して、ラベルに損傷がないこと、および貼付した改ざん防止用ラベルのシリアル番号がセキュリティ ログ内の記録と一致することを確認する必要があります。


) 改ざん防止用ラベルは、裏が粘着性の特殊な薄いビニールで出来ています。PIX セキュリティ アプライアンスを開けようとすると、改ざん防止用ラベルまたは PIX セキュリティ アプライアンスのカバー素材が損傷を受けます。改ざん防止用ラベルには非循環シリアル番号が付けられているため、ラベルに損傷がないかどうかを検査し、適用されたシリアル番号と照合して、デバイスが改ざんされていないことを確認できます。また、改ざん防止用ラベルを検査して、改ざんされた兆候(縁の反り返り、裂け目、切れ目など)がないかどうかを確認することもできます。ラベルがはがされた場合、Open という語が現れます。FIPS キットには、シャーシの保守に対応するため、予備の改ざん防止用ラベルが含まれています。


「PIX 525」または 「PIX 535」のいずれかの手順を実行して、シリアル番号の付いた改ざん防止用ラベルを貼ります。

PIX 525


ステップ 1 シャーシをクリーンにしてラベルを貼る前に、システムの電源を切り、プラグを抜きます。

ステップ 2 シャーシに付いた指脂、ほこり、または油をクリーンにしてからラベルを貼ります。この作業には、アルコールベースのクリーニング パッドの使用をお勧めします。

ステップ 3 図10 に示すように、PIX セキュリティ アプライアンスの側面にラベルを 1 枚貼ります。図10 に示すように、2 枚目のラベルをデバイス背面の方に貼り、背面プレートに向かって折り曲げます。図11 で同じラベルを別の角度から確認してください。

図10 Cisco PIX 525 前面の改ざん防止用ラベルの位置

 

ステップ 4 図11 に示すように、デバイス背面の電源を保護するためにラベルを貼ります。

ステップ 5 図11 に示すように、デバイスのもう一方の側面にラベルを 1 枚貼ります。

図11 Cisco PIX 525 背面の改ざん防止用ラベルの位置

 

ステップ 6 システムに貼ったラベルのシリアル番号をセキュリティ ログに記録します。


 

PIX 535


ステップ 1 シャーシをクリーンにしてラベルを貼る前に、システムの電源を切り、プラグを抜きます。

ステップ 2 シャーシに付いた指脂、ほこり、または油をクリーンにしてからラベルを貼ります。この作業には、アルコールベースのクリーニング パッドの使用をお勧めします。

ステップ 3 図12 に示すようにデバイスの側面にラベルを 1 枚貼り、図13 に示すようにデバイスのもう一方の側面に 2 枚目のラベルを貼ります。

図12 Cisco PIX 535 前面の改ざん防止用ラベルの位置

 

ステップ 4 図13 に示すように、デバイス背面の電源およびリムーバブル コンポーネント トレイを保護するために複数のラベルを貼ります。

図13 Cisco PIX 535 背面の改ざん防止用ラベルの位置

 

ステップ 5 システムに貼ったラベルのシリアル番号をセキュリティ ログに記録します。


 

関連資料

このマニュアルでは、FIPS 140-2 暗号化デバイス セキュリティ ポリシーの技術用語を使用して PIX セキュリティ アプライアンスの操作および機能だけを扱います。

PIX セキュリティ アプライアンスの詳細については、次の情報源から入手できます。

PIX セキュリティ アプライアンス(ハードウェア):
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/tsd_products_support_series_home.html

PIX セキュリティ アプライアンス ソフトウェア:
http://www.cisco.com/en/US/products/sw/secursw/ps2120/tsd_products_support_series_home.html

PIX セキュリティ アプライアンス ライセンス:
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_data_sheet09186a00800b0d85.html

NIST Cryptographic Module Validation Program Web サイトには、PIX セキュリティ アプライアンスの技術的な質問や販売関連の質問に対する回答を得るための連絡先情報が掲載されています( http://csrc.ncsl.nist.gov/cryptval/ を参照)。

技術情報の入手方法

シスコの製品マニュアルやその他の資料は、Cisco.com でご利用いただけます。また、テクニカル サポートおよびその他のリソースを、さまざまな方法で入手することができます。ここでは、シスコ製品に関する技術情報を入手する方法について説明します。

Cisco.com

次の URL から、シスコ製品の最新資料を入手することができます。

http://www.cisco.com/techsupport

シスコの Web サイトには、次の URL からアクセスしてください。

http://www.cisco.com

シスコの Web サイトの各国語版には、次の URL からアクセスしてください。

http://www.cisco.com/public/countries_languages.shtml

シスコ製品の最新資料の日本語版は、次の URL からアクセスしてください。

http://www.cisco.com/jp

Product Documentation DVD(英語版)

Product Documentation DVD は、技術情報を包含する製品マニュアルをポータブルなメディアに格納した、包括的なライブラリです。この DVD を使用することにより、シスコ製の各ハードウェアやソフトウェアのインストール、コンフィギュレーション、およびコマンドに関する複数のバージョンのマニュアルにアクセスできます。また、この DVD を使用すると、シスコの Web サイトで参照できるのと同じ HTML マニュアルに、インターネットに接続せずにアクセスできます。一部の製品については、PDF 版のマニュアルもご利用いただけます。

Product Documentation DVD は、1 回単位で入手することも、または定期購読することもできます。Cisco.com 登録ユーザ(シスコ直販のお客様)の場合は、次の URL の Cisco Marketplace から Product Documentation DVD(Product Number DOC-DOCDVD= または DOC-DOCDVD=SUB)を発注できます。

http://www.cisco.com/go/marketplace/

マニュアルの発注方法(英語版)

Cisco.com 登録ユーザの場合、Cisco Marketplace の Product Documentation Store からシスコ製品の英文マニュアルを発注できるようになっています。次の URL にアクセスしてください。

http://www.cisco.com/go/marketplace/

Cisco.com に登録されていない場合、製品を購入された代理店へお問い合せください。

シスコシステムズマニュアルセンター

シスコシステムズマニュアルセンターでは、シスコ製品の日本語マニュアルの最新版を PDF 形式で公開しています。また、日本語マニュアル、および日本語マニュアル CD-ROM もオンラインで発注可能です。ご希望の方は、次の URL にアクセスしてください。

http://www2.hipri.com/cisco/

また、シスコシステムズマニュアルセンターでは、日本語マニュアル中の誤記、誤植に関するコメントをお受けしています。次の URL の「製品マニュアル内容不良報告」をクリックすると、コメント入力画面が表示されます。

http://www2.hipri.com/cisco/

なお、技術内容に関するお問い合せは、この Web サイトではお受けできませんので、製品を購入された各代理店へお問い合せください。

シスコ製品のセキュリティの概要

シスコでは、オンラインの Security Vulnerability Policy ポータル(英文のみ)を無料で提供しています。URL は次のとおりです。

http://www.cisco.com/en/US/products/products_security_vulnerability_policy.html

このサイトには、次の作業を行う方法についての情報があります。

シスコ製品のセキュリティ脆弱性を報告する。

シスコ製品に伴うセキュリティ事象についてサポートを受ける。

シスコからセキュリティ情報を受け取るための登録をする。

シスコ製品に関するセキュリティ勧告、セキュリティ上の注意事項、およびセキュリティ対策の最新のリストには、次の URL からアクセスできます。

http://www.cisco.com/go/psirt

セキュリティ勧告、セキュリティ上の注意事項、およびセキュリティ対策がアップデートされた時点でリアルタイムに確認する場合は、Product Security Incident Response Team Really Simple Syndication(PSIRT RSS)フィードに登録してください。PSIRT RSS フィードへの登録方法については、次の URL を参照してください。

http://www.cisco.com/en/US/products/products_psirt_rss_feed.html

シスコ製品のセキュリティ問題の報告

シスコでは、セキュアな製品を提供すべく全力を尽くしています。製品のリリース前には内部でテストを行い、すべての脆弱性を早急に修正するよう努力しています。シスコ製品に脆弱性が見つかった場合は、PSIRT にご連絡ください。

緊急の場合のみ : security-alert@cisco.com (英語のみ)

緊急とは、システムがアクティブな攻撃を受けている場合、または至急の対応を要する重大なセキュリティ上の脆弱性が報告されている場合を指します。これに該当しない場合はすべて、緊急でないと見なされます。

緊急でない場合 : psirt@cisco.com (英語のみ)

緊急の場合は、電話で PSIRT に連絡することもできます。

1 877 228-7302(英語のみ)

1 408 525-6532(英語のみ)


ヒント シスコに機密情報をお送りいただく際には、PGP(Pretty Good Privacy)または互換製品(GnuPG など)を使用して、暗号化することをお勧めします。PSIRT は、PGP バージョン 2.x から 9.x で暗号化された情報に対応しています。

無効になった、または有効期限が切れた暗号鍵は、絶対に使用しないでください。PSIRT に連絡する際に使用する正しい公開鍵には、Security Vulnerability Policy ページの Contact Summary セクションからリンクできます。次の URL にアクセスしてください。

http://www.cisco.com/en/US/products/products_security_vulnerability_policy.html

このページ上のリンクからは、現在使用されている最新の PGP 鍵の ID にアクセスできます。

PGP を持っていない、または使用していない場合は、機密情報を送信する前に前述のメール アドレスまたは電話番号で PSIRT に問い合せ、他のデータ暗号化方法を確認してください。


テクニカル サポート

Cisco Technical Support では、24 時間テクニカル サポートを提供しています。Cisco.com の Cisco Technical Support & Documentation Web サイトでは、多数のサポート リソースをオンラインで提供しています。また、シスコと正式なサービス契約を交わしているお客様には、Cisco Technical Assistance Center(TAC)のエンジニアが電話でのサポートにも対応します。シスコと正式なサービス契約を交わしていない場合は、代理店にお問い合せください。

Cisco Technical Support & Documentation Web サイト

Cisco Technical Support & Documentation Web サイトでは、シスコ製品やシスコの技術に関するトラブルシューティングにお役立ていただけるように、オンラインでマニュアルやツールを提供しています。この Web サイトは、24 時間、いつでも利用可能です。URL は次のとおりです。

http://www.cisco.com/techsupport

Cisco Technical Support & Documentation Web サイトのツールにアクセスするには、Cisco.com のユーザ ID とパスワードが必要です。サービス契約が有効で、ユーザ ID またはパスワードを取得していない場合は、次の URL にアクセスして登録手続きを行ってください。

http://tools.cisco.com/RPF/register/register.do


) Web または電話でサービス リクエストを発行する前に、Cisco Product Identification(CPI)ツールを使用して製品のシリアル番号を確認してください。CPI ツールには、Cisco Technical Support & Documentation Web サイトから、Documentation & Tools の下の Tools & Resources リンクをクリックするとアクセスできます。アルファベット順の索引ドロップダウン リストから Cisco Product Identification Tool を選択するか、Alerts & RMAs の下の Cisco Product Identification Tool リンクをクリックします。CPI ツールには、3 つの検索オプションがあります。製品 ID またはモデル名による検索、ツリー表示による検索、show コマンド出力のコピー アンド ペーストによる特定製品の検索です。検索結果では、製品が図示され、シリアル番号ラベルの位置が強調表示されます。ご使用の製品でシリアル番号ラベルを確認し、その情報を記録してからサービス コールをかけてください。


Japan TAC Web サイト

Japan TAC Web サイトでは、利用頻度の高い TAC Web サイト( http://www.cisco.com/tac )のドキュメントを日本語で提供しています。Japan TAC Web サイトには、次の URL からアクセスしてください。

http://www.cisco.com/jp/go/tac

サポート契約を結んでいない方は、「ゲスト」としてご登録いただくだけで、Japan TAC Web サイトのドキュメントにアクセスできます。Japan TAC Web サイトにアクセスするには、Cisco.com のログイン ID とパスワードが必要です。ログイン ID とパスワードを取得していない場合は、次の URL にアクセスして登録手続きを行ってください。

http://www.cisco.com/jp/register

サービス リクエストの発行

オンラインの TAC Service Request Tool を使用すると、S3 と S4 のサービス リクエストを短時間でオープンできます(S3:ネットワークに軽微な障害が発生した、S4:製品情報が必要である)。状況を入力すると、その状況を解決するための推奨手段が検索されます。これらの推奨手段で問題を解決できない場合は、シスコのエンジニアが対応します。TAC Service Request Tool には、次の URL からアクセスできます。

http://www.cisco.com/techsupport/servicerequest

S1 または S2 のサービス リクエストの場合、またはインターネットにアクセスできない場合は、Cisco TAC に電話でお問い合せください(S1:ネットワークがダウンした、S2:ネットワークの機能が著しく低下した)。S1 および S2 のサービス リクエストには、シスコのエンジニアがすぐに割り当てられ、業務を円滑に継続できるようサポートします。

Cisco TAC の連絡先については、次の URL を参照してください。

http://www.cisco.com/techsupport/contacts

サービス リクエストのシビラティの定義

シスコでは、報告されるサービス リクエストを標準化するために、シビラティを定義しています。

シビラティ 1(S1):既存のネットワークがダウンした状態か、業務に致命的な損害が発生した場合。お客様およびシスコが、24 時間体制でこの問題を解決する必要があると判断した場合。

シビラティ 2(S2):既存のネットワーク動作が著しく低下したか、シスコ製品が十分に機能しないため、業務に重大な影響を及ぼした場合。お客様およびシスコが、通常の業務中の全時間を費やして、この問題を解決する必要があると判断した場合。

シビラティ 3(S3):ネットワークの動作パフォーマンスが低下しているが、ほとんどの業務運用は継続できる場合。お客様およびシスコが、業務時間中にサービスを十分なレベルにまで復旧させる必要があると判断した場合。

シビラティ 4(S4):シスコ製品の機能、インストレーション、コンフィギュレーションについて、情報または支援が必要な場合。業務の運用には、ほとんど影響がありません。

その他の資料および情報の入手

シスコの製品、テクノロジー、およびネットワーク ソリューションに関する情報について、さまざまな資料をオンラインおよび印刷物で入手できます。

Cisco Product Quick Reference Guide 』は手軽でコンパクトな参照ツールです。チャネル パートナー経由で販売される多くのシスコ製品に関する簡単な製品概要、主要な機能、サンプル部品番号、および簡単な技術仕様を記載しています。年 2 回の更新の際には、シスコの最新情報が収録されます。『 Cisco Product Quick Reference Guide 』の注文方法および詳細については、次の URL にアクセスしてください。

http://www.cisco.com/go/guide

Cisco Marketplace では、シスコの書籍やリファレンス ガイド、マニュアル、ロゴ製品を数多く提供しています。購入を希望される場合は、次の URL にアクセスしてください。

http://www.cisco.com/go/marketplace/

Cisco Press では、ネットワーク全般、トレーニング、および認定資格に関する出版物を幅広く発行しています。これらの出版物は、初級者にも上級者にも役立ちます。Cisco Press の最新の出版情報などについては、次の URL からアクセスしてください。

http://www.ciscopress.com

Packet 』はシスコシステムズが発行する技術者向けの雑誌で、インターネットやネットワークへの投資を最大限に活用するために役立ちます。本誌は季刊誌として発行され、業界の最先端トレンド、最新テクノロジー、シスコ製品やソリューション情報が記載されています。また、ネットワーク構成およびトラブルシューティングに関するヒント、コンフィギュレーション例、カスタマー ケース スタディ、認定情報とトレーニング情報、および充実したオンライン サービスへのリンクの内容が含まれます。『 Packet 』には、次の URL からアクセスしてください。

http://www.cisco.com/packet

日本語版『 Packet 』は、米国版『 Packet 』と日本版のオリジナル記事で構成されています。日本語版『 Packet 』には、次の URL からアクセスしてください。

http://www.cisco.com/japanese/warp/public/3/jp/news/packet/

iQ Magazine 』はシスコシステムズの季刊誌で、成長企業が収益を上げ、業務を効率化し、サービスを拡大するためには技術をどのように利用したらよいかを学べるように構成されています。本誌では、実例とビジネス戦略を挙げて、成長企業が直面する問題とそれを解決するための技術を紹介し、読者が技術への投資に関して適切な決定を下せるよう配慮しています。『 iQ Magazine 』には、次の URL からアクセスしてください。

http://www.cisco.com/go/iqmagazine

デジタル版には、次の URL からアクセスできます。

http://ciscoiq.texterity.com/ciscoiq/sample/

Internet Protocol Journal 』は、インターネットおよびイントラネットの設計、開発、運用を担当するエンジニア向けに、シスコが発行する季刊誌です。『 Internet Protocol Journal 』には、次の URL からアクセスしてください。

http://www.cisco.com/ipj

シスコシステムズが提供するネットワーキング製品、および各種のカスタマー サポート サービスは、次の URL から入手できます。

http://www.cisco.com/en/US/products/index.html

Networking Professionals Connection は対話形式の Web サイトです。このサイトでは、ネットワーキング製品やテクノロジーに関する質問、提案、および情報をネットワーキング担当者がシスコの専門家や他のネットワーキング担当者と共有できます。次の URL にアクセスしてディスカッションに参加してください。

http://www.cisco.com/discuss/networking

シスコは、国際的なレベルのネットワーク関連トレーニングを実施しています。最新情報については、次の URL からアクセスしてください。

http://www.cisco.com/en/US/learning/index.html

定義

AES:Advanced Encryption Standard(高度暗号規格)

CMVP:Cryptographic Module Validation Program

CSP:Critical Security Parameter(クリティカル セキュリティ パラメータ)

DES:Data Encryption Standard(データ暗号規格)

DSA:Digital Signature Algorithm(デジタル署名アルゴリズム)

FIPS:Federal Information Processing Standard(連邦情報処理標準)

HMAC:Hashed Message Authentication Code

HTTP:Hyper Text Transfer Protocol(ハイパーテキスト転送プロトコル)

IKE:Internet Key Exchange(インターネット キー エクスチェンジ)

KAT:Known Answer Test

LED:Light Emitting Diode(発光ダイオード)

MAC:Message Authentication Code(メッセージ認証コード)

NIST:National Institute of Standards and Technology(国立標準技術研究所)

NVLAP:National Voluntary Laboratory Accreditation Program

NVRAM:Non-volatile Random Access Memory(不揮発性 RAM)

PRNG:Pseudo-Random Number Generator(疑似乱数発生器)

RAM:Random Access Memory(ランダムアクセス メモリ)

RSA:非対称暗号化のための Rivest、Shamir、Adleman 方式

サービス カード:追加のインターフェイス、機能の高速化、または追加のサービスを提供できるサービス カード。サービス カードは PIX セキュリティ アプライアンスの回路基板フォーム ファクタをとります。

SHA:Secure Hash Algorithm

SSL:Secure Sockets Layer

TLS:Transport Layer Security