FIPS の設定
FIPS の設定

FIPS の設定

この章では、Cisco NX-OS デバイスで連邦情報処理標準(FIPS)モードを設定する方法について説明します。

この章は、次の項で構成されています。

FIPS の概要

FIPS 140-2 出版物である『暗号モジュールのセキュリティ要件』は、 暗号モジュールに関する米国政府の要件について詳しく述べています。 FIPS 140-2 では、暗号モジュールがハードウェア、ソフトウェア、ファームウェア、または何らかの組み合わせのセットで、暗号機能またはプロセスを実装し、暗号化アルゴリズムおよび任意のキー生成機能を含み、明確に定義された暗号境界の内部に位置しなければならないと定義しています。

FIPS は特定の暗号化アルゴリズムがセキュアであることを条件とするほか、ある暗号モジュールが FIPS 準拠であると称する場合は、どのアルゴリズムを使用すべきかを指定しています。

FIPS のセルフテスト

暗号モジュールは、自身の正常な動作を保証するために、電源投入時セルフテストと条件付きセルフテストを実行する必要があります。

電源投入時セルフテストは、デバイスの電源が投入された後に自動的に実行されます。 デバイスが FIPS モードになるのは、すべてのセルフテストが正常に完了した後だけです。 いずれかのセルフテストが失敗すると、デバイスはシステム メッセージをログに記録し、エラー状態に移行します。

デバイスは、既知解テスト(KAT)という暗号化アルゴリズムを使用して、デバイス上に実装されている FIPS 140-2 で承認された暗号機能(暗号化、復号化、認証、および乱数生成)ごとに FIPS モードをテストします。 デバイスは、このアルゴリズムを、すでに正しい出力がわかっているデータに対して適用します。 次に、計算された出力を、以前に生成された出力と比較します。 計算された出力が既知解に等しくない場合は、KAT が失敗します。

適用可能なセキュリティ機能または操作が呼び出された場合は、条件付きセルフテストが自動的に実行されます。 電源投入時セルフテストとは異なって、条件付きセルフテストはそれぞれに関連する機能がアクセスされるたびに実行されます。

条件付きセルフテストでは次を含むテストが行われます。

ペアワイズ一貫性テスト

このテストは、公開キーまたは秘密キーのペアが生成されたときに実行されます。

連続乱数ジェネレータ テスト

このテストは、乱数が生成されたときに実行されます。

また、Cisco TrustSec マネージャは、暗号化されたテキストが決してプレーン テキストとして送信されないようにするためにバイパス テストを実行します。

(注)  


CTS に対応したポート上でバイパス テストが失敗すると、それらの対応するポートのみがシャットダウンされます。 バイパス テストは、データ パスの輻輳によって発生したパケット ドロップのために失敗することがあります。 このような場合は、そのポートを再び立ち上げてみることを推奨します。


FIPS エラー状態

システムが FIPS モードで起動されると、スーパーバイザおよびラインカード モジュール上で FIPS 電源投入時セルフテストが実行されます。 これらの起動テストのいずれかが失敗すると、システム全体が FIPS エラー状態に移行されます。 この状態では、FIPS の要件に従って、すべての暗号キーが削除され、すべてのラインカードがシャットダウンされます。 このモードは、デバッグのみを目的にしています。

スイッチが FIPS エラー状態になった後、ラインカードをリロードすると常に、そのラインカードが障害状態に移行されます。 スイッチを FIPS モードに戻すには、再起動する必要があります。 ただし、スイッチが FIPS モードになった後、ラインカードのそれ以降のリロードまたは挿入で電源投入時セルフテストが失敗すると常に、そのラインカードにのみ影響を与え、対応するラインカードのみが障害状態に移行されます。

RADIUS キーラップ

RADIUS キーラップのサポートは RADIUS プロトコルの拡張機能です。 RADIUS メッセージを認証し、セッション キーを配布する Cisco Access Control Server(ACS)のための FIPS 認定機能が用意されています。

RADIUS キーラップでは、キーを転送するための Advanced Encryption Standard(AES)キーラップ アルゴリズムを使用して RADIUS プロトコルのセキュリティを向上させます。またパケットの完全性を保護するために HMAC-SHA1 アルゴリズムを使用しています。 ここでは、Key Encryption Key(KEK)とハッシュ キーは互いに異なる必要があり、パスワードに基づいてはならず、応答のオーセンティケータの計算で使用する RADIUS 共有秘密から暗号について無関係である必要があると指定されています。


(注)  


プロキシおよびメッセージのオーセンティケータは、RADIUS キーラップではサポートされていません。


FIPS モードをイネーブルにすると、RADIUS キーラップは自動的にイネーブルになります。 その結果、キーラップ属性が EAP 属性を含む RADIUS 要求に追加されますが、これは Protected Access Credential(PAC)のプロビジョニングのためではありません。 属性は Cisco ACS に送信され、ここで EAP-TLS セッション キーが IEEE 802.1X EAP オーセンティケータに配信されます。 セッション キーは AES を使用して暗号化され、RADIUS メッセージは HMAC-SHA-1 を使用して認証されます。


(注)  


Cisco ACS Release 5.2 では、RADIUS キーラップ機能をサポートしています。


関連情報

FIPS の仮想化サポート

FIPS モードの設定と、FIPS のセルフテストの実行は、デフォルトの仮想デバイス コンテキスト(VDC)でのみ行えます。 VDC の詳細については、『Cisco Nexus 7000 Series NX-OS Virtual Device Context Configuration Guide』を参照してください。

FIPS のライセンス要件

次の表に、FIPS のライセンス要件を示します。

製品

ライセンス要件

Cisco NX-OS

FIPS にはライセンスは必要ありません。 ライセンス パッケージに含まれていない機能はすべて Cisco NX-OS システム イメージにバンドルされており、追加費用は一切発生しません。 Cisco NX-OS ライセンス方式の詳細については、『Cisco NX-OS Licensing Guide』を参照してください。

FIPS の前提条件

FIPS には、次の前提条件があります。

  • Telnet をディセーブルにします。 ユーザのログインはセキュア シェル(SSH)だけで行ってください。

  • SNMP v1 および v2 をディセーブルにしてください。 SNMP v3 に対して設定された、デバイス上の既存ユーザ アカウントのいずれについても、認証およびプライバシー用 AES/3DES は SHA で設定されていなければなりません。

  • SSH サーバの RSA1 キー ペアすべてを削除してください。

  • Cisco TrustSec セキュリティ アソシエーション プロトコル(SAP)ネゴシエーション中に使用する HMAC-SHA1 メッセージ整合性チェック(MIC)をイネーブルにします。 そのためには、cts-manual または cts-dot1x モードで sap hash-algorithm HMAC-SHA-1 コマンドを入力します。 このコマンドは F1 シリーズまたは F2 シリーズ モジュールではサポートされていないことに注意してください。

FIPS の注意事項と制約事項

FIPS 設定時の注意事項と制約事項は次のとおりです。

  • RADIUS の keywrap 機能は、Cisco ACS Release 5.2 以降のリリースでのみ動作します。

  • SSH でサポートされているユーザ認証メカニズムは、ユーザ名とパスワード、公開キー、および X.509 証明書です。

  • パスワードは、最小 8 文字の英数字である必要があります。

  • F1 シリーズおよび F2 シリーズ モジュールでは、FIPS モードはサポートされません。 ただし、FIPS モードで動作している Cisco NX-OS デバイス内に F1 シリーズまたは F2 シリーズ モジュールを導入できます。

  • F1 シリーズおよび F2 シリーズ モジュールでは、cts-dot1x モードまたは cts-manual モードはサポートされません。
  • デジタル イメージ署名はスーパーバイザ 2 モジュールを含む Cisco Nexus 7000 シリーズ スイッチでサポートされます。

  • M2 シリーズ モジュールは FIPS モードをサポートしません。 ただし、FIPS モードで動作している Cisco NX-OS デバイス内に M2 シリーズ モジュールを導入できます。

FIPS のデフォルト設定

次の表に、FIPS パラメータのデフォルト設定を示します。



表 1  デフォルトの FIPS パラメータ

パラメータ(Parameters)

デフォルト

FIPS モード

ディセーブル

FIPS の設定

ここでは、Cisco NX-OS デバイスで FIPS モードを設定する方法について説明します。

FIPS モードのイネーブル

Cisco NX-OS Release 5.1 以降では、デバイスの FIPS モードをイネーブルにできます。

はじめる前に

デフォルト VDC にいることを確認します。

手順の概要

    1.    configure terminal

    2.    fips mode enable

    3.    exit

    4.    (任意) show fips status

    5.    copy running-config startup-config

    6.    reload


手順の詳細
     コマンドまたはアクション目的
    ステップ 1 configure terminal


    例:
    switch# configure terminal
    switch(config)#
    
     

    グローバル コンフィギュレーション モードを開始します。

     
    ステップ 2 fips mode enable


    例:
    switch(config)# fips mode enable
    
     

    FIPS モードをイネーブルにします。

     
    ステップ 3exit


    例:
    switch(config)# exit
    switch#
    
     

    設定モードを終了します。

     
    ステップ 4 show fips status


    例:
    switch# show fips status
    FIPS mode is enabled
    
     
    (任意)

    FIPS モードのステータスを表示します。

     
    ステップ 5 copy running-config startup-config


    例:
    switch# copy running-config startup-config
    
     

    実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

     
    ステップ 6 reload


    例:
    switch# reload
    
     
    Cisco NX-OS デバイスをリロードします。
    (注)     

    FIPS をイネーブルにすると、システムが FIPS モードで動作するためにリブートが必要です。

     

    FIPS モードのディセーブル化

    デバイスの FIPS モードをディセーブルにできます。

    はじめる前に

    デフォルト VDC にいることを確認します。

    手順の概要

      1.    configure terminal

      2.    no fips mode enable

      3.    exit

      4.    (任意) show fips status

      5.    copy running-config startup-config

      6.    reload


    手順の詳細
       コマンドまたはアクション目的
      ステップ 1 configure terminal


      例:
      switch# configure terminal
      switch(config)#
       

      グローバル コンフィギュレーション モードを開始します。

       
      ステップ 2 no fips mode enable


      例:
      switch(config)# no fips mode enable
       

      FIPS モードをディセーブルにします。

       
      ステップ 3 exit


      例:
      switch(config)# exit
      switch#
       

      設定モードを終了します。

       
      ステップ 4 show fips status


      例:
      switch# show fips status
      FIPS mode is disabled
      
       
      (任意)

      FIPS モードのステータスを表示します。

       
      ステップ 5 copy running-config startup-config


      例:
      switch# copy running-config startup-config
       

      実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

       
      ステップ 6 reload


      例:
      switch# reload
      
       

      Cisco NX-OS デバイスをリロードします。

       

      FIPS の設定の確認

      FIPS 設定情報を表示するには、次の作業のいずれかを行います。

      コマンド

      目的

      show fips status

      FIPS 機能のステータスを表示します。

      このコマンドの出力フィールドの詳細については、『Cisco Nexus 7000 Series NX-OS Security Command Reference』を参照してください。

      FIPS の設定例

      FIPS モードをイネーブルにする例を示します。

      config terminal
      fips mode enable
      show fips status
      exit
      copy running-config startup-config
      reload
      
      

      FIPS に関する追加情報

      ここでは、FIPS の実装に関する追加情報について説明します。

      関連資料

      関連項目

      マニュアル タイトル

      Cisco NX-OS のライセンス

      『Cisco NX-OS Licensing Guide』

      コマンド リファレンス

      『Cisco Nexus 7000 Series NX-OS Security Command Reference』

      VDC コンフィギュレーション

      『Cisco Nexus 7000 Series NX-OS Virtual Device Context Configuration Guide』

      Standards

      FIPS 機能の履歴

      次の表に、この機能のリリースの履歴を示します。



      表 2 FIPS 機能の履歴

      機能名

      リリース

      機能情報

      FIPS

      6.1(1)

      スーパーバイザ 2 モジュールを含むスイッチのデジタル イメージ署名に対するサポートが追加されました。

      FIPS

      6.1(1)

      M2 シリーズ モジュールに関する FIPS の注意事項が更新されました。

      FIPS

      6.0(1)

      F2 シリーズ モジュールに関する FIPS の注意事項が更新されました。

      FIPS

      5.1(1)

      この機能が導入されました。