セキュリティ コンフィギュレーション ガイド、Cisco IOS XE リリース 3E(Cisco WLC 5700 シリーズ)
FIPS および CC の設定
FIPS および CC の設定

FIPS および CC の設定

FIPS の概要

連邦情報処理標準(FIPS)140-2 は、暗号化モジュールの検証に使用されるセキュリティ規格です。 暗号化モジュールは、民間部門によって作成され、米国の 政府機関およびその他の規制産業(金融機関や医療機関など)が取扱注意ではあるが機密ではない(SBU)情報を収集、保存、転送、共有および配布するために使用されます。

FIPS 140-2 では、暗号モジュールがハードウェア、ソフトウェア、ファームウェア、または何らかの組み合わせのセットで、暗号機能またはプロセスを実装し、暗号アルゴリズムおよび任意のキー生成機能を含み、明確に定義された暗号境界の内部に位置しなければならないと定義しています。 FIPS は特定の暗号アルゴリズムがセキュアであることを条件とするほか、ある暗号モジュールが FIPS 準拠であると称する場合は、どのアルゴリズムを使用すべきかも指定しています。 FIPS の詳細については、http:/​/​csrc.nist.gov/​ を参照してください。

ロールおよびサービスについて

  • AP ロール:コントローラ(MFP、802.11i、iGTK)に関連付けられたアクセス ポイントのロール。

  • クライアント ロール:コントローラに関連付けられたワイヤレス クライアントのロール。

  • ユーザ ロール:読み取り専用権限を持つ管理ユーザ。

  • Crypto Officer(CO)ロール:読み取りおよび書き込み権限を持つ管理ユーザで、暗号の初期化や管理操作を実行できる者。


(注)  


FIPS 140-2 で定義されているセキュリティ強化のレベルは 4 つあります。

Cisco ワイヤレス LAN コントローラ 5700 シリーズの認定済みセキュリティ レベルは FIPS レベル 1 です。


FIPS のセルフテスト

暗号モジュールは、適正に動作していることを確認するために、電源投入時のセルフテストと条件付きセルフテストを実行しなければなりません。

電源投入時セルフテストは、デバイスの電源が投入された後に自動的に実行されます。 デバイスが FIPS モードになるのは、すべてのセルフテストが正常に完了した後だけです。 いずれかのセルフテストが失敗すると、デバイスはシステム メッセージをログに記録し、エラー状態に移行します。

既知解テスト(KAT)を利用すると、暗号アルゴリズムは正しい出力があらかじめわかってるデータに対して実行され、その計算出力は前回生成された出力と比較されます。 計算出力が既知解と等しくない場合は、既知解テストに失敗したことになります。

電源投入時セルフテストでは次を含むテストが行われます。
  • ソフトウェアの整合性

  • アルゴリズム テスト

何かに対応してセキュリティ機能または操作が始動された場合は、条件付きセルフテストが実行されなければなりません。 電源投入時セルフテストとは異なって、条件付きセルフテストはそれぞれに関連する機能がアクセスされるたびに実行されます。

デバイスは、既知解テスト(KAT)という暗号化アルゴリズムを使用して、デバイス上に実装されている FIPS 140-2 で承認された暗号機能(暗号化、復号化、認証、および乱数生成)ごとに FIPS モードをテストします。 デバイスは、このアルゴリズムを、すでに正しい出力がわかっているデータに対して適用します。 次に、計算された出力を、以前に生成された出力と比較します。 計算された出力が既知解に等しくない場合は、KAT が失敗します。

適用可能なセキュリティ機能または操作が呼び出された場合は、条件付きセルフテストが自動的に実行されます。 電源投入時セルフテストとは異なって、条件付きセルフテストはそれぞれに関連する機能がアクセスされるたびに実行されます。

条件付きセルフテストでは次を含むテストが行われます。
  • ペア整合性テスト:このテストは公開キー/秘密キー ペアが生成されたときに実行されます。

  • 乱数連続生成テスト:このテストは乱数が生成されたときに実行されます。

  • Bypass

  • ソフトウェア ロード

CC について

Common Criteria(CC)は、開発者が要求するセキュリティ機能を製品が備えているかを確認するテスト基準です。 CC 評価は、作成された保護プロファイル(PP)またはセキュリティ ターゲット(ST)に対するものです。

FIPS 140-2 の 4 つのセキュリティ レベルは、特定の CC EAL または CC 機能要件に直接マッピングされません。 CC の詳細については、Common Criterial Portal および CC 評価と検証方法を参照してください。

CC の動作モードにコントローラを設定するには、Common Criterial Portal Web サイトの「認証済み製品」ページで公開されている『Admin Guidance Document』を参照してください。

コントローラ用の CC を提供すると、コントローラのシリーズ名が Common Criterial Portal に表示されます。 コントローラに使用可能なドキュメントのリストを表示するには、[Security Documents] タブをクリックします。

FIPS および CC の設定に関する制約事項

  • 認証キーは、スタック内のすべてのコントローラで同じにする必要があります。

  • 認証キーは、32-16 進文字にする必要があります。

  • 各コントローラは、スタンドアロン モードで FIPS 承認キーごとに個別に設定する必要があります。 その後、すべてのコントローラをスタックし、同時に電源投入します。

FIPS の設定(CLI)

FIPS の設定後、新しいセキュリティ パラメータを再起動するには、コントローラをリブートする必要があります。

手順の概要

    1.    configure terminal

    2.    fips authorization-key key

    3.    fips log-dtls-replay

    4.    show fips authorization-key

    5.    show fips status

    6.    end


手順の詳細
     コマンドまたはアクション目的
    ステップ 1 configure terminal


    例:
    ControllerDevice# configure terminal
     

    グローバル コンフィギュレーション モードを開始します。

     
    ステップ 2 fips authorization-key key


    例:
    ControllerDevice(config)# fips authorization-key 123456789012345678901234567890
     

    FIPS の認証キーを設定します。

    (注)     

    キーは、スタックのメンバ間のトラフィックを暗号化するためにも使用されます。 スタックを作成する前に常にキーを設定する必要があります(各物理メンバがキーを持つように)。 また、スタック トラフィックは暗号化により速度が落ちます(約 30% 低下)。

     
    ステップ 3 fips log-dtls-replay


    例:
    ControllerDevice(config)# fips log-dtls-replay
     

    DTLS パケットのリプレイ アタックに関連するイベントのログを生成します。

     
    ステップ 4 show fips authorization-key


    例:
    ControllerDevice# show fips authorization-key
     

    FIPS の認証キーを表示します。

     
    ステップ 5 show fips status


    例:
    ControllerDevice# show fips status
     

    FIPS モードのステータスを表示します。

     
    ステップ 6end


    例:
    ControllerDevice(config)# end
     

    特権 EXEC モードに戻ります。 また、Ctrl+Z キーを押しても、グローバル コンフィギュレーション モードを終了できます。

     

    モビリティ ドメインのコントローラでの FIPS レベルの暗号化のイネーブル化

    手順の概要

      1.    configure terminal

      2.    wireless mobility dtls secure-cipher { AES256_SHA1 | AES256_SHA2 }

      3.    end

      4.    configure terminal

      5.    ap dtls secure-cipher { AES256_SHA1 | AES256_SHA2 }

      6.    end


    手順の詳細
       コマンドまたはアクション目的
      ステップ 1 configure terminal


      例:
      ControllerDevice# configure terminal
       

      グローバル コンフィギュレーション モードを開始します。

       
      ステップ 2wireless mobility dtls secure-cipher { AES256_SHA1 | AES256_SHA2 }


      例:
      ControllerDevice(config)# wireless mobility dtls secure-cipher AES256_SHA2
      Enabling secure-cipher AES256_SHA2 will reset all Mobility connections
      Are you sure you want to continue? (y/n)[y]: y
      ControllerDevice(config)#
      
       

      暗号モビリティ制御トラフィックとして AES256 SHA1 または AES256 SHA2 を設定します。

       
      ステップ 3end


      例:
      ControllerDevice(config)# end
       

      特権 EXEC モードに戻ります。 また、Ctrl+Z キーを押しても、グローバル コンフィギュレーション モードを終了できます。

       
      ステップ 4 configure terminal


      例:
      ControllerDevice# configure terminal
       

      グローバル コンフィギュレーション モードを開始します。

       
      ステップ 5ap dtls secure-cipher { AES256_SHA1 | AES256_SHA2 }


      例:
      ControllerDevice(config)# ap dtls secure-cipher AES256_SHA1
      Enabling secure-cipher AES256_SHA1 will reset all AP CAPWAP DTLS connections
      Are you sure you want to continue? (y/n)[y]: y
      ControllerDevice(config)#
      
       

      CAPWAP 制御トンネルの暗号として AES256 SHA1 または AES256 SHA2 を設定します。

       
      ステップ 6end


      例:
      ControllerDevice(config)# end
       

      特権 EXEC モードに戻ります。 また、Ctrl+Z キーを押しても、グローバル コンフィギュレーション モードを終了できます。

       

      ゼロ化と関連アクセスControllerDeviceポイント

      ゼロ化により、コントローラまたは AP から FIPS 認証キーが削除されます。 これは極端な場合において実行され、キーの削除の過程で、コンフィギュレーション ファイルと IOS イメージもコントローラまたは AP から削除されます。

      コントローラまたは AP を出荷時のデフォルト設定に戻す必要があります。


      注意    


      ゼロ化を実行した後はコントローラまたは AP が使用できなくなるので、コントローラまたは AP をゼロ化する場合は慎重になる必要があります。


      手順の概要

        1.    configure terminal

        2.    fips zeroize

        3.    end

        4.    ap name ap-name fips key-zeroize

        5.    end


      手順の詳細
         コマンドまたはアクション目的
        ステップ 1 configure terminal


        例:
        ControllerDevice# configure terminal
         

        グローバル コンフィギュレーション モードを開始します。

         
        ステップ 2 fips zeroize


        例:
        ControllerDevice(config)# fips zeroize
        **Critical Warning** - This command is irreversible 
        and will zeroize the FVPK by Deleting the IOS
        image and config files, please use extreme
        caution and confirm with Yes on each of three
        iterations to complete. The system will reboot
        after the command executes successfully
         Proceed ?? (yes/[no]): no
        %Aborting zeroization!
        
        
         

        コントローラをゼロ化するように指定します。 このコマンドを使用するとコントローラが使用できなくなります。

         
        ステップ 3end


        例:
        ControllerDevice(config)# end
         

        特権 EXEC モードに戻ります。 また、Ctrl+Z キーを押しても、グローバル コンフィギュレーション モードを終了できます。

         
        ステップ 4 ap name ap-name fips key-zeroize


        例:
        ControllerDevice# ap name AP78da.6e59.a340 fips key-zeroize
         

        指定した AP をゼロ化するように指定します。 このコマンドを使用すると AP が使用できなくなります。

         
        ステップ 5end


        例:
        ControllerDevice(config)# end
         

        特権 EXEC モードに戻ります。 また、Ctrl+Z キーを押しても、グローバル コンフィギュレーション モードを終了できます。

         

        CC の設定(CLI)

        手順の概要

          1.    configure terminal

          2.    wireless wlancc

          3.    end


        手順の詳細
           コマンドまたはアクション目的
          ステップ 1 configure terminal


          例:
          ControllerDevice# configure terminal
           

          グローバル コンフィギュレーション モードを開始します。

           
          ステップ 2 wireless wlancc


          例:
          ControllerDevice(config)# wireless wlancc
           

          すべてのアクセス ポイントのコンソール書き込みアクセスをディセーブルにします。 このプロセス後にcontrollerをリブートする必要はありません。

           
          ステップ 3end


          例:
          ControllerDevice(config)# end
           

          特権 EXEC モードに戻ります。 また、Ctrl+Z キーを押しても、グローバル コンフィギュレーション モードを終了できます。

           

          FIPS および CC のモニタリング(CLI)

          ここでは、FIPS および CC の新しいコマンドについて説明します。

          次のコマンドを使用して、controller上で FIPS および CC を監視できます。

          表 1 FIPS および CC のモニタリング

          コマンド

          目的

          show fips authorization-key

          FIPS の認証キーを表示します。

          show fips status

          FIPS モードのステータスを表示します。

          例:FIPS および CC の設定

          次に、コントローラで FIPS の認証キーを設定する例を示します。
          ControllerDevice# configure terminal
          ControllerDevice(config)# fips authorization-key 12345678901234567890123456789012
          A valid FIPS key is installed, do you want to overwrite? ? (yes/[no]): yes
          FIPS key successfully set.
          FIPS and FIPS Stacking will run under fips 
          mode after the reload. Make sure you set the
          same fips key on all the members of the stack.
          ControllerDevice(config)# end
          
          ControllerDevice# show fips authorization-key
          FIPS: Stored key (16) : 12345678901234567890123456789012
          ControllerDevice# show fips status
          Switch and Stacking are running in fips mode
          
          次に、すべてのアクセス ポイントのコンソールへの書き込みアクセスをディセーブルにする例を示します。
          ControllerDevice# configure terminal
          ControllerDevice(config)# wireless wlancc
          ControllerDevice(config)# end
          

          FIPS および CC の設定に関する追加情報

          関連資料

          関連項目 マニュアル タイトル
          セキュリティ コマンド

          セキュリティ コマンド リファレンス ガイド、Cisco IOS XE リリース 3E(Cisco WLC 5700 シリーズ)

          標準および RFC

          標準/RFC Title
          なし

          MIB

          MIB MIB のリンク
          本リリースでサポートするすべての MIB

          選択したプラットフォーム、Cisco IOS リリース、およびフィーチャ セットに関する MIB を探してダウンロードするには、次の URL にある Cisco MIB Locator を使用します。

          http:/​/​www.cisco.com/​go/​mibs

          テクニカル サポート

          説明 Link

          シスコのサポート Web サイトでは、シスコの製品やテクノロジーに関するトラブルシューティングにお役立ていただけるように、マニュアルやツールをはじめとする豊富なオンライン リソースを提供しています。

          お使いの製品のセキュリティ情報や技術情報を入手するために、Cisco Notification Service(Field Notice からアクセス)、Cisco Technical Services Newsletter、Really Simple Syndication(RSS)フィードなどの各種サービスに加入できます。

          シスコのサポート Web サイトのツールにアクセスする際は、Cisco.com のユーザ ID およびパスワードが必要です。

          http:/​/​www.cisco.com/​support

          FIPS および CC の設定の実行に関する機能履歴

          リリース 機能情報

          Cisco IOS XE 3E

          この機能が導入されました。