- はじめに
-
- 概要
- 使用する前に
- ライセンスの管理
- 802.11 帯域の設定
- 802.11 パラメータの設定
- DHCP プロキシの設定
- [DHCP Link Select] および [VPN Select] の設定
- SNMP の設定
- アグレッシブ ロード バランシングの設定
- 高速 SSID 変更の設定
- 802.3 ブリッジの設定
- マルチキャストの設定
- クライアント ローミングの設定
- IP-MAC アドレス バインディングの設定
- Quality of Service の設定
- Application Visibility and Control の設定
- メディアおよび EDCA パラメータの設定
- Cisco Discovery Protocol の設定
- コントローラと NTP サーバの認証の設定
- RFID タグ追跡の設定
- コントローラのデフォルト設定へのリセット
- コントローラ ソフトウェアと設定の管理
- ユーザ アカウントの管理
- Web 認証の管理
- 有線ゲスト アクセスの設定
- Ethernet over GRE トンネル
- トラブルシューティング
-
- Cisco Unified Wireless Network Solution セキュリティ
- RADIUS の設定
- TACACS+ の設定
- FIPS 設定、 CC、 UCAPL
- 最大ローカル データベース エントリの設定
- コントローラでのローカル ネットワーク ユーザの設定
- パスワード ポリシーの設定
- LDAP の設定
- ローカル EAP の設定
- SpectraLink 社の NetLink 電話用システムの設定
- RADIUS NAC サポートの設定
- 設定の RADIUS VSA およびレルム
- 無線による管理機能の使用
- 動的インターフェイスによる管理機能
- DHCP オプション 82 の設定
- アクセス コントロール リストの設定と適用
- 管理フレーム保護の設定
- クライアント除外ポリシーの設定
- Identity ネットワーキングの設定
- AAA Override の設定
- 不正なデバイスの管理
- 不正なアクセス ポイントの分類
- Cisco TrustSec SXP の設定
- ローカル ポリシーの設定
- Cisco Intrusion Detection System の設定
- IDS シグニチャの設定
- wIPS の設定
- Wi-Fi Direct クライアント ポリシーの設定
- Web 認証プロキシの設定
- 意図的な悪用の検出
-
- WLAN の設定
- WLAN ごとのクライアント カウントの設定
- DHCP の設定
- DHCP スコープの設定
- WLAN の MAC フィルタリングの設定
- ローカル MAC フィルタの設定
- タイムアウトの設定
- DTIM period の設定
- ピアツーピア ブロッキングの設定
- レイヤ 2 セキュリティの設定
- Static WEP と Dynamic WEP の両方をサポートする WLAN の設定
- Sticky Key Caching の設定
- CKIP の設定
- レイヤ 3 セキュリティの設定
- キャプティブ バイパスの設定
- MAC フィルタリングおよび Web 認証を伴うフォールバック ポリシーの設定
- QoS プロファイルの割り当て
- QoS Enhanced BSS の設定
- メディア セッション スヌーピングおよびレポートの設定
- Key Telephone System-Based CAC の設定
- ローミングしている音声クライアントのリアンカーの設定
- シームレスな IPv6 モビリティの設定
- Cisco Client Extensions の設定
- リモート LAN の設定
- AP グループの設定
- RF プロファイルの設定
- 8021.X 認証を使用した Web リダイレクトの設定
- NAC アウトオブバンド統合の設定
- パッシブ クライアントの設定
- クライアント プロファイルの設定
- WLAN ごとの RADIUS 送信元サポートの設定
- モバイル コンシェルジュの設定
- 経由ローミングの設定
- VLAN タギング 802.1Q-in-Q の設定
-
- アクセス ポイント通信プロトコルの使用
- CAPWAP の望ましいモード設定
- アクセス ポイントの検索
- アクセス ポイントのグローバル クレデンシャルの設定
- アクセス ポイントの認証の設定
- 組み込みアクセス ポイントの設定
- 自律アクセス ポイントの Lightweight モードへの変換
- パケット キャプチャの設定
- OfficeExtend アクセス ポイントの設定
- 設定の Cisco 700 シリーズ アクセス ポイント
- Cisco ワークグループ ブリッジの使用
- Cisco 以外のワークグループ ブリッジの使用
- バックアップ コントローラの設定
- アクセス ポイントのフェールオーバー プライオリティの設定
- AP の再送信間隔および再試行回数の設定
- Country Code の設定
- アクセス ポイントでの RFID トラッキングの最適化
- プローブ要求フォワーディングの設定
- コントローラとアクセス ポイント上の一意のデバイス ID の取得
- リンク テストの実行
- リンク遅延の設定
- TCP MSS の設定
- Power over Ethernet の設定
- クライアントの表示
- アクセス ポイントの LED 状態の設定
- デュアル バンド無線によるアクセス ポイントの設定
- UDP Lite の設定
- Cisco Hyperlocation
- Cisco Air Time Fairness
- Cisco Universal Small Cell 8x18 デュアルモード モジュール
- Index
FIPS 設定、 CC、 UCAPL
FIPS の概要
連邦情報処理標準(FIPS)140-2 は、暗号化モジュールの検証に使用されるセキュリティ規格です。暗号化モジュールは、米国政府機関およびその他の規制産業(金融機関や医療機関など)が取扱注意ではあるが機密ではない(SBU)情報の収集、保存、転送、共有、および配布に使用するために民間企業によって製造されます。
FIPS 140-2 では、暗号モジュールがハードウェア、ソフトウェア、ファームウェア、または何らかの組み合わせのセットで、暗号機能またはプロセスを実装し、暗号アルゴリズムおよび任意のキー生成機能を含み、明確に定義された暗号境界の内部に位置しなければならないと定義しています。FIPS は特定の暗号アルゴリズムがセキュアであることを条件とするほか、ある暗号モジュールが FIPS 準拠であると称する場合は、どのアルゴリズムを使用すべきかも指定しています。FIPS の詳細については、http://csrc.nist.gov/ を参照してください。
ロールおよびサービスについて
 (注) | FIPS 140-2 で定義されているセキュリティ強化のレベルは 4 つあります。 |
FIPS のセルフテスト
暗号モジュールは、適正に動作していることを確認するために、電源投入時のセルフテストと条件付きセルフテストを実行しなければなりません。
電源投入時セルフテストは、デバイスの電源が投入された後に自動的に実行されます。デバイスが FIPS モードになるのは、すべてのセルフテストが正常に完了した後だけです。いずれかのセルフテストが失敗すると、デバイスはシステム メッセージをログに記録し、エラー状態に移行します。
既知解テスト(KAT)を利用すると、暗号アルゴリズムは正しい出力があらかじめわかってるデータに対して実行され、その計算出力は前回生成された出力と比較されます。計算出力が既知解と等しくない場合は、既知解テストに失敗したことになります。
何かに対応してセキュリティ機能または操作が始動された場合は、条件付きセルフテストが実行されなければなりません。電源投入時セルフテストとは異なって、条件付きセルフテストはそれぞれに関連する機能がアクセスされるたびに実行されます。
デバイスは、既知解テスト(KAT)という暗号化アルゴリズムを使用して、デバイス上に実装されている FIPS 140-2 で承認された暗号機能(暗号化、復号化、認証、および乱数生成)ごとに FIPS モードをテストします。デバイスは、このアルゴリズムを、すでに正しい出力がわかっているデータに対して適用します。次に、計算された出力を、以前に生成された出力と比較します。計算された出力が既知解に等しくない場合は、KAT が失敗します。
適用可能なセキュリティ機能または操作が呼び出された場合は、条件付きセルフテストが自動的に実行されます。電源投入時セルフテストとは異なって、条件付きセルフテストはそれぞれに関連する機能がアクセスされるたびに実行されます。
CC について
Common Criteria(CC)は、開発者が要求するセキュリティ機能を製品が備えているかを確認するテスト基準です。CC 評価は、作成された保護プロファイル(PP)またはセキュリティ ターゲット(ST)に対するものです。
FIPS 140-2 の 4 つのセキュリティ レベルは、特定の CC EAL または CC 機能要件に直接マッピングされません。CC の詳細については、Common Criterial Portal および CC 評価と検証方法を参照してください。
コントローラを CC 動作モードに設定するには、Common Criterial Portal Web サイトの「認証済み製品」ページで公開されている『Admin Guidance Document』を参照してください。
コントローラ用の CC を提供すると、コントローラのシリーズ名が Common Criterial Portal に表示されます。コントローラに使用可能なドキュメントのリストを表示するには、[Security Documents] タブをクリックします。
UCAPL について
米国国防総省(DoD)統合機能認定製品リスト(APL)の認定プロセスは、国防情報システム局(DISA)Unified Capabilities Certification Office(UCCO)の管轄です。認定は、相互運用性テスト コマンド(JITC)を含む承認された分散テスト センターで行われます。
DoD のお客様は、認定済みの統合機能関連設備(ハードウェアとソフトウェアの両方)しか購入できません。認定済みの設備は DoD UC APL に掲載されます。UC APL 認定は、システムが DISA Field Security Office(FSO)Security Technical Implementation Guides(STIG)に準拠し、それに基づいて設定されていることを確認します。
UC APL プロセスの詳細については、国防情報システム局のページを参照してください。
FIPS の設定(CLI)
CC の設定(CLI)
FIPS をコントローラで有効にする必要があります。
UCAPL の設定(CLI)
FIPS および WLAN CC をコントローラ上で有効にする必要があります。
フィードバック