FIPS 140-2 では、暗号モジュールがハードウェア、ソフトウェア、ファームウェア、または何らかの組み合わせのセットで、暗号機能またはプロセスを実装し、暗号アルゴリズムおよび任意のキー生成機能を含み、明確に定義された暗号境界の内部に位置しなければならないと定義しています。FIPS
は特定の暗号アルゴリズムがセキュアであることを条件とするほか、ある暗号モジュールが FIPS 準拠であると称する場合は、どのアルゴリズムを使用すべきかも指定しています。FIPS の詳細については、http://csrc.nist.gov/ を参照してください。
ロールおよびサービスについて
AP ロール:コントローラ(MFP、802.11i、iGTK)に関連付けられたアクセス ポイントのロール。
デバイスは、既知解テスト(KAT)という暗号化アルゴリズムを使用して、デバイス上に実装されている FIPS 140-2 で承認された暗号機能(暗号化、復号化、認証、および乱数生成)ごとに FIPS モードをテストします。デバイスは、このアルゴリズムを、すでに正しい出力がわかっているデータに対して適用します。次に、計算された出力を、以前に生成された出力と比較します。計算された出力が既知解に等しくない場合は、KAT
が失敗します。
DoD のお客様は、認定済みの統合機能関連設備(ハードウェアとソフトウェアの両方)しか購入できません。認定済みの設備は DoD UC APL に掲載されます。UC APL 認定は、システムが DISA Field Security Office(FSO)Security
Technical Implementation Guides(STIG)に準拠し、それに基づいて設定されていることを確認します。
802.3x Flow Control Mode......................... Disable
FIPS prerequisite features....................... Enabled
WLANCC prerequisite features..................... Enabled
UCAPL prerequisite features...................... Disabled
secret obfuscation............................... Enabled
CC の設定(CLI)
始める前に
FIPS をコントローラで有効にする必要があります。
手順
ステップ 1
次のコマンドを入力して、コントローラで FIPS を設定します。
config switchconfig wlancc { enable | disable }
ステップ 2
次のコマンドを入力して、FIPS の設定を表示します。
show switchconfig 以下に類似した情報が表示されます。
802.3x Flow Control Mode......................... Disable
FIPS prerequisite features....................... Enabled
WLANCC prerequisite features..................... Enabled
UCAPL prerequisite features...................... Disabled
secret obfuscation............................... Enabled
UCAPL の設定(CLI)
始める前に
FIPS および WLAN CC をコントローラ上で有効にする必要があります。
手順
ステップ 1
コントローラで UCAPL を設定するには、次のコマンドを入力します。
config switchconfig ucapl { enable | disable }
ステップ 2
次のコマンドを入力して、FIPS の設定を表示します。
show switchconfig 以下に類似した情報が表示されます。
802.3x Flow Control Mode......................... Disable
FIPS prerequisite features....................... Enabled
WLANCC prerequisite features..................... Enabled
UCAPL prerequisite features...................... Enabled
secret obfuscation............................... Enabled
Cisco Prime Infrastructure での管理用 Cisco WLC の FIPS モードでの準備(CLI)
これは、既存の FIPS 機能に対する更新です。この更新により、Cisco WLC が FIPS モードになっている場合、または Cisco Prime Infrastructure(PI)が SNMP の管理、SNMP トラップ ロガーのために使用されている、および
IPsec が有効な syslog サーバとして使用されている場合、Cisco WLC IP アドレスを PI の設定に追加する前に、Cisco PI IP アドレスを Cisco WLC に追加する必要があります。
ローカル スイッチング:ローカルでスイッチングされたトラフィックを送信するために、Cisco AP は、Cisco AP と関連付けられていて、クライアントから送信されたパケットに対してインライン タギングを実行します。トラフィックを受信するために、Cisco
AP はローカルでスイッチングされたパケットと中央でスイッチングされたパケットの両方を処理し、パケット用の S-SGT タグを使用して、SGACL ポリシーを適用します。
ポリシーの適用は、AP の中央およびローカルの両方でスイッチド トラフィックに適用できます。有線クライアントがワイヤレス クライアントと通信する場合、Cisco AP はダウンストリーム トラフィックを適用します。ワイヤレス クライアントが有線クライアントと通信する場合、Cisco
AP はアップストリーム トラフィックを適用します。Cisco AP はこの方法で、ダウンストリームとワイヤレス間トラフィックの両方でトラフィックを適用します。適用が機能するためには、S-SGT、D-SGT、および ACL が必要です。Cisco
AP は、Cisco ISE サーバで利用可能な情報からすべてのワイヤレス クライアントの SGT 情報を取得します。
(注)
トラフィックを適用するためには、Cisco AP はリスナーまたは両方(リスナーとスピーカー)のモードである必要があります。リスナー モードでは IP-SGT バインドの完全なセットが保持されます。Cisco AP で適用を有効すると、対応するポリシーがダウンロードされて、Cisco
AP にプッシュされます。
次のコマンドを入力して、コントローラが接続するネクストホップ スイッチの IP アドレスを設定します。
config cts sxp connection peer ip-address
次のコマンドを入力して、接続を試みる間隔を設定します。
config cts sxp retry period time-in-seconds
次のコマンドを入力して、SXP 接続を削除します。
config cts sxp connection delete ip-address
次のコマンドを入力して、SXP の設定の概要を確認します。
show cts sxp summary
次に、このコマンドの出力例を示します。
SXP State........................................ Enable
SXP Mode......................................... Speaker
Default Password................................. ****
Default Source IP................................ 209.165.200.224
Connection retry open period .................... 120
次のコマンドを入力して、設定された SXP 接続のリストを参照します。
show cts sxp connections
次に、このコマンドの出力例を示します。
Total num of SXP Connections..................... 1
SXP State........................................ Enable
Peer IP Source IP Connection Status
--------------- --------------- -----------------
209.165.200.229 209.165.200.224 On