FXOS 릴리스 2.0.1 이전에는, 디바이스의 초기 설정 중 생성된 SSH 호스트 키가 1024비트로 하드 코딩되었습니다. FIPS 및 Common Criteria 인증을 준수하려면 이러한 과거의 호스트 키를 삭제하고 새 호스트 키를 생성해야 합니다. 자세한 내용은 FIPS 모드 활성화 또는 Common Criteria 모드 활성화를 참조하십시오.

과거의 SSH 호스트 키를 삭제하고 인증을 준수하는 새 호스트 키를 생성하려면 다음 단계를 수행하십시오.

IPSec은 IETF(Internet Engineering Task Force)에서 개발한 개방형 표준 프레임워크입니다. IP 네트워크를 통해 안전하고 인증되고 믿을 수 있는 통신을 생성합니다. IPSec 보안 서비스는 다음을 제공합니다.

• Connectionless Integrity(연결없는 무결성) – 수신된 트래픽이 수정되지 않았다는 보장.

• 데이터 원본 인증 – 합법적인 당사자가 트래픽을 전송한다는 보장.

• Confidentiality (encryption)(기밀성(암호화)) – 인증되지 않은 당사자가 사용자의 트래픽을 검사하지 않음을 보장.

• 액세스 제어 – 리소스의 무단 사용 방지.

IPSec 보안 채널은 다음 알고리즘을 지원합니다.

• 1단계

  aes128gcm16-prfsha384-prfsha512-prfsha256-prfsha1-ecp256-ecp384-ecp521-modp2048-modp3072-modp4096
  aes128-aes192-aes256-sha256-sha384-sha1_160-sha1-sha512-prfsha384-prfsha512-prfsha256-prfsha1-ecp256-ecp384-ecp521
  aes128-aes192-aes256-sha256-sha384-sha1_160-sha1-sha512-prfsha384-prfsha512-prfsha256-prfsha1-modp2048-modp3072-modp4096

• 2단계

  • AES SHA 기반 암호화 알고리즘만 지원됩니다. (DES 및 MD5는 지원되지 않음)

  • 지원되는 DH 그룹은 14, 15, 16, 19, 20 및 21입니다.

참고	IPSec 연결은 FXOS에서만 시작할 수 있습니다. FXOS는 수신 IPSec 연결 요청을 수락하지 않습니다.

IPsec 터널은 FXOS가 피어 간에 설정하는 SA 집합입니다. SA는 프로토콜과 알고리즘을 지정하여 민감한 데이터에 지정하고 피어가 사용하는 키 요소도 지정합니다. IPsec SA는 사용자 트래픽의 실제 전송을 제어합니다. SA는 단방향이지만 일반적으로 쌍(인바운드 및 아웃바운드)으로 설정됩니다.

섀시 관리자의 IPSec에는 두 가지 모드가 있습니다.

전송 모드

IP 헤더, IPSec 헤더, TCP 헤더, 데이터

터널 모드

새 IP 헤더, IPSec 헤더, 원래 IP 헤더, TCP 헤더, 데이터

IPSec의 작업은 5 가지 주요 단계로 나눌 수 있습니다.

1. 트래픽 선택 – IPSec 정책과 일치하는 트래픽이 IKE 프로세스를 시작합니다. 예를 들어 src/dst 호스트 IP 또는 서브넷을 사용하여 트래픽을 선택할 수 있습니다. 또는 사용자가 admin 명령을 통해 IKE 프로세스를 트리거할 수 있습니다.

2. IKE 1 단계 – IPSec 피어를 인증하고 IKE 교환을 활성화하는 보안 채널을 설정합니다.

3. IKE 2 단계 – IPSec 터널을 설정하기 위해 SA를 협상합니다. SA는 Security Association(보안 연결)을 나타내며, 데이터 트래픽을 보호하는 데 사용되는 보안 서비스를 설명하는 IPSec 엔드포인트 간의 관계입니다.

4. 데이터 전송 – 데이터 패킷은 SA에 저장된 매개변수 및 키를 사용하여 IPSec 헤더에서 암호화되고 캡슐화 됩니다.

5. IPSec 터널 종료 – IPSec SA는 삭제를 통해 또는 시간 초과로 종료됩니다.

참고

FIPS 모드에서 IPSec 보안 채널을 사용하는 경우 IPSec 피어가 RFC 7427을 지원해야 합니다. IKE 및 SA 연결 간에 암호화 키 강도 매칭의 적용을 구성하도록 선택한 경우(아래의 절차에서 sa-strength-enforcement를 yes로 설정): SA 적용이 활성화된 경우 IKE 협상 키 크기가 ESP 협상 키 크기보다 작은 경우 연결이 실패합니다. IKE 협상 키 크기가 ESP 협상 키 크기보다 크거나 같은 경우 SA 적용 확인이 통과하고 연결이 성공합니다. SA 적용이 비활성화된 경우 SA 적용 확인이 통과하고 연결이 성공합니다.

IPSec 보안 채널을 구성하려면 다음 단계를 수행하십시오.

CRL(Certification Revocation List) 정보를 사용하여 피어 인증서를 검증하도록 Firepower 4100/9300 섀시를 구성할 수 있습니다. 이 옵션은 시스템에서 Common Criteria 인증 컴플라이언스를 얻기 위해 제공되는 숫자 중 하나입니다. 자세한 내용은 보안 인증서 컴플라이언스를 참고하십시오.

CRL 정보를 사용하여 피어 인증서를 검증하려면 다음 단계를 수행하십시오.

CRL을 주기적으로 다운로드하도록 시스템을 구성하여 1~24시간마다 새 CRL을 사용하여 인증서를 검증할 수 있습니다.

이 기능과 함께 다음 프로토콜 및 인터페이스를 사용할 수 있습니다.

• FTP

• SCP

• SFTP

• TFTP

• USB

참고	SCEP 및 OCSP는 지원되지 않습니다. 주기적 다운로드는 CRL당 하나만 구성할 수 있습니다. 트러스트 포인트당 하나의 CRL이 지원됩니다.

참고	기간은 1시간 간격으로만 구성할 수 있습니다.

CRL 주기적 다운로드를 구성하려면 다음 단계를 수행하십시오.

참고	Common Criteria 모드가 활성화되면 SSL을 활성화하고, 서버 DNS 정보를 사용하여 키 링 인증서를 생성해야 합니다. LDAP 서버 항목에 대해 SSL이 활성화되면 연결을 설정할 때 키 링 정보를 참조하고 확인해야 합니다.

안전한 LDAP 연결(SSL 활성화)을 위해 LDAP 서버 정보는 CC 모드에서 DNS 정보여야 합니다.

안전한 LDAP 클라이언트 키 링 인증서를 구성하려면 다음 단계를 수행하십시오.

LDAP와 함께 클라이언트 인증서를 사용하여 사용자의 HTTPS 액세스를 인증하도록 시스템을 설정할 수 있습니다. Firepower 4100/9300 섀시의 기본 인증 구성은 자격 증명 기반입니다.

참고	인증서 인증이 활성화된 경우, 이것이 HTTPS에 대해 허용되는 유일한 인증 형식입니다. 클라이언트 인증서 인증 기능의 FXOS 2.1.1 릴리스에서는 인증서 해지 확인이 지원되지 않습니다.

이 기능을 사용하려면 클라이언트 인증서에서 다음 요구 사항을 충족해야 합니다.

• X509 특성 Subject Alternative Name - Email(주체 대체 이름 - 이메일)에 사용자 이름을 포함해야 합니다.

• Supervisor의 트러스트 포인트로 인증서를 가져온 루트 CA가 클라이언트 인증서에 서명해야 합니다.