Instrukcje i wykaz części Cisco Catalyst 6509 V E

Cisco Catalyst 6509 V E to wydajny switch przeznaczony do budowy sieci LAN. Urządzenie oferuje ogromną wydajność i skalowalność, co pozwala na wykorzystanie go w wielu różnych aplikacjach. Cisco Catalyst 6509 V E posiada 24 porty 10/100/1000 Gigabit Ethernet, 2 sloty SFP (Small Form-Factor Pluggable) oraz 4 sloty zasilania. Dostarczana jest także instrukcja użytkownika, która zawiera szczegółowe informacje na temat tego switcha, w tym jego wymiary, zastosowane technologie, dostępne funkcje i dane techniczne. Ponadto dostarczana jest również lista części zamienne, które są dostępne dla tego switcha, a także instrukcje dotyczące instalacji i konfiguracji.

Ostatnia aktualizacja: Instrukcje i wykaz części Cisco Catalyst 6509 V E

Przełączniki z serii Cisco Catalyst 9300
Cisco Systems, Inc
FIPS 140-2 niezastrzeżona polityka bezpieczeństwa
Walidacja poziomu 1
Wersja 1. 1
26 czerwca 2021 r.
Instrukcja obsługi

Wprowadzenie

1. 1. XNUMX Cel
Ten dokument jest niezastrzeżoną Polityką bezpieczeństwa modułów kryptograficznych dla przełączników Cisco Catalyst serii 9300 z oprogramowaniem sprzętowym Cisco IOS-XE w wersji 16. 12 lub 17. 3. Niniejsza polityka bezpieczeństwa opisuje, w jaki sposób wymienione poniżej moduły spełniają wymagania bezpieczeństwa FIPS 140-2 poziom 1 oraz jak obsługiwać przełączniki z włączoną obsługą kryptografii na płycie w bezpiecznym trybie FIPS 140-2.
Seria Cisco Catalyst 9300 ma dziewięć podstawowych jednostek SKU, które są objęte tą weryfikacją, jak podano poniżej:
Cisco Catalyst 9300-24S
Cisco Catalyst 9300-48S
Cisco Catalyst 9300L-24T-4G
Cisco Catalyst 9300L-24P-4G
Cisco Catalyst 9300L-48T-4G
Cisco Catalyst 9300L-48P-4G
Cisco Catalyst 9300L-24T-4X
Cisco Catalyst 9300L-24P-4X
Cisco Catalyst 9300L-48T-4X
Cisco Catalyst 9300L-48P-4X
Cisco Catalyst 9300L-24UX-4X
Cisco Catalyst 9300L-48UX-4X
Cisco Catalyst 9300L-24UX-2Q
Cisco Catalyst 9300L-48UX-2Q

FIPS 140-2 (Federal Information Processing Standards Publication 140-2 — Security Requirements for Cryptographic Modules) wyszczególnia wymagania rządu Stanów Zjednoczonych dotyczące modułów kryptograficznych. Więcej informacji na temat standardu FIPS 140-2 i programu sprawdzania poprawności jest dostępnych w NIST webstrona w https://csrc. gov/Projects/Cryptographic-Module-Validation-Program.
1. 2 Poziom walidacji modułów
Poniższa tabela zawiera listę poziomów weryfikacji dla każdego obszaru w FIPS PUB 140-2.

Tabela 1: Poziom walidacji modułów
Nie. Tytuł obszarupoziom
1Specyfikacja modułu kryptograficznego1
2Porty i interfejsy modułów kryptograficznych1
3Role, usługi i uwierzytelnianie3
4Model stanu skończonego1
5Bezpieczeństwo fizyczne1
6Środowisko operacyjneN / A
7Zarządzanie kluczami kryptograficznymi1
8Interfejs elektromagnetyczny/kompatybilność elektromagnetyczna1
9Autotesty1
10Zapewnienie projektu2
11Łagodzenie innych atakówN / A
 Ogólny poziom walidacji modułu1

Referencje 1. 3
Ten dokument dotyczy tylko operacji i możliwości modułów w warunkach technicznych zasad bezpieczeństwa modułów kryptograficznych FIPS 140-2. Więcej informacji na temat przełączników można znaleźć w następujących źródłach:
Systemy Cisco webzawiera informacje o pełnej linii produktów Cisco. Zapoznaj się z poniższymi informacjami webwitryny dla: Przełączniki Cisco Catalyst serii 9300 – https://www. html
Aby uzyskać odpowiedzi na pytania techniczne lub dotyczące sprzedaży, skontaktuj się z osobami kontaktowymi wymienionymi w Cisco Systems webstrona w www. com.
Moduły zatwierdzone przez NIST webStrona (http://csrc. html) zawiera dane kontaktowe w celu uzyskania odpowiedzi na pytania techniczne lub dotyczące sprzedaży dotyczące modułów.

1. 4 Terminologia
W tym dokumencie przełączniki Cisco Catalyst serii 9300 są określane jako przełączniki C9300, przełączniki, urządzenia, moduły kryptograficzne lub moduły. 5 Organizacja dokumentów
Dokument zasad bezpieczeństwa jest częścią pakietu przesyłania FIPS 140-2. Oprócz niniejszego dokumentu, Pakiet Zgłoszeniowy zawiera:
Dokument potwierdzający sprzedawcę
Maszyna skończona
Inna dokumentacja pomocnicza jako dodatkowe referencje
Ten dokument zawiera ponadview przełączników Cisco Catalyst serii 9300 i wyjaśnia bezpieczną konfigurację i działanie modułów. Po tej części wprowadzającej następuje sekcja 2, w której szczegółowo opisano ogólne cechy i funkcje przełączników. Sekcja 3 dotyczy w szczególności wymaganej konfiguracji dla trybu pracy FIPS.
Z wyjątkiem niniejszej niezastrzeżonej polityki bezpieczeństwa, dokumentacja przedłożenia w celu walidacji FIPS 140-2 jest własnością firmy Cisco i może zostać udostępniona wyłącznie na podstawie odpowiednich umów o zachowaniu poufności.
Aby uzyskać dostęp do tych dokumentów, skontaktuj się z Cisco Systems.

Przełączniki Cisco Systems Catalyst z serii 9300

Przełączniki Cisco Catalyst 9300 Series to następna generacja przełączników warstwy dostępu do układania w stosy klasy korporacyjnej, które są częścią rodziny Cisco Catalyst 9000. Przełączniki te obsługują również pełne IEEE802. 3at PoE+, Cisco UPOE, modułowe i wymienialne moduły sieciowe, nadmiarowe wentylatory i zasilacze. Ponadto modele oparte na Cisco Catalyst 9300 obsługują różne moduły łącza uplink, zarówno miedziane, jak i światłowodowe. Modele te zapewniają jeszcze większą elastyczność wyboru interfejsu, którego można dokonać w jednym przełączniku Cisco Catalyst z serii 9300 lub w stosie przełączników z serii Cisco Catalyst 9300.
Poniższa ilustracja przedstawia reprezentację przełączników Catalyst 9300. Wszystkie modele przełączników mają podobny wygląd. Wewnętrzne możliwości i numery portów wyróżniają modele.

Rysunek 1: (a) 9300-portowe przełączniki serii Cisco Catalyst 24 i (b) 9300-portowe przełączniki serii Cisco Catalyst 48 Seria Cisco Catalyst 9300 obejmuje wielogigabitowe przełączniki z portami Ethernet, SFP+ i PoE+, a przełączniki obsługują również funkcję Cisco StackWise. Przełączniki zawierają algorytmy kryptograficzne zaimplementowane w oprogramowaniu układowym IOS-XE oraz sprzętowe układy ASIC.
Moduły obsługują RADsec (RADIUS przez TLS), IKE/IPSec, TLS, SESA (Symmetric Early Stacking Authentication), SNMPv3, SSHv2 i MACsec.

Moduły kryptograficzne mają dwa tryby działania: tryb FIPS i tryb non-FIPS. Tryb inny niż FIPS jest domyślny dla przełączników. Za instalację i konfigurację modułów w trybie FIPS odpowiada Crypto-Officer. Szczegółowe instrukcje konfiguracji trybu pracy FIPS można znaleźć w sekcji Bezpieczne działanie tego dokumentu.
2. 1 Moduły kryptograficzne Interfejsy i właściwości fizyczne
Moduły są samodzielnymi modułami kryptograficznymi z wieloma chipami. Granica kryptograficzna jest zdefiniowana jako obejmująca „górną”, „przednią”, „lewą”, „prawą”, „tylną” i „dolną” powierzchnię obudowy przełączników i obudowy przełączników.
Fizyczna granica obejmuje moduł kryptograficzny ACT2Lite (certyfikat CMVP nr 3637). Przełączniki Cisco Catalyst 9300 Series zapewniają obsługę następujących funkcji:

Tabela 2 — modele i opisy przełączników Cisco Catalyst serii 9300
Model przełącznikaOpis
C9300-24SMożliwość układania w stos 24 portów 10/100/1000 Mb/s PoE+; Budżet PoE 445 W z zasilaczem AC 715 W; obsługuje StackWise-480 i StackPower.
 C9300-48SMożliwość układania w stos 24 portów 1G SFP; dwa gniazda zasilaczy z fabrycznie zainstalowanym zasilaczem 715W AC; obsługuje StackWise-480 i StackPower.
C9300L-24T-4GMożliwość układania w stos 24 portów 10/100/1000 PoE+; Budżet PoE 445 W z zasilaczem 715 WAC; obsługuje StackWise-480 i StackPower.
C9300L-24P-4GMożliwość układania w stos 48 portów 10/100/1000 PoE+; Budżet PoE 437 W z zasilaczem 715 WAC; obsługuje StackWise-480 i StackPower.
C9300L-48T-4GMożliwość układania w stos 24 portów 10/100/1000 UPoE; Budżet PoE 830 W z zasilaczem 1100 WAC; obsługuje StackWise-480 i StackPower.
C9300L-48P-4GMożliwość układania w stos 48 portów 10/100/1000 UPoE; Budżet PoE 822 W z zasilaczem 1100 WAC; obsługuje StackWise-480 i StackPower.
C9300L-24T-4XMożliwość układania w stos 24 wielogigabitowych portów Ethernet (100 Mb/s lub 1/2. 5/5/10 Gb/s) UPoE; Budżet PoE 560 W z zasilaczem 1100 WAC; obsługuje StackWise-480 i StackPower.
C9300L-24P-4XMożliwość układania w stos 48 (12 Multigigabit Ethernet i 36 2. 5 Gb/s) portów UPoE; Budżet PoE 490 W z zasilaczem 1100 WAC; obsługuje StackWise-480 i StackPower.
C9300L-48T-4XMożliwość układania w stos 48 portów Multigigabit Ethernet (100 Mb/s lub 1/2. 5/5 Gb/s) UPoE; Budżet PoE 610 W z zasilaczem 1100 WAC; obsługuje StackWise-480 i StackPower.
C9300L-48P-4XMożliwość układania w stos 48 portów 10/100/1000 Mb/s PoE+; stałe porty uplink x10G SFP+; Budżet PoE 505 W z zasilaczem 715 WAC; obsługuje StackWise-320.
C9300L-24UX-4XMożliwość układania w stos 16 portów 10/100/1000M, 8 portów 100M/1000M/2. 5G/5G/10G, 4 porty 10G SFP+ Uplink; Budżet PoE 560 W z zasilaczem 1100 WAC; obsługuje StackWise-480 i StackPower.
C9300L-48UX-4XMożliwość układania w stos 36x 100 Mb/s, 1G, 2. 5G + 12x Multigigabit (100M, 1G, 2. 5G, 5G lub 10 Gb/s) porty UPoE; Budżet PoE 610 W z zasilaczem AC 1100 W; obsługuje StackWise-490 i StackPower.
C9300L-24UX-2QMożliwość układania w stos 24 wielogigabitowych portów Ethernet (100M, 1G, 2. 5G, 5G lub 10 Gb/s) UPoE; Budżet PoE 560 W z zasilaczem 1100 WAC; obsługuje StackWise-480 i StackPower.
C9300L-48UX-2QMożliwość układania w stos portów 48x 5 Gb/s UPOE (100M, 1G, 2. 5G, 5G) porty UPoE; Budżet PoE 645 W z zasilaczem 1100 WAC; obsługuje StackWise-480 i StackPower.

Wszystkie modele przełączników mają podobne komponenty, ale mogą mieć niewielkie różnice kosmetyczne na ramkach. plus/wp-content/uploads/2022/12/cisco-Catalyst-9300-Series-Network-Essentials-Switch-Series-Switches. png" alt="Cisco Catalyst 9300 Series Network Essentials Switch — przełączniki serii" width="645" height="275" data-ezsrcset="https://pl. png 856w, https://pl. plus/wp-content/uploads/2022/12/cisco-Catalyst-9300-Series-Network-Essentials-Switch-Series-Switches-550x235. plus/wp-content/uploads/2022/12/cisco-Catalyst-9300-Series-Network-Essentials-Switch-Series-Switches-768x327. png 768w" sizes="(max-width: 645px) 100vw, 645px" ezimgfmt="rs rscb1 src ng ngcb1 srcset" data-ezsrc="https://pl. png 768w"/>

Rysunek 2: Elementy panelu przedniego przełączników Cisco Catalyst serii 9300
1Lampa ostrzegawcza LED4Port pamięci masowej USB typu A
2Diody LED stanu510/100/1000 portów PoE+
3Port USB mini typu B (konsola). 6Gniazda modułów sieciowych

1Port USB 3. 0–SSD6Moduły zasilania
2MGMT (port zarządzania RJ-45 10/100/1000)7SYGNALIZACJA LED
3Złącza portu StackWise-4808KONSOLA (port konsoli RJ-45)
4Dioda LED stanu AC OK (wejście). 9Moduły wentylatorów
5Dioda LED stanu PS OK (wyjście). 10Złącza StackPower

Moduły udostępniają szereg fizycznych i logicznych interfejsów urządzenia, a fizyczne interfejsy zapewniane przez moduły są mapowane na następujące interfejsy logiczne zdefiniowane w standardzie FIPS 140-2: wejście danych, wyjście danych, wejście sterowania, wyjście stanu i zasilanie. Interfejsy logiczne i ich mapowanie opisano w poniższych tabelach.

Tabela 3: Odwzorowanie interfejsu fizycznego/logicznego Catalyst 9300
Interfejs logiczny FIPS 140-2Fizyczne interfejsy i okablowanie
Interfejs wejścia danych, interfejs wyjścia danychPorty 1000BASE-T: złącza RJ-45, 4-parowe okablowanie Cat 5E UTP
Porty Multigigabit-T: złącza RJ-45, 4 pary okablowania UTP Cat 5E, Cat 6, Cat 6A Porty 1000BASE-T SFP: złącza RJ-45, 4 pary okablowania UTP Cat 5E
100BASE-FX, 1000BASE-SX, -LX/LH, -ZX, -BX10, gęste multipleksowanie z podziałem długości fali (DWDM) i zgrubne multipleksowanie z podziałem długości fali (CWDM) SFP: złącza światłowodowe LC (światłowód jednomodowy lub wielomodowy)
Transceivery 10GBASE-SR, LR, LRM, ER, ZR, DWDM SFP+: złącza światłowodowe LC (światłowód jednomodowy lub wielomodowy) złącze QSFP SFP+
Interfejs wejścia sterującego, interfejs wyjścia stanuPorty 1000BASE-T: złącza RJ-45, 4-parowe okablowanie Cat 5E UTP
Porty Multigigabit-T: złącza RJ-45, 4-parowe okablowanie UTP Cat 5E, Cat 6, Cat 6A Porty 1000BASE-T SFP: złącza RJ-45, 4-parowe okablowanie Cat 5E UTP Porty stosowe Cisco StackWise-480: miedziane okablowanie Cisco StackWise Port zarządzania Ethernet: złącza RJ-45, 4-parowe okablowanie Cat 5 UTP Port konsoli zarządzania: kabel RJ-45-do-DB9 do połączeń z komputerem
Uniwersalna magistrala szeregowa (USB) typu A
Mini-USB typu B
Interfejs wyjścia statusuDioda elektroluminescencyjna (LED)
· Dioda LED konsoli USB
· Dioda systemowa
· Aktywna dioda LED
· Dioda STOSOWANIA
· Dioda PoE
· Dioda LED XPS
· Dioda LED zasilania stosu
· Diody LED portów
· Dioda ostrzegawcza
· Diody LED modułu sieciowego
Interfejs zasilaniaZłącze zasilania prądem przemiennym
Cisco StackPower: Opatentowane przez firmę Cisco kable do układania w stosy

Następujące interfejsy fizyczne nie mogą być używane w trybie FIPS:

  • Uniwersalna magistrala szeregowa (USB)
  • Bezprzewodowy dostęp do konsoli przez Bluetooth

2. 2 Role, usługi i uwierzytelnianie
Moduły obsługują uwierzytelnianie oparte na tożsamości. Każdy użytkownik jest uwierzytelniany przy pierwszym dostępie do modułów. W przełącznikach można przyjąć dwie role: rolę Crypto-Officer (CO) i rolę User. Administrator przełączników pełni rolę CO w celu konfiguracji i konserwacji przełączników, podczas gdy Użytkownicy to procesy realizujące usługi bezpieczeństwa w sieci. 2. 1 Rola użytkownika
Rolę tę przejmują użytkownicy uzyskujący usługi zabezpieczonej transmisji danych. Z logicznego view, aktywność użytkownika istnieje w płaszczyźnie danych za pośrednictwem zdefiniowanych interfejsów wejścia/wyjścia danych. Użytkownicy są uwierzytelniani przy użyciu metod EAP i 802. 1X-REV, a ich dane są chronione protokołami 802. 1AE. EAP i 802. 1X-REV mogą używać poświadczeń opartych na hasłach do uwierzytelniania roli użytkownika — w takim przypadku hasło użytkownika musi mieć co najmniej osiem (8) znaków. Hasło musi zawierać co najmniej jeden znak specjalny i co najmniej jeden znak cyfry oraz sześć dodatkowych znaków zaczerpniętych z 26-wielkich liter, 26-małych liter, 10-cyfr i 32-znaków specjalnych (wymuszone proceduralnie). Wymóg ten daje (26 + 26 + 10 + 32 =) 94 opcje postaci do wyboru. Bez powtórzeń znaków liczba prawdopodobnych kombinacji to połączone prawdopodobieństwo z 6 znaków (94x93x92x91x90x89) razy jeden znak specjalny (32) razy 1 liczba (10), co daje (94x93x92x91x90x89x32x10 =) 187, 595, 543, 116, 800 1 187, 595, 543, 116, 800 1 1, 000, 000. W związku z tym powiązane prawdopodobieństwo pomyślnej losowej próby wynosi około 140 na 2 3, 126, 592, 385, 280 XNUMX XNUMX XNUMX, czyli mniej niż XNUMX na XNUMX XNUMX XNUMX wymagane przez FIPS XNUMX-XNUMX. Aby z powodzeniem odgadnąć sekwencję w ciągu jednej minuty, potrzebna byłaby możliwość wykonania ponad XNUMX XNUMX XNUMX XNUMX XNUMX prób zgadywania na sekundę, co znacznie przekracza możliwości operacyjne przełączników.
EAP i 802. 1X-REV mogą również uwierzytelniać rolę Użytkownika za pomocą poświadczeń certyfikatu przy użyciu 2048-bitowych kluczy RSA – w takim przypadku siła bezpieczeństwa wynosi 112 bitów, więc związane z tym prawdopodobieństwo udanej losowej próby wynosi 1 do 2, czyli mniej niż 1 na 1, 000, 000 140 2 wymagane przez FIPS 100, 000-8. 65. Aby przekroczyć prawdopodobieństwo 10 na 112 XNUMX udanego losowego odgadnięcia klucza w ciągu jednej minuty, atakujący musiałby być w stanie wykonać około XNUMX×XNUMX³¹ XNUMX prób na sekundę, co znacznie przekracza możliwości operacyjne modułów.
Usługi dostępne dla roli Użytkownika uzyskującego dostęp do CSP, typ dostępu – odczyt (r), zapis (w), wykonanie (e) oraz wyzerowanie/usunięcie (d) są wymienione poniżej:

Tabela 4 — Usługi dla użytkowników
UsługiOpisDostęp do kluczy i CSP
Zabezpieczony samolot danychFunkcje sieciowe MACsec: usługi uwierzytelniania, kontroli dostępu, poufności i integralności danych świadczone przez protokół MACsecKlucz prywatny Diffie-Hellman (DH), klucz publiczny Diffie-Hellman (DH), klucz współdzielony Diffie-Hellman (DH), MACsec Security Association Key (SAK), MACsec Connectivity Association Key (CAK), MACsec Key Encryption Key (KEK), MACsec Integrity Check Key (ICK) (w, e, d)
Usługi obejściaRuch bez przetwarzania kryptograficznego z wyjątkiem uwierzytelniania. Reguła musi być wcześniej skonfigurowana przez Crypto Officera. Klucz prywatny Diffie-Hellman (DH), klucz publiczny Diffie-Hellman (DH), wspólny sekret Diffie-Hellman (DH) (w, e, d)

2. 2 Rola oficera kryptograficznego
Rolę tę przejmuje autoryzowany CO łączący się ze switchami poprzez CLI poprzez port konsoli i wykonujący funkcje zarządzania oraz konfigurację modułów. Ponadto mistrz stosu jest uważany za CO dla członków stosu. Z logicznego view, aktywność CO istnieje tylko w płaszczyźnie kontrolnej. IOS-XE monituje CO o podanie nazwy użytkownika i hasła, a jeśli hasło zostanie zweryfikowane z hasłem CO w pamięci IOS-XE, CO może wejść do programu wykonawczego IOS-XE. CO może przypisać uprawnienia dostępu do roli CO do dodatkowych kont, tworząc w ten sposób dodatkowe CO. Moduły kryptograficzne obsługują RADsec do uwierzytelniania CO.
Hasła CO muszą mieć co najmniej osiem (8) znaków. Sekcje Bezpieczna operacja wymuszają proceduralnie, że hasło musi zawierać co najmniej jeden znak specjalny i co najmniej jeden znak cyfry wraz z sześcioma dodatkowymi znakami wziętymi z 26-wielkich liter, 26-małych liter, 10-cyfr i 32-znaków specjalnych (egzekwowane proceduralnie). Aby skutecznie odgadnąć sekwencję w ciągu jednej minuty, potrzebna byłaby możliwość wykonania ponad XNUMX XNUMX XNUMX XNUMX XNUMX zgadnięć na sekundę, co znacznie przekracza możliwości operacyjne modułów.
Dodatkowo na stosie CO jest uwierzytelniany poprzez posiadanie klucza autoryzacji SESA o długości 128 bitów. Tak więc osoba atakująca miałaby szansę 1 na 2 na pomyślne uwierzytelnienie, która jest znacznie silniejsza niż szansa na milion wymagana przez FIPS 140-2. Aby przekroczyć prawdopodobieństwo 100, 000 na 5. 67 10 udanego losowego odgadnięcia klucza w ciągu jednej minuty, atakujący musiałby być w stanie w przybliżeniu XNUMX × XNUMX36 128 prób na sekundę, czyli mniej niż 1 na 100, 000 XNUMX i znacznie przekracza możliwości operacyjne modułów.
Rola Crypto-Officer odpowiada za konfigurację przełączników. Usługi dostępne dla roli Crypto Officer uzyskującej dostęp do CSP, typ dostępu – odczyt (r), zapis (w), wykonanie (e) i wyzerowanie/usunięcie (d) są wymienione poniżej:

Tabela 5 — Usługi Crypto-Officer
UsługiOpisDostęp do kluczy i CSP
Zdefiniuj reguły i filtruj

Zdefiniuj interfejsy i ustawienia sieciowe, utwórz aliasy poleceń, ustaw obsługiwane protokoły, włącz interfejsy i usługi sieciowe, ustaw datę i godzinę systemową oraz załaduj informacje uwierzytelniające.
Wyloguj użytkowników, zamknij lub ponownie załaduj przełącznik, ręcznie wykonaj kopię zapasową konfiguracji przełącznika, view uzupełniać konfiguracje, zarządzać prawami użytkowników i przywracać konfiguracje przełączników.
Utwórz filtry pakietów, które są stosowane do strumieni danych użytkownika w każdym interfejsie. Każdy filtr składa się z zestawu reguł, które definiują zestaw pakietów, które mają być dozwolone lub odrzucane na podstawie takich cech, jak identyfikator protokołu, adresy, porty, ustanowienie połączenia TCP lub kierunek pakietu.

Włącz hasło (r, w, e, d)
View Funkcje stanu

View konfiguracja przełącznika, tablice routingu, aktywne sesje, stan zdrowia, temperatura, stan pamięci, objtage, statystyki pakietów, review dzienniki księgowe i view stan interfejsu fizycznego.

Włącz hasło (r, w, e, d)
Skonfiguruj szyfrowanie/pomiń

Skonfiguruj tabele konfiguracji dla tunelowania IP. Ustaw wstępnie współdzielone klucze i algorytmy, które mają być używane dla każdego zakresu adresów IP lub zezwól na ustawianie pakietów w postaci zwykłego tekstu z określonego adresu IP.

[Klucz szyfrowania sesji IKE, klucz uwierzytelniania sesji IKE, wstępnie udostępniony ISAKMP, klucz prywatny uwierzytelniania IKE, klucz publiczny uwierzytelniania IKE, skeyid, skeyid_d, SKEYSEED, klucz szyfrowania sesji IPsec, klucz uwierzytelniania sesji IPsec] (w, d) i Włącz hasło (r)

Skonfiguruj zdalne uwierzytelnianieSkonfiguruj konto uwierzytelniające dla użytkowników i urządzeń za pomocą RADSec (RADIUS przez TLS)Klucz tajny RADIUS, klucz zawijania klucza RADIUS, klucz prywatny serwera TLS, klucz publiczny serwera TLS, klucz wstępny TLS, klucze szyfrowania TLS, wejście entropii DRBG, DRBG V, klucz DRBG (w, d)
SESASkonfiguruj ręcznie bezpieczne układanie (SESA) na każdym z przełączników członkowskich. Klucz autoryzacji SESA, klucz sesji głównej SESA, klucze sesyjne pochodne SESA (w, e, d)
HTTPSSerwer HTTP przez TLS (1. 2)

Klucz prywatny serwera TLS, klucz publiczny serwera TLS, klucze wstępne TLS, klucze szyfrowania TLS, klucze integralności TLS, wejście entropijne DRBG, DRBG V, klucz DRBG (w, e, d)

SSH v2Skonfiguruj parametr SSH v2, zapewnij wejście i wyjście CSP.

DH prywatny klucz publiczny DH, wspólny klucz DH, klucz prywatny SSH RSA, klucz publiczny SSH RSA, klucz integralności SSH, klucz sesji SSH, wejście entropii DRBG, DRBG V, klucz DRBG (w, e, d)

SNMPv3Skonfiguruj SNMPv3 MIB i monitoruj stan[Hasło SNMPv3, snmpEngineID] (r, w, d), klucz sesji SNMP, wejście entropii DRBG, DRBG V, klucz DRBG (w, e, d)
IPsec VPNSkonfiguruj parametry IPsec VPN, zapewnij wejście i wyjście CSP.

skeyid, skeyid_d, SKEYSEED, klucz szyfrowania sesji IKE, klucz uwierzytelniania sesji IKE, wstępnie współdzielony ISAKMP, klucz prywatny uwierzytelniania IKE, klucz publiczny uwierzytelniania IKE, klucz szyfrowania sesji IPsec, klucz uwierzytelniania sesji IPsec, wejście entropii DRBG, DRBG V, klucz DRBG (s, e, d)

AutotestyPrzeprowadzaj testy uruchamiania FIPS 140 na żądanieN / A
Usługi użytkownikaCrypto Officer ma dostęp do wszystkich usług Użytkownika. Hasło użytkownika (r, w, e, d)
ZerowanieWyzeruj klucze kryptograficzne/dostawców CSP, uruchamiając metody zerowania sklasyfikowane w tabeli 7, kolumna Zerowanie. Wszystkie CSP (d)

2. 3 Nieautoryzowana rola
Usługi dla osoby bez uprawnionej roli to: przekazywanie ruchu przez urządzenia, view wyjście stanu z pinów LED modułów i cykl zasilania. 4 Usługi dostępne w trybie działania innym niż FIPS
Moduły kryptograficzne oprócz trybu pracy FIPS mogą pracować w trybie innym niż FIPS. Nie jest to zalecany tryb operacyjny, ale ponieważ powiązane dokumenty RFC dla następujących protokołów dopuszczają niezatwierdzone algorytmy i niezatwierdzone rozmiary kluczy, istnieje niezatwierdzony tryb działania. Uznaje się, że moduły działają w trybie innym niż FIPS, jeśli nie są skonfigurowane zgodnie z sekcją 3 (Bezpieczne działanie przełączników). Usługi zatwierdzone przez FIPS wymienione w tabeli 8 stają się usługami niezatwierdzonymi w przypadku korzystania z niezatwierdzonych algorytmów lub niezatwierdzonych rozmiarów kluczy lub krzywych.

Tabela 6 – Niezatwierdzone algorytmy w usługach trybu Non-FIPS
Usługi 1Niezatwierdzone algorytmy
 

IPsec

Haszowanie: MD5 MACowanie: HMAC MD5
Symetryczny: DES, RC4
Asymetryczny: 768-bitowy/1024-bitowy RSA (transport kluczy), 1024-bitowy Diffie-Hellman
 

SSH

Haszowanie: MD5 MACowanie: HMAC MD5
Symetryczny: DES
Asymetryczny: 768-bitowy/1024-bitowy RSA (transport kluczy), 1024-bitowy Diffie-Hellman
TLSSymetryczny: DES, RC4
Asymetryczny: 768-bitowy/1024-bitowy RSA (transport kluczy), 1024-bitowy Diffie-Hellman
SNMP v1/v2Haszowanie: MD5
Symetryczny: DES

2. 3 Algorytmy kryptograficzne
Moduły implementują szereg zatwierdzonych i niezatwierdzonych algorytmów.
Zatwierdzone algorytmy kryptograficzne
Przełączniki obsługują następujące implementacje algorytmów zatwierdzone przez FIPS-2:

Te zatwierdzone usługi stają się niezatwierdzone w przypadku korzystania z niezatwierdzonych algorytmów lub niezatwierdzonych rozmiarów kluczy lub krzywych. W przypadku korzystania z zatwierdzonych algorytmów i rozmiarów kluczy te usługi są zatwierdzone.

Tabela 7 — Certyfikaty algorytmu

AlgorytmyCAVP #C462: IOS wspólne
Moduł kryptograficzny (IC2M) Rel5
CAVP #C431: CiscoSSL FIPS
Moduł obiektowy 6. 22
CAVP #4769: UADP MSC 1. 0CAVP #C220: Obraz oprogramowania
podpisanie
AESCBC (128, 192, 256),
CFB128 (128, 192, 256),
CMAC (128, 256),
CTR (128, 192, 256),
EBC (128, 192, 256),
GCM (128, 192, 256)
CBC(128, 192, 256),
CCM(128, 192, 256),
CFB1/8/128(128, 192, 256),
CMAC(128, 192, 256),
CTR(128, 192, 256),
EBC(128, 192, 256),
GCM(128, 192, 256),
KW(128, 192, 256),
OFB (128, 192, 256)
XTS(128, 256)
 

EBC (128, 256)
GCM (128, 256)

N / A
CVL (SP800-56A)KAS-ECC Component — Ephemeral Unified (WE: P-256 SHA-256, ED: P-384 SHA-384) KAS-FFC Component — hEphem
(FC: SHA-256)
KAS-ECC CDH Component (Krzywa: B-233, B-283, B-409, B-571, K-233, K-283, K-409, K-571,
P-224, P-256, P-384, P-521)
N / AN / A
DRBGCTR-AES (256)CTR-AES (128, 192, 256)N / AN / A
HMACHMAC SHA-1, HMAC SHA2-256, HMAC SHA2-384, HMAC
SHA2-512
HMAC SHA-1, HMAC SHA2-224, HMAC SHA2-384, HMAC SHA2-
512
N / AN / A
ECDSAKeyGen, KeyVer, SigGen, SigVer (krzywa: P-256, P-384)KeyGen, KeyVer, SigGen, SigVer (krzywa: B-233, B-283, B-409, B-571, K-233, K-283, K-409, K-571, P-224, P-256, P-384, P-521)N / AN / A
CVL (SP800-135)IKEv1 IKEv2 SNMP SSH

TLS

IKEv2 SNMP SSH TLSN / AN / A
KBKDF (SP800-108)Licznik: HMAC-SHA-1Licznik: HMAC-SHA-1, HMAC-SHA2-224, HMAC-SHA2-256, HMAC-SHA2-384, HMAC-SHA2-512N / AN / A
RSAKeyGen (186-4) 2048-, 3072-bitowy moduł SigGen (186-4 PKCS 1. 5) 2048-, 3072-bitowy moduł,
Moduł SigVer (186-2 PKCS 1. 5) 1024-, 1536-, 2048-, 3072-, 4096-bitów SigVer (186-4 PKCS 1. 5) moduł 1024-, 2048-, 3072-bitów
KeyGen (186-4) 2048-, 3072-bity
moduł SigGen (186-2 ANSI X9. 31, PKCS 1. 5, PKCSPSS) 4096-bitowy moduł, SigGen (186-4 ANSI X9. 5, PKCSPSS) 2048-, 3072-bitowy moduł, SigVer (186-4 ANSI X9. 5, PKCSPSS) 2048-, 3072-bitowy moduł
N / ARSA 2048 z SHA-512 SIgVer
SHSSHA-1, SHA2-256, SHA2-384, SHA2-512SHA-1, SHA2-224, SHA2-256,
SHA2-384, SHA2-512
N / ASHA-512
Potrójny DESCBC (opcja kluczowania: 1)CBC, CFB1/8/64, CTR, ECB, OFB (opcja kluczowania: 1)N / AN / A
DSAN / AKeygen (2048, 3072),
Gen PQG (2048, 3072),
PQG Ver (2048, 3072),
Siggen (2048, 3072),
Sigver (2048, 3072)
N / AN / A
CKGSprzedawca potwierdziłSprzedawca potwierdziłN / AN / A

KTS (AES Cert. #C431; metodologia ustalania klucza zapewnia siłę szyfrowania od 128 do 256 bitów)
KTS (AES Cert. #C462; metodologia ustalania klucza zapewnia siłę szyfrowania od 128 do 256 bitów)

Uwagi:
Istnieją pewne tryby algorytmu, które zostały przetestowane, ale nie zostały zaimplementowane przez moduły. W tej tabeli przedstawiono tylko algorytmy, tryby i rozmiary kluczy, które są zaimplementowane przez moduły.
Implementacja modułu AES-GCM jest zgodna ze scenariuszem IG A. 5 nr 1 zgodnie z RFC 5288 dla TLS, RFC 7296 dla IPSec/IKEv2 i IEEE 802. 1AE oraz jego poprawkami dla MACsec.
Moduły są kompatybilne z TLSv1. 2 i zapewniają obsługę akceptowalnych zestawów szyfrów GCM z SP 800-52 Rev1, sekcja 3. 64-bitowa część licznika 96-bitowego IV jest ustawiana przez moduły w jej granicach kryptograficznych. Kiedy IV wyczerpuje maksymalną liczbę możliwych wartości (od 0 do 264  – 1) dla danego klucza sesyjnego,
pierwsza strona, klient lub serwer, która napotka ten warunek, uruchomi uzgadnianie w celu ustanowienia nowego klucza szyfrowania. W przypadku utraty, a następnie przywrócenia zasilania modułów, należy ustanowić nowy klucz do użycia z szyfrowaniem/deszyfrowaniem AES GCM.
Moduły wykorzystują protokół IKEv7296 zgodny z RFC 2 do ustanowienia wspólnego klucza SKEYSEED, z którego pochodzą klucze szyfrowania AES GCM. Gdy IV wyczerpie maksymalną liczbę możliwych wartości dla danego klucza sesji, pierwsza strona, klient lub serwer, która napotka ten warunek, uruchomi ponowne wprowadzanie klucza z IKEv2 w celu ustanowienia nowego klucza szyfrowania.
AES GCM IV jest generowany wewnętrznie w module kryptograficznym zgodnie ze standardem IEEE 802. 1AE i jego poprawkami. Używana długość IV to 96 bitów (na SP 800-38D i FIPS 140-2 IG A. 5). W przypadku utraty zasilania modułu należy ustanowić nowe klucze AES GCM. Moduł powinien być używany tylko z modułami sprawdzania poprawności CMVP FIPS 140-2, gdy obsługuje protokół MACsec w celu zapewnienia funkcji Peer, Authenticator. Połączenie między Peer i Authenticator powinno być zabezpieczone, aby uniemożliwić atakującemu wprowadzenie obcego sprzętu do sieci lokalnej.
Żadne części protokołów SSH, TLS i IPSec, inne niż KDF, nie zostały przetestowane przez CAVP i CMVP. Każdy z protokołów TLS, SSH i IPSec zarządza generowaniem odpowiednich kluczy Triple-DES. Szczegółowe informacje dotyczące generowania poszczególnych kluczy szyfrowania Triple-DES można znaleźć w dokumentach RFC 5246 (TLS), RFC 4253 (SSH) i RFC 6071 (IPSec). Użytkownik jest odpowiedzialny za to, aby moduły ograniczyły liczbę szyfrowań tym samym kluczem do 220. Zgodnie z FIPS 140-2 IG D. 12 moduły kryptograficzne wykonują generowanie klucza kryptograficznego zgodnie ze scenariuszem 1 sekcji 4 w SP800-133rev1. Wynikowy wygenerowany klucz symetryczny i ziarno użyte do generowania klucza asymetrycznego to niezmodyfikowane dane wyjściowe z SP800-90A DRBG.

Algorytmy niezatwierdzone przez FIPS są dozwolone w trybie FIPS
Diffie-Hellman (Certyfikat CVL nr C462 z certyfikatem CVL nr C462, uzgodnienie klucza; metodologia ustalania klucza zapewnia siłę szyfrowania od 112 do 150 bitów; niezgodność siła szyfrowania mniejsza niż 112 bitów) w przypadku użycia z modułem o wielkości 2048 bitów lub więcej EC Diffie-Hellman (Certyfikat CVL nr C462 z certyfikatem CVL nr C462, uzgodnienie klucza; metodologia ustanawiania klucza zapewnia siłę szyfrowania 128 lub 192 bitów)
RSA (zawijanie kluczy; metodologia ustalania klucza zapewnia siłę szyfrowania 112 lub 128 bitów; niezgodna siła szyfrowania mniejsza niż 112 bitów) w przypadku użycia z modułem o rozmiarze 2048 bitów lub większym NDRNG³ do początkowego DRBG zatwierdzonego przez FIPS (256 bitów)

Algorytmy niezatwierdzone przez FIPS
Moduły kryptograficzne implementują następujące niezatwierdzone algorytmy, które nie są używane w trybie FIPS:
MD5 (MD5 nie zapewnia siły bezpieczeństwa protokołu TLS)
HMAC-MD5
RC4
DES

2. 4 Zarządzanie kluczem kryptograficznym/CSP
Moduły bezpiecznie administrują zarówno kluczami kryptograficznymi, jak i innymi krytycznymi parametrami bezpieczeństwa, takimi jak hasła. Wszystkie klucze są również chronione hasłem przy logowaniu roli CO i mogą być wyzerowane przez CO. Klucze są wymieniane i wprowadzane elektronicznie. Klucze trwałe są wprowadzane przez CO za pośrednictwem interfejsu CLI portu konsoli, klucze przejściowe są generowane lub ustanawiane i przechowywane w pamięci DRAM.
Należy pamiętać, że polecenie „fips zeroize” spowoduje wyzerowanie znacznej większości wymienionych CSP. To polecenie zasadniczo powoduje ponowne uruchomienie urządzenia, a zatem wymusza cykl zasilania, wyzerowując wszystkie klucze wymienione poniżej za pomocą „Cykl zasilania” w kolumnie Metoda zerowania.
Tabela 8 zawiera listę tajnych i prywatnych kluczy kryptograficznych oraz CSP używanych przez moduły.

Tabela 8 — Klucze kryptograficzne i dostawcy CSP
IDAlgorytmTabelaOpisPrzechowywanieMetoda zerowania
Klucze ogólne/CSP
DRBG VSP 800-90A CTR_DRBG128-bitówGenerowane przez źródło entropii za pomocą funkcji pochodnej CTR_DRBG. Jest przechowywany w pamięci DRAM w postaci zwykłego tekstuDRAM (tekst jawny)Cykl zasilania
klucz DRBGSP 800-90A CTR_DRBG256-bitówTo jest 256-bitowy klucz DRBG używany w SP 800-90 CTR_DRBGDRAM (tekst jawny)Cykl zasilania
Wejście entropii DRBGSP 800-90A CTR_DRBG256-bitówWyjście źródła entropii oparte na HW używane do konstruowania materiału siewnegoDRAM (tekst jawny)Cykl zasilania
nasienie DRBGSP 800-90A CTR_DRBG256-bitówWejście do DRBG, które określa wewnętrzny stan DRBG. Wygenerowane przy użyciu funkcji pochodnej DRBG, która obejmuje entropię wejściową ze źródła entropiiDRAM (tekst jawny)Cykl zasilania
Hasło użytkownikaHasłoZmienna (ponad 8 znaków)Służy do uwierzytelniania użytkowników lokalnychNVRAM (tekst jawny)Zerowane przez nadpisanie nowym hasłem
Włącz sekretHasłoZmienna (ponad 8 znaków)Służy do uwierzytelniania lokalnych użytkowników na wyższym poziomie uprawnieńNVRAM (tekst jawny)Zerowane przez nadpisanie nowym hasłem
tajemnica RADIUSAWspólny sekretZmienna (ponad 8 znaków)Wspólny sekret RADIUSNVRAM (tekst jawny)„# brak klucza serwera radius”
Klucz zawijania klucza RADIUSAES128 bitySłuży do ochrony SAK dla RADsec (RADIUS przez TLS)NVRAM (tekst jawny)Zerowane przez nadpisanie nowym kluczem
Klucz publiczny Diffiego-HellmanaDH2048-4096 bitówWykładnik publiczny używany w wymianie Diffie-Hellman (DH). DRAM (tekst jawny)Cykl zasilania
Klucz prywatny Diffiego-HellmanaDH224-379 bitówPrywatny wykładnik używany w wymianie Diffie-Hellman (DH). DRAM (tekst jawny)Automatycznie po wygenerowaniu wspólnego klucza tajnego.
Diffie-Hellman podzielił się tajemnicąDH2048-4096 bitówJest to wspólny sekret uzgodniony w ramach wymiany DHDRAM (tekst jawny)Cykl zasilania
Klucz publiczny EC Diffie-HellmanECDHP-256, P-384Klucz publiczny używany w wymianie EC Diffie-Hellman. Ten klucz jest uzyskiwany zgodnie z kluczową umową EC Diffie-Hellman. DRAM (tekst jawny)Cykl zasilania
Klucz prywatny EC Diffie-HellmanECDHP-256, P-384Klucz prywatny używany w wymianie EC Diffie-Hellman. Generowane przez wywołanie SP 800-90A CTR_DRBG. DRAM (tekst jawny)Cykl zasilania
EC Diffie-Hellman podzielił się tajemnicąECDHP-256, P-384Wspólny sekret używany w wymianie EC Diffie-HellmanDRAM (tekst jawny)Cykl zasilania
SSH     
Klucz publiczny RSA SSHv2RSAModuł 2048-3072 bitówKlucz publiczny SSH używany do ustanawiania sesji SSHNVRAM (tekst jawny)„# klucz kryptograficzny zeruje rsa”
Klucz prywatny RSA SSHv2RSAModuł 2048-3072 bitówKlucz prywatny SSH używany do ustanawiania sesji SSHNVRAM (tekst jawny)„# klucz kryptograficzny zeruje rsa”
Klucz integralności SSHv2HMAC160-512 bitówUżywany do ochrony integralności SSH. DRAM (tekst jawny)Automatycznie po zakończeniu sesji SSH
klucz sesji SSHv2Potrójny — DES/AES168-bitów/256-bitówTo jest klucz symetryczny sesji SSH. DRAM (tekst jawny)Automatycznie po zakończeniu sesji SSH
TLS
Klucz publiczny serwera TLSRSA/ECDSARSA: 2048-3072
moduł bitów ECDSA: P-256, P-384
Klucz publiczny używany w negocjacjach TLS. NVRAM (tekst jawny)'#klucz kryptograficzny zeruje { rsa| ecdsa}'
Serwer TLS

prywatny klucz

RSA/ECDSARSA: 2048-3072
moduł bitów ECDSA: P-256, P-384
Certyfikaty tożsamości dla samego modułu, a także używane w negocjacjach TLS. NVRAM (tekst jawny)„Zerowanie #klucza kryptograficznego { rsa

| ecdsa}'

Przedwzorcowy sekret TLSMateriał klucza384-bitówWspólny klucz tajny utworzony przy użyciu kryptografii asymetrycznej, z którego można tworzyć nowe klucze sesji HTTPS. DRAM (tekst jawny)Automatycznie po zakończeniu sesji.
Główny sekret TLSMateriał klucza48-bitówMateriał klucza używany do uzyskiwania innych kluczy HTTPS/TLS. Ten klucz został uzyskany na podstawie wstępnego klucza tajnego TLS podczas ustanawiania sesji TLSDRAM (tekst jawny)Automatycznie po zakończeniu sesji.
TLS

klucz szyfrujący

Potrójny — DES/AES168-bitów/256-bitówTo jest klucz sesji TLSDRAM (tekst jawny)Automatycznie po zakończeniu sesji.
Klucz integralności TLSHMAC-SHA 256/384256-384 bitówUżywany do integralności TLS w celu zapewnienia integralności ruchu. Ten klucz został wyprowadzony w module.
SESA
SESA

klucz autoryzacyjny

klucz wstępny128 bitySłuży do autoryzacji członków jednostek ułożonych w stos. Wpisany przez CO. NVRAM (tekst jawny)„brak klucza autoryzacyjnego fips”
Główny klucz sesyjny SESAAES128 bitySłuży do uzyskiwania klucza sesyjnego SESADRAM (tekst jawny)Po zakończeniu wymiany kluczy
Klucz sesyjny uzyskany z SESAAES128 bitów i

192 bity

Służy do ochrony ruchu przez porty układania w stosyDRAM (tekst jawny)Po opuszczeniu stosu
SNMPv3
snmpIdentyfikator silnikaWspólny sekret32-bitówUnikalny ciąg identyfikujący silnik SNMPNVRAM (tekst jawny)„# no snmp-server engineID local engineid-string”, nadpisane nowym identyfikatorem silnika
SNMPv3

password

wspólny sekret256 bityTen klucz tajny służy do uzyskiwania klucza HMAC-SHA1 do uwierzytelniania SNMPv3DRAM (tekst jawny)Cykl zasilania
SNMPv3

klucz sesji

AES128-bitSzyfruje ruch SNMPv3DRAM (tekst jawny)Cykl zasilania
IPSec
skejdWspólny sekret160 bity

Używany do uzgadniania klucza w IKE. Ten klucz został wyprowadzony w module

DRAM (tekst jawny)Cykl zasilania
skeyid_dWspólny sekret160 bityUżywany do uzgadniania klucza w IKEDRAM (tekst jawny)Cykl zasilania
NASIONA SKITAMateriał klucza160 bity

Wspólny sekret znany tylko partnerom IKE. Został wyprowadzony za pomocą funkcji derywacji klucza zdefiniowanej w SP800-135 KDF (IKEv2) i będzie używany do wyprowadzenia klucza uwierzytelniania sesji IKE.

DRAM (tekst jawny)Automatycznie po zakończeniu sesji IPSec/IKE
Klucz szyfrowania sesji IKEPOTRÓJNE DES/AES168-bitowy TRIPLE-DES lub 256-bitowy AES

Pochodzące z modułu używanego do weryfikacji integralności ładunku IKEv1/v2

DRAM (tekst jawny)Cykl zasilania
Klucz uwierzytelniania sesji IKEHMAC-SHA1160 bityKlucz HMAC-SHA1DRAM (tekst jawny)Cykl zasilania
IKE

klucz prywatny uwierzytelniania

RSA/ECDSARSA (2048 bitów) lub ECDSA

(Krzywe:

P-256/P-384)

Klucz prywatny RSA/ECDSA używany w uwierzytelnianiu IKEv1/v2. Ten klucz jest generowany przez wywołanie SP800-90A DRBG.

NVRAM (tekst jawny)Zerowane przez polecenie usunięcia pary kluczy RSA/ECDSA
IKE

klucz publiczny uwierzytelniania

RSA/ECDSARSA (2048 bitów) lub ECDSA (krzywe:
P-256/P-384)

Klucz publiczny RSA/ECDSA używany w uwierzytelnianiu IKEv1/v2. Klucz jest wyprowadzany zgodnie z metodą generowania pary kluczy RSA/ECDSA FIPS 186-4 w module.

NVRAM (tekst jawny)Zerowane przez polecenie usunięcia pary kluczy RSA/ECDSA
Wstępnie udostępnione ISAKMPklucz wstępnyZmienna (ponad 8 znaków)

Ten klucz został skonfigurowany przez CO i używany do uwierzytelniania roli użytkownika przy użyciu mechanizmu uwierzytelniania opartego na kluczu wstępnym IKE

NVRAM (tekst jawny)'# brak klucza kryptograficznego isakmp.. '
Klucz szyfrowania sesji IPSecPOTRÓJNE DES/AES168-bit POTRÓJNIE-

DES lub 256-bitowy AES

Pochodzące z modułu używanego do weryfikacji integralności ładunku IKEv1/v2DRAM (tekst jawny)Cykl zasilania
Klucz uwierzytelniania sesji IPSecHMAC-SHA1160 bityKlucz HMAC-SHA1DRAM (tekst jawny)Cykl zasilania
MACs
Klucz skojarzenia zabezpieczeń MACsec (SAK)AES-GCM128-, 256-bitów

Służy do tworzenia powiązań zabezpieczeń (SA) do szyfrowania/odszyfrowywania ruchu płaszczyzny danych MACsec. Pochodzi z CAK przy użyciu SP800-108 KDF.

DRAM (tekst jawny)Automatycznie po wygaśnięciu sesji
Klucz powiązania łączności MACsec (CAK)AES-GCM128-, 256-bitów

Wstępnie współdzielony tajny klucz skonfigurowany przez CO, będący w posiadaniu członków stowarzyszenia łączności MACsec (przez MKA) w celu zabezpieczenia ruchu płaszczyzny kontrolnej.

NVRAM (tekst jawny)'# brak ciągu klawiszy... '
Klucz szyfrowania klucza MACsec (KEK)AES-CMAC128/256 bity

Służy do przesyłania SAK do innych członków powiązania łączności MACsec.
Pochodzi z CAK przy użyciu SP800-108 KDF.

DRAM (tekst jawny)Automatycznie po wygaśnięciu sesji
Klucz kontroli integralności MACsec (ICK)AES-GCM128/256 bitySłuży do udowodnienia, że ​​autoryzowany peer wysłał wiadomość. DRAM (tekst jawny)Automatycznie po wygaśnięciu sesji

2. 5 Autotesty
Moduły obejmują szereg autotestów, które są uruchamiane podczas uruchamiania i okresowo podczas operacji, aby zapobiec uwolnieniu jakichkolwiek zabezpieczonych danych i upewnić się, że wszystkie komponenty działają poprawnie.

2. 5. 1 Autotesty po włączeniu zasilania (POST)

  • Test integralności oprogramowania układowego (weryfikacja podpisu RSA PKCS#1 v1. 5 (2048 bitów) za pomocą SHA-512)
    • Implementacja algorytmu IC2M Testy ze znaną odpowiedzią:
    • AES-CBC (szyfrowanie/odszyfrowywanie) KAT
    • AES GCM kat
    • AES-CMAC KAT
    • SP 800-90A CTR_DRBG KAT
    • SP 800-90A Sekcja 11 Testy zdrowotne
    • FIPS 186-4 ECDSA Podpisz/zweryfikuj (krzywa: P-256)
    • HMAC-SHA-1, -256, -384, 512 KAT
    • ECC Pierwotny „Z” KAT
    • FFC Pierwotny „Z” KAT
    • FIPS 186-4 RSA (podpisz/zweryfikuj) KAT (rozmiar: 2048)
    • SHA-1, -256, -384, -512 KAT
    • Potrójne DES CBC (szyfrowanie/odszyfrowywanie) KAT
    • KBKDF (licznik) KAT
  • CiscoSSL FIPS Obiekt Implementacja algorytmu modułu Testy znanych odpowiedzi:
    • AES-ECB (szyfrowanie/odszyfrowywanie) KAT
    • AES-CCM (szyfrowanie/odszyfrowywanie) KAT
    • AES-GCM (szyfrowanie/odszyfrowywanie) KAT
    • AES-CMAC KAT
    • AES-XTS (szyfrowanie/odszyfrowywanie) KAT
    • SP800-90A CTR_DRBG KAT
    • SP 800-90A Sekcja 11 Testy zdrowotne
    • FIPS 186-4 Test podpisania/weryfikacji DSA (rozmiar: 2048)
    • Test podpisania/weryfikacji FIPS 186-4 ECDSA (krzywa: P-256)
    • HMAC-SHA1, -224, -256, -384, -512 KAT
    • ECC CDH KAT
    • FIPS 186-4 RSA (podpisz/zweryfikuj) KAT (rozmiar: 2048)
    • SHA-1 KAT
    • Test integralności oprogramowania (HMAC-SHA1)
    • Triple-DES-ECB (szyfrowanie/odszyfrowywanie) KAT
    • KBKDF (licznik) KAT
  • Testy znanej odpowiedzi implementacji algorytmu sprzętowego UADP ASIC:
    • AES-ECB (szyfrowanie/odszyfrowywanie) KAT

2. 2 Testy warunkowe

  • Test obejścia warunkowego
  • Testy warunkowe implementacji algorytmu IC2M:
    o Test spójności parami dla RSA
    o Test zgodności parami dla ECDSA
    o Ciągły test generowania liczb losowych dla zatwierdzonego DRBG
  • Testy warunkowe implementacji algorytmu obiektu CiscoSSL FIPS:
    o Testy spójności parami dla RSA, DSA i ECDSA
    o Ciągły test generowania liczb losowych dla zatwierdzonego DRBG
  • Ciągłe testy stanu NDRNG:
    o Adaptacyjny test proporcji (APT)
    o Test liczby powtórzeń (RCT)

Urządzenia wykonują wszystkie autotesty po włączeniu zasilania automatycznie podczas rozruchu. Wszystkie autotesty po włączeniu muszą przejść pomyślnie, zanim każda rola zacznie wykonywać usługi. 6 Bezpieczeństwo fizyczne
Moduły kryptograficzne w całości zamknięte w obudowie klasy produkcyjnej. Obudowy modułów posiadają zdejmowane osłony.

Bezpieczna obsługa

Przełączniki spełniają wszystkie ogólne wymagania poziomu 1 dla FIPS 140-2. Postępuj zgodnie z instrukcjami konfiguracji podanymi poniżej, aby ustawić moduły w trybie zatwierdzonym przez FIPS. Korzystanie z tych przełączników bez zachowania następujących ustawień spowoduje usunięcie modułów z trybu działania zatwierdzonego przez FIPS.

3. 1 Inicjalizacja i konfiguracja systemu

  1. CO musi utworzyć hasło „włącz” dla roli CO. Zgodnie z procedurami hasło musi składać się z co najmniej 8 znaków, w tym co najmniej jednej litery i co najmniej jednej cyfry, i jest wprowadzane, gdy CO po raz pierwszy uruchamia polecenie „włącz”. CO wprowadza następującą składnię po znaku zachęty „#”: Switch(config)# enable secret [HASŁO]
  2. CO musi zawsze przydzielać użytkownikom hasła (co najmniej 8 znaków, w tym co najmniej jedną literę i co najmniej jedną cyfrę). Identyfikacja i uwierzytelnianie na konsoli/portie pomocniczym jest wymagane dla użytkowników. Z wiersza poleceń „konfiguruj terminal” CO wprowadza następującą składnię:
    Switch(config)# nazwa użytkownika nazwa [poziom uprawnień] {hasło hasło typu szyfrującego}
    Switch(config)# linia con 0
    Switch(konfiguracja-linia)# zaloguj się lokalnie
  3. Wyłącz ręczne uruchamianie:
    Switch(config)#no boot manual
  4. Wyłącz Telnet i skonfiguruj Secure Shell dla zdalnej linii poleceń: Switch(config)# line vty numer_linii [numer_linii_końcowej] lub Switch(config)# transport input ssh
  5. Wyłącz następujące interfejsy przez konfigurację:
    a. Przełącznik USB 3. 0 (konfiguracja) # przełącznik modułu sprzętowego 1 odmontowanie usbflash1
    b. Dostęp do konsoli bezprzewodowej za pomocą przełącznika Bluetooth (konfiguracja) # hw-module beacon rp aktywny wyłączony
  6. Aby upewnić się, że odbierane są wszystkie rejestry FIPS 140-2, ustaw poziom rejestrowania: Switch(config)# błąd konsoli rejestrowania
  7. CO włącza tryb FIPS, konfigurując klucz autoryzacji: Switch(config)# klucz autoryzacji fips <128-bitowy, tj. 16-bitowy klucz szesnastkowy>
  8. CO może skonfigurować moduły do ​​używania RADsec do uwierzytelniania. Jeśli moduły są skonfigurowane do korzystania z RADsec, Crypto Officer musi zdefiniować klucze RADIUS lub współdzielone tajne klucze, które mają co najmniej 8 znaków, w tym co najmniej jedną literę i co najmniej jedną cyfrę.
  9. CO przypisuje użytkownikom tylko poziom uprawnień 1 (domyślny).
  10. Dowódca nie może przypisać komendy do żadnego poziomu uprawnień innego niż domyślny.
    Uwaga: Klucze i CSP wygenerowane w module kryptograficznym podczas pracy w trybie FIPS nie mogą być używane, gdy moduł przechodzi do trybu innego niż FIPS i odwrotnie. Gdy moduł przechodzi z trybu FIPS do trybu non-FIPS lub z trybu non-FIPS do trybu FIPS, wszystkie klucze i CSP muszą zostać wyzerowane przez Crypto Officer. Aby przejść z trybu FIPS do trybu innego niż FIPS, Crypto Officer musi wyzerować moduł, aby usunąć cały tekst jawny, tajne klucze i CSP, jak określono w Tabeli 8 niezastrzeżonego dokumentu FIPS 140-2 Security Policy, a Crypto Officer ma wydać komendę „no fips Authorization key <128-bit (16 oktet) key to use>” oprócz tych zdefiniowanych w Tabeli 8 dokumentu polityki bezpieczeństwa.

3. 2 Sprawdź tryb działania FIPS
Użyj wiersza polecenia, aby wyświetlić informacje o konfiguracji FIPS. Wyjście CLI przełącznika pokazuje stan pracy w trybie FIPS.

  1. Aby upewnić się, że tryb pracy FIPS jest włączony.
    Przełącz #pokaż stan fipsów
    Switch i Stacking działają w trybie fips
    or
    Przełącz #pokaż stan fipsów
    Switch i Stacking nie działają w trybie fips

Ruch RADIUS powinien być zawsze tunelowany przez protokół TLS w trybie Zatwierdzony, a jeśli ruch RADIUS jest skonfigurowany samodzielnie bez protokołu tunelowania (tj. operacja.

© Prawa autorskie 2021 Cisco Systems, Inc.
Niniejszy dokument może być swobodnie powielany i rozpowszechniany w całości iw stanie nienaruszonym, łącznie z niniejszą Informacją o prawach autorskich.

Dokumenty / Zasoby

Jak korzystać?

Naszym celem jest zapewnienie Ci jak najszybszego dostępu do treści zawartych w instrukcji obsługi urządzenia Cisco Systems Cisco Catalyst 2960-X WSC2960X24PSL. Korzystając z podglądu online możesz szybko przejrzeć spis treści i przejść do strony, na której znajdziesz rozwiązanie swojego problemu z Cisco Systems Cisco Catalyst 2960-X WSC2960X24PSL.

Dla Twojej wygody

Jeżeli przeglądanie instrukcji Cisco Systems Cisco Catalyst 2960-X WSC2960X24PSL bezpośrednio na tej stornie nie jest dla Ciebie wygodne, możesz skorzystać z dwóch możliwych rozwiązań:

  • Przeglądanie pełnoekranowe - Aby wygodnie przeglądać instrukcję (bez pobierania jej na komputer) możesz wykorzystać tryp przeglądania pełnoekranowego. Aby uruchomić przeglądanie instrukcji Cisco Systems Cisco Catalyst 2960-X WSC2960X24PSL na pełnym ekranie, użyj przycisku Pełny ekran.
  • Pobranie na komputer - Możesz również pobrać instrukcję Cisco Systems Cisco Catalyst 2960-X WSC2960X24PSL na swój komputer i zachować ją w swoich zbiorach. Jeżeli nie chcesz jednak marnować miejsca na swoim urządzeniu, zawsze możesz pobrać ją w przyszłości z ManualsBase.

Instrukcja obsługi Cisco Systems Cisco Catalyst 2960-X WSC2960X24PSL

Advertisement
Wersja drukowana

Wiele osób woli czytać dokumenty nie na ekranie, lecz w wersji drukowanej. Opcja wydruku instrukcji również została przewidziana i możesz z niej skorzystać klikając w link znajdujący się powyżej - Drukuj instrukcję. Nie musisz drukować całej instrukcji Cisco Systems Cisco Catalyst 2960-X WSC2960X24PSL a jedynie wybrane strony. Szanuj papier.

Streszczenia

Poniżej znajdziesz zajawki treści znajdujących się na kolejnych stronach instrukcji do Cisco Systems Cisco Catalyst 2960-X WSC2960X24PSL. Jeżeli chcesz szybko przejrzeć zawartość stron znajdujących się na kolejnych strinach instrukcji, możesz z nich skorzystać.

Drogi Użytkowniku,

klikając przycisk „AKCEPTUJĘ”  zgadzasz się, aby serwis Ceneo. pl sp z. o. i jego Zaufani Partnerzy przetwarzali Twoje dane osobowe zapisywane w plikach cookies lub za pomocą podobnej technologii w celach marketingowych (w tym poprzez profilowanie i analizowanie) podmiotów innych niż Ceneo. pl, obejmujących w szczególności wyświetlanie spersonalizowanych reklam w serwisie Ceneo. pl.

Wyrażenie zgody jest dobrowolne. Wycofanie zgody nie zabrania serwisowi Ceneo. pl przetwarzania dotychczas zebranych danych.

Wyrażając zgodę, otrzymasz reklamy produktów, które są dopasowane do Twoich potrzeb. Sprawdź Zaufanych Partnerów Ceneo. pl. Pamiętaj, że oni również mogą korzystać ze swoich zaufanych podwykonawców.Informujemy także, że korzystając z serwisu Ceneo. pl, wyrażasz zgodę na przechowywanie w Twoim urządzeniu plików cookies lub stosowanie innych podobnych technologii oraz na wykorzystywanie ich do dopasowywania treści marketingowych i reklam, o ile pozwala na to konfiguracja Twojej przeglądarki. Jeżeli nie zmienisz ustawień Twojej przeglądarki, cookies będą zapisywane w pamięci Twojego urządzenia. Więcej w Polityce Plików Cookies.Więcej o przetwarzaniu danych osobowych przez Ceneo. pl, w tym o przysługujących Ci uprawnieniach, znajdziesz tutaj.Więcej o plikach cookies, w tym o sposobie wycofania zgody, znajdziesz tutaj.Pamiętaj, że klikając przycisk „Nie zgadzam się” nie zmniejszasz liczby wyświetlanych reklam, oznacza to tylko, że ich zawartość nie będzie dostosowana do Twoich zainteresowań.

Nie zgadzam się

Instrukcje i wykaz części Cisco Catalyst 6509 V E

Bezpośredni link do pobrania Instrukcje i wykaz części Cisco Catalyst 6509 V E

Starannie wybrane archiwa oprogramowania - tylko najlepsze! Sprawdzone pod kątem złośliwego oprogramowania, reklam i wirusów

Ostatnia aktualizacja Instrukcje i wykaz części Cisco Catalyst 6509 V E