Instrukcje operacyjne Cisco Telepresence C Series są przeznaczone do użytku w połączeniach wideo i służą do konfigurowania, monitorowania i diagnostyki systemów Cisco Telepresence C Series. Instrukcje operacyjne Cisco Telepresence C Series obejmują szczegółowe informacje na temat składania i działania urządzenia, jak również omówienie wszystkich opcji konfiguracji i możliwości. Instrukcje operacyjne Cisco Telepresence C Series zawierają wszystkie niezbędne informacje do korzystania z tego systemu, w tym instrukcje dotyczące tworzenia połączeń, konfiguracji, monitorowania i diagnostyki. Instrukcje te są dostępne w wersji drukowanej, a także w formie plików PDF i innych formatów elektronicznych, a informacje można łatwo wyszukiwać w sieci.
Ostatnia aktualizacja: Instrukcje operacyjne Cisco Telepresence C Series
Przełączniki z serii Cisco Catalyst 9300 1. 1. XNUMX Cel FIPS 140-2 (Federal Information Processing Standards Publication 140-2 — Security Requirements for Cryptographic Modules) wyszczególnia wymagania rządu Stanów Zjednoczonych dotyczące modułów kryptograficznych. Więcej informacji na temat standardu FIPS 140-2 i programu sprawdzania poprawności jest dostępnych w NIST webstrona w https://csrc. gov/Projects/Cryptographic-Module-Validation-Program. Tabela 1: Poziom walidacji modułów
Cisco Systems, Inc
FIPS 140-2 niezastrzeżona polityka bezpieczeństwa
Walidacja poziomu 1
Wersja 1. 1
26 czerwca 2021 r.
Instrukcja obsługiWprowadzenie
Ten dokument jest niezastrzeżoną Polityką bezpieczeństwa modułów kryptograficznych dla przełączników Cisco Catalyst serii 9300 z oprogramowaniem sprzętowym Cisco IOS-XE w wersji 16. 12 lub 17. 3. Niniejsza polityka bezpieczeństwa opisuje, w jaki sposób wymienione poniżej moduły spełniają wymagania bezpieczeństwa FIPS 140-2 poziom 1 oraz jak obsługiwać przełączniki z włączoną obsługą kryptografii na płycie w bezpiecznym trybie FIPS 140-2.
Seria Cisco Catalyst 9300 ma dziewięć podstawowych jednostek SKU, które są objęte tą weryfikacją, jak podano poniżej:
Cisco Catalyst 9300-24S
Cisco Catalyst 9300-48S
Cisco Catalyst 9300L-24T-4G
Cisco Catalyst 9300L-24P-4G
Cisco Catalyst 9300L-48T-4G
Cisco Catalyst 9300L-48P-4G
Cisco Catalyst 9300L-24T-4X
Cisco Catalyst 9300L-24P-4X
Cisco Catalyst 9300L-48T-4X
Cisco Catalyst 9300L-48P-4X
Cisco Catalyst 9300L-24UX-4X
Cisco Catalyst 9300L-48UX-4X
Cisco Catalyst 9300L-24UX-2Q
Cisco Catalyst 9300L-48UX-2Q
1. 2 Poziom walidacji modułów
Poniższa tabela zawiera listę poziomów weryfikacji dla każdego obszaru w FIPS PUB 140-2. Nie. Tytuł obszaru poziom 1 Specyfikacja modułu kryptograficznego 1 2 Porty i interfejsy modułów kryptograficznych 1 3 Role, usługi i uwierzytelnianie 3 4 Model stanu skończonego 1 5 Bezpieczeństwo fizyczne 1 6 Środowisko operacyjne N / A 7 Zarządzanie kluczami kryptograficznymi 1 8 Interfejs elektromagnetyczny/kompatybilność elektromagnetyczna 1 9 Autotesty 1 10 Zapewnienie projektu 2 11 Łagodzenie innych ataków N / A Ogólny poziom walidacji modułu 1
Referencje 1. 3
Ten dokument dotyczy tylko operacji i możliwości modułów w warunkach technicznych zasad bezpieczeństwa modułów kryptograficznych FIPS 140-2. Więcej informacji na temat przełączników można znaleźć w następujących źródłach:
Systemy Cisco webzawiera informacje o pełnej linii produktów Cisco. Zapoznaj się z poniższymi informacjami webwitryny dla: Przełączniki Cisco Catalyst serii 9300 – https://www. html
Aby uzyskać odpowiedzi na pytania techniczne lub dotyczące sprzedaży, skontaktuj się z osobami kontaktowymi wymienionymi w Cisco Systems webstrona w www. com.
Moduły zatwierdzone przez NIST webStrona (http://csrc. html) zawiera dane kontaktowe w celu uzyskania odpowiedzi na pytania techniczne lub dotyczące sprzedaży dotyczące modułów.
1. 4 Terminologia
W tym dokumencie przełączniki Cisco Catalyst serii 9300 są określane jako przełączniki C9300, przełączniki, urządzenia, moduły kryptograficzne lub moduły. 5 Organizacja dokumentów
Dokument zasad bezpieczeństwa jest częścią pakietu przesyłania FIPS 140-2. Oprócz niniejszego dokumentu, Pakiet Zgłoszeniowy zawiera:
Dokument potwierdzający sprzedawcę
Maszyna skończona
Inna dokumentacja pomocnicza jako dodatkowe referencje
Ten dokument zawiera ponadview przełączników Cisco Catalyst serii 9300 i wyjaśnia bezpieczną konfigurację i działanie modułów. Po tej części wprowadzającej następuje sekcja 2, w której szczegółowo opisano ogólne cechy i funkcje przełączników. Sekcja 3 dotyczy w szczególności wymaganej konfiguracji dla trybu pracy FIPS.
Z wyjątkiem niniejszej niezastrzeżonej polityki bezpieczeństwa, dokumentacja przedłożenia w celu walidacji FIPS 140-2 jest własnością firmy Cisco i może zostać udostępniona wyłącznie na podstawie odpowiednich umów o zachowaniu poufności.
Aby uzyskać dostęp do tych dokumentów, skontaktuj się z Cisco Systems.
Przełączniki Cisco Systems Catalyst z serii 9300
Przełączniki Cisco Catalyst 9300 Series to następna generacja przełączników warstwy dostępu do układania w stosy klasy korporacyjnej, które są częścią rodziny Cisco Catalyst 9000. Przełączniki te obsługują również pełne IEEE802. 3at PoE+, Cisco UPOE, modułowe i wymienialne moduły sieciowe, nadmiarowe wentylatory i zasilacze. Ponadto modele oparte na Cisco Catalyst 9300 obsługują różne moduły łącza uplink, zarówno miedziane, jak i światłowodowe. Modele te zapewniają jeszcze większą elastyczność wyboru interfejsu, którego można dokonać w jednym przełączniku Cisco Catalyst z serii 9300 lub w stosie przełączników z serii Cisco Catalyst 9300.
Poniższa ilustracja przedstawia reprezentację przełączników Catalyst 9300. Wszystkie modele przełączników mają podobny wygląd. Wewnętrzne możliwości i numery portów wyróżniają modele.
Rysunek 1: (a) 9300-portowe przełączniki serii Cisco Catalyst 24 i (b) 9300-portowe przełączniki serii Cisco Catalyst 48 Seria Cisco Catalyst 9300 obejmuje wielogigabitowe przełączniki z portami Ethernet, SFP+ i PoE+, a przełączniki obsługują również funkcję Cisco StackWise. Przełączniki zawierają algorytmy kryptograficzne zaimplementowane w oprogramowaniu układowym IOS-XE oraz sprzętowe układy ASIC.
Moduły obsługują RADsec (RADIUS przez TLS), IKE/IPSec, TLS, SESA (Symmetric Early Stacking Authentication), SNMPv3, SSHv2 i MACsec.
Moduły kryptograficzne mają dwa tryby działania: tryb FIPS i tryb non-FIPS. Tryb inny niż FIPS jest domyślny dla przełączników. Za instalację i konfigurację modułów w trybie FIPS odpowiada Crypto-Officer. Szczegółowe instrukcje konfiguracji trybu pracy FIPS można znaleźć w sekcji Bezpieczne działanie tego dokumentu.
2. 1 Moduły kryptograficzne Interfejsy i właściwości fizyczne
Moduły są samodzielnymi modułami kryptograficznymi z wieloma chipami. Granica kryptograficzna jest zdefiniowana jako obejmująca „górną”, „przednią”, „lewą”, „prawą”, „tylną” i „dolną” powierzchnię obudowy przełączników i obudowy przełączników.
Fizyczna granica obejmuje moduł kryptograficzny ACT2Lite (certyfikat CMVP nr 3637). Przełączniki Cisco Catalyst 9300 Series zapewniają obsługę następujących funkcji:
Tabela 2 — modele i opisy przełączników Cisco Catalyst serii 9300
| Model przełącznika | Opis |
| C9300-24S | Możliwość układania w stos 24 portów 10/100/1000 Mb/s PoE+; Budżet PoE 445 W z zasilaczem AC 715 W; obsługuje StackWise-480 i StackPower. |
| C9300-48S | Możliwość układania w stos 24 portów 1G SFP; dwa gniazda zasilaczy z fabrycznie zainstalowanym zasilaczem 715W AC; obsługuje StackWise-480 i StackPower. |
| C9300L-24T-4G | Możliwość układania w stos 24 portów 10/100/1000 PoE+; Budżet PoE 445 W z zasilaczem 715 WAC; obsługuje StackWise-480 i StackPower. |
| C9300L-24P-4G | Możliwość układania w stos 48 portów 10/100/1000 PoE+; Budżet PoE 437 W z zasilaczem 715 WAC; obsługuje StackWise-480 i StackPower. |
| C9300L-48T-4G | Możliwość układania w stos 24 portów 10/100/1000 UPoE; Budżet PoE 830 W z zasilaczem 1100 WAC; obsługuje StackWise-480 i StackPower. |
| C9300L-48P-4G | Możliwość układania w stos 48 portów 10/100/1000 UPoE; Budżet PoE 822 W z zasilaczem 1100 WAC; obsługuje StackWise-480 i StackPower. |
| C9300L-24T-4X | Możliwość układania w stos 24 wielogigabitowych portów Ethernet (100 Mb/s lub 1/2. 5/5/10 Gb/s) UPoE; Budżet PoE 560 W z zasilaczem 1100 WAC; obsługuje StackWise-480 i StackPower. |
| C9300L-24P-4X | Możliwość układania w stos 48 (12 Multigigabit Ethernet i 36 2. 5 Gb/s) portów UPoE; Budżet PoE 490 W z zasilaczem 1100 WAC; obsługuje StackWise-480 i StackPower. |
| C9300L-48T-4X | Możliwość układania w stos 48 portów Multigigabit Ethernet (100 Mb/s lub 1/2. 5/5 Gb/s) UPoE; Budżet PoE 610 W z zasilaczem 1100 WAC; obsługuje StackWise-480 i StackPower. |
| C9300L-48P-4X | Możliwość układania w stos 48 portów 10/100/1000 Mb/s PoE+; stałe porty uplink x10G SFP+; Budżet PoE 505 W z zasilaczem 715 WAC; obsługuje StackWise-320. |
| C9300L-24UX-4X | Możliwość układania w stos 16 portów 10/100/1000M, 8 portów 100M/1000M/2. 5G/5G/10G, 4 porty 10G SFP+ Uplink; Budżet PoE 560 W z zasilaczem 1100 WAC; obsługuje StackWise-480 i StackPower. |
| C9300L-48UX-4X | Możliwość układania w stos 36x 100 Mb/s, 1G, 2. 5G + 12x Multigigabit (100M, 1G, 2. 5G, 5G lub 10 Gb/s) porty UPoE; Budżet PoE 610 W z zasilaczem AC 1100 W; obsługuje StackWise-490 i StackPower. |
| C9300L-24UX-2Q | Możliwość układania w stos 24 wielogigabitowych portów Ethernet (100M, 1G, 2. 5G, 5G lub 10 Gb/s) UPoE; Budżet PoE 560 W z zasilaczem 1100 WAC; obsługuje StackWise-480 i StackPower. |
| C9300L-48UX-2Q | Możliwość układania w stos portów 48x 5 Gb/s UPOE (100M, 1G, 2. 5G, 5G) porty UPoE; Budżet PoE 645 W z zasilaczem 1100 WAC; obsługuje StackWise-480 i StackPower. |
Wszystkie modele przełączników mają podobne komponenty, ale mogą mieć niewielkie różnice kosmetyczne na ramkach. plus/wp-content/uploads/2022/12/cisco-Catalyst-9300-Series-Network-Essentials-Switch-Series-Switches. png" alt="Cisco Catalyst 9300 Series Network Essentials Switch — przełączniki serii" width="645" height="275" data-ezsrcset="https://pl. png 856w, https://pl. plus/wp-content/uploads/2022/12/cisco-Catalyst-9300-Series-Network-Essentials-Switch-Series-Switches-550x235. plus/wp-content/uploads/2022/12/cisco-Catalyst-9300-Series-Network-Essentials-Switch-Series-Switches-768x327. png 768w" sizes="(max-width: 645px) 100vw, 645px" ezimgfmt="rs rscb1 src ng ngcb1 srcset" data-ezsrc="https://pl. png 768w"/>
Rysunek 2: Elementy panelu przedniego przełączników Cisco Catalyst serii 9300
| 1 | Lampa ostrzegawcza LED | 4 | Port pamięci masowej USB typu A |
| 2 | Diody LED stanu | 5 | 10/100/1000 portów PoE+ |
| 3 | Port USB mini typu B (konsola). | 6 | Gniazda modułów sieciowych |
| 1 | Port USB 3. 0–SSD | 6 | Moduły zasilania |
| 2 | MGMT (port zarządzania RJ-45 10/100/1000) | 7 | SYGNALIZACJA LED |
| 3 | Złącza portu StackWise-480 | 8 | KONSOLA (port konsoli RJ-45) |
| 4 | Dioda LED stanu AC OK (wejście). | 9 | Moduły wentylatorów |
| 5 | Dioda LED stanu PS OK (wyjście). | 10 | Złącza StackPower |
Moduły udostępniają szereg fizycznych i logicznych interfejsów urządzenia, a fizyczne interfejsy zapewniane przez moduły są mapowane na następujące interfejsy logiczne zdefiniowane w standardzie FIPS 140-2: wejście danych, wyjście danych, wejście sterowania, wyjście stanu i zasilanie. Interfejsy logiczne i ich mapowanie opisano w poniższych tabelach.
Tabela 3: Odwzorowanie interfejsu fizycznego/logicznego Catalyst 9300
| Interfejs logiczny FIPS 140-2 | Fizyczne interfejsy i okablowanie |
| Interfejs wejścia danych, interfejs wyjścia danych | Porty 1000BASE-T: złącza RJ-45, 4-parowe okablowanie Cat 5E UTP Porty Multigigabit-T: złącza RJ-45, 4 pary okablowania UTP Cat 5E, Cat 6, Cat 6A Porty 1000BASE-T SFP: złącza RJ-45, 4 pary okablowania UTP Cat 5E 100BASE-FX, 1000BASE-SX, -LX/LH, -ZX, -BX10, gęste multipleksowanie z podziałem długości fali (DWDM) i zgrubne multipleksowanie z podziałem długości fali (CWDM) SFP: złącza światłowodowe LC (światłowód jednomodowy lub wielomodowy) Transceivery 10GBASE-SR, LR, LRM, ER, ZR, DWDM SFP+: złącza światłowodowe LC (światłowód jednomodowy lub wielomodowy) złącze QSFP SFP+ |
| Interfejs wejścia sterującego, interfejs wyjścia stanu | Porty 1000BASE-T: złącza RJ-45, 4-parowe okablowanie Cat 5E UTP Porty Multigigabit-T: złącza RJ-45, 4-parowe okablowanie UTP Cat 5E, Cat 6, Cat 6A Porty 1000BASE-T SFP: złącza RJ-45, 4-parowe okablowanie Cat 5E UTP Porty stosowe Cisco StackWise-480: miedziane okablowanie Cisco StackWise Port zarządzania Ethernet: złącza RJ-45, 4-parowe okablowanie Cat 5 UTP Port konsoli zarządzania: kabel RJ-45-do-DB9 do połączeń z komputerem Uniwersalna magistrala szeregowa (USB) typu A Mini-USB typu B |
| Interfejs wyjścia statusu | Dioda elektroluminescencyjna (LED) · Dioda LED konsoli USB · Dioda systemowa · Aktywna dioda LED · Dioda STOSOWANIA · Dioda PoE · Dioda LED XPS · Dioda LED zasilania stosu · Diody LED portów · Dioda ostrzegawcza · Diody LED modułu sieciowego |
| Interfejs zasilania | Złącze zasilania prądem przemiennym Cisco StackPower: Opatentowane przez firmę Cisco kable do układania w stosy |
Następujące interfejsy fizyczne nie mogą być używane w trybie FIPS:
- Uniwersalna magistrala szeregowa (USB)
- Bezprzewodowy dostęp do konsoli przez Bluetooth
2. 2 Role, usługi i uwierzytelnianie
Moduły obsługują uwierzytelnianie oparte na tożsamości. Każdy użytkownik jest uwierzytelniany przy pierwszym dostępie do modułów. W przełącznikach można przyjąć dwie role: rolę Crypto-Officer (CO) i rolę User. Administrator przełączników pełni rolę CO w celu konfiguracji i konserwacji przełączników, podczas gdy Użytkownicy to procesy realizujące usługi bezpieczeństwa w sieci. 2. 1 Rola użytkownika
Rolę tę przejmują użytkownicy uzyskujący usługi zabezpieczonej transmisji danych. Z logicznego view, aktywność użytkownika istnieje w płaszczyźnie danych za pośrednictwem zdefiniowanych interfejsów wejścia/wyjścia danych. Użytkownicy są uwierzytelniani przy użyciu metod EAP i 802. 1X-REV, a ich dane są chronione protokołami 802. 1AE. EAP i 802. 1X-REV mogą używać poświadczeń opartych na hasłach do uwierzytelniania roli użytkownika — w takim przypadku hasło użytkownika musi mieć co najmniej osiem (8) znaków. Hasło musi zawierać co najmniej jeden znak specjalny i co najmniej jeden znak cyfry oraz sześć dodatkowych znaków zaczerpniętych z 26-wielkich liter, 26-małych liter, 10-cyfr i 32-znaków specjalnych (wymuszone proceduralnie). Wymóg ten daje (26 + 26 + 10 + 32 =) 94 opcje postaci do wyboru. Bez powtórzeń znaków liczba prawdopodobnych kombinacji to połączone prawdopodobieństwo z 6 znaków (94x93x92x91x90x89) razy jeden znak specjalny (32) razy 1 liczba (10), co daje (94x93x92x91x90x89x32x10 =) 187, 595, 543, 116, 800 1 187, 595, 543, 116, 800 1 1, 000, 000. W związku z tym powiązane prawdopodobieństwo pomyślnej losowej próby wynosi około 140 na 2 3, 126, 592, 385, 280 XNUMX XNUMX XNUMX, czyli mniej niż XNUMX na XNUMX XNUMX XNUMX wymagane przez FIPS XNUMX-XNUMX. Aby z powodzeniem odgadnąć sekwencję w ciągu jednej minuty, potrzebna byłaby możliwość wykonania ponad XNUMX XNUMX XNUMX XNUMX XNUMX prób zgadywania na sekundę, co znacznie przekracza możliwości operacyjne przełączników.
EAP i 802. 1X-REV mogą również uwierzytelniać rolę Użytkownika za pomocą poświadczeń certyfikatu przy użyciu 2048-bitowych kluczy RSA – w takim przypadku siła bezpieczeństwa wynosi 112 bitów, więc związane z tym prawdopodobieństwo udanej losowej próby wynosi 1 do 2, czyli mniej niż 1 na 1, 000, 000 140 2 wymagane przez FIPS 100, 000-8. 65. Aby przekroczyć prawdopodobieństwo 10 na 112 XNUMX udanego losowego odgadnięcia klucza w ciągu jednej minuty, atakujący musiałby być w stanie wykonać około XNUMX×XNUMX³¹ XNUMX prób na sekundę, co znacznie przekracza możliwości operacyjne modułów.
Usługi dostępne dla roli Użytkownika uzyskującego dostęp do CSP, typ dostępu – odczyt (r), zapis (w), wykonanie (e) oraz wyzerowanie/usunięcie (d) są wymienione poniżej:
Tabela 4 — Usługi dla użytkowników
| Usługi | Opis | Dostęp do kluczy i CSP |
| Zabezpieczony samolot danych | Funkcje sieciowe MACsec: usługi uwierzytelniania, kontroli dostępu, poufności i integralności danych świadczone przez protokół MACsec | Klucz prywatny Diffie-Hellman (DH), klucz publiczny Diffie-Hellman (DH), klucz współdzielony Diffie-Hellman (DH), MACsec Security Association Key (SAK), MACsec Connectivity Association Key (CAK), MACsec Key Encryption Key (KEK), MACsec Integrity Check Key (ICK) (w, e, d) |
| Usługi obejścia | Ruch bez przetwarzania kryptograficznego z wyjątkiem uwierzytelniania. Reguła musi być wcześniej skonfigurowana przez Crypto Officera. | Klucz prywatny Diffie-Hellman (DH), klucz publiczny Diffie-Hellman (DH), wspólny sekret Diffie-Hellman (DH) (w, e, d) |
2. 2 Rola oficera kryptograficznego
Rolę tę przejmuje autoryzowany CO łączący się ze switchami poprzez CLI poprzez port konsoli i wykonujący funkcje zarządzania oraz konfigurację modułów. Ponadto mistrz stosu jest uważany za CO dla członków stosu. Z logicznego view, aktywność CO istnieje tylko w płaszczyźnie kontrolnej. IOS-XE monituje CO o podanie nazwy użytkownika i hasła, a jeśli hasło zostanie zweryfikowane z hasłem CO w pamięci IOS-XE, CO może wejść do programu wykonawczego IOS-XE. CO może przypisać uprawnienia dostępu do roli CO do dodatkowych kont, tworząc w ten sposób dodatkowe CO. Moduły kryptograficzne obsługują RADsec do uwierzytelniania CO.
Hasła CO muszą mieć co najmniej osiem (8) znaków. Sekcje Bezpieczna operacja wymuszają proceduralnie, że hasło musi zawierać co najmniej jeden znak specjalny i co najmniej jeden znak cyfry wraz z sześcioma dodatkowymi znakami wziętymi z 26-wielkich liter, 26-małych liter, 10-cyfr i 32-znaków specjalnych (egzekwowane proceduralnie). Aby skutecznie odgadnąć sekwencję w ciągu jednej minuty, potrzebna byłaby możliwość wykonania ponad XNUMX XNUMX XNUMX XNUMX XNUMX zgadnięć na sekundę, co znacznie przekracza możliwości operacyjne modułów.
Dodatkowo na stosie CO jest uwierzytelniany poprzez posiadanie klucza autoryzacji SESA o długości 128 bitów. Tak więc osoba atakująca miałaby szansę 1 na 2 na pomyślne uwierzytelnienie, która jest znacznie silniejsza niż szansa na milion wymagana przez FIPS 140-2. Aby przekroczyć prawdopodobieństwo 100, 000 na 5. 67 10 udanego losowego odgadnięcia klucza w ciągu jednej minuty, atakujący musiałby być w stanie w przybliżeniu XNUMX × XNUMX36 128 prób na sekundę, czyli mniej niż 1 na 100, 000 XNUMX i znacznie przekracza możliwości operacyjne modułów.
Rola Crypto-Officer odpowiada za konfigurację przełączników. Usługi dostępne dla roli Crypto Officer uzyskującej dostęp do CSP, typ dostępu – odczyt (r), zapis (w), wykonanie (e) i wyzerowanie/usunięcie (d) są wymienione poniżej:
Tabela 5 — Usługi Crypto-Officer
| Usługi | Opis | Dostęp do kluczy i CSP |
| Zdefiniuj reguły i filtruj | Zdefiniuj interfejsy i ustawienia sieciowe, utwórz aliasy poleceń, ustaw obsługiwane protokoły, włącz interfejsy i usługi sieciowe, ustaw datę i godzinę systemową oraz załaduj informacje uwierzytelniające. | Włącz hasło (r, w, e, d) |
| View Funkcje stanu | View konfiguracja przełącznika, tablice routingu, aktywne sesje, stan zdrowia, temperatura, stan pamięci, objtage, statystyki pakietów, review dzienniki księgowe i view stan interfejsu fizycznego. | Włącz hasło (r, w, e, d) |
| Skonfiguruj szyfrowanie/pomiń | Skonfiguruj tabele konfiguracji dla tunelowania IP. Ustaw wstępnie współdzielone klucze i algorytmy, które mają być używane dla każdego zakresu adresów IP lub zezwól na ustawianie pakietów w postaci zwykłego tekstu z określonego adresu IP. | [Klucz szyfrowania sesji IKE, klucz uwierzytelniania sesji IKE, wstępnie udostępniony ISAKMP, klucz prywatny uwierzytelniania IKE, klucz publiczny uwierzytelniania IKE, skeyid, skeyid_d, SKEYSEED, klucz szyfrowania sesji IPsec, klucz uwierzytelniania sesji IPsec] (w, d) i Włącz hasło (r) |
| Skonfiguruj zdalne uwierzytelnianie | Skonfiguruj konto uwierzytelniające dla użytkowników i urządzeń za pomocą RADSec (RADIUS przez TLS) | Klucz tajny RADIUS, klucz zawijania klucza RADIUS, klucz prywatny serwera TLS, klucz publiczny serwera TLS, klucz wstępny TLS, klucze szyfrowania TLS, wejście entropii DRBG, DRBG V, klucz DRBG (w, d) |
| SESA | Skonfiguruj ręcznie bezpieczne układanie (SESA) na każdym z przełączników członkowskich. | Klucz autoryzacji SESA, klucz sesji głównej SESA, klucze sesyjne pochodne SESA (w, e, d) |
| HTTPS | Serwer HTTP przez TLS (1. 2) | Klucz prywatny serwera TLS, klucz publiczny serwera TLS, klucze wstępne TLS, klucze szyfrowania TLS, klucze integralności TLS, wejście entropijne DRBG, DRBG V, klucz DRBG (w, e, d) |
| SSH v2 | Skonfiguruj parametr SSH v2, zapewnij wejście i wyjście CSP. | DH prywatny klucz publiczny DH, wspólny klucz DH, klucz prywatny SSH RSA, klucz publiczny SSH RSA, klucz integralności SSH, klucz sesji SSH, wejście entropii DRBG, DRBG V, klucz DRBG (w, e, d) |
| SNMPv3 | Skonfiguruj SNMPv3 MIB i monitoruj stan | [Hasło SNMPv3, snmpEngineID] (r, w, d), klucz sesji SNMP, wejście entropii DRBG, DRBG V, klucz DRBG (w, e, d) |
| IPsec VPN | Skonfiguruj parametry IPsec VPN, zapewnij wejście i wyjście CSP. | skeyid, skeyid_d, SKEYSEED, klucz szyfrowania sesji IKE, klucz uwierzytelniania sesji IKE, wstępnie współdzielony ISAKMP, klucz prywatny uwierzytelniania IKE, klucz publiczny uwierzytelniania IKE, klucz szyfrowania sesji IPsec, klucz uwierzytelniania sesji IPsec, wejście entropii DRBG, DRBG V, klucz DRBG (s, e, d) |
| Autotesty | Przeprowadzaj testy uruchamiania FIPS 140 na żądanie | N / A |
| Usługi użytkownika | Crypto Officer ma dostęp do wszystkich usług Użytkownika. | Hasło użytkownika (r, w, e, d) |
| Zerowanie | Wyzeruj klucze kryptograficzne/dostawców CSP, uruchamiając metody zerowania sklasyfikowane w tabeli 7, kolumna Zerowanie. | Wszystkie CSP (d) |
2. 3 Nieautoryzowana rola
Usługi dla osoby bez uprawnionej roli to: przekazywanie ruchu przez urządzenia, view wyjście stanu z pinów LED modułów i cykl zasilania. 4 Usługi dostępne w trybie działania innym niż FIPS
Moduły kryptograficzne oprócz trybu pracy FIPS mogą pracować w trybie innym niż FIPS. Nie jest to zalecany tryb operacyjny, ale ponieważ powiązane dokumenty RFC dla następujących protokołów dopuszczają niezatwierdzone algorytmy i niezatwierdzone rozmiary kluczy, istnieje niezatwierdzony tryb działania. Uznaje się, że moduły działają w trybie innym niż FIPS, jeśli nie są skonfigurowane zgodnie z sekcją 3 (Bezpieczne działanie przełączników). Usługi zatwierdzone przez FIPS wymienione w tabeli 8 stają się usługami niezatwierdzonymi w przypadku korzystania z niezatwierdzonych algorytmów lub niezatwierdzonych rozmiarów kluczy lub krzywych.
Tabela 6 – Niezatwierdzone algorytmy w usługach trybu Non-FIPS
| Usługi 1 | Niezatwierdzone algorytmy |
| IPsec | Haszowanie: MD5 MACowanie: HMAC MD5 Symetryczny: DES, RC4 Asymetryczny: 768-bitowy/1024-bitowy RSA (transport kluczy), 1024-bitowy Diffie-Hellman |
| SSH | Haszowanie: MD5 MACowanie: HMAC MD5 Symetryczny: DES Asymetryczny: 768-bitowy/1024-bitowy RSA (transport kluczy), 1024-bitowy Diffie-Hellman |
| TLS | Symetryczny: DES, RC4 Asymetryczny: 768-bitowy/1024-bitowy RSA (transport kluczy), 1024-bitowy Diffie-Hellman |
| SNMP v1/v2 | Haszowanie: MD5 Symetryczny: DES |
2. 3 Algorytmy kryptograficzne
Moduły implementują szereg zatwierdzonych i niezatwierdzonych algorytmów.
Zatwierdzone algorytmy kryptograficzne
Przełączniki obsługują następujące implementacje algorytmów zatwierdzone przez FIPS-2:
Te zatwierdzone usługi stają się niezatwierdzone w przypadku korzystania z niezatwierdzonych algorytmów lub niezatwierdzonych rozmiarów kluczy lub krzywych. W przypadku korzystania z zatwierdzonych algorytmów i rozmiarów kluczy te usługi są zatwierdzone.
Tabela 7 — Certyfikaty algorytmu
| Algorytmy | CAVP #C462: IOS wspólne Moduł kryptograficzny (IC2M) Rel5 | CAVP #C431: CiscoSSL FIPS Moduł obiektowy 6. 22 | CAVP #4769: UADP MSC 1. 0 | CAVP #C220: Obraz oprogramowania podpisanie |
| AES | CBC (128, 192, 256), CFB128 (128, 192, 256), CMAC (128, 256), CTR (128, 192, 256), EBC (128, 192, 256), GCM (128, 192, 256) | CBC(128, 192, 256), CCM(128, 192, 256), CFB1/8/128(128, 192, 256), CMAC(128, 192, 256), CTR(128, 192, 256), EBC(128, 192, 256), GCM(128, 192, 256), KW(128, 192, 256), OFB (128, 192, 256) XTS(128, 256) | EBC (128, 256) | N / A |
| CVL (SP800-56A) | KAS-ECC Component — Ephemeral Unified (WE: P-256 SHA-256, ED: P-384 SHA-384) KAS-FFC Component — hEphem (FC: SHA-256) | KAS-ECC CDH Component (Krzywa: B-233, B-283, B-409, B-571, K-233, K-283, K-409, K-571, P-224, P-256, P-384, P-521) | N / A | N / A |
| DRBG | CTR-AES (256) | CTR-AES (128, 192, 256) | N / A | N / A |
| HMAC | HMAC SHA-1, HMAC SHA2-256, HMAC SHA2-384, HMAC SHA2-512 | HMAC SHA-1, HMAC SHA2-224, HMAC SHA2-384, HMAC SHA2- 512 | N / A | N / A |
| ECDSA | KeyGen, KeyVer, SigGen, SigVer (krzywa: P-256, P-384) | KeyGen, KeyVer, SigGen, SigVer (krzywa: B-233, B-283, B-409, B-571, K-233, K-283, K-409, K-571, P-224, P-256, P-384, P-521) | N / A | N / A |
| CVL (SP800-135) | IKEv1 IKEv2 SNMP SSH TLS | IKEv2 SNMP SSH TLS | N / A | N / A |
| KBKDF (SP800-108) | Licznik: HMAC-SHA-1 | Licznik: HMAC-SHA-1, HMAC-SHA2-224, HMAC-SHA2-256, HMAC-SHA2-384, HMAC-SHA2-512 | N / A | N / A |
| RSA | KeyGen (186-4) 2048-, 3072-bitowy moduł SigGen (186-4 PKCS 1. 5) 2048-, 3072-bitowy moduł, Moduł SigVer (186-2 PKCS 1. 5) 1024-, 1536-, 2048-, 3072-, 4096-bitów SigVer (186-4 PKCS 1. 5) moduł 1024-, 2048-, 3072-bitów | KeyGen (186-4) 2048-, 3072-bity moduł SigGen (186-2 ANSI X9. 31, PKCS 1. 5, PKCSPSS) 4096-bitowy moduł, SigGen (186-4 ANSI X9. 5, PKCSPSS) 2048-, 3072-bitowy moduł, SigVer (186-4 ANSI X9. 5, PKCSPSS) 2048-, 3072-bitowy moduł | N / A | RSA 2048 z SHA-512 SIgVer |
| SHS | SHA-1, SHA2-256, SHA2-384, SHA2-512 | SHA-1, SHA2-224, SHA2-256, SHA2-384, SHA2-512 | N / A | SHA-512 |
| Potrójny DES | CBC (opcja kluczowania: 1) | CBC, CFB1/8/64, CTR, ECB, OFB (opcja kluczowania: 1) | N / A | N / A |
| DSA | N / A | Keygen (2048, 3072), Gen PQG (2048, 3072), PQG Ver (2048, 3072), Siggen (2048, 3072), Sigver (2048, 3072) | N / A | N / A |
| CKG | Sprzedawca potwierdził | Sprzedawca potwierdził | N / A | N / A |
KTS (AES Cert. #C431; metodologia ustalania klucza zapewnia siłę szyfrowania od 128 do 256 bitów)
KTS (AES Cert. #C462; metodologia ustalania klucza zapewnia siłę szyfrowania od 128 do 256 bitów)
Uwagi:
Istnieją pewne tryby algorytmu, które zostały przetestowane, ale nie zostały zaimplementowane przez moduły. W tej tabeli przedstawiono tylko algorytmy, tryby i rozmiary kluczy, które są zaimplementowane przez moduły.
Implementacja modułu AES-GCM jest zgodna ze scenariuszem IG A. 5 nr 1 zgodnie z RFC 5288 dla TLS, RFC 7296 dla IPSec/IKEv2 i IEEE 802. 1AE oraz jego poprawkami dla MACsec.
Moduły są kompatybilne z TLSv1. 2 i zapewniają obsługę akceptowalnych zestawów szyfrów GCM z SP 800-52 Rev1, sekcja 3. 64-bitowa część licznika 96-bitowego IV jest ustawiana przez moduły w jej granicach kryptograficznych. Kiedy IV wyczerpuje maksymalną liczbę możliwych wartości (od 0 do 264 – 1) dla danego klucza sesyjnego,
pierwsza strona, klient lub serwer, która napotka ten warunek, uruchomi uzgadnianie w celu ustanowienia nowego klucza szyfrowania. W przypadku utraty, a następnie przywrócenia zasilania modułów, należy ustanowić nowy klucz do użycia z szyfrowaniem/deszyfrowaniem AES GCM.
Moduły wykorzystują protokół IKEv7296 zgodny z RFC 2 do ustanowienia wspólnego klucza SKEYSEED, z którego pochodzą klucze szyfrowania AES GCM. Gdy IV wyczerpie maksymalną liczbę możliwych wartości dla danego klucza sesji, pierwsza strona, klient lub serwer, która napotka ten warunek, uruchomi ponowne wprowadzanie klucza z IKEv2 w celu ustanowienia nowego klucza szyfrowania.
AES GCM IV jest generowany wewnętrznie w module kryptograficznym zgodnie ze standardem IEEE 802. 1AE i jego poprawkami. Używana długość IV to 96 bitów (na SP 800-38D i FIPS 140-2 IG A. 5). W przypadku utraty zasilania modułu należy ustanowić nowe klucze AES GCM. Moduł powinien być używany tylko z modułami sprawdzania poprawności CMVP FIPS 140-2, gdy obsługuje protokół MACsec w celu zapewnienia funkcji Peer, Authenticator. Połączenie między Peer i Authenticator powinno być zabezpieczone, aby uniemożliwić atakującemu wprowadzenie obcego sprzętu do sieci lokalnej.
Żadne części protokołów SSH, TLS i IPSec, inne niż KDF, nie zostały przetestowane przez CAVP i CMVP. Każdy z protokołów TLS, SSH i IPSec zarządza generowaniem odpowiednich kluczy Triple-DES. Szczegółowe informacje dotyczące generowania poszczególnych kluczy szyfrowania Triple-DES można znaleźć w dokumentach RFC 5246 (TLS), RFC 4253 (SSH) i RFC 6071 (IPSec). Użytkownik jest odpowiedzialny za to, aby moduły ograniczyły liczbę szyfrowań tym samym kluczem do 220. Zgodnie z FIPS 140-2 IG D. 12 moduły kryptograficzne wykonują generowanie klucza kryptograficznego zgodnie ze scenariuszem 1 sekcji 4 w SP800-133rev1. Wynikowy wygenerowany klucz symetryczny i ziarno użyte do generowania klucza asymetrycznego to niezmodyfikowane dane wyjściowe z SP800-90A DRBG.
Algorytmy niezatwierdzone przez FIPS są dozwolone w trybie FIPS
Diffie-Hellman (Certyfikat CVL nr C462 z certyfikatem CVL nr C462, uzgodnienie klucza; metodologia ustalania klucza zapewnia siłę szyfrowania od 112 do 150 bitów; niezgodność siła szyfrowania mniejsza niż 112 bitów) w przypadku użycia z modułem o wielkości 2048 bitów lub więcej EC Diffie-Hellman (Certyfikat CVL nr C462 z certyfikatem CVL nr C462, uzgodnienie klucza; metodologia ustanawiania klucza zapewnia siłę szyfrowania 128 lub 192 bitów)
RSA (zawijanie kluczy; metodologia ustalania klucza zapewnia siłę szyfrowania 112 lub 128 bitów; niezgodna siła szyfrowania mniejsza niż 112 bitów) w przypadku użycia z modułem o rozmiarze 2048 bitów lub większym NDRNG³ do początkowego DRBG zatwierdzonego przez FIPS (256 bitów)
Algorytmy niezatwierdzone przez FIPS
Moduły kryptograficzne implementują następujące niezatwierdzone algorytmy, które nie są używane w trybie FIPS:
MD5 (MD5 nie zapewnia siły bezpieczeństwa protokołu TLS)
HMAC-MD5
RC4
DES
2. 4 Zarządzanie kluczem kryptograficznym/CSP
Moduły bezpiecznie administrują zarówno kluczami kryptograficznymi, jak i innymi krytycznymi parametrami bezpieczeństwa, takimi jak hasła. Wszystkie klucze są również chronione hasłem przy logowaniu roli CO i mogą być wyzerowane przez CO. Klucze są wymieniane i wprowadzane elektronicznie. Klucze trwałe są wprowadzane przez CO za pośrednictwem interfejsu CLI portu konsoli, klucze przejściowe są generowane lub ustanawiane i przechowywane w pamięci DRAM.
Należy pamiętać, że polecenie „fips zeroize” spowoduje wyzerowanie znacznej większości wymienionych CSP. To polecenie zasadniczo powoduje ponowne uruchomienie urządzenia, a zatem wymusza cykl zasilania, wyzerowując wszystkie klucze wymienione poniżej za pomocą „Cykl zasilania” w kolumnie Metoda zerowania.
Tabela 8 zawiera listę tajnych i prywatnych kluczy kryptograficznych oraz CSP używanych przez moduły.
Tabela 8 — Klucze kryptograficzne i dostawcy CSP
| ID | Algorytm | Tabela | Opis | Przechowywanie | Metoda zerowania |
| Klucze ogólne/CSP | |||||
| DRBG V | SP 800-90A CTR_DRBG | 128-bitów | Generowane przez źródło entropii za pomocą funkcji pochodnej CTR_DRBG. Jest przechowywany w pamięci DRAM w postaci zwykłego tekstu | DRAM (tekst jawny) | Cykl zasilania |
| klucz DRBG | SP 800-90A CTR_DRBG | 256-bitów | To jest 256-bitowy klucz DRBG używany w SP 800-90 CTR_DRBG | DRAM (tekst jawny) | Cykl zasilania |
| Wejście entropii DRBG | SP 800-90A CTR_DRBG | 256-bitów | Wyjście źródła entropii oparte na HW używane do konstruowania materiału siewnego | DRAM (tekst jawny) | Cykl zasilania |
| nasienie DRBG | SP 800-90A CTR_DRBG | 256-bitów | Wejście do DRBG, które określa wewnętrzny stan DRBG. Wygenerowane przy użyciu funkcji pochodnej DRBG, która obejmuje entropię wejściową ze źródła entropii | DRAM (tekst jawny) | Cykl zasilania |
| Hasło użytkownika | Hasło | Zmienna (ponad 8 znaków) | Służy do uwierzytelniania użytkowników lokalnych | NVRAM (tekst jawny) | Zerowane przez nadpisanie nowym hasłem |
| Włącz sekret | Hasło | Zmienna (ponad 8 znaków) | Służy do uwierzytelniania lokalnych użytkowników na wyższym poziomie uprawnień | NVRAM (tekst jawny) | Zerowane przez nadpisanie nowym hasłem |
| tajemnica RADIUSA | Wspólny sekret | Zmienna (ponad 8 znaków) | Wspólny sekret RADIUS | NVRAM (tekst jawny) | „# brak klucza serwera radius” |
| Klucz zawijania klucza RADIUS | AES | 128 bity | Służy do ochrony SAK dla RADsec (RADIUS przez TLS) | NVRAM (tekst jawny) | Zerowane przez nadpisanie nowym kluczem |
| Klucz publiczny Diffiego-Hellmana | DH | 2048-4096 bitów | Wykładnik publiczny używany w wymianie Diffie-Hellman (DH). | DRAM (tekst jawny) | Cykl zasilania |
| Klucz prywatny Diffiego-Hellmana | DH | 224-379 bitów | Prywatny wykładnik używany w wymianie Diffie-Hellman (DH). | DRAM (tekst jawny) | Automatycznie po wygenerowaniu wspólnego klucza tajnego. |
| Diffie-Hellman podzielił się tajemnicą | DH | 2048-4096 bitów | Jest to wspólny sekret uzgodniony w ramach wymiany DH | DRAM (tekst jawny) | Cykl zasilania |
| Klucz publiczny EC Diffie-Hellman | ECDH | P-256, P-384 | Klucz publiczny używany w wymianie EC Diffie-Hellman. Ten klucz jest uzyskiwany zgodnie z kluczową umową EC Diffie-Hellman. | DRAM (tekst jawny) | Cykl zasilania |
| Klucz prywatny EC Diffie-Hellman | ECDH | P-256, P-384 | Klucz prywatny używany w wymianie EC Diffie-Hellman. Generowane przez wywołanie SP 800-90A CTR_DRBG. | DRAM (tekst jawny) | Cykl zasilania |
| EC Diffie-Hellman podzielił się tajemnicą | ECDH | P-256, P-384 | Wspólny sekret używany w wymianie EC Diffie-Hellman | DRAM (tekst jawny) | Cykl zasilania |
| SSH | |||||
| Klucz publiczny RSA SSHv2 | RSA | Moduł 2048-3072 bitów | Klucz publiczny SSH używany do ustanawiania sesji SSH | NVRAM (tekst jawny) | „# klucz kryptograficzny zeruje rsa” |
| Klucz prywatny RSA SSHv2 | RSA | Moduł 2048-3072 bitów | Klucz prywatny SSH używany do ustanawiania sesji SSH | NVRAM (tekst jawny) | „# klucz kryptograficzny zeruje rsa” |
| Klucz integralności SSHv2 | HMAC | 160-512 bitów | Używany do ochrony integralności SSH. | DRAM (tekst jawny) | Automatycznie po zakończeniu sesji SSH |
| klucz sesji SSHv2 | Potrójny — DES/AES | 168-bitów/256-bitów | To jest klucz symetryczny sesji SSH. | DRAM (tekst jawny) | Automatycznie po zakończeniu sesji SSH |
| TLS | |||||
| Klucz publiczny serwera TLS | RSA/ECDSA | RSA: 2048-3072 moduł bitów ECDSA: P-256, P-384 | Klucz publiczny używany w negocjacjach TLS. | NVRAM (tekst jawny) | '#klucz kryptograficzny zeruje { rsa| ecdsa}' |
| Serwer TLS prywatny klucz | RSA/ECDSA | RSA: 2048-3072 moduł bitów ECDSA: P-256, P-384 | Certyfikaty tożsamości dla samego modułu, a także używane w negocjacjach TLS. | NVRAM (tekst jawny) | „Zerowanie #klucza kryptograficznego { rsa | ecdsa}' |
| Przedwzorcowy sekret TLS | Materiał klucza | 384-bitów | Wspólny klucz tajny utworzony przy użyciu kryptografii asymetrycznej, z którego można tworzyć nowe klucze sesji HTTPS. | DRAM (tekst jawny) | Automatycznie po zakończeniu sesji. |
| Główny sekret TLS | Materiał klucza | 48-bitów | Materiał klucza używany do uzyskiwania innych kluczy HTTPS/TLS. Ten klucz został uzyskany na podstawie wstępnego klucza tajnego TLS podczas ustanawiania sesji TLS | DRAM (tekst jawny) | Automatycznie po zakończeniu sesji. |
| TLS klucz szyfrujący | Potrójny — DES/AES | 168-bitów/256-bitów | To jest klucz sesji TLS | DRAM (tekst jawny) | Automatycznie po zakończeniu sesji. |
| Klucz integralności TLS | HMAC-SHA 256/384 | 256-384 bitów | Używany do integralności TLS w celu zapewnienia integralności ruchu. Ten klucz został wyprowadzony w module. | ||
| SESA | |||||
| SESA klucz autoryzacyjny | klucz wstępny | 128 bity | Służy do autoryzacji członków jednostek ułożonych w stos. Wpisany przez CO. | NVRAM (tekst jawny) | „brak klucza autoryzacyjnego fips” |
| Główny klucz sesyjny SESA | AES | 128 bity | Służy do uzyskiwania klucza sesyjnego SESA | DRAM (tekst jawny) | Po zakończeniu wymiany kluczy |
| Klucz sesyjny uzyskany z SESA | AES | 128 bitów i 192 bity | Służy do ochrony ruchu przez porty układania w stosy | DRAM (tekst jawny) | Po opuszczeniu stosu |
| SNMPv3 | |||||
| snmpIdentyfikator silnika | Wspólny sekret | 32-bitów | Unikalny ciąg identyfikujący silnik SNMP | NVRAM (tekst jawny) | „# no snmp-server engineID local engineid-string”, nadpisane nowym identyfikatorem silnika |
| SNMPv3 password | wspólny sekret | 256 bity | Ten klucz tajny służy do uzyskiwania klucza HMAC-SHA1 do uwierzytelniania SNMPv3 | DRAM (tekst jawny) | Cykl zasilania |
| SNMPv3 klucz sesji | AES | 128-bit | Szyfruje ruch SNMPv3 | DRAM (tekst jawny) | Cykl zasilania |
| IPSec | |||||
| skejd | Wspólny sekret | 160 bity | Używany do uzgadniania klucza w IKE. Ten klucz został wyprowadzony w module | DRAM (tekst jawny) | Cykl zasilania |
| skeyid_d | Wspólny sekret | 160 bity | Używany do uzgadniania klucza w IKE | DRAM (tekst jawny) | Cykl zasilania |
| NASIONA SKITA | Materiał klucza | 160 bity | Wspólny sekret znany tylko partnerom IKE. Został wyprowadzony za pomocą funkcji derywacji klucza zdefiniowanej w SP800-135 KDF (IKEv2) i będzie używany do wyprowadzenia klucza uwierzytelniania sesji IKE. | DRAM (tekst jawny) | Automatycznie po zakończeniu sesji IPSec/IKE |
| Klucz szyfrowania sesji IKE | POTRÓJNE DES/AES | 168-bitowy TRIPLE-DES lub 256-bitowy AES | Pochodzące z modułu używanego do weryfikacji integralności ładunku IKEv1/v2 | DRAM (tekst jawny) | Cykl zasilania |
| Klucz uwierzytelniania sesji IKE | HMAC-SHA1 | 160 bity | Klucz HMAC-SHA1 | DRAM (tekst jawny) | Cykl zasilania |
| IKE klucz prywatny uwierzytelniania | RSA/ECDSA | RSA (2048 bitów) lub ECDSA (Krzywe: P-256/P-384) | Klucz prywatny RSA/ECDSA używany w uwierzytelnianiu IKEv1/v2. Ten klucz jest generowany przez wywołanie SP800-90A DRBG. | NVRAM (tekst jawny) | Zerowane przez polecenie usunięcia pary kluczy RSA/ECDSA |
| IKE klucz publiczny uwierzytelniania | RSA/ECDSA | RSA (2048 bitów) lub ECDSA (krzywe: P-256/P-384) | Klucz publiczny RSA/ECDSA używany w uwierzytelnianiu IKEv1/v2. Klucz jest wyprowadzany zgodnie z metodą generowania pary kluczy RSA/ECDSA FIPS 186-4 w module. | NVRAM (tekst jawny) | Zerowane przez polecenie usunięcia pary kluczy RSA/ECDSA |
| Wstępnie udostępnione ISAKMP | klucz wstępny | Zmienna (ponad 8 znaków) | Ten klucz został skonfigurowany przez CO i używany do uwierzytelniania roli użytkownika przy użyciu mechanizmu uwierzytelniania opartego na kluczu wstępnym IKE | NVRAM (tekst jawny) | '# brak klucza kryptograficznego isakmp.. ' |
| Klucz szyfrowania sesji IPSec | POTRÓJNE DES/AES | 168-bit POTRÓJNIE- DES lub 256-bitowy AES | Pochodzące z modułu używanego do weryfikacji integralności ładunku IKEv1/v2 | DRAM (tekst jawny) | Cykl zasilania |
| Klucz uwierzytelniania sesji IPSec | HMAC-SHA1 | 160 bity | Klucz HMAC-SHA1 | DRAM (tekst jawny) | Cykl zasilania |
| MACs | |||||
| Klucz skojarzenia zabezpieczeń MACsec (SAK) | AES-GCM | 128-, 256-bitów | Służy do tworzenia powiązań zabezpieczeń (SA) do szyfrowania/odszyfrowywania ruchu płaszczyzny danych MACsec. Pochodzi z CAK przy użyciu SP800-108 KDF. | DRAM (tekst jawny) | Automatycznie po wygaśnięciu sesji |
| Klucz powiązania łączności MACsec (CAK) | AES-GCM | 128-, 256-bitów | Wstępnie współdzielony tajny klucz skonfigurowany przez CO, będący w posiadaniu członków stowarzyszenia łączności MACsec (przez MKA) w celu zabezpieczenia ruchu płaszczyzny kontrolnej. | NVRAM (tekst jawny) | '# brak ciągu klawiszy... ' |
| Klucz szyfrowania klucza MACsec (KEK) | AES-CMAC | 128/256 bity | Służy do przesyłania SAK do innych członków powiązania łączności MACsec. | DRAM (tekst jawny) | Automatycznie po wygaśnięciu sesji |
| Klucz kontroli integralności MACsec (ICK) | AES-GCM | 128/256 bity | Służy do udowodnienia, że autoryzowany peer wysłał wiadomość. | DRAM (tekst jawny) | Automatycznie po wygaśnięciu sesji |
2. 5 Autotesty
Moduły obejmują szereg autotestów, które są uruchamiane podczas uruchamiania i okresowo podczas operacji, aby zapobiec uwolnieniu jakichkolwiek zabezpieczonych danych i upewnić się, że wszystkie komponenty działają poprawnie.
2. 5. 1 Autotesty po włączeniu zasilania (POST)
- Test integralności oprogramowania układowego (weryfikacja podpisu RSA PKCS#1 v1. 5 (2048 bitów) za pomocą SHA-512)
- Implementacja algorytmu IC2M Testy ze znaną odpowiedzią:
- AES-CBC (szyfrowanie/odszyfrowywanie) KAT
- AES GCM kat
- AES-CMAC KAT
- SP 800-90A CTR_DRBG KAT
- SP 800-90A Sekcja 11 Testy zdrowotne
- FIPS 186-4 ECDSA Podpisz/zweryfikuj (krzywa: P-256)
- HMAC-SHA-1, -256, -384, 512 KAT
- ECC Pierwotny „Z” KAT
- FFC Pierwotny „Z” KAT
- FIPS 186-4 RSA (podpisz/zweryfikuj) KAT (rozmiar: 2048)
- SHA-1, -256, -384, -512 KAT
- Potrójne DES CBC (szyfrowanie/odszyfrowywanie) KAT
- KBKDF (licznik) KAT
- CiscoSSL FIPS Obiekt Implementacja algorytmu modułu Testy znanych odpowiedzi:
- AES-ECB (szyfrowanie/odszyfrowywanie) KAT
- AES-CCM (szyfrowanie/odszyfrowywanie) KAT
- AES-GCM (szyfrowanie/odszyfrowywanie) KAT
- AES-CMAC KAT
- AES-XTS (szyfrowanie/odszyfrowywanie) KAT
- SP800-90A CTR_DRBG KAT
- SP 800-90A Sekcja 11 Testy zdrowotne
- FIPS 186-4 Test podpisania/weryfikacji DSA (rozmiar: 2048)
- Test podpisania/weryfikacji FIPS 186-4 ECDSA (krzywa: P-256)
- HMAC-SHA1, -224, -256, -384, -512 KAT
- ECC CDH KAT
- FIPS 186-4 RSA (podpisz/zweryfikuj) KAT (rozmiar: 2048)
- SHA-1 KAT
- Test integralności oprogramowania (HMAC-SHA1)
- Triple-DES-ECB (szyfrowanie/odszyfrowywanie) KAT
- KBKDF (licznik) KAT
- Testy znanej odpowiedzi implementacji algorytmu sprzętowego UADP ASIC:
- AES-ECB (szyfrowanie/odszyfrowywanie) KAT
2. 2 Testy warunkowe
- Test obejścia warunkowego
- Testy warunkowe implementacji algorytmu IC2M:
o Test spójności parami dla RSA
o Test zgodności parami dla ECDSA
o Ciągły test generowania liczb losowych dla zatwierdzonego DRBG - Testy warunkowe implementacji algorytmu obiektu CiscoSSL FIPS:
o Testy spójności parami dla RSA, DSA i ECDSA
o Ciągły test generowania liczb losowych dla zatwierdzonego DRBG - Ciągłe testy stanu NDRNG:
o Adaptacyjny test proporcji (APT)
o Test liczby powtórzeń (RCT)
Urządzenia wykonują wszystkie autotesty po włączeniu zasilania automatycznie podczas rozruchu. Wszystkie autotesty po włączeniu muszą przejść pomyślnie, zanim każda rola zacznie wykonywać usługi. 6 Bezpieczeństwo fizyczne
Moduły kryptograficzne w całości zamknięte w obudowie klasy produkcyjnej. Obudowy modułów posiadają zdejmowane osłony.
Bezpieczna obsługa
Przełączniki spełniają wszystkie ogólne wymagania poziomu 1 dla FIPS 140-2. Postępuj zgodnie z instrukcjami konfiguracji podanymi poniżej, aby ustawić moduły w trybie zatwierdzonym przez FIPS. Korzystanie z tych przełączników bez zachowania następujących ustawień spowoduje usunięcie modułów z trybu działania zatwierdzonego przez FIPS.
3. 1 Inicjalizacja i konfiguracja systemu
- CO musi utworzyć hasło „włącz” dla roli CO. Zgodnie z procedurami hasło musi składać się z co najmniej 8 znaków, w tym co najmniej jednej litery i co najmniej jednej cyfry, i jest wprowadzane, gdy CO po raz pierwszy uruchamia polecenie „włącz”. CO wprowadza następującą składnię po znaku zachęty „#”: Switch(config)# enable secret [HASŁO]
- CO musi zawsze przydzielać użytkownikom hasła (co najmniej 8 znaków, w tym co najmniej jedną literę i co najmniej jedną cyfrę). Identyfikacja i uwierzytelnianie na konsoli/portie pomocniczym jest wymagane dla użytkowników. Z wiersza poleceń „konfiguruj terminal” CO wprowadza następującą składnię:
Switch(config)# nazwa użytkownika nazwa [poziom uprawnień] {hasło hasło typu szyfrującego}
Switch(config)# linia con 0
Switch(konfiguracja-linia)# zaloguj się lokalnie - Wyłącz ręczne uruchamianie:
Switch(config)#no boot manual - Wyłącz Telnet i skonfiguruj Secure Shell dla zdalnej linii poleceń: Switch(config)# line vty numer_linii [numer_linii_końcowej] lub Switch(config)# transport input ssh
- Wyłącz następujące interfejsy przez konfigurację:
a. Przełącznik USB 3. 0 (konfiguracja) # przełącznik modułu sprzętowego 1 odmontowanie usbflash1
b. Dostęp do konsoli bezprzewodowej za pomocą przełącznika Bluetooth (konfiguracja) # hw-module beacon rp aktywny wyłączony - Aby upewnić się, że odbierane są wszystkie rejestry FIPS 140-2, ustaw poziom rejestrowania: Switch(config)# błąd konsoli rejestrowania
- CO włącza tryb FIPS, konfigurując klucz autoryzacji: Switch(config)# klucz autoryzacji fips <128-bitowy, tj. 16-bitowy klucz szesnastkowy>
- CO może skonfigurować moduły do używania RADsec do uwierzytelniania. Jeśli moduły są skonfigurowane do korzystania z RADsec, Crypto Officer musi zdefiniować klucze RADIUS lub współdzielone tajne klucze, które mają co najmniej 8 znaków, w tym co najmniej jedną literę i co najmniej jedną cyfrę.
- CO przypisuje użytkownikom tylko poziom uprawnień 1 (domyślny).
- Dowódca nie może przypisać komendy do żadnego poziomu uprawnień innego niż domyślny.
Uwaga: Klucze i CSP wygenerowane w module kryptograficznym podczas pracy w trybie FIPS nie mogą być używane, gdy moduł przechodzi do trybu innego niż FIPS i odwrotnie. Gdy moduł przechodzi z trybu FIPS do trybu non-FIPS lub z trybu non-FIPS do trybu FIPS, wszystkie klucze i CSP muszą zostać wyzerowane przez Crypto Officer. Aby przejść z trybu FIPS do trybu innego niż FIPS, Crypto Officer musi wyzerować moduł, aby usunąć cały tekst jawny, tajne klucze i CSP, jak określono w Tabeli 8 niezastrzeżonego dokumentu FIPS 140-2 Security Policy, a Crypto Officer ma wydać komendę „no fips Authorization key <128-bit (16 oktet) key to use>” oprócz tych zdefiniowanych w Tabeli 8 dokumentu polityki bezpieczeństwa.
3. 2 Sprawdź tryb działania FIPS
Użyj wiersza polecenia, aby wyświetlić informacje o konfiguracji FIPS. Wyjście CLI przełącznika pokazuje stan pracy w trybie FIPS.
- Aby upewnić się, że tryb pracy FIPS jest włączony.
Przełącz #pokaż stan fipsów
Switch i Stacking działają w trybie fips
or
Przełącz #pokaż stan fipsów
Switch i Stacking nie działają w trybie fips
Ruch RADIUS powinien być zawsze tunelowany przez protokół TLS w trybie Zatwierdzony, a jeśli ruch RADIUS jest skonfigurowany samodzielnie bez protokołu tunelowania (tj. operacja.
© Prawa autorskie 2021 Cisco Systems, Inc.
Niniejszy dokument może być swobodnie powielany i rozpowszechniany w całości iw stanie nienaruszonym, łącznie z niniejszą Informacją o prawach autorskich.
Dokumenty / Zasoby
Streszczenie treści zawartej na stronie nr. 1
Cisco TelePresence MX Series
1
Administr At or guide
• MX300
• MX200
Software version TC5. 0
NOVEMBER 2011
D14850. 02 MX Series Administrator Guide (TC5. 0) | 2011 NOVEMBER | © 2011 Cisco Systems, Inc. All rights reserved. www. cisco. com
Streszczenie treści zawartej na stronie nr. 2
Cisco TelePresence MX Series Administr At or guide 2 T able of cont ents Thank you for choosing Cisco! Your Cisco product has been designed to give you many Intr oduction........................................................................ 3 The adv anced settings..................................................... 30 years of safe, reliable operation. Intellectual property rights................................................... 4 Overview of the advanced settings..................Streszczenie treści zawartej na stronie nr. 3
Cisco TelePresence MX Series Administr At or guide 3 Chapter 1 Intr oduction D14850. comStreszczenie treści zawartej na stronie nr. 4
Cisco TelePresence MX Series Administr At or guide 4 Int ellectual pr operty rights THE SPECIFICATIONS AND INFORMATION REGARDING THE PRODUCTS IN THIS MANUAL ARE SUBJECT TO CHANGE WITHOUT NOTICE. ALL STATEMENTS, INFORMATION, AND RECOMMENDATIONS IN THIS MANUAL ARE BELIEVED TO BE ACCURATE BUT ARE PRESENTED WITHOUT WARRANTY OF ANY KIND, EXPRESS OR IMPLIED. USERS MUST TAKE FULL RESPONSIBILITY FOR THEIR APPLICATION OF ANY PRODUCTS. THE SOFTWARE LICENSE AND LIMITED WARRANTY FOR THE ACCOMPANYING PRStreszczenie treści zawartej na stronie nr. 5
Cisco TelePresence MX Series Administr At or guide 5 This document provides you with the information required to User documentation Cisco contacts administrate your product at an advanced level. The user documentation for the Cisco TelePresence systems On our web site you will find an overview of the worldwide How to install the product and the initial configurations running the TC software includes several guides suitable for Cisco contacts. required are described in the Installation guide aStreszczenie treści zawartej na stronie nr. 6
Cisco TelePresence MX Series Administr At or guide 6 What’s new in this v ersion This section provides an overview of the new and changed New featur es and impr o v ements advanced settings and new features in the TC5. 0 software Support for native Cisco UCM registration Web interface enhancements version. With TC5 the video systems are able to register to the Cisco New call application with support for: Unified Communications Manager (UCM) version 8. 6 as a • Making calls and start/stopStreszczenie treści zawartej na stronie nr. 7
Cisco TelePresence MX Series Administr At or guide 7 Other enhancements A dv anced configuration menu changes • Local presentation only mode (the presentation is only New settings Settings that are modified displayed locally; it is not sent to the remote sites) Conference [1.. 1] Presentation Policy Network [1.. 1] VLAN Voice Mode • One more phone call in addition to the number of video OLD:Streszczenie treści zawartej na stronie nr. 8
Cisco TelePresence MX Series Administr At or guide 8 Cisco T elePr esence MX Series at a glance The Cisco TelePresence® MX Series makes telepresence you are just getting started with video communications F eatur es and benefits more accessible to teams everywhere with ready-to-use or implementing a large-scale deployment, the Cisco • The systems are easy to install – one piece plus floor simplicity and high quality. This highly integrated telepresence TelePresence MX Series delivers highStreszczenie treści zawartej na stronie nr. 9
Cisco TelePresence MX Series Administr At or guide 9 Cisco T elePr esence MX Series at a glance (continued) R ear view Internal microphone Precision HD camera MX200: 42” LCD monitor MX300: 55” LCD monitor MX300 MX200 Codec embedded in video unit MX300 mounting options F r ont view (floor stand, wall mount) Loudspeakers MX200: 1 external microphone (+ 1 optional) MX300: 2 external microphones Touch controller MX200 mounting options (floor stand, table stand, wall mount) D14850. 02 MX SStreszczenie treści zawartej na stronie nr. 10
Cisco TelePresence MX Series Administr At or guide 10 Chapter 2 The w eb int erface D14850. 11 Cisco TelePresence MX Series Administr At or guide 11 Starting the w eb int erface The web interface provides full configuration access to your video conference system. You can connect from a computer and administer the system remotely. In the following you will find information how to use the web interface for system configuration and maintenance. 1. Connect t o the video syst em 2. Sign in Open a web browser and enter the Enter the user name and password for IP address of the video sysStreszczenie treści zawartej na stronie nr. 12
Cisco TelePresence MX Series Administr At or guide 12 Changing the syst em/codec pas sw or d You sign in to the web interface with the same user name and password as for the video conference system. Click y our NOTE: We strongly recommend that you set a password user name for the default admin user, and any other users with ADMIN rights, to restrict access to system configuration. You can read more about password protection in the Password protection section. 2. Open the ChangeStreszczenie treści zawartej na stronie nr. 13
Cisco TelePresence MX Series Administr At or guide 13 The int eractiv e menu The web interface provides access to tasks and configurations grouped in four categories, which are available from the main menu. The main menu appears near the top of the page when you Main menu have signed in. • Diagnostics The sub-pages for the different tasks are described on the following pages. • Configuration • Call Control Menu a v ailability and user r oles • Maintenance A user possesses one or morStreszczenie treści zawartej na stronie nr. 14
Cisco TelePresence MX Series Administr At or guide 14 The syst em information page You can find an overview of your video system set-up on the System Information page. S yst em information L ogin information Information about system name, Information about recent login product type, software version, attempts and password expiry. IP address, etc. Diagnostics System Information Log Files XML Files D14850. AStreszczenie treści zawartej na stronie nr. 15
Cisco TelePresence MX Series Administr At or guide 15 L og files The log files are Cisco specific debug files which may be requested by the Cisco support organization if you need technical support. The current log files are time stamped event log files. All current log files are archived in a time stamped historical log file each time the system reboots. Click on a log file and follow the instructions in the dialog box to save or open the file (left or right click depending on your browser)Streszczenie treści zawartej na stronie nr. 16
Cisco TelePresence MX Series Administr At or guide 16 XML files The XML files are structured in a hierarchy building up a database of information about the codec. Click the file names to open the corresponding file. • Select configuration. xml to see an overview of the system settings, which are controlled from the web interface or from the API (Application Programmer Interface). • The information in status. xml is constantly updated by the system to reflect system and process changes. The sStreszczenie treści zawartej na stronie nr. 17
Cisco TelePresence MX Series Administr At or guide 17 A dv anced configuration The system settings are structured in a hierarchy, and you can navigate to each setting. Click a folder to open or close it, and change a value as explained to the right. Each system setting is further described in the Advanced Sear ch functionality settings chapter. When searching for words such as ipstack, H323 or SIP, all settings containing these letters will be highlighted. Folders are opened as requirStreszczenie treści zawartej na stronie nr. 18
Cisco TelePresence MX Series Administr At or guide 18 Selecting a w allpaper You can select between a set of predefined wallpapers as background on your display. If you want the company logo or a custom picture to be displayed on the main display, you may also upload and use a Select a w allpaper custom wallpaper. Select a wallpaper from The custom wallpaper applies to the main display only and will the drop down list. not appear on the Touch controller. When you choose a new predefineStreszczenie treści zawartej na stronie nr. 19
Cisco TelePresence MX Series Administr At or guide 19 Sign in banner If a system administrator wants to provide initial information to all users, he can create a sign in banner. A sign in banner is a message that is displayed to the user before signing in. The message will be shown when the user signs in using the web interface or the command line interface. A ctiv at e the sign in banner Press Save Sign In Banner to activate it. Ent er the t ext mes sage An activ e sign in bStreszczenie treści zawartej na stronie nr. 20
Cisco TelePresence MX Series Administr At or guide 20 Placing calls You can use the Call Control page of the web interface to initiate a call. NOTE: Even if the web interface is used to initiate the call it is the video system (display, microphones and loudspeakers) that is used for the call; not the PC running the web interface. Calling someone Enter one or more characters in the address input field until the name you want to call appears in the dynamic search list or, enter the complete nStreszczenie treści zawartej na stronie nr. 1
Cisco TelePresence System Profile-series, C-series codecs, Quick Set C20 User guide
Codec C90
Profile 65” Dual
Codec C60
Codec C40
Codec C20
Profile 65”
Profile 52” Dual
Quick Set C20 / C20 Plus
Profile 52”
SX20 Quick Set
User Guide
TC 5. 1
Profile 42”
Cisco TelePresence System Profile Series
Cisco TelePresence System Codec C-Series
Cisco Telepresence System Quick Set C20 / C20 Plus
Cisco Telepresence SX20 Quick Set
Use with TRC5
D14852. 03 User guide Cisco TelePresence Profile, C-series codecs
