システム メンテナンス:FIPSのアクティブ化または非アクティブ化

Document created by RSA Information Design and Development on Feb 17, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、FIPS(米国連邦情報処理規格)をアクティブ化または非アクティブ化する方法について説明します。FIPSをアクティブ化または非アクティブ化する方法は、Security Analyticsサービスが使用するセキュリティ ライブラリのタイプが、OpenSSLとRSA BSAFEのどちらの場合でも同じです。

                 
サービスセキュリティ
ライブラリ
アプリケーション ホスト、Context Hub、ESA(Event Stream Analysis)、Incident Management、Malware Analysis、Reporting EngineBSAFE
Broker、Concentrator、Decoder、Log Decoder、Warehouse Connector、IPDB Extractor、Log Collector(ローカルCollectorおよびリモートCollector)、Archiver、WorkbenchOpenSSL

FIPSに関する重要事項

アプリケーション ホストでFIPSの有効化/無効化スクリプトを実行すると、そのアプリケーション ホストで実行されているBSAFEセキュリティ ライブラリを使用するすべてのサービス、およびBSAFEセキュリティ ライブラリを使用する接続されたホストも有効化/無効化されます。

[次の情報は、お客様に関して正確ですか。また、ここは、ドキュメント内で、その情報を記載する最適な場所ですか?]

Security AnalyticsをFIPSモードで実行しているときは、秘密鍵と証明書に関する次の要件があります。

  1. 署名および認証のための最小キー サイズがあります。
    1. RSA、DSA:>= 2048ビットのキー

    2. ECDSA:>= 224(FIPS 186-4では、特定のECカーブが推奨されています) 
  2. 検証用の最小キー サイズがあります(レガシー利用のみ)。
    1. RSA、DSA:>= 1024ビットのキー

    2. ECDSA:>= 160

  3. MD5で署名された証明書はいずれも使用できません。

  4. SHA-1署名は検証できますが、作成できません。

[次の記述は、まだ正しいですか?]FIPSを有効化した場合は、「Warehouse Connector構成ガイド」の説明に従って、SSHキーを構成した後で、SSHキーを使用するSFTPの宛先を追加する前に、次の手順を完了する必要があります。

  1. SSHでWarehouse Connectorホストにアクセスします。
  2. 次のコマンドを実行します。

    cd /root/.ssh/
    mv id_dsa id_dsa.old
    openssl pkcs8 -topk8 -v2 des3 -in id_dsa.old -out id_dsa

    古いパス フレーズと新しいパス フレーズを求められます。

  3. 古いパスフレーズと新しいパスフレーズを入力します。
  4. 次のコマンドを実行します。

    chmod 600 id_dsa

以降のセクションでは、FIPSをアクティブ化、非アクティブ化、確認する方法について説明します。

BSAFEを使用したFIPSのアクティブ化、確認、非アクティブ化 

このセクションでは、BSAFEセキュリティ ライブラリを使用するアプリケーション ホストおよびすべてのサービスに対して、FIPSをアクティブ化、確認、非アクティブ化する方法について説明します。

BSAFEセキュリティ ライブラリを使用するアプリケーション ホストおよびすべてのサービスに対するFIPSの有効化

[このセクションは正確ですか?]

BSAFEセキュリティ ライブラリを使用するアプリケーション ホストとすべてのサービスに対して、[FIPSは常にBSAFEを使用するので、この「BSAFEを使用した」は削除してもよろしいですか?]FIPSをアクティブ化するには、次の手順を実行します。

  1. root権限でアプリケーション ホストにSSH接続します。
  2. /etc/puppet/scriptsディレクトリに移動し、次のコマンドを実行します。

    ./FIPSEnable.sh

    スクリプトはアプリケーション ホストでのみ実行します。./FIPSEnable.sh スクリプトは、次の処理を行います。

    • アプリケーション ホストにプロビジョニングされているBSAFEセキュリティ ライブラリを使用するすべてのサービスで、FIPSをアクティブ化します。
    • アプリケーション ホストと他のすべてのホストでサービスを再起動します。
    • 例:導入環境に、Malware Analysis、ESA(Event Stream Analysis)、Security Analyticsコア ホスト(Broker、Concentrator、Decoder、Log Decoderなど)が存在します。./FIPSEnable.sh をアプリケーション ホストで実行すると、そのアプリケーション ホストで実行されているサービス(Reporting EngineとIncident Management)に対してFIPSがアクティブ化され、他のホストで実行されているContext Hub、ESA、Malware AnalysisサービスがFIPSモードで実行されるようになります。

      スクリプトの実行が成功すると、アプリケーション、ESA、Malwareの各ホストでサービスが自動的に再起動されます。サービスが再開するまで少し時間がかかります。

  3. ホストを再起動します。

    RSAでは、アプリケーション ホスト以外のホストから再起動することを推奨します。たとえば、Malware Analysisホストとアプリケーション ホストがある場合は、Malware Analysisホストを再起動してから、アプリケーション ホストを再起動します。

    注:アプリケーション ホストで実行されているIPDB ExtractorサービスとBrokerサービスに対してFIPSをアクティブ化または非アクティブ化するには、OpenSSL用のスクリプト、./NwFIPSEnable.sh または./NwFIPSDisable.shを使用します。

アプリケーション ホスト上のReporting Engineに対してFIPSがアクティブ化されていることを確認

[このセクションは正確ですか?]

[FIPSは常にBSAFEを使用するので、この「BSAFEを使用する」は削除してもよろしいですか?]Reporting Engineに対してFIPSがアクティブ化されていることを確認するには、次の手順を実行します。

  1. Security Analyticsにログオンし、[Administration]>[サービス]に移動します。
  2. Reporting Engineサービスを選択します。
  3. [com.rsa.soc.re]>[Configuration]>[ServerConfiguration]>[serverConfiguration]に移動します。
  4. FIPSEnabledパラメータがtrueに設定されていることを確認します。

FIPS_Status_RE.png

ESAに対してFIPSがアクティブ化されていることを検証

[このセクションは正確ですか?]

[BSAFEに関する上記の質問と同様の質問]ESAに対してFIPSがアクティブ化されているかどうかを確認するには、次の手順を実行します。

  1. Security Analyticsにログオンし、[Administration]>[サービス]に移動します。
  2. ESAサービスを選択します。
  3. アクション]の下のOpenActionsIcon.PNGをクリックし、[表示]>[エクスプローラ]を選択します。
  4. Service]>[Status]>[service]に移動します。
  5. FIPSModeOnパラメータがtrueに設定されていることを確認します。

    FIS_Status_ESA.png

Malware Analysisに対してFIPSがアクティブ化されていることを確認

[このセクションは正確ですか?]

[BSAFEに関する上記の質問と同様の質問]Malware Analysisに対してFIPSがアクティブ化されているかどうかを確認するには、次のコマンドを実行します。

cat /etc/alternatives/jre/lib/security/java.security | grep FIPS

Malware Analysisに対してFIPSがアクティブ化されている場合は、次のように出力されます。

com.rsa.cryptoj.fips140initialmode=FIPS140_MODE

Incident Managementに対してFIPSがアクティブ化されていることを確認

[このセクションは正確ですか?]

Incident Managementに対してFIPSがアクティブ化されているかどうかを確認するには、次のコマンドを実行します。

cat /opt/rsa/im/logs/im.log | grep FIPS

Incident Managementに対してFIPSがアクティブ化されている場合は、次のように出力されます。

[WrapperSimpleAppMain] INFO com.rsa.smc.im.ServiceInitializer - Running in FIPS mode

BSAFEセキュリティ ライブラリを使用するアプリケーション ホストおよびすべてのサービスに対するFIPSの非アクティブ化

[このセクションは正確ですか? また、BSAFEはOpenSSLにも適用されるので、後半の「BSAFEを使用した」を削除してもよろしいですか?]

BSAFEを使用するアプリケーション ホストに対して、FIPSを非アクティブ化するには、次の手順を実行します。

  1. root権限でアプリケーション ホストにSSH接続します。
  2. /etc/puppet/scriptsディレクトリに移動し、次のコマンドを実行します。

    ./FIPSEnable.sh false

  3. ホストを再起動します。RSAは、アプリケーション ホスト以外のホストから再起動することを推奨します。たとえば、Malware Analysisホストとアプリケーション ホストがある場合は、Malware Analysisホストを再起動してから、アプリケーション ホストを再起動します。

[現在はBSAFE OpenSSLを使用しているので、このトピックの残りの部分は削除してもよろしいですか?]

OpenSSLを使用したFIPSのアクティブ化、確認、非アクティブ化

このセクションでは、Broker、Concentrator、Decoder、Log Decoder、Warehouse Connector、IPDB Extractor、Log Collector(ローカルCollectorおよびリモートCollector)、Archiver、Workbenchの各サービスに対して、OpenSSLを使用したFIPSをアクティブ化、確認、非アクティブ化する方法について説明します。

OpenSSLを使用したFIPSのアクティブ化

OpenSSLを使用したFIPSをアクティブ化するには、次の手順を実行します。

  1. openssl-1.0.0-20.el6_2.5.x86_64.rpmをローカル ディレクトリにダウンロードします。次の場所からダウンロードできます。

    • openssl-1.0.0-20.el6_2.5.x86_64.rpmをCentOS repoから直接ダウンロードします。
    • DownloadCentralhttps://download.rsasecurity.com/)からSA-10.6.0.0-UpdatePack-EL6.zipをダウンロードします。このファイルにはopenssl-1.0.0-20.el6_2.5.x86_64.rpmが含まれています。
  2. OpenSSLを使用する各ホストにroot権限でSSH接続します。
  3. スクリプトを実行してFIPSをアクティブ化する前に、各ホストのrootディレクトリにopenssl-1.0.0-20.el6_2.5.x86_64.rpmをコピーします。
  4. Security Analytics v10.6でFIPSをアクティブ化します。

    1. /etc/puppet/scriptsディレクトリに移動し、次のコマンドを実行します。

      ./NwFIPSEnable.sh

    2. Security Analyticsにログオンし、[Administration]>[サービス]にアクセスします。
    3. サービスを選択します。選択する必要があるサービスは、Broker、Concentrator、Decoder、Log Decoder、Warehouse Connector、IPDB Extractor、Log Collector(ローカルCollectorおよびリモートCollector)、Archiver、Workbenchです。

    4. アクション]の下のActions menu croppedをクリックし、[表示]>[構成]を選択します。
    5. 全般]タブの[システム構成]パネルで[SSL FIPS Mode]チェックボックスをオンにして、[適用]をクリックします。

      FISxbox1.png

    6. Applianceサービス構成]タブで、[SSL FIPS Mode]チェックボックスをオンにして、[適用]をクリックします。

      FISxbox2.png

    7. ホストを再起動します。再起動する必要があるホストは、Broker、Concentrator、Decoder、Log Decoder、Warehouse Connector、IPDB Extractor、Log Collector(ローカルCollectorおよびリモートCollector)、Archiver、Workbenchサービスです。

OpenSSLを使用したFIPSの非アクティブ化

OpenSSLを使用したFIPSを非アクティブ化するには、次の手順を実行します。

  1. OpenSSLを使用してFIPSがアクティブ化されている各ホストにroot権限でSSH接続します。
  2. /etc/puppet/scriptsディレクトリに移動し、次のコマンドを実行します。

    ./NwFIPSDisable.sh

  3. Security Analyticsにログオンし、[Administration]>[サービス]を選択します。
  4. サービスを選択します。選択する必要があるサービスは、Broker、Concentrator、Decoder、Log Decoder、Warehouse Connector、IPDB Extractor、Log Collector(ローカルCollectorおよびリモートCollector)、Archiver、Workbenchです。

  5. アクション]の下のActions menu croppedをクリックし、[表示]>[構成]を選択します。
  6. 全般]タブの[システム構成]パネルで[SSL FIPS Mode]チェックボックスをオフにして、[適用]をクリックします。

    FISxbox1D.png

  7. Applianceサービス構成]タブで、[SSL FIPS Mode]チェックボックスをオフにして、[適用]をクリックします。

    FISxbox2D.png

  8. ホストを再起動します。再起動する必要があるホストは、Broker、Concentrator、Decoder、Log Decoder、Warehouse Connector、IPDB Extractor、Log Collector(ローカルCollectorおよびリモートCollector)、Archiver、Workbenchサービスです。

OpenSSLセキュリティ ライブラリを使用するサービスに対してFIPSがアクティブ化されていることの確認

OpenSSLセキュリティ ライブラリを使用するサービスに対してFIPSがアクティブ化されているかどうかを確認するには、次の手順を実行します。

  1. Security Analyticsにログオンし、[Administration]>[サービス]に移動します。
  2. サービスを選択します。選択する必要があるサービスは、Broker、Concentrator、Decoder、Log Decoder、Warehouse Connector、IPDB Extractor、Log Collector(ローカルCollectorおよびリモートCollector)、Archiver、Workbenchです。
  3. アクション]で、[表示]>[構成]を選択します。

    構成]ビューの[全般]タブが表示されます。

  4. システム構成]パネルで、[SSL FIPS Mode]パラメータがオンになっていることを確認します。

    OpenSSLVerify.png

Previous Topic:概要
You are here
Table of Contents > FIPSのアクティブ化または非アクティブ化

Attachments

    Outcomes