システム メンテナンス:FIPSサポート

Document created by RSA Information Design and Development on Apr 23, 2018Last modified by RSA Information Design and Development on Apr 23, 2018
Version 2Show Document
  • Comment0
  • View in full screen mode
 

NetWitness Suite 11.0には、NetWitness Suite内のすべての暗号化操作をサポートするFIPS認定140-2暗号形式モジュールが付属しています。NetWitness Suiteは、レベル3設計保証をサポートする次の2つのモジュールを活用します。

  • RSA BSAFEBSAFE Crypto-J
  • OpenSSL with BSAFE(OWB)

どちらのモジュールも、標準NetWitness Suite構成と同等の運用環境で認定されています。

デフォルトでは、暗号形式モジュールは、可能な限りFIPS認定の暗号スイートを強制的に使用します。例外については、以下の情報およびリリース ノートを参照してください。FIPSモジュールの詳細については、http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140val-all.htmを参照してください。

RSA BSAFEBSAFE Crtypo-J FIPS証明書の番号は2468で、OWB FIPS証明書は証明書番号2300でRSA BSAFEBSAFE Crypto-C Micro Editionに含まれています。

11.0.0.0では、FIPSはLog Collectorを除くすべてのサービスで有効です。これには、10.6.4.xでFIPSが有効であった場合のLog DecoderとDecoderが含まれます。Log Collector、Log DecoderおよびDecoderを除くどのサービスでもFIPSを無効にできません。

注:11.0.0.0を新規にインストールする場合、デフォルトでは、Log CollectorとLog Decoderを除くすべてのコア サービスにFIPSが適用されます。Log Collector、Log DecoderおよびPacket Decoderを除くどのサービスでもFIPSを無効にできません。

注:10.6.4.xから11.0.0.0にアップグレードする場合は、Log Collector、Log Decoder、およびDecoderサービスに次の条件が適用されます。
- Log Collectorは、10.6.4.xでFIPSが有効であった場合でも、11.0.0.0へのアップグレード後FIPSは有効になっていません。11.0.0.0にアップグレードした後にFIPSのサポートを有効にする必要があります。「Log CollectorでのFIPSのサポート」の手順を参照してください。
- 10.6.4.xでLog DecoderとPacket Decoderサービスに対してFIPSが有効であった場合は、11.0.0.0でもFIPSは有効です。ただし、Log DecoderとPacket Decoderが10.6.4.xでFIPSが有効になっていなかった場合、11.0.0.0でもFIPSは有効になりません。必要に応じて、これらのサービスに対してFIPSを手動で有効化する必要があります。「Log DecodersおよびDecoderでのFIPSのサポート」の手順を参照してください。

Log CollectorでのFIPSのサポート

Log CollectorでFIPSを有効にするには、次の手順を実行します。

  1. Log Collectorサービスを停止します。
  2. /etc/systemd/system/nwlogcollector.service.d/nwlogcollector-opts-managed.confファイルを開きます。
  3. ここで説明するように、次の変数の値をoffに設定します。
    Environment="OWB_ALLOW_NON_FIPS=on"
    から以下に変更します。
    Environment="OWB_ALLOW_NON_FIPS=off"
  4. 次のコマンドを実行して、システム デーモンを再ロードします。
    systemctl daemon-reload
  5. Log Collectorサービスを再開します。
  6. UIで、Log CollectorサービスにFIPSモードを設定します。

    注:このステップは、10.6.4から11.0.0.0にアップグレードし、FIPSが10.6.4で有効になっていた場合は不要です。

    1. 管理]>[サービス]に移動します。
    2. Log Collectorサービスを選択し、[表示]>[構成]に移動します。
    3. SSL FIPSードで、[構成]の下のチェックボックスを選択し、[適用]をクリックします。

Log DecodersおよびDecoderでのFIPSのサポート

10.6.4.xでFIPSが有効になっていなかったLog DecoderおよびDecoderでFIPSを有効にするには、次の手順を実行します。

  1. 管理]>[サービス]に移動し、Log DecoderまたはPacket Decoderサービスを選択します。
  2. 表示]>[構成]を選択し、[システム構成]で[構成]列のチェックボックスを選択して[SSL FIPS Mode]を有効にします。
  3. サービスを再起動します。
  4. 適用]をクリックします。
You are here
Table of Contents > FIPSサポート

Attachments

    Outcomes