コンテンツにスキップ

認定

Federal Information Processing Standard (連邦情報処理規格) 140-2 (FIPS 140-2) レベル 1 で認定されている暗号化ライブラリを使用するように Sophos Firewall を設定できます。

FIPS 140-2 レベル 1

FIPS 140-2 レベル1 とは、暗号化モジュールのセキュリティ要件を規定する米国の公的規格です。

サポート対象の導入形態

Sophos Firewall の以下の導入携帯で、FIPS モードを使用できます。

  • XGS シリーズハードウェア
  • 仮想マシン (VMware vSphere、Hyper-V、KVM、Xen)
  • クラウド (AWS、Azure)

Sophos Firewall の以下の導入形態では、FIPS モードを使用できません。

  • ソフトウェア
  • XG および SG シリーズハードウェア

FIPS 準拠のアルゴリズム

FIPS 準拠のファイアウォールでは、VPN の設定に以下のアルゴリズムを使用できます。

  • DH グループ: 14、15、16、17、18、19、20、21
  • 暗号化: AES256、AES128、AES192、3DES
  • RSA 鍵:1024、1536、2048、およびそれ以上の強度。1024、1536、2048、3072 のみが FIPS に準拠しています。ただし、強度がさらに大きい鍵を選択することも可能です。
  • EC 曲線: 192ビット以上の鍵
  • 認証:SHA1、SHA256、SHA384、SHA512

FIPS をオンにする方法

FIPS モードをオンにするには、コマンドライン (CLI) に移動し、以下のコマンドを入力します。

system fips enable

ファイアウォールが工場出荷時の設定で再起動し、暗号化モジュールが FIPS 準拠になります。

警告

再起動すると、工場出荷時のデフォルト設定にリセットされます。

冗長化 (HA) を導入する場合は、最初に FIPS モードをオンにしてから、HA を有効にしてください。

制限事項

HA が既にオンになっているデバイスでは、FIPS のオン/オフを切り替えることはできません。

FIPS をオンにしたときのバックアップと復元

FIPS をオンまたはオフにして作成したバックアップは、互換性のある Sophos Firewall のバージョンに復元できます。以下の表に、設定を復元したときの FIPS モードの状態を示します。

Restore to ▶

Backup type ▼		 Firewall version that supports FIPS Firewall version that doesn't support FIPS
FIPS was turned on FIPS will be turned on FIPS won't be available
FIPS was turned off FIPS will be turned off FIPS won't be available

FIPS をオンにしたときのファームウェアアップグレード

FIPS がオンになっているアクティブなファームウェアに、FIPS 未対応のファームウェアをアップロードすることはできません。FIPS 未対応のファームウェアをアップロードするには、FIPS モードをオフにする必要があります。

ファームウェアを移行またはアップグレードしてから FIPS をオンに切り替えた場合、FIPS をオンに切り替える前の設定にロールバック可能です。

FIPS の動作

FIPS をオンにすると、デフォルトポリシーがすべて FIPS 準拠の設定で生成されます。

Sophos Firewall では、通常、MD5 を使用してデフォルトの L2TP ポリシーを生成しますが、FIPS が有効になっているデバイスでは、最低限必要な認証アルゴリズム SHA1 を使用します。

VPN

FIPS モードをオンにすると、IPsec は FIPS 認定の暗号化ライブラリを使用して VPN トンネルを確立します (フェーズ1)。SSL VPN は、FIPS 認定の暗号化ライブラリを使用して、フェーズ 1 およびフェーズ 2 の VPN トンネルを確立します。

FIPS に準拠するため、一部の暗号化オプションは使用できません。

IPsec VPN

FIPS モードでは、FIPS 準拠および FIPS 検証済みの証明書が生成されます。証明書の生成には、FIPS 認定の暗号化ライブラリが使用されます。

証明書または CA (証明機関) をアップロードした場合は、FIPS 準拠のアルゴリズムであるかどうかが検証されます。

  • プロファイル > IPsec プロファイルのフェーズ 1 および 2:

    • DH グループ: 1、2、5、25、26 は FIPS 認定を受けていないため、選択できません。
      31 は暗号化強度の要件を満たしているため、選択はできますが、接続が FIPS 準拠ではありません。
    • 暗号化: Blowfish、Twofish、Serpent は選択できません。
    • 認証:MD5 は選択できません。

  • サイト間 VPN > IPsec 接続

    • 暗号化 > 認証の種類:
      • RSA 鍵: 1024、1536、2048、およびそれ以上の強度。1024、1536、2048、3072 のみが FIPS に準拠しています。ただし、強度がさらに大きい鍵を選択することも可能です。
      • デジタル証明書: FIPS 準拠の証明書のみを使用できます。
    • IPsec ウィザード: FIPS 準拠の設定を選択できます。
  • リモートアクセス VPN > L2TP: 「デジタル証明書」に基づく認証では、FIPS 準拠の証明書のみを使用できます

SSL VPN

リモートアクセス VPN > SSL VPN > SSL VPN グローバル設定:

  • SSL サーバー証明書: 「デジタル証明書」に基づく認証では、FIPS 準拠の証明書のみを使用できます。
  • 暗号化の設定:
    • 暗号化アルゴリズム: BF-CBC は選択できません。
    • 認証アルゴリズム: MD5 は選択できません。
    • 鍵サイズ:1024 は選択できません。
  • サイト間 SSL VPN: FIPS 準拠のサーバーおよびクライアント設定が生成されます。VPN 設定がパスワードで保護されている場合、FIPS が有効になっているデバイスからダウンロードしたサーバー設定は、18.5 MR2 より前のバージョンでは使用できません (その逆も同様です)。

証明書と証明機関

FIPS モードでは、FIPS 準拠および FIPS 検証済みの証明書が生成されます。証明書の生成には、FIPS 認定の暗号化ライブラリが使用されます。

証明書または CA (証明機関) をアップロードした場合は、FIPS 準拠のアルゴリズムであるかどうかが検証されます。

デジタル証明書 (ローカルまたはリモート) には、証明書の種類によって以下の制限が適用されます。

  • MD5 ダイジェスト」は選択できません。
  • リモート証明書として「外部 CA」を選択することはできません。
  • RSA 鍵:1024、1536、2048、およびそれ以上の強度。1024、1536、2048、3072 のみが FIPS に準拠しています。ただし、強度がさらに大きい鍵を選択することも可能です。
  • RSA の種類: 1024、1536、2048 またはそれ以上の強度を選択できます。1024、1536、2048、3072 のみが FIPS に準拠しています。ただし、強度がさらに大きい鍵を選択することも可能です。
    • EC 曲線: プライムフィールド曲線
      • 192 以上の鍵サイズを使用できます
      • 192ビット未満の鍵サイズは使用できせん

冗長化 (HA)

FIPS をオンにしたデバイスで HA を有効にできます。まず、プライマリデバイスで FIPS をオンにしてから、HA を有効にします。そうすると、セカンダリデバイスの FIPS も自動的にオンになります。

HA が有効になっている場合、FIPS のオン/オフを切り替えることはできません。

HA を無効に切り替えても、HA デバイスの FIPS モードは変わりません。

ログとレポート

ログビューアとレポートには、FIPS のオン/オフの切り替えが表示されます。

FIPS がオンに切り替えられたことが、ログビューアに表示されます

その他のリソース