Cisco Cisco Email Security Appliance C170 Guia Do Utilizador

Cisco AsyncOS 9.1 for Email 사용 설명서

27 장     FIPS 관리

  FIPS 모드로 어플라이언스 전환

FIPS 레벨 1 규격을 위해 Email Security 어플라이언스의 구성을 다음과 같이 변경합니다.

SMTP 수신 및 전달. Email Security 어플라이언스와 원격 호스트의 공용 리스너 간 TLS로 이
뤄지는 수신 및 발송 SMTP 대화는 TLS 버전 1 및 FIPS 암호 그룹을 사용합니다.  FIPS 모드에
서 

sslconfig

를 사용하여 암호 그룹을 수정할 수 있습니다. TLS v1은 FIPS 모드에서 지원되는 

유일한 TLS 버전입니다.

웹 인터페이스. TLS 버전 1 및 FIPS 암호 그룹을 사용하는 Email Security 어플라이언스 웹 인
터페이스의 HTTPS 세션입니다. IronPort Spam Quarantine 및 기타 IP 인터페이스에 대한 HTTP 
세션도 포함합니다. FIPS 모드에서 

sslconfig

를 사용하여 암호 그룹을 수정할 수 있습니다.

인증서. FIPS 모드에서는 어플라이언스에서 사용하는 인증서 종류가 제한됩니다. 인증서는 
SHA-1, SHA-224, SHA-256, SHA-384, SHA-512 및 2,048비트 크기의 RSA 키와 같은 서명 알고
리즘을 사용해야 합니다. 어플라이언스는 이 알고리즘을 사용하지 않는 인증서는 가져오지 않
습니다. 어플라이언스가 비규격 인증서를 사용 중인 경우 FIPS 모드로 전환될 수 없습니다. 대
신 오류 메시지를 표시합니다. 자세한 내용은 

 항목을 참조하십

시오.

DKIM 서명 및 확인. DKIM 서명 및 확인에 사용되는 RSA 키는 길이가 2,048비트여야 합니다. 어
플라이언스가 비규격 RSA 키를 사용 중인 경우 FIPS 모드로 전환될 수 없습니다. 대신 오류 메시
지를 표시합니다. DKIM 서명을 확인하는 중에 서명이 FIPS 규격 키를 사용하지 않는 경우 어플
라이언스는 영구 실패를 반환합니다. 

 항목을 참조하

십시오.

LDAPS. 외부 인증을 위한 LDAP 서버 사용을 포함해 Email Security 어플라이언스 및 LDAP 서
버 간 TLS 트랜잭션은 TLS 버전 1 및 FIPS 암호 그룹을 사용합니다. 비밀번호를 저장하기 위
해 LDAP 서버에서 MD5 해시를 사용하는 경우, MD5가 FIPS 규격이 아니므로 SMTP 인증 쿼
리에 실패합니다.

로그. SSH2는 SCP를 통해 로그를 푸쉬하기 위해 유일하게 허용되는 프로토콜입니다. FIPS 관
리와 관련된 오류 메시지의 경우, INFO의 FIPS 로그를 확인합니다.

중앙 집중식 관리. 클러스터된 어플라이언스에서, FIPS 모드는 클러스터 수준에서만 활성화될 
수 있습니다.

SSL 암호. FIPS 모드에서는 SSL 암호 중 AES256-SHA:AES128-SHA:DES-CBC3-SHA만 지원
됩니다.

FIPS 모드로 어플라이언스 전환

fipsconfig

 CLI 명령을 사용하여 어플라이언스를 FIPS 모드로 전환합니다. 

참고

관리자만 이 명령을 사용할 수 있습니다. 어플라이언스를 비FIPS 모드에서 FIPS 모드로 전환한 후
에는 재부팅해야 합니다.

시작하기 전에

어플라이언스에 비FIPS 규격 객체(예: 키 크기가 512비트인 DKIM 확인 프로파일)가 없는지 확인
합니다. FIPS 모드를 활성화하려면 FIPS 요구 사항을 만족하도록 모든 비FIPS 규격 객체를 변경해
야 합니다. 

 항목을 참조하십시오. 어플라이언스에 비FIPS 

규격 객체가 있는지 확인하기 위한 명령은 

 항목을 참조하십

시오.