シスコの認定資格「CCENT/CCNA」のポイントを学ぶシリーズ。今回はルーターやスイッチなどの機器に対するセキュリティ設定の方法を解説します。
ネットワーク初心者がCCENT/CCNAを受験するために必要な知識を学ぶ本連載。前回は、シスコシステムズが発表しているCCENT試験内容の5.5「クライアントとしての NTP の設定と確認」から、各種機器の時刻情報を同期するためのNTPの仕組みと、ルーターへの設定手順を説明しました。
今回は6.1「ネットワーク デバイスのセキュリティ機能の設定と確認」です。ルーターやスイッチは不必要にログインするべきものではありません。また、機器にログインできるのは限られた管理者・運用者だけにすべきです。今回は各種機器に対するセキュリティ対策の設定方法を解説します。
そもそも、ルーターやスイッチにログインするためには、それらの機器と操作を行う端末を物理的、論理的に接続する必要があります。物理的に接続されないように、機器は正当な管理者以外の手に届かないところに置くようにしましょう。机上などに放置するのは問題外です。施錠できるラックなどに収めて、そのラック自体もサーバルームやデータセンターなど、施錠できる部屋に収めるのが望ましいでしょう。
また、ルーターやスイッチを不用意に操作されないようにするためには、機器にログインさせないことも重要です。正当な管理者のみが機器にログインできるように、パスワード認証を設定しましょう。
グローバルコンフィギュレーションモードで、特権EXECモードに昇格するためのパスワードを設定できます。「enable password」コマンドと「enable secret」コマンドがありますが、暗号化強度が高いのはsecretオプションを指定する方法です。
(config)# enable password pAsSwOrD (config)# enable secret pAsSwOrD
secretオプションを使用してパスワードを設定すると、passwordオプションで設定したパスワードは使用できなくなります。また、secretオプションで設定したパスワードは、自動的に暗号化された状態で保存されます。passwordオプションでパスワードを設定した場合には、初期状態では平文でパスワード文字列が保存されます。平文で保存されたパスワード文字列(enable passwordの他、line console、line vtyに対するパスワードも該当)を暗号化するには、次のコマンドを入力します。
(config)# service password-encryption
物理的に隔離されたデバイスを管理するには、リモートログインできる環境を作る必要があります。代表的なプロトコルはTELNETですが、TELNETでは全てのデータが平文で通信されるため、暗号化されたパケット通信を行うSSHを使用するのが望ましいといえます。VTY回線(line vty)ではTELNETおよびSSHを受け付けますが、SSHだけを受信許可する設定を行いましょう。
(config)# line vty 0 4 ……VTY回線に対する設定モードに入る宣言 (config-line)# login local ……ユーザー認証にローカルデータベースを使用 (config-line)# transport input ssh ……リモートログインにはSSHのみ使用する
ルーターやスイッチにログインするために使用する認証情報については、デバイスに保存した情報、すなわちローカルデータベースを使用する方式と、外部の認証情報を使用する方式があります。
ローカルデータベースを使用する方式では、機器ごとに個別に設定された認証情報を使用するため、全ての機器に認証情報を設定する必要があります。
外部認証方式では、デバイス以外の認証情報を使用する別の認証方式を使用することで、認証情報を一箇所に集めることができます。また、認証情報そのものをデバイスから切り離すことも可能です。
デバイスに対する外部認証の方式としては、「RADIUS」と「TACACS+」が使用できます。RADIUSは、「RFC 2865」として規定されています。TACACS+は、シスコシステムズの独自プロトコルです。どちらも「AAA(Authentication Authorization Accounting)」による認証方式の一つの認証メソッドとして使用できます。
AAAは「認証」「許可」「課金」の各項目を管理する仕組みです。誰に(認証)、何を(許可)、どれ位の時間(課金)使わせるかをチェックする方法を決めます。
以下は、RADIUSでAAA認証を使用する際のコマンドの例です。
(config)# aaa new-model ……AAA認証を使用する宣言 (config)# aaa authentication login default group radius ……全てのログイン認証にRADIUS認証を使用する (config)# radius-server host 192.168.1.254 auth-port 1845 acct-port 1846 ……RADIUSサーバのIPアドレスが92.168.1.254、RADIUSサーバの通信用に1845,1846番ポート使用 (config)# radius-server key radius123 ……RADIUSサーバとの事前共有鍵をradius123とする
Copyright © ITmedia, Inc. All Rights Reserved.