- ユーザ サービスのセキュリティ保護の概要
- AutoSecure
- 認証
- 認証の設定
- 認可の設定
- Standalone MAB Support
- アカウンティングの設定
- 認証プロキシの設定
- IEEE 802.1x-Flexible Authentication
- ネットワーク アドミッション コントロール
- RADIUS の設定
- AAA Dead-Server Detection
- AAA-SERVER-MIB Set Operation
- ACL Default Direction
- アクセス要求のアトリビュート スクリーニン グ
- 事前認証ユーザに対する RADIUS を使用した マルチリンク PPP のイネーブル化
- 拡張テスト コマンド
- RADIUS アカウンティング内の Framed-Route
- Offload Server Accounting Enhancement
- Per VRF AAA
- RFC-2867 RADIUS トンネル アカウンティン グ
- RADIUS アトリビュート スクリーニング
- RADIUS 集中型フィルタ管理
- RADIUS デバッグ拡張
- RADIUS 論理回線 ID
- RADIUS NAS-IP-Address アトリビュート 設定可能性
- RADIUS ルート ダウンロード
- RADIUS サーバ ロード バランシング
- 56 ビット アカウンティング セッション ID の RADIUS サポート
- ロード バランシングおよびフェールオーバー 用の RADIUS トンネル プリファレンス
- RADIUS サーバ障害発生時順序変更
- トンネル ターミネータでの RADIUS 経由での トンネル認証
- TACACS+ の設定
- Per VRF for TACACS+ Servers
- RADI US アトリビュート概要と RADIUS IETF アトリビュート
- RADIUS ベンダー固有アトリビュート
- RADIUS ベンダー固有アトリビュート (VSA)および RADIUS Disconnect-Cause アトリビュート値
- アクセス要求内の RADIUS アトリビュート 8 (Framed-IP-Address)
- RADIUS トンネル アトリビュート拡張
- セキュア シェルの設定
- リバース SSH 拡張
- セキュア コピー
- セキュア シェル バージョン 2 サポート
- SSH Terminal-Line アクセス
- Cisco IOS Login Enhancements(Login Block)
- Cisco IOS Resilient Configuration
- イメージ検証
- IP ソース トラッカー
- ロールベースの CLI アクセス
セキュリティ コンフィギュレーション ガイド:ユー ザ サービスのセキュリティ保護
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月6日
章のタイトル: AutoSecure
AutoSecure
AutoSecure 機能では、1 つの CLI コマンドによって、ネットワーク攻撃に悪用されるおそれのある一般的な IP サービスを無効にしたり、攻撃を受けたときにネットワークを防御するのに役立つ IP サービスや機能を有効にしたりできます。また、ルータのセキュリティ設定を簡素化しつつ機能を堅牢にすることができます。
機能情報の確認
ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。この章に記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「AutoSecure の機能情報」 を参照してください。
プラットフォーム サポートと Cisco IOS および Catalyst OS ソフトウェア イメージ サポートに関する情報を入手するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスできます。Cisco.com のアカウントは必要ありません。
この章の構成
AutoSecure の制約事項
AutoSecure について
AutoSecure を設定するために、次の概念を理解しておく必要があります。
AutoSecure の利点
AutoSecure を使用すると、すべての Cisco IOS 機能を詳しく把握していなくても、ネットワークをすばやくセキュリティ保護できるため、AutoSecure は、特別なセキュリティ操作アプリケーションを持っていない顧客にとって役に立つ機能です。
これにより、セキュリティ機能の設定を自動化したり、デフォルトで有効になり、セキュリティ ホールとして悪用されることのある特定の機能を無効化したりする CLI を作成してルータをセキュリティ保護する複雑な作業が不要になります。
AutoSecure の次のメカニズムにより、ルータへのアクセスの安全性が向上しています。
•
パスワードに必要な最小長を設定することができます。これにより、「lab」や「cisco」など、ほとんどのネットワークで広く使用されているありふれたパスワードを排除できます。
パスワードの最小長を設定するコマンドは security passwords min-length です。
• 正常に実行できなかった回数が、設定したしきい値を超えると、syslog メッセージが生成されます。
許容できるログイン失敗回数(しきい値)を設定するコマンドは、 security passwords min-length です。
Cisco IOS Release 12.3(8)T では、AutoSecure 設定のロールバックがサポートされています。ロールバックを有効にすると、AutoSecure 設定に失敗しても、ルータを前の設定状態に戻すことができます。
(注) Cisco IOS Release 12.3(8)T よりも前のリリースでは、AutoSecure 設定をロールバックすることはできません。このため、AutoSecure を設定する前に、現行の設定を常に保存する必要があります。
システム ロギング メッセージは、現行の設定に適用されている AutoSecure 設定の変更または改ざんを捕捉します。つまり、AutoSecure を実行しているときに詳細な監査証跡情報が得られます。
マネジメント プレーンのセキュリティ保護
マネジメント プレーンのセキュリティ保護は、AutoSecure 機能の中心となる 2 つの分野の 1 つです(もう一方の中心分野は次の 「フォワーディング プレーンのセキュリティ保護」 で説明します)。マネジメント プレーンのセキュリティ保護は、セキュリティ攻撃のために悪用される可能性のあるいくつかのグローバル サービスとインターフェイス サービスをディセーブルにし、攻撃の脅威を軽減する効果のあるグローバル サービスをイネーブルにすることによって行われます。また、セキュリティ保護されたアクセスとロギングもルータに設定できます。
ここでは、AutoSecure がマネジメント プレーンのセキュリティ保護にどのように役立つかを説明します。
AutoSecure 機能を( auto secure コマンドで)イネーブルにすると、ルータで次のグローバル サービスが自動的にディセーブルになります。
• Finger:攻撃の前のシステムの情報を収集(探査)します。イネーブルになっている場合、この情報により、デバイスが攻撃に対して脆弱なままになることがあります。
• PAD:すべての Packet Assembler and Disassembler(PAD; パケット アセンブラ/ディスアセンブラ)コマンドと、PAD デバイスとアクセス サーバとの接続をイネーブルにします。イネーブルになっている場合、このサービスにより、デバイスが攻撃に対して脆弱なままになることがあります。
• スモール サーバ:TCP および User Datagram Protocol(UDP; ユーザ データグラム プロトコル)の診断ポート攻撃の原因となります。この攻撃では、送信者がルータの UDP 診断サービスに偽の要求を大量に送信し、CPU リソースを使い果たします。
• BOOTP サーバ:BOOTP は安全ではないプロトコルで、攻撃に悪用される可能性があります。
• HTTP サーバ:Secure HTTP が使用されていないか、ACL を関連付けて HTTP サーバに組み込まれる認証が使用されていない場合、HTTP サーバは安全ではなく、攻撃に悪用されることがあります(HTTP サーバをイネーブルにする必要がある場合は、適切な認証またはアクセス リストの指定を求めるメッセージが表示されます)。
(注) Cisco Configuration Professional を使用している場合は、ip http server コマンドを使用して HTTP サーバを手動でイネーブルにする必要があります。
• 識別サービス:RFC 1413 で定義されている安全ではないプロトコルです。TCP ポートで ID を照会することが可能です。攻撃者は、ID サーバでユーザに関する個人的な情報にアクセスできます。
• CDP:大量の Cisco Discovery Protocol(CDP; シスコ検出プロトコル)パケットがルータに送信されると、ルータの使用可能なメモリが消費され、ルータがクラッシュすることがあります。
• NTP:認証またはアクセス制御が行われないと、Network Time Protocol(NTP; ネットワーク タイム プロトコル)は安全ではありません。攻撃者はこのプロトコルを使用して NTP パケットを送信し、ルータをクラッシュさせたり、過負荷状態にしたりすることが可能です(NTP を有効にする場合は、Message Digest 5(MD5; メッセージ ダイジェスト 5)および ntp access-group コマンドを使用して NTP 認証を設定する必要があります。NTP がグローバルにイネーブルになっている場合は、NTP が不要なすべてのインターフェイスでディセーブルにしてください)。
• 送信元ルーティング:デバッグ作業でのみ使用するため、それ以外の場合はディセーブルにする必要があります。そうしないと、アクセス制御メカニズムを通過すべきパケットが、一部のアクセス制御メカニズムを回避する可能性があります。
AutoSecure 機能をイネーブルにすると、次のインターフェイス単位のサービスが自動的にルータでディセーブルになります。
• ICMP リダイレクト:すべてのインターフェイスでディセーブルになります。このサービスは、正しく設定されたネットワークにとっては有益な機能ではなく、セキュリティ ホールを悪用するために攻撃者によって使用される可能性があります。
• ICMP 到達不能:すべてのインターフェイスでディセーブルになります。Internet Control Management Protocol(ICMP;インターネット制御マネジメント プロトコル)到達不能は、ICMP ベースの Denial of Service(DoS; サービス拒否攻撃)の原因として知られています。
• ICMP マスク応答メッセージ:すべてのインターフェイスでディセーブルになります。ICMP マスク応答メッセージにより、攻撃者はインターネットワークの特定のサブネットワークのサブネットマスクを入手できます。
• プロキシ Arp:すべてのインターフェイスでディセーブルになります。プロキシ Arp 要求は、DoS 攻撃の原因として知られています。これは、攻撃者が何度も送信した要求に応答しようとしてルータの使用可能な帯域幅とリソースが消費されることがあるためです。
• ダイレクト ブロードキャスト:すべてのインターフェイスでディセーブルになります。DoS を生じさせるための SMURF 攻撃の原因となる可能性があります。
• Maintenance Operations Protocol(MOP; メンテナンス オペレーション プロトコル)サービス:すべてのインターフェイスでディセーブルになります。
AutoSecure 機能をイネーブルにすると、次のグローバル サービスが自動的にルータでイネーブルになります。
• service password-encryption コマンド:パスワードが設定で表示されなくなります。
• service tcp-keepalives-in コマンドと service tcp-keepalives-out コマンド:異常終了した TCP セッションが確実に削除されます。
AutoSecure 機能をイネーブルにすると、ルータへのアクセスをセキュリティ保護する次のオプションをユーザが使用できるようになります。
• テキスト バナーがない場合は、バナーの追加を求めるメッセージが表示されます。AutoSecure 機能には次のサンプル バナーが用意されています。
• ログインおよびパスワード(サポートされている場合はシークレット パスワードを推奨)は、コンソール、AUX、TTY の各回線で設定されます。 transport input コマンドおよび transport output コマンド も、これらのすべての回線で設定されます(Telnet および Secure Shell(SSH; セキュア シェル)だけが有効な転送方法です)。 exec-timeout コマンドは、コンソールと AUX の各回線で 10 に設定されます。
• デバイスのイメージが暗号化イメージである場合、AutoSecure はルータに対するアクセスとファイル転送に SSH と Secure Copy(SCP; セキュア コピー)をイネーブルにします。 ip ssh コマンドの timeout seconds および authentication-retries integer の各オプションは最小数に設定されます(Telnet および FTP は、この操作の影響を受けず、引き続き動作します)。
• AutoSecure ユーザが、デバイスで Simple Network Management Protocol(SNMP; 簡易ネットワーク管理プロトコル)を使用しないと指定した場合は、次のいずれかの状態になります。
– インタラクティブ モードでは、コミュニティ ストリングの値に関係なく SNMP をディセーブルにするかどうかを尋ねるメッセージがユーザに表示されます。コミュニティ ストリングは、パスワードと同じように機能し、ルータのエージェントへのアクセスを規制します。
– 非インタラクティブ モードでは、コミュニティ ストリングが「public」または「private」である場合に SNMP がディセーブルになります。
(注) AutoSecure がイネーブルになると、SNMP を使用してデバイスをモニタおよび設定するツールが SNMP を介してデバイスと通信することができなくなります。
• Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)が設定されていない場合は、ローカル AAA を設定します。ユーザは、ローカルのユーザ名とそのパスワードをルータで設定するように AutoSecure から要求されます。
AutoSecure 機能をイネーブルにすると、セキュリティ インシデントを識別して対応することができる次のロギング オプションが使用できます。
• すべてのデバッグ メッセージおよびログ メッセージのシーケンス番号とタイム スタンプ。このオプションは、ロギング メッセージを監査するときに役立ちます。
• ログイン関連イベントのロギング メッセージの生成。たとえば、ログイン攻撃が検出され、ルータが「待機モード」になると、「Blocking Period when Login Attack Detected」というメッセージが表示されます(待機モードでは、ルータは Telnet、HTTP、SSH によるログインをすべて許可しません)。
ログイン関連のシステム メッセージの詳細については、『Cisco IOS Release 12.3(4)T feature module Cisco IOS Login Enhancements』を参照してください。
• logging console critical コマンド。これにより、システム ロギング(syslog)メッセージがすべての使用可能な TTY 回線に送信され、重大度に応じてメッセージが制限されます。
• logging buffered コマンド。これにより、ロギング メッセージが内部バッファにコピーされ、バッファに記録されるメッセージが重大度に応じて制限されます。
• logging trap debugging コマンド。これにより、デバッグよりも重大度の高いコマンドをすべてロギング サーバに送信できます。
フォワーディング プレーンのセキュリティ保護
ルータのフォワード プレーンでの攻撃の危険を最小限にするために、AutoSecure には次の機能が用意されています。
• Cisco Express Forwarding(CEF; Cisco エクスプレス フォワーディング):AutoSecure は、可能であれば CEF または distributed CEF(dCEF; 分散 CEF)をルータでイネーブルにします。トラフィックが新たな宛先に到着し始めたときにキャッシュ エントリを作成する必要がないため、大量のトラフィックが多数の宛先に送信される場合でも、CEF は他のモードよりも予測しやすい方法で動作します。このため、CEF 用に設定されているルータは、SYN 攻撃下において、従来のキャッシュ方法を採用しているルータと比較して高い性能を発揮します。
(注) CEF は従来のキャッシュよりもメモリを多く消費します。
• TCP インターセプト機能が使用可能な場合、この機能をルータで接続タイムアウト用に設定することができます。
• 厳密な Unicast Reverse Path Forwarding(uRPF; ユニキャスト リバース パス転送)が使用可能である場合、偽造(詐称)された送信元 IP アドレスが入ってくることによって発生する問題を軽減できるようにするために、この uRPF をルータで設定できます。uRPF では、検証可能な送信元 IP アドレスがない IP パケットが破棄されます。
• ルータは、ファイアウォールとして使用されている場合、インターネットに繋がっているパブリック インターフェイスで Context-Based Access Control(CBAC; コンテキストベース アクセス制御)用に設定することができます。
(注) AutoSecure ダイアログの冒頭では、パブリック インターフェイスのリストの指定を求めるメッセージが表示されます。
AutoSecure の設定方法
• 「AutoSecure の設定」(必須)
• 「その他のセキュリティ設定」(必須)
• 「AutoSecure の確認」(任意)
AutoSecure の設定
auto secure コマンド
auto secure コマンドを実行すると、マネジメント プレーンとフォワーディング プレーンをセキュリティ保護するための半インタラクティブなセッション(AutoSecure ダイアログ)を行うことができます。このコマンドには、マネジメント プレーンとフォワーディング プレーンのどちらかだけをセキュリティ保護するオプションがあります。どちらのオプションも選択しない場合は、両方のプレーンを設定することを確認するメッセージがダイアログに表示されます。
また、ダイアログの非インタラクティブな部分の設定をすべて行ってから、インタラクティブな部分の設定を行うことも可能です。ダイアログの非インタラクティブな部分のイネーブル化は、オプションの no-interact キーワードを選択して行います。
制約事項
AutoSecure の設定は、実行時またはセットアップ時に行います。AutoSecure をイネーブルにした後に、関連する設定を変更した場合は、AutoSecure の設定が完全に有効にならないことがあります。
手順の概要
2. auto secure [ management | forwarding ] [ no-interact | full ] [ ntp | login | ssh | firewall | tcp-intercept ]
手順の詳細
その他のセキュリティ設定
手順の概要
3. security passwords min-length length
4. enable password { password | [ encryption-type ] encrypted-password }
手順の詳細
AutoSecure の確認
手順の概要
手順の詳細
|
|
|
|
|---|---|---|
|
|
||
|
|
AutoSecure の設定例
AutoSecure の設定ダイアログの例
AutoSecure ダイアログの例を次に示します。 auto secure コマンドを実行すると、下記のようなダイアログが自動的に表示されます。ただし、 no-interact キーワードを指定した場合を除きます(ディセーブルになっているサービスと、イネーブルになっている機能については、このマニュアルの 「マネジメント プレーンのセキュリティ保護」 および 「フォワーディング プレーンのセキュリティ保護」 を参照してください)。
その他の参考資料
ここでは、AutoSecure の機能の関連資料について説明します。
関連資料
|
|
|
|---|---|
「 Cisco IOS Login Enhancements 」フィーチャ モジュール |
|
『 Cisco IOS Configuration Fundamentals Configuration Guide , Release 12.4T 』 |
|
『Cisco IOS Configuration Fundamentals Command Reference Guide』 |
規格
|
|
|
|---|---|
MIB
|
|
|
|---|---|
選択したプラットフォーム、Cisco IOS リリース、および機能セットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。 |
RFC
|
|
|
|---|---|
「 Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing 」 |
シスコのテクニカル サポート
AutoSecure の機能情報
表 1 に、この章に記載されている機能および具体的な設定情報へのリンクを示します。
ご使用の Cisco IOS ソフトウェア リリースによっては、コマンドの中に一部使用できないものがあります。特定のコマンドに関するリリース情報については、コマンド リファレンス マニュアルを参照してください。
Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェア イメージのサポート情報を検索できます。Cisco Feature Navigator を使用すると、特定のソフトウェア リリース、機能セット、またはプラットフォームをサポートする Cisco IOS ソフトウェア イメージおよび Catalyst OS ソフトウェア イメージを確認できます。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスできます。Cisco.com のアカウントは必要ありません。
(注) 表 1 には、一連の Cisco IOS ソフトウェア リリースのうち、特定の機能が初めて導入された Cisco IOS ソフトウェア リリースだけが記載されています。特に明記していないかぎり、その機能は、一連の Cisco IOS ソフトウェア リリースの以降のリリースでもサポートされます。
Cisco and the Cisco Logo are trademarks of Cisco Systems, Inc. and/or its affiliates in the U.S. and other countries. A listing of Cisco's trademarks can be found at www.cisco.com/go/trademarks . Third party trademarks mentioned are the property of their respective owners. The use of the word partner does not imply a partnership relationship between Cisco and any other company. (1005R)
このマニュアルで使用している IP アドレスおよび電話番号は、実際のアドレスおよび電話番号を示すものではありません。マニュアル内の例、コマンド出力、ネットワーク トポロジ図、およびその他の図は、説明のみを目的として使用されています。説明の中に実際のアドレスおよび電話番号が使用されていたとしても、それは意図的なものではなく、偶然の一致によるものです。
© 2007-2009 Cisco Systems, Inc.
All rights reserved.
フィードバック