- ユーザ サービスのセキュリティ保護の概要
- AutoSecure
- 認証
- 認証の設定
- 認可の設定
- Standalone MAB Support
- アカウンティングの設定
- 認証プロキシの設定
- IEEE 802.1x-Flexible Authentication
- ネットワーク アドミッション コントロール
- RADIUS の設定
- AAA Dead-Server Detection
- AAA-SERVER-MIB Set Operation
- ACL Default Direction
- アクセス要求のアトリビュート スクリーニン グ
- 事前認証ユーザに対する RADIUS を使用した マルチリンク PPP のイネーブル化
- 拡張テスト コマンド
- RADIUS アカウンティング内の Framed-Route
- Offload Server Accounting Enhancement
- Per VRF AAA
- RFC-2867 RADIUS トンネル アカウンティン グ
- RADIUS アトリビュート スクリーニング
- RADIUS 集中型フィルタ管理
- RADIUS デバッグ拡張
- RADIUS 論理回線 ID
- RADIUS NAS-IP-Address アトリビュート 設定可能性
- RADIUS ルート ダウンロード
- RADIUS サーバ ロード バランシング
- 56 ビット アカウンティング セッション ID の RADIUS サポート
- ロード バランシングおよびフェールオーバー 用の RADIUS トンネル プリファレンス
- RADIUS サーバ障害発生時順序変更
- トンネル ターミネータでの RADIUS 経由での トンネル認証
- TACACS+ の設定
- Per VRF for TACACS+ Servers
- RADI US アトリビュート概要と RADIUS IETF アトリビュート
- RADIUS ベンダー固有アトリビュート
- RADIUS ベンダー固有アトリビュート (VSA)および RADIUS Disconnect-Cause アトリビュート値
- アクセス要求内の RADIUS アトリビュート 8 (Framed-IP-Address)
- RADIUS トンネル アトリビュート拡張
- セキュア シェルの設定
- リバース SSH 拡張
- セキュア コピー
- セキュア シェル バージョン 2 サポート
- SSH Terminal-Line アクセス
- Cisco IOS Login Enhancements(Login Block)
- Cisco IOS Resilient Configuration
- イメージ検証
- IP ソース トラッカー
- ロールベースの CLI アクセス
セキュリティ コンフィギュレーション ガイド:ユー ザ サービスのセキュリティ保護
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月6日
章のタイトル: セキュア シェルの設定
セキュア シェルの設定
Secure Shell(SSH; セキュア シェル)は、Berkeley の r ツールへのセキュアな置換を提供するアプリケーションおよびプロトコルです。プロトコルは標準の暗号メカニズムを使用してセッションの安全を確保します。アプリケーションは Berkeley の rexec および rsh ツールと同様に使用できます。2 つのバージョンの SSH(SSH バージョン 1 と SSH バージョン 2)を使用できます。ここでは、SSH バージョン 1 について説明します。SSH バージョン 2 については、「 Secure Shell Version 2 Support 」フィーチャ モジュールを参照してください。
(注) 以降、特に明記していないかぎり、「SSH」という用語は「SSH バージョン 1」だけを示します。
機能情報の確認
ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。この章に記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「セキュア シェルの設定に関する機能情報」 を参照してください。
プラットフォーム サポートと Cisco IOS および Catalyst OS ソフトウェア イメージ サポートに関する情報を入手するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。
この章の構成
SSH の設定に関する前提条件
•
ルータに必要なイメージをダウンロードします SSH サーバには、Cisco IOS Release 12.1(1)T 以降のリリースの IPsec(Data Encryption Standard(DES)または 3DES)暗号化ソフトウェア イメージが必要です。SSH クライアントには、Cisco IOS Release 12.1(3)T 以降のリースの IPsec(DES または 3DES)暗号化ソフトウェア イメージが必要です。ソフトウェア イメージのダウンロードの詳細については、『 Cisco IOS Configuration Fundamentals Configuration Guide 』を参照してください。
• グローバル コンフィギュレーション モードで hostname コマンドと ip domain-name コマンドを使用して、ルータのホスト名とホスト ドメインを設定します。
• ルータの Rivest, Shamir and Adleman(RSA)キー ペアを生成します。グローバル コンフィギュレーション モードで crypto key generate rsa コマンドを入力すると、このキー ペアによって SSH とリモート認証が自動的にイネーブルになります。
(注) RSA キー ペアを削除するには、crypto key zeroize rsa グローバル コンフィギュレーション コマンドを使用します。RSA キー ペアを削除すると、SSH サーバは自動的にディセーブルになります。
• ローカルまたはリモート アクセスのためにユーザ認証を設定します。Authentication, Authorization, and Accounting(AAA; 認証、認可、およびアカウンティング)の有無に関係なく、認証を設定できます。詳細については、「 Configuring Authentication 」、「 Configuring Authorization 」、および「 Configuring Accounting 」の各フィーチャ モジュールを参照してください。
SSH の設定に関する制約事項
• SSH サーバと SSH クライアントは、DES(56-bit)および 3DES(168-bit)データ暗号化ソフトウェア イメージでだけサポートされます。DES ソフトウェア イメージの場合、使用できる暗号化アルゴリズムは DES だけです。3DES ソフトウェア イメージの場合、DES と 3DES の両方の暗号化アルゴリズムを使用できます。
• ログイン バナーはセキュア シェル バージョン 1 ではサポートされません。セキュア シェル バージョン 2 ではサポートされています。
セキュア シェルの概要
(注) 以降、特に明記していないかぎり、「SSH」という用語は「SSH バージョン 1」だけを示します。
SSH サーバ
SSH サーバの機能によって、SSH クライアントは Cisco ルータに対してセキュアで暗号化された接続を実行できます。この接続には、インバウンド Telnet 接続の機能と似ています。SSH 以前は、セキュリティは Telnet のセキュリティに限定されていました。SSH を Cisco IOS ソフトウェア認証と併用することで、強力な暗号化が可能になりました。Cisco IOS ソフトウェアの SSH サーバは、市販の一般的な SSH クライアントと連携できます。
SSH 統合クライアント
SSH 統合クライアント機能は、SSH プロトコル上で動作し、デバイスの認証および暗号化を提供するアプリケーションです。SSH クライアントによって、Cisco ルータは他の Cisco ルータ、または SSH サーバを実行する他のデバイスに対して、セキュアで暗号化された接続を実行できます。この接続には、接続が暗号化されている点を除き、アウトバウンド Telnet 接続と似た機能があります。SSH クライアントは、認証および暗号化により、非セキュアなネットワーク上でセキュアな通信ができます。
Cisco IOS ソフトウェアの SSH クライアントは、市販の一般的な SSH クライアントと相互運用ができます。SSH クライアントは、DES、3DES、およびパスワード認証の暗号をサポートします。ユーザ認証は、ルータに対する Telnet セッションの認証と同様に実行されます。SSH でサポートされるユーザ認証メカニズムには、RADIUS、TACACS+、およびローカルに保存されたユーザ名とパスワードがあります。
(注) SSH クライアント機能を使用できるのは、SSH サーバがイネーブルの場合だけです。
RSA 認証のサポート
SSH クライアントで使用できる RSA 認証は、Cisco IOS ソフトウェアの SSH サーバではデフォルトでサポートされていません。RSA 認証のサポートを設定する手順については、「Secure Shell Version 2 Support」の章の「 Configuring a Router for SSH Version 2 Using Private Public Key Pairs 」の項を参照してください。
SSH の設定方法
• 「SSH サーバの設定」(必須)
• 「SSH クライアントの呼び出し」(任意)
(注) 以降、特に明記していないかぎり、「SSH」という用語は「SSH バージョン 1」だけを示します。
SSH サーバの設定
SSH サーバを設定するには、次の手順を実行します。このタスクによって、Cisco ルータで SSH をイネーブルにできます。
(注) SSH クライアント機能はユーザ EXEC モードで実行され、ルータの設定は特にありません。
(注) SSH コマンドは任意であり、SSH サーバをディセーブルにするとディセーブルになります。SSH パラメータを設定しない場合、デフォルト値が使用されます。
手順の概要
3. ip ssh {timeout seconds | authentication-retries integer }
手順の詳細
SSH クライアントの呼び出し
手順の概要
手順の詳細
|
|
|
|
|---|---|---|
|
|
||
ssh -l username -vrf vrf-name ip-address |
(任意)Cisco IOS SSH クライアントを呼び出し、指定した Virtual Routing and Forwarding(VRF; 仮想ルーティングおよび転送)の IP ホストまたはアドレスに接続します。 |
トラブルシューティングのヒント
• SSH コンフィギュレーション コマンドが正規のコマンドとして拒否される場合、ルータの RSA キー ペアを適切に生成していません。ホスト名とドメインを指定してください。次に、 crypto key generate rsa コマンドを使用して RSA キー ペアを生成し、SSH サーバをイネーブルにします。
• RSA キー ペアを設定すると、次のエラー メッセージが表示されることがあります。
hostname グローバル コンフィギュレーション コマンドを使用して、ルータのホスト名を設定する必要があります。詳細については、「 IPsec and Quality of Service 」フィーチャ モジュールを参照してください。
ip domain-name グローバル コンフィギュレーション コマンドを使用して、ルータのホスト ドメインを設定する必要があります。詳細については、「 IPsec and Quality of Service 」フィーチャ モジュールを参照してください。
• 使用できる SSH 接続数は、ルータに設定されている vty の最大数に制限されます。各 SSH 接続は vty リソースを使用します。
• SSH は、ユーザ認証のためにルータ上で AAA を介して設定されたローカル セキュリティまたはセキュリティ プロトコルを使用します。AAA を設定する場合、ユーザ認証のためにコンソールで AAA をディセーブルにする必要があります。デフォルトでコンソールの AAA 認可はディセーブルです。コンソールで AAA 認可がイネーブルの場合、AAA コンフィギュレーション段階で no aaa authorization console コマンドを設定してディセーブルにします。
SSH の設定例
ここでは、Cisco 7200、Cisco 7500、および Cisco 12000 ルータでの show running-config EXEC コマンドの出力である次の設定例を紹介します。
• 「Cisco 7200 シリーズ ルータ上の SSH:例」
• 「Cisco 7500 シリーズ ルータ上の SSH:例」
• 「Cisco 12000 シリーズ ルータ上の SSH:例」
(注) 以降、特に明記していないかぎり、「SSH」という用語は「SSH バージョン 1」だけを示します。
(注) crypto key generate rsa コマンドは、show running-config の出力に表示されません。
Cisco 7200 シリーズ ルータ上の SSH:例
次の例では、60 秒以下のタイムアウト、および 2 回以下の認証再試行回数を指定した SSH が Cisco 7200 に設定されています。SSH サーバ機能をルータに設定する前に、TACACS+ は認証の方式として指定されます。
Cisco 7500 シリーズ ルータ上の SSH:例
次の例では、60 秒以下のタイムアウト、および 5 回以下の認証再試行回数を指定した SSH が Cisco 7500 に設定されています。SSH サーバ機能をルータに設定する前に、RADIUS は認証の方式として指定されます。
Cisco 12000 シリーズ ルータ上の SSH:例
次の例では、60 秒以下のタイムアウト、および 2 回以下の認証再試行回数を指定した SSH が Cisco 12000 に設定されています。SSH サーバ機能をルータに設定する前に、TACACS+ は認証の方式として指定されます。
SSH の確認:例
SSH サーバがイネーブルであることを確認し、SSH 接続のバージョンおよび設定データを表示するには、 show ip ssh コマンドを使用します。次に、SSH がイネーブルの例を示します。
SSH サーバ接続のステータスを確認するには、 show ssh コマンドを使用します。次に、SSH をイネーブルにしたときのルータ上の SSH サーバ接続の例を示します。
その他の参考資料
関連資料
|
|
|
|---|---|
Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング) |
• • • |
「 IPsec and Quality of Service 」フィーチャ モジュール |
|
「 Secure Shell Version 2 Support 」フィーチャ モジュール |
|
規格
|
|
|
|---|---|
この機能がサポートする新しい規格または変更された規格はありません。また、この機能による既存規格のサポートに変更はありません。 |
MIB
|
|
|
|---|---|
この機能によってサポートされる新しい MIB または変更された MIB はありません。またこの機能による既存 MIB のサポートに変更はありません。 |
選択したプラットフォーム、Cisco IOS リリース、および機能セットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。 |
RFC
|
|
|
|---|---|
シスコのテクニカル サポート
セキュア シェルの設定に関する機能情報
表 1 に、この機能のリリース履歴を示します。
ご使用の Cisco IOS ソフトウェア リリースによっては、コマンドの中に一部使用できないものがあります。特定のコマンドに関するリリース情報については、コマンド リファレンス マニュアルを参照してください。
Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェア イメージのサポート情報を検索できます。Cisco Feature Navigator を使用すると、特定のソフトウェア リリース、機能セット、またはプラットフォームをサポートする Cisco IOS ソフトウェア イメージおよび Catalyst OS ソフトウェア イメージを確認できます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。
(注) 表 1 には、一連の Cisco IOS ソフトウェア リリースのうち、特定の機能が初めて導入された Cisco IOS ソフトウェア リリースだけが記載されています。特に明記していないかぎり、その機能は、一連の Cisco IOS ソフトウェア リリースの以降のリリースでもサポートされます。
フィードバック