Cisco Small Business 300 1.1 シリーズ マネージド スイッチ アドミニストレーション ガイド
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年5月29日
章のタイトル: セキュリティの設定
セキュリティの設定
ここでは、セキュリティとアクセス コントロールについて説明します。このシステムにはさまざまなセキュリティ機能が備わっています。
ここで説明する各種のセキュリティ機能は、以下のとおりです。一部の機能は、複数の種類のセキュリティまたはアクセス コントロールに対して利用されています。そのため、このような機能は以下の一覧に 2 回出現します。
スイッチの CPU を標的にした攻撃を防ぐ方法については、次の各項で説明します。
エンドユーザによるスイッチ経由でのネットワーク アクセスを制御する方法については、次の各項で説明します。
その他のネットワーク ユーザからの攻撃を防ぐ方法については、次の各項で説明します。これらの攻撃はスイッチを通過するものであり、スイッチを標的にしたものではありません。
ユーザの定義
デフォルトのユーザ名とパスワードは cisco と cisco になります。デフォルトのユーザ名とパスワードで初めてログインすると、新しいパスワードを入力するように求められます。パスワード複雑度は、デフォルトで有効になっています。パスワードの複雑さが不十分な場合は([パスワード強度] ページの [パスワードの複雑度の設定] が有効)、別のパスワードを作成するように求められます。
ユーザ アカウントの設定
[ユーザアカウント] ページでは、スイッチへのアクセス(読み取り専用または読み取り/書き込み)を許可する追加のユーザを入力したり、既存のユーザのパスワードを変更したりできます。
(注) すべてのユーザを削除することはできません。すべてのユーザが選択されている場合、[削除] ボタンは非アクティブになります。 ステップ 1
[各種管理] > [ユーザアカウント] をクリックします。[ユーザアカウント] ページが表示されます。
ステップ 2 ユーザを新規に追加するには、[追加] をクリックします。既存ユーザを修正するには、[編集] をクリックします。[ユーザアカウントの追加] ページまたは [ユーザアカウントの編集] ページが表示されます。
• [ユーザ名] :1 ~ 20 文字で新しいユーザ名を入力します。 UTF-8 文字は使用できません。
• [パスワード] :パスワードを入力します(UTF-8 文字は使用できません)。パスワードの強度と複雑度が定義されている場合、ユーザ パスワードは、[パスワード複雑度ルールの設定] セクションで設定されたポリシーに従う必要があります。
• [パスワード強度メーター] :パスワードの強度が表示されます。パスワードの強度と複雑度に関するポリシーは、[パスワード強度] ページで設定します。
• [ユーザレベル] :追加または編集しているユーザの特権レベルを選択します。
– [読み取り専用CLIアクセス(1)] :ユーザは GUI にはアクセスできず、スイッチ コンフィギュレーションを変更することのない CLI コマンドにのみアクセスできます。
– [読み取りと制限付き書き込みCLIアクセス(7)] :ユーザは GUI にはアクセスできず、スイッチ コンフィギュレーションを変更する一部の CLI コマンドにのみアクセスできます。詳細については、『 CLI Reference Guide 』を参照してください。
– [読み取りと書き込み管理アクセス(15)] :ユーザは GUI にアクセスでき、スイッチを設定できます。
ステップ 4 [適用] をクリックします。ユーザがスイッチの実行コンフィギュレーション ファイルに追加されます。
パスワード複雑度ルールの設定
パスワードは、スイッチにアクセスするユーザを認証する目的で使用されます。単純なパスワードでは、セキュリティが侵害される可能性があります。そのため、パスワード複雑度要件がデフォルトで適用されており、必要に応じて設定を変更できます。パスワード複雑度要件は、[パスワード強度] ページで設定されます。このページには、[セキュリティ] ドロップダウン メニューからアクセスできます。また、このページでパスワード エージング タイムを設定できます。
ステップ 1 [セキュリティ] > [パスワード強度] をクリックします。[パスワード強度] ページが表示されます。
ステップ 2 パスワードに関する次のエージング パラメータを入力します。
• [パスワードエージング] :選択した場合、[パスワードエージングタイム] で指定した日数が経過したときにパスワードを変更するよう要求されます。
• [パスワードエージングタイム] :パスワードの有効日数を入力します。この日数が経過すると、パスワードを変更するよう要求されます。
ステップ 3 [パスワードの複雑度の設定] を選択して、パスワードの複雑度ルールを有効にします。
パスワード複雑度が有効な場合、パスワードは次のデフォルト設定に従っている必要があります。
•3 つ以上の文字クラスの文字を含む(大文字、小文字、数字、標準キーボードで使用可能な特殊文字)。
•ユーザ名や、その大文字小文字を入れ替えただけの派生形を繰り返したり逆にしたりして使用しない。
•製造業者名や、その大文字小文字を入れ替えただけの派生形を繰り返したり逆にしたりして使用しない。
ステップ 4 [パスワードの複雑度の設定] が有効な場合は、次のパラメータを設定できます。
• [パスワードの最小長] :パスワードの最小文字数を入力します。
• [文字クラスの最小数] :パスワードに存在している必要のある文字クラスの数を入力します。文字クラスは、小文字(1)、大文字(2)、数字(3)、および記号または特殊文字(4)です。
• [現在のパスワードを新しいパスワードとして使用禁止] :選択した場合、パスワードの変更時に、新しいパスワードを現在のパスワードと同じ値にすることはできません。
ステップ 5 [適用] をクリックします。パスワード設定値が設定され、実行コンフィギュレーション ファイルが更新されます。
TACACS+ の設定
このスイッチは、 Terminal Access Controller Access Control System (TACACS+)クライアントです。TACACS+ サーバを使用してセキュリティを集中管理できます。
• 認証 :ユーザ名とユーザ定義パスワードに基づいて、スイッチにログインしようとする管理者が認証されます。
• 認可 :ログイン時に実行されます。認証セッション完了後、認証されたユーザ名に基づいて認可セッションが開始します。その後、ユーザ特権が検査されます。
TACACS+ プロトコルによって、スイッチと TACACS+ サーバの間のプロトコル変換が暗号化されるので、ネットワークの完全性が確保されます。
TACACS+ サーバを 802.1x 認証サーバとして使用して、スイッチ経由でネットワークに入ろうとするユーザの資格情報を検査することはできません。
一部の TACACS+ サーバでは単一接続がサポートされています。この場合スイッチでは、すべての情報を 1 つの接続で受信できます。TACACS+ サーバで単一接続がサポートされていない場合、スイッチは複数接続に戻ります。
デフォルトの TACACS+ パラメータ値の設定
[TACACS+] ページでは、TACACS+ サーバを設定できます。
TACACS+ サーバで特権レベル 15 を持つユーザだけが、スイッチを管理できます。
ステップ 1 [セキュリティ] > [TACACS+] をクリックします。[TACACS+] ページが表示されます。
ステップ 2 [キーストリング] に、すべての TACACS+ サーバとの通信に使用されるデフォルトのキーを入力します。スイッチは、このデフォルトのキーを使用するように設定することもできれば、個別の TACACS+ サーバ用のキーを使用するように設定することもできます([TACACS+サーバの追加] ページで入力されます)。
このフィールドにキー を入力しなかった場合、[TACACS+サーバの追加] ページで入力されたサーバ キーは TACACS+ サーバが使用する暗号化キーと一致していなければなりません。
このフィールドにデフォルトのキーを入力し、かつ、個別の TACACS+ サーバ用のキーも入力した場合、個別の TACACS+ サーバ用のキーが優先的に使用されます。
ステップ 3 [応答タイムアウト] フィールドに、スイッから TACACS+ サーバ間の接続のタイムアウト時間を入力します。[TACACS+サーバの追加] ページで個別の TACACS+ サーバ用の値を入力しなかった場合、このフィールドの値が使用されます。
ステップ 4 [適用] をクリックします。TACACS+ の設定が実行コンフィギュレーション ファイルに追加されます。
ステップ 5 TACACS+ サーバを追加するには、[追加] をクリックします。[TACACS+サーバの追加] ページが表示されます。
• [サーバ指定方法] :TACACS+ サーバを IP アドレスで指定するか、名前で指定するかを選択します。
• [サーバのIPアドレス/名前] :サーバの IP アドレスまたはドメイン名を入力します。
• [プライオリティ] :この TACACS+ サーバの使用順序を入力します。プライオリティは 0 が最高です。この場合、その TACACS+ サーバが最初に使用されます。プライオリティが最高の TACACS+ サーバとのセッションを確立できなかった場合、2 番目にプライオリティの高い TACACS+ サーバとの接続が試みられます。
• [キーストリング] :この TACACS+ サーバに対する認証用および暗号化用のキーを入力します。このキーは、TACACS+ サーバ側で設定されている暗号化キーと一致していなければなりません。[TACACS+] ページの [デフォルトパラメータ] で指定したキーを使用する場合は、[デフォルトを使用] を選択します。
• [応答タイムアウト] :スイッから TACACS+ サーバ間の接続のタイムアウト時間を入力します。このページに表示されているデフォルト値を使用する場合は、[デフォルトを使用] を選択します。
• [認証IPポート] :TACACS+ セッションに使用するポート番号を入力します。
• [単一接続] :スイッチと TACACS+ サーバの間の単一開放接続を有効にする場合、選択します。
ステップ 7 [適用] をクリックします。TACACS+ サーバが、スイッチの実行コンフィギュレーション ファイルに追加されます。
RADIUS パラメータ値の設定
Remote Authorization Dial-In User Service(RADIUS)サーバは、802.1x または MAC に基づいてネットワーク アクセスを制御します。このスイッチは、RADIUS クライアントです。RADIUS サーバを使用してセキュリティを集中管理できます。
Web ベースのスイッチ設定ユーティリティへのアクセス権限が RADIUS サーバから付与されるようにするには、RADIUS サーバから「cisco-avpair = shell:priv-lvl=15」が返される必要があります。
ステップ 1 [セキュリティ] > [RADIUS] をクリックします。[RADIUS] ページが表示されます。
ステップ 2 デフォルトの RADIUS パラメータ値を入力します。[デフォルトパラメータ] で入力した値は、すべての RADIUS サーバに適用されます。個別の RADIUS サーバに対する値が入力されていない場合([RADIUSサーバの追加] ページで)、これらのフィールドの値が使用されます。
• [IPバージョン] :サポートされている IP バージョン(IPv6 または IPv4、あるいはその両方のサブネット)が表示されます。
• [リトライ回数] :RADIUS サーバに要求を送信する最大試行回数を入力します。この回数送信しても要求が受け付けられなかった場合、エラーになります。
• [応答タイムアウト] :RADIUS サーバからの応答を待つ時間を入力します(単位:秒)。この時間内に応答がない場合、同じ RADIUS サーバに再度要求が送信されるか、または、次のプライオリティの RADIUS サーバに要求が送信されます。
• [デッドタイム] :応答のない RADIUS サーバからサービス要求がバイパスされるようになるまでの経過時間を入力します(単位:分)。「0」を入力した場合、この RADIUS サーバはバイパスされません。
• [キーストリング] :スイッチと RADIUS サーバの間の認証と暗号化に使用されるデフォルトのキーを入力します。このキーは、RADIUS サーバ側で設定されているキーと一致していなければなりません。キーは、MD5 を使用して送信データを暗号化する際に使用されます。個別の RADIUS サーバ用のキーが入力されている場合は、そのキーが優先使用されます。個別の RADIUS サーバ用のキーが入力されていない場合は、このデフォルトのキーが使用されます。
ステップ 3 [適用] をクリックします。実行コンフィギュレーション ファイル内のスイッチの RADIUS 設定値が更新されます。
ステップ 4 RADIUS サーバを追加するには、[追加] をクリックします。[RADIUSサーバの追加] ページが表示されます。
ステップ 5 サーバごとにフィールドに値を入力します。[RADIUS] ページで指定したデフォルト値を使用する場合は、[デフォルトを使用] を選択します。
• [サーバ指定方法] :RADIUS サーバを IP アドレスで指定するか、名前で指定するかを選択します。
• [IP バージョン] :RADIUS サーバを IP アドレスで指定する場合は、IPv4 または IPv6 を選択し、選択した形式で入力することを示します。
• [IPv6アドレスタイプ] :IPv6 アドレス タイプがグローバルであることが表示されます。
• [サーバのIPアドレス/名前] :サーバの IP アドレスまたはドメイン名を入力します。
• [プライオリティ] :RADIUS サーバのプライオリティを入力します。このプライオリティによって、ユーザ認証要求先 RADIUS サーバの順序が決まります。プライオリティが最も高い RADIUS サーバが、最初の認証要求先となります。プライオリティは 0 が最高です。
• [キーストリング] :スイッチと RADIUS サーバの間の通信の認証と暗号化に使用されるキーを入力します。このキーは、RADIUS サーバ側で設定されているキーと一致していなければなりません。このフィールドに値を入力しなかった場合、デフォルトのキーが使用され、RADIUS サーバの認証が試みられます。
• [応答タイムアウト] :RADIUS サーバからの応答を待つ時間を入力します(単位:秒)。この時間内に応答がない場合、同じ RADIUS サーバに再度要求が送信されるか、または、次のプライオリティの RADIUS サーバに要求が送信されます。このフィールドに値を入力しなかった場合、デフォルトのタイムアウト値が使用されます。
• [認証ポート] :認証要求先 RADIUS サーバの UDP ポート番号を入力します。
• [リトライ回数] :RADIUS サーバに要求を送信する最大試行回数を入力します。この回数送信しても要求が受け付けられなかった場合、エラーになります。デフォルトの最大試行回数を使用する場合は、[デフォルトを使用] を選択します。
• [デッドタイム] :応答のない RADIUS サーバからサービス要求がバイパスされるようになるまでの経過時間を入力します(単位:分)。デフォルトのデッド タイムを使用する場合は、[デフォルトを使用] を選択します。「0」と入力した場合、 デッド タイムは設定されません。
• [使用タイプ] :RADIUS サーバの認証タイプを入力します。次のオプションがあります。
– [ログイン] :RADIUS サーバは、スイッチの管理を希望するユーザを認証する目的で使用されます。
– [802.1X] :RADIUS サーバは 802.1x 認証用に使用されます。
– [すべて] :RADIUS サーバは、スイッチの管理を希望するユーザの認証と、802.1X 認証に使用されます。
ステップ 6 [適用] をクリックします。RADIUS サーバの定義が、スイッチの実行コンフィギュレーション ファイルに追加されます。
管理アクセス認証の設定
アクセス方式(例:SSH、コンソール、Telnet、HTTP、HTTPS)に認証方式を割り当てることができます。ユーザ認証処理は、スイッチ内部で実行することも、 TACACS+ サーバまたは RADIUS サーバ上で実行することもできます。
ユーザ認証方式は、選択した順に使用されます。最初に選択した認証方式が使用不能の場合、次に選択した認証方式が使用されます。たとえば、[RADIUS]、[ローカル] の順に認証方式を選択した場合、定義した各 RADIUS サーバに対してプライオリティ順に要求が送信されます。どの RADIUS サーバからも応答がない場合は、スイッチ内部でユーザ認証が行われます。
認証方式において、認証されなかったかまたはユーザの特権レベルが不十分である場合、そのユーザはスイッチへのアクセスを拒否されます。つまり、認証方式において認証されなかった場合、認証処理は中止されます。次の認証方式が使用されることはありません。
ステップ 1 [セキュリティ] > [管理アクセス認証] をクリックします。[管理アクセス認証] ページが表示されます。
ステップ 2 [アプリケーション] リストでアクセス方式を選択します。
ステップ 3 矢印を使用して、[オプションの方式] カラムと [選択した方式] カラムの間で認証方式を移動します。最初に選択した認証方式が最初に使用されます。
• [RADIUS] :ユーザは RADIUS サーバ上で認証されます。RADIUS サーバが 1 つ以上定義されている必要があります。
• [TACACS+] :ユーザは、TACACS+ サーバ上で認証されます。TACACS+ サーバが 1 つ以上定義されている必要があります。
• [なし] :ユーザは、認証を受けることなくスイッチにアクセスできます。
• [ローカル] :ユーザ名およびパスワードが、このスイッチに格納されているユーザ名およびパスワードと照合されます。これらのユーザ名とパスワードは、[ユーザアカウント] ページで定義されます。
ステップ 4 [適用] をクリックします。選択した認証方式が、そのアクセス方式に割り当てられます。
アクセス プロファイルの定義
アクセス プロファイルによって、さまざまなアクセス方法でスイッチにアクセスするユーザを認証および承認する方法が決まります。アクセスプロファイルを使用して、特定のソースからの管理アクセスを制限することができます。
アクティブ アクセス プロファイルと管理アクセス認証方法の両方をクリアしたユーザだけが、スイッチに管理アクセスできます。
スイッチ上では、一度に 1 つのアクセス プロファイルだけをアクティブにすることができます。
アクセス プロファイルは、1 つ以上のルールから構成されています。各ルールは、アクセス プロファイル内のプライオリティ順に(上から順に)実行されます。
各ルールはフィルタで構成されており、各フィルタは次の要素で構成されています。
• アクセス方式 :スイッチにアクセスして管理するための方式。
–Hypertext Transfer Protocol(HTTP; ハイパーテキスト転送プロトコル)
–Simple Network Management Protocol(SNMP; 簡易ネットワーク管理プロトコル)
• アクション :インターフェイスまたは送信元アドレスへのアクセスを許可するか拒否するか。
• インターフェイス :Web ベースのスイッチ設定ユーティリティへのアクセスを許可または拒否されるポート、LAG、または VLAN。
• 送信元 IP アドレス :IP アドレスまたはサブネット。それぞれのアクセス方式を利用できるかどうかは、ユーザ グループによって異なります。たとえば、あるユーザ グループは HTTPS セッションでしかスイッチにアクセスできないが、別のユーザ グループは HTTPS セッションと Telnet セッションの両方でスイッチにアクセスできる、という可能性があります。
アクティブ アクセス プロファイル
[アクセスプロファイル] ページには、定義されているアクセス プロファイルが表示され、アクティブにする 1 つのアクセス プロファイルを選択できます。
ユーザがあるアクセス方式でスイッチにアクセスしようとすると、スイッチは、アクティブ アクセス プロファイルでこの方式を通じたスイッチへの管理アクセスが明示的に許可されているかどうかを確認します。合致するルールが見つからない場合、アクセスは拒否されます。
アクティブ アクセス プロファイルに違反するアクセスが試行された場合、SYSLOG メッセージが生成され、システム管理者にそのアクセス試行が通知されます。
[コンソールのみ] アクセス プロファイルがアクティブ化されている場合、そのアクセス プロファイルを無効にするには、管理ステーションからスイッチの物理コンソール ポートに直接接続します。
アクセス プロファイルを定義した後にルールを追加または修正できます。詳細については、 プロファイル内のルールの定義 を参照してください。
[アクセスプロファイル] ページを使用して、アクセス プロファイルを作成し、その最初のルールを追加することができます。アクセス プロファイルに 1 つのルールしか含めない場合は、それで終了です。プロファイルにルールを追加するには、[プロファイルルール] ページを使用します。
ステップ 1 [セキュリティ] > [管理アクセス方式] > [アクセスプロファイル] をクリックします。[アクセスプロファイル] ページが表示されます。
このページには、アクティブ アクセス プロファイルと非アクティブ アクセス プロファイルを含むすべてのアクセス プロファイルが表示されます。
ステップ 2 アクティブ アクセス プロファイルを切り替えるには、[アクティブアクセスプロファイル] ドロップダウン リストでアクセス プロファイルを選択し、[適用] をクリックします。選択したアクセス プロファイルがアクティブ アクセス プロファイルになります。
[コンソールのみ] 以外のアクセス プロファイルを選択した場合、「選択したアクセス プロファイルによっては Web ベースのスイッチ設定ユーティリティから切断される可能性がある」という内容の注意メッセージが表示されます。
ステップ 3 アクティブ アクセス プロファイルを選択するには、[OK] をクリックします。選択操作を中止するには、[キャンセル] をクリックします。
ステップ 4 [追加] をクリックし、[アクセスプロファイルの追加] ページを開きます。このページでは、新しいアクセス プロファイルとルール 1 つを設定できます。
• [アクセスプロファイル名] :アクセス プロファイルの名前を入力します。アクセス プロファイル名は最大 32 文字です。
• [ルールプライオリティ] :ルールのプライオリティを入力します。パケットがルールの条件に合致した場合、ユーザ グループはスイッチへの管理アクセスを許可または拒否されます。プライオリティの高いルールから順に適用されるため、ルールのプライオリティは非常に重要です。プライオリティは 1 が最高です。
• [管理方式] :ルールの対象となるアクセス方式を選択します。次のオプションがあります。
– [すべて] :すべてのアクセス方式をこのルールに割り当てます。
– [Telnet] :Telnet アクセス プロファイル基準を満たすユーザが、スイッチへのアクセスを許可または拒否されます。
– [Secure Telnet (SSH)] :SSH アクセス プロファイル基準を満たすユーザが、スイッチへのアクセスを許可または拒否されます。
– [HTTP] :HTTP アクセス プロファイル基準を満たすユーザが、スイッチへのアクセスを許可または拒否されます。
– [Secure HTTP (HTTPS)] :HTTPS アクセス プロファイル基準を満たすユーザが、スイッチへのアクセスを許可または拒否されます。
– [SNMP] :SNMP アクセス プロファイル基準を満たすユーザが、スイッチへのアクセスを許可または拒否されます。
• [アクション] :このルールに割り当てる処理を選択します。次のオプションがあります。
– [許可] :ユーザがこのアクセス プロファイルの条件に合致した場合、スイッチへのアクセスを許可します。
– [拒否] :ユーザがこのアクセス プロファイルの条件に合致した場合、スイッチへのアクセスを拒否します。
• [インターフェイスに適用] :このルールに割り当てるインターフェイスを選択します。次のオプションがあります。
– [すべて] :すべてのポート、VLAN、および LAG が割り当てられます。
– [ユーザ定義] :選択したインターフェイスに適用されます。
• [インターフェイス] :[ユーザー定義] を選択した場合は、インターフェイス番号を入力します。
• [送信元IPアドレスに適用] :このアクセス プロファイルに割り当てる送信元 IP アドレスのタイプを選択します。[送信元IPアドレス] フィールドにはサブネットワークを入力することもできます。次のいずれかを選択します。
– [すべて] :すべてのタイプの IP アドレスが割り当てられます。
– [ユーザ定義] :フィールドで指定したタイプの IP アドレスだけが割り当てられます。
• [IPバージョン] :送信元 IP アドレスのサポート対象 IP バージョン(IPv6 または IPv4)を選択します。
• [IPアドレス] :送信元 IP アドレスを入力します。
• [マスク] :送信元 IP アドレスに対するサブネット マスクの形式を選択し、いずれかのフィールドに値を入力します。
–[ネットワークマスク]:送信元 IP アドレスが属するサブネットを選択し、サブネット マスクをピリオド区切りの 10 進表記で入力します。
–[プレフィクス長]:[プレフィクス長] を選択し、送信元 IP アドレス プレフィクスを構成するビット数を入力します。
ステップ 6 [適用] をクリックします。アクセス プロファイルが作成され、実行コンフィギュレーション ファイルが更新されます。これで、このアクセス プロファイルをアクティブ アクセス プロファイルとして選択できます。
プロファイル内のルールの定義
アクセス プロファイルには最大 128 個のルールを含めることができます。ルールとは、スイッチにアクセスして管理することを許可されているユーザ、および、アクセス方式を定めたものです。
アクセス プロファイル内の各ルールは、基準(1 つ以上のパラメータ)と処理で構成されています。各ルールにはプライオリティが設定されています。プライオリティが最も高いルールが最初に適用されます。入力パケットがルールの条件に合致した場合、そのルールの処理が実行されます。アクティブ アクセス プロファイル内のどのルールの条件にも合致しなかったパケットは、ドロップされます。
たとえば、IT 管理センター内の IP アドレス以外の IP アドレスからスイッチにアクセスできないよう設定できます。このようにしてスイッチを管理できるので、セキュリティが向上します。
ステップ 1 [セキュリティ] > [管理アクセス方式] > [プロファイルルール] をクリックします。[プロファイルルール] ページが表示されます。
ステップ 2 [フィルタ] フィールドを選択し、次にアクセス プロファイルを選択します。[実行] をクリックします。
選択したアクセス プロファイルが [プロファイルルールテーブル] に表示されます。
ステップ 3 このプロファイルにルールを追加するため、[追加] をクリックします。[プロファイルルールの追加] ページが表示されます。
• [アクセスプロファイル名] :アクセス プロファイルを選択します。
• [ルールプライオリティ] :ルールのプライオリティを入力します。パケットがルールの条件に合致した場合、ユーザ グループはスイッチへの管理アクセスを許可または拒否されます。プライオリティの高いルールから順に適用されるため、ルールのプライオリティは非常に重要です。
• [管理方式] :ルールの対象となるアクセス方式を選択します。次のオプションがあります。
– [すべて] :すべてのアクセス方式をこのルールに割り当てます。
– [Telnet] :Telnet アクセス プロファイル基準を満たすユーザが、スイッチへのアクセスを許可または拒否されます。
– [Secure Telnet (SSH)] :SSH アクセス プロファイル基準を満たすユーザが、スイッチへのアクセスを許可または拒否されます。
– [HTTP] :HTTP アクセスをこのルールに割り当てます。HTTP アクセス プロファイル基準を満たすユーザが、スイッチへのアクセスを許可または拒否されます。
– [Secure HTTP (HTTPS)] :HTTPS アクセス プロファイル基準を満たすユーザが、スイッチへのアクセスを許可または拒否されます。
– [SNMP] :SNMP アクセス プロファイル基準を満たすユーザが、スイッチへのアクセスを許可または拒否されます。
• [アクション] :このルールで設定されている送信元 IP アドレスから、このルールで設定されているアクセス方式を使用して、このルールで設定されているインターフェイス経由で行われる、このスイッチへのアクセスを許可する場合は、[許可] を選択します。拒否する場合は [拒否] を選択します。
• [インターフェイスに適用] :このルールに割り当てるインターフェイスを選択します。次のオプションがあります。
– [すべて] :すべてのポート、VLAN、および LAG が割り当てられます。
– [ユーザ定義] :選択したポート、VLAN、または LAG が割り当てられます。
• [インターフェイス] :インターフェイス番号を入力します。
• [送信元IPアドレスに適用] :このアクセス プロファイルに割り当てる送信元 IP アドレスのタイプを選択します。[送信元IPアドレス] フィールドにはサブネットワークを入力することもできます。次のいずれかを選択します。
– [すべて] :すべてのタイプの IP アドレスが割り当てられます。
– [ユーザ定義] :フィールドで指定したタイプの IP アドレスだけが割り当てられます。
• [IPバージョン] :送信元 IP アドレスのサポート対象 IP バージョン(IPv6 または IPv4)を選択します。
• [IPアドレス] :送信元 IP アドレスを入力します。
• [マスク] :送信元 IP アドレスに対するサブネット マスクの形式を選択し、いずれかのフィールドに値を入力します。
– [ネットワークマスク] :送信元 IP アドレスが属するサブネットを選択し、サブネット マスクをピリオド区切りの 10 進表記で入力します。
– [プレフィクス長] :[プレフィクス長] を選択し、送信元 IP アドレス プレフィクスを構成するビット数を入力します。
ステップ 5 [適用] をクリックします。このルールがアクセス プロファイルに追加されます。
TCP/UDP サービスの設定
[TCP/UDPサービス] ページでは、スイッチ上で各種の TCP/UDP サービスを有効にすることができます。これらのサービスを有効にする主な目的は、セキュリティを強化することです。
このスイッチで提供されている TCP/UDP サービスは次のとおりです。
このウィンドウには、アクティブな TCP 接続も表示されます。
ステップ 1 [セキュリティ] > [TCP/UDPサービス] をクリックします。[TCP/UDPサービス] ページが表示されます。
ステップ 2 次の TCP/UDP サービスを有効または無効にします。
•[Telnetサービス]:Telnet サービスが有効か無効かを示します。
•[SSHサービス]:SSH サービスが有効か無効かを示します。
•[HTTPサービス]:HTTP サービスが有効か無効かを示します。
•[HTTPSサービス]:HTTPS サービスが有効か無効かを示します。
•[SNMPサービス]:SNMP サービスが有効か無効かを示します。
[TCP サービス テーブル] に、各サービスについて次のフィールドが表示されます。
• [サービス名] :TCP サービスが提供されているアクセス方式。
• [タイプ] :サービスで使用されている IP プロトコル。
• [ローカルIPアドレス] :サービスが提供されているローカル IP アドレス。
• [ローカルポート] :サービスが提供されているローカル TCP ポート。
• [リモートIPアドレス] :サービスを要求しているリモート デバイスの IP アドレス。
• [リモートポート] :サービスを要求しているリモート デバイスの TCP ポート。
• [サービス名] :UDP サービスが提供されているアクセス方式。
• [タイプ] :サービスで使用されている IP プロトコル。
• [ローカルIPアドレス] :サービスが提供されているローカル IP アドレス。
• [ローカルポート] :サービスが提供されているローカル UDP ポート。
• [アプリケーションインスタンス] :UDP サービスのサービス インスタンス (例:2 つの送信元から同じ宛先にデータが送信される場合)。
ステップ 3 [適用] をクリックします。サービスが追加され、実行コンフィギュレーション ファイルが更新されます。
ストーム制御の定義
ブロードキャスト フレーム、マルチキャスト フレーム、または Unknown ユニキャスト フレームが受信された場合、そのフレームが複製され、フレームのコピーがすべての該当出力ポートに送信されます。つまり実際には、該当 VLAN に属するすべてのポートに送信されます。このように、1 つの入力フレームに対して多数のコピーが生成されるので、トラフィック ストームが発生するおそれがあります。
ストーム防止機能を利用した場合、スイッチに入ってくるフレームの数に対するしきい値を設定すること、および、このしきい値を適用するフレームのタイプを指定することができます。
しきい値を設定した場合、このしきい値に達した後に入ってきたトラフィックは廃棄されます。トラフィック数がこのしきい値を下回るまでの間、ポートはブロックされたままになります。トラフィック数がこのしきい値を下回ると、通常の転送処理が再開されます。
ステップ 1 [セキュリティ] > [ストーム制御] をクリックします。[ストーム制御] ページが表示されます。
このページ内の、[ストーム制御レートしきい値(%)] 以外のフィールドについては、[ストーム制御の編集] ページのセクションで説明します。このフィールドには、ポートに対してストーム制御が行われるまでに、全帯域幅のうち Unknown ユニキャスト、マルチキャスト、およびブロードキャスト パケットで使用可能な帯域幅が表示されます。デフォルト値はそのポートの最大帯域幅の 10% です。このフィールドの値は [ストーム制御の編集] ページで設定します。
ステップ 2 ポートを選択して [編集] をクリックします。[ストーム制御の編集] ページが表示されます。
• [ポート] :ストーム制御を有効にするポートを選択します。
• [ストーム制御] :ストーム制御を有効にする場合、選択します。
• [ストーム制御レートしきい値] :Unknown ユニキャスト トラフィック、マルチキャスト トラフィック、およびブロードキャスト トラフィックの最大合計件数を入力します。このしきい値のデフォルト値は、FE デバイスの場合 10,000、GE デバイスの場合 100,000 です。
• [ストーム制御モード] :モードをいずれか 1 つ選択します。
– [不明なユニキャスト、マルチキャスト、およびブロードキャスト] :不明なユニキャスト トラフィック、マルチキャスト トラフィック、およびブロードキャスト トラフィックの件数を数え、しきい値と照合します。
– [マルチキャストとブロードキャスト] :マルチキャスト トラフィックおよびブロードキャスト トラフィックの件数を数え、しきい値と照合します。
– [ブロードキャストのみ] :ブロードキャスト トラフィックの件数だけを数え、しきい値と照合します。
ステップ 4 [適用] をクリックします。ストーム制御が変更され、実行コンフィギュレーション ファイルが更新されます。
ポート セキュリティの設定
特定の MAC アドレスからのポート アクセスを制限することにより、ネットワークのセキュリティを強化できます。アクセスを制限したい送信元 MAC アドレスは、動的(ダイナミック)に学習させることも、静的(スタティック)に設定することもできます。
ポート セキュリティを設定すると、受信された MAC アドレスと学習された MAC アドレスが照合されます。ロックされているポートには、特定の MAC アドレスからのみアクセスできます。
• クラシック ロック :ポート上で学習されたすべての MAC アドレスがロックされます。新しい MAC アドレスは学習されません。また、学習済み MAC アドレスが失効したり再学習されたりすることはありません。
• 限定ダイナミック ロック :上限数に達するまで MAC アドレスが学習されます。上限数に達すると、それ以上 MAC アドレスは学習されなくなります。このモードでは、学習済み MAC アドレスが失効したり再学習されたりすることがあります。
新しい MAC アドレスから届いたフレームがポート上で検出され、かつ、その MAC アドレスが承認されていない場合、(つまり、ポート セキュリティがクラシック ロック モードであり、届いた MAC アドレスがロックされている場合、または、ポート セキュリティが限定ダイナミック ロック モードであり、学習済み MAC アドレスが上限数に達している場合)、防御機構が働き、次のいずれかの処理が実行されます。
安全な MAC アドレスから送信されたフレームが別のポートに届いた場合、そのフレームは転送されますが、そのポート上でその MAC アドレスが学習されることはありません。
これらの処理のいずれかを実行するのに加え、トラップを生成することができます。その際、トラップの生成頻度を下げて回数を減らし、スイッチが過負荷状態になるのを回避することができます。
(注) ポート上で 802.1X を使用する場合は、複数ホスト モードまたは複数セッション モードにする必要があります。ポートがシングル モードの場合、ポートにポート セキュリティを設定できません([802.1x]、[ホストおよびセッション認証] ページを参照)。 ステップ 1 [セキュリティ] > [ポートセキュリティ] をクリックします。[ポートセキュリティ] ページが表示されます。
ステップ 2 ポート セキュリティを修正したいインターフェイスを選択し、[編集] をクリックします。[ポートセキュリティインターフェイス設定の編集] ページが表示されます。
• [インターフェイス] :インターフェイス名を選択します。
• [インターフェイスステータス] :ポートをロックする場合、チェックボックスをオンにします。
• [学習モード] :ポートのロック モードを選択します。このフィールドの値を指定するには、[インターフェイスステータス] のロックを解除する必要があります。[学習モード] フィールドは、[インターフェイスステータス] フィールドがロックされている場合にのみ有効になります。[学習モード] の値を変更するには、[インターフェイスステータス] のロックをいったん解除する必要があります。変更後、[インターフェイスステータス] を元に戻すことができます。次のオプションがあります。
– [クラシックロック] :すでに学習されている MAC アドレスの数にかかわらず、ポートをすぐにロックします。
– [限定ダイナミックロック] :現在このポートに動的に関連付けられている MAC アドレスを削除し、ポートをロックします。このポートに対して設定した上限数に達するまで MAC アドレスが学習されます。また、MAC アドレスは失効したり再学習されたりすることがあります。
• [最大許可アドレス数] :[学習モード] で [限定ダイナミックロック] を選択した場合、このポート上で学習できる MAC アドレスの上限数を入力します。数値 0 は、このポート上でスタティック MAC アドレスだけを設定できることを意味します。
• [違反時アクション] :ロックされているポートに届いたパケットに適用する処理を選択します。次のオプションがあります。
– [廃棄] :学習されていない送信元 MAC アドレスから届いたパケットを廃棄します。
– [転送] :不明な送信元 MAC アドレスから届いたパケットを転送します。MAC アドレスは学習されません。
– [シャットダウン] :学習されていない送信元 MAC アドレスから届いたパケットを廃棄し、このポートを停止します。ポートは、再アクティブ化されるかまたはスイッチが再起動されるまで、停止したままになります。
• [トラップ] :ロックされているポートにパケットが届いたときにトラップを有効にする場合、選択します。トラップは、ロックが侵害されようとしたことを通知するものです。クラシック ロック モードの場合、トラップの内容は、新たに受信された MAC アドレスです。限定ダイナミック ロック モードの場合、トラップの内容は、上限数を超過した分の新しい MAC アドレスです。
• [トラップ間隔] :トラップの最短間隔を入力します(単位:秒)。
ステップ 4 [適用] をクリックします。ポート セキュリティが変更され、実行コンフィギュレーション ファイルが更新されます。
802.1X の設定
ポートベース アクセス コントロールを行う場合、スイッチのポート上で 2 種類のアクセスを設定できます。1 つ目は、認可状態にかかわらず通信を制御しない、というものです( 非制御ポート )。2 つ目は、ホストとスイッチとの間の通信を承認するものです。
802.1X は、ポートベースのネットワーク アクセス コントロールを行うための IEEE 規格です。802.1X フレームワークを使用した場合、要求元デバイス(サプリカント)は、接続先リモート デバイス(オーセンティケータ)上のポートへのアクセスを要求できます。要求元サプリカントは、認証および承認された場合にのみ、ポートにデータを送信できます。サプリカントが認証されなかった場合、オーセンティケータではそのサプリカントからのデータが廃棄されます。ただし、ゲスト VLAN または未認証 VLAN に送信されるデータは例外です。
サプリカントを認証する処理は、オーセンティケータを介して、外部の RADIUS サーバ上で実行されます。オーセンティケータでは、認証結果が監視されます。
802.1X 規格では、ポートでデバイスをサプリカントにすると同時にオーセンティケータにすることができます。この場合、このデバイスは、ポート アクセスを要求すると共にポート アクセスを許可することになります。ただし、このスイッチは単なるオーセンティケータであり、サプリカントの役割は果たしません。
– A1 :シングル セッション/シングル ホスト。このモードの場合、スイッチ(オーセンティケータ)では 802.1X セッションが 1 つサポートされ、ポートを使用する権限が承認済みサプリカントに付与されます。そのポートで受信された他デバイスからのアクセスは、すべて拒否されます。ただし、承認済みサプリカントがそのポートを使用しなくなった場合、および、そのアクセスが未認証 VLAN またはゲスト VLAN に対するものである場合は例外です。
–単一セッション/複数ホスト:このモードは 802.1X 規格に準拠しています。このモードの場合、デバイスがポートに対するアクセス権を与えられている限り、スイッチ(オーセンティケータ)はそのポートの使用を許可します。
• 複数セッション型 802.1X :ポートに接続している各デバイス(サプリカント)を、それぞれ別々の 802.1X セッションで認証および承認する必要があります。これは、Dynamic VLAN Assignment(DVA)をサポートしている唯一のモードです。
このガイドでは、Dynamic VLAN Assignment(DVA)のことを RADIUS VLAN Assignment とも呼びます。ポートが複数セッション モードであり、かつ、DVA が有効になっている場合、認証処理時にそのポートが、RADIUS サーバによって割り当てられた VLAN のタグなしメンバとして自動追加されます。認証済みでかつ承認済みのデバイスまたはポートから送信されたタグなしパケットは、割り当てられている VLAN に分類されます。
DVA が有効になっているポートでデバイスを認証および承認する場合、次の点に注意してください。
•RADIUS サーバは、デバイスを認証し、そのデバイスに VLAN を動的に割り当てる必要があります。
•デバイスに割り当てる VLAN は、デフォルトの VLAN 以外である必要があります。また、スイッチで作成する必要があります。
•DVA と MAC ベース VLAN グループの両方を使用するようにスイッチを設定しないでください。
•RADIUS サーバは、RADIUS 属性が「tunnel-type (64) = VLAN (13)、tunnel-media-type (65) = 802 (6)、および tunnel-private-group-id = VLAN ID」で DVA をサポートしている必要があります。
•802.1X:このスイッチは、802.1X 規格で規定されている認証機構を備えており、802.1X サプリカントを認証および承認することができます。
•MAC ベース:このモードを使用するようにスイッチを設定した場合、802.1X 非対応デバイスを認証および承認できます。この場合、802.1X 非対応デバイスの代理として、サプリカントの役割がエミュレートされます。また、RADIUS サーバと通信する際、802.1X 非対応デバイスの MAC アドレスがユーザ名およびパスワードとして使用されます。ユーザ名およびパスワードとして使用する MAC アドレスは、すべて小文字で、また、区切り文字を使用せずに入力する必要があります(例:「aaccbb55ccff」)。ポートで MAC ベース認証方式を使用する場合、次の点に注意してください。
–未承認の最初のサプリカントから届くパケットは、タグなしパケットでなければなりません。
802.1X 認証、MAC ベース認証、またはその両方を使用するようにポートを設定できます。802.1X 認証と MAC ベース認証の両方を使用するようにポートを設定している場合、802.1X サプリカントが 802.1X 非対応デバイスよりも優先されます。シングル セッション モードに設定されているポートでは、802.1X サプリカントは、承認されているが 802.1X に対応していないデバイスよりも優先されます。
未認証 VLAN およびゲスト VLAN で提供されているサービスは、802.1X または MAC ベースで認証および承認されているデバイスまたはポートを必要としません。
未認証 VLAN は、承認済みのデバイスとポート、および未承認のデバイスとポートのどちらからも利用できます。[VLAN管理] セクションの [VLANの作成] セクションで、1 つ以上の未認証 VLAN を設定できます。未認証 VLAN の特徴は次のとおりです。
•必ずスタティック VLAN でなければなりません。また、ゲスト VLAN またはデフォルトの VLAN にすることはできません。
•メンバ ポートは、タグ付きメンバとして手動で設定する必要があります。
•メンバ ポートは、トランク ポートまたは一般ポートでなければなりません。アクセス ポートを未認証 VLAN のメンバにすることはできません。
ゲスト VLAN はスタティック VLANであり、その特徴は次のとおりです。
•既存のスタティック VLAN を基にして手動で定義する必要があります。
•ゲスト VLAN を自動的に利用できるのは、この VLAN に接続されており、かつ、ゲスト VLAN が有効になっている、未承認のデバイスまたはポートだけです。
•ゲスト VLAN が有効になっている未承認ポートは、ゲスト VLAN にタグなしメンバとして自動追加されます。そのポートの最初のサプリカントが承認されると、そのポートはゲスト VLAN から削除されます。
•ゲスト VLAN を音声 VLAN および未認証 VLAN として使用することはできません。
このスイッチの、複数セッション モードと MAC ベース認証を使用するように設定されているポートでは、ゲスト VLAN は認証用としても使用されます。したがって、MAC ベース認証を使用する場合、事前にゲスト VLAN を定義しておく必要があります。
802.1X パラメータを定義する手順
802.1X パラメータを定義するには、次の手順を実行します。
•(任意)[時間範囲] ページおよび [繰り返し時間範囲] ページを使用して、時間範囲を設定します。 これらは、[ポート認証の編集] ページで使用されます。
•(任意)「802.1X プロパティ値の設定」の説明に従って、1 つ以上のスタティック VLAN を未認証 VLAN として定義します。802.1X 承認済みおよび 802.1X 未承認のデバイスまたはポートは、未認証 VLAN との間で常にパケットを送受信できます。
•[ポート認証の編集] ページを使用して、各ポートの 802.1X 設定値を定義します。
•ポート上で DVA を有効にするには、このページの [RADIUS VLAN割り当て] フィールドを選択します。
•タグなしフレームをゲスト VLAN に送信するには、[ゲストVLAN] フィールドを選択します。
802.1X プロパティ値の設定
802.1X をグローバルで有効にし、ポートの認証方法を設定するには、802.1X の [プロパティ] ページを使用します。802.1X を使用するには、グローバルで有効にし、かつ、各ポートで個別に有効にする必要があります。
ステップ 1 [セキュリティ] > [802.1X] > [プロパティ] をクリックします。802.1X の [プロパティ] ページが表示されます。
• [ポートベース認証] :ポートベースの 802.1X 認証を有効または無効にします。
• [認証方式] :ユーザ認証方式を選択します。次のオプションがあります。
– [RADIUS、なし] :まず RADIUS サーバを使用してポート認証を実行します。RADIUS サーバから応答がない場合(例:サーバが停止している場合)、認証処理は実行されず、セッションが許可されます。 サーバが使用可能でも、ユーザ資格情報が正しくない場合は、アクセスは拒否され、セッションは終了されます。
– [RADIUS] :RADIUS サーバ上でユーザを認証します。認証処理が実行されなかった場合、セッションは許可されません。
– [なし] :ユーザを認証しません。セッションは許可されます。
• [ゲストVLAN] :未承認ポート用にゲスト VLAN を使用できるようにする場合、選択します。ゲスト VLAN が有効になっている場合、未承認ポートは、[ゲストVLAN ID] フィールドで選択した VLAN に自動的に追加されます。その後ポートが承認されると、ゲスト VLAN から削除されます。
• [ゲストVLAN ID] :VLAN のリストからゲスト VLAN を選択します。
• [ゲストVLANタイムアウト] :タイムアウト時間を指定します。
–リンクアップ後、ソフトウェアによって 802.1X サプリカントが検出されなかった場合、または、802.1X サプリカントが認証されなかった場合、 ゲスト VLAN タイムアウト 時間経過後に、そのポートがゲスト VLAN に追加されます。
–ポート状態が 承認済み から 未承認 に変わった場合、 ゲスト VLAN タイムアウト時間経過後に、そのポートがゲスト VLAN に追加されます。
[VLAN認証テーブル] にはすべての VLAN が表示されます。また、各 VLAN で認証処理が有効になっているかどうかが表示されます。
ステップ 3 [適用] をクリックします。802.1X プロパティ値が変更され、実行コンフィギュレーション ファイルが更新されます。
未認証 VLAN の定義
ポートが 802.1X 対応である場合、未承認のポートまたはデバイスは、ゲスト VLAN および未認証 VLAN 以外の VLAN にアクセスできません。スタティック VLAN を認証済み VLAN にするには、「 802.1X プロパティ値の設定 」の手順を実行します。これにより、802.1X 承認済みおよび 802.1X 未承認のデバイスまたはポートは、未認証 VLAN との間でパケットを送受信できます。VLAN にポートを手動で追加するには、[VLANへのポート] ページを使用します。
ステップ 1 [セキュリティ] > [802.1X] > [プロパティ] をクリックします。802.1X の [プロパティ] ページが表示されます。
ステップ 2 VLAN を選択して [編集] をクリックします。[VLAN認証の編集] ページが表示されます。
ステップ 4 (任意)[認証] チェックボックスをオフにし、この VLAN を未認証 VLAN にします。
ステップ 5 [適用] をクリックします。実行コンフィギュレーション ファイルが更新されます。
802.1X ポート認証の設定
[ポート認証] ページでは、各ポートの 802.1X パラメータ値を設定できます。ホスト認証など、ポートが [Force Authorized] 状態になっている間にしか変更できない設定もあるので、ポート制御を [Force Authorized] に変更してから変更することを推奨します。設定が完了したら、ポート制御を元の状態に戻してください。
(注) 802.1X が設定されているポートを LAG のメンバにすることはできません。 ステップ 1 [セキュリティ] > [802.1X] > [ポート認証] をクリックします。[ポート認証] ページが表示されます。
このページには、すべてのポートに対する認証設定情報が表示されます。
ステップ 2 ポートを選択して [編集] をクリックします。[ポート認証の編集] ページが表示されます。
• [現在のポート制御] :現在のポート認可状態が表示されます。状態が [許可] の場合、ポートが認証されているか、または、[管理ポート制御] の値が [Force Authorized] になっています。一方、状態が [無許可] の場合、ポートが認証されていないか、または、[管理ポート制御] の値が [Force Unauthorized] になっています。
• [管理ポート制御] :認可状態を選択します。次のオプションがあります。
– [Force Unauthorized] :インターフェイスを未承認状態に移行することにより、インターフェイス アクセスを拒否します。このインターフェイスを介してクライアントに認証サービスが提供されることはありません。
– [自動] :ポートベースの認証とスイッチの認可を有効にします。スイッチとクライアントの間で認証情報が交換されるのに合わせて、インターフェイスが承認状態と未承認状態の間で移行します。
– [Force Authorized] :認証せずにインターフェイスを承認します。
• [RADIUS VLAN割り当て] :選択したポート上で DVA を有効にする場合、選択します。DVA 機能を利用できるのは、802.1X モードが複数セッションに設定されている場合だけです。認証後、ポートはその VLAN のタグなしポートとして、サプリカント VLAN に追加されます。
[64] Tunnel-Type = VLAN (type 13)
[65] Tunnel-Medium-Type = 802 (type 6)
[81] Tunnel-Private-Group-Id = VLAN ID
• [ゲストVLAN] :このスイッチに対して定義済み VLAN を使用できるようにする場合、選択します。次のオプションがあります。
– 選択 :未承認ポートに対してゲスト VLAN を使用できるようにします。ゲスト VLAN が有効になっている場合、未承認ポートは、802.1X の [ポート認証] ページの [ゲストVLAN ID] フィールドで選択した VLAN に自動的に追加されます。
認証されず、かつ、そのポート上でゲスト VLAN がグローバルに有効になっている場合、ゲスト VLAN は未承認ポートにタグなし VLAN として自動的に割り当てられます。
• [認証方式] :ポートに対する認証方式を選択します。次のオプションがあります。
– [802.1xのみ] :802.1X 認証方式だけが実行されます。
– [MACのみ] :サプリカントの MAC アドレスに基づいてポートが認証されます。このポートで使用できる MAC ベース認証は 8 個だけです。
– [802.1xおよびMAC] :802.1X 認証と MAC ベース認証の両方が実行されます。802.1X 認証が優先されます。
• [定期再認証] :[再認証期間] で入力した間隔でポートを再認証する場合、選択します。
• [再認証期間] :選択したポートを再認証する間隔を入力します(単位:秒)。
• [即時再認証] :ポートをすぐに再認証する場合、選択します。
• [認証状態] :設定されているポート認可状態が表示されます。次のオプションがあります。
– [Force Authorized] :ポート制御状態は Force Authorized(トラフィックを転送)に設定されています。
– [Force Unauthorized] :ポート制御状態は Force Unauthorized(トラフィックを廃棄)に設定されています。
• [時間範囲] :802.1X が有効になっている(ポートベース認証が検査される)場合に、特定のポートに対する承認期間を制限します。
• [待機期間] :認証失敗情報交換後にスイッチが待機する時間を入力します(単位:秒)。
• [EAPの再送信] :サプリカント(クライアント)からの、Extensible Authentication Protocol(EAP; 拡張認証プロトコル)要求/ID フレームに対する応答を待つ時間を入力します(単位:秒)。この時間内に応答がない場合、スイッチから要求が再送信されます。
• [最大EAP要求] :EAP 要求の最大送信回数を入力します。[サプリカントタイムアウト] で入力した期間内にサプリカントから応答がなかった場合(つまり、サプリカントがタイムアウトになった場合)、認証プロセスが再開されます。
• [サプリカントタイムアウト] :サプリカントのタイムアウト時間を入力します(単位:秒)。この時間内に応答がない場合、EAP 要求がサプリカントに再送信されます。
• [サーバタイムアウト] :サーバのタイムアウト時間を入力します(単位:秒)。この時間内に応答がない場合、要求が認証サーバに再送信されます。
• [終了原因] :ポート認証処理が中止された場合、その理由が表示されます。
ステップ 4 [適用] をクリックします。ポート設定が定義され、実行コンフィギュレーション ファイルが更新されます。
ホストとセッションの認証の設定
[ホストおよびセッション認証] ページでは、ポート上での 802.1X の動作モード、および、違反検出時に実行する処理を設定できます。
•シングル:1 台の承認済みホストだけがポートにアクセスできます。なお、シングル ホスト モードの場合、ポート上でポート セキュリティを有効にすることはできません。
•複数ホスト(802.1X):複数台のホストを 1 つの 802.1X 対応ポートに割り当てることができます。承認する必要があるのは最初のホストだけです。その後ポートは、ネットワークにアクセスするユーザ全員に開放されます。ホストが認証されなかった場合、または、EAPOL-logoff メッセージが受信された場合、割り当てられているすべてのクライアントが、ネットワークへのアクセスを拒否されます。
•複数セッション:特定多数の承認済みホストがポートにアクセスできます。各ホストは、最初でかつ唯一のユーザのように扱われます。それぞれのホストを認証する必要があります。フィルタリングは送信元 MAC アドレスに基づいて実行されます。
ステップ 1 [セキュリティ] > [802.1X] > [ホストおよびセッション認証] をクリックします。[ホストおよびセッション認証] ページが表示されます。
このページには、すべてのポートに対する 802.1X 認証パラメータ値が表示されます。次に示すフィールドを除くフィールドは、すべて [ホストおよびセッション認証の編集] ページにあります。
• [ステータス] :ホストのステータスが表示されます。アスタリスクは、そのポートがリンクされていないかまたは停止していることを意味します。次のオプションがあります。
– [無許可] :ポート制御状態が [Force Unauthorized] であり、かつ、ポート リンクが停止しているか、または、ポート制御の状態が [自動] であるが、クライアントがそのポート経由で認証されていません。
– [Force Authorized] :クライアントはポートにフル アクセスできます。
– [シングルホストロック] :ポート制御状態が [自動] であり、かつ、このポートを使用して 1 つのクライアントだけが認証されています。
– [シングルホストなし] :ポート制御状態が [自動] であり、[複数ホスト] モードが有効になっています。1 つ以上のクライアントが認証されています。
– [非自動モード] :自動ポート制御が無効になっています。
• [違反数] :シングル ホスト モードにおいて、MAC アドレスがサプリカントの MAC アドレスでないホストからそのインターフェイスに届いた、パケットの数が表示されます。
ステップ 2 ポートを選択して [編集] をクリックします。[ホストおよびセッション認証の編集] ページが表示されます。
• [インターフェイス] :ホスト認証を有効にするポート番号を入力します。
• [ホスト認証] :いずれかのモードを選択します。これらのモードについては、前出の「 ホストとセッションの認証の設定 」で説明しています。
• [違反時アクション](シングル ホスト) :MAC アドレスがサプリカントの MAC アドレスでないホストから、シングル セッション/シングル ホスト モードで届いたパケットに適用する処理を選択します。 次のオプションがあります。
– [シャットダウン] :パケットを廃棄し、ポートを停止します。ポートは、再アクティブ化されるかまたはスイッチが再起動されるまで、停止したままになります。
• [トラップ](シングル ホスト違反) :選択すると、トラップが有効になります。
• [トラップ間隔](シングル ホスト違反) :ホストにトラップを送信する頻度を設定します。 このフィールドの値を指定できるのは、複数ホストが無効になっている場合だけです。
ステップ 4 [適用] をクリックします。設定値が定義され、実行コンフィギュレーション ファイルが更新されます。
認証済みホストの表示
ステップ 1 [セキュリティ] > [802.1X] > [認証済みホスト] をクリックします。[認証済みホスト] ページが表示されます。
• [セッション時間(DD:HH:MM:SS)] :そのポートにサプリカントがログインしていた時間。
• [認証方式] :最後のセッションの認証に使用された方式。次のオプションがあります。
– [RADIUS] :サプリカントは RADIUS サーバ上で認証されました。
期間の設定
[時間範囲] ページでは、802.1X対応ポートで 802.1X を有効にする期間を設定できます。期間を設定するには、絶対開始日時と絶対終了日時を指定する必要があります。絶対期間は指定したが定期期間は指定しておらず、かつ、期間を 802.1X 対応ポートに対して設定した場合、絶対開始日時から絶対終了日時までの間、そのポートで 802.1X がアクティブ化されます。
絶対期間と定期期間の両方を指定した場合、絶対開始日時と定期期間の両方に合致した時点で、そのポートで 802.1X がアクティブ化されます。いずれかの終了日時に達した時点で、そのポートは非アクティブ化されます。絶対期間に定期期間を追加するには、[繰り返し時間範囲] ページを使用します。
1 つ以上の定期期間を指定し、かつ、期間を 802.1X 対応ポートに対して設定した場合、定期期間と絶対期間の両方に重なる間、そのポートで 802.1X がアクティブ化されます。
802.1X 対応ポートに対して指定した絶対期間または定期期間(あるいはその両方)に合致しない場合、そのポートで 802.1X は非アクティブ化されます。これは、[Force Unauthorized] と同じ状態です。
指定した時刻はすべて現地時間であると解釈されます。なお、夏時間は適用されません。
指定した期間が正確に適用されるようにするため、ユーザが手動で、または SNTP を使用して、ソフトウェア クロックを正しく設定してください。ソフトウェア クロックを正しく設定していない場合、期間が正しく適用されません。
この機能の用途としては、たとえば、コンピュータからネットワークにアクセスできる時間を営業時間内に限定し、営業時間終了後はネットワークへのアクセスをブロックする、などが考えられます。
ステップ 1 [セキュリティ] > [802.1X] > [時間範囲] をクリックします。[時間範囲] ページが表示されます。
ステップ 2 [追加] をクリックします。[時間範囲の追加] ページが表示されます。
– [即時] :期間を作成した時点から期間を開始する場合、このフィールドをクリックします。
– [無制限] :終了日時を指定しない(つまり無期限にする)場合、このフィールドをクリックします。
ステップ 4 [適用] をクリックします。期間が作成されます。
定期期間の設定
[繰り返し時間範囲] ページでは定期期間を作成し、[時間範囲] ページで作成した絶対期間のいずれかに追加することができます。
指定した時刻はすべて現地時間であると解釈されます。なお、夏時間は適用されません。
ステップ 1 [セキュリティ] > [802.1X] > [繰り返し時間範囲] をクリックします。[繰り返し時間範囲] ページが表示されます。
ステップ 2 [追加] をクリックします。[繰り返し時間範囲の追加] ページが表示されます。
• [時間範囲名] :定期期間を追加する絶対期間を選択します。
• [繰り返し開始時刻] :曜日と定期期間開始時刻を入力します。
• [繰り返し終了時刻] :曜日と定期期間終了時刻を入力します。
ステップ 4 [適用] をクリックします。定期期間が絶対期間に追加されます。
DoS 攻撃の防止
Denial of Service(DoS)攻撃を防止できれば、ネットワークのセキュリティが向上します。具体的には、特定の IP アドレスから送信されたパケットがネットワークに入ってこないようにします。
さらに、DoS 攻撃防止機能を利用すれば、悪意あることが判明しているヘッダーや本文を含むパケットを除去できます。
ネットワーク管理者は DoS 攻撃防止機能を利用することにより、次のことができます。
•予約された IP アドレスから送信されたパケットを拒否する([Martianアドレス] ページ)。
•特定のインターフェイスから TCP 接続できないようにする([SYNフィルタリング] ページ)。また、パケットのレート制限を行う([SYNレート保護] ページ)。
•特定の ICMP パケットをブロックするように設定する([ICMPフィルタリング] ページ)。
•特定のインターフェイスから送信された断片化 IP パケットを廃棄する([IPフラグメントフィルタリング] ページ)。
•Stacheldraht Distribution、Invasor Trojan、および Back Orifice Trojan からの攻撃を拒否する([セキュリティスイート設定] ページ)。
SCT
Cisco Small Business スイッチは、エンドユーザのトラフィック以外に、次のタイプのトラフィックを処理する高度なスイッチです。
不要なトラフィックは、CPU の負荷を高め、正常なスイッチの動作を妨げることがあります。
スイッチは、Secure Core Technology(SCT)機能を使用します。この機能は、受信するトラフィックの合計量に関係なく、スイッチが管理トラフィックとプロトコル トラフィックを受信し処理できるようにします。
デバイスでは SCT はデフォルトで有効になっており、無効にできません。
SCTは、[セキュリティ] > [サービス拒否防御] > [セキュリティスイート設定] ページで監視できます([詳細] ボタン)。
DoS セキュリティ スイートの設定
(注) DoS 攻撃防止機能をアクティブ化するには、事前に、すべての Access Control List(ACL; アクセス コントロール リスト)および拡張 QoS ポリシーをポートからアンバインドしておく必要があります。ポートで DoS 攻撃防止機能がアクティブ化されている間、ACL と拡張 QoS ポリシーは非アクティブ化されます。DoS 攻撃防止機能のグローバル設定および SCT の監視を行うには
ステップ 1 [セキュリティ] > [サービス拒否防御] > [セキュリティスイート設定] をクリックします。[セキュリティスイート設定] ページが表示されます。
ステップ 2 CPU保護メカニズムが有効の場合は、SCT が有効であることを示しています。[CPU利用率] の横にある [詳細] をクリックし、CPU リソース利用率情報の表示を有効にします。
ステップ 3 [DoS防御] を選択し、DoS 攻撃防止機能を有効にします。
• [システムレベルの防御] :Stacheldraht Distribution、Invasor Trojan、および Back Orifice Trojan からの攻撃を防止する機能の部分を有効にします。
ステップ 4 [システムレベルの防御] または [システムレベルおよびインターフェイスレベルの防御] を選択した場合、次の DoS 攻撃防止オプションを 1 つ以上有効にします。
• [Stacheldraht(分散型)] :送信元 TCP ポートが 16660 である TCP パケットを廃棄します。
• [Invasor (トロイの木馬)] :宛先 TCP ポートが 2140 であり、かつ、送信元 TCP ポートが 1024 である TCP パケットを廃棄します。
• [Back Orifice (トロイの木馬)] :宛先 UDP ポートが 31337 であり、かつ、送信元 UDP ポートが 1024 である UDP パケットを廃棄します。
ステップ 5 [適用] をクリックします。DoS 攻撃防止セキュリティ スイート設定が定義され、実行コンフィギュレーション ファイルが更新されます。
•[システムレベルおよびインターフェイスレベルの防御] を選択した場合、適切な [編集] ボタンをクリックし、防止機能を設定します。
Martian アドレスの指定
[Martianアドレス] ページでは、ネットワーク上に出現したときに攻撃しようとする IP アドレスを指定できます。これらのアドレスからのパケットは廃棄されます。
このスイッチでは、IP プロトコルの点から見て不正な Martian アドレス群が予約されています。予約されている Martian アドレスは次のとおりです。
•[Martianアドレス] ページで、不正であると指定されたアドレス。
•IP プロトコルの点から見て不正なアドレス(例:ループバック アドレス)。具体的なアドレス範囲は次のとおりです。
– 0.0.0.0/8(送信元としての 0.0.0.0/32 は除く) :この範囲のアドレスは、このネットワーク上の送信元ホストを指しています。
– 127.0.0.0/8 :インターネット ホスト ループバック アドレスとして使用されます。
– 192.0.2.0/24 :ドキュメント内およびサンプル コード内で TEST-NET として使用されます。
– 224.0.0.0/4(送信元の場合) :IPv4 マルチキャスト アドレス割り当てにおいて使用されます。以前は「クラス D アドレス空間」と呼ばれていました。
– 240.0.0.0/4(宛先としての 255.255.255.255/32 は除く) :予約されているアドレス範囲。以前は「クラス E アドレス空間」と呼ばれていました。
DoS 攻撃を防止するために Martian アドレスを追加することもできます。Martian アドレスが含まれているパケットは廃棄されます。
ステップ 1 [セキュリティ] > [サービス拒否防御] > [Martianアドレス] をクリックします。[Martianアドレス] ページが表示されます。
ステップ 2 [予約済みのMartianアドレス] を選択して [適用] をクリックし、予約済み Martian アドレスをシステム レベル防止リストに追加します。
ステップ 3 Martian アドレスを追加するため、[追加] をクリックします。[Martianアドレスの追加] ページが表示されます。
• [IPバージョン] :サポートされている IP バージョンが表示されます。現在サポートされている IP バージョンは IPv4 だけです。
• [IPアドレス] :拒否するアドレスを入力します。表示される値は次のとおりです。
–[予約済みリストから]:既知の IP アドレスを予約リストから選択します。
• [マスク] :拒否する IP アドレス範囲を指定するため、IP アドレスのマスクを入力します。選択項目は次のとおりです。
–[ネットワークマスク]:ピリオド区切りの 10 進表記で入力します。
–[プレフィクス長]:DoS 攻撃防止機能を適用する IP アドレス範囲を指定するため、IP アドレス プレフィクスを入力します。
ステップ 5 [適用] をクリックします。Martian アドレスが設定され、実行コンフィギュレーション ファイルが更新されます。
SYN フィルタリングの設定
[SYNフィルタリング] ページでは、SYN フラグが含まれている TCP パケット、および 1 つ以上の特定のポート宛てのパケットをフィルタリングするように設定できます。
ステップ 1 [セキュリティ] > [サービス拒否防御] > [SYNフィルタリング] をクリックします。[SYNフィルタリング] ページが表示されます。
ステップ 2 [追加] をクリックします。[SYNフィルタリングの追加] ページが表示されます。
• [インターフェイス] :フィルタリングを適用するインターフェイスを選択します。
• [IPv4アドレス] :フィルタリングを適用する IP アドレスを入力するか、または、[すべてのアドレス] を選択します。
• [ネットワークマスク] :フィルタ処理されたネットワーク マスクを IP アドレス形式で入力します。
• [TCPポート] :フィルタ処理された宛先 TCP ポートを選択します。
– [すべてのポート] :すべてのポートがフィルタ処理されている場合に選択します。
ステップ 4 [適用] をクリックします。SYN フィルタが定義され、実行コンフィギュレーション ファイルが更新されます。
SYN レート保護の設定
[SYNレート保護] ページでは、入力ポートで受信する SYN パケットの数を制限できます。これにより、新しい接続の数を制限することで、サーバに対する SYN フラッド攻撃の影響を軽減できます。
ステップ 1 [セキュリティ] > [サービス拒否防御] > [SYNレート保護] をクリックします。[SYNレート保護] ページが表示されます。
このページには、各インターフェイスに対して現在適用されている SYN レート保護が表示されます。
ステップ 2 [追加] をクリックします。[SYNレート保護の追加] ページが表示されます。
• [インターフェイス] :SYN レート保護を適用するインターフェイスを選択します。
• [IPアドレス] :SYN レート保護を適用する IP アドレスを入力するか、または、[すべてのアドレス] を選択します。IP アドレスを入力する場合、マスクまたはプレフィクス長を入力します。
• [ネットワークマスク] :送信元 IP アドレスに対するサブネット マスクの形式を選択し、いずれかのフィールドに値を入力します。
– [マスク] :送信元 IP アドレスが属するサブネットを選択し、サブネット マスクをピリオド区切りの 10 進表記で入力します。
– [プレフィクス長] :[プレフィクス長] を選択し、送信元 IP アドレス プレフィクスを構成するビット数を入力します。
• [SYNレート制限] :受信する SYN パケット数を入力します。
ステップ 4 [適用] をクリックします。SYN レート保護が適用され、実行コンフィギュレーション ファイルが更新されます。
ICMP フィルタリングの設定
[ICMPフィルタリング] ページでは、特定の送信元から届いた ICMP パケットをブロックできます。これにより、ICMP 攻撃を受けた場合のネットワーク負荷を軽減できます。
ステップ 1 [セキュリティ] > [サービス拒否防御] > [ICMPフィルタリング] をクリックします。[ICMPフィルタリング] ページが表示されます。
ステップ 2 [追加] をクリックします。[ICMPフィルタリングの追加] ページが表示されます。
• [インターフェイス] :ICMP フィルタリングを適用するインターフェイスを選択します。
• [IPアドレス] :ICMP パケット フィルタリングを適用する IPv4 アドレスを入力するか、または、[すべてのアドレス] を選択してすべての送信元アドレスからの ICMP パケットをブロックします。IP アドレスを入力する場合、マスクまたはプレフィクス長を入力します。
• [ネットワークマスク] :送信元 IP アドレスに対するサブネット マスクの形式を選択し、いずれかのフィールドに値を入力します。
– [マスク] :送信元 IP アドレスが属するサブネットを選択し、サブネット マスクをピリオド区切りの 10 進表記で入力します。
– [プレフィクス長] :[プレフィクス長] を選択し、送信元 IP アドレス プレフィクスを構成するビット数を入力します。
ステップ 4 [適用] をクリックします。ICMP フィルタリングが定義され、実行コンフィギュレーション ファイルが更新されます。
断片化 IP フィルタリングの設定
[IPフラグメント化] ページでは、断片化 IP パケットをフィルタリングできます。
ステップ 1 [セキュリティ] > [サービス拒否防御] > [IPフラグメントフィルタリング] をクリックします。[IPフラグメントフィルタリング] ページが表示されます。
ステップ 2 [追加] をクリックします。[IPフラグメントフィルタリングの追加] ページが表示されます。
• [インターフェイス] :IP フラグメンテーションが定義されたインターフェイスを選択します。
• [IPアドレス] :断片化 IP フィルタ処理された IP ネットワークを入力するか、または、[すべてのアドレス] を選択してすべての送信元アドレスからの断片化 IP パケットをブロックします。IP アドレスを入力する場合、マスクまたはプレフィクス長を入力します。
• [ネットワークマスク] :送信元 IP アドレスに対するサブネット マスクの形式を選択し、いずれかのフィールドに値を入力します。
– [マスク] :送信元 IP アドレスが属するサブネットを選択し、サブネット マスクをピリオド区切りの 10 進表記で入力します。
– [プレフィクス長] :[プレフィクス長] を選択し、送信元 IP アドレス プレフィクスを構成するビット数を入力します。
ステップ 4 [適用] をクリックします。IP フラグメントフィルタが定義され、実行コンフィギュレーション ファイルが更新されます。
フィードバック