セキュリティ
デバイスセキュリティ
パスワード
パスワード設定コマンド
・(config)#enable password {パスワード}
enableパスワード
特権モードへ移行するためのパスワードを設定する(暗号化無し)
・(config)#enable secret {パスワード}
enableパスワード
特権モードへ移行するためのパスワードを設定する(暗号化有り)
デフォルトでMD5による暗号化が行われる
両方設定されている場合は「enable secret」が優先される
・(config)#line {aux | console | vty} {番号} [終了番号]
(config-line)#password {パスワード}
(config-line)#login
lineパスワード
コンソールやTELNETで接続するためのパスワードを設定する(ユーザ名無し)
・(config)#username {ユーザ名} {password パスワード | secret パスワード}
(config)#line {aux | console | vty} {番号} [終了番号]
(config-line)#login local
lineパスワード
コンソールやTELNETで接続するためのパスワードを設定する(ユーザ名有り)
・aux:auxポートの設定モードに移行
console:コンソールポートの設定モードに移行
vty:vtyポートの設定モードに移行
番号:ポートの開始番号を指定
終了番号:ポートの終了番号を指定
ポートの開始番号を「0」、終了番号を「4」とすることで「0~4」のポートに
まとめて同じ設定が出来る
パスワード:パスワード認証で使うパスワードを設定
login:パスワード認証の有効化
local:ローカルデータベースを使った認証を有効化
・(config)#service password-encryption
クリアテキストで表示されているパスワードを全て暗号化する
ローカルデータベースで使用するユーザアカウント
ユーザアカウントを作成するコマンド構文
・(config)#usetname {ユーザ名} [privilege {レベル}] {password [0|7] パスワード文字列 | secret [0|5|8|9] パスワード文字列}
・ユーザ名:認証で使用するユーザ名を登録
レベル:権限レベルを0~15で指定(デフォルトは1)
0:プレーンテキストでパスワードを入力する際に指定(デフォルト)
5,7,8,9:暗号化済みのパスワードを入力する際に指定(他の機器のrunning-configなどからコピーする際に使用)
password:パスワード文字列をクリアテキストで保存
secret:パスワード文字列を暗号化して保存
パスワード文字列:認証で使用するパスワードを登録
権限レベル(特権レベル)
・権限レベルは、使用できるコマンドを制限する機能
・権限レベルは0~15まであり、ユーザは自分が持っている権限レベルより上のレベルのコマンドは使用できない
・15:特権モードでセッションを開始する (Router#)
特権モードの全コマンドが使用可能
・1:ユーザモードでセッションを開始する (Router>)
ユーザモードの全コマンドが使用可能
・0:ユーザモードでセッションを開始する (Router>)
ユーザモードの一部のコマンドが使用可能
TELNET
異なるネットワークに属するスイッチへのTELNETで必要になる設定
・VTY(Virtual TeletYpe:仮想端末)ポートに対するパスワードの設定(TELNET接続を認証するための設定)
・特権モードに移行するために「enableパスワード」も設定しておく必要がある
・管理インターフェース(interface vlan)への「IPアドレスの設定」と有効化(スイッチにアクセスするための設定)
・デフォルトゲートウェイの設定(異なるネットワークと通信するための設定)
スイッチへのIPアドレスの設定
・(config)#interface vlan {VLAN番号}
・(config-if)#ip address {アドレス} {サブネットマスク}
・VLAN番号:管理VLANにしたいVLAN番号を指定
デフォルトゲートウェイの設定
・(config)#ip default-gateway {IPアドレス}
・IPアドレス:デフォルトゲートウェイとなるルータのIPアドレス
TELNET接続
#telnet {宛先IPアドレス | ホスト名}
SSH
ルータにSSHで接続できるようにする設定
1.ホスト名、ドメイン名の設定
2.RSAホスト鍵の生成
3.SSHバージョンの指定(任意)
4.仮想端末回線(VTY)の設定(任意)
5.ログイン認証の設定
ドメイン名の設定
(config)#ip domain name {ドメイン名}
RSAホスト鍵の生成
・(config)#crypto key generate rsa [modulus {鍵の長さ}]
・鍵の長さは最低でも1024以上にすることが推奨される
SSHバージョンの指定
・(config)#ip ssh version {バージョン}
・バージョン:1または2を指定(セキュリティのためにバージョン2を指定することが推奨される)
仮想端末回線への接続プロトコルをSSHに強制する
・(config)#line vty {開始VTY番号} [{終了VTY番号}]
・(config-line)#transport input ssh
ログイン認証の設定
・(config)#username {ユーザ名} password {パスワード}
・(config)#line vty {開始VTY番号} [{終了VTY番号}]
・(config-line)#login local
SSH接続を受け入れるための設定
・(config)#line vty {番号} [終了番号]
・(config-line)#transport input {プロトコル} [プロトコル]
・VTYポートへ接続する際に使えるプロトコルの指定「telnet」や「ssh」など
・例1)SSH接続のみ受け入れる
(config-line)#transport input ssh
・例2)TelnetとSSH接続のどちらも受け入れる
(config-line)#transport input telnet ssh
SSH接続
#ssh {-l ユーザ名} [-v SSHバージョン] [-p 接続先ポート番号] {宛先IPアドレス | ホスト名}
ワイヤレスセキュリティ
ワイヤレスセキュリティ
無線LANで使われる主なセキュリティ規格
・WPA
暗号化方式:TKIP
暗号化アルゴリズム:RC4
認証方式:PSK 、IEEE 802.1X/EAP
改ざん検出(MIC):Michael
セキュリティレベル:低
・WPA2
暗号化方式:CCMP
暗号化アルゴリズム:AES
認証方式:PSK 、IEEE 802.1X/EAP
改ざん検出(MIC):CBC-MAC
セキュリティレベル:中
・WPA3
暗号化方式:GCMP
暗号化アルゴリズム:AES
認証方式:SAE 、IEEE 802.1X/EAP
改ざん検出(MIC):GMAC
セキュリティレベル:高
WPAパーソナルとWPAエンタープライズ
WPAは利用する認証方式によって「WPAパーソナル」または「WPAエンタープライズ」と呼ばれる
WPAパーソナル
・認証サーバを使用しないモード
・PSK(Pre-Shared Key:事前共有鍵)認証または、SAE(Simultaneous Authentication of Equals:同等性同時認証)を利用している場合は、「WPAパーソナル」と呼ばれる
WPAエンタープライズ
・認証サーバを使用するモード
・IEEE 802.1X/EAP認証を利用している場合は「WPAエンタープライズ」と呼ばれる
IEEE 802.1X
・LANに接続するユーザーを認証するための規格
・セキュリティ対策としてユーザ認証を行うことで不適切なユーザーがLANに接続することを防ぐ
IEEE 802.1Xの構成要素
・サプリカント(supplicant)
IEEE 802.1X認証要求をするクライアントソフトウェア
WindowsやMacなどクライアントPCのOSにも組み込まれている
・オーセンティケータ(authenticator)
無線LANアクセスポイントや無線LANコントローラやスイッチ
サプリカントからの認証要求を認証サーバへ中継する
・認証サーバ(authentication server)
認証を行うサーバ
IEEE 802.1XはRADIUSサーバのみに対応している
EAP(Extensible Authentication Protocol:拡張認証プロトコル)
・IEEE 802.1Xで採用されている認証用のプロトコル
・EAPの拡張性を生かして、いろいろなEAPベースの認証方式が追加されている
EAPの主な認証方式
・LEAP
クライアント証明書:不要
サーバ証明書:不要
セキュリティレベル:低
認証方法:クライアントとサーバがIDとパスワードを使用して相互に認証する(Cisco独自)
・EAP-FAST
クライアント証明書:不要
サーバ証明書:不要
セキュリティレベル:中
認証方法:クライアントとサーバがPAC(Protected Access Credential)を使用して相互に認証する
・EAP-TLS
クライアント証明書:必要
サーバ証明書:必要
セキュリティレベル:高
認証方法:クライアントとサーバが電子証明書によって相互に認証する
・PEAP
クライアント証明書:不要
サーバ証明書:必要
セキュリティレベル:中
認証方法:クライアントはユーザIDとパスワードで認証サーバは電子証明書によって認証する
WPA 4Way-Handshake
・WPA/WPA2では、PSK認証またはEAP認証で生成した鍵を基に4Way-Handshakeを行い、定期的に変更できる鍵を生成し、セキュリティレベルを高めている
