Cisco Router - Basic Security



 ◆ Ciscoルータ - ユーザEXECモードへのアクセス制限

 Ciscoルータへ管理アクセスする方法には、コンソールポート経由、AUXポート経由、VTYポート経由
 の大きく3つがあります。これらのどのアクセスにおいても、不正にルータにログインされないように
 Ciscoルータにアクセスしてログインする際にパスワードが求められるように設定するのが一般的です。


    



 パスワードが求められるように設定するには、各lineにおいて、
passwordコマンドとloginコマンド
 の2つを設定する必要があります。passwordの後には任意の文字列を指定します。例えば以下の通り
 設定することにより、ルータにアクセスした際にログイン時にパスワードの入力が求められるように
 なります。以下の設定例ではパスワードにciscotestと入力することでログインできるようになります。

 
◆ コンソールポートへのパスワード設定
 


 
◆ AUXポートへのパスワード設定
 


 
◆ VTYポートへのパスワード設定
 


 VTY line (Virtual Teletype Line) は文字通り仮想端末のラインであることから、コンソールポートとは
 異なり、実際に物理的にポートを持っている訳ではありません。Ciscoルータ上で仮想的に複数ポートを
 持つことにより、複数のユーザが同時にアクセスすることが可能です。デフォルトではVTYポート番号は
 line vty 0 4とあることから仮想ポートとしては 0〜4 の5ポートあります。従ってCiscoルータに同時に
 5つのtelnetセッションを接続することができます。VTYポートは、小さい番号から使用されていきます。



       



 line vty 0 4の定義の場合、telnet/SSH接続できる仮想ポートを5つしか用意できないので、一般的には
 line vty 0 15と定義して仮想ポートを 16 ポート用意する設定するケースが多いです。VTYのポート数は
 ルータの機種によって設定できる数が異なります。コンソールポートやAUXポートとは異なりVTYポート
 の場合はデフォルトでこのpasswordとloginコマンドの設定がされていないとセキュリティ上の理由から
 VTYポート経由でアクセスできないようになっています。※AAAの設定をしている場合は例外となります。


 上記の password コマンドと login コマンドで
 telnet接続ができるようになりますが、telnet
 接続したルータで特権EXECモードへ移行する
 ためには、enable passwordコマンドまたは
 enable secretコマンドを設定する必要がある。

 設定してない場合、enableで特権EXECモード
 へ移行しようとすると、"
No Password set"と
 メッセージが表示されて、特権EXECモードへ
 移行できない状態になります。

      



 以降の解説では機器のパスワード設定にenable passwordコマンドやenable secretコマンドを紹介
 していますが、現在では SHA-256(Type 8)または Scrypt(Type 9)の暗号アルゴリズムを指定
 することができるenable algorithm-typeコマンドでの設定が推奨となっています。



 ◆ Ciscoルータ - 特権EXECモードへのアクセス制限

 Ciscoルータには、パスワードを2段階で設定するのが一般的です。一段階目は、ユーザEXECモードの
 パスワード設定で、二段階目は、この特権EXECモードへのパスワード設定です。特権EXECモードへの
 パスワード設定を行うことで、Ciscoルータでenableコマンドを入力する際にパスワードの入力が求め
 られるようになります。ユーザEXECモードへのパスワードと特権EXECモードのパスワードを異なる値
 にして、特権EXECモードへのパスワードは限られた管理者だけに知らせることでセキュリティが向上。

 特権EXECモードのパスワード設定コマンドは2つあります。enable passwordコマンドとenable secret
 コマンドです。enable passwordコマンドでは、コンフィグファイル上パスワードが暗号化されませんが
 enable secretコマンドではパスワードが暗号化されるので一般的にenable secretコマンドを使用します。

 
◆ 以下の設定例では enable passwordに "abc" と定義
 


 
◆ show runで設定部分を確認してみると暗号化されずに表示されている・・
 



 
◆ 以下の設定例では enable secretに "def" と定義
 


 
◆ show runで設定部分を確認してみると暗号化されて表示されていることが確認できます。
 

 
※ enable passwordとenable secretの両方を設定した場合、enable secretで定義したパスワードが優先されて使用されます。


 ◆ Ciscoルータ - パスワードの暗号化

 Ciscoルータではenable secretコマンドのパスワードを除き、line vtyやconsoleに設定したパスワードや
 enable passwordなどは暗号化されずにクリアテキストとしてコンフィグ上に表示されてしまいます。が、
 
service password-encryptionコマンドを設定することでこれらのパスワードが自動的に暗号化されます。

 
◆ service password-encryptionコマンドの設定前
 


 
◆ service password-encryptionコマンドの設定
 


 
◆ service password-encryptionコマンドの設定後
 


 service password-encryptionコマンドを無効にするために、no service password-encryption と設定
 したとしても、一度暗号化されたパスワードの文字列はクリアテキストの文字列に変換されることはない。


 ところでservice password-encryptionコマンド
 を入力すればパスワード情報が暗号化されるので
 enable secretコマンドを使用しなくても、
 enable passwordコマンドを使用しても問題ない
 のではないかという疑問があるかもしれません。

 しかし、それでもenable secretコマンドを使用
 することが推奨です。なぜならenable password
 よりもenable secretコマンドの方が暗号化レベル
 が高いからです。この点をぜひ認識しましょう。



Ciscoルータの基本設定

ネットワークエンジニアとして

Copyright (C) 2002-2024 ネットワークエンジニアとして All Rights Reserved.