Cisco IOS - Network Security



 ◆ インターネット接続ルータのセキュリティ

 一定の企業規模になると、インターネット接続構成は下図のように、インターネット接続用のルータと
 ファイアウォールを分離するのが一般的です。この構成の場合は、社内LANへの不正なアクセス制限や
 セキュリティ確保はファイアウォールが担うので、インターネット接続ルータではインターネット接続
 のための適切なIPルーティングさえ出来ていればOKです。しかしながら、社内LANに対してではなくて、
 インターネット接続ルータそのものへの攻撃を防止するための、基本的なセキュリティ設定は必要です。


     



 
※ 大企業では、インターネット接続ルータとファイアウォールをそれぞれ2台導入して、冗長化構成とするのが一般的な構成。
 ※ Webサーバなどの公開サーバを設置する場合、ルータやファイアウォールだけでなくロードバランサ、IPSなども導入します。


 ◆ Cisco IOS基本セキュリティの設定

 上記では、インターネット接続ルータそのものへの攻撃を防止するための設定が必要だと説明しました。
 具体的にどのような設定が必要かといいますと、Cisco IOSルータの場合は、Cisco IOSでデフォルトで
 有効になっている「
必要のないサービスを無効にする設定」が必要です。当然、これ以外にもいくつかの
 必要な設定情報がありますが、この無駄なサービスを無効にするという設定は非常に重要です。今回は
 それを紹介していきます。なお以下で紹介するコマンドは、IOSバージョンによってすでにデフォルトで
 無効になっているものもあります。その場合は、無効にするCiscoコマンドを設定しても表示されません。

機能 説明 機能を無効にするグローバル設定
CDP  隣接するCisco機器を認識できるCisco独自のプロトコル  no cdp run
PAD  X.25で使用するPAD(Packet Assembler/Disassembler)機能  no service pad
TCP small servers  echo, chargen の標準TCPネットワーク機能。レガシーな機能  no service tcp-small-servers
UDP small servers  echo, discard の標準UDPネットワーク機能。レガシーな機能  no service udp-small-servers
HTTP Server  Cisco機器の管理アクセスの際にHTTP接続できる機能  no ip http server
HTTPS Server  Cisco機器の管理アクセスの際にHTTPS接続できる機能  no ip http secure-server
DHCP Server  Cisco機器がDHCPサーバとして動作する機能  no service dhcp
BOOTP Server  他のルータがこのルータから起動することを可能にする機能  no ip bootp server
Finger  リモートからユーザリストを得られるUNIXのユーザ検索機能  no ip finger
 no service finger
設定の自動読込  ルータがコンフィグをTFTPでロードするように試みる機能  no boot network
 no service config
IPソースルーティング  パケットが自身の経路を指定できるようにする機能  no ip source-route
DNS  ルータ上でDNSによる名前解決を行う機能  no ip domain-lookup
機能 説明 機能を無効にするI/F設定
Proxy ARP  ルータがL2アドレス解決のためのプロキシとして動作する機能  no ip proxy-arp
IP directed broasdcast  ブロードキャストすべき対象のネットワークを識別できる機能  no ip directed-broadcast
IP unreachable  ICMP host unreachable メッセージを送信する機能  no ip unreachable
IP redirect  ICMP redirect メッセージを送信する機能  no ip redirect
IP mask-reply  ICMP mask reply メッセージを送信する機能  no ip mask-reply

 ※ これらのセキュリティ設定は、企業内でLAN/WANルータとして使用していて外部接続していない機器なら、不要と言えます。
 ※ インターネット接続兼ファイアウォールという位置付けならば、上記だけではなくCBACなどのFirewall設定が必要と言えます。

 機能を無効にする上記のI/Fコマンドは、信頼されていないインターネット側セグメントのインターフェース
 で設定するようにします。CDPをグローバルで有効にしている場合は、インターネット側に接続されている
 I/Fだけでも無効(no cdp enable)にするようにしましょう。


 ◆ Cisco IOS基本セキュリティの設定(最適化の設定)

 インターネット接続ルータだけではなく、Cisco IOSデバイスを管理する上で役立つ最適化の設定を紹介
 します。ここでのコマンドは先に紹介したセキュリティコマンド同様、当方も実際に設定するコマンドです。

グローバルコマンド 説明
 service timestamps debug datetime msec localtime  debug 出力時に表示させるタイムスタンプ形式の推奨設定
 service timestamps log datetime msec localtime  log 出力時に表示させるタイムスタンプ形式の推奨設定
 service password-encryption  コンフィグ上で表示されるパスワードの暗号化
 service sequence-numbers  ログメッセージへのシーケンス番号の表示
 configuration mode exclusive auto  誰かがコンフィグモードに入っていれば排他するので
 コンフィグを変更する管理者は常に一人だけになる。
 enable secret *****  特権パスワードの設定。※ enable passwordを使用しない)
 service tcp-keepalive-in
 service tcp-keepalive-out

 デバイスからTCPセッションのためのTCP キープアライブ
 を送信できるようになる結果、ハングしたTelnetのセッション
 をクリアされるようになる。2つでセットのコマンド。




 ◆ Cisco IOS基本セキュリティの設定(ACLの設定)

 上記ではCisco IOSのセキュリティコマンドを紹介しました。最後に汎用的なセキュリティACLを紹介します。
 以下のACLは、例えばインターネット接続ルータ兼ファイアウォールのルータが、CBACなどのステートフル
 インスペクションができずにセキュリティ機能が弱い場合に
最低限設定しておくようなACLです。このACLは
 内容から分かるかと思いますが、スプーフィングによる不正アクセスを防止するためのシンプルな内容です。

 
deny ip 0.0.0.0 0.0.0.255 any
 deny ip 127.0.0.0 0.255.255.255 any
 deny ip 169.254.0.0 0.0.255.255 any
 deny ip 192.0.2.0 0.0.0.255 any
 deny ip 224.0.0.0 15.255.255.255 any
 deny ip 240.0.0.0 0.255.255.255 any
 deny ip 10.0.0.0 0.255.255.255 any
 deny ip 172.16.0.0 0.15.255.255 any
 deny ip 192.168.0.0 0.0.255.255 any
 permit ip any any

 上記のACLをインターネット接続側のインターフェースに Inbound で適用します。

 以上がいわゆるCisco IOSセキュリティ設定コマンドです。実はこれ以外にもありますが、上記以外の内容
 の中には、ルータとしての動作に問題を引き起こす可能性があるものもあるので、明確な理由がないかぎり
 これ以上は細かく設定しない方がよいかと思います(不正アクセス時の警告バナーくらいはいいと思います)



ネットワークセキュリティ

ネットワークエンジニアとして

Copyright (C) 2002-2019 ネットワークエンジニアとして All Rights Reserved.