見出し画像
Photo by t0m0y0

【Cisco】 セキュリティ設定1

Ken @ インフラエンジニア

Enable Passwordの暗号化

特権モード(Privileged Mode)へアクセスする際に必要なパスワード。

このパスワードは、デバイスの設定ファイル内に保存されるが、平文で保存される。だが、Enable Secretを使用して、MD5ハッシュアルゴリズムでパスワードを暗号化し、設定ファイル内に保存する。

Router>en
Router#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#enable password cisco
Router(config)#
Router(config)#enable secret cisco
The enable secret you have chosen is the same as your enable password.
This is not recommended.  Re-enter the enable secret.
Router(config)#
Router(config)#
Router(config)#exit
Router#
%SYS-5-CONFIG_I: Configured from console by console
Router#show running-config 
----------------------------------------------------------------
Building configuration...

Current configuration : 679 bytes
!
version 15.1

!
!
enable secret 5 $1$mERr$hx5rVt7rPNoS4wqbXKX7m0
enable password cisco
!
!
ip cef
no ipv6 cef
----------------------------------------------------------------
Router#

enable algorithm-type

enableパスワードの暗号化アルゴリズムを指定するコマンド。
デフォルトではMD5になり、他に使用可能な暗号化アルゴリズムは以下。

  • scrypt: PBKDF2に比べてメモリをより多く消費し、ASIC攻撃に対してより強力な保護を提供。

  • sha256: 一方向ハッシュ関数で、セキュリティは強力。

  • sha512: sha256よりも長い出力を持ち、暗号化アルゴリズムとしてより安全。ただし、ハッシュ計算により多くのリソースが必要になる。

enable algorithm-type <algorithm-name> secret <PW>
----------------------------------------------------------------
enable secret scrypt $7$zM1XUBpN1rU6GwVk$HKiU6AkKZtxXX+Z/63x0idem+/wyX9yMKejPNK1RwHo
enable secret sha256 $5$T3TzTjluUDNPbtya$zm3tFGoE3SGJw7z8GvVDK5KLdZJZXbR5pn64L/UvFAA


ユーザーアカウントのPW

特権モードで設定は行う。enableと同様に暗号化アルゴリズムも指定できる。

Router(config)#username test privilege 15 secret cisco
Router(config)#
Router(config)#exit
Router#
%SYS-5-CONFIG_I: Configured from console by console

Router#
Router#show running-config 
Building configuration...
----------------------------------------------------------------
!
username test privilege 15 secret 5 $1$mERr$hx5rVt7rPNoS4wqbXKX7m0
!
----------------------------------------------------------------
# ユーザーには特権レベル15が与えられる
# 暗号化しない場合は、username john password cisco123など

ユーザーアカウントでは平文と暗号化PWはそれぞれ1つ設定ができ、最初に設定したものがconfファイルに保存される。そのため、平文から暗号化PWへの変更はできないので注意する。平文同士、暗号化同士は変更できる。


ポートセキュリティ

ネットワーク上の不正なアクセスを防ぐため、特定のポートに接続可能なMACアドレスを制限する。
セキュアMACアドレスとは、ポートセキュリティで許可されたMACアドレス。事前に定義され、対象のポートにのみ接続が許可される。


有効化

デフォルトでは無効になっている。有効化するときはインターフェイスがアクセスポートまたはトランクポート化されていること。

configure terminal
interface FastEthernet 0/1
switchport mode access
switchport port-security

switchport mode access コマンドは、対象のインターフェースをアクセスモードに設定。アクセスポートは、一つのVLANにしか所属できず、エンドデバイス(PC、プリンタ、サーバなど)が接続される。トランクポートと対比して、トランクポートは複数のVLANを持ち、スイッチ間で通信する。

switchport port-security コマンドは、対象のインターフェースでポートセキュリティを有効化。このコマンドは、アクセスモードのインターフェースに対して適用される。


セキュアMACアドレスの登録

最大セキュアMACアドレス数を設定。デフォルトでは1つ。

(config-if)# switchport port-security maximum 100

セキュアMACアドレスを設定

(config-if)# switchport port-security mac-address 0000.1111.2222

不正MACアドレスの検出対応

(config-if)# switchport port-security violation {protect | restrict | shutdown}

  1. protect:違反パケットをドロップする。このアクションでは、違反が検出されたパケットのみが破棄され、ポートはアクティブなままです。SNMPトラップやSyslogメッセージが生成されないため、違反に関する情報はエラーディセーブルに記録されません。この設定では、違反が無視される可能性がある。

  2. restrict:違反パケットをドロップし、違反カウントを増やす。違反が検出されたパケットが破棄され、ポートはアクティブなままだが、違反カウントが増加し、SNMPトラップやSyslogメッセージが生成される。これにより、エラーディセーブルに違反情報が記録され、管理者が適切な対応を取れるようになる。

  3. shutdown:ポートをシャットダウンし、違反カウントを増やす。違反が検出されると、ポートがシャットダウンされ、通信が停止。SNMPトラップやSyslogメッセージが生成され、エラーディセーブルに違反情報が記録されます。管理者がポートを手動で再起動する必要がある。


スティッキーラーニング

MACアドレスを学習し、セキュアMACアドレスとして自動設定する機能。セキュアMACアドレスを手動で設定することなく、管理者が個々のエンドデバイスのMACアドレスを追跡しなくても、ポートセキュリティの効果が得られる。

MACアドレス自動登録
スティッキーラーニング機能を使用せず、MACアドレスがポートに接続されるたびに動的に学習。これらのアドレスは、running-configファイルに保存されない。スイッチが再起動されると、学習したMACアドレス情報は失われる。

スティッキーラーニング
MACアドレスの最大登録数に満たない限り、ポートに接続されたMACアドレスを自動的に学習し、セキュアMACアドレスとして設定。この情報はrunning-configファイルに保存され、スイッチの再起動後も維持される。

(config-if)# switchport port-security mac-address sticky


エラーディセーブル状態からの復旧

手動復旧

手動でインターフェイスをシャットダウンし、再度有効化することでエラーディセーブル状態から復旧。
コマンド: shutdownno shutdown

# configure terminal
(config)# interface FastEthernet 0/1
(config-if)# shutdown
(config-if)# no shutdown
(config-if)# end


自動復旧

エラーディセーブル状態の原因を指定し、自動復旧機能を有効化します。さらに、復旧の試行間隔を設定。

# configure terminal
(config)# errdisable recovery cause {protect | restrict | shutdown}
(config)# errdisable recovery interval 300
(config)# end

ポートセキュリティ違反が原因でエラーディセーブル状態になった場合に自動復旧が試みられ、復旧の試行間隔は300秒に設定。30〜86400まで設定可能。


エラーの確認

# show errdisable recovery
Timer interval: 300 seconds

Interfaces will be reenabled if they are shutdown due to the following causes:
-----------------------------------------------------------
psecure-violation

エラーディセーブル状態になったインターフェイスがポートセキュリティ違反のためにシャットダウンされた場合、300秒ごとに自動復旧が試みられる。


設定の確認(特権モード)

ポートセキュリティ設定の確認

# show port-security
Secure Port  MaxSecureAddr  CurrentAddr  SecurityViolation  Security Action
                (Count)         (Count)         (Count)
--------------------------------------------------------------------
Fa0/1                1                1                 0           Shutdown
Fa0/2                2                1                 0           Restrict
Fa0/3                1                1                 2           Shutdown

  • Secure Port: セキュアポート(ポートセキュリティが有効化されているインターフェイス)。

  • MaxSecureAddr (Count): 最大セキュアMACアドレス数。

  • CurrentAddr (Count): 現在学習されているセキュアMACアドレス数。

  • SecurityViolation (Count): セキュリティ違反の回数。

  • Security Action: 違反が発生した場合のアクション(Protect、Restrict、Shutdown)。


MACアドレステーブルの確認

# show mac address-table
----------------------------------------------------------------
Vlan    Mac Address       Type        Ports
----    -----------       --------    -----
1       0000.1111.2222    DYNAMIC     Fa0/1
1       0000.3333.4444    STATIC      Fa0/2

  • Vlan: MACアドレスが所属するVLAN(仮想ローカルエリアネットワーク)のID。

  • Mac Address: 学習されたMACアドレス。

  • Type: MACアドレスの学習方法を示すタイプ。DYNAMICはスイッチが自動的に学習したMACアドレス、STATICは手動で設定されたMACアドレス。

  • Ports: そのMACアドレスが接続されているインターフェイス。


インターフェイス設定の確認

# show port-security interface FastEthernet 0/1
----------------------------------------------------------------
Port Security              : Enabled
Port Status                : Secure-up
Violation Mode             : Shutdown
Aging Time                 : 0 mins
Aging Type                 : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses      : 1
Total MAC Addresses        : 1
Configured MAC Addresses   : 0
Sticky MAC Addresses       : 1
Last Source Address        : 0000.1111.2222
Security Violation Count   : 0

  • Port Security: ポートセキュリティが有効化されているかどうか。有効化されています。

  • Port Status: インターフェイスのセキュリティ状態。Secure-upは正常な状態を示します。

  • Violation Mode: セキュリティ違反が発生したときのアクション。Shutdownが設定されています。

  • Aging Time: セキュアMACアドレスのエイジング時間。0はエイジングが無効であることを示します。

  • Aging Type: エイジングタイプ。Absoluteは絶対エイジングを示します。

  • SecureStatic Address Aging: セキュア静的MACアドレスのエイジングが有効かどうか。無効です。

  • Maximum MAC Addresses: インターフェイスで許可される最大MACアドレス数。

  • Total MAC Addresses: 現在学習されているMACアドレスの総数。

  • Configured MAC Addresses: 手動で設定されたMACアドレスの数。

  • Sticky MAC Addresses: スティッキーラーニングで学習されたMACアドレスの数。

  • Last Source Address: 最後に学習されたMACアドレス。0000.1111.2222です。

  • Security Violation Count: セキュリティ違反の回数。


続き


よろしければサポートお願いします!よりいい情報を発信します。