Cisco IOS セキュリティ コンフィギュレーション ガ イド: コントロール プレーン セキュリティ
近接ルータ認証:概要とガイドライン
近接ルータ認証:概要とガイドライン
発行日;2012/02/03 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 2MB) | フィードバック

目次

近接ルータ認証:概要とガイドライン

章の内容

近接認証について

近接認証の利点

近接認証を使用するプロトコル

近接認証を設定する場合

近接認証のしくみ

プレーン テキスト認証

MD5 認証

鍵の管理(鍵チェーン)

近接認証の設定情報の確認

近接ルータ認証:概要とガイドライン

近接ルータ認証を設定すると、ルータが不正なルート更新情報を受け取るのを防ぐことができます。

この章では、総合的なセキュリティ計画の一部として近接ルータ認証について説明します。近接ルータ認証とは何か、近接ルータ認証はどのように動作するのか、全体的なネットワーク セキュリティを強化するためになぜ近接ルータ認証を使用すべきなのかについて説明します。

この章では、近接ルータ認証を 近接認証 と呼んでいます。また、近接ルータ認証は ルート認証 と呼ばれることもあります。

章の内容

この章では次の項目について説明します。

近接認証について

近接認証のしくみ

鍵の管理(鍵チェーン)

近接認証の設定情報の確認

近接認証について

この項目は次のサブ項目から構成されます。

近接認証の利点

近接認証を使用するプロトコル

近接認証を設定する場合

近接認証の利点

近接認証が設定された場合、近接認証は近接ルータがルーティング更新情報を交換するときに必ず行われます。この認証により、信頼できるソースから信頼できるルーティング情報をルータが受け取ることができるようになります。

近接認証を使用しない場合は、不正または悪意があるルーティング更新情報によってネットワーク トラフィックのセキュリティが侵害されることがあります。セキュリティの侵害は、悪意を持ったパーティがトラフィックを迂回または分析する場合に発生することがあります。たとえば、許可されていないルータは偽のルーティング更新情報を送信して他のルータを騙し、そのルータにトラフィックを正しくない送信先に送信させることができます。悪意を持ったパーティは迂回させたトラフィックを分析して組織の機密情報を得たり、単にそのトラフィックを使用して組織のネットワークの通信能力を破壊したりできます。

近接認証を使用すると、ルータがこのような不正なルーティング更新情報を受け取るのを防ぐことができます。

近接認証を使用するプロトコル

次のルーティング プロトコルに対して近接認証を設定できます。

Border Gateway Protocol(BGP)

Director Response Protocol(DRP)Server Agent

Intermediate System-to-Intermediate System(IS-IS)

IP Enhanced Interior Gateway Routing Protocol(EIGRP)

Open Shortest Path First(OSPF)

Routing Information Protocol(RIP)バージョン 2

近接認証を設定する場合

次の場合にルータで近接認証を設定します。

前述したルーティング プロトコルのいずれかを使用する。

騙されて偽のルート更新情報を受け取る可能性がある。

偽のルート更新情報を受け取った場合にネットワークを危険にさらす可能性がある。

近接認証を行うため近接ルータがすでに設定されている。

近接認証のしくみ

ルータで近接認証を設定すると、ルータは受信する各ルーティング更新パケットの送信元を認証します。これは、送信側ルータと受信側ルータが既知の認証鍵(パスワードとも呼ばれる)を交換することによって実現されます。

近接認証には、プレーン テキストと Message Digest Algorithm Version 5(MD5)の 2 つの種類があります。両方とも同じように動作しますが、MD5 は認証鍵ではなく メッセージ ダイジェスト を送信します。MD5 は鍵とメッセージを使用してメッセージ ダイジェストを作成しますが、鍵自体は送信されないため、伝送中に鍵が読み取られることがありません。プレーン テキスト認証はネットワークで認証鍵自体を送信します。


) プレーン テキスト認証は、セキュリティ方針の一部として使用しないでください。プレーン テキスト認証は、主にルーティング インフラストラクチャへの偶発的な変更を避けるために使用します。代わりに MD5 認証を使用してください。



注意 すべての鍵、パスワード、および他のセキュリティ秘密情報と同様に、近接認証で使用される認証鍵は安全に保管する必要があります。これは、この機能のセキュリティ上の利点が認証鍵の機密性に依存するためです。また、Simple Network Management Protocol(SNMP)を使用してルータ管理タスクを実行する場合は、暗号化されていない SNMP を使用して鍵を送信する場合のリスクを無視しないでください。

この項目は次のサブ項目から構成されます。

プレーン テキスト認証

MD5 認証

プレーン テキスト認証

参加している各近接ルータは 1 つの認証鍵を共有する必要があります。設定時は各ルータでこの鍵を指定します。一部のプロトコルでは複数の鍵を指定できます(指定する場合は、各鍵を鍵番号で識別する必要があります)。

一般的に、ルータがルーティング更新情報を送信する場合は、次の認証シーケンスが発生します。


ステップ 1 ルータは、鍵および対応する鍵番号とともにルーティング更新情報を近接ルータに送信します。1 つの鍵しか使用できないプロトコルでは、鍵番号は常にゼロになります。

ステップ 2 受信側(近接)ルータは、そのルータのメモリに格納された同じ鍵と受け取った鍵を照合します。

ステップ 3 2 つの鍵が一致すると、受信側ルータはルーティング更新パケットを受け取ります。2 つの鍵が一致しない場合、ルータはルーティング更新パケットを拒否します。

次のプロトコルは、プレーン テキスト認証を使用します。

DRP Server Agent

IS-IS

OSPF

RIP バージョン 2


 

MD5 認

MD5 認証はプレーン テキスト認証のように動作しますが、MD5 はネットワークに鍵を送信しません。代わりに、ルータは MD5 アルゴリズムを使用して鍵のメッセージ ダイジェスト( ハッシュ とも呼ばれる)を生成します。ルータは鍵の代わりにメッセージ ダイジェストを送信するため、誰もネットワークで傍受したり、伝送中に鍵を入手したりすることができません。

次のプロトコルは MD5 認証を使用します。

OSPF

RIP バージョン 2

BGP

IP Enhanced IGRP

鍵の管理(鍵チェーン)

次の IP ルーティング プロトコルに対して鍵チェーンを設定できます。

RIP バージョン 2

IP Enhanced IGRP

DRP Server Agent

これらのルーティング プロトコルは、鍵チェーンを使用して鍵を管理する追加機能を提供します。鍵チェーンを設定する場合は、一連の鍵にライフタイムを指定します。Cisco IOS ソフトウェアはこれらの各鍵を順番に使用します。これにより、鍵が危険にさらされるリスクが軽減されます。

鍵チェーン内のそれぞれの鍵の定義では、鍵が有効な期間( ライフタイム )を指定する必要があります。鍵のライフタイム期間中は、この有効な鍵とともにルーティング更新パケットが送信されます。

鍵が有効ではない期間は鍵を使用できません。したがって、指定した鍵チェーンでは、鍵の有効期間を重複させて、有効な鍵の不在期間をなくす必要があります。有効な鍵の不在期間が発生した場合、近接認証は行われず、ルーティング更新は失敗します。

複数の鍵チェーンを指定できます。

ルータは、他の参加ルータとともに鍵を順番に使用するタイミングを知る必要があることに注意してください(したがって、すべてのルータは同じ時に同じ鍵を使用します)。ルータでのタイミングの設定については、『Cisco IOS Network Management Configuration Guide』の「 Performing Basic System Management 」の章の Network Time Protocol(NTP)とカレンダー コマンドの箇所を参照してください。

近接認証の設定情報の確認

近接認証の設定情報の詳細については、 表 1 に示された適切な項と章を参照してください。

表 1 サポートされる各プロトコルの近接認証情報の参照先

プロトコル
マニュアル

BGP

『Cisco IOS IP Routing Protocols Configuration Guide』

Configuring BGP Neighbor Session Options

「TTL Security Check for BGP Neighbor Sessions」

「Configuring the TTL Security Check for BGP Neighbor Sessions」

「Configuring the TTL-Security Check: Example」

DRP Server Agent

『Cisco IOS Network Management Configuration Guide』

Configuring a DRP Server Agent

「Authentication Keys and Keychains」

IP Enhanced IGRP

『Cisco IOS IP Routing Protocols Configuration Guide』

Configuring EIGRP

「Configuring EIGRP Route Authentication」

IS-IS

『Cisco IOS IP Routing Protocols Configuration Guide』

Enhancing Security in an IS-IS Network

「Setting an Authentication Password for each Interface」

「Setting an Area Password for each IS-IS Area」

「Configuring IS-IS Authentication」

MPLS LDP

『Cisco IOS Multiprotocol Label Switching Configuration Guide』

MPLS Label Distribution Protocol (LDP)

「Protecting Data Between LDP Peers with MD5 Authentication」

OSPF

『Cisco IOS IP Routing Protocols Configuration Guide』

Configuring OSPF

「Configuring OSPF Interface Parameters」

「Configuring OSPF Area Parameters」

「Creating Virtual Links」

RIP バージョン 2

『Cisco IOS IP Routing Protocols Configuration Guide』

Configuring Routing Information Protocol

「Enabling RIP Authentication」

鍵チェーンの設定情報の詳細については、『 Cisco IOS IP Routing Protocols Configuration Guide 』の「 Configuring IP Routing Protocol-Independent Features 」の章の「Managing Authentication Keys」の項を参照してください。