Cisco IOS XE セキュリティ コンフィギュレーション ガイド:コントロール プレーンのセキュリティ設定
コントロール プレーン セキュリティの概要
コントロール プレーン セキュリティの概要
発行日;2012/02/03 | 英語版ドキュメント(2011/08/24 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 639KB) | フィードバック

目次

コントロール プレーン セキュリティの概要

このマニュアルについて

ネイバー ルータ認証

コントロール プレーン ポリシング

効果的なセキュリティ ポリシーの作成

セキュリティ ポリシーの性質

2 つのレベルのセキュリティ ポリシー

効果的なセキュリティ ポリシーを開発するためのヒント

保護するネットワーク資産の識別

リスク ポイントの決定

アクセス範囲の制限

前提の識別

セキュリティ手段のコストの決定

人的要因の考慮

秘密情報の数の制限

全体的でスケーラブルなセキュリティの導入

一般的なネットワーク機能の理解

物理的なセキュリティ

セキュリティ リスクと Cisco IOS XE ソリューションの識別

ネットワーキング デバイスへの不正アクセスの防止

ネットワークへの不正アクセスの防止

ネットワーク データのインターセプトの防止

不正なルート更新情報の受け取りの防止

コントロール プレーン セキュリティの概要

この章で説明する内容は、次のとおりです。

このマニュアルについて

このマニュアルの項目について簡単に説明します。

効果的なセキュリティ ポリシーの作成

それぞれの組織のセキュリティ ポリシーを作成する場合のヒントを提供します。セキュリティ機能を設定する 前に セキュリティ ポリシーが完全かつ最新であることを確認してください。

セキュリティ リスクと Cisco IOS XE ソリューションの識別

ネットワークに存在する可能性がある一般的なセキュリティ リスクを認識し、セキュリティの侵害を防ぐために適切な Cisco IOS XE のセキュリティ機能を見つけます。

このマニュアルについて

Cisco IOS XE セキュリティ コンフィギュレーション ガイド:コントロール プレーンのセキュリティ設定 』では、シスコのネットワーキング デバイスを対象に Cisco IOS XE コントロール プレーン セキュリティ機能を設定する方法について説明します。これらのセキュリティ機能を使用すると、パフォーマンス低下や障害、さらに悪意のある攻撃や通常のネットワーク ユーザによる悪意のない(ただし破壊的な)ミスによって引き起こされたデータ損失やセキュリティ侵害からネットワークを守ることができます。

このマニュアルは次の項目から構成されます。

ネイバー ルータ認証

コントロール プレーン ポリシング

以降の項では、上記の項目に含まれる機能のセキュリティ上の利点と使用について簡単に説明します。

ネイバー ルータ認証

ルータにネイバー ルータ認証が設定されている場合、そのルータはネイバー ルータからルートの更新情報を受け取る前にそのネイバー ルータを認証します。これにより、ルータは常に信頼されたソースから信頼できるルートの更新情報を受け取ります。

コントロール プレーン ポリシング

コントロール プレーン ポリシング機能により、ユーザは、コントロール プレーン パケットのトラフィック フローを管理する Quality Of Service(QoS)フィルタを設定して、偵察行為や Denial-of-Service(DoS; サービス拒絶)攻撃から Cisco IOS XE ルータおよびスイッチを保護できます。このように、ルータやスイッチに対する攻撃や大量トラフィック負荷があったとしても、コントロール プレーンを利用してパケット転送とプロトコル ステートを維持することができます。

効果的なセキュリティ ポリシーの作成

ネットワーク資産は、効果的なセキュリティ ポリシーによって破壊行為や不正アクセス(作為または不作為)から守られます。

すべてのネットワーク セキュリティ機能は、セキュリティ ポリシーに基づいて設定する必要があります。セキュリティ ポリシーがない場合、またはセキュリティ ポリシーが古い場合は、シスコ デバイスでのセキュリティ設定方法を決める前にポリシーを作成または更新する必要があります。

ここでは、効果的なセキュリティ ポリシーを作成するのに役に立つガイドラインを提供します。

セキュリティ ポリシーの性質

2 つのレベルのセキュリティ ポリシー

効果的なセキュリティ ポリシーを開発するためのヒント

セキュリティ ポリシーの性質

セキュリティ ポリシーには次の側面があります。

セキュリティ ポリシーにはトレードオフの関係があります。すべてのセキュリティ ポリシーでは、ユーザの生産性と制限的で手間がかかるセキュリティ手段との間にトレードオフの関係があります。どのようなセキュリティ設計でも、ユーザのアクセスと生産性への影響を最小化しつつ、セキュリティを最大化する必要があります。ネットワーク データの暗号化などのセキュリティ手段では、アクセスや生産性が制限されません。その一方で、検証および認証システムが煩わしい、または不必要に冗長な場合は、ユーザがストレスを感じたり、重要なネットワーク リソースにアクセスできないこともあります。

セキュリティ ポリシーはビジネスのニーズに応じて決める必要があります。セキュリティ ポリシーによってビジネスの方法を決めないでください。

セキュリティ ポリシーは常に更新が必要なドキュメントです。組織は常に変化しているため、新しいビジネスの方針、技術的な変更、およびリソースの割り当てを反映させるためにセキュリティ ポリシーを計画的に更新する必要があります。

2 つのレベルのセキュリティ ポリシー

セキュリティ ポリシーには、要件と導入の 2 つのレベルがあります。

要件レベルでは、ポリシーが侵入や破壊行為に対してどの程度ネットワーク資産を守るのかを定義し、セキュリティが破られた場合の影響を推測します。たとえば、ポリシーにより、人事記録へのアクセスを人事部門の従業員にだけ許可したり、バックボーン ルータの設定を IS 部門の従業員にだけ許可したりできます。また、ポリシーにより、ネットワーク停止(破壊行為のため)の場合や機密情報を間違って公開した場合の問題に対応することもできます。

導入レベルでは、ポリシーは事前に定義した方法で特定の技術を使用して要件レベル ポリシーを導入するガイドラインを定義します。たとえば、導入レベル ポリシーにより、人事記録が格納されたサーバへのアクセスを人事部門のホスト コンピュータからのトラフィックにだけ許可するようアクセス リストを設定することを要求できます。

ポリシーを作成する場合は、不要な特定の技術ソリューションを認めてしまうのを避けるため、セキュリティ導入を定義する前にセキュリティ要件を定義する必要があります。

効果的なセキュリティ ポリシーを開発するためのヒント

効果的なセキュリティ ポリシーを開発するには、次の項の推奨事項を考慮する必要があります。

保護するネットワーク資産の識別

リスク ポイントの決定

アクセス範囲の制限

前提の識別

セキュリティ手段のコストの決定

人的要因の考慮

秘密情報の数の制限

全体的でスケーラブルなセキュリティの導入

一般的なネットワーク機能の理解

物理的なセキュリティ

保護するネットワーク資産の識別

セキュリティ ポリシーを開発する場合の最初の手順は、次のようなネットワーク資産を認識および識別することです。

ネットワーク接続されたホスト(ホストのオペレーティング システム、アプリーション、およびデータを含む PC など)

ネットワーキング デバイス(ルータなど)

ネットワークを通過するデータ

ネットワークの資産を識別し、これらの資産をそれぞれどの程度保護するのかを決定します。たとえば、ホストのあるサブネットワークに絶対に保護する必要がある非常に機密性が高いデータが存在する場合がある一方で、ホストの別のサブネットワークでは、サブネットワークのセキュリティが侵害されても被害が小さいためセキュリティ リスクに対して最低限の保護だけが必要な場合があります。

リスク ポイントの決定

潜在的な侵入者がネットワークに侵入する方法や、ネットワークを破壊する方法を理解する必要があります。特別に注意が必要な箇所は、ネットワーク接続ポイント、ダイヤルアップ アクセス ポイント、および正しく設定されていないホストです。ネットワーク侵入ポイントとして見過ごされることが多い、正しく設定されていないホストとは、ログイン アカウント(ゲスト アカウント)が保護されていないシステム、リモート コマンド(rlogin や rsh など)に大きな信頼が置かれているシステム、不正なモデムが接続されているシステム、パスワードが解読されやすいシステムなどです。

アクセス範囲の制限

ネットワーク内に複数のバリアを設けて、システムのある部分に不正に侵入しても、インフラストラクチャ全体に自動的に侵入できないようにすることができます。ネットワーク全体のセキュリティ水準を高く保つには(システムおよび装置と生産性という点において)非常にコストがかかることがありますが、多くの場合、ネットワークの機密性が高い領域のセキュリティを強化できます。

前提の識別

すべてのセキュリティ システムは前提に基づいています。たとえば、組織はネットワークのセキュリティが侵害されていないこと、侵入者にそれほど知識がないこと、侵入者が標準的なソフトウェアを使用していること、または鍵がかかっている部屋が安全であることを前提としている場合があります。このような前提が潜在的なセキュリティ ホールになるため、前提の識別、調査、および正当化を行う必要があります。

セキュリティ手段のコストの決定

一般的に、セキュリティを提供するにはコストがかかります。このコストは、正規のユーザが資産にアクセスする際にかかる時間の増加や不便を感じた回数、ネットワーク管理要件数の増加、場合によっては装置やソフトウェアのアップグレードに実際にかかった金額によって測定できます。

セキュリティ手段によっては、その性質上、一部の上級ユーザの利便性が損なわれることがあります。セキュリティによって、仕事の遅延や高額な管理コストおよび教育コストが発生したり、大量のコンピューティング リソースが使用されたり、専用のハードウェアが必要になったりすることがあります。

導入するセキュリティ手段を決定する場合は、コストを認識してそのコストと潜在的な利点とを比べる必要があります。セキュリティ コストが実際の危険に比べて大きい場合は、そのセキュリティ手段を導入する組織にとって損害となります。

人的要因の考慮

セキュリティ手段がシステムの通常の使用に影響を及ぼす場合、ユーザはこれらの手段を受け入れず、場合によってはその使用を回避することもあります。多くのセキュリティ手段が失敗する理由は、設計者がこのことを考慮しないからです。たとえば、自動生成された「意味がない」パスワードは覚えにくいため、多くの場合、ユーザはキーボードの裏側にパスワードを書き留めます。システムの唯一のテープ ドライブがある部屋の「安全な」ドアが開いたままになっていることがあります。利便性に関して、手間がかかるダイヤルイン セキュリティ手順を回避するために許可されていないモデムがネットワークに接続されていることがよくあります。セキュリティ手段の準拠を徹底するためには、ユーザが各自の業務を行えるとともに、セキュリティの必要性を理解して受け入れることが必要です。

どのユーザも程度の差こそあれシステム セキュリティを侵害する可能性があります。たとえば、侵入者は単にシステム管理者を偽って正規のユーザに電話し、パスワードを尋ねることによってパスワードを知ることができます。ユーザがセキュリティの問題とその理由を理解している場合、このようにセキュリティが侵害される可能性は非常に低くなります。

完全なセキュリティ ポリシーでは、このような人的要因を定義し、それに対応するポリシーを含ませる必要があります。

少なくとも、セキュアでない電話回線(特にコードレスや携帯電話)や電子メールでパスワードまたは他の秘密情報を絶対に提供しないようユーザに教える必要があります。ユーザは、電話で尋ねられる質問について理解している必要があります。会社によっては、従業員がネットワーク セキュリティに関する公式研修プログラムを終了するまで従業員によるネットワークの使用を認めないこともあります。

秘密情報の数の制限

ほとんどのセキュリティは秘密情報(たとえば、パスワードや暗号キー)に基づいています。ただし、秘密情報が増えると、それらの情報の管理が難しくなります。したがって、少数の秘密情報に依存するセキュリティ ポリシーを設計する必要があります。組織の最も重要な秘密情報は、侵入者がセキュリティを侵害するのに役に立つ情報です。

全体的でスケーラブルなセキュリティの導入

セキュリティに対してはシステマティックな方法(複数の重複するセキュリティ手段を含む)を取る必要があります。

セキュリティは、ほぼすべてのシステム変更の影響を受けます(特に新しいサービスを作成した場合)。システム管理者、プログラマ、およびユーザは、それぞれの変更によるセキュリティへの影響を考慮する必要があります。変更によってもたらされるセキュリティへの影響を理解するには訓練が必要であり、サービスが悪用されるすべての可能性を探る水平思考と意欲も必要です。すべてのセキュリティ ポリシーの目的は、どのような小さな変更でも影響を受けない環境を構築することです。

一般的なネットワーク機能の理解

ネットワーク システムが通常どのように機能するか、どのような動作が予期され、どのような動作が予期されないか、デバイスが通常どのように使用されるかなどを理解する必要があります。このようなことを理解することによって、セキュリティ上の問題を見つけやすくなります。異常なイベントに気づくことにより、システムの損害が発生する前に侵入者を捕えることができます。ソフトウェア監査ツールを使用すると、異常なイベントの検出、ログ、追跡を行うことができます。また、監査証跡を提供するためにどのソフトウェアを使用するかを把握している必要があり、セキュリティ システムではすべてのソフトウェアにバグがないことを前提としてはいけません。

物理的なセキュリティ

ネットワーク デバイスとホストの物理的なセキュリティは無視できません。たとえば、多くの施設では、ネットワーク デバイスやホストへの物理的なアクセスを管理するためにガードマンを雇ったり、監視カメラやカードキー入室システムを設置したり、他の手段を使用したりして物理的なセキュリティを導入しています。通常、上級ユーザは、コンピュータまたはルータに物理的にアクセスすることによりそのデバイスを完全にコントロールできるようになります。ネットワーク リンクに物理的にアクセスすることにより、そのリンクの盗聴や妨害を行ったり、そのリンクにトラフィックを注入したりできるようになります。多くの場合、侵入者は、ハードウェアへのアクセスが管理されていないときにソフトウェアのセキュリティ手段を侵害できます。

セキュリティ リスクと Cisco IOS XE ソリューションの識別

Cisco IOS XE ソフトウェアは、特定のセキュリティ リスクから保護するために一連の包括的なセキュリティ機能を提供します。ここでは、ネットワークに存在する可能性がある複数の一般的なセキュリティ リスクとこれらの各リスクから保護するために Cisco IOS XE ソフトウェアを使用する方法について説明します。

ネットワーキング デバイスへの不正アクセスの防止

ネットワークへの不正アクセスの防止

ネットワーク データのインターセプトの防止

不正なルート更新情報の受け取りの防止

ネットワーキング デバイスへの不正アクセスの防止

コンソールまたは端末を使用してネットワーキング デバイス(ルータ、スイッチ、ネットワーク アクセス サーバなど)にアクセスできる者は、デバイスを再設定したり、単にデバイスの設定情報を参照したりすることによりネットワークに多大な損害を与えることができます。

通常、管理者にはネットワーキング デバイスへのアクセスを許可しますが、Local Area Network(LAN; ローカルエリア ネットワーク)内の他のユーザやネットワークにダイヤルインするユーザにはルータへのアクセスを許可しません。

ユーザは、ネットワーク外から非同期ポートを使用してダイヤルインしたり、ネットワーク外からシリアル ポートを使用して接続したり、またはローカル ネットワーク内から端末またはワークステーションを使用して接続したりすることによりシスコのネットワーキング デバイスにアクセスできます。

ネットワーキング デバイスへの不正アクセスを防ぐには、次の 1 つまたは複数のセキュリティ機能を設定する必要があります。

少なくとも、すべてのデバイスの回線とポートを守るため、デバイスごとにパスワードと権限を設定する必要があります。これについては、『 Cisco IOS XE Security Configuration Guide: Securing User Services 』の「 Configuring Security with Passwords, Privilege Levels, and Login Usernames for CLI Sessions on Networking Devices 」の章で説明されています。ネットワーキング デバイスはこれらのパスワードを保存します。ユーザが特定の回線またはポートからデバイスにアクセスしようとする場合、ユーザはこの回線またはポートに適用されるパスワードを最初に入力する必要があります。

セキュリティの層を追加するために、ネットワーキング デバイスのデータベースに格納されるユーザ名とパスワードのペアを設定することもできます(『 Cisco IOS XE Security Configuration Guide: Securing User Services 』の「 Configuring Security with Passwords, Privilege Levels, and Login Usernames for CLI Sessions on Networking Devices 」の章を参照)。これらのペアを回線またはインターフェイスに割り当てると、各ユーザがデバイスにアクセスする前に認証が行われます。権限レベルを定義する場合は、特定の権限レベルを(関連付けられた権限とともに)ユーザ名とパスワードの各ペアに割り当てることもできます。

ユーザ名とパスワードのペアを使用し、個々のネットワーキング デバイスにローカルで格納するのではなく一元的に格納する場合は、これらのペアをセキュリティ サーバのデータベースに格納できます。これによって、複数のネットワーキング デバイスが同じデータベースを使用してユーザ認証情報(必要な場合は許可情報も)を取得できます。シスコは、RADIUS、TACACS+、Kerberos などのさまざまなセキュリティ サーバ プロトコルをサポートします。セキュリティ サーバ上のデータベースを使用してログイン ユーザ名とパスワードのペアを保存する場合は、該当するプロトコルをサポートするようルータまたはアクセス サーバを設定する必要があります。また、サポートされているほとんどのセキュリティ プロトコルは、AAA セキュリティ サービスを使用して管理する必要があるため、多くの場合、AAA をイネーブルにする必要があります。セキュリティ プロトコルおよび AAA の詳細については、『 Cisco IOS XE Security Configuration Guide: Securing User Services 』の「Authentication, Authorization, and Accounting (AAA)」の章を参照してください。


) 可能な限り、AAA を使用して認証を実装する必要があります。


個々のユーザに特定の権限を許可するために、TACACS+ や RADIUS などのセキュリティ プロトコルを使用して AAA の許可機能を実装できます。セキュリティ プロトコル機能および AAA の詳細については、『 Cisco IOS XE Security Configuration Guide: Securing User Services 』の「Authentication, Authorization, and Accounting (AAA)」の章を参照してください。

バックアップ認証方法を使用する場合は AAA を設定する必要があります。AAA を使用すると、主なユーザ認証方法(たとえば、TACACS+ サーバに保存されたユーザ名とパスワードのデータベース)を指定し、バックアップ方法(たとえば、ローカルに保存するユーザ名とパスワードのデータベース)を指定できます。バックアップ方法は、ネットワーキング デバイスが主な方法のデータベースにアクセスできない場合に使用されます。最大 4 つの順次バックアップ方法を設定できます。AAA を設定するには、『 Cisco IOS XE Security Configuration Guide: Securing User Services 』の「Authentication, Authorization, and Accounting (AAA)」の章を参照してください。


) バックアップ方法を設定していない場合は、何らかの理由でユーザ名とパスワードのデータベースにアクセスできないときにデバイスへのアクセスが拒否されます。


ユーザ アクセスの監査証跡を維持するには、AAA アカウンティングを設定する必要があります(『 Cisco IOS XE Security Configuration Guide: Securing User Services 』の「 Configuring Accounting 」の章を参照)。

ネットワークへの不正アクセスの防止

内部ネットワークに不正アクセスできる者は、ホストから機密ファイルにアクセスしたり、ウイルスを植え付けたり、ネットワークに大量の不正なパケットをばらまくことによりネットワーク パフォーマンスを低下させたりなど複数の方法で損害を与えることができます。

また、ネットワーク内のユーザは機密データや重要データを含む研究開発部門のサブネットワークなどの内部の別のネットワークにアクセスできます。このようなユーザは作為的または無作為的に損害を与えることがあります。たとえば、機密ファイルにアクセスしたり、タイムクリティカルなプリンタを独占したりすることがあります。

ネットワーキング デバイスからのネットワークへの不正アクセスを防ぐには、認証セキュリティ機能を設定する必要があります。

ユーザがネットワークにアクセスする前にユーザを認証できます。保護されたネットワーク内のサービスまたはホスト(Web サイトやファイル サーバなど)にユーザがアクセスする場合、ユーザは特定のデータ(ユーザ名やパスワードなど)と、場合によっては生年月日や母親の旧姓などの追加情報を最初に入力する必要があります。(認証方法に依存して)認証に成功したら、ユーザに特定の権限を割り当て、ユーザが特定のネットワーク資産にアクセスできるようにします。ほとんどの場合、このような認証では、シリアル PPP 接続を使用した CHAP または PAP と TACACS+ または RADIUS などの特定のセキュリティ プロトコルが併用されます。

特定のネットワーク デバイスへの不正アクセスを防ぐ場合のように、認証データベースをローカルに置くのか、別のセキュリティ サーバに置くのかを決定する必要があります。この場合、ネットワーク アクセスを提供するルータが非常に少数であるときはローカル セキュリティ データベースが役に立ちます。ローカル セキュリティ データベースには、別の(コストがかかる)セキュリティ サーバが必要ありません。ネットワーク アクセスを提供するルータが多数ある場合は、リモートの一元化されたセキュリティ データベースが便利です。これは、何十万にもなり得るダイヤルイン ユーザの新しいユーザ名認証および許可情報と変更されたユーザ名認証および許可情報を各ルータで更新する必要がなくなるためです。一元化されたセキュリティ データベースを使用すると、企業全体で一貫したリモート アクセス ポリシーを確立することもできます。

Cisco IOS XE ソフトウェアは、さまざまな認証方法をサポートします。AAA は基本的な(かつ推奨される)アクセス コントロール方法ですが、Cisco IOS XE ソフトウェアでは、AAA の範囲外になる、簡単なアクセス コントロールを実現する追加機能を利用できます。詳細については、『 Cisco IOS XE Security Configuration Guide: Securing User Services 』の「 Configuring Authentication 」の章を参照してください。

ネットワーク データのインターセプトの防止

パケットがネットワークを通過する場合、パケットが読み取られたり、変更されたり、「ハイジャック」されたりする可能性があります(ハイジャックは、悪意があるパーティがネットワーク トラフィックをインターセプトし、セッション エンドポイントの 1 つとして偽装する場合に起こります)。

インターネットなどの安全でないネットワークをデータが通過する場合、データは非常に大きなリスクにさらされます。機密データが危険にさらされたり、重要なデータが変更されたり、通信が中断したり(データが変更された場合)することがあります。

ネットワークを通過するデータを保護するには、ネットワーク データの暗号化を設定する必要があります(『 Cisco IOS XE Security Configuration Guide: Secure Connectivity 』の「Internet Key Exchange for IPsec VPNs」の部分を参照)。

IPSec は次のネットワーク セキュリティ サービスを提供します。これらのサービスはオプションです。通常、ローカル セキュリティ ポリシーによって次のサービスの 1 つまたは複数の使用が決まります。

データ機密性:ネットワークにパケットを伝送する前に IPSec 送信側がパケットを暗号化できます。

データ整合性:IPSec 受信側が IPSec 送信側により送信されたパケットを認証して伝送中にデータが変更されていないことを確認できます。

データ送信元認証:IPSec 受信側が、送信された IPSec パケットの送信元を認証できます。このサービスはデータ整合性サービスに依存します。

アンチリプレイ:IPSec 受信側が、リプレイされたパケットを検出および拒否できます。

Cisco IPSec は、ネットワークを通過するルーティングされたトラフィックが調査または変更されることを防ぎます。この機能を使用すると、Cisco ルータで IP パケットが暗号化され、暗号化された情報としてパケットがネットワークでルーティングされ、送信先のシスコ ルータでこれらのパケットが復号化されます。2 つのルータの間でパケットは暗号化された状態であるため、誰もパケットの内容を読み取ったり、変更したりすることはできません。どのデータがより機密性が高く重要であるか考慮して 2 つのルータ間で暗号化するトラフィックを定義します。

IP 以外のプロトコルのトラフィックを保護するために、GRE カプセル化を使用して他のこれらのプロトコルを IP パケットにカプセル化し、IP パケットを暗号化できます。

通常、セキュアなネットワークを通過するトラフィックには IPSec を使用しません。インターネットなどの安全でないネットワークを通過するトラフィックには IPSec を使用することを検討する必要があります。トラフィックが不正ユーザによって調査され変更された場合は組織に損害が発生することがあります。

不正なルート更新情報の受け取りの防止

すべてのルーティング デバイスは、ルート テーブルに格納された情報を使用して個々のパケットのルーティング先を決定します。このルート テーブル情報は、ネイバー ルータからのルート更新情報を使用して作成されます。

ルータが不正な更新情報を受け取った場合、ルータは騙されてトラフィックを間違った送信先に転送することがあります。これにより、機密データが暴露されたり、ネットワーク通信が中断されたりすることがあります。

ルート更新情報を既知の信頼できるネイバー ルータだけから受け取るようにするには、このマニュアルの「 Neighbor Router Authentication: Overview and Guidelines 」の章で説明されているようにネイバー ルータの認証を設定します。

Copyright © 2007-2010, シスコシステムズ合同会社.
All rights reserved.