Cisco Configuration Professional 1.0 ルーティングおよびセキュリティ ユーザーズ ガイド
セキュリティ監査
セキュリティ監査
発行日;2012/02/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 7MB) | フィードバック

目次

セキュリティ監査

ようこそページ

インターフェイスの選択ページ

レポート カード ページ

修正ページ

Finger サービスを無効にする

PAD サービスを無効にする

TCP スモール サーバ サービスを無効にする

UDP スモール サーバ サービスを無効にする

IP BOOTP サーバ サービスを無効にする

IP ident サービスを無効にする

CDP を無効にする

IP ソース ルートを無効にする

パスワード暗号化サービスを有効にする

インバウンド Telnet セッションの TCP キープアライブを有効にする

アウトバウンド Telnet セッションの TCP キープアライブを有効にする

デバッグのシーケンス番号とタイム スタンプを有効にする

IP CEF を有効にする

IP Gratuitous ARP を無効にする

パスワードの最小文字数を 6 文字以上に設定する

認証失敗率を再試行回数 3 回未満に設定する

TCP Synwait 時間を設定する

バナーを設定する

ロギングを有効にする

Enable Secret パスワードを設定する

SNMP を無効にする

スケジューラ間隔を設定する

スケジューラ割り当てを設定する

ユーザを設定する

Telnet 設定を有効にする

NetFlow スイッチングを有効にする

IP リダイレクトを無効にする

IP プロキシ ARP を無効にする

IP ダイレクト ブロードキャストを無効にする

MOP サービスを無効にする

IP アンリーチャブルを無効にする

IP マスク応答を無効にする

ヌル インターフェイスに対して IP アンリーチャブルを無効にする

すべての外部インターフェイスに対してユニキャスト RPF を有効にする

すべての外部インターフェイスに対してファイアウォールを有効にする

HTTP サーバ サービスに対してアクセス クラスを設定する

VTY 回線に対してアクセス クラスを設定する

ルータ アクセスに対して SSH を有効にする

AAA の有効化

設定の要約画面

と Cisco IOS AutoSecure

で元に戻すことができるセキュリティ設定

セキュリティ監査による修正を元に戻す

Telnet/SSH アカウントの追加/編集画面

Telnet/SSH のユーザ アカウントの設定ページ

Enable Secret とバナー ページ

ロギング ページ

セキュリティ監査

セキュリティ監査は、既存ルータの設定を検査し、ルータを更新することで、ルータとネットワークのセキュリティを向上させる機能です。セキュリティ監査は、Cisco IOS AutoSecure 機能をベースにしており、AutoSecure 機能が提供するほぼすべての設定のチェックと支援を実行します。セキュリティ監査がチェックするすべての機能の一覧、およびセキュリティ監査でサポートされていない AutoSecure 機能の一覧については、「Cisco CP と Cisco IOS AutoSecure」を参照してください。

セキュリティ監査には、セキュリティ監査ウィザードとワンステップのロックダウンの 2 つの動作モードがあります。セキュリティ監査ウィザードを使用すると、ルータ上に実装するセキュリティ関連の設定変更を選択できます。ワンステップのロックダウンでは、推奨されるセキュリティ関連のすべての設定変更が自動的に実装されます。

セキュリティ監査の実行

このオプションを選択すると、セキュリティ監査ウィザードが開始されます。セキュリティ監査ウィザードは、ルータの設定をテストして、セキュリティ上の問題がないかどうかを判定します。問題が見つかると、それらを画面上に表示して、修正する問題をユーザが決定できるようにします。修正する問題を決定すると、ルータの設定に必要な変更が施され、セキュリティ上の問題が修正されます。

Cisco CP を使用してセキュリティ監査を実行し、見つかった問題を修正するには


ステップ 1 機能バーで、[設定]>[セキュリティ]>[セキュリティ監査]の順に選択します。

ステップ 2 [セキュリティ監査の実行]をクリックします。

[セキュリティ監査ウィザードへようこそ]ページが表示されます。

ステップ 3 [次へ>]をクリックします。

[セキュリティ監査のインターフェイス設定]ページが表示されます。

ステップ 4 セキュリティ監査ウィザードは、各ルータ インターフェイスのうち、どれが内部ネットワークに接続しており、どれが外部ネットワークに接続しているのかを認識する必要があります。リストされた各インターフェイスについて、[内部]または[外部]チェック ボックスを選択してインターフェイスの接続先を指定します。

ステップ 5 [次へ>]をクリックします。

ルータの設定がテストされ、セキュリティ上の問題が特定されます。処理中は、テストされる設定オプションがすべてリスト表示され、テストごとに、ルータの現在の設定での合否が表示されていきます。

このテスト結果レポートをファイルに保存する場合は、[レポートの保存]をクリックします。

ステップ 6 [閉じる]をクリックします。

[セキュリティ監査レポート カード]画面に、セキュリティ上の問題が一覧表示されます。

ステップ 7 Cisco Configuration Professional(Cisco CP)を使用して問題を修正する場合は、その問題の横の[修正]ボックスを選択します。問題の説明と設定に追加される Cisco IOS コマンドの一覧については、問題の説明箇所をクリックして、その問題のヘルプ ページを表示してください。

ステップ 8 [次へ>]をクリックします。

ステップ 9 ここで、特定の問題を修正するために必要な情報の入力を求める画面が 1 つ以上表示されることがあります。各画面に必要な情報を入力して、[次へ>]をクリックしてください。

ステップ 10 [ウィザードの要約]ページに、セキュリティ監査によって施されるすべての設定変更の一覧が表示されます。[完了]をクリックすると、変更内容がルータに配信されます。


 

ワンステップのロックダウン

このオプションは、セキュリティ上の問題がないかどうかについてルータ設定をテストし、問題が見つかった場合は必要な設定変更を自動的に実行して、問題を修正します。テストおよび(必要に応じて)修正される条件は次のとおりです。

Finger サービスを無効にする

PAD サービスを無効にする

TCP スモール サーバ サービスを無効にする

UDP スモール サーバ サービスを無効にする

IP BOOTP サーバ サービスを無効にする

IP ident サービスを無効にする

CDP を無効にする

IP ソース ルートを無効にする

パスワード暗号化サービスを有効にする

インバウンド Telnet セッションの TCP キープアライブを有効にする

アウトバウンド Telnet セッションの TCP キープアライブを有効にする

デバッグのシーケンス番号とタイム スタンプを有効にする

IP CEF を有効にする

IP Gratuitous ARP を無効にする

パスワードの最小文字数を 6 文字以上に設定する

認証失敗率を再試行回数 3 回未満に設定する

TCP Synwait 時間を設定する

バナーを設定する

ロギングを有効にする

Enable Secret パスワードを設定する

SNMP を無効にする

スケジューラ間隔を設定する

スケジューラ割り当てを設定する

ユーザを設定する

Telnet 設定を有効にする

NetFlow スイッチングを有効にする

IP リダイレクトを無効にする

IP プロキシ ARP を無効にする

IP ダイレクト ブロードキャストを無効にする

MOP サービスを無効にする

IP アンリーチャブルを無効にする

IP マスク応答を無効にする

ヌル インターフェイスに対して IP アンリーチャブルを無効にする

すべての外部インターフェイスに対してユニキャスト RPF を有効にする

すべての外部インターフェイスに対してファイアウォールを有効にする

HTTP サーバ サービスに対してアクセス クラスを設定する

VTY 回線に対してアクセス クラスを設定する

ルータ アクセスに対して SSH を有効にする

ようこそページ

この画面では、セキュリティ監査ウィザードと、ウィザードが実行するルータの設定変更について説明します。

インターフェイスの選択ページ

この画面では、すべてのインターフェイスのリストが表示され、そのうちのどれが "外部" インターフェイス(インターネットなどの安全でないネットワークに接続するインターフェイス)なのかを特定するように要求されます。外部インターフェイスを特定すると、ファイアウォール セキュリティ機能を設定すべきインターフェイスがセキュリティ監査によって認識されるようになります。

インターフェイス カラム

このカラムには、各ルータ インターフェイスが表示されます。

外部カラム

このカラムには、[インターフェイス]カラムにリストされたインターフェイスごとにチェック ボックスが表示されます。インターネットなどの外部ネットワークに接続するインターフェイスのチェック ボックスを選択してください。

内部カラム

このカラムには、[インターフェイス]カラムにリストされたインターフェイスごとにチェック ボックスが表示されます。ローカル ネットワークに直接接続しており、ファイアウォールによってインターネットから保護されているインターフェイスのチェック ボックスを選択してください。

レポート カード ページ

レポート カード ページには、ネットワークをより安全にするために推奨される設定変更のリストが表示されます。[保存]ボタン(すべてのチェックが終了すると有効になる)をクリックすると、レポート カードをファイルに保存できます。保存したカードは、印刷やメールで送信することができます。[閉じる]をクリックすると、レポートされたセキュリティ問題のリストがダイアログ ボックスに表示されます。このダイアログには、Cisco CP を使用して元に戻すことができるセキュリティ設定のリストも表示されます。

修正ページ

このページには、レポート カード ページで推奨される設定変更が表示されます。[オプションの選択]リストには、Cisco CP が修正できるセキュリティ問題、または Cisco CP を使用して元に戻すことのできるセキュリティ設定がリスト表示されます。

オプションの選択:セキュリティ問題を修正する

レポート カードの画面には、ルータとネットワークをより安全にするために推奨される設定変更のリストが表示されます。ルータ設定に存在するセキュリティ問題は左側のカラムにリスト表示されます。特定の問題の詳細が知りたい場合は、その問題をクリックしてください。オンライン ヘルプに、その問題の詳細な説明と推奨される設定変更が表示されます。セキュリティ問題をすべて修正するには、[すべて修正]をクリックし、[次へ>]をクリックして先に進んでください。個々のセキュリティ問題を個別に修正するには、その問題または修正するすべての問題の横の[修正]チェック ボックスを選択し、[次へ>]をクリックして次に進んでください。セキュリティ監査は、選択された問題を修正します。その際、必要に応じてさらなる情報の入力を求めることがあります。問題を修正すると、ルータの設定に追加された新しい設定コマンドのリストを表示します。

すべて修正

このボタンをクリックすると、レポート カードの画面にリストされたすべてのセキュリティ問題の横にチェックマークが付きます。

オプションの選択:セキュリティ設定を元に戻す

このオプションを選択すると、Cisco CP を使用して元に戻すことができるセキュリティ設定が表示されます。すべてのセキュリティ設定を元に戻すには、[すべて元に戻す]をクリックします。元に戻すセキュリティ設定を個別に指定するには、その設定の横にある[元に戻す]ボックスを選択します。元に戻すセキュリティ設定を指定したら、[次へ>]をクリックします。セキュリティ設定を元に戻すには、少なくとも 1 つのセキュリティ設定を選択する必要があります。

すべて元に戻す

このボタンをクリックすると、Cisco CP を使用して元に戻すことができるすべてのセキュリティ設定の横にチェックマークが付きます。

Cisco CP を使用して元に戻すことができるセキュリティ設定については、次のリンクをクリックしてください。

Cisco CP で元に戻すことができるセキュリティ設定

一部の問題は修正し、その他のセキュリティ設定は元に戻す

Cisco CP を使用して、一部のセキュリティ問題は修正し、その他の不要なセキュリティ設定を元に戻す場合は、セキュリティ監査ウィザードを 2 回実行します。最初の実行で、修正する問題を特定し、2 回目の実行で元に戻すセキュリティ設定を選択してください。

Finger サービスを無効にする

セキュリティ監査は、可能であれば、 Finger サービスを無効にします。Finger は、ネットワーク デバイスにログインしているユーザを確認するために使用します。通常、これらの情報はそれほど機密性の高いものではありませんが、攻撃者にとって有用な情報になることもあります。

Finger サービスは、"Finger of death" と呼ばれる特殊なタイプのサービス拒否(DoS)攻撃に悪用される可能性があります。これは、毎分 1 つの Finger 要求を特定のコンピュータに送り続け、決してコネクションを切断しない攻撃です。

Finger サービスを無効にするためにルータに配信される設定は次のとおりです。

no service finger
 

この設定変更は元に戻すことができます。元に戻す方法については、「セキュリティ監査による修正を元に戻す」をクリックしてください。

PAD サービスを無効にする

セキュリティ監査は、可能であれば、すべてのパケット アセンブル/リアセンブル( PAD)コマンド、および PAD デバイスとアクセス サーバ間の接続を無効にします。

PAD サービスを無効にするためにルータに配信される設定は次のとおりです。

no service pad
 

この設定変更は元に戻すことができます。元に戻す方法については、「セキュリティ監査による修正を元に戻す」をクリックしてください。

TCP スモール サーバ サービスを無効にする

セキュリティ監査は、可能であれば、スモール サービスを無効にします。Cisco IOS バージョン 11.3 以前が稼働している Cisco デバイスでは、デフォルトで、echo、 chargen、および discard の各サービスが有効になっています(Cisco IOS バージョン 12.0 以降では、スモール サービスはデフォルトで無効になりました)。これらのサービス、特に UDP(User Datagram Protocol)版のサービスは、正当な目的に使用されることはほとんどなく、ほとんどの場合 DoS やその他の攻撃に悪用されます。こうした攻撃は、パケットにフィルタをかけることによって防ぐことができます。

たとえば、攻撃者は、通常なら到達不可エラーになるはずの DNS サーバのアドレスを送信元アドレスに設定し、DNS サービス ポート(53 番ポート)を送信元ポートに設定した、偽造 DNS パケットを送信する可能性があります。このようなパケットがルータの UDP echo ポートに送信されると、ルータは指定されたサーバーに DNS パケットを送信することになります。アウトバウンド アクセス制限リストはこのパケットには適用されません。なぜなら、このパケットはルータが自分で生成したものと見なされるからです。

こうしたスモール サービスの悪用はほとんどの場合、スプーフィング防止アクセス リストによって回避(または少なくとも危険度を軽減)できるものの、ファイアウォールの一部やネットワーク上の厳重なセキュリティを要する部分に設置されたルータでは、これらのサービスをほぼ無条件で無効にするべきです。これらのサービスはほとんど使用されないため、すべてのルータ上で無効にすることが得策と言えます。

TCP スモール サーバを無効にするためにルータに配信される設定は次のとおりです。

no service tcp-small-servers
 

この設定変更は元に戻すことができます。元に戻す方法については、「セキュリティ監査による修正を元に戻す」をクリックしてください。

UDP スモール サーバ サービスを無効にする

セキュリティ監査は、可能であれば、スモール サービスを無効にします。Cisco IOS バージョン 11.3 以前が稼働している Cisco デバイスでは、デフォルトで、echo、 chargen、および discard の各サービスが有効になっています(Cisco IOS バージョン 12.0 以降では、スモール サービスはデフォルトで無効になりました)。これらのサービス、特に UDP(User Datagram Protocol)版のサービスは、正当な目的に使用されることはほとんどなく、ほとんどの場合 DoS やその他の攻撃に悪用されます。こうした攻撃は、パケットにフィルタをかけることによって防ぐことができます。

たとえば、攻撃者は、通常であれば到達不可エラーになる DNS サーバのアドレスを送信元アドレスに設定し、送信元ポートには DNS サービス ポート(53 番ポート)を設定した、偽造 DNS パケットを送信する可能性があります。このようなパケットがルータの UDP echo ポートに送信されると、ルータは指定されたサーバーに DNS パケットを送信することになります。アウトバウンド アクセス制限リストはこのパケットには適用されません。なぜなら、このパケットはルータが自分で生成したものと見なされるからです。

こうしたスモール サービスの悪用はほとんどの場合、スプーフィング防止アクセス リストによって回避(または少なくとも危険度を軽減)できるものの、ファイアウォールの一部やネットワーク上の厳重なセキュリティを要する部分に設置されたルータでは、これらのサービスをほぼ無条件で無効にするべきです。これらのサービスはほとんど使用されないため、すべてのルータ上で無効にすることが得策と言えます。

UDP スモール サービスを無効にするためにルータに配信される設定は次のとおりです。

no service udp-small-servers

IP BOOTP サーバ サービスを無効にする

セキュリティ監査は、可能であれば、Bootstrap Protocol( BOOTPサービスを無効にします。BOOTP を使用すると、ルータとコンピュータは、起動時に、集中管理されたサーバから必要なインターネット情報を自動的に取得できます。これには、Cisco IOS ソフトウェアのダウンロードも含まれます。このため、BOOTP は、ルータの Cisco IOS ソフトウェアを不正にダウンロードするための手段として攻撃者に悪用される可能性があります。

BOOTP サービスは DoS 攻撃も受けやすいため、無効にするか、ファイアウォールでフィルタリングする必要があります。

BOOTP サービスを無効にするためにルータに配信される設定は次のとおりです。

no ip bootp server
 

この設定変更は元に戻すことができます。元に戻す方法については、「セキュリティ監査による修正を元に戻す」をクリックしてください。

IP ident サービスを無効にする

セキュリティ監査は、可能であれば、ident サポートを無効にします。ident サポートを稼働すると、TCP ポートに対して識別情報を問い合わせることができます。こうした問い合わせに対して、安全でないプロトコルは、TCP コネクションを開始したクライアントやそのコネクションに応答したホストの識別情報を返します。ident サポートを稼働していると、ホスト上の TCP ポートに接続し、簡単な文字列のコマンドを送信して情報を要求し、簡単な文字列で応答を受信できます。

ルータに直接接続されたネットワーク セグメント上のシステムから、ルータの製造元が Cisco であることを把握できたり、そのモデル番号および稼働している Cisco IOS ソフトウェアのバージョンを確認できたりするという状況は危険と言えます。この情報を基にしてルータに対する攻撃方法を考え出すことができるためです。

IP ident サービスを無効にするためにルータに配信される設定は次のとおりです。

no ip identd
 

この設定変更は元に戻すことができます。元に戻す方法については、「セキュリティ監査による修正を元に戻す」をクリックしてください。

CDP を無効にする

セキュリティ監査は、可能であれば、CDP(Cisco Discovery Protocol)サービスを無効にします。CDP は、1 つの LAN セグメント上で各 Cisco ルータが互いを特定するために使用する独自プロトコルです。ルータに直接接続されたネットワーク セグメント上のシステムから、ルータの製造元が Cisco であることを把握できたり、そのモデル番号および稼働している Cisco IOS ソフトウェアのバージョンを確認できたりするという状況は危険と言えます。この情報を基にしてルータに対する攻撃方法を考え出すことができるためです。

CDP を無効にするためにルータに配信される設定は次のとおりです。

no cdp run
 

この設定変更は元に戻すことができます。元に戻す方法については、「セキュリティ監査による修正を元に戻す」をクリックしてください。

IP ソース ルートを無効にする

セキュリティ監査は、可能であれば、IP ソース ルーティングを無効にします。IP プロトコルは、ソース ルーティング オプションをサポートしています。このオプションを使用すると、IP データグラムの送信者が、データグラムの最終宛先までの通過経路、また通常は、その応答の通過経路を制御できます。しかし、このオプションがネットワーク上で正当な目的に使用されることはほとんどありません。一部の古い IP 実装では、ソースルート指定されたパケットを正しく処理しないため、そうした実装を稼働しているマシンにソースルート指定されたデータグラムを送信することで、マシンをクラッシュさせることができます。

IP ソース ルーティングを無効にすると、ソースルートが指定された IP パケットが転送されなくなります。

IP ソース ルーティングを無効にするためにルータに配信される設定は次のとおりです。

no ip source-route
 

この設定変更は元に戻すことができます。元に戻す方法については、「セキュリティ監査による修正を元に戻す」をクリックしてください。

パスワード暗号化サービスを有効にする

セキュリティ監査は、可能であれば、パスワード暗号化サービスを有効にします。パスワード暗号化は、パスワード、Challenge Handshake Authentication Protocol( CHAP)secret、およびコンフィギュレーション ファイルに保存される同様のデータを暗号化するように、Cisco IOS ソフトウェアに指示します。このサービスは、パスワードをたまたま居合わせた人(管理者の肩越しに画面を見ていた人など)に読まれないようにするのに便利です。

パスワード暗号化を有効にするためにルータに配信される設定は次のとおりです。

service password-encryption
 

この設定変更は元に戻すことができます。元に戻す方法については、「セキュリティ監査による修正を元に戻す」をクリックしてください。

インバウンド Telnet セッションの TCP キープアライブを有効にする

セキュリティ監査は、可能であれば、TCP キープアライブ メッセージをインバウンドおよびアウトバウンド Telnet セッションで有効にします。TCP キープアライブを有効にすると、ルータが定期的にキープアライブ メッセージを生成するようになります。これにより、壊れた telnet 接続を検出し破棄することができます。

インバウンド telnet セッションで TCP キープアライブを有効にするためにルータに配信される設定は次のとおりです。

service tcp-keepalives-in
 

この設定変更は元に戻すことができます。元に戻す方法については、「セキュリティ監査による修正を元に戻す」をクリックしてください。

アウトバウンド Telnet セッションの TCP キープアライブを有効にする

セキュリティ監査は、可能であれば、TCP キープアライブ メッセージをインバウンドおよびアウトバウンド Telnet セッションで有効にします。TCP キープアライブを有効にすると、ルータが定期的にキープアライブ メッセージを生成するようになります。これにより、壊れた telnet 接続を検出し破棄することができます。

アウトバウンド Telnet セッションで TCP キープアライブを有効にするためにルータに配信される設定は次のとおりです。

service tcp-keepalives-out
 

この設定変更は元に戻すことができます。元に戻す方法については、「セキュリティ監査による修正を元に戻す」をクリックしてください。

デバッグのシーケンス番号とタイム スタンプを有効にする

セキュリティ監査は、可能であれば、すべてのデバッグ メッセージとログ メッセージでシーケンス番号とタイム スタンプを有効にします。デバッグ メッセージとログ メッセージのタイム スタンプは、そのメッセージが生成された日時を示します。シーケンス番号は、同じタイム スタンプを持つメッセージが生成された順番を示します。メッセージが生成された時刻と順番を知ることは、攻撃の可能性を診断する際に重要な情報となります。

タイム スタンプとシーケンス番号を有効にするためにルータに配信される設定は次のとおりです。

service timestamps debug datetime localtime show-timezone msec
service timestamps log datetime localtime show-timeout msec
service sequence-numbers

IP CEF を有効にする

セキュリティ監査は、可能であれば、Cisco Express Forwarding(CEF) または Distributed Cisco Express Forwarding(DCEF)を有効にします。CEF では、トラフィックが新しい宛先に到着し始めたときにキャッシュ エントリを作成する必要がないため、多くの宛先に向けて大量のトラフィックが送信されてきた場合に、他のモードよりも予測可能な条件下でルータが動作します。CEF 用に設定されたルータは、従来のキャッシュを使用したルータに比べて、SYN 攻撃の影響を受けにくくなります。

CEF を有効にするためにルータに配信される設定は次のとおりです。

ip cef

IP Gratuitous ARP を無効にする

セキュリティ監査は、可能であれば、IP Gratuitous ARP 要求を無効にします。Gratuitous ARP とは、宛先の IP アドレスが送信元の IP アドレスと同じになるような ARP ブロードキャストのことです。これは元々、ホストが自分の IP アドレスをネットワーク全体に通知するためのプロトコルです。Gratuitous ARP メッセージが偽造されると、ネットワークのマッピング情報が間違って格納されるため、ネットワークの誤動作を引き起こします。

Gratuitous ARP を無効にするためにルータに配信される設定は次のとおりです。

no ip gratuitous-arps
 

この設定変更は元に戻すことができます。元に戻す方法については、「セキュリティ監査による修正を元に戻す」をクリックしてください。

パスワードの最小文字数を 6 文字以上に設定する

セキュリティ監査は、可能であれば、6 文字以上のパスワードを要求するようにルータを設定します。攻撃者がパスワードを解読するときに使用する方法の 1 つに、パスワードが見つかるまで考えられる文字の組み合わせをすべて試すという方法があります。パスワードが長くなると考えられる文字の組み合わせが指数関数的に増加するため、この攻撃方法が成功する確率は大幅に低下します。

この設定変更を行うと、ルータに設定されているすべてのパスワード(user、enable、secret、console、AUX、tty、vty など)の長さを 6 文字以上にするように要求されます。この設定変更が実施されるのは、お使いのルータ上で稼働している Cisco IOS のバージョンでパスワードの最小長機能がサポートされている場合だけです。

ルータに配信される設定は次のとおりです。

security passwords min-length <6>
 

認証失敗率を再試行回数 3 回未満に設定する

セキュリティ監査は、可能であれば、3 回ログインに失敗するとアクセスをロックするようにルータを設定します。パスワード解読の手法の 1 つに「辞書」攻撃と呼ばれる方法があります。これは、辞書に書かれているすべての単語を使用してログインを試みるものです。この設定を使用すると、3 回ログインに失敗したら 15 秒間アクセスがロックされるようにルータが設定されます。これにより、辞書攻撃は使えなくなります。この設定では、ルータへのアクセスをロックするだけでなく、3 回ログインに失敗したらログ メッセージを生成し、ログインに失敗したユーザがいることを管理者に警告します。

ログインの失敗が 3 回発生した場合はルータへのアクセスをロックするために、ルータに配信される設定は次のとおりです。

security authentication failure rate <3>
 

TCP Synwait 時間を設定する

セキュリティ監査は、可能であれば、TCP Synwait 時間を 10 秒に設定します。TCP Synwait 時間を設定することは、サービス拒否(DoS)攻撃の手法の 1 つである SYN フラッド攻撃に対抗する方法として有用です。TCP で接続を確立するには、3 フェーズのハンドシェイクを行う必要があります。まず、開始側が接続要求を送信し、それに対して受信側が確認応答を返し、さらにそれに対して開始側が確認応答を受け取ったことを送信します。この 3 フェーズのハンドシェイクが完了したら、接続が確立され、データ転送を開始できます。SYN フラッド攻撃は、同じホストに接続要求を繰り返し送信します。そして、接続を完了させる確認応答の受け取りの送信を行わないことで、ホスト側に未完了の接続を増やし続けます。未完了の接続用のバッファ領域は通常、確立された接続用のバッファ領域よりも小さいため、未完了の接続数が増えるとバッファがいっぱいになり、ホストは機能停止状態になります。TCP Synwait 時間を 10 秒に設定すると、ルータは、ハンドシェイクの最後の確認応答の受信待ち状態になってから 10 秒後に未完了の接続を破棄するため、ホスト側に未完了の接続が溜まるのを阻止できます。

TCP Synwait 時間を 10 秒に設定するためにルータに配信される設定は次のとおりです。

ip tcp synwait-time <10>
 

バナーを設定する

セキュリティ監査は、可能であれば、テキスト バナーを設定します。司法管轄区域によっては、不正ユーザに対して不正な利用であることを警告するバナーを表示した方が、システムに侵入したクラッカーに対する民事告発または刑事告発が大幅に容易になることがあります。また、監視する用意があることをあらかじめ通知していない限り、たとえ不正ユーザが対象であっても、その行動を監視することが禁止されている司法管轄区域もあります。テキスト バナーは、そうした通知を行うための手法の 1 つです。

テキスト バナーを作成するためにルータに配信される設定は次のとおりです。
<会社名> <管理者の電子メール アドレス> <管理者の電話番号> の部分は、セキュリティ監査で入力した情報で置き換えてください。

banner ~
Authorized access only
This system is the property of <company name> Enterprise. Disconnect IMMEDIATELY as you are not an authorized user! Contact <administrator email address> <administrator phone number>.
~

ロギングを有効にする

セキュリティ監査は、可能であれば、シーケンス番号とタイム スタンプ付きのロギングを有効にします。ログは、ネットワーク イベントに関する詳細な情報を提供するので、セキュリティ イベントを認識して対策を施すには不可欠です。タイム スタンプとシーケンス番号は、ネットワーク イベントの発生した日時と順番に関する情報を提供します。

ロギングを有効化するために、ルータに配信される設定は次のとおりです。 <ログ バッファ サイズ > および <ロギング サーバ IP アドレス> の部分は、セキュリティ監査で入力した情報で置き換えてください。

logging console critical
logging trap debugging
logging buffered <log buffer size>
logging <logging server ip address>

Enable Secret パスワードを設定する

セキュリティ監査は、可能であれば、Cisco IOS コマンド enable secret を設定することによって、より強固なパスワード保護を提供します。 enable secret コマンドは、Cisco IOS システムに対する特権管理アクセスを許可するパスワードを設定するために使用します。 enable secret コマンドは、従来の enable password コマンドよりもはるかに安全性の高い暗号化アルゴリズム(MD5)を使用してパスワードを保護します。こうした強い暗号化は、ルータのパスワード、ひいてはネットワーク アクセスを保護するために欠かせない手段です。

enable secret コマンドを設定するためにルータに配信される設定は次のとおりです。

enable secret <>

SNMP を無効にする

セキュリティ監査は、可能であれば、簡易ネットワーク管理プロトコル(SNMP)サービスを無効にします。SNMP は、ネットワークのパフォーマンスとプロセスに関するデータを取得およびポストする機能を提供します。ルータの監視に広く使用されており、ルータの設定変更にもよく使用されます。ただし、最も普及している SNMP プロトコルのバージョン 1 は、次の理由からセキュリティリスクの原因となることがよくあります。

「コミュニティ文字列」と呼ばれる認証文字列(パスワード)を使用しているが、この文字列は平文で保存されておりネットワーク上を平文で送信される。

多くの SNMP 実装では、これらの文字列を定期的なポーリングの際に繰り返し送信する。

簡単にスプーフィングできる、データグラムベースのトランザクション プロトコルである。

ネットワーク ルーティング テーブルのコピーやその他のネットワーク機密情報を取得する目的で SNMP を使用できるので、Cisco では、ネットワークで必要でない限り、SNMP を無効にすることを推奨しています。セキュリティ監査は、初期設定で SNMP を無効にするよう要求します。

SNMP サービスを無効にするためにルータに配信される設定は次のとおりです。

no snmp-server

スケジューラ間隔を設定する

セキュリティ監査は、可能であれば、ルータのスケジューラ間隔を設定します。大量のパケットを高速で切り替えているルータでは、ネットワーク インターフェイスからの割り込み要求に対する応答時間が長くなり、他の処理ができなくなることがあります。これは、大量のパケットが高速で送信されると発生します。このような状態になると管理者もルータにアクセスできなくなる可能性があるため、ルータが攻撃されている場合は非常に危険です。スケジューラ間隔を調整すると、ルータへの管理目的のアクセスがいつでも確実に行えるようになります。これは、指定された時間間隔が経過すると、たとえ CPU の使用率が 100% であっても、システム処理に強制的に CPU 時間が割り当てられるからです。

スケジューラ間隔を調整するためにルータに配信される設定は次のとおりです。

scheduler interval 500

スケジューラ割り当てを設定する

セキュリティ監査は、可能であれば、 scheduler interval コマンドをサポートしていないルータ上で scheduler allocate コマンドを設定します。大量のパケットを高速で切り替えているルータでは、ネットワーク インターフェイスからの割り込み要求に対する応答時間が長くなり、他の処理ができなくなることがあります。これは、大量のパケットが高速で送信されると発生します。このような状態になると管理者もルータにアクセスできなくなる可能性があるため、ルータが攻撃されている場合は非常に危険です。 scheduler allocate コマンドは、ルータの全 CPU 時間のうちの一定の割合を、管理処理などのネットワーク スイッチング以外の処理に割り当てることを保証します。

スケジューラ割り当ての割合を設定するためにルータに配信される設定は次のとおりです。

scheduler allocate 4000 1000

ユーザを設定する

セキュリティ監査は、可能であれば、 Telnet ユーザ アカウントを設定して、コンソール、AUX、 vty、tty の各回線へのアクセスを認証することで、これらの回線のセキュリティを強化します。ダイアログ ボックスが表示されたら、これらの回線のユーザ アカウントとパスワードを定義してください。

Telnet 設定を有効にする

セキュリティ監査は、可能であれば、以下の設定を実装することで、コンソール、AUX、 vty、tty の各回線のセキュリティを強化します。

transport input および transport output コマンドを設定して、上記の回線に接続する際に使用できるプロトコルを定義する。

コンソールおよび AUX 回線の実行タイムアウト値を 10 分に設定する。これにより、10 分間作業していない状態が続くと、これらの回線にログインしている管理者が強制的にログアウトされる。

コンソール、AUX、vty、tty の各回線のセキュリティを強化するためにルータに配信される設定は次のとおりです。

!
line console 0
transport output telnet
exec-timeout 10
login local
!
line AUX 0
transport output telnet
exec-timeout 10
login local
!
line vty ....
transport input telnet
login local

NetFlow スイッチングを有効にする

セキュリティ監査は、可能であれば、 NetFlow スイッチングを有効にします。NetFlow スイッチングを使用すると、アクセス コントロール リスト( ACL)およびネットワーク セキュリティを実現し、強化するその他の機能を使用しながら、同時にルーティングのパフォーマンスも高めることができます。NetFlow は、送信元/宛先 IP アドレスと TCP ポート番号に基づいてネットワーク パケット フローを特定します。特定のフローの先頭パケットだけを使用して、ACL との照合やその他のセキュリティ チェックを行うため、フロー内のすべてのパケットを使用してこれらの処理を行う必要はありません。これにより、パフォーマンスが向上し、同時にルータのすべてのセキュリティ機能を利用できるようになります。

NetFlow を有効にするためにルータに配信される設定は次のとおりです。

ip route-cache flow
 

この設定変更は元に戻すことができます。元に戻す方法については、「セキュリティ監査による修正を元に戻す」をクリックしてください。

IP リダイレクトを無効にする

セキュリティ監査は、可能であれば、ICMP(インターネット制御メッセージ プロトコル)のリダイレクト メッセージを無効にします。ICMP は、パス、ルート、およびネットワークの条件に関する情報を伝達することによって IP トラフィックをサポートします。ICMP リダイレクト メッセージは、エンド ノードに、特定の宛先までのパスとして特定のルータを使用するように指示します。正常に機能している IP ネットワークでは、ルータはローカル サブネット上のホストだけにリダイレクトを送信し、エンド ノードはリダイレクトを送信しません。また、リダイレクトが 2 つ以上のネットワーク ホップを経由して転送されることもありません。ただし、これらのルールは攻撃者によって破られる可能性があります。実際、一部の攻撃では、ルール違反のリダイレクトを利用しています。ICMP リダイレクトを無効にしてもネットワークの運用に影響はありません。無効にすることで、こうした攻撃を防止できます。

ICMP リダイレクト メッセージを無効にするためにルータに配信される設定は次のとおりです。

no ip redirects

IP プロキシ ARP を無効にする

セキュリティ監査は、可能であれば、プロキシ ARP(アドレス解決プロトコル)要求を無効にします。ARP は、IP アドレスを MAC アドレスに変換するために使用されます。通常、ARP は単一の LAN に限定されますが、ルータは ARP 要求のためのプロキシとして機能できます。これにより、複数の LAN セグメントにまたがって ARP 要求を送信できるようになります。ただし、これは LAN というセキュリティ防護壁を破ることになるため、プロキシ ARP は同じセキュリティ レベルを持つ 2 つの LAN 間のみに限定して、必要な場合に限って使用してください。

プロキシ ARP を無効にするためにルータに配信される設定は次のとおりです。

no ip proxy-arp
 

この設定変更は元に戻すことができます。元に戻す方法については、「セキュリティ監査による修正を元に戻す」をクリックしてください。

IP ダイレクト ブロードキャストを無効にする

セキュリティ監査は、可能であれば、IP ダイレクト ブロードキャストを無効にします。IP ダイレクト ブロードキャストは、送信側のマシンが直接接続していないサブネットのブロードキャスト アドレスに送信されるデータグラムです。ダイレクト ブロードキャストは、送信先サブネットに到達するまでユニキャスト パケットとして伝送され、送信先サブネットでリンク層ブロードキャストに変換されます。IP のアドレス指定アーキテクチャの性質により、ダイレクト ブロードキャストを最終的に識別できるのは、チェーン内の最後のルータ、つまり送信先サブネットに直接接続されているルータだけです。ダイレクト ブロードキャストが正当な目的で使用される場合もありますが、そのような使用法は金融サービス業界以外では一般的ではありません。

IP ダイレクト ブロードキャストは、よく知られている「smurf」というサービス拒否攻撃で悪用され、他の同じような攻撃でも悪用される場合があります。「smurf」攻撃では、攻撃者が偽装された送信元アドレスからダイレクト ブロードキャスト アドレスに ICMP エコー要求を送信します。その結果、送信先サブネット上のすべてのホストが偽装された送信元アドレスに応答を送信します。このような要求を連続的に送信することによって、攻撃者は大量の応答を生成し、偽装されたアドレスを持つホストを完全な過負荷状態にすることができます。

IP ダイレクト ブロードキャストを無効にすると、そのインターフェイスでリンク層ブロードキャストに大量に変換されるはずのダイレクト ブロードキャストが廃棄されます。

IP ダイレクト ブロードキャストを無効にするためにルータに配信される設定は次のとおりです。

no ip directed-broadcast
 

この設定変更は元に戻すことができます。元に戻す方法については、「セキュリティ監査による修正を元に戻す」をクリックしてください。

MOP サービスを無効にする

セキュリティ監査は、可能であれば、すべてのイーサネット インターフェイス上で、Maintenance Operations Protocol(MOP)を無効にします。MOP は、DECNet ネットワークと通信するとき、ルータに設定情報を送信するために使用されます。MOP は、さまざまな攻撃を受けやすいプロトコルです。

イーサネット インターフェイス上で MOP サービスを無効にするためにルータに配信される設定は次のとおりです。

no mop enabled
 

この設定変更は元に戻すことができます。元に戻す方法については、「セキュリティ監査による修正を元に戻す」をクリックしてください。

IP アンリーチャブルを無効にする

セキュリティ監査は、可能であれば、インターネット制御メッセージ プロトコル(ICMP)のホスト アンリーチャブル メッセージを無効にします。ICMP は、パス、ルート、およびネットワークの条件に関する情報を伝達することによって IP トラフィックをサポートします。ICMP ホストのアンリーチャブル メッセージは、ルータが、不明なプロトコルを使用する非ブロードキャスト パケットを受信した場合、または宛先アドレスまでのルートがないために最終的な宛先に配信できないパケットを受信した場合に送信されます。これらのメッセージは、ネットワーク マッピング情報を取得するために攻撃者に悪用される可能性があります。

ICMP ホスト アンリーチャブル メッセージを無効にするためにルータに配信される設定は次のとおりです。

int <all-interfaces>
no ip unreachables
 

この設定変更は元に戻すことができます。元に戻す方法については、「セキュリティ監査による修正を元に戻す」をクリックしてください。

IP マスク応答を無効にする

セキュリティ監査は、可能であれば、インターネット制御メッセージ プロトコル(ICMP)のマスク応答メッセージを無効にします。ICMP は、パス、ルート、およびネットワークの条件に関する情報を伝達することによって IP トラフィックをサポートします。ICMP マスク応答メッセージは、ネットワーク デバイスがインターネットワーク内の特定のサブネットワークのサブネット マスクを認識する必要がある場合に送信されます。このメッセージは、必要な情報を持っているデバイスによって、情報を要求したデバイスに送信されます。これらのメッセージは、ネットワーク マッピング情報を取得するために攻撃者に悪用される可能性があります。

ICMP マスク応答メッセージを無効にするためにルータに配信される設定は次のとおりです。

no ip mask-reply
 

この設定変更は元に戻すことができます。元に戻す方法については、「セキュリティ監査による修正を元に戻す」をクリックしてください。

ヌル インターフェイスに対して IP アンリーチャブルを無効にする

セキュリティ監査は、可能であれば、インターネット制御メッセージ プロトコル(ICMP)のホスト アンリーチャブル メッセージを無効にします。ICMP は、パス、ルート、およびネットワークの条件に関する情報を伝達することによって IP トラフィックをサポートします。ICMP ホストのアンリーチャブル メッセージは、ルータが、不明なプロトコルを使用する非ブロードキャスト パケットを受信した場合、または宛先アドレスまでのルートがないために最終的な宛先に配信できないパケットを受信した場合に送信されます。ヌル インターフェイスはパケット シンク(パケットを捨てる場所)なので、そこに転送されてきたパケットは常に破棄され、(無効にされていなければ)ホスト アンリーチャブル メッセージが生成されます。その場合、ヌル インターフェイスをサービス拒否攻撃をブロックするために使用していると、ホスト アンリーチャブル メッセージがローカル ネットワーク上に大量に生成されます。ホスト アンリーチャブル メッセージを無効にすれば、この状況を防ぐことができます。また、ブロックされたパケットはすべてヌル インターフェイスに転送されるため、ホスト アンリーチャブル メッセージを受信した攻撃者が、アクセス制御リスト( ACL)の設定を割り出すためにそれらのメッセージを悪用する可能性があります。

ルータに「null 0」インターフェイスが設定されている場合、セキュリティ監査は、パケットが破棄されたとき、またはヌル インターフェイスにルーティングされてきたときに ICMP ホスト アンリーチャブル メッセージが生成されないように、次の設定をルータに配信します。

int null 0
no ip unreachables
 

この設定変更は元に戻すことができます。元に戻す方法については、「セキュリティ監査による修正を元に戻す」をクリックしてください。

すべての外部インターフェイスに対してユニキャスト RPF を有効にする

セキュリティ監査は、可能であれば、インターネットに接続されているすべてのインターフェイス上で、ユニキャスト逆方向パス転送(RPF) を有効にします。RPF 機能により、ルータはパケットを受信したインターフェイスとパケットの送信元アドレスをチェックします。入力インターフェイスがルーティング テーブルに指定されている送信元アドレスへの適切なパスでない場合、パケットは廃棄されます。この送信元アドレスの検証は IP スプーフの防止に使用します。

この方法が機能するのは、ルーティングが対称的に行われる場合だけです。ホスト A からホスト B へのトラフィックが、ホスト B からホスト A へのトラフィックと異なる経路をたどるようにネットワークが設計されている場合は、上のようなチェックを行うと常に失敗し、2 つのホスト間の通信は不可能となります。このような非対称的なルーティングは、インターネットのコア部分で一般的に行われています。この機能を有効にする前に、必ず、ネットワークが非対称的なルーティングを行っていないことを確認してください。

また、ユニキャスト RPF を有効にできるのは、IP Cisco Express Forwarding(CEF)が有効になっているときだけです。セキュリティ監査は、ルータの設定をチェックして、IP CEF が有効になっているかどうか確認します。IP CEF が有効になっていない場合、セキュリティ監査は、IP CEF を有効にするように推奨し、推奨が承認されると実際に有効にします。セキュリティ監査、またはそれ以外の方法で CEF が有効になっていない場合は、ユニキャスト RPF を有効にすることはできません。

ユニキャスト RPF を有効にするために、プライベート ネットワークの外に接続されたルータの各インターフェイスに配信される設定は次のとおりです。 <外部インターフェイス> の部分はインターフェイス識別子で置き換えてください。

interface <outside interface>
ip verify unicast reverse-path

すべての外部インターフェイスに対してファイアウォールを有効にする

ルータ上で実行されている Cisco IOS イメージにファイアウォール フィーチャ セットが含まれている場合、セキュリティ監査は、可能であれば、コンテキストベース アクセス コントロール( CBACを有効にします。CBAC は、Cisco IOS ファイアウォール フィーチャ セットのコンポーネントとして、アプリケーション層の情報(セッション内で実行されているコマンドの種類など)に基づいてパケットをフィルタリングします。たとえば、サポートされていないコマンドがセッション内に検出されると、そのパケットのアクセスを拒否できます。

CBAC は、 HTTP の 80 番ポートや Secure Sockets Layer( SSL)の 443 番といったよく知られたポートを使用する TCP/UDP アプリケーションのセキュリティを強化します。そのために、CBAC は送信元アドレスと宛先アドレスを調査します。CBAC を使用しない場合、高度なアプリケーション トラフィックを許可する手段はアクセス コントロール リスト(ACL)への登録のみとなります。この方法では、ファイアウォールに侵入口を開くことになるため、ほとんどの管理者は、そうした高度なアプリケーションのトラフィックをすべて拒否しています。CBAC を有効にすると、ファイアウォールを必要に応じて開き、それ以外のときは閉じるようにすることで、マルチメディアやその他のアプリケーションのトラフィックを安全に許可できます。

CBAC を有効にするために、セキュリティ監査は、Cisco CP の[ファイアウォールの作成]画面を使用して、ファイアウォールの設定を生成します。

HTTP サーバ サービスに対してアクセス クラスを設定する

セキュリティ監査は、可能であれば、ルータの HTTP サービスを特定のアクセス クラスを使用して有効にします。HTTP サービスを使用すると、Web ブラウザを使用して、リモートからの設定および監視が可能になりますが、認証処理中にネットワーク上を平文のパスワードが流れるため、セキュリティは高くありません。このため、セキュリティ監査は、直接接続されたネットワーク ノードからのアクセスだけを許可するアクセス クラスを設定して、HTTP サービスへのアクセスを制限しています。

アクセス クラスを使用して HTTP サービスを有効にするためにルータに配信される設定は次のとおりです。

ip http server
ip http access-class <std-acl-num>
!
!HTTP Access-class:Allow initial access to direct connected subnets ! !only
access-list <std-acl-num> permit <inside-network>
access-list <std-acl-num> deny any

VTY 回線に対してアクセス クラスを設定する

セキュリティ監査は、可能であれば、 vty 回線用のアクセス クラスを設定します。vty 接続を使用すると、ルータへのリモート アクセスが可能になりますが、そうしたアクセスは既知のネットワーク ノードだけに制限するべきです。

vty 回線のアクセス クラスを設定するためにルータに配信される設定は次のとおりです。

access-list <std-acl-num> permit <inside-network>
access-list <std-acl-num> deny any
 

さらに、各 vty 回線には、次の設定が適用されます。

access-class <std-acl-num>
 

ルータ アクセスに対して SSH を有効にする

ルータ上で実行されている Cisco IOS イメージが crypto イメージ(56 ビットの Data Encryption Standard(DES)暗号化を使用し、輸出制限の対象となるイメージ)の場合、セキュリティ監査は、可能であれば、次の設定を実装して Telnet アクセスのセキュリティを強化します。

Telnet アクセス用にセキュア シェル( SSHを有効化する。SSH により Telnet アクセスのセキュリティは大幅に強化されます。

SSH タイムアウト値を 60 秒に設定する。これにより、未完了の SSH 接続は 60 秒後にシャットダウンされます。

SSH ログインの失敗回数を最大 2 回に設定し、3 回以上失敗するとルータへのアクセスをロックする。

アクセスとファイル転送機能のセキュリティを強化するためにルータに配信される設定は次のとおりです。

ip ssh time-out 60
ip ssh authentication-retries 2
!
line vty 0 4
transport input ssh
!

) 上記のように設定を変更したら、必ず SSH モジュールのキー サイズを指定してキーを生成してください。具体的な手順については、「 SSH」を参照してください。


AAA の有効化

Cisco IOS AAA(認証、許可、およびアカウンティング)は、3 つの独立したセキュリティ機能を一貫した方法で設定するためのアーキテクチャ フレームワークです。AAA では、認証、許可、およびアカウンティング サービスをモジュール化した方法で実行できます。

Cisco CP では、AAA を有効にしている間にルータへのアクセスが切断しないように、事前に次のタスクを実行します。

VTY 回線の認証と許可を設定します。

認証と許可の両方にローカル データベースが使用されます。

コンソール回線の認証を設定します。

認証にはローカル データベースが使用されます。

ローカル データベースを使用するように HTTP 認証を変更します。

設定の要約画面

この画面には、修正対象としてレポート カードの画面で選択したセキュリティ問題に基づいて、ルータ設定に配信されるすべての設定変更の一覧が表示されます。

Cisco CP と Cisco IOS AutoSecure

AutoSecure は、Cisco CP に似た Cisco IOS の機能です。AutoSecure を使用すると、ルータのセキュリティ機能をより簡単に設定できるため、ネットワークのセキュリティが強化されます。Cisco CP は、AutoSecure が提供するほぼすべての機能を実装しています。

Cisco CP で実装されている AutoSecure の機能

以下に示す AutoSecure の機能は、このバージョンの Cisco CP で実装されています。これらのサービスと機能の詳細については、次の各リンクをクリックしてください。

SNMP を無効にする

Finger サービスを無効にする

PAD サービスを無効にする

TCP スモール サーバ サービスを無効にする

IP BOOTP サーバ サービスを無効にする

IP ident サービスを無効にする

CDP を無効にする

IP ソース ルートを無効にする

IP リダイレクトを無効にする

IP プロキシ ARP を無効にする

IP ダイレクト ブロードキャストを無効にする

MOP サービスを無効にする

IP アンリーチャブルを無効にする

ヌル インターフェイスに対して IP アンリーチャブルを無効にする

IP マスク応答を無効にする

パスワード暗号化サービスを有効にする

パスワードの最小文字数を 6 文字以上に設定する

IP CEF を有効にする

すべての外部インターフェイスに対してファイアウォールを有効にする

ユーザを設定する

ロギングを有効にする

パスワードの最小文字数を 6 文字以上に設定する

すべての外部インターフェイスに対してユニキャスト RPF を有効にする

Cisco CP で実装されていない AutoSecure の機能

以下に示す AutoSecure の機能は、このバージョンの Cisco CP では実装されていません。

NTP の無効化 ― AutoSecure は、入力に基づいて、不要な Network Time Protocol(NTP)を無効にします。NTP が必要な場合は、MD5 認証を使用して設定されます。Cisco CP は、NTP の無効化をサポートしていません。

AAA の設定 ― 認証、許可、およびアカウンティング(AAA)サービスが設定されていない場合、AutoSecure は、ローカル AAA を設定し、ルータ上にユーザ名とパスワードのローカル データベースを設定するため入力を要求します。Cisco CP は、AAA の設定をサポートしていません。

SPD 値の設定 ― Cisco CP は Selective Packet Discard( SPD)値を設定しません。

TCP インターセプトの有効化 ― Cisco CP は TCP インターセプトを有効にしません。

外部インターフェイス上でのアンチスプーフィング ACL の設定 ―
AutoSecure は、送信元アドレスの偽造を阻止するために 3 つの名前付きアクセス リストを作成します。Cisco CP は、これらの ACL を設定しません。

Cisco CP では異なる方法で実装されている AutoSecure の機能

SNMP を無効にする ― Cisco CP は SNMP を無効にしますが、AutoSecure とは異なり、SNMP バージョン 3 を設定するためのオプションは提供していません。

ルータ アクセスに対して SSH を有効にする ― Cisco CP は crypto Cisco IOS イメージ上で SSH を有効化および設定しますが、AutoSecure とは異なり、Service Control Point(SCP)を有効にしたり、他のアクセスやファイル転送サービス(FTP など)を無効にしたりすることはありません。

Cisco CP で元に戻すことができるセキュリティ設定

以下の表に、Cisco CP で元に戻すことができるセキュリティ設定を示します。

 

セキュリティ設定
対応する CLI

Finger サービスを無効にする

no service finger

PAD サービスを無効にする

no service pad

TCP スモール サーバ サービスを無効にする

no service tcp-small-servers

no service udp-small-servers

IP BOOTP サーバ サービスを無効にする

no ip bootp server

IP ident サービスを無効にする

no ip identd

CDP を無効にする

no cdp run

IP ソース ルートを無効にする

no ip source-route

NetFlow スイッチングを有効にする

ip route-cache flow

IP リダイレクトを無効にする

no ip redirects

IP プロキシ ARP を無効にする

no ip proxy-arp

IP ダイレクト ブロードキャストを無効にする

no ip directed-broadcast

MOP サービスを無効にする

no mop enabled

IP アンリーチャブルを無効にする

int <すべてのインターフェイス>

no ip unreachables

IP マスク応答を無効にする

no ip mask-reply

ヌル インターフェイスに対して IP アンリーチャブルを無効にする

int null 0

no ip unreachables

パスワード暗号化サービスを有効にする

service password-encryption

インバウンド Telnet セッションの TCP キープアライブを有効にする

service tcp-keepalives-in

アウトバウンド Telnet セッションの TCP キープアライブを有効にする

service tcp-keepalives-out

IP Gratuitous ARP を無効にする

no ip gratuitous arps

セキュリティ監査による修正を元に戻す

Cisco CP では、セキュリティ設定の変更を元に戻すことができます。Cisco CP を使用してセキュリティ修正を元に戻すには、セキュリティ監査ウィザードを実行します。レポート カードのウィンドウで、[セキュリティ設定を元に戻す]オプションを選択し、元に戻す各設定の横にあるチェック ボックスを選択して[次へ>]をクリックしてください。

Telnet/SSH アカウントの追加/編集画面

この画面では、ルータへの Telnet および SSH アクセス用に新規のユーザ アカウントを作成したり、既存のユーザ アカウントを編集することができます。

ユーザ名

このフィールドには、新規ユーザ アカウントのユーザ名を入力します。

パスワード

このフィールドには、新規ユーザ アカウントのパスワードを入力します。

パスワードの確認

このフィールドには、新規ユーザ アカウントのパスワードを確認のため再入力します。このフィールドに入力するパスワードは、[パスワード]フィールドに入力したパスワードと一致していなければなりません。

Telnet/SSH のユーザ アカウントの設定ページ

この画面では、ルータへの Telnet またはセキュア シェル( SSH)アクセス用ユーザ アカウントを管理できます。この画面のテーブルには、各 Telnet ユーザ アカウントについて、アカウント名がリストされ、アカウントのパスワードがアスタリスクで表示されます。この画面は、ユーザ アカウントを 1 つも設定していない場合だけ表示されます。したがって、この画面が最初に表示されるときは常に空になります。

Telnet の許可を有効にするチェック ボックス

ルータへの Telnet/SSH アクセスを有効にする場合に選択します。ルータへの Telnet/SSH アクセスを無効にする場合は、このチェック ボックスの選択を解除します。

追加ボタン

このボタンをクリックすると、[ユーザ アカウントの追加]画面が表示され、ユーザ名とパスワードを設定してアカウントを追加できます。

編集ボタン

テーブル内でユーザ アカウントを選択してこのボタンをクリックすると、[ユーザ アカウントの編集]画面が表示され、選択したアカウントのユーザ名とパスワードを編集できます。

削除ボタン

テーブル内でユーザ アカウントを選択してこのボタンをクリックすると、選択したアカウントが削除されます。

Enable Secret とバナー ページ

この画面では、ルータの新しい enable secret とテキスト バナーを入力できます。

enable secret は、ルータのすべての機能に対して管理者権限のアクセスを可能にする暗号化パスワードです。この暗号化パスワードは、解読が困難な安全なものとする必要があります。パスワードは 6 文字以上でなければなりません。また、アルファベットと数字を混在させること、辞書に書かれている単語や、他人から推測される可能性のある個人情報を使用しないことをお勧めします。

テキスト バナーは、 Telnet または SSH を使用してルータに接続するたびに表示されます。テキスト バナーは、権限のないユーザに対してルータへのアクセスが禁止されていることを通知する方法になるため、セキュリティ上重要です。司法管轄区域によっては、バナーを表示しておかないと、侵入者を民事告発も刑事告発もできません。

新しいパスワード

このフィールドには新しい enable secret パスワードを入力します。

新しいパスワードの再入力

このフィールドには新しい enable secret パスワードを確認のため再入力します。

ログイン バナー

ルータ上に設定するテキスト バナーを入力します。

ロギング ページ

この画面では、ルータのログを設定できます。ログを設定するには、ログ メッセージが転送されるシスログ(syslog)サーバのリストを作成し、ロギング レベルを設定します。ロギング レベルは、メッセージがログに記録されるために最低限必要な重大度レベルです。

IP アドレス/ホスト名テーブル

このテーブルには、ルータのログ メッセージが転送されるホストのリストが表示されます。これらのホストは、ルータのログ メッセージをトラップして管理できるシスログ(syslog)サーバでなければなりません。

追加ボタン

このボタンをクリックすると、[IP アドレス/ホスト名]画面が表示されます。ここで IP アドレスまたはホスト名を入力すると、シスログ(syslog)サーバをリストに追加できます。

編集ボタン

テーブル内でシスログ(syslog)サーバを選択して、このボタンをクリックすると、[IP アドレス/ホスト名]画面が表示され、選択したシスログ(syslog)サーバの IP アドレスまたはホスト名を編集できます。

削除ボタン

テーブル内でシスログ(syslog)サーバを選択してこのボタンをクリックすると、選択したシスログ(syslog)サーバがテーブルから削除されます。

ロギング レベルの設定フィールド

このフィールドで、ルータのログ メッセージがトラップされ、この画面のテーブルのシスログ(syslog)サーバに転送されるために必要な最低の重大度レベルを選択します。ログ メッセージの重大度レベルは 1 ~ 7 の数値で表されます。数値が小さいほどイベントの重大度は高くなります。各重大度レベルの説明は次のとおりです。

0 ― 緊急

システムが使用不可です。

1 ― アラート

直ちに対処が必要です。

2 ― 重大

重大な状態が発生しました。

3 ― エラー

エラー状態が発生しました。

4 ― 警告

警告対象の状態が発生しました。

5 ― 通知

特別な意味のある状態が発生しましたが、異常ではありません。

6 ― 情報

単なる情報メッセージです。

7 ― デバッグ

デバッグ用のメッセージです。