CiscoWorks Small Network Management Solution 1.5 ユーザ ガイド
CiscoWorks のセキュリティの概要
CiscoWorks のセキュリティの概要
発行日;2012/02/01 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 2MB) | フィードバック

目次

CiscoWorks のセキュリティの概要

一般セキュリティ

サーバ セキュリティ

サーバが課すセキュリティ

ファイル、ファイル所有権、および許可

ランタイム

リモート接続性

CiscoWorks Server 以外のシステムへのアクセス

アクセス制御

システム管理者が課すセキュリティ

セキュリティ証明書

条件、定義

CiscoWorks のセキュリティの概要

CiscoWorks Server ソフトウェアは、Web ベースのネットワーク管理システムに必要なセキュリティ制御機能の一部を備えていますが、CiscoWorks アプリケーションのコンピューティング環境を保護するには、エンド ユーザ自身のセキュリティ手段と制御が大きく関わってきます。CiscoWorks Server には、次に示す 2 つのレベルのセキュリティがあります。これらは安全な環境を保証するために実装されます。

「一般セキュリティ」:CiscoWorks のクライアント コンポーネントおよびシステム管理者によって部分的に実装される 。

「サーバ セキュリティ」:CiscoWorks のサーバ コンポーネントおよびシステム管理者によって部分的に実装される 。

この付録では、一般セキュリティ レベルとサーバ セキュリティ レベルについて説明します。

一般セキュリティ

CiscoWorks Server は、Web ベースのネットワーク管理アプリケーションを展開するための環境を提供します。Web アクセスは、使いやすくアクセスしやすいコンピューティング モデルですが、アプリケーションを実行する際にシステムへのログインだけを求める標準コンピューティング モデルに比べると、Web アクセスは保護することが困難です。

さらに、CiscoWorks Server は、CiscoWorks Server への非認証アクセスと、CiscoWorks アプリケーションおよびデータへの無許可アクセスを防ぐためのセキュリティ メカニズム(認証と許可)を提供します。ただし、CiscoWorks アプリケーションは、ネットワーク デバイスの動作とセキュリティを変更することがあります。したがって、次のガイドラインに従ってアプリケーションおよびサーバへのアクセスを制限することが重要です。

アプリケーションに、またはアプリケーションが提供するデータにアクセスする必要のある人員を制限する 。

CiscoWorks Server へのログインを、システム管理者だけに制限する。

CiscoWorks Server をファイアウォールの後ろに置くことで、サーバへの接続性アクセスを制限する。

サーバ セキュリティ

CiscoWorks Server は、オペレーティング システムの基本セキュリティ メカニズムを使用して、サーバ上に常駐するコードとデータのファイルを保護します。次の CiscoWorks Server セキュリティ制御要素が適用されます。

「サーバが課すセキュリティ」

「システム管理者が課すセキュリティ」

サーバが課すセキュリティ

CiscoWorks Server には、次に示すような多くの特徴があります。

「ファイル、ファイル所有権、および許可」

「ランタイム」

「リモート接続性」

「CiscoWorks Server 以外のシステムへのアクセス」

「アクセス制御」

ファイル、ファイル所有権、および許可

ここでは、ファイル所有権と許可について説明します。

CiscoWorks は、管理者がインストールする必要があり、ユーザ casuser としてインストールされます。

新規インストールの場合は、プロセスを作成するかキャンセルするかを尋ねる Yes/No メッセージが表示されます。パスワードを入力するか、パスワードの生成を実行します。

新規インストールでない場合は、パスワードを設定し直すか、古いパスワードを使用するかを尋ねる Yes/No メッセージが表示されます。

CiscoWorks Server はパスワードを使用しますが、casuser ユーザは Windows システムの一般ユーザとして意図されたものではありません。Windows システムには、どのユーザも casuser としてログインする必要はありません。

すべてのファイルとディレクトリは、ユーザ casuser によって所有されます。読み取り/書き込みアクセス権は、ユーザ casuser と管理者だけに制限されています。一時ファイルは、ユーザ casuser 用の読み取り/書き込みに設定された許可を持つユーザ casuser として作成されます。

CiscoWorks Server は、NTFS ファイルシステムのセキュリティ メカニズムに依存して、アクセス制御を提供します。CiscoWorks が FAT ファイル システムにインストールされている場合、ファイルおよびネットワーク管理データへのアクセス制御については、セキュリティはほとんど保証されません。

ランタイム

ここでは、ランタイムのアクティビティについて説明します。

CiscoWorks バックエンド プロセスは、ユーザ casuser に設定された許可によって実行されます。一部の特殊な CiscoWorks Server プロセスは、サービスとして localsystem ユーザ ID の下で実行されます。

これらのプロセスには、次のものがあります。

デーモン マネージャ

Web サーバ

servlet エンジン

RCP/RSH サービス

tftp サービス

CORBA サービス

データベース エンジン

CiscoWorks のフォアグラウンド プロセス(通常は cgi-bin プログラムまたは servlet)は、Web サーバと servlet エンジン(これらはすべてユーザ localsystem として動作する)の制御下で実行されます。localsystem ユーザはローカル システムに対する特殊な許可を持っていますが、ネットワーク許可は持っていません。

CiscoWorks は、デバイスとの RCP、TFTP 通信用に一部のサービスを提供します。それらのサービスは、CiscoWorks アプリケーションでの使用を目的としていますが、ネットワーク管理以外にも使用できます。

CiscoWorks Server は、at コマンドを使用して、Essentials Software Image Manager アプリケーションのソフトウェア アップデート ジョブを実行します。at コマンドで実行されるジョブは、システム レベル特権で実行されます。

リモート接続性

リモート接続性の詳細は次のとおりです。

CiscoWorks デーモン マネージャは、CiscoWorks Server から送信される CiscoWorks バックエンド プロセスの起動、停止、登録、ステータス表示の要求にだけ応答します。

CiscoWorks Server 以外のシステムへのアクセス

このアクセスの詳細は次のとおりです。

Essentials Inventory Manager アプリケーションにインポートするためのデバイス情報のリモート ソースとして CiscoWorks Server が使用するシステムでは、デバイス情報を所有するユーザに対してユーザ casuser がリモート シェル操作を実行できるようにする必要があります。

アクセス制御

アクセス制御の詳細は次のとおりです。

インストール プロセスの一部として作成されたユーザ casuser は、システム上での特殊な許可や考慮事項がないため、CiscoWorks Server とアプリケーション コードを実行するのに「安全な」ユーザ ID です。localsystem ユーザは、害を及ぼすシステム操作を実行する可能性があります。

したがって、localsystem ユーザ ID を使用して一部のバックエンド プロセスを実行する場合は、localsystem ユーザ ID がネットワーク操作を実行できないことを考慮してください。このため、システム管理者は、「システム管理者が課すセキュリティ」に示されているセキュリティに関する推奨事項を検討し、これらを採用する必要があります。

システム管理者が課すセキュリティ

CiscoWorks Server のセキュリティを最大限まで高めるには、次のセキュリティ ガイドラインに従います。

システム管理者以外のユーザが CiscoWorks Server にログインできないようにする。

リモートから NFS やその他のファイル共用プロトコル経由で CiscoWorks Server ファイルシステムをマウントできないようにする。

CiscoWorks Server へのリモート アクセス(たとえば、FTP、RCP、RSH)は、CiscoWorks Server へのログインを許可されたユーザだけに制限する。

ネットワーク管理サーバをファイアウォールの後ろに配置して、組織外部からのシステムへのアクセスを防止する。

インストール後および定期的に、企業のセキュリティ ポリシーに基づいてデータベース パスワードを変更する。

セキュリティ証明書

セキュリティ証明書は、デジタル ID カードに似ています。この証明書は、クライアントに対してサーバの ID を証明します。証明書の発行は、VeriSign® や Thawte などの Certificate Authority(CA; 認証局)によって行われます。この証明書により、個人の ID およびキーの所有権、コンピュータ システム(またはそのシステム上で動作する特定のサーバ)、または組織が保証されます。これは、署名付き文書の一般項になります。

通常、証明書には次の情報が含まれています。

所有者の公開キーの値

所有者の ID 情報(名前や電子メール アドレスなど)

有効期間(証明書が有効と見なされる期間)

発行者の ID 情報

発行者のデジタル署名(所有者の公開キーと所有者の ID 情報とのバインディングが有効であることを証明する)

証明書は、証明書内で指定された期間のみ有効です。各証明書には、有効期間の境界となる Valid From および Valid To の日付が記載されています。

たとえば、ユーザが特定の公開キーを所有することを証明する証明書があるとします。myserver.cisco.com サーバのサーバ証明書は、特定の公開キーがこのサーバに属することを証明します。

証明書は、Web ユーザ認証、Web サーバ認証、セキュア電子メール(S/MIME)、IP セキュリティ、Transaction Layer Security(TLS)、コード署名など、さまざまな機能向けに発行可能です。

CiscoWorks では、次の証明書がサポートされています。

自己署名証明書。CiscoWorks には自己署名証明書を作成するオプションが用意されています。

Certificate Agency(CA; 認証局)から発行されたサードパーティ証明書。

条件、定義

ここでは、CiscoWorks の条件とそれに対応する定義を説明します。

公開キー、秘密キー

PKCS#8

Base64- Encoded X.509 証明書形式

認証局

CiscoWorks TrustStore または KeyStore

公開キー、秘密キー

公開キーと秘密キーは、情報の暗号化および解読に使用される暗号です。公開キーは自由に共有されますが、秘密キーが配布されることはありません。公開キーと秘密キーは、ペアごとに組んで動作します。つまり、公開キーで暗号化されたデータは、秘密キーを使用した場合にだけ解読されます。

PKCS#8

Public-Key Cryptography Standards(PKCS)は公開キー暗号化の規格セットで、RSA Laboratories が非公式のコンソーシアムと共同で開発しました。このコンソーシアムは、Apple、Microsoft、DEC、Lotus、Sun、MIT などによって発足されたものです。PKCS は、OSI Implementers' Workshop(OIW)により、OSI 標準の実装方法として引用されてきました。

また、バイナリ データおよび ASCII データ用に設計されているため、PKCS は ITU-T X.509 規格と互換性があります。公開されている規格は、PKCS #1、#3、#5、#7、#8、#9、#10、#11、#12、および #15 です。PKCS #13 と #14 は現在策定中です。

PKCS #8 では、秘密キー情報の形式について説明されています。この情報には、一部の公開キー アルゴリズムに対する秘密キーと、オプションでアトリビュート セットが含まれます。

Base64- Encoded X.509 証明書形式

X.509 証明書形式は、新しい証明書標準の 1 つです。これは、OSI グループの標準の一部です。X.509 証明書は、ASN.1(Abstract Syntax Notation 1)と呼ばれる表記法を使用して明確に定義されます。この表記法では、証明書を構成する正確なバイナリ データを指定します。

ASN.1 は多くの方法で符号化できますが、Distinguished Encoding Rules(DER)という新しい符号化標準を使用すると、コンパクトなバイナリ証明書になります。電子メール交換の場合、バイナリ証明書は Base64 で符号化されることがよくあります。符号化されたものは、次に示すような ASCII テキスト ドキュメントになります。

-----BEGIN CERTIFICATE-----
MIIC4jCCAkugAwIBAgIEA0E1UDANBgkqhkiG9w0BAQBhMC
VVMxCzAJBgNVBAgTAkNBMREwDwYDVQQHEwhTYNQ2lz
Y28gU3lzdGVtczENMAsGA1UECxMERU1CVTEqMCgG0ZXN0
MiBDZXJ0aWZpY2F0ZSBNYW5hZ2VyMB4XDTAyMDas3DA4
NTgwOVowgYIxCzAJBgNVBAYTAklOMQswCQYDVQQIQ2hl
bm5haTEMMAoGA1UEChMDSENMMQ0wCwYDVQQLEtzZGlu
YWthci1wYzEhMB8GCSqGSIb3DQEJARYSc2RpbmFrYXfMA0G
CSqGSIb3DQEBAQUAA4GNADCBiQKBgQDV1o9PyO7txr5vme
FU/f9tp5To/HaLIWHVx9zpihPnVuKaepp8kcEXO8Sed8crXeU8BP
9qHoIswGn1oJEGFXm9gs5uupJyAgeDd6O9eCuQbiSKgE1sFGFSL
xNGQJZbCrQIDAQABo2UwYzARBglghkgBhvhCAQEEB/BAQD
-----END CERTIFICATE-----
 

CiscoWorks では、証明書をこの形式でアップロードする必要があります。


) PKCS#7 など、その他の証明書形式も同様の形式になっています。したがって、CA に証明書の形式を確認し、具体的に Base64 Encoded X.509 証明書形式を要求することが重要です。


認証局

認証局(CA)は、メッセージの暗号化に関するセキュリティ認証および公開キーを発行および管理するネットワーク機関です。Public Key Infrastructure(PKI; 公開キー インフラストラクチャ)の一部である CA は、Registration Authority(RA; 登録局)に対して、デジタル証明書の依頼人から提供された情報を確認します。RA が依頼人の情報を確認すると、CA は証明書を発行します。

CiscoWorks TrustStore または KeyStore

CiscoWorks TrustStore または KeyStore は、CiscoWorks が信頼する証明書のリストを保持している場所です。

NMSROOT \ lib\web\conf