AutoSecure の制約事項
• AutoSecure によって行われた設定変更を元に戻すコマンドがないため、AutoSecure の設定を行う前に実行コンフィギュレーションを必ず保存してください。
• AutoSecure の設定は、実行時またはセットアップ時に行います。AutoSecure をイネーブルにした後に、関連する設定を変更した場合は、AutoSecure の設定が完全に有効にならないことがあります。
• AutoSecure がイネーブルになると、装置のモニタおよび設定のために SNMP を使用するツールは、SNMP を使用する装置との通信を行うことができなくなります。
• 使用している装置を NM アプリケーションによって管理している場合は、マネジメント プレーンのセキュリティ保護によって HTTP サーバなどのいくつかのサービスがディセーブルになり、NM アプリケーションのサポートが中断されます。
• SDM を使用している場合は、 ip http server コマンドを使用して、HTTP サーバを手動でイネーブルにする必要があります。
• CDP を使用してネットワーク トポロジを検出する NM アプリケーションは、検出を実行できなくなります。
AutoSecure について
• 「AutoSecure の概要」
• 「AutoSecure にってイネーブルになるマネジメント プレーンのセキュリティ」
• 「AutoSecure にってイネーブルになるフォワーディング プレーンのセキュリティ」
注意 AutoSecure はスイッチのセキュリティ保護に役立ちますが、スイッチの完全なセキュリティを保証するものではありません。
AutoSecure の利点
AutoSecure 機能を使用すると、すべてのセキュリティ機能を理解することなく、スイッチが保護されます。AutoSecure は簡単なセキュリティ設定プロセスです。不必要なシステム サービスをディセーブルにし、基本的な推奨セキュリティ ポリシーをイネーブルにすることで、セキュアなネットワーキング サービスを保証します。
簡素化されたスイッチのセキュリティ設定
AutoSecure は、スイッチのセキュリティ機能の設定を完全に自動化します。AutoSecure はセキュリティ ホールとして悪用されるおそれがある、デフォルトでイネーブルになっているある種の機能をディセーブルにします。AutoSecure は、個々のニーズに応じて次の 2 つのモードで実行できます。
• インタラクティブ モード:サービスおよびその他のセキュリティ機能を指示に従ってイネーブルまたはディセーブルにするオプションです。各オプションのデフォルト設定が示されます。
• 非インタラクティブ モード:シスコの推奨するデフォルト設定を自動的に実行します。
AutoSecure によってイネーブルになる拡張パスワードのセキュリティ
• 最低限必要なパスワード長を指定できます。これにより、ネットワーク上で広く使用されている「lab」や「cisco」などの脆弱なパスワードの使用を制限できます。
パスワードの最小長を設定するコマンドは security passwords min-length です。
• ログイン試行の失敗回数が設定したしきい値を超えると、Syslog メッセージが生成されるようにすることができます。
ログイン試行の失敗許容回数(しきい値率)を設定するには、 security authentication failure rate コマンドを使用します。
システム ロギング メッセージのサポート
システム ロギング メッセージは、実行コンフィギュレーションに適用されている AutoSecure 設定に対してあとから変更が行われた場合にその変更をキャプチャします。その結果、AutoSecure を実行するときにさらに詳細な監査証跡が可能になります。
マネジメント プレーンのセキュリティの概要
AutoSecure により、スイッチ管理インターフェイス(マネジメント プレーン)およびデータ ルーティングとスイッチングの機能(フォワーディング プレーン。「AutoSecure にってイネーブルになるフォワーディング プレーンのセキュリティ」を参照)を保護できます。マネジメント プレーンのセキュリティ保護は、セキュリティ攻撃で悪用される可能性のある特定のグローバル サービスおよびインターフェイス サービスをディセーブルにし、攻撃の脅威を最小限に抑える役に立つグローバル サービスをイネーブルにすることで実施されます。また、セキュア アクセスおよびセキュア ロギングをスイッチに設定します。
AutoSecure によってディセーブルになるグローバル サービス
• Finger:攻撃の前のシステムの情報を収集(探査)します。
• PAD:すべてのパケット アセンブラ/ディスアセンブラ(PAD)コマンドと、PAD デバイスとアクセス サーバとの接続をイネーブルにします。
• スモール サーバ:TCP およびユーザ データグラム プロトコル(UDP)診断ポート攻撃を引き起こします。送信者は、スイッチの UDP 診断サービスに偽の要求を大量に送信して、すべての CPU リソースを消費させます。
• BOOTP サーバ:BOOTP はセキュアではないプロトコルです。攻撃で悪用されます。
• HTTP サーバ:Secure HTTP サーバを使用するか、関連する ACL を持つ HTTP サーバに組み込まれた認証を使用しなければ、HTTP サーバはセキュアではなく、攻撃で悪用されます (HTTP サーバをイネーブルにする必要がある場合は、適切な認証またはアクセス リストの指定を求めるメッセージが表示されます)。
(注) SDM を使用している場合は、ip http server コマンドを使用して、HTTP サーバを手動でイネーブルにする必要があります。
• 識別サービス:セキュアではないプロトコル(RFC 1413 で定義)です。外部ホストから TCP ポートに識別情報を照会できます。攻撃者は、ID サーバでユーザに関する個人的な情報にアクセスできます。
• CDP:大量の Cisco Discovery Protocol(CDP)パケットがスイッチに送信されると、スイッチの利用可能なメモリが消費され、スイッチがクラッシュします。
(注) CDP を使用してネットワーク トポロジを検出する NM アプリケーションは、検出を実行できなくなります。
• NTP:認証またはアクセス コントロールを行っていない場合は、ネットワーク タイム プロトコル(NTP)はセキュアではありません。攻撃者は、このプロトコルを使用して NTP パケットを送信してスイッチをクラッシュまたは過負荷状態にさせます。
NTP が必要な場合は、MD5 および ntp access-group コマンドを使用して、NTP 認証を設定する必要があります。NTP がグローバルでイネーブルになっている場合は、NTP を必要としないインターフェイスすべてでディセーブルにします。
• 送信元ルーティング:送信元ルーティングはデバッグ目的でだけ提供されており、それ以外の場合はディセーブルにする必要があります。そうしないと、パケットがスイッチのアクセス コントロール メカニズムのいくつかを回避する可能性があります。
AutoSecure によってディセーブルになるインターフェイス単位のサービス
• ICMP リダイレクト:すべてのインターフェイスでディセーブルになります。機能が正しく設定されているネットワークにとっては特に有用というわけではなく、攻撃者はセキュリティ ホールを悪用するためにこの機能を使用することがあります。
• ICMP 到達不能:すべてのインターフェイスでディセーブルになります。Internet Control Management Protocol(ICMP)到達不能は、ICMP ベースの DoS 攻撃(サービス拒絶攻撃)を可能にする方法の 1 つとして知られています。
• ICMP マスク応答メッセージ:すべてのインターフェイスでディセーブルになります。ICMP マスク応答メッセージにより、攻撃者はインターネットワークの特定のサブネットワークのサブネットマスクを入手できます。
• プロキシ ARP:すべてのインターフェイス上でディセーブルにします。プロキシ ARP 要求は、DoS 攻撃を可能にする方法の 1 つとして知られています。これは、攻撃者が繰り返し送信した要求に応答しようとすることで、スイッチの利用可能な帯域幅およびリソースを消費するためです。
• ダイレクト ブロードキャスト:すべてのインターフェイス上でディセーブルにします。DoS を生じさせるための SMURF 攻撃の原因となる可能性があります。
• メンテナンス オペレーション プロトコル(MOP)サービス:すべてのインターフェイスでディセーブルになります。
AutoSecure によってイネーブルになるグローバル サービス
• service password-encryption コマンド:パスワードが設定で表示されなくなります。
• service tcp-keepalives-in コマンドと service tcp-keepalives-out コマンド:異常終了した TCP セッションが確実に削除されます。
AutoSecure によってセキュリティが確保されるスイッチ アクセス
注意 デバイスが NM アプリケーションによって管理されている場合に、スイッチへのアクセスをセキュリティ保護すると、重要なサービスが無効化されたり、NM アプリケーションのサポートが妨げられたりすることがあります。
• テキスト バナーがない場合は、バナーを追加するよう要求されます。AutoSecure 機能には次のサンプル バナーが用意されています。
This system is the property of ABC Enterprise
Disconnect IMMEDIATELY if you are not an authorized user!
Contact abc@example.com +1 408 5551212 for help.
• ログインおよびパスワード(サポートされている場合はシークレット パスワードを推奨)は、コンソール、AUX、TTY の各回線で設定されます。 transport input コマンドおよび transport output コマンド も、これらのすべての回線で設定されます (Telnet およびセキュア シェル(SSH)だけが有効な転送方法です)。 exec-timeout コマンドは、コンソールと AUX の各回線で 10 に設定されます。
• 装置上のイメージが暗号化イメージである場合、AutoSecure はスイッチにアクセスし、ファイル転送を行うために SSH およびセキュア コピー プロトコル(SCP)をイネーブルにします。 ip ssh コマンドの timeout seconds および authentication-retries integer の各オプションは最小数に設定されます (Telnet および FTP は、この操作の影響を受けず、引き続き動作します)。
• スイッチで簡易ネットワーク管理プロトコル(SNMP)を使用しないとユーザが指定する場合は、次の機能のいずれかが発生します。
– インタラクティブ モードでは、ユーザはコミュニティ ストリングの値にかかわらず SNMP をディセーブルにするかどうか尋ねられます。コミュニティ ストリングはパスワードと同様に機能し、スイッチ上のエージェントへのアクセスを規制します。
– 非インタラクティブ モードでは、コミュニティ ストリングが public または private である場合に、SNMP はディセーブルになります。
(注) AutoSecure がイネーブルになると、装置のモニタおよび設定のために SNMP を使用するツールは、SNMP を使用する装置との通信を行うことができなくなります。
• 認証、許可、アカウンティング(AAA)が設定されていない場合は、AutoSecure はローカル AAA を設定します。AutoSecure はユーザにスイッチ上でローカル ユーザ名およびパスワードを設定するよう要求します。
AutoSecure によってイネーブルになるロギング オプション
• すべてのデバッグ メッセージおよびログ メッセージのシーケンス番号とタイム スタンプ。このオプションは、ロギング メッセージを監査するときに役立ちます。
• ログイン関連イベントに対するロギング メッセージ。たとえば、ログイン攻撃が検出され、スイッチが待機モードに入ると、メッセージ「Blocking Period when Login Attack Detected」が表示されます。(待機モードでは、スイッチは Telnet、HTTP、または SSH を使用したログイン試行を許可しません)。
• logging console critical コマンド。これにより、システム ロギング(syslog)メッセージがすべての使用可能な TTY 回線に送信され、重大度に応じてメッセージが制限されます。
• logging buffered コマンド。これにより、ロギング メッセージが内部バッファにコピーされ、バッファに記録されるメッセージが重大度に応じて制限されます。
• logging trap debugging コマンド。これにより、デバッグよりも重大度の高いコマンドをすべてロギング サーバに送信できます。
AutoSecure にってイネーブルになるフォワーディング プレーンのセキュリティ
• ストリクト ユニキャスト リバース パス転送(uRPF)を設定して、偽装された(スプーフィングされた)送信元 IP アドレスが入ってくることで引き起こされる問題を軽減できます。uRPF では、検証可能な送信元 IP アドレスがない IP パケットが破棄されます。
• ハードウェアのレート制限:AutoSecure では、ユーザにプロンプトを表示することなく、次のトラフィック タイプのハードウェアのレート制限をイネーブルにします。
– IP エラー
– RPF 失敗
– ICMP のルートなしメッセージ
– ICMP の ACL ドロップ メッセージ
– IPv4 マルチキャスト FIB 欠落メッセージ
– 部分的にスイッチングされている IPv4 マルチキャスト フローのメッセージ
AutoSecure では、次のトラフィック タイプについて、ハードウェアのレート制限のオプションが利用できます。
– ICMP リダイレクト
– TTL 失敗
– MTU 失敗
– IP ユニキャスト オプション
– IP マルチキャスト オプション
– 入力と出力の ACL ブリッジド パケット
(注) 入力および出力 ACL ブリッジド パケットのレート制限は、ACL ロギングの障害となることがあり、TCP 代行受信、NAT、レイヤ 3 WCCP などのハードウェア加速機能のセッション セットアップ レートを増大させることがあります。