セキュア シェルの設定について
セキュア シェル(SSH)は、デバイスに対する安全なリモート接続を可能にするプロトコルです。SSH は、デバイスの認証時に強力な暗号化を行うことで、リモート接続について Telnet 以上のセキュリティを実現します。このソフトウェア リリースは、SSH バージョン 1(SSHv1)および SSH バージョン 2(SSHv2)をサポートしています。
SSH およびデバイスアクセス
セキュア シェル(SSH)は、デバイスに対する安全なリモート接続を可能にするプロトコルです。SSH は、デバイスの認証時に強力な暗号化を行うことで、リモート接続について Telnet 以上のセキュリティを実現します。このソフトウェア リリースは、SSH バージョン 1(SSHv1)および SSH バージョン 2(SSHv2)をサポートしています。
IPv6 の SSH 機能は IPv4 における機能と同じです。IPv6 の場合、SSH は IPv6 アドレスをサポートし、IPv6 トランスポート上において、リモート IPv6 ノードとのセキュリティ保護および暗号化された接続を有効化します。
SSH サーバ、統合クライアント、およびサポートされているバージョン
セキュア シェル(SSH)統合クライアント機能は、SSH プロトコル上で動作し、デバイスの認証および暗号化を実現するアプリケーションです。SSH クライアントによって、シスコ デバイスは別のシスコ デバイスなど SSH サーバを実行するデバイスに対して、セキュアで暗号化された接続を実行できます。この接続は、接続が暗号化される点を除いて Telnet のアウトバウンド接続と同様の機能を提供します。SSH クライアントは、認証および暗号化により、保護されていないネットワーク上でもセキュアな通信ができます。
SSH サーバおよび SSH 統合クライアントは、スイッチ上で実行されるアプリケーションです。SSH サーバは、このリリースでサポートされている SSH クライアントおよび、他社製の SSH クライアントと使用します。SSH クライアントは、市販の一般的な SSH サーバと連動します。SSH クライアントは、Data Encryption Standard(DES)、3DES、およびパスワード認証の暗号をサポートします。
スイッチは、SSHv1 または SSHv2 サーバをサポートします。
スイッチは、SSHv1 クライアントをサポートしています。
(注) |
SSH クライアント機能を使用できるのは、SSH サーバがイネーブルの場合だけです。 |
ユーザ認証は、デバイスに対する Telnet セッションの認証と同様に実行されます。SSH は、次のユーザ認証方式もサポートします。
-
TACACS+
-
RADIUS
-
ローカル認証および許可
SSH 設定時の注意事項
スイッチを SSH サーバまたは SSH クライアントとして設定する場合は、次の注意事項に従ってください。
-
SSHv2 サーバは、SSHv1 サーバで生成される RSA キーのペアを使用できます(逆の場合も同様です)。
-
スタック マスターで SSH サーバが実行されている場合で、スタック マスターに障害が発生した場合、新しいスタック マスターでは、前のスタック マスターによって生成された RSA キー ペアが使用されます。
-
crypto key generate rsa グローバル コンフィギュレーション コマンドを入力した後、CLI エラー メッセージが表示される場合、RSA キーペアは生成されていません。ホスト名およびドメインを再設定してから、crypto key generate rsa コマンドを入力してください。
-
RSA キーのペアを生成する場合に、メッセージ「No host name specified」が表示されることがあります。このメッセージが表示された場合は、hostname グローバル コンフィギュレーション コマンドを使用してホスト名を設定する必要があります。
-
RSA キーのペアを生成する場合に、メッセージ「No domain specified」が表示されることがあります。このメッセージが表示された場合は、ip domain-name グローバル コンフィギュレーション コマンドを使用して IP ドメイン名を設定する必要があります。
-
ローカル認証および許可の方法を設定する場合に、コンソール上で AAA がディセーブルにされていることを確認してください。
セキュア コピー プロトコルの概要
Secure Copy Protocol(SCP)機能は、スイッチの設定やイメージ ファイルのコピーにセキュアな認証方式を提供します。SCP にはセキュア シェル(SSH)が必要です(Berkeley の r-tool に代わるセキュリティの高いアプリケーションおよびプロトコルです)。
SSH を動作させるには、スイッチに RSA の公開キーと秘密キーのペアが必要です。これは SSH が必要な SCP も同様で、セキュアな転送を実現させるには、これらのキーのペアが必要です。
また、SSH には AAA 認証が必要のため、適切に設定するには、SCP にも AAA 認証が必要になります。
-
SCP をイネーブルにする前に、スイッチの SSH、認証、許可、およびアカウンティングを適切に設定してください。
-
SCP は SSH を使用してセキュアな転送を実行するため、ルータには RSA キーのペアが必要です。
(注) |
SCP を使用する場合、copy コマンドにパスワードを入力することはできません。プロンプトが表示されたときに、入力する必要があります。 |
セキュア コピー プロトコル
セキュア コピー プロトコル(SCP)機能は、deviceの設定やスイッチ イメージ ファイルのコピーにセキュアな認証方式を提供します。SCP は一連の Berkeley の r-tools に基づいて設計されているため、その動作内容は、SCP が SSH のセキュリティに対応している点を除けば、Remote Copy Protocol(RCP)と類似しています。また、SCP では認証、許可、およびアカウンティング(AAA)の設定が必要なため、deviceはユーザが正しい権限レベルを保有しているかどうかを特定できます。セキュア コピー機能を設定するには、SCP の概念を理解する必要があります。
SFTP のサポート
SFTP クライアントのサポートは、Cisco IOS XE Gibraltar 16.10.1 リリース以降で導入されています。SFTP クライアントはデフォルトで有効になっており、個別の設定は必要ありません。
SFTP プロシージャは、scp および tftp コマンドの場合と同様に、copy コマンドを使用して呼び出すことができます。sftp コマンドを使用した一般的なファイル ダウンロード手順は、次のように実行できます。
copy sftp://user :password @server-ip/file-name flash0:// file-name
copy コマンドの詳細については、次の URL を参照してください。https://www.cisco.com/c/m/en_us/techdoc/dc/reference/cli/nxos/commands/fund/copy.html