|
◆ Ciscoルータ - ユーザEXECモードへのアクセス制限
Ciscoルータへ管理アクセスする方法には、コンソールポート経由、AUXポート経由、VTYポート経由
の大きく3つがあります。これらのどのアクセスにおいても、不正にルータにログインされないように
Ciscoルータにアクセスしてログインする際にパスワードが求められるように設定するのが一般的です。
パスワードが求められるように設定するには、各lineにおいて、passwordコマンドとloginコマンド
の2つを設定する必要があります。passwordの後には任意の文字列を指定します。例えば以下の通り
設定することにより、ルータにアクセスした際にログイン時にパスワードの入力が求められるように
なります。以下の設定例ではパスワードにciscotestと入力することでログインできるようになります。
◆ コンソールポートへのパスワード設定
◆ AUXポートへのパスワード設定
◆ VTYポートへのパスワード設定
VTY line (Virtual Teletype Line) は文字通り仮想端末のラインであることから、コンソールポートとは
異なり、実際に物理的にポートを持っている訳ではありません。Ciscoルータ上で仮想的に複数ポートを
持つことにより、複数のユーザが同時にアクセスすることが可能です。デフォルトではVTYポート番号は
line vty 0 4とあることから仮想ポートとしては 0〜4 の5ポートあります。従ってCiscoルータに同時に
5つのtelnetセッションを接続することができます。VTYポートは、小さい番号から使用されていきます。
line vty 0 4の定義の場合、telnet/SSH接続できる仮想ポートを5つしか用意できないので、一般的には
line vty 0 15と定義して仮想ポートを 16 ポート用意する設定するケースが多いです。VTYのポート数は
ルータの機種によって設定できる数が異なります。コンソールポートやAUXポートとは異なりVTYポート
の場合はデフォルトでこのpasswordとloginコマンドの設定がされていないとセキュリティ上の理由から
VTYポート経由でアクセスできないようになっています。※AAAの設定をしている場合は例外となります。
上記の password コマンドと login コマンドで
telnet接続ができるようになりますが、telnet
接続したルータで特権EXECモードへ移行する
ためには、enable passwordコマンドまたは
enable secretコマンドを設定する必要がある。
設定してない場合、enableで特権EXECモード
へ移行しようとすると、"No Password set"と
メッセージが表示されて、特権EXECモードへ
移行できない状態になります。
|
|
以降の解説では機器のパスワード設定にenable passwordコマンドやenable secretコマンドを紹介
していますが、現在では SHA-256(Type 8)または Scrypt(Type 9)の暗号アルゴリズムを指定
することができるenable algorithm-typeコマンドでの設定が推奨となっています。
◆ Ciscoルータ - 特権EXECモードへのアクセス制限
Ciscoルータには、パスワードを2段階で設定するのが一般的です。一段階目は、ユーザEXECモードの
パスワード設定で、二段階目は、この特権EXECモードへのパスワード設定です。特権EXECモードへの
パスワード設定を行うことで、Ciscoルータでenableコマンドを入力する際にパスワードの入力が求め
られるようになります。ユーザEXECモードへのパスワードと特権EXECモードのパスワードを異なる値
にして、特権EXECモードへのパスワードは限られた管理者だけに知らせることでセキュリティが向上。
特権EXECモードのパスワード設定コマンドは2つあります。enable passwordコマンドとenable secret
コマンドです。enable passwordコマンドでは、コンフィグファイル上パスワードが暗号化されませんが
enable secretコマンドではパスワードが暗号化されるので一般的にenable secretコマンドを使用します。
◆ 以下の設定例では enable passwordに "abc" と定義
◆ show runで設定部分を確認してみると暗号化されずに表示されている・・
◆ 以下の設定例では enable secretに "def" と定義
◆ show runで設定部分を確認してみると暗号化されて表示されていることが確認できます。
※ enable passwordとenable secretの両方を設定した場合、enable secretで定義したパスワードが優先されて使用されます。
◆ Ciscoルータ - パスワードの暗号化
Ciscoルータではenable secretコマンドのパスワードを除き、line vtyやconsoleに設定したパスワードや
enable passwordなどは暗号化されずにクリアテキストとしてコンフィグ上に表示されてしまいます。が、
service password-encryptionコマンドを設定することでこれらのパスワードが自動的に暗号化されます。
◆ service password-encryptionコマンドの設定前
◆ service password-encryptionコマンドの設定
◆ service password-encryptionコマンドの設定後
service password-encryptionを無効にするために、no service password-encryption と設定した場合も
一度暗号化されたパスワードの文字列は、クリアテキストの文字列に変換されることはありません。
|