Cisco IOS のセキュリティ向上のための基本設定

 

Cisco IOS のセキュリティ基本設定

Cisco IOS はデフォルトの状態だと、セキュリティが甘いため、
実運用前に基本的なセキュリティ向上の設定を行うのが普通です。

外部との接続の無い、企業のイントラに使用するのならまだ良いのですが、
インターネットとの接続性がある場合は、やっぱりセキュリティ対策は
しっかりと行っておきたいところです。

Cisco のサイトにもセキュリティ向上のための設定一覧を紹介している
ページがあるのですが、情報がちょっと古かったり。　
http://www.cisco.com/japanese/warp/public/3/jp/service/tac/707/21-j.shtml

no service tcp-small-servers
no service udp-small-servers
とかって、最近の IOS ではデフォルトで disable になっているし。

ということで、一応最新の IOS をベースに基本的なセキュリティ向上の
ための設定をまとめてみました。

 

各コマンドの説明

configuration mode exclusive auto
# すでにコンフィグレーションモードに入っている人がいると
コンフィグレーションモードに入れなくします。

no service pad
# Packet Assembler/Disassembler（PAD; パケット アセンブラ、
ディスアセンブラ）コマンドおよび PAD 装置とアクセス サーバの
間の接続を無効にします。

service tcp-keepalives-in
service tcp-keepalives-out
# 停止したインタラクティブ セッションを検出して削除し、
そのようなセッションによって VTY が解放されない状態を防ぐ。

service timestamps debug datetime msec
# コマンドの出力時にタイムスタンプを表示させる。

service timestamps log datetime msec
# ログの出力時に、イベントが発生した時刻を表示させる

service password-encryption
# パスワード暗号化

service sequence-numbers
# ログのメッセージにシーケンス番号を表示させる

no service dhcp
# DHCP サービスを停止する。

logging persistent url flash:/LOG size xxxxx filesize xxxxxx
# ログを指定した Path に保存する

no logging console
# コンソールにメッセージが出るのを抑止する

no logging monitor
# コンソール以外の端末にメッセージが出るのを抑止する

 

logging origin-id hostname
logging source-interface Loopback0
logging x.x.x.x
# シスログサーバ関連設定

logging count
# ログのカウント機能を有効
（show logging count で確認可能）

username user privilege 1 secret xxxxx username admin privilege 15 secret xxxxx # ローカルデータベースを作成

aaa new-model aaa authentication login default local # ログイン時はローカルデータベースを使用

aaa authentication enable default enable #enable コマンド時は enable パスワードを使用

aaa authorization exec default local # デフォルトの exec はローカルのデータベースに従う

enable secret xxxxx
# パスワードを暗号化して設定

no ip source-route
# ルータが DNS を引きに行くのを止める。

ip options drop
# ルータ宛て及びルータを通過する全ての IP オプション付きパケットを
処理する前にドロップします。

ip dhcp bootp ignore
# BOOTP リクエストを受信しても無視する。

no ip bootp server
# BOOTP サービスを停止する

no ip domain lookup
# IP ドメインのルックアップを停止する

memory reserve critical [kilobytes]
# あらかじめメモリをクリティカルな通知用に予約しておく

archive
log config
logging enable
# 設定時のコマンドをログとして保存
（show archive log config で確認可能）

path flash:/backup/config
write-memory
# Config を保存する度にバックアップを
指定した Path に自動で生成

no ip http server
no ip http secure-server
# HTTP サービスを停止

no cdp run
# CDP を停止

 

まとめ

以上、IOS12.4T ベースのセキュリティ向上のための基本設定でした。

この記事は、日々更新していこうと思います。

他にもまだセキュリティを向上させることが出来る設定をご存じの方は、
せひ教えてください～。

 

追記

• 2008/8/11 aaa認証に関する設定を追加
  ここでは、usernameで設定されたユーザーとパスワードで認証する設定を例として記載しています。
  よりセキュアにするのであれば、radius、tacacs+などでサーバー認証させましょう。
  

 

関連記事

メールマガジン

ネットワ－ク初心者のみなさま。
ネットワークの基礎知識を疎かにすることは
大変危険です！！

「初心者にも理解できるネットワーク技術」

これを読めばネットワークの基礎が分かる！！
ネットワーク関連の仕事に就きたいとお考えの学生の方や、ネットワークに興味があって転職を考えている社会人の方、まずは登録してみてください。

もちろん無料です！！

↓メールマガジン購読はこちら↓

メールアドレス：