Ciscoルータのセキュリティ向上するための設定

Ciscoルータのセキュリティ対策に関して

ルータのセキュリティは出来るだけ施しておきたいモノです。今回はCiscoルータでセキュリティレベルを向上する設定をご紹介していきます。

各種サービスの停止

ルータにはデフォルトで各種サービスが起動しています。使用しないサービスは止めてしまいましょう。IOSバージョンによっては、デフォルトで無効になっているものもあります。

使用していない各サービスを止める

使用していないサービスは止めておきましょう。

Fingerサービス（リモートからユーザリストを取得するためのUNIXのユーザ検索機能）を止めるには以下のコマンドを実行します。

router(config)#no ip finger

HTTPサーバーおよびHTTPSサーバー（CiscoルータへのHTTP/HTTPSでのアクセスを行う機能）を止めるには以下のコマンドを実行します。

router(config)#no ip http server
router(config)#no ip http secure-server

IPソースルーティング（パケットが自身の経路を指定できるようにする機能）を無効にするには以下のコマンドを実行します。

router(config)#no ip source-route

（Ciscoルータのコマンド実行に名前解決を行う機能）を無効にするには以下のコマンドを実行します。

router(config)#no ip domain-lookup

/UDPのスモールサービス（echo/discard/daytime/chargenといった古いサービス）を無効にするには以下のコマンドを実行します。

router(config)#no service tcp-small-servers
router(config)#no service udp-small-servers

CDPサービス（隣接のCisco機器を認識できるCisco独自のプロトコル）を無効にするには以下のコマンドを実行します。

router(config)#no cdp run

BOOTPサービス（他の機器からルータを起動することを可能にする機能）を無効にするには以下のコマンドを実行します。

router(config)#no ip bootp server
12.2(8)T以降のIOSの場合「`ip dhcp bootp ignore`」コマンドを使用

DHCPサービス（CiscoルータをDHCPサーバとして動作する機能）を無効にするには以下のコマンドを実行します。

router(config)#no service dhcp

MOPサービス（レガシー機器の管理に使用するプロトコル）を無効にするにはインタフェース・コンフィグレーションモードで以下のコマンドを実行します。

router(config-if)#no mop enabled

PADサービス（X.25で使用する機能）を無効にするには以下のコマンドを実行します。

router(config)#no service pad

Ciscoルータが起動時にネットワークからコンフィギュレーションを取得する機能を無効にするには以下のコマンドを実行します。

router(config)#no service config

LLDP機能（隣接の機器を認識できる機能）を無効にするには以下のコマンドを実行します。

router(config)#no lldp run

directed-broadcastを止める

「directed-broadcast」コマンドを有効にすると、IP ブロードキャスト パケットをリモート IP サブネットに送信することができますが、使用しない場合は以下のコマンドで無効にします。

router#configure terminal
router(config)#no ip directed-broadcast

各種パスワードの設定

ログインパスワードはもちろん、コンソール、Telnetのパスワードもしっかり設定しておきましょう。

ログインパスワード

router#configure terminal
router(config)#enable secret [パスワード]

telnetパスワードの変更

router#configure terminal
router(config)#line vty 0 4
router(config)#password [パスワード]
router(config)#login

コンソールパスワードの設定

router#configure terminal
router(config)#line console 0
router(config-line)#password [パスワード]
router(config-line)#login

パスワードの暗号化

ルータに設定する全てのパスワードは暗号化をしておきましょう。

ログインパスワードを暗号化

cisco(config)#enable secret [パスワード]

それ以外のパスワードを暗号化

cisco(config)#service password-encryption

ダミーパスワードを設定

ログインパスワードを設定するコマンドは 2 種類あります。

暗号化しない設定

cisco(config)#enable password [パスワード]

暗号化させる設定

cisco(config)#enable secret [パスワード]

2つの設定を入れた場合、暗号化させる設定「enable secret」コマンドで設定したパスワードが有効になります。

この機能を利用して、「enable password」コマンドにあえてダミーのパスワードを設定しておくというのもセキュリティ向上に有効です。

例えば、ダミーパスワードに「cisco」、真のパスワードに「itbook」を設定する場合、

コマンド実行結果

router#conf t
Enter configuration commands, one per line.  End with CNTL/Z.

router(config)#enable password cisco
router(config)#enable secret itbook

Telnetのアクセス制限

ルータへTelnetさせるホストやネットワークを制限することで、よりセキュリティが向上します。

もしTelnetするネットワークが決まっているのなら、設定しておいた方が良いですね。

例えば、ルータへのTelnetは、送信元ネットワークが 192.168.1.0/24からでしか出来なくさせるには、

コマンド実行結果

router#conf t
Enter configuration commands, one per line.  End with CNTL/Z.

router(config)#access-list 1 permit 192.168.1.0 0.0.0.255
router(config)#line vty 0 4
router(config)#access-class 1 in 

その他のセキュリティ向上設定

パスワードリカバリを無効にする

Ciscoルータはコンソール接続が出来る状態だと、パスワードを消去することが可能ですが、その機能を無効にする設定です。

router(config)#no service password-recovery

ハーフオープンまたは孤立状態したTelnet/SSHセッションの削除

以下の設定をしておくと、ハーフオープンまたは孤立状態したTelnet/SSHセッションを削除してくれます。

router(config)#service tcp-keepalives-in
router(config)#service tcp-keepalives-out

Showコマンドの実行時間を記録しておく

Showコマンドで各種ログを取得する際に、ログの先頭に時刻を表示させるTipsです。

この設定をしておけば、同じログを複数回に渡って取得するときなど何時何分に取得したログなのかということが一目で分かるため、障害時の切り分けにも役立ちます。

router(config)#line [ラインインタフェース]
router(config-line)#exec prompt timestamp

コマンド実行結果

router#conf t
Enter configuration commands, one per line. End with CNTL/Z.

router(config)#line console 0
router(config-line)#exec prompt timestamp
router(config-line)#end

試しにShowコマンドを試してみましょう。

Router#show interfaces 
Load for five secs: 3%/0%; one minute: 0%; five minutes: 0%
Time source is NTP, 10:08:52.805 JST Tue May 2 2006

Ethernet0/0 is up, line protocol is up 
  Hardware is AmdP2, address is 0002.b957.9a80 (bia 0002.b957.9a80)
  Description: ### To Router ###
  Internet address is 192.168.11.100/24
  MTU 1500 bytes, BW 10000 Kbit, DLY 1000 usec, 
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation ARPA, loopback not set
  Keepalive set (10 sec)
  ARP type: ARPA, ARP Timeout 04:00:00
  Last input 00:00:00, output 00:00:00, output hang never

～　以下省略　～

この設定は、IOSバージョン12.2からサポートされている設定のようなのですが、私が確認したところ、バージョン12.1でも動作しました。
お使いのルータで設定可能かどうか試してみてください。

関連記事

• Ciscoルータを運用する時によく使うコマンド(1)
• Ciscoルータを運用する時によく使うコマンド(2)
• Ciscoルータ ログに関するノウハウ(1)
• Ciscoルータ ログに関するノウハウ(2)
• Ciscoルータを効率良く行うための小技(1)
• Ciscoルータを効率良く行うための小技(2)

メールマガジン

ネットワ－ク初心者のみなさま。
ネットワークの基礎知識を疎かにすることは
大変危険です！！

「初心者にも理解できるネットワーク技術」

これを読めばネットワークの基礎が分かる！！
ネットワーク関連の仕事に就きたいとお考えの学生の方や、ネットワークに興味があって転職を考えている社会人の方、まずは登録してみてください。

もちろん無料です！！

↓メールマガジン購読はこちら↓

メールアドレス：