SSH サーバーには認証の基本設定が保持 さ れます。
フ ィ ール ド 属性
• 「SSH Server Status」 – ス イ ッ チで SSH サーバーを有効/無効にで き ます
(デ フ ォル ト: オ フ)。
• 「Version」 – セキュ ア シ ェ ルのバージ ョ ン番号。 バージ ョ ン 2.0 が表示 さ れますが、 ス イ ッ チ では SSH バージ ョ ン 1.5 または 2.0 ク ラ イ ア ン ト によ る管理ア ク セスがサポー ト さ れます。
• 「SSH Authentication Timeout」 – 認証の試行中に SSH サーバーが ク ラ イ ア ン ト からの応 答を待機する時間を秒単位で指定 し ます (範囲: 1 ~ 120 秒、 デ フ ォ ル ト: 120 秒)。
• 「SSH Authentication Retries」 – ク ラ イ ア ン ト に許可する認証試行回数を指定 し ます。 こ の回数に達する と 認証は失敗 し 、 ク ラ イ ア ン ト は認証プ ロ セス をや り 直す必要があ り ます
(範囲: 1 ~ 5 回、 デ フ ォ ル ト: 3)。
• 「SSH Server-Key Size」 – SSH サーバー キーのサイ ズを指定 し ます
(範囲: 512 ~ 896 ビ ッ ト )。
- サーバー キーはプ ラ イ ベー ト キーであるため、ス イ ッ チ外で共有 さ れる こ と はあ り ません。
- ホス ト キーは SSH ク ラ イ アン ト と 共有さ れ、 サイズは 1024 ビ ッ ト に固定 されています。
ウ ェ ブ – 「Security」、 「SSH」、 「Settings」 の順に ク リ ッ ク し ます。SSH を有効に し 、 必要に 応 じ て認証パ ラ メ ー タ を調整 し て、 「Apply」 を ク リ ッ ク し ます。SSH サーバーを有効にする 前に、 「SSH Host-Key Settings」 ページ でホス ト キー ペア を生成 し てお く 必要があ り ます。
図3-24. SSH サーバー設定
3
ユーザー認証
CLI – こ の例では、SSH を有効に し 、 認証パ ラ メ ー タ を設定 し て、 現在の コ ン フ ィ ギ ュ レ ー シ ョ ン を表示 し ています。 管理者が SHH によ っ て接続を確立 し 、 その後 この接続を無効に し た こ と が示 さ れています。
ポー ト セキ ュ リ テ ィ の構成
ポー ト セキ ュ リ テ ィ は、 ス イ ッ チ ポー ト に対 し 、 そのポー ト を通 じ たネ ッ ト ワー ク ア ク セス を許可するデバイ スの MAC ア ド レ ス を 1 つまたは複数構成する こ と ので き る機能です。
ポー ト でポー ト セキ ュ リ テ ィ が有効に さ れている場合、ス イ ッ チは指定ポー ト での新規 MAC ア ド レ スの学習を、 構成 さ れてい る最大数に達 し た時点で停止 し ます。 送信元ア ド レ スがダ イ ナ ミ ッ ク ま たはス タ テ ィ ッ ク ア ド レ ス テ ーブルに保存 さ れてい る着信 ト ラ フ ィ ッ ク のみ が、 そのポー ト を通 じ たネ ッ ト ワー ク ア ク セ スが許可 さ れてい る も の と し て受理 さ れます。
未許可の MAC ア ド レ ス を持つデバ イ スがそのス イ ッ チ ポー ト を使用 し よ う と する と 、 侵入 と し て検知 さ れ、 ス イ ッ チはそのポー ト を無効に し て ト ラ ッ プ メ ッ セージ を送信する こ と に よ っ て自動的に対処する こ と がで き ます。
ポー ト セキ ュ リ テ ィ を使用するには、 ポー ト で許可する最大ア ド レ ス数を指定 し 、 そのポー ト で受信する フ レームの <送信元 MAC ア ド レ ス、VLAN> のペア を ス イ ッ チに動的に学習 さ せます。 ス タ テ ィ ッ ク ア ド レ ス テーブル (3-89 ページ) を使用 し て、 手動でセキ ュ ア ア ド レ ス をポー ト に追加する こ と も で き ます。 ポー ト の MAC ア ド レ スが最大数に達する と 、 ポー ト では学習が停止 さ れます。 ア ド レ ス テーブルに登録 さ れてい る MAC ア ド レ スはそのま ま 維持 さ れ、 経年処理に よ っ て削除 さ れる こ と はあ り ません。 こ のポー ト を使用 し よ う と す る その他のデバイ スはス イ ッ チにア ク セスで き ません。
コ マ ン ド の使用
• セキ ュ ア ポー ト には次の制約があ り ます。
- ポー ト モニ タ リ ン グ を使用する こ と はで き ません。
- マルチ VLAN ポー ト では使用で き ません。
- ス タ テ ィ ッ ク またはダ イ ナ ミ ッ ク ト ラ ン クの メ ンバー と し て使用する こ と はで き ません。
- ネ ッ ト ワー ク相互接続デバイ スには接続 し ないで く だ さ い。
• セキ ュ ア ポー ト で許可 さ れるデ フ ォル ト の最大 MAC ア ド レ ス数は 0 です。 ア ク セ ス を許 可するポー ト に対 し 、 最大ア ド レ ス数を 1 ~ 20 の範囲で構成する必要があ り ます。
Console(config)#ip ssh server 4-36
Console(config)#ip ssh timeout 100 4-37
Console(config)#ip ssh authentication-retries 5 4-37 Console(config)#ip ssh server-key size 512 4-38 Console(config)#end
Console#show ip ssh 4-40
SSH Enabled - version 2.0
Negotiation timeout: 120 secs; Authentication retries: 3 Server key size: 768 bits
Console#show ssh 4-41
Information of secure shell
Session Username Version Encrypt method Negotiation state --- --- --- --- 0 admin 2.0 cipher-3des session-started
Console#disconnect 0 4-17
Console#
• セキ ュ リ テ ィ 違反に よ っ てポー ト が無効に (シ ャ ッ ト ダウ ン) さ れた場合、 「Port」 、 「Port Configuration」 の順に選択 し て表示 さ れるページ (3-68ページ) か ら手動で再度有効にす る必要があ り ます。
コ マ ン ド 属性
• 「Port」 – ポー ト 番号
• 「Name」 – 説明文 (4-125ページ)
• 「Action」 – ポー ト セキ ュ リ テ ィ 違反が検知 さ れた場合に実行する ア ク シ ョ ン を指定 し ます。
- 「None」 : ア ク シ ョ ン を実行 し ません (デ フ ォル ト )。
- 「Trap」 : SNMP ト ラ ッ プ メ ッ セージ を送信 し ます。
- 「Shutdown」 : ポー ト を無効に し ます。
- 「Trap and Shutdown」: SNMP ト ラ ッ プ メ ッ セージ を送信 し 、 ポー ト を無効に し ます。
• 「Security Status」 – ポー ト でポー ト セキ ュ リ テ ィ を有効ま たは無効に し ます
(デ フ ォル ト: オ フ)。
• 「Max MAC Count」 – ポー ト で学習する最大 MAC ア ド レ ス数 (範囲: 0 ~ 20)
• 「Trunk」 – ポー ト が ト ラ ン クの メ ンバーの場合、 ト ラ ン ク 番号
(3-71ページおよび 3-72ページ)
ウ ェ ブ – 「Security」、 「Port Security」 の順に ク リ ッ ク し ます。 ポー ト で無効な ア ド レ スが検 知 さ れた場合のア ク シ ョ ン を設定 し 、「Status」列でセキ ュ リ テ ィ を有効にするポー ト のチ ェ ッ ク ボ ッ ク ス を オ ンに し ます。次に、ポー ト で許可する最大 MAC ア ド レ ス数を設定 し 、「Apply」
を ク リ ッ ク し ます。
図3-25. ポー ト セキ ュ リ テ ィ
3
ユーザー認証
CLI – 次の例では、 タ ーゲ ッ ト ポー ト を選択 し 、 ポー ト セキ ュ リ テ ィ ア ク シ ョ ン と し て ト ラ ッ プの送信 と ポー ト の無効化を設定 し ています。 次に、 最大ア ド レ ス数を設定 し て、 その ポー ト でポー ト セキ ュ リ テ ィ を有効に し ています。
802.1x ポー ト 認証の構成
ネ ッ ト ワー ク ス イ ッ チでは、 ク ラ イ ア ン ト PC を接続する だけでネ ッ ト ワー ク リ ソ ースへの オープ ン で簡単な ア ク セ スが提供 さ れます。 こ のよ う に自動的に構成 さ れ、 ア ク セ スが可能 にな る こ と は望ま し い機能であ る一方、 未許可の人間が容易に侵入 し 、 機密性の高いネ ッ ト ワー ク デー タ にア ク セスする可能性も あ り ます。
IEEE 802.1x (dot1x) 規格では、 最初にユーザーに認証のための資格情報を要求する こ と に
よ っ て不正ア ク セス を防止する、ポー ト ベースのア ク セス制御手順が定義 さ れています。ネ ッ ト ワー クのすべてのス イ ッ チ ポー ト へのア ク セ ス をサーバーか ら一元管理する こ と がで き ま す。 すなわち、 許可 さ れたユーザーであれば、 ネ ッ ト ワー ク のどの場所か ら も 同 じ 資格情報 を使用 し て認証を受ける こ と がで き ます。
こ のス イ ッ チは、EAPOL
(Extensible Authentication Protocol over LAN) に よ っ て ク ラ イ ア ン ト と 認証 プ ロ ト コ ル メ ッ セ ー ジ を 交換 し 、RADIUS 認証サ ー バ ー が ユ ー ザー ア イ デ ン テ ィ テ ィ と ア ク セ ス 権を照合 し ます。 ク ラ イ ア ン ト (要 求側) がス イ ッ チ ポー ト に接続する と 、 ス イ ッ チ (認証側) は EAPOL ア イ デ ン テ ィ テ ィ 要求 で 応答 し ま す。 ク ラ イ ア ン ト が EAPOL 応答で
ユーザー ア イ デン テ ィ テ ィ (ユーザー名な ど) を ス イ ッ チに供給する と 、 ス イ ッ チは こ の情 報を RADIUS サーバーに転送 し ます。RADIUS サーバーはク ラ イ ア ン ト ア イ デン テ ィ テ ィ を 照合 し 、 ア ク セス チ ャ レ ン ジ を ク ラ イ ア ン ト に送信 し ます。RADIUS サーバーから送信 さ れ る EAP パケ ッ ト には、 チ ャ レ ン ジのほか、 使用する認証方式が保持 さ れています。 ク ラ イ ア ン ト は、 ク ラ イ ア ン ト ソ フ ト ウ ェ ア と RADIUS サーバーの コ ン フ ィ ギ ュ レ ーシ ョ ン に応 じ て、 こ の認証方式を拒否 し 、 別の方式を要求す る こ と も で き ます。 現在サポー ト さ れてい る 認証方式は MD5 のみです。 認証方式が適切な場合、 ク ラ イ ア ン ト はパスワー ド を送信 し て応 答 し ます。RADIUS サーバーは ク ラ イ ア ン ト の資格情報を照合 し 、 パケ ッ ト を受理ま たは拒 否す る こ と で応答 し ます。 認証に成功す る と 、 ク ラ イ ア ン ト はス イ ッ チ経由でネ ッ ト ワー ク にア ク セス で き る よ う にな り ます。 失敗 し た場合、 ネ ッ ト ワー ク ア ク セスは拒否 さ れ、 ポー
ト はブ ロ ッ ク さ れたま まにな り ます。
Console(config)#interface ethernet 1/5
Console(config-if)#port security action trap-and-shutdown 4-76 Console(config-if)#port security max-mac-count 20
Console(config-if)#port security Console(config-if)#
802.1x client
RADIUS server
1. Client attempts to access a switch port.
2. Switch sends client an identity request.
3. Client sends back identity information.
4. Switch forwards this to authentication server.
5. Authentication server challenges client.
6. Client responds with proper credentials.
7. Authentication server approves access.
8. Switch grants client access to this port.
ス イ ッ チで 802.1x を機能 さ せる には、 次の条件が満た さ れている必要があ り ます。
• ス イ ッ チに IP ア ド レ スが割 り 当て られている必要があ り ます。
• ス イ ッ チで RADIUS 認証が有効に さ れ、RADIUS サーバーの IP ア ド レ スが指定 さ れてい る必要があ り ます。
• 使用する各ス イ ッ チ ポー ト が dot1x「自動」 モー ド に設定 さ れている必要があ り ます。
• 認証を受ける必要のある各ク ラ イ ア ン ト に dot1x ク ラ イ ア ン ト ソ フ ト ウ ェ アがイ ン ス ト ー ル さ れ、 適切に構成 さ れている必要があ り ます。
• RADIUS サーバーおよび 802.1x ク ラ イ ア ン ト では EAP がサポー ト さ れます (ス イ ッ チで は、 サーバーか ら ク ラ イ ア ン ト への EAP パケ ッ ト の引渡 し において EAPOL のみがサポー
ト さ れる)。
• RADIUS サーバーおよびク ラ イ ア ン ト で も同 じ EAP 認証 タ イ プ、 すなわち MD5 がサポー ト さ れている必要があ り ます (ク ラ イ ア ン ト によ っ ては Windows でネ イ テ ィ ブ サポー ト が 提供さ れるが、 それ以外の場合は dot1x ク ラ イ ア ン ト でサポー ト さ れている必要がある)。
802.1x
グローバル設定の表示dot1x プ ロ ト コ ルには、 ク ラ イ ア ン ト と ス イ ッ チ (認証側) 間で実行 さ れる認証プ ロ セ スおよ びス イ ッ チ と 認証サーバー間で実行 さ れる ク ラ イ ア ン ト ア イ デ ン テ ィ テ ィ のル ッ ク ア ッ プ プ ロ セス を制御する グ ローバル パ ラ メ ー タ が含まれています。 こ の項目では、 こ れ らのパラ メ ー タ について説明 し ます。
コ マ ン ド 属性
• 「802.1X Re-authentication」 – 特定期間の経過後、 ス イ ッ チ ポー ト がク ラ イ ア ン ト に再認 証を要求するかど う かが示 さ れます。
• 「802.1X Max Request Count」 – ス イ ッ チ ポー ト がク ラ イ ア ン ト に EAP 要求パケ ッ ト を再 送する最大回数。 こ の回数に達する と 、 認証セ ッ シ ョ ンは タ イ ムアウ ト にな り ます。
• 「Timeout For Quiet Period」 – 最大要求回数を超えた場合に、 ス イ ッ チ ポー ト が新規ク ラ イ ア ン ト の取得を待機する時間が示 さ れます。
• 「Timeout For Re-authentication Period」 – 接続済みのク ラ イ ア ン ト に再認証を要求する ま での期間が示 さ れます。
• 「Timeout For Tx Period」 – 認証セ ッ シ ョ ンにおいてス イ ッ チが EAP パケ ッ ト の再送を待 機する期間
• 「Supplicant Timeout」 – EAP 要求に対する ク ラ イ ア ン ト の応答を ス イ ッ チが待機する時間
• 「Server Timeout」 – 認証要求に対する 認証サーバー (RADIUS) の応答を ス イ ッ チが待機 する時間
• 「Re-authentication Max Count」 – ス イ ッ チが接続ク ラ イ ア ン ト の再認証を試行する最大 回数。 こ の回数に達する と 、 ポー ト は未認証の状態にな り ます。