Secure Shell 設定

Secure Shell (SSH)は、それ以前からあったバークレーリモートアクセスツールのセキュリ

ティ面を確保した代替としてサーバ/クライアントアプリケーションを含んでいます。ま た、SSHはTelnetに代わる本機へのセキュアなリモート管理アクセスを提供します。

クライアントがSSHプロトコルによって本機と接続する場合、本機はアクセス認証のため にローカルのユーザ名およびパスワードと共にクライアントが使用する公開暗号キーを生成 します。さらに、SSHでは本機とSSHを利用する管理端末の間の通信をすべて暗号化し、

ネットワーク上のデータの保護を行ないます。

[注意] SSH経由での管理アクセスを行なうためには、クライアントにSSHクライアント

をインストールする必要があります。

[注意]  本機ではSSH Version1.5と2.0をサポートしています。

機能解説

本機のSSHサーバはパスワード及びパブリックキー認証をサポートしています。SSHクラ イアントによりパスワード認証を選択した場合、認証設定ページで設定したパスワードによ り本機内、RADIUS、TACACS+のいずれかの認証方式を用います。クライアントがパブ リックキー認証を選択した場合には、クライアント及び本機に対して認証キーの設定を行な う必要があります。

公開暗号キー又はパスワード認証のどちらかを使用するに関わらず、本機上の認証キー

（SSHホストキー）を生成し、SSHサーバを有効にする必要があります。

SSHサーバを使用するには以下の手順で設定を行ないます。

（1）ホストキーペアの生成 ― SSHホストキー設定ページでホスト パブリック/プライ ベートキーのペアを生成します。

（2）ホスト公開キーのクライアントへの提供 ― 多くのSSHクライアントは、本機との 自動的に初期接続設定中に自動的にホストキーを受け取ります。そうでない場合に は、手動で管理端末のホストファイルを作成し、ホスト公開キーを置く必要があり ます。ホストファイル中の公開暗号キーは以下の例のように表示されます。

10.1.0.54 1024 35

1568499540186766925933394677505461732531367489083654725415020245593 199868544358361651999923329781766065830956

1082591321289023376546801726272571413428762941301196195566782 5956641048695742788814620651941746772984865468615717739390164779355 9423035774130980227370877945452408397175264635805817671670957480477 6117

（3）クライアント公開キーの本機への取り込み ― P4-91「copy tftp public-key」コマン ドを使用し、SSHクライアントの本機の管理アクセスに提供される公開キーを含む ファイルをコピーします。クライアントへはこれらのキーを使用し、認証が行なわ れます。現在のファームウェアでは以下のようなUNIX標準フォーマットのファイ ルのみ受け入れることが可能です。

1024 35

1341081685609893921040944920155425347631641921872958921143173880055 53616163105177594083868631109291232226828519254374603100937187721199 69631781366277414168985132049117204830339254324101637997592371449011 9380060902539484084827178194372288402533115952134861022902978982721 353267131629432532818915045306393916643  [email protected]

（4）オプションパラメータの設定 ― SSH設定ページで、認証タイムアウト、リトライ 回数、サーバキーサイズなどの設定を行なってください。

（5）SSHの有効化 ― SSH設定ページで本機のSSHサーバを有効にして下さい。

（6）Challenge/Response認証 ― SSHクライアントが本機と接続しようとした場合、

SSHサーバはセッションキーと暗号化方式を調整するためにホストキーペアを使用 します。本機上に保存された公開キーに対応するプライベートキーを持つクライア ントのみアクセスすることができます。

以下のような手順で認証プロセスが行なわれます。

ａ.クライアントが公開キーを本機に送ります。

ｂ.本機はクライアントの公開キーとメモリに保存されている情報を比較します。

ｃ.一致した場合、公開キーを利用し本機はバイトの任意のシーケンスを暗号化し、その 値をクライアントに送信します。

ｄ.クライアントはプライベートキーを使用してバイトを解読し、解読したバイトを本機 に送信します。

ｅ.本機は、元のバイトと解読されたバイトを比較します。2つのバイトが一致した場 合、クライアントのプライベートキーが許可された公開キーに対応していることを 意味し、クライアントが認証されます。

[注意] パスワード認証と共にSSH を使用する場合にも、ホスト公開キーは初期接続時又

は手動によりクライアントのホストファイルに与えられます。但し、クライアント キーの設定を行なう必要はありません。

[注意]  SSHサーバはTelnetとあわせて最大4クライアントの同時セッションをサポート

します。

ホストキーペアの生成

ホスト公開/プライベートキーペアは本機とSSHクライアント間のセキュアな接続のため に使用されます。

キーペアが生成された後、ホスト公開キーをSSHクライアントに提供し、上記の機能解説 の通りにクライアントの公開キーを本機に取り込む必要があります。

設定・表示項目

Public-Key of Host-Key ホストへのパブリックキー

−RSA: 最初のフィールドはホストキーのサイズ(1024)を表しています。2番目のフィー

ルドはエンコードされたパブリック指数(65537)、最後の値はエンコードされた係数 を表しています。

−DSA: 最初のフィールドはデジタル署名標準(DSS)に基づくSSHによって私用される暗 号化方法を表示します。最後の値はエンコードされた係数を表します。

Host-Key Type

キータイプは（公開キー、プライベートキーの）ホストキーペアを生成するために使用され ます（設定範囲：RSA, DSA, Both、初期設定：RSA）

クライアントが本機と最初に接続を確立する場合、SSHサーバはキー交換のためにRSA又 はDSAを使用します。その後、データ暗号化にDES(56-bit)又は3DES(168 -bit)のいずれ かを用いるためクライアントと調整を行ないます。

Save Host-Key from Memory to Flash

ホストキーをRAMからフラッシュメモリに保存します。ホストキーペアは初期設定では RAMに保存されています。ホストキーペアを生成するには、事前にこのアイテムを選択す る必要があります。

Generate

ホストキーペアを生成します。SSHサーバ設定ページでSSHサーバを有効にする前に、ホ ストキーペアを生成する必要があります。

Clear

RAM及びフラッシュメモリの両方に保存されているホストキーを削除します。

設定方法

[Security]→[SSH Host-Key Settings]をクリックします。ドロップダウンボックスからホス

トキータイプ(host-key type)を選択し、必要に応じてsave the host key from memory to

flashにチェックを入れます。その後、[Generate]をクリックし、キーの生成を行ないます。

SSH サーバ設定

認証用のSSHサーバの設定

設定・表示項目

SSH Server Status

SSHサーバ機能を有効または無効にします（初期設定:無効(Disabled)）

Version

Secure Shellのバージョンナンバー。Version 2.0と表示されていますが、Version1.5と2.0 の両方をサポートしています。

SSH authentication timeout

SSHサーバの認証時に認証端末からの応答を待つ待機時間（1-120（秒）、初期設定:120（秒））

SSH authentication retries

認証に失敗した場合に、認証プロセスを再度行うことができる回数。設定した回数を超える と認証エラーとなり、認証端末の再起動を行う必要があります（1-5、初期設定:3回）

SSH Server-Key Size

SSHサーバのキーサイズ（設定範囲：512-896ビット、初期設定:768ビット）

− サーバキーはプライベートキーで、本機以外とは共有しません。

− SSHクライアントと共有されるホストキーは、1024ビット固定です。

設定方法

[Security]→[SSH Settings]をクリックします。SSHを有効にし、必要に応じて各項目の設

定を行い、[Apply]をクリックします。SSHサーバを有効にする際は、事前にSSH Host-Key Settings pageでhost key pairを生成する必要があります。