セキュリティ対策

ユーザーアカウントの権限レベル

AAA

AAAとはAutentication(認証)、Authorization(許可)、Accounting(アカウンティング)の頭文字を繋げたものです。これら3つのセキュリティ機能を提供する仕組みを表しています。

認証:ユーザの識別

ユーザID/パスワード、デジタル証明書などの有効なクレデンシャルを確認し、正当なユーザかどうかを識別します。

許可:認証に成功したユーザに対して権限を制限

認証されたユーザに対して提供するネットワークサービスを制限します。

アカウンティング:認証に成功したユーザの情報を収集

ユーザがネットワークに接続したり、機器にログインしたりする際のログを記録することができます。

RADIUSとTACACS+

RADUSとTACACS+はAAAのセキュリティ機能を提供するプロトコルです。

RADUS

  • IETF標準
  • UDP
  • パスワードのみ暗号化
  • 認証と許可を統合

TACACS+

  • シスコ独自
  • TCP
  • パケット全体を暗号化
  • AAA機能をすべて独立

AAAによる認証の設定

(config)#aaa authentication { タイプ } { default | リスト名 } { メソッド名 }

例)(config)#aaa authentication login default group radius local

CoA

CoA(Change-of-Authorizaition)はRADIUS許可の変更を意味します。AAAサーバがAAAクライアントにCoA要求パケットを送信し、すでに存在しているセッションの再認証を行います。これにより新しいポリシーを適用できます。

プロトコルRADIUSTACACS+
標準化IETF標準(RFC2865、2866)シスコ独自
TCP/UDPUDPTCP
ポート番号1812、181349
暗号化パスワードのみ暗号化パケット全体を暗号化
AAAアーキテクチャ認証と許可は1つに統合、アカウンティングは独立している認証、許可、アカウンティングはすべて独立している

IEEE 802.1X

IEEE 802.1Xの構成要素

コマンド

AAAによる認証の設定

(config)#aaa authentication [ タイプ ] [ デフォルト | リスト名 ] [ method1 ] [ method2 ] …

認証タイプ説明
loginログイン認証
enable特権モードの移行するための認証(適用回線はdefaultのみ)
dot1xIEEE 802.1xの認証
リスト種類説明
default全ての回線(aux、console、vtyなど)にデフォルトで適用されているリスト
リスト名
(任意の名前)
回線ごと個別に適用可能なリスト
method種類説明
group radiusRadiusサーバによる認証を行う
group tacacs+TACACS+サーバによる認証を行う
localローカルデータベースで指定した「ユーザ名」と「パスワード」で認証を行う
(config)#username [ ユーザ名 ] password [パスワード]
linelineで指定した「パスワード」で認証を行う
(config-line)#password [パスワード]
enableenableで指定した「パスワード」で認証を行う
(config)#enable [ password | secret ] [パスワード]
none認証せずログインを許可

<特権モードに移行するための認証の優先度>

優先度
1(config)#aaa authentication enable default [ method ]左記の「method」で指定した方法で認証を行う
2(config)#enable secret [ パスワード ]左記で指定した「パスワード」で認証を行う
3(config)#enable password [ パスワード ]左記で指定した「パスワード」で認証を行う

リスト名を使用した適用

(config)#line [ aux | console | vty ] [ 番号 ] [ 終了番号 ]

(config-if)#login authentication [ デフォルト | リスト名 ]

auxauxポートの設定モードに移行
consoleコンソールポートの設定モードに移行
vtyvtyポートの設定モードに移行
番号ポートの開始番号を指定
終了番号ポートの終了番頭を指定
ポートの開始番号を「0」、終了番号を「4」とすることで「0〜4」のポートにまとめて同じ設定ができる
defaultデフォルトで適用されているリスト
リスト名リストで定義したリスト名
回線に適用したいメソッドリストを指定

PKI

PKI(PUblic Key Infrastructure:公開鍵基盤)は公開鍵暗号方式による通信を安全に行うための基盤です。