セキュリティ対策
ユーザーアカウントの権限レベル
AAA
AAAとはAutentication(認証)、Authorization(許可)、Accounting(アカウンティング)の頭文字を繋げたものです。これら3つのセキュリティ機能を提供する仕組みを表しています。
認証:ユーザの識別
ユーザID/パスワード、デジタル証明書などの有効なクレデンシャルを確認し、正当なユーザかどうかを識別します。
許可:認証に成功したユーザに対して権限を制限
認証されたユーザに対して提供するネットワークサービスを制限します。
アカウンティング:認証に成功したユーザの情報を収集
ユーザがネットワークに接続したり、機器にログインしたりする際のログを記録することができます。
RADIUSとTACACS+
RADUSとTACACS+はAAAのセキュリティ機能を提供するプロトコルです。
RADUS
- IETF標準
- UDP
- パスワードのみ暗号化
- 認証と許可を統合
TACACS+
- シスコ独自
- TCP
- パケット全体を暗号化
- AAA機能をすべて独立
AAAによる認証の設定
(config)#aaa authentication { タイプ } { default | リスト名 } { メソッド名 }
例)(config)#aaa authentication login default group radius local
CoA
CoA(Change-of-Authorizaition)はRADIUS許可の変更を意味します。AAAサーバがAAAクライアントにCoA要求パケットを送信し、すでに存在しているセッションの再認証を行います。これにより新しいポリシーを適用できます。
プロトコル | RADIUS | TACACS+ |
---|---|---|
標準化 | IETF標準(RFC2865、2866) | シスコ独自 |
TCP/UDP | UDP | TCP |
ポート番号 | 1812、1813 | 49 |
暗号化 | パスワードのみ暗号化 | パケット全体を暗号化 |
AAAアーキテクチャ | 認証と許可は1つに統合、アカウンティングは独立している | 認証、許可、アカウンティングはすべて独立している |
IEEE 802.1X
IEEE 802.1Xの構成要素
コマンド
AAAによる認証の設定
(config)#aaa authentication [ タイプ ] [ デフォルト | リスト名 ] [ method1 ] [ method2 ] …
認証タイプ | 説明 |
---|---|
login | ログイン認証 |
enable | 特権モードの移行するための認証(適用回線はdefaultのみ) |
dot1x | IEEE 802.1xの認証 |
リスト種類 | 説明 |
---|---|
default | 全ての回線(aux、console、vtyなど)にデフォルトで適用されているリスト |
リスト名 (任意の名前) | 回線ごと個別に適用可能なリスト |
method種類 | 説明 |
---|---|
group radius | Radiusサーバによる認証を行う |
group tacacs+ | TACACS+サーバによる認証を行う |
local | ローカルデータベースで指定した「ユーザ名」と「パスワード」で認証を行う (config)#username [ ユーザ名 ] password [パスワード] |
line | lineで指定した「パスワード」で認証を行う (config-line)#password [パスワード] |
enable | enableで指定した「パスワード」で認証を行う (config)#enable [ password | secret ] [パスワード] |
none | 認証せずログインを許可 |
<特権モードに移行するための認証の優先度>
優先度 | ||
---|---|---|
1 | (config)#aaa authentication enable default [ method ] | 左記の「method」で指定した方法で認証を行う |
2 | (config)#enable secret [ パスワード ] | 左記で指定した「パスワード」で認証を行う |
3 | (config)#enable password [ パスワード ] | 左記で指定した「パスワード」で認証を行う |
リスト名を使用した適用
(config)#line [ aux | console | vty ] [ 番号 ] [ 終了番号 ]
(config-if)#login authentication [ デフォルト | リスト名 ]
aux | auxポートの設定モードに移行 |
console | コンソールポートの設定モードに移行 |
vty | vtyポートの設定モードに移行 |
番号 | ポートの開始番号を指定 |
終了番号 | ポートの終了番頭を指定 ポートの開始番号を「0」、終了番号を「4」とすることで「0〜4」のポートにまとめて同じ設定ができる |
default | デフォルトで適用されているリスト |
リスト名 | リストで定義したリスト名 回線に適用したいメソッドリストを指定 |
PKI
PKI(PUblic Key Infrastructure:公開鍵基盤)は公開鍵暗号方式による通信を安全に行うための基盤です。