ネットワークデバイスのセキュリティ②（SSH、ポートセキュリティ）〜CCNA試験対策〜

SSH

---

SSH(Security SHell)は強力な暗号化と認証機能によって、安全にリモートログインをするためのプロトコルになります。telnetの場合、データーはすべて暗号化はされないのですがSSHはすべて暗号化するためtelnetよりさらにセキュリティが高く、SSHを使うよう推奨されています。

ではSSHの設定不法を見ていきましょう

1. ユーザーアカウントの作成

構文

(config)#username[username]password[password] [username]と[password]には好きな名前を付けることができます

例

(config)#username admin1 password cisco

2. ホスト名の設定

構文

(config)#hostname[hostname] [hostname]には好きな名前がつけれます

(config)#hostname ssh

3. ドメイン名の設定

構文

(config)#ip domein-name[domain-name] [domain-name]には好きなドメインネームをつけることができます。

(config)#ip domein-name www.dafuman.com

4. 暗号鍵の生成

(config)#crypto key generate rsa [modulus<module-size>]

<module-size>には鍵長を決定します

暗号鍵とは？

クライアントとSSHサーバー間で使用する公開鍵と秘密鍵というものがあります。

これの長さを決めます。1024ビットで設定する場合、<module-size>に1024を入れる

(config)#crypto key generate rsa modulus 1024

5. SSHバージョンを設定

構文

(config)#ip ssh version 2

1と２がありますが１は脆弱性が発見されてるため通常２を使用する

6. SSHの許可

VTYポートにたいしてSSHを許可するコマンド

構文

(config)#line vty [0~4] [0~4]には０～４または好きな数字から数字を入れることができます

(config-line)#transport input ssh

この後有効化が必要

(config-line)login local

コマンドばかりで大変ですが、一度パケットトレーサーにいれてためしてください。

EXECセッションのタイムアウト

ルーターにログインして一定時間何もしないと自動的にセッションを切る動作為のコマンドです

(config-line)#exec-timeout<minutes>

<minutes>には0～35791の範囲で設定ができる。

ポートセキュリティ

---

ポートセキュリティとはスイッチの物理ポートに対して許可されたMACアドレスを登録し、許可していないMACアドレスを破棄する機能です。

許可されたMACアドレスをセキュアMACアドレスといいます

.セキュアMACアドレスは以下３つのMACアドレスタイプをサポートしています

スタティック　手動登録

ダイナミック　自動登録　送信元MACアドレスがMACアドレステーブルに登録される

スティッキー　自動登録　送信元MACアドレスがMACアドレステーブルに登録され、さらにrunning-configにも登録されます。

スティッキーラーニング

自動登録　送信元MACアドレスがMACアドレステーブルに登録され、さらにrunning-configにも登録されます。

ポートセキュリティ

許可していないMACアドレスからの送信があった場合に、どのような対処をとるかが決められています。

ではポートセキュリティの設定を確認していきましょう

スイッチポートのモード指定

1. ポートセキュリティの有効化

(config)# interface interface-id

(config-if)# switchport mode [ access | trunk ]

2. 許可MACアドレスの最大数の決定

デフォルトで許可MACアドレスの最大数は”1″と設定されています。このデフォルト値を変更したい場合に使用します。

(config-if)# switchport port-security maximum [number] [number]の部分で数字を変更できる

3. 違反モードの決定

デフォルトで、違反モードはshutdownと設定されています。このデフォルト値を変更したい場合使用します

(config-if)# switchportport-security violation [ protect | restrict | shutdown ]

4. セキュアMACアドレスの設定

デフォルトで、セキュアMACアドレスのタイプはダイナミックと設定されているので、デフォルト値を変更したい場合、使用します

(config-if)# switchport port-security mac-address [mac-address] [mac-address]には機器のmacアドレスを入力できます

覚えるには何回もコマンドを打つしかありません。頑張っていきましょう

次のページ　★２５CDP( Cisco Discovery Protocol ）