Appearance
Device Access Control
| 項目 | 内容 |
|---|---|
| AAA | → 5.6 AAA に分離 |
| ローカル認証 | 最低限の緊急アクセスを確保 |
| 外部認証 | RADIUS/TACACS+ で一元管理 |
| 設定目的 | コンフィグモード | コマンド例 |
|---|---|---|
| AAA有効化 | Global config | aaa new-model |
| ローカルユーザー | Global config | username admin secret <password> |
VTYアクセス設定
| 設定目的 | コンフィグモード | コマンド例 |
|---|---|---|
| パスワード設定 | Line config | password <password> |
| パスワード認証有効化 | Line config | login |
| ローカルDB認証有効化 | Line config | login local |
| 権限レベル指定 | Line config | privilege level {0-15} |
| 自動切断(無操作) | Line config | exec-timeout <分> <秒> |
| 自動切断(セッション開始から) | Line config | absolute-timeout <分> |
| 受信プロトコル指定 | Line config | transport input {telnet|ssh|all|none} |
| 送信プロトコル指定 | Line config | transport output {telnet|ssh|all|none} |
| ACLによるアクセス制御 | Line config | access-class <ACL番号> in |
重要: login はパスワード認証、login local はローカルデータベース(username)認証。用途が異なる。
重要: exec-timeout は無操作時の自動切断(0分0秒で無効)。absolute-timeout は操作の有無に関わらずセッション開始からの経過時間で強制切断(0分=デフォルトで無効)。
重要: transport input はVTYポートへの着信プロトコル(外部からの接続受付)。transport output はそのライン(console/VTY)から他デバイスへの発信プロトコル。未設定時のデフォルトはoutput側が制限なし(all)。
Enable パスワード
| 設定目的 | コンフィグモード | コマンド例 |
|---|---|---|
| 特権モードパスワード(非推奨) | Global config | enable password <password> |
| 特権モードパスワード(推奨) | Global config | enable secret <password> |
重要: enable password と enable secret の両方が設定されている場合、セキュリティレベルの高い enable secret が優先される。enable password はType 7(可逆)、enable secret はMD5以上(不可逆)で保存される。
重要: enable password と enable secret のどちらも設定されていない場合、line console に設定されたパスワードが特権モード移行時のパスワードとして使われる。
権限レベル(Privilege Level)
使用できるコマンドを制限する機能。レベル0〜15。
| レベル | 用途 | 説明 |
|---|---|---|
| 0 | 限定コマンドのみ | logout, enable, disable 等 |
| 1 | ユーザモード(デフォルト) | show系コマンド等 |
| 15 | 特権モード | 全コマンド使用可能 |
重要: VTYで privilege level 15 を設定すると、ログイン後に直接特権モードでセッションが開始される。
ユーザアカウント作成
| 設定目的 | コンフィグモード | コマンド例 |
|---|---|---|
| ユーザ作成(secret) | Global config | username <name> privilege <level> secret <password> |
| ユーザ作成(password) | Global config | username <name> privilege <level> password <type> <password> |
| passwordタイプ | 意味 |
|---|---|
| 0 | 平文パスワードを指定(デフォルト) |
| 7 | 暗号化済みパスワードを指定(平文を指定するとエラー) |
| secretタイプ | アルゴリズム | 強度 |
|---|---|---|
| 0 | 平文(入力時のみ、保存時にハッシュ化) | ✗ |
| 5 | MD5(1,000回反復、32bitソルト) | 弱(非推奨) |
| 8 | PBKDF2-SHA256(20,000回反復、80bitソルト) | 強(推奨) |
| 9 | Scrypt(メモリ高負荷、GPU耐性あり) | 強(推奨) |
重要: secret はハッシュで保存(推奨)。password はType 7の可逆暗号で保存(非推奨)。password 7 に平文を入れるとエラーになる。Type 5は現在非推奨、Type 8/9への移行が推奨。
autocommand
ログイン時に自動的にコマンドを実行する設定。
(config)#username {ユーザ名} autocommand {コマンド}重要: autocommandで指定されたコマンドが実行された後、セッションは自動的に終了する。
service password-encryption
| 設定目的 | コンフィグモード | コマンド例 |
|---|---|---|
| パスワード暗号化有効化 | Global config | service password-encryption |
平文(Type 0)で保存されているパスワードをType 7(Vigenere)で暗号化する。
重要: secret は既にMD5以上でハッシュ化されているため、service password-encryption を実行しても変化しない。影響を受けるのは password で設定された平文パスワードのみ。
HTTP/HTTPSによるデバイス管理
| 設定目的 | コンフィグモード | コマンド例 |
|---|---|---|
| HTTPサーバ有効化 | Global config | ip http server |
| HTTPサーバ無効化 | Global config | no ip http server |
| HTTPSサーバ有効化 | Global config | ip http secure-server |
| HTTPSサーバ無効化 | Global config | no ip http secure-server |
| ACL適用 | Global config | ip http access-class <ACL番号> |
重要: HTTPは暗号化されないため無効化推奨。ACL番号は標準ACL(1〜99)のみ指定可能。
NAC (Network Access Control)
ユーザやデバイスを認証で識別し、適切なアクセス権限を与える制御方法。
認証方法
| 認証方法 | 説明 | 優先順位 |
|---|---|---|
| IEEE 802.1X | 認証用クライアントソフト(サプリカント)を使用 | 1st(最優先) |
| MAB (MAC Authentication Bypass) | デバイスのMACアドレスで認証 | 2nd(802.1Xのフォールバック) |
| Web認証 (WebAuth) | ブラウザでユーザ名/パスワードを入力 | 3rd(802.1X/MABのフォールバック) |
Web認証の種類
| 種類 | 説明 |
|---|---|
| LWA (Local Web Authentication) | スイッチ/WLCが提供するWebポータルで認証。入力情報はRADIUSサーバに送信 |
| CWA (Central Web Authentication) | Cisco ISEを使用して認証を行う方式 |
重要: 認証のフォールバック順序は 802.1X → MAB → Web認証。アクセス制御にはTrustSec(SGTベース)が使われる。
Cisco ISE (Identity Services Engine)
ネットワーク上のセキュリティポリシーを一元管理するプラットフォーム。
ISEの主な機能
| 機能 | 説明 |
|---|---|
| ゲストポータル | ゲストユーザ向け認証ポータルを提供 |
| SGT管理 | ユーザのグループ分け用SGT(Security Group Tag)を一元管理 |
| pxGrid | セキュリティ製品間の統合規格。脅威の軽減・修復・封じ込めを実施 |
重要: pxGrid(Platform Exchange Grid)はISEの機能の一つで、異なるセキュリティ製品間でコンテキスト情報を共有し、ネットワーク全体のセキュリティ脅威の修復を行う。SD-AccessやNGFWの機能ではない。
ゲストユーザのネットワーク利用フロー
| 順序 | 内容 |
|---|---|
| ① | ゲストユーザがネットワークに接続 |
| ② | WLC等のネットワークデバイスの認可設定によって、ISEのゲストポータルへリダイレクトされる |
| ③ | ゲストポータルにてアカウントを作成し、クレデンシャル(ユーザ名/パスワード)でログインすることでネットワーク利用が可能になる |
重要: ゲストユーザが利用するDNSサーバに、ゲストポータルのDNSレコードが登録されている必要がある。ゲストポータルのFQDNとIPアドレスが正しく登録されていないと名前解決が行えず、リダイレクトが機能しない。