Cisco IOS Login Enhancements(前半)

はじめに

さて、次回のコンテンツは何かな~と(楽しみに)待っていた皆様、今回から
は12.3T以降で新しく追加された機能についていくつか解説します。

まずは12.3(4)Tから実装されている Cisco IOS Login Enhancement という機
能からお勉強しましょう。

今年のCCIE Routing and Switching Trackで使用されるIOSVersionは12.4なの
で、12.3Tの新機能が含まれています。CCIEという試験は範囲が超広範囲です
し、一回の受験料を考えると気軽に受験できないので、どんな問題が出てもい
いように入念に準備しておく必要があります。

Benefits

この機能が実装される前のIOSでは、

-Telnet(SSH)でログインした(された)ことをloggingできない
-HTTPでログインした(された)ことをloggingできない

という制限がありました。
つまり、誰かがRouterにリモートからログインできたとしても、それをSyslog
に残す手立てがなかったのです。

Global Configuration Modeから抜けたときはSyslogが出力されますが、その
時は既に設定を変更されている可能性がありますので、不正アクセスをすぐに
察知することはできません。

Cisco IOS Login Enhancements Featureを利用すると、これらのRouterへのア
クセスをSyslogに残せるようになります。

また、Local Databaseを使ったユーザ認証も使用すると、どのユーザが、いつ、
コンソール経由(またはvty経由)でLoginしたかを、Syslogを利用して容易に
追跡できるようになります。

ちなみに、この機能は一部のCatalyst(ハイエンドの機器)でしかサポートさ
れていないので注意が必要です。

Feature Overview

Cisco IOS Login Enhancementsは、Console、Telnet、SSH、HTTPでRouterにア
クセスした記録をSyslogに残すことができます。

また、辞書攻撃などのBrute-foce-attackの対策として、何回かLoginが失敗し
た場合に、再度Login Promptを表示するまでのDelayをかけることができたり、
一定時間Login要求を受け付けないようにしたりできます。

Delays Between Successive Login Attempts

あるLogin認証が失敗して、次のLogin Promptを表示するまでの間、一定のDelay
を設けることができます。Delayのやり方には以下の3つの方法があります。

-login delayというGlobal Configrationコマンドで、Delayさせる秒数を指定できます。
-login block-forというコマンドを使って、1秒のDelayを自動的に有効にできます。
-auto secureというコマンドを使って、1秒のDelayを自動的有効にできます。

#auto secureの説明は割愛します。
#詳しく知りたい方は、こちら。
http://www.cisco.com/univercd/cc/td/doc/product/software/ios124/124cg/hsec_c/part30/hatosec.htm

設定に関しては、次回以降で詳しくとりあげます。

Login Shutdown If DoS Attacks Are Suspected

以前のIOSでは何度Login認証に失敗してもLoginを試行することができました。
このFeatureが実装されてからは、一定の回数連続してLogin認証が失敗した場合、
DoS Attack(または不正アクセスのようなクラッキング)が発生していると判
断し、その後のLogin試行を一定時間全て拒否する”quiet period”を設定する
ことができます。

ちなみにACLを利用することで特定のホストからのLoginを”quiet period”にな
らないようにすることも可能です。

この機能(以降queit modeと呼びます)はDefaultで無効ですがautosecureを
有効にしているときは、quiet modeを有効にできません。

Generation System Logging Messages for Login Detection

quiet modeになったり、戻ったりするときは、Syslog Messegaが出力されます。
また、設定すればLoginに失敗・成功したことをSyslog Messageとして出力す
ることができます。

今現在はSyslogでの出力のみですが、将来的にはSNMP Trapも出せるようにな
る予定らしいです。(マニュアルにそう書いてありました)

さて、次回は設定のお話です。次回のコンテンツは、

-はじめに
-Default設定
-Configuring Cisco IOS Login Enhancements
-Configuration Example
-Advanced Configuring Exercise
-Further Reading

です。お楽しみに。

By 『Overseas and Beyond』 Koichi
http://overseasandbeyond.blogspot.com/

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA