今までルータへのアクセス制限については特に話をしていませんでした。設定例の中では最低限の設定としてログインパスワードと管理パスワードの設定は記載していました。今回はルータへのアクセス制限などのセキュリティ設定を紹介します。
ログインパスワードと管理パスワード
■ログインパスワード
ログインパスワードはルータに一般ユーザとしてログインするためのパスワードになります。
|
1 2 3 4 5 |
# login password Old_Password:(今まで利用していたパスワード) New_Password:(新しいパスワード) New_Password:(新しいパスワード) # save |
上記は平文でパスワードを保存していますが、暗号化して保存する場合は下記になります。
|
1 2 3 4 5 |
# login password encrypted Old_Password:(今まで利用していたパスワード) New_Password:(新しいパスワード) New_Password:(新しいパスワード) # save |
■管理パスワード
管理パスワードはルータの設定変更を行うための管理ユーザのパスワードです。ログインパスワードと同じでパスワードの保存は平文と暗号化の2つあります。
平文での設定は
|
1 2 3 4 5 |
# administrator password Old_Password:(今まで利用していたパスワード) New_Password:(新しいパスワード) New_Password:(新しいパスワード) # save |
になります。
暗号化での設定は
|
1 2 3 4 5 |
# administrator password encrypted Old_Password:(今まで利用していたパスワード) New_Password:(新しいパスワード) New_Password:(新しいパスワード) # save |
になります。
ログインパスワードと管理パスワードを変更した時の「show config」の結果です。
ログインパスワードは暗号化、管理パスワードは平文でパスワードを設定しています。管理ユーザで「show config」で確認してもセキュリティの観点からパスワードを画面上で確認することはできません。
セキュリティクラス
セキュリティクラスはルータへのアクセスとパスワードに対する制限を設定します。
設定方法は
|
1 |
# security class (ログイン許可レベル) (パスワード) (TELNETクライアント) |
となります。項目が「ログイン許可レベル」「パスワード」「TELNETクライアント」の3つに分かれており、それぞれの設定値を指定します。
■ログイン許可レベル
各レベルの一覧です。
| ログイン許可レベル 設定値 |
シリアルポート からのログイン |
TELNET からのログイン |
遠隔地ルータ からのログイン |
| 1 | ○ | ○ | ○ |
| 2 | ○ | ○ | × |
| 3 | ○ | × | × |
例えばログイン許可レベルが3の場合、シリアルポートからの接続のみルータにログインすることができます。TELENTや遠隔地のルータからではログインはできません。
■パスワード
この設定はパスワードを忘れてしまってルータにログインできない時に、シリアルポートからの接続に限り、設定したパスワードの代わりに「w,lXlma」で管理ユーザとしてログインできるようにするか、しないかの設定です。
| 設定値 | パスワードを忘れた時のログイン |
| on | ○ |
| off | × |
設定値がoffの場合、パスワードを忘れた時はルータを初期化するしかありません。
■TELNETクライアント
TELNETクライアントとしてtelnetコマンドが使用できるようにするかしないかの設定です。
| 設定値 | telnetコマンドの使用 |
| on | ○ |
| off | × |
これらを踏まえた上でセキュリティクラスの初期値は
|
1 |
# security class 1 on off |
となっています。ルータの管理や利便性を考えた中でお勧めの設定は
|
1 |
# security class 2 on off |
をお勧めします。セキュリティクラスの設定はそれぞれの環境あった設定を行いましょう。
TELNETのアクセス制限
ルータを設定する時はtelnetでアクセスして設定するケースが多いと思います。最新機種ではWEBからでも設定できますが、詳細な設定については今でもコマンドで設定するしかありません。TELNETでアクセスできる初期値の制限は全てのホストからのアクセスを許可しています。もし、ログインパスワードや管理パスワードを設定していない場合は簡単にログインされてしまい乗っ取られてしまいます。そこでTELNETのアクセス制限は必ず行いましょう。
設定方法は
|
1 |
# telnetd host (設定値) |
となります。設定値について一覧にまとめてみます。
| 設定値 | 設定内容 | 設定例 |
| IPアドレス | 指定された1個のIPアドレスまたは 範囲指定したIPアドレスからのアクセスを 許可します。 |
192.168.1.10 192.168.1.10-192.168.1.20 |
| any | 全てのホストからのアクセスを 許可します。 |
any |
| none | 全てのホストからのアクセスを 禁止します。 |
none |
| LAN インタフェース名 |
指定したLANのインタフェースの接続のみ 許可します。 |
lan1 |
いくつか設定例を記載致します。
■複数のIPアドレスを登録
|
1 |
# telnetd host 192.168.1.10 192.168.1.15 |
登録するIPアドレスとIPアドレスの間はスペースで区切ります。
■範囲指定で登録
|
1 |
# telnetd host 192.168.1.1-192.168.1.254 |
範囲指定するIPアドレスの始まりと終わりの間は「-(ハイフン)」で区切ります。
■LAN1のみアクセス許可
|
1 |
# telnetd host lan1 |
LAN1ポートに接続されているIPアドレスからのみ接続を許可します。
HTTPのアクセス制限
最新の機種ではWEBからルータの設定ができます。設定値についてはTELNETのアクセス制限と同じになります。設定方法と設定例を記載します。
■設定方法
|
1 |
# httpd host (設定値) |
になります。
■複数のIPアドレスを登録
|
1 |
# httpd host 192.168.1.10 192.168.1.15 |
■範囲指定で登録
|
1 |
# httpd host 192.168.1.1-192.168.1.254 |
まとめ
ルータ設定をする時にログインパスワードや管理パスワードの設定は皆さん必ず行うと思います。しかしルータにアクセスするIPアドレス制限や特にセキュリティクラスについては初期値のまま利用する人が多いのではないでしょうか。初期値では外部からルータに対してアクセスできないようになっていますが、TELNETやHTTPのアクセス制限を確認・設定することはとても重要です。今からでも遅くはありません。今、設定されている内容を見直してみてはいかがでしょうか。
![群馬の法人ITサポートサービス Wide Net[ワイドネット]](https://www.nedia.ne.jp/wp-content/themes/nedia/images/bnr_bt_widenet02.png "群馬の法人ITサポートサービス Wide Net[ワイドネット]")
![群馬の法人ITサポートサービス Wide Net[ワイドネット]](https://www.nedia.ne.jp/wp-content/themes/nedia/images/bnr_bt_widenet03.png "群馬の法人ITサポートサービス Wide Net[ワイドネット]")
