Monday, June 19, 2006

Cisco IOS Login Enhancements(前半)

はじめに
 さて、次回のコンテンツは何かな~と(楽しみに)待っていた皆様、
 今回からは12.3T以降で新しく追加された機能についていくつか
 解説します。

 まずは12.3(4)Tから実装されている
 Cisco IOS Login Enhancement
 という機能からお勉強しましょう。

 今年のCCIE Routing and Switching Trackで使用されるIOS
 Versionは12.4なので、12.3Tの新機能が含まれています。
 CCIEという試験は範囲が超広範囲ですし、一回の受験料を
 考えると気軽に受験できないので、どんな問題が出てもいいよう
 に入念に準備しておく必要があります。


Benefits
 この機能が実装される前のIOSでは、

 -Telnet(SSH)でログインした(された)ことをloggingできない
 -HTTPでログインした(された)ことをloggingできない

 という制限がありました。
 つまり、誰かがRouterにリモートからログインできたとしても、それ
 をSyslogに残す手立てがなかったのです。

 Global Configuration Modeから抜けたときはSyslogが出力
 されますが、その時は既に設定を変更されている可能性があり
 ますので、不正アクセスをすぐに察知することはできません。

 Cisco IOS Login Enhancements Featureを利用すると、これら
 のRouterへのアクセスをSyslogに残せるようになります。

 また、Local Databaseを使ったユーザ認証も使用すると、どの
 ユーザが、いつ、コンソール経由(またはvty経由)でLoginした
 かを、Syslogを利用して容易に追跡できるようになります。

 ちなみに、この機能は一部のCatalyst(ハイエンドの機器)でしか
 サポートされていないので注意が必要です。


Feature Overview
 Cisco IOS Login Enhancementsは、Console、Telnet、SSH、
 HTTPでRouterにアクセスした記録をSyslogに残すことができ
 ます。

 また、辞書攻撃などのBrute-foce-attackの対策として、何回か
 Loginが失敗した場合に、再度Login Promptを表示するまでの
 Delayをかけることができたり、一定時間Login要求を受け付け
 ないようにしたりできます。


Delays Between Successive Login Attempts
 あるLogin認証が失敗して、次のLogin Promptを表示するまでの
 間、一定のDelayを設けることができます。Delayのやり方には
 以下の3つの方法があります。

 -login delayというGlobal Configrationコマンドで、Delayさせ
 る秒数を指定できます。

 -login block-forというコマンドを使って、1秒のDelayを自動的
 に有効にできます。

 -auto secureというコマンドを使って、1秒のDelayを自動的
 有効にできます。
 #auto secureの説明は割愛します。
 #詳しく知りたい方は、こちら。
 #http://www.cisco.com/univercd/cc/td/doc/product/
 # software/ios124/124cg/hsec_c/part30/hatosec.htm

 設定に関しては、次回以降で詳しくとりあげます。

Login Shutdown If DoS Attacks Are Suspected
 以前のIOSでは何度Login認証に失敗してもLoginを試行する
 ことができました。
 このFeatureが実装されてからは、一定の回数連続してLogin認証
 が失敗した場合、DoS Attack(または不正アクセスのようなクラッ
 キング)が発生していると判断し、その後のLogin試行を一定時間
 全て拒否する"quiet period"を設定することができます。

 ちなみにACLを利用することで特定のホストからのLoginを
 "quiet period"にならないようにすることも可能です。

 この機能(以降queit modeと呼びます)はDefaultで無効ですが
 autosecureを有効にしているときは、quiet modeを有効にできま
 せん。


Generation System Logging Messages for Login Detection
 quiet modeになったり、戻ったりするときは、Syslog Messegaが
 出力されます。また、設定すればLoginに失敗・成功したことを
 Syslog Messageとして出力することができます。

 今現在はSyslogでの出力のみですが、将来的にはSNMP Trap
 も出せるようになる予定らしいです。(マニュアルにそう書いて
 ありました)


さて、次回は設定のお話です。
次回のコンテンツは、
 -はじめに
 -Default設定
 -Configuring Cisco IOS Login Enhancements
 -Configuration Example
 -Advanced Configuring Exercise
 -Further Reading
です。お楽しみに。

No comments: