Dell EMC SmartFabric OS10 セキュリティ ベス
ト プラクティス ガイド
2021 年 5 月
5
月 2021 年
Rev. A05
メモ、注意、警告
メモ: 製品を使いやすくするための重要な情報を説明しています。
注意: ハードウェアの損傷やデータの損失の可能性を示し、その危険を回避するための方法を説明しています。
警告: 物的損害、けが、または死亡の原因となる可能性があることを示しています。
©2020 年 ~2021 年 Dell Inc.またはその関連会社。All rights reserved.(不許複製・禁無断転載)Dell、EMC、およびその他の商標は、Dell Inc. または
その子会社の商標です。その他の商標は、それぞれの所有者の商標である場合があります。
章 1: OS10 セキュリティのベスト プラクティス................................................................................... 4
最初の起動時........................................................................................................................................................................ 4
パスワード ルール...............................................................................................................................................................5
Federal Information Processing Standards(FIPS)........................................................................................................6
セキュア ブートの有効化と構成...................................................................................................................................... 7
ユーザー、役割、権限レベル........................................................................................................................................... 8
ポート セキュリティ...........................................................................................................................................................9
管理プレーン.......................................................................................................................................................................12
役割ベースのアクセス制御........................................................................................................................................ 12
アクセス ルール............................................................................................................................................................15
バナー ルール................................................................................................................................................................16
SNMP ルール................................................................................................................................................................. 17
コントロール プレーン..................................................................................................................................................... 18
システム クロック ルール.......................................................................................................................................... 18
ログ ルール.................................................................................................................................................................... 19
NTP ルール....................................................................................................................................................................20
ループバック ルール...................................................................................................................................................20
データ プレーン ルール.................................................................................................................................................... 21
ネイバー認証...................................................................................................................................................................... 22
X.509v3 証明書...................................................................................................................................................................23
証明書の署名リクエストとプライベート キーの生成........................................................................................ 23
自己署名証明書の生成................................................................................................................................................25
証明書の失効.................................................................................................................................................................27
セキュリティ プロファイルの構成..........................................................................................................................28
SSH のスマート カード認証......................................................................................................................................29
フル スイッチ モードの OS10 10.4.3.0 以降のリリースでの新しいセキュリティ証明書の生成とイ
ンストール................................................................................................................................................................ 32
目次
目次 3
OS10 セキュリティのベスト プラクティス
このドキュメントでは、Dell EMC SmartFabric OS10 を実行するスイッチを保護するための推奨事項をまとめています。詳細な構成
については、『Dell EMC SmartFabric OS10
ユーザー
ガイド
』を参照してください。
Dell EMC のドキュメントは、https://www.dell.com/support/で入手できます。
[適用性]
このドキュメントに記載されている推奨事項は、Dell EMC SmartFabric OS10.5.x.x に適用されます。
最初の起動時
初めてスイッチを起動すると、システムはゼロタッチ導入(ZTD)を実行します。ZTD は OS10 イメージのアップグレードを自動
化し、CLI バッチ ファイルを実行してスイッチを構成し、ZTD 後のスクリプトを実行して追加の機能を実行します。システムで
は、ZTD はデフォルトで有効になっています。ZTD を使用しない場合は、ztd cancel コマンドを使用して ZTD を無効にできま
す。OS10 に最初にログインした後、デフォルトのパスワードを変更して OS10 を最新バージョンにアップグレードします。これに
は、新機能とセキュリティの修正が含まれている場合があります。
[デフォルト CLI パスワードの変更]
[論拠]:初めてスイッチにログ インすると、システムによりユーザー名の入力を求めるプロンプトが表示され、コマンドライン イ
ンターフェイスが起動します。初めて OS10 にログ インするには、ユーザー名(admin)とパスワードを入力します。安全なとこ
ろに最初にログインした後にデフォルトの admin パスワードを変更するか、sysadmin の役割を持つ OS10 ユーザーを少なくとも
1 人作成して、デフォルトの admin ユーザー名を削除します。システムにより、今後のログインのために新しいパスワードが保存
されます。CLI を使用してパスワードを変更した後、write memory コマンドを使用して構成を保存します。
[構成]:
OS10# configure terminal
% Error: ZTD is in progress(configuration is locked).
OS10# ztd cancel
OS10# configure terminal
OS10(config)# username admin password new-password role sysadmin
OS10(config)# exit
OS10# write memory
デフォルトの admin ユーザー名を削除するには、sysadmin ロールを持つ異なるアカウントにログ インし、次の手順を実行しま
す。
OS10(config)# no username admin
システムに構成されたすべてのユーザーの詳細を表示するには、次のコマンドを使用します。
OS10# show running-configuration users
[デフォルトの linuxadmin パスワードの変更]
[論拠]:トラブルシューティングおよび診断目的では、Linux シェルを使用します。OS10 に最初にログインした後、デフォルトの
Linux シェルのユーザー名とパスワードの両方に linuxadmin を入力し、デフォルトの linuxadmin パスワードを変更します。シ
ステムにより、今後のログインのために新しいパスワードが保存されます。CLI を使用してパスワードを変更した後、write
memory コマンドを使用して構成を保存します。
[構成]:
OS10# configure terminal
OS10(config)# system-user linuxadmin password {clear-text-password | hashed-password}
OS10(config)# exit
OS10# write memory
[linuxadmin アカウントの無効化]
1
4 OS10 セキュリティのベスト プラクティス
[論拠]:ユーザーに Linux シェルへのアクセスを許可しない場合は、linuxadmin アカウントを無効にします。
[構成]:
OS10(config)# system-user linuxadmin disable
OS10(config)# exit
OS10# write memory
[Linux コマンドへのアクセスの無効化]
[論拠]:linuxadmin ユーザーを無効化した場合でも、ユーザーは system コマンドを使用して Linux コマンドにアクセスできま
す。Linux コマンドへのアクセスを完全に無効にするには、system-cli コマンドを使用します。
[構成]:
OS10(config)# system-cli disable
OS10(config)# exit
OS10# write memory
[使用していないインターフェイスの無効化]
[論拠]:不正ユーザーがフロントエンド インターフェイス上のネットワークに接続できないようにするには、使用していないイン
ターフェイスを無効にします。
[構成]:
OS10(config)# interface range ethernet 1/1/10-1/1/32
OS10(conf-range-eth1/1/10-1/1/32)# shutdown
OS10(conf-range-eth1/1/10-1/1/32)# end
OS10# write memory
[ブートローダー保護の有効化]
[論拠]:悪意のある不正ユーザーがスイッチにアクセスできないようにするには、GRUB パスワードを使用してブートローダーを
保護します。
[構成]:
OS10# boot protect enable username username password password
OS10# write memory
[ブートローダーの保護が有効になっているかどうかのチェック]
次のコマンドを使用して、システムのブートローダー保護のステータスを表示します。
OS10# show boot protect
Boot protection enabled
Authorized users: root linuxadmin admin
パスワード ルール
厳格なパスワード ルールにより、デバイスのセキュリティを向上させることができます。
[強力なパスワードの有効化]
[論拠]:強力なパスワードを使用すれば、推測することは非常に困難になります。デフォルトでは、強力なパスワードのチェック
がシステムで有効になっており、パスワードに英数字と特殊文字が含まれているかどうかをチェックできます。強力なパスワード
のチェックが無効になっている場合は、有効にします。
[構成]:
OS10(config)# no service simple-password
OS10(config)# exit
OS10# write memory
[強力なパスワードのチェックが有効になっているかどうかのチェック]
OS10 セキュリティのベスト プラクティス 5
デフォルトでは、強力なパスワードのチェックはシステムで有効化されており、no service simple-password コマンドは実
行中の構成で黙示的になっています。強力なパスワードのチェックを有効にしているかどうかを確認するには、次のコマンドを使
用します。
OS10(config)# do show running-configuration | grep simple
service simple-password
[強力なパスワードの強制]
[論拠]:デフォルトでは、構成するパスワードは 9 文字以上の英数字と特殊文字を含んでいる必要があります。さらにパスワード
の強度を上げるには、異なる文字の組み合わせを使用し、パスワードを長くするようユーザーに強制します。
[構成]:
OS10(config)# password-attributes {[min-length number] [character-restriction {[upper number]
[lower number][numeric number] [special-char number]}}
OS10(config)# exit
OS10# write memory
● min-length number:(オプション)必要な英数字の最小文字数を、6~32 文字の間で設定します。デフォルトは 9 文字で
す。
● character-restriction:
○ upper number:(オプション)必要な大文字の最小文字数を、0~31 文字の間で設定します。デフォルトは 0 です。
○ lower number:(オプション)必要な小文字の最小数を、0~31 文字の間で設定します。デフォルトは 0 です。
○ numeric number:(オプション)必要な数字の最小文字数を、0~31 文字の間で設定します。デフォルトは 0 です。
○ special-char number:(オプション)必要な特殊文字の最小数を、0~31 文字の間で設定します。デフォルトは 0 です。
パスワードを選択する場合、Dell EMC ネットワーキングは、覚えるのが難しい複雑なパスワードを使用するのではなく、複数の、
覚えやすい一般的な言葉をパスワードに使用することを推奨します。覚えやすい複数の単語を合わせて、特殊文字と数字を使用し
てパスフレーズを変更することで、パスワードを完成させることができます。例えば、correcthorsebatterystaple の代わり
に C0rr3c+h0r5e8atTerystapl3 を使用できます。
メモ: 管理者パスワードを含む、OS10 ユーザー名のパスワードを紛失または忘れた場合の復旧方法については、「OS10 ユーザ
ー名のパスワードの復旧」を参照してください。
[パスワードの不明瞭化]
[論拠]:ユーザーが実行中の構成を表示すると、暗号化された形式でパスワードが表示されます。テキスト文字が表示されないよ
うに、show コマンドの出力でパスワードを不明瞭にします。
[構成]:
OS10(config)# service obscure-password
OS10(config)# exit
OS10# write memory
OS10# show running-configuration users
username admin password **** role sysadmin priv-lvl 15
username desk1 password **** role sysadmin priv-lvl 15
Federal Information Processing Standards(FIPS)
FIPS は、連邦政府暗号化アルゴリズムで特定の機能を使用する方法を定義する、連邦標準のセットです。
[ご使用の環境で FIPS が必要な場合に有効化する]
[論拠]:FIPS を有効にすると、FIPS 対応アプリケーション(TLS 経由の RADIUS など)によって使用される証明書キー ペアが FIPS
準拠としてインストールされます。
[構成]:
OS10# crypto fips enable
OS10# write memory
[FIPS が有効になっているかどうかのチェック]
6 OS10 セキュリティのベスト プラクティス
システムで FIPS が有効になっているかどうかを確認するには、次のコマンドを使用します。
OS10# show fips status
FIPS mode: Disabled
セキュア ブートの有効化と構成
OS10 セキュア ブートにより、OS10 イメージの信頼性と整合性を検証するためのメカニズムが提供されます。セキュア ブートで
は、起動プロセス中に悪意のあるコードが読み込まれて実行されないようにシステムを保護します。セキュア ブート機能を使用し
て、インストール中およびいつでもオン デマンドで OS10 イメージを検証します。
[セキュア ブートの有効化]
[論拠]:セキュア ブート機能を有効にすると、侵害されたカーネルとシステム バイナリーが起動操作中にロードされるのを防ぐ
ことができます。
[構成]:
OS10(config)# secure-boot enable
OS10(config)# exit
OS10# write memory
[スタートアップ構成ファイルの保護]
[論拠]:スタートアップ構成ファイルを保護することで、現在のスタートアップ設定ファイルの保護されたコピーを内部で保存で
きます。スイッチの起動中に、保護されているバージョンの起動構成がロードされます。スタートアップ構成ファイルを保護する
ことにより、システムの起動時に、侵害された構成ファイルがロードされないようにすることができます。
[構成]:
OS10(config)# secure-boot protect startup-config
OS10(config)# exit
OS10# write memory
[オン デマンドでの OS10 イメージ ファイルの検証]
[論拠]:OS10 イメージ ファイルの署名を検証して、OS10 イメージが侵害されていないことを確認します。
[構成]:
OS10# image verify image-filepath {sha256 signature signature-filepath | gpg signature
signature-filepath | pki signature signature-filepath public-key key-file}
[OS10 カーネル、システム バイナリー、およびスタートアップ構成ファイルの検証]
[論拠]:システム起動時に、OS10 カーネル バイナリー イメージ、システム バイナリー ファイル、およびスタートアップ構成フ
ァイルを検証します。スタートアップ時にこれらのファイルを検証することにより、システムが侵害されたファイルをロードしな
いようにします。
[構成]:
OS10# secure-boot verify {kernel | file-system-integrity | startup-config}
[OS10 アップグレード イメージ ファイルの検証]
[論拠]:OS10 アップグレードをインストールする前に、イメージ ファイルのデジタル署名を検証します。インストールする前に、
次のコマンドを使用して OS10 イメージを検証できます。
[構成]:
OS10# image secure-install image-filepath {sha256 signature signature-filepath | gpg
signature signature-filepath | pki signature signature-filepath public-key key-file}
OS10 セキュリティのベスト プラクティス 7
メモ: セキュア ブートが有効になっている場合は、image secure-install コマンドを使用した場合にのみ、OS10 のアッ
プグレードを行うことができます。
[ONIE OS 手動インストール前の OS10 イメージの検証]
[論拠]:セキュア ブートが有効になっていて、ONIE を使用して OS10 イメージを手動でインストールする場合は、PKI または
SHA256 を使用してイメージを検証できます。
[構成]:
OS10# onie-nos-install image_url pki signature_filepath certificate_filepath
または
OS10# onie-nos-install image_url sha256 signature_filepath
[ セキュア ブートの有効化とファイルの整合性ステータスのチェック]
次のコマンドを使用して、セキュア ブート操作のステータスとファイルの整合性ステータスをチェックします。
OS10# show secure-boot status
Last boot was via secure boot : yes
Secure boot configured : yes
Latest startup config protected : yes
OS10# show secure-boot file-integrity-status
File Integrity Status: OK
ユーザー、役割、権限レベル
パスワードを使用して、スイッチへのターミナル アクセスを制御します。ただし、権限レベルを使用してコマンドのサブセットへ
のユーザー アクセスを制限することで、セキュリティを強化できます。
[ユーザーの作成、役割の割り当て、権限レベルの作成]
[論拠]:スイッチへのターミナル アクセスの制御は、デバイスとネットワークを保護する方法の 1 つです。セキュリティを強化す
るために、権限レベルを使用してコマンドのサブセットへのユーザー アクセスを制限できます。
[構成]:
● CONFIGURATION モードで権限レベルを作成します。
OS10(config)# privilege mode priv-lvl privilege-level command-string
○ mode:CLI モードへのアクセスに使用する権限モードを入力します。
■ exec:EXEC モードにアクセスします。
■ configure:クラスマップ、DHCP、ログ、監視、openFlow、ポリシーマップ、QOS、support-assist、テレメトリー、
CoS、Tmap、UFD、VLT、VN、VRF、WRED、エイリアス モードにアクセスします。
■ interface:Ethernet、FibreChannel、ループバック、管理、null、ポートグループ、lag、ブレークアウト、範囲、ポー
ト チャネル、VLAN モードにアクセスします。
■ route-map:ルートマップ モードにアクセスします。
■ router:router-bgp モードおよび router-ospf モードにアクセスします。
■ line:line-vty モードにアクセスします。
○ priv-lvl privilege-level:権限レベルの数を 2~14 の範囲で入力します。
○ command-string:権限レベルでサポートされているコマンドを入力します。
● ユーザー名、パスワードを作成して役割を割り当て、CONFIGURATION モードで権限レベルを割り当てます。
OS10(config)# username username password password role role priv-lvl privilege-level
○ username username:最大 32 文字の英数字、最低 1 文字以上のテキスト文字列を入力します。
○ password password:最大 32 文字の英数字、最低 9 文字以上のテキスト文字列を入力します。
○ role role:ユーザーの役割を入力します。
■ sysadmin:システム内のすべてのコマンドへのフル アクセス、ファイル システムを操作するコマンドへの排他的アク
セス、システム シェルへのアクセスが可能です。システム管理者は、ユーザー ID とユーザーの役割を作成できます。
8 OS10 セキュリティのベスト プラクティス
■ secadmin:パスワードの強度、AAA 認証、暗号形式キーなどのセキュリティ ポリシーとシステム アクセスを設定す
る、構成コマンドへのフル アクセスが可能です。セキュリティ管理者は、暗号形式キー、ログイン統計情報、ログ情報
などのセキュリティ情報を表示できます。
■ netadmin:ルート、インターフェイス、ACL など、スイッチ経由のトラフィックの流れを管理する構成コマンドへの
フル アクセスが可能です。ネットワーク管理者は、セキュリティ機能の構成コマンドにアクセスすることも、セキュリ
ティ情報を表示することもできません。
■ netoperator:現在の構成を表示するために EXEC モードにアクセスします。ネットワーク オペレーターは、スイッ
チの構成設定を変更することはできません。
○ priv-lvl privilege-level:権限レベルを 0~15 の範囲で入力します。
■ レベル 0:ユーザーに最低限の権限を与え、基本的なコマンドへのアクセスを制限します。
■ レベル 1:一連の show コマンドや、ping、traceroute などの特定の操作へのアクセスを提供します。
■ レベル 15:使用可能なすべてのコマンドへのアクセスを提供します。これは、sysadmin の役割で許可されているコマ
ンドと同等です。
■ レベル 0、1、15:事前に定義されたコマンド セットが適用される、システムにより構成された権限レベルです。
■ レベル 2~14:構成されていません。これらのレベルは、さまざまなユーザーやアクセス権に合わせてカスタマイズする
ことができます。
● CONFIGURATION モードで各権限レベルの有効パスワードを構成します。権限レベルを切り替えて、各レベルでサポートされ
ているコマンドにアクセスするには、enable password コマンドを使用します。
OS10(config)# enable password encryption-type password-string priv-lvl privilege-level
OS10(config)# exit
OS10# write memory
○ encryption-type:パスワード入力の暗号化タイプを入力します。
■ 0:パスワード暗号化なしのプレーン テキストを使用します。
■ sha-256:SHA-256 アルゴリズムを使用してパスワードを暗号化します。
■ sha-512:SHA-512 アルゴリズムを使用してパスワードを暗号化します。
メモ: パスワードに sha-256 または sha512 の暗号化を使用していることを確認します。
○ priv-lvl privilege-level:権限レベルを 1~15 の範囲で入力します。
メモ: パスワードの暗号化には、SHA-256 または SHA-512 を使用します。
OS10(config)# privilege exec priv-lvl 12 "show version"
OS10(config)# privilege exec priv-lvl 12 "configure terminal"
OS10(config)# privilege configure priv-lvl 12 "interface ethernet"
OS10(config)# privilege interface priv-lvl 12 "ip address"
OS10(config)# username delluser password $6$Yij02Phe2n6whp7b$ladskj0HowijIlkajg981 role
secadmin priv-lvl 12
OS10(config)# enable password sha-256 $5$2uThib1o$84p.tykjmz/w7j26ymoKBjrb7uepkUB priv-lvl 12
OS10(config)# exit
OS10# write memory
[ユーザーとその役割の表示]
次に、ローカル システム上で構成されているユーザー、その役割、割り当てられた権限レベルを示します。
OS10# show running-configuration users
username admin password $6$q9QBeYjZ$jfxzVqGhkxX3smxJSH9DDz7/3OJc6m5wjF8nnLD7/
VKx8SloIhp4NoGZs0I/UNwh8WVuxwfd9q4pWIgNs5BKH. role sysadmin priv-lvl 15
OS10# show running-configuration userrole
ポート セキュリティ
ポート セキュリティ機能を使用して、インターフェイスを介してトラフィックを送信できるワークステーションの数を制限した
り、MAC アドレスの移動を制御したりすることができます。ポート セキュリティは、システムのセキュリティを強化する次のサ
ブ機能を含むパッケージです。
1. MAC アドレス学習制限(MLL)
2. スティッキー MAC
3. MAC アドレス移動制御
[MAC アドレス学習制限の構成]
OS10 セキュリティのベスト プラクティス 9
[論拠]:MAC アドレス学習制限の方式を使用すると、インターフェイス上で許可される MAC アドレスの上限値を設定できます。
MAC アドレスを制限することで、スイッチを MAC アドレス フラッディング攻撃から保護します。インターフェイス上で構成され
た制限に達すると、デフォルトでは、システムは不明なデバイスからのすべてのトラフィックをドロップします。インターフェイ
スでポート セキュリティを有効にした後、インターフェイスは、デフォルトで 1 個のセキュア MAC アドレスを学習できます。こ
の制限は、セキュア ダイナミック MAC アドレスとセキュア スタティック MAC アドレスの両方に適用されます。
[構成]:
1. CONFIGURATION モードでシステムのポート セキュリティを有効にします。
OS10(config)# switchport port-security
2. CONFIGURATION モードでインターフェイスのポート セキュリティを有効にします。
OS10(config)# switchport port-security
OS10(config)# no disable
3. インターフェイスが INTERFACE PORT SECURITY モードで学習できるセキュア MAC アドレスの数を構成します。
mac-learn {limit | no-limit}
limit キーワードでの範囲は 0~3072 です。ハードウェアでサポートされている MAC アドレスの最大数をインターフェイス
が学習できるようにするには、no-limit キーワードを使用します。
[MAC アドレス学習制限の例]
OS10# configure terminal
OS10(config)#interface ethernet 1/1/1
OS10(config-if-eth1/1/1)# switchport port-security
OS10(config-if-port-sec)# no disable
OS10(config-if-port-sec)# mac-learn limit 100
OS10(config-if-port-sec)# end
OS10# write memory
[MAC アドレス学習制限違反のアクションの構成]
[論拠]:セキュア MAC アドレスの数が構成された最大値に達すると、学習した MAC アドレスとは異なる送信元 MAC アドレスの
フレームをインターフェイスが受信した場合、システムは MAC アドレス学習制限の違反とみなします。
[構成]:
INTERFACE PORT SECURITY モードでは、次のコマンドを使用します。
● 違反の原因となった MAC アドレスを表示するには、log オプションを使用します。また、システムはパケットをドロップしま
す。
OS10(config-if-port-sec)#mac-learn limit violation log
● MAC アドレス学習制限の違反が発生したときにパケットをドロップするには、drop オプションを使用します。
OS10(config-if-port-sec)#mac-learn limit violation drop
● MAC アドレス学習制限の違反が発生したときにパケットを転送するには、flood オプションを使用します。システムは MAC
アドレスを学習しません。
OS10(config-if-port-sec)#mac-learn limit violation forward
● MAC アドレス学習制限違反のインターフェイスをシャット ダウンするには、shutdown オプションを使用します。
OS10(config-if-port-sec)#mac-learn limit violation shutdown
[ MAC アドレス学習制限違反のアクションの構成例]
OS10# configure terminal
OS10(config)# interface ethernet 1/1/1
OS10(config-if-eth1/1/1)# switchport port-security
OS10(config-if-port-sec)# no disable
OS10(config-if-port-sec)# mac-learn limit 100
OS10(config-if-port-sec)# mac-learn limit violation shutdown
OS10(config-if-port-sec)# end
OS10# write memory
10 OS10 セキュリティのベスト プラクティス
[スティッキー MAC アドレスの構成]
[論拠]:システムを再ロードすると、ポート セキュリティは動的に学習したセキュア MAC アドレスを削除します。スティッキー
機能を使用して、動的に学習したセキュア MAC アドレスをシステムの再起動後も保持できます。これにより、インターフェイス
がこれらの MAC アドレスを再び学習する必要がなくなります。
[構成]:
INTERFACE PORT SECURITY モードで、次のコマンドを入力します。
sticky
メモ: スティッキー MAC アドレスの学習を有効にする前に、インターフェイスが mac-learn limit コマンドを使用して学
習できる MAC アドレスの数を制限するようにしてください。
[ スティッキー MAC アドレスの構成例]
OS10# configure terminal
OS10(config)#interface ethernet 1/1/1
OS10(config-if-eth1/1/1)#switchport port-security
OS10(config-if-port-sec)#no disable
OS10(config-if-port-sec)#mac-learn limit 100
OS10(config-if-port-sec)#sticky
OS10(config-if-port-sec)# end
OS10# write memory
[MAC アドレスの移動]
[論拠]:MAC アドレスの移動は、システムが同じブロードキャスト ドメイン上の別のポート セキュリティ有効インターフェイス
を通じてすでに学習したインターフェイス上で、同じ MAC アドレスを検出した場合に発生します。MAC アドレスの移動は、セキ
ュア スタティック MAC アドレスおよびスティッキー MAC アドレスに対しては許可されません。デフォルトでは、動的に学習し
た MAC アドレスの MAC アドレス移動は、システムで無効になっています。セキュア ダイナミック MAC アドレスの移動は、ポー
トセキュリティ有効インターフェイスとポートセキュリティ無効インターフェイス間で許可されています。
[構成]:
INTERFACE PORT SECURITY モードでは、次のコマンドを使用します。
OS10(config-if-port-sec)#mac-move allow
OS10(config-if-port-sec)# end
OS10# write memory
[ MAC アドレス移動の構成例]
OS10# configure terminal
OS10(config)# interface ethernet 1/1/1
OS10(config-if-eth1/1/1)# switchport port-security
OS10(config-if-port-sec)# no disable
OS10(config-if-port-sec)# mac-learn limit 100
OS10(config-if-port-sec)# mac-move allow
OS10(config-if-port-sec)# end
OS10# write memory
[MAC アドレス移動違反アクションの構成]
[論拠]:システムが、別のポートセキュリティ有効インターフェイスを通じてすでに学習した MAC アドレスと同じ MAC アドレス
をポートセキュリティ有効インターフェイスで検出した場合、デフォルトでは、MAC アドレス移動違反とみなされます。MAC ア
ドレス移動違反アクションを構成できます。また、ポート セキュリティ有効インターフェイス間で MAC アドレスを移動できるよ
うにシステムを構成することもできます。
[構成]:
● 違反の原因となった MAC アドレスを表示するには、log オプションを使用します。また、システムはパケットをドロップしま
す。
OS10(config-if-port-sec)#mac-move violation log
● MAC アドレス移動違反が発生したときにパケットをドロップするには、drop オプションを使用します。
OS10(config-if-port-sec)#mac-move violation drop
OS10 セキュリティのベスト プラクティス 11
● MAC 移動違反時に、MAC アドレスを学習した元のインターフェイスをシャット ダウンするには、shutdown-original オプ
ションを使用します。
OS10(config-if-port-sec)#mac-move violation shutdown-original
● 別のインターフェイスによってすでに学習されている MAC アドレスを検出したインターフェイスをシャット ダウンするに
は、shutdown-offending オプションを使用します。
OS10(config-if-port-sec)#mac-move violation shutdown-offending
● 元のインターフェイスと、問題のあるインターフェイスの両方をシャット ダウンするには、 shutdown-both オプションを
使用します。
OS10(config-if-port-sec)#mac-move violation shutdown-both
[有効かつ実行中のポート セキュリティ機能の確認]
すべてのインターフェイスでポート セキュリティが有効になっているかどうかを確認するには、次のコマンドを使用します。この
コマンドにより、ポート セキュリティ機能のステータスに関する情報も表示されます。個別のインターフェイスに関する詳細を表
示するには、特定のインターフェイスを指定します。
OS10# show switchport port-security interface erthernet 1/1/1
Global Port-security status : Enabled
Interface name : ethernet1/1/1
Port Security : Enabled
Port Status : Up
Mac learn limit : 100
MAC-learn-limit-Violation action : Log
Sticky : Disabled
Mac-move-allow : Not Allowed
Mac-move-violation action : shutdown-both
Aging : Enabled
Total MAC Addresses : 10
Secure static MAC Addresses : 0
Sticky MAC Addresses : 10
Secure Dynamic MAC addresses : 0
管理プレーン
これらの設定は、OS10 のサービス、設定、構成サービスに適用されます。
役割ベースのアクセス制御
役割ベースのアクセス制御(RBAC)により、アクセスと認可を制御できます。定義された役割に基づいて、ユーザーに権限が与
えられます。ユーザーによるシステムへの適切なアクセスを許可するために、ジョブ機能に基づいてユーザーの役割を作成しま
す。ユーザーに割り当てることができる役割は 1 個だけで、多くのユーザーに同じ役割を割り当てることができます。ユーザーの
役割により、ログイン時にユーザーが認証および承認されます。
[AAA ログイン認証の有効化 ]
[論拠]:認証、承認、アカウンティング(AAA)サービスにより、不正アクセスからネットワークが保護されます。AAA は、シス
テムにアクセスするユーザーに対するアクセス制御の一元化された手段です。
[構成]:
OS10(config)# aaa authentication login {console | default} local
OS10(config)# exit
OS10# write memory
● console:コンソール ログインの認証方法を構成します。
● default:SSH および Telnet ログインの認証方法を構成します。
● local:username password role コマンドで構成されたローカル ユーザー名、パスワード、役割エントリーを使用しま
す。
12 OS10 セキュリティのベスト プラクティス
[フォールバック オプションを使用した AAA ログイン認証の有効化]
[論拠]:フォールバック オプションを使用した AAA 認証の構成により、認証時に耐久性が提供されます。1 つの方法で障害が発生
した場合、システムは他の認証方法を使用します。
[構成]:
OS10(config)# aaa authentication login {console | default} {local | group radius | group
tacacs+}
OS10(config)# exit
OS10# write memory
● console:コンソール ログインの認証方法を構成します。
● default:SSH および Telnet ログインの認証方法を構成します。
● local:username password role コマンドで構成されたローカル ユーザー名、パスワード、役割エントリーを使用しま
す。
● group radius:radius-server host コマンドで構成された RADIUS サーバーを使用します。
● group tacacs+:tacacs-server host コマンドで構成された TACACS+サーバーを使用します。
メソッド リストにある認証方法は、構成された順序で作動します。
[コマンドへの AAA アカウンティングの有効化]
[論拠]:コマンドへの AAA アカウンティングにより、Telnet や SSH などのコンソール接続とリモート接続に関するログインおよ
びコマンド情報が記録されます。
[構成]:
OS10(config)# aaa accounting commands all {console | default} {start-stop | stop-only | none}
[logging] [group tacacs+]
OS10(config)# exit
OS10# write memory
● commands all:ユーザーによって入力されたすべてのコマンドを記録します。RADIUS アカウンティングでは、このオプショ
ンはサポートされません。
● console:コンソール接続の OS10 セッションで、すべてのユーザー認証とログイン、またはすべてのユーザー入力コマンド
を記録します。
● default:Telnet や SSH などによるリモート接続の OS10 セッションで、すべてのユーザーの認証とログイン、またはすべて
のユーザー入力コマンドを記録します。
● start-stop:プロセスの開始時に開始通知を送信し、プロセスの終了時に停止通知を送信します。
● stop-only:プロセスが終了したときに、停止通知のみを送信します。
● none:アカウンティング通知は送信されません。
● logging:Syslog のすべてのアカウンティング通知をログに記録します。
● group tacacs+:最初に到達可能な TACACS+サーバーのすべてのアカウンティング通知をログに記録します。
[認証イベントに対する AAA アカウンティングの有効化]
[論拠]:認証イベントに対する AAA アカウンティングにより、Telnet や SSH などのコンソール接続とリモート接続に関するログ
インおよびコマンド情報が記録されます。
[構成]:
OS10(config)# aaa accounting exec {console | default} {start-stop | stop-only | none}
[logging] [group tacacs+]
OS10(config)# exit
OS10# write memory
● console:コンソール接続の OS10 セッションで、すべてのユーザー認証とログイン、またはすべてのユーザー入力コマンド
を記録します。
● default:Telnet や SSH などによるリモート接続の OS10 セッションで、すべてのユーザーの認証とログイン、またはすべて
のユーザー入力コマンドを記録します。
● start-stop:プロセスの開始時に開始通知を送信し、プロセスの終了時に停止通知を送信します。
● stop-only:プロセスが終了したときに、停止通知のみを送信します。
● none:アカウンティング通知は送信されません。
● logging:Syslog のすべてのアカウンティング通知をログに記録します。
● group tacacs+:最初に到達可能な TACACS+サーバーのすべてのアカウンティング通知をログに記録します。
メソッド リストにある認証方法は、構成された順序で作動します。
OS10 セキュリティのベスト プラクティス 13
[AAA 再認証または有効モードの有効化]
[論拠]:ユーザーがリソースにアクセスできないようにしたり、ユーザーが実行できないタスクを実行したり、認証方法またはサ
ーバーの変更時にログによるユーザーの再認証を要求したりすることができます。
[構成]:
OS10(config)# aaa re-authenticate enable
[RADIUS 認証の構成]
[論拠]:従来の RADIUS ベースのユーザー認証は UDP を介して実行され、安全な通信のために MD5 メッセージダイジェスト アル
ゴリズムが使用されます。RADIUS ユーザー認証交換のセキュリティを強化するため、RFC 6614 では、トランスポート レイヤー セ
キュリティ(TLS)プロトコルを使用して RADIUS を定義します。RADIUS over TLS は、認証交換全体を TLS 接続で保護し、セキ
ュリティを強化します。
[構成]:
OS10(config)# radius-server host {hostname | ip-address} tls security-profile profile-name
[auth-port port-number] key {0 authentication-key | 9 authentication-key | authentication-key}
OS10(config)# exit
OS10# write memory
● hostname:RADIUS サーバーのホスト名を入力します。
● ip-address:RADIUS サーバーの IPv4(A.B.C.D)または IPv6(x:x:x:x::x)アドレスを入力します。
● tls security-profile profile-name:RADIUS サーバーでの TLS 認証に使用するために、スイッチ上で X.509v3 証明書
を使用するためのセキュリティ プロファイルを入力します。
● key 0 authentication-key:プレーン テキストで認証キーを入力します。最大 42 文字です。
● key 9 authentication-key:暗号化形式で認証キーを入力します。最大 128 文字です。
● authentication-key:プレーン テキストで認証を入力します。最大 42 文字です。キーの前に 0 を入力する必要はありませ
ん。
● auth-port port-number:(オプション)サーバーで認証用に使用される UDP ポート番号を 0~65535 の範囲で入力します。
デフォルトは 1812 です。
● key authentication-key:(オプション)サーバー上のデバイスを認証するための認証キーを入力します。最大 42 文字で
す。デフォルトは radius_secure です。
[RADIUS 認証再試行の構成]
[論拠]:OS10 が RADIUS 認証要求を再送する回数を構成します。不要な再試行を回避するには、小さい値を構成します。
[構成]:
OS10(config)# radius-server retransmit retries
OS10(config)# exit
OS10# write memory
retries:再試行回数を 0~100 の範囲で入力します。
[TACACS+認証の構成]
[論拠]:TACACS+サーバーからの認証応答を待機するために使用するグローバル タイムアウトを構成します。待機時間が長くな
るのを防ぐため、小さい値を構成します。
[構成]:
OS10(config)# tacacs-server host {hostname | ip-address} key {0 authentication-key | 9
authentication-key | authentication-key} [auth-port port-number]
OS10(config)# exit
OS10# write memory
● hostname:RADIUS サーバーのホスト名を入力します。
● ip-address:RADIUS サーバーの IPv4(A.B.C.D)または IPv6(x:x:x:x::x)アドレスを入力します。
● 0 authentication-key:プレーン テキストで認証キーを入力します。最大 42 文字です。
● 9 authentication-key:暗号化形式で認証キーを入力します。最大 128 文字です。
● authentication-key:プレーン テキストで認証を入力します。最大 42 文字です。キーの前に 0 を入力する必要はありませ
ん。
● auth-port port-number:(オプション)サーバーで認証用に使用される UDP ポート番号を 0~65535 の範囲で入力します。
デフォルトは 1812 です。
14 OS10 セキュリティのベスト プラクティス
● authentication-key:(オプション)サーバー上のスイッチを認証するために使用する認証キーを入力します。最大 42 文字
です。デフォルトは radius_secure です。
[TACACS+認証応答タイマーの構成]
[論拠]:TACACS+サーバーからの認証応答を待機するために使用するグローバル タイムアウトを構成します。待機時間が長くな
るのを防ぐため、小さい値を構成します。
[構成]:
OS10(config)# tacacs-server timeout seconds
OS10(config)# exit
OS10# write memory
seconds:TACACS+サーバーからの認証応答を待機するために使用されるタイムアウト時間を、1~1000 秒の範囲で入力します。
[RBAC 構成の表示]
システムで構成された RBAC を表示するには、次のコマンドを使用します。
OS10# show running-configuration aaa
aaa authentication login default group radius local
aaa authentication login console local
アクセス ルール
安全なアクセス ルールを構成します。
[リモート システム アクセスに対して SSH のみを有効にする]
[論拠]:OS10 のデフォルトでは、SSH のみがリモート システム アクセス用に有効になっています。Telnet プロトコルは安全では
ないため、Dell EMC は、Telnet サーバーを有効にしないことを推奨します。
メモ: SSH サーバーを無効にしていた場合は、再度有効にし、Telnet サーバーを無効にします。リモート システム アクセスに
は、常に SSH を使用します。
[構成]:
OS10(config)# ip ssh server enable
OS10(config)# ip ssh server max-auth-tries 4
OS10(config)# no ip telnet server enable
OS10(config)# exit
OS10# write memory
[SSH アクセス制御の有効化]
[論拠]:アクセス リストを使用してスイッチへの SSH 接続をフィルタリングします。
[構成]:
OS10(config)# ip access-list permit10
OS10(config-ipv4-acl)# permit ip 172.16.0.0 255.255.0.0 any
OS10(config-ipv4-acl)# exit
OS10(config)# line vty
OS10(config-line-vty)# ip access-class permit10
OS10(config-line-vty)# exit
OS10(config)# exit
OS10# write memory
[EXEC セッション タイムアウトの構成]
[論拠]:デフォルトでは、EXEC タイムアウトは構成されていません。EXEC モードへの不正アクセスを防止するには、タイムアウ
ト インターバルを構成します。
[構成]:
OS10(config)# exec-timeout timeout-value
OS10(config)# exit
OS10# write memory
timeout-value:現在のセッションを切断するまでの、システム上の非アクティブな秒数を指定します(0~3600)。
OS10 セキュリティのベスト プラクティス 15
[コンカレント ログイン セッションの制限]
[論拠]:同じユーザー ID で 1 台のスイッチ上のアクティブ セッション数が無制限にならないようにするため、コンソールとリモ
ート接続の数を制限します。
[構成]:
OS10(config)# login concurrent-session limit-number
OS10(config)# exit
OS10# write memory
limit-number:任意のユーザーがコンソールまたは仮想端末の回線で使用できるコンカレント セッションの数を指定します(1
~12)。
[ユーザーのロックアウトの確認]
[論拠]:指定された回数のログイン試行が失敗した後に、ユーザーが特定の時間にわたってシステムにログ インできないようにシ
ステムを構成します。
[構成]:
OS10(config)# password-attributes max-retry number lockout-period minutes
OS10(config)# exit
OS10# write memory
● max-retry number:(オプション)ユーザーがロック アウトされるまでの、連続したログイン試行失敗の最大回数を、0~16
の範囲で構成します。
● lockout-period minutes:(オプション)ログイン試行失敗の最大回数を超過した場合に、そのユーザー ID がシステムに
アクセスすることを禁止する時間を 0~43,200 の範囲で設定します。
[ログイン統計の有効化]
[論拠]:ログインに成功した回数や失敗した回数、役割の変更、ユーザーが最後にログ インした時間などのユーザー ログイン情
報を表示するには、ログインが成功した後にログイン統計を有効にします。ログイン統計を有効にした後、show login
statistics {all | user}コマンドを使用してユーザーのログイン情報を表示できます。
[構成]:
OS10(config)# login-statistics enable
OS10(config)# exit
OS10# write memory
バナー ルール
ユーザーがシステムにログ インする前後に、メッセージを表示します。これらのメッセージにより、法律上の権限をユーザーに伝
えたり、ユーザーが使用ポリシーに同意したものとみなしたりすることができます。
[ログイン バナーの有効化]
[論拠]:ログイン バナーは、ユーザーがシステムへのログ インを試行したときにユーザーに表示されます。
[構成]:
OS10(config)# banner login %
DellEMC S4148U-ON login
Enter your username and password
%
OS10(config)# exit
OS10# write memory
[ログイン バナーの有効化]
[論拠]:ログイン バナーは、ユーザーがシステムにログ インした後に表示されます。
[構成]:
OS10(config)# banner motd %
DellEMC S4148U-ON login
Enter your username and password
%
16 OS10 セキュリティのベスト プラクティス
OS10(config)# exit
OS10# write memory
SNMP ルール
Simple Network Management Protocol(SNMP)へのアクセス制限により、SNMP を使用する際のデバイスのセキュリティが向上し
ます。
[特定の SNMP コミュニティーへの読み取り/書き込みアクセスの禁止]
[論拠]:単一または複数の SNMP コミュニティーへの読み取り/書き込みアクセスを禁止して、不正なエンティティーがデバイス
をリモートで操作できないようにします。
[構成]:
OS10(config)# no snmp-server community community_string {ro | rw}
OS10(config)# exit
OS10# write memory
[ACL なしの SNMP へのアクセスを禁止]
[論拠]:ACL が構成されていない場合、有効な SNMP コミュニティー文字列を持つユーザーは誰でもシステムにアクセスでき、不
要な変更を加える可能性があります。信頼できるステーションの許可されたグループのみがシステムへの SNMP アクセスを行え
るように、ACL を定義して適用します。
[構成]:
OS10(config)# snmp-server community name {ro | rw} acl acl-name
OS10(config)# exit
OS10# write memory
OS10(config)# ip access-list snmp-read-only-acl
OS10(config-ipv4-acl)# permit ip 172.16.0.0 255.255.0.0 any
OS10(config-ipv4-acl)# exit
OS10(config)# snmp-server community public ro acl snmp-read-only-acl
OS10(config)# exit
OS10# write memory
[SNMP v3 の構成]
[論拠]:SNMP v2 は暗号化または認証をサポートしていません。Dell EMC Networking は、SNMP リソースへの安全なアクセスを
サポートする SNMP v3 を使用することを強く推奨します。
[構成]:
● SNMP エンジン ID を構成します。snmp-server engineID [local engineID] [remote ip-address {[udp-port
port-number] remote-engineID}]
○ local engineID:スイッチのローカル SNMP エージェントを識別するエンジン ID を、オクテットのコロン区切りの数字
で入力します。最大 27 文字です。
○ remote ip-address:ローカル SNMP エージェントにアクセスするリモート SNMP デバイスの IPv4 または IPv6 アドレ
スを入力します。
○ udp-port port-number:リモート デバイスの UDP ポート番号を 0~65535 の範囲で入力します。
○ remote-engineID:リモート デバイス上の SNMP エージェントを識別するエンジン ID を、0x および 16 進数の文字列で
入力します。
● SNMP の表示を構成します。
OS10(config)# snmp-server view view-name oid-tree [included | excluded]
○ view-name:読み取り専用、読み取り/書き込み、または通知ビューの名前を入力します。最大 32 文字です。
○ oid-tree:ビューが 12 オクテットのドット区切り形式で始まる SNMP オブジェクト ID を入力します。
○ included:(オプション)ビューに MIB ファミリーを含めます。
○ excluded:(オプション)MIB ファミリーをビューから除外します。
● SNMP グループを構成します。
OS10(config)# snmp-server group group-name v3 security-level [read view-name] [write view-
name] [notify view-name]
OS10 セキュリティのベスト プラクティス 17
○ group-name:グループの名前を入力します。最大 32 文字の英数字です。
○ v3 security-level:SNMPv3 では、オプションで SNMP メッセージのユーザー認証と暗号化を行うことができます。
snmp-server user コマンドで構成します。
○ security-level:(SNMPv3 のみ)SNMPv3 ユーザーのセキュリティ レベルを構成します。
■ auth:SNMP メッセージでユーザーを認証します。
■ noauth:ユーザーの認証や SNMP メッセージの暗号化を行いません。メッセージをプレーン テキストで送信します。
■ priv:ユーザーの認証、SNMP メッセージの暗号化または復号化を行います。
○ access acl-name(オプション)IPv4 または IPv6 アクセス リストの名前を入力して、スイッチで受信した SNMP リクエ
ストをフィルタリングします。最大 16 文字です。
○ read view-name:(オプション)読み取り専用ビューの名前を入力します。最大 32 文字です。
○ write view-name:(オプション)読み取り/書き込みビューの名前を入力します。最大 32 文字です。
○ notify view-name:(オプション)通知ビューの名前を入力します。最大 32 文字です。
● SNMP ユーザーを構成します。
OS10(config)# snmp-server user user-name group-name security-model localized auth sha auth-
password priv aes priv-password
OS10(config)# exit
OS10# write memory
○ user-name:ユーザーの名前を入力します。最大 32 文字の英数字です。
○ group-name:ユーザーが属しているグループの名前を入力します。最大 32 文字の英数字です。
○ security-model:SNMP メッセージのセキュリティ レベルを設定する SNMP バージョンを入力します。
■ 3:SNMPv3 は、SNMP メッセージのユーザー認証と暗号化を行います。
○ auth:(SNMPv3 のみ)ユーザーに送信される SNMPv3 メッセージにユーザー認証キーを含めます。
■ sha:SHA アルゴリズムを使用して認証キーを生成します。
■ auth-password:暗号化された文字列を入力します。
○ priv:ユーザーに送信される SNMPv3 メッセージの暗号化を構成します。
■ aes:AES 128 ビット アルゴリズムを使用してメッセージを暗号化します。
■ priv-password:暗号化された文字列を入力します。
○ localized:ローカライズされたキーの形式で SNMPv3 認証キーおよび/またはプライバシー キーを生成します。
[実行されている SNMP ルールのチェック]
OS10# show running-configuration snmp
!
snmp-server community public ro acl snmp-read-only-acl
コントロール プレーン
コントロール プレーンには、モニタリング、ルート テーブルのアップデート、システムの動的な操作が含まれます。
システム クロック ルール
これらのシステム クロック ルールにより、デバイスの時刻とタイムスタンプの設定が強制されます。
[タイムゾーンを協定世界時(UTC)に設定]
[論拠]:デフォルトでは、システムのタイム ゾーンは UTC に設定されています。デフォルトのタイム ゾーンが変更された場合は、
UTC に設定します。システム タイム ゾーンを UTC に設定すると、異なるタイム ゾーン間で起きる問題のトラブルシューティング
が容易になります。
[構成]:
OS10(config)# clock timezone standard-timezone UTC
OS10(config)# exit
OS10# write memory
18 OS10 セキュリティのベスト プラクティス
ログ ルール
ログを使用して、エラーや情報の通知、セキュリティ監査、ネットワーク フォレンジックを行うことができます。
[コンソールでのログの有効化]
[論拠]:コンソールへのログ記録を有効にし、ログ メッセージがシステム パフォーマンスに影響しないように、重大度を「重要」
に制限します。
[構成]:
OS10(config)# logging console enable
OS10(config)# logging console severity log-crit
OS10(config)# exit
OS10# write memory
[TLS 経由での Syslog サーバーへのログの有効化]
[論拠]:Syslog サーバーへのログを有効にし、TLS で接続を保護します。
[構成]:
OS10(config)# logging server {hostname | ipv4–address | ipv6–address} tls [port-number]
[severity severity-level] [vrf {management | vrf-name]
OS10(config)# exit
OS10# write memory
● ipv4–address | ipv6–address:(オプション)ログ サーバーの IPv4 または IPv6 アドレスを入力します。
● tls port-number:(オプション)リモート ログ サーバーの指定したポート(1~65535)に、TCP、UDP、TLS 転送を使用
して Syslog メッセージを送信します。
● severity-level:(オプション)ログしきい値の重大度を設定します。
○ log-emerg:システムは使用できません。
○ log-alert:即時のアクションが必要です。
○ log-crit:危険な状態
○ log-err:エラー状態
○ log-warning:警告状態
○ log-notice:正常だが重要な状態(デフォルト)
○ log-info:情報メッセージ
○ log-debug:デバッグ メッセージ
● vrf {management | vrf-name}:(オプション)管理 VRF インスタンスまたは設定済み VRF インスタンスのログ サーバー
を構成します。
X.509v3 PKI 証明書の構成の詳細については、『Dell EMC SmartFabric OS10
ユーザー
ガイド
』を参照してください。
[監査ログの有効化]
[論拠]:スイッチでのユーザー アクティビティーと構成の変更を監視するには、監査ログを有効にします。sysadmin と
secadmin の役割でのみ、監査ログの有効化、表示、クリアを行うことができます。
[構成]:
● 監査ログを構成します。
OS10(config)# logging audit enable
OS10(config)# exit
OS10# write memory
● 監査ログを表示します。
show logging audit [reverse] [number]
○ reverse :エントリーを最新のイベントから表示します。
○ number:指定した数の監査ログ エントリー ユーザーを 1~65535 の範囲で表示します。
[有効なログ ルールの表示]
OS10# show running-configuration logging
!
logging audit enable
OS10 セキュリティのベスト プラクティス 19
NTP ルール
Network Time Protocol(NTP)は、分散タイム サーバーとクライアントのセットでの計時を同期し、大規模で多様なネットワーク
内での時間分布を調整します。NTP クライアントは、正確に時間を測定する NTP サーバーと同期します。
[信頼できる NTP サーバーの構成]
[論拠]:信頼できる NTP サーバーと時間を同期するようにシステムを構成します。
[構成]:
OS10(config)# ntp server ntp1-server-ip-address
OS10(config)# exit
OS10# write memory
ntp1-server-ip-address:NTP サーバーの IPv4 アドレスを A.B.C.D 形式で入力するか、IPv6 アドレスを A::B 形式で入力しま
す。
[信頼できるセカンダリー NTP サーバーの構成]
[論拠]:信頼できるセカンダリー NTP サーバーと時間を同期するようにシステムを構成します。
[構成]:
OS10(config)# ntp server ntp2-server-ip-address
OS10(config)# exit
OS10# write memory
ntp1-server-ip-address:NTP サーバーの IPv4 アドレスを A.B.C.D 形式で入力するか、IPv6 アドレスを A::B 形式で入力しま
す。
[NTP 認証の構成]
[論拠]:NTP 認証とそれに対応する信頼できるキーは、信頼できるタイム ソースを持つ NTP パケットの信頼性の高い交換を可能
にします。NTP 認証では、メッセージ ダイジェスト 5(MD5)アルゴリズムが使用されます。キーは、NTP タイム ソースに送信
される同期パケットに組み込まれています。
[構成]:
OS10(config)# ntp authentication-key number {sha1 | sha2-256} key
OS10(config)# ntp master {2–10}
OS10(config)# exit
OS10# write memory
● number:認証キー番号を 1~4294967295 の範囲で入力します。
● sha1:SHA1 暗号化を使用するように設定します。
● sha2-256:sha2-256 暗号化を使用するように設定します。
[使用されている NTP 認証の表示]
システムで構成されている NTP 認証を表示するには、次のようにします。
OS10# show running-configuration ntp
!
ntp authenticate
ntp authentication-key 345 md5 0 5A60910FED211F02
ntp server 1.1.1.1 key 345
ntp trusted-key 345
ntp master 7
...
ループバック ルール
ループバック インターフェイスは仮想インターフェイスです。物理インターフェイスとは異なり、ループバック インターフェイ
スは手動で削除しない限りダウンしません。このプロパティは、デバイスの識別と安定性のためのセキュリティと整合性を提供し
ます。
[ループバック インターフェイスの構成]
[論拠]:システムの複数のサービスで使用できるループバック インターフェイスを構成します。
20 OS10 セキュリティのベスト プラクティス
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
-
1
-
2
-
3
-
4
-
5
-
6
-
7
-
8
-
9
-
10
-
11
-
12
-
13
-
14
-
15
-
16
-
17
-
18
-
19
-
20
-
21
-
22
-
23
-
24
-
25
-
26
-
27
-
28
-
29
-
30
-
31
-
32
-
33
-
34
-
35
-
36
関連論文
-
Dell PowerSwitch Z9100-ON ユーザーガイド
-
-
Dell OpenManage Enterprise-Modular ユーザーガイド
-
-
-
-
-
Dell SupportAssist Enterprise Virtual Appliance 4.x ユーザーガイド