PowerSwitch Z9100-ON

Dell PowerSwitch Z9100-ON 取扱説明書

  • こんにちは!Dell EMC SmartFabric OS10 セキュリティベストプラクティスガイドの内容を学習済みです。スイッチのセキュリティ設定に関するご質問にお答えします。初回起動時の設定、パスワードルール、セキュアブート、ユーザー管理、ポートセキュリティなど、幅広いトピックに対応可能です。お気軽にご質問ください!
  • 初回起動時にどのようなセキュリティ設定を行うべきですか?
    強力なパスワードとはどのようなものですか?
    セキュアブート機能とは何ですか?
    ユーザーと役割、権限レベルをどのように設定すれば良いですか?
    ポートセキュリティを設定するメリットは何ですか?
Dell EMC SmartFabric OS10 セキュリティ ベス
プラクティス ガイド
2021 5
5
2021
Rev. A05
メモ、注意警告
メモ: 製品使いやすくするための重要情報しています。
注意: ハードウェアの損傷やデータの損失可能性し、その回避するための方法しています。
警告: 物的損害、けが、または死亡原因となる可能性があることをしています。
©2020 2021 Dell Inc.またはそのAll rights reserved.(不許複製禁無断転載)DellEMC、およびその商標は、Dell Inc. または
その商標です。その商標は、それぞれの所有者商標である場合があります。
1: OS10 セキュリティのベスト プラクティス................................................................................... 4
最初起動時........................................................................................................................................................................ 4
パスワード ルール...............................................................................................................................................................5
Federal Information Processing StandardsFIPS........................................................................................................6
セキュア ブートの構成...................................................................................................................................... 7
ユーザー、役割レベル........................................................................................................................................... 8
ポート セキュリティ...........................................................................................................................................................9
管理プレーン.......................................................................................................................................................................12
役割ベースのアクセス制御........................................................................................................................................ 12
アクセス ルール............................................................................................................................................................15
バナー ルール................................................................................................................................................................16
SNMP ルール................................................................................................................................................................. 17
コントロール プレーン..................................................................................................................................................... 18
システム クロック ルール.......................................................................................................................................... 18
ログ ルール.................................................................................................................................................................... 19
NTP ルール....................................................................................................................................................................20
ループバック ルール...................................................................................................................................................20
データ プレーン ルール.................................................................................................................................................... 21
ネイバー認証...................................................................................................................................................................... 22
X.509v3 証明書...................................................................................................................................................................23
証明書署名リクエストとプライベート キーの生成........................................................................................ 23
自己署名証明書生成................................................................................................................................................25
証明書.................................................................................................................................................................27
セキュリティ プロファイルの構成..........................................................................................................................28
SSH のスマート カード認証......................................................................................................................................29
フル スイッチ モードの OS10 10.4.3.0 以降のリリースでのしいセキュリティ証明書生成とイ
ンストール................................................................................................................................................................ 32
目次
目次 3
OS10 セキュリティのベスト プラクティス
このドキュメントでは、Dell EMC SmartFabric OS10 するスイッチを保護するための事項をまとめています。詳細構成
については、Dell EMC SmartFabric OS10
ユーザー
ガイド
』をしてください。
Dell EMC のドキュメントは、https://www.dell.com/support/入手できます。
[適用性]
このドキュメントに記載されている事項は、Dell EMC SmartFabric OS10.5.x.x 適用されます。
最初起動時
めてスイッチを起動すると、システムはゼロタッチ導入(ZTDします。ZTD OS10 イメージのアップグレードを自動
し、CLI バッチ ファイルをしてスイッチを構成し、ZTD のスクリプトをして追加機能します。システムで
は、ZTD はデフォルトでになっています。ZTD 使用しない場合は、ztd cancel コマンドを使用して ZTD にできま
す。OS10 最初にログインしたデフォルトのパスワードをして OS10 最新バージョンにアップグレードします。これに
は、新機能とセキュリティの修正まれている場合があります。
デフォルト CLI パスワードの更]
[論めてスイッチにログ インすると、システムによりユーザー入力めるプロンプトが表示され、コマンドライン
ンターフェイスが起動します。めて OS10 にログ インするには、ユーザー名(adminとパスワードを入力します。安全なとこ
ろに最初にログインしたにデフォルトの admin パスワードをするか、sysadmin 役割 OS10 ユーザーをなくとも
1 人作成して、デフォルトの admin ユーザー削除します。システムにより、今後のログインのためにしいパスワードが保存
されます。CLI 使用してパスワードをしたwrite memory コマンドを使用して構成保存します。
[構成]
OS10# configure terminal
% Error: ZTD is in progress(configuration is locked).
OS10# ztd cancel
OS10# configure terminal
OS10(config)# username admin password new-password role sysadmin
OS10(config)# exit
OS10# write memory
デフォルトの admin ユーザー削除するには、sysadmin ロールをなるアカウントにログ インし、手順しま
す。
OS10(config)# no username admin
システムに構成されたすべてのユーザーの詳細表示するには、のコマンドを使用します。
OS10# show running-configuration users
デフォルトの linuxadmin パスワードの更]
[論トラブルシューティングおよび目的では、Linux シェルを使用します。OS10 最初にログインした、デフォルトの
Linux シェルのユーザーとパスワードの linuxadmin 入力し、デフォルトの linuxadmin パスワードをします。シ
ステムにより、今後のログインのためにしいパスワードが保存されます。CLI 使用してパスワードをしたwrite
memory コマンドを使用して構成保存します。
[構成]
OS10# configure terminal
OS10(config)# system-user linuxadmin password {clear-text-password | hashed-password}
OS10(config)# exit
OS10# write memory
linuxadmin アカウントの化]
1
4 OS10 セキュリティのベスト プラクティス
[論ユーザーに Linux シェルへのアクセスを許可しない場合は、linuxadmin アカウントをにします。
[構成]
OS10(config)# system-user linuxadmin disable
OS10(config)# exit
OS10# write memory
Linux コマンドへのアクセスの化]
[論linuxadmin ユーザーをした場合でも、ユーザーは system コマンドを使用して Linux コマンドにアクセスできま
す。Linux コマンドへのアクセスを完全にするには、system-cli コマンドを使用します。
[構成]
OS10(config)# system-cli disable
OS10(config)# exit
OS10# write memory
[使用していないインターフェイスの化]
[論不正ユーザーがフロントエンド インターフェイスのネットワークにできないようにするには、使用していないイン
ターフェイスをにします。
[構成]
OS10(config)# interface range ethernet 1/1/10-1/1/32
OS10(conf-range-eth1/1/10-1/1/32)# shutdown
OS10(conf-range-eth1/1/10-1/1/32)# end
OS10# write memory
ブートローダー保護化]
[論のある不正ユーザーがスイッチにアクセスできないようにするには、GRUB パスワードを使用してブートローダーを
保護します。
[構成]
OS10# boot protect enable username username password password
OS10# write memory
ブートローダーの保護になっているかどうかのチェック
のコマンドを使用して、システムのブートローダー保護のステータスを表示します。
OS10# show boot protect
Boot protection enabled
Authorized users: root linuxadmin admin
パスワード ルール
なパスワード ルールにより、デバイスのセキュリティを向上させることができます。
なパスワードの化]
[論なパスワードを使用すれば、推測することは非常困難になります。デフォルトでは、なパスワードのチェック
がシステムでになっており、パスワードに特殊文字まれているかどうかをチェックできます。なパスワード
のチェックがになっている場合は、にします。
[構成]
OS10(config)# no service simple-password
OS10(config)# exit
OS10# write memory
なパスワードのチェックがになっているかどうかのチェック
OS10 セキュリティのベスト プラクティス 5
デフォルトでは、なパスワードのチェックはシステムでされており、no service simple-password コマンドは
行中構成示的になっています。なパスワードのチェックをにしているかどうかを確認するには、のコマンドを使
します。
OS10(config)# do show running-configuration | grep simple
service simple-password
なパスワードの制]
[論デフォルトでは、構成するパスワードは 9 文字以上特殊文字んでいる必要があります。さらにパスワード
げるには、なる文字わせを使用し、パスワードをくするようユーザーにします。
[構成]
OS10(config)# password-attributes {[min-length number] [character-restriction {[upper number]
[lower number][numeric number] [special-char number]}}
OS10(config)# exit
OS10# write memory
min-length numberオプション)必要最小文字を、632 文字設定します。デフォルトは 9 文字
す。
character-restriction:
upper numberオプション)必要大文字最小文字を、031 文字設定します。デフォルトは 0 です。
lower numberオプション)必要小文字最小を、031 文字設定します。デフォルトは 0 です。
numeric numberオプション)必要最小文字を、031 文字設定します。デフォルトは 0 です。
special-char numberオプション必要特殊文字最小を、031 文字設定します。デフォルトは 0 です。
パスワードをする場合Dell EMC ネットワーキングは、えるのがしいなパスワードを使用するのではなく、の、
えやすい一般的言葉をパスワードに使用することをします。えやすいわせて、特殊文字使用
てパスフレーズをすることで、パスワードを完成させることができます。えば、correcthorsebatterystaple わり
C0rr3c+h0r5e8atTerystapl3 使用できます。
メモ: 管理者パスワードをむ、OS10 ユーザーのパスワードを紛失またはれた場合方法については、OS10 ユーザ
のパスワードの」をしてください。
パスワードの不明瞭化]
[論ユーザーが行中構成表示すると、された形式でパスワードが表示されます。テキスト文字表示されないよ
うに、show コマンドの出力でパスワードを不明瞭にします。
[構成]
OS10(config)# service obscure-password
OS10(config)# exit
OS10# write memory
OS10# show running-configuration users
username admin password **** role sysadmin priv-lvl 15
username desk1 password **** role sysadmin priv-lvl 15
Federal Information Processing StandardsFIPS
FIPS は、連邦政府暗アルゴリズムで特定機能使用する方法定義する、連邦標準のセットです。
使用環境 FIPS 必要場合する
[論FIPS にすると、FIPS 対応アプリケーションTLS RADIUS などによって使用される証明書キー ペアが FIPS
としてインストールされます。
[構成]
OS10# crypto fips enable
OS10# write memory
FIPS になっているかどうかのチェック
6 OS10 セキュリティのベスト プラクティス
システムで FIPS になっているかどうかを確認するには、のコマンドを使用します。
OS10# show fips status
FIPS mode: Disabled
セキュア ブートの構成
OS10 セキュア ブートにより、OS10 イメージの整合性するためのメカニズムが提供されます。セキュア ブートで
は、起動プロセスのあるコードがまれてされないようにシステムを保護します。セキュア ブート機能使用
て、インストールおよびいつでもオン デマンドで OS10 イメージをします。
セキュア ブートの化]
[論セキュア ブート機能にすると、侵害されたカーネルとシステム バイナリーが起動操作中にロードされるのを
ことができます。
[構成]
OS10(config)# secure-boot enable
OS10(config)# exit
OS10# write memory
スタートアップ構成ファイルの保護]
[論スタートアップ構成ファイルを保護することで、現在のスタートアップ設定ファイルの保護されたコピーを保存
きます。スイッチの起動中に、保護されているバージョンの起動構成がロードされます。スタートアップ構成ファイルを保護する
ことにより、システムの起動時に、侵害された構成ファイルがロードされないようにすることができます。
[構成]
OS10(config)# secure-boot protect startup-config
OS10(config)# exit
OS10# write memory
オン デマンドでの OS10 イメージ ファイルの証]
[論OS10 イメージ ファイルの署名して、OS10 イメージが侵害されていないことを確認します。
[構成]
OS10# image verify image-filepath {sha256 signature signature-filepath | gpg signature
signature-filepath | pki signature signature-filepath public-key key-file}
OS10 カーネル、システム バイナリー、およびスタートアップ構成ファイルの証]
[論システム起動時に、OS10 カーネル バイナリー イメージ、システム バイナリー ファイル、およびスタートアップ構成
ァイルをします。スタートアップにこれらのファイルをすることにより、システムが侵害されたファイルをロードしな
いようにします。
[構成]
OS10# secure-boot verify {kernel | file-system-integrity | startup-config}
OS10 アップグレード イメージ ファイルの証]
[論OS10 アップグレードをインストールするに、イメージ ファイルのデジタル署名します。インストールするに、
のコマンドを使用して OS10 イメージをできます。
[構成]
OS10# image secure-install image-filepath {sha256 signature signature-filepath | gpg
signature signature-filepath | pki signature signature-filepath public-key key-file}
OS10 セキュリティのベスト プラクティス 7
メモ: セキュア ブートがになっている場合は、image secure-install コマンドを使用した場合にのみ、OS10 のアッ
プグレードをうことができます。
ONIE OS 手動インストール OS10 イメージの証]
[論セキュア ブートがになっていて、ONIE 使用して OS10 イメージを手動でインストールする場合は、PKI または
SHA256 使用してイメージをできます。
[構成]
OS10# onie-nos-install image_url pki signature_filepath certificate_filepath
または
OS10# onie-nos-install image_url sha256 signature_filepath
セキュア ブートのとファイルの整合性ステータスのチェック
のコマンドを使用して、セキュア ブート操作のステータスとファイルの整合性ステータスをチェックします。
OS10# show secure-boot status
Last boot was via secure boot : yes
Secure boot configured : yes
Latest startup config protected : yes
OS10# show secure-boot file-integrity-status
File Integrity Status: OK
ユーザー、役割レベル
パスワードを使用して、スイッチへのターミナル アクセスを制御します。ただし、レベルを使用してコマンドのサブセットへ
のユーザー アクセスを制限することで、セキュリティをできます。
ユーザーの作成役割て、レベルの作成]
[論スイッチへのターミナル アクセスの制御は、デバイスとネットワークを保護する方法 1 つです。セキュリティを
るために、レベルを使用してコマンドのサブセットへのユーザー アクセスを制限できます。
[構成]
CONFIGURATION モードでレベルを作成します。
OS10(config)# privilege mode priv-lvl privilege-level command-string
modeCLI モードへのアクセスに使用するモードを入力します。
execEXEC モードにアクセスします。
configureクラスマップ、DHCP、ログ、監視openFlow、ポリシーマップ、QOSsupport-assist、テレメトリー、
CoSTmapUFDVLTVNVRFWRED、エイリアス モードにアクセスします。
interfaceEthernetFibreChannel、ループバック、管理null、ポートグループ、lag、ブレークアウト、、ポー
チャネル、VLAN モードにアクセスします。
route-mapルートマップ モードにアクセスします。
routerrouter-bgp モードおよび router-ospf モードにアクセスします。
lineline-vty モードにアクセスします。
priv-lvl privilege-levelレベルの 214 入力します。
command-stringレベルでサポートされているコマンドを入力します。
ユーザー、パスワードを作成して役割て、CONFIGURATION モードでレベルをてます。
OS10(config)# username username password password role role priv-lvl privilege-level
username username:最大 32 文字最低 1 文字以上のテキスト文字列入力します。
password password:最大 32 文字最低 9 文字以上のテキスト文字列入力します。
role roleユーザーの役割入力します。
sysadminシステムのすべてのコマンドへのフル アクセス、ファイル システムを操作するコマンドへの排他的アク
セス、システム シェルへのアクセスが可能です。システム管理者は、ユーザー ID とユーザーの役割作成できます。
8 OS10 セキュリティのベスト プラクティス
secadminパスワードのAAA 認証形式キーなどのセキュリティ ポリシーとシステム アクセスを設定
る、構成コマンドへのフル アクセスが可能です。セキュリティ管理者は、形式キー、ログイン統計情報ログ情報
などのセキュリティ情報表示できます。
netadminルート、インターフェイス、ACL など、スイッチのトラフィックのれを管理する構成コマンドへの
フル アクセスが可能です。ネットワーク管理者は、セキュリティ機能構成コマンドにアクセスすることも、セキュリ
ティ情報表示することもできません。
netoperator:現在構成表示するために EXEC モードにアクセスします。ネットワーク オペレーターは、スイッ
チの構成設定することはできません。
priv-lvl privilege-levelレベルを 015 入力します。
レベル 0ユーザーに最低限え、基本的なコマンドへのアクセスを制限します。
レベル 1:一連 show コマンドや、pingtraceroute などの特定操作へのアクセスを提供します。
レベル 15:使用可能なすべてのコマンドへのアクセスを提供します。これは、sysadmin 役割許可されているコマ
ンドと同等です。
レベル 0115:事前定義されたコマンド セットが適用される、システムにより構成されたレベルです。
レベル 214構成されていません。これらのレベルは、さまざまなユーザーやアクセスわせてカスタマイズする
ことができます。
CONFIGURATION モードでレベルのパスワードを構成します。レベルをえて、レベルでサポートされ
ているコマンドにアクセスするには、enable password コマンドを使用します。
OS10(config)# enable password encryption-type password-string priv-lvl privilege-level
OS10(config)# exit
OS10# write memory
encryption-typeパスワード入力タイプを入力します。
0パスワードなしのプレーン テキストを使用します。
sha-256SHA-256 アルゴリズムを使用してパスワードをします。
sha-512SHA-512 アルゴリズムを使用してパスワードをします。
メモ: パスワードに sha-256 または sha512 使用していることを確認します。
priv-lvl privilege-levelレベルを 115 入力します。
メモ: パスワードのには、SHA-256 または SHA-512 使用します。
OS10(config)# privilege exec priv-lvl 12 "show version"
OS10(config)# privilege exec priv-lvl 12 "configure terminal"
OS10(config)# privilege configure priv-lvl 12 "interface ethernet"
OS10(config)# privilege interface priv-lvl 12 "ip address"
OS10(config)# username delluser password $6$Yij02Phe2n6whp7b$ladskj0HowijIlkajg981 role
secadmin priv-lvl 12
OS10(config)# enable password sha-256 $5$2uThib1o$84p.tykjmz/w7j26ymoKBjrb7uepkUB priv-lvl 12
OS10(config)# exit
OS10# write memory
ユーザーとその役割表示]
に、ローカル システム構成されているユーザー、その役割てられたレベルをします。
OS10# show running-configuration users
username admin password $6$q9QBeYjZ$jfxzVqGhkxX3smxJSH9DDz7/3OJc6m5wjF8nnLD7/
VKx8SloIhp4NoGZs0I/UNwh8WVuxwfd9q4pWIgNs5BKH. role sysadmin priv-lvl 15
OS10# show running-configuration userrole
ポート セキュリティ
ポート セキュリティ機能使用して、インターフェイスをしてトラフィックを送信できるワークステーションの制限した
り、MAC アドレスの移動制御したりすることができます。ポート セキュリティは、システムのセキュリティをするのサ
機能むパッケージです。
1. MAC アドレス習制限(MLL
2. スティッキー MAC
3. MAC アドレス移動制御
MAC アドレス習制限構成]
OS10 セキュリティのベスト プラクティス 9
[論MAC アドレス習制限方式使用すると、インターフェイス許可される MAC アドレスの上限値設定できます。
MAC アドレスを制限することで、スイッチを MAC アドレス フラッディングから保護します。インターフェイス構成され
制限すると、デフォルトでは、システムは不明なデバイスからのすべてのトラフィックをドロップします。インターフェイ
スでポート セキュリティをにした、インターフェイスは、デフォルトで 1 のセキュア MAC アドレスをできます。こ
制限は、セキュア ダイナミック MAC アドレスとセキュア スタティック MAC アドレスの適用されます。
[構成]
1. CONFIGURATION モードでシステムのポート セキュリティをにします。
OS10(config)# switchport port-security
2. CONFIGURATION モードでインターフェイスのポート セキュリティをにします。
OS10(config)# switchport port-security
OS10(config)# no disable
3. インターフェイスが INTERFACE PORT SECURITY モードでできるセキュア MAC アドレスの構成します。
mac-learn {limit | no-limit}
limit キーワードでの 03072 です。ハードウェアでサポートされている MAC アドレスの最大をインターフェイス
できるようにするには、no-limit キーワードを使用します。
MAC アドレス習制限例]
OS10# configure terminal
OS10(config)#interface ethernet 1/1/1
OS10(config-if-eth1/1/1)# switchport port-security
OS10(config-if-port-sec)# no disable
OS10(config-if-port-sec)# mac-learn limit 100
OS10(config-if-port-sec)# end
OS10# write memory
MAC アドレス習制限違反のアクションの構成]
[論セキュア MAC アドレスの構成された最大値すると、した MAC アドレスとはなる送信元 MAC アドレスの
フレームをインターフェイスが受信した場合、システムは MAC アドレス習制限違反とみなします。
[構成]
INTERFACE PORT SECURITY モードでは、のコマンドを使用します。
違反原因となった MAC アドレスを表示するには、log オプションを使用します。また、システムはパケットをドロップしま
す。
OS10(config-if-port-sec)#mac-learn limit violation log
MAC アドレス習制限違反したときにパケットをドロップするには、drop オプションを使用します。
OS10(config-if-port-sec)#mac-learn limit violation drop
MAC アドレス習制限違反したときにパケットをするには、flood オプションを使用します。システムは MAC
アドレスをしません。
OS10(config-if-port-sec)#mac-learn limit violation forward
MAC アドレス習制限違反のインターフェイスをシャット ダウンするには、shutdown オプションを使用します。
OS10(config-if-port-sec)#mac-learn limit violation shutdown
MAC アドレス習制限違反のアクションの構成例]
OS10# configure terminal
OS10(config)# interface ethernet 1/1/1
OS10(config-if-eth1/1/1)# switchport port-security
OS10(config-if-port-sec)# no disable
OS10(config-if-port-sec)# mac-learn limit 100
OS10(config-if-port-sec)# mac-learn limit violation shutdown
OS10(config-if-port-sec)# end
OS10# write memory
10 OS10 セキュリティのベスト プラクティス
スティッキー MAC アドレスの構成]
[論システムをロードすると、ポート セキュリティは動的したセキュア MAC アドレスを削除します。スティッキー
機能使用して、動的したセキュア MAC アドレスをシステムの再起動後保持できます。これにより、インターフェイス
がこれらの MAC アドレスをする必要がなくなります。
[構成]
INTERFACE PORT SECURITY モードで、のコマンドを入力します。
sticky
メモ: スティッキー MAC アドレスのにするに、インターフェイスが mac-learn limit コマンドを使用して
できる MAC アドレスの制限するようにしてください。
スティッキー MAC アドレスの構成例]
OS10# configure terminal
OS10(config)#interface ethernet 1/1/1
OS10(config-if-eth1/1/1)#switchport port-security
OS10(config-if-port-sec)#no disable
OS10(config-if-port-sec)#mac-learn limit 100
OS10(config-if-port-sec)#sticky
OS10(config-if-port-sec)# end
OS10# write memory
MAC アドレスの移動]
[論MAC アドレスの移動は、システムがじブロードキャスト ドメインのポート セキュリティインターフェイス
じてすでにしたインターフェイスで、 MAC アドレスをした場合します。MAC アドレスの移動は、セキ
ュア スタティック MAC アドレスおよびスティッキー MAC アドレスにしては許可されません。デフォルトでは、動的
MAC アドレスの MAC アドレス移動は、システムでになっています。セキュア ダイナミック MAC アドレスの移動は、ポー
トセキュリティインターフェイスとポートセキュリティインターフェイス許可されています。
[構成]
INTERFACE PORT SECURITY モードでは、のコマンドを使用します。
OS10(config-if-port-sec)#mac-move allow
OS10(config-if-port-sec)# end
OS10# write memory
MAC アドレス移動構成例]
OS10# configure terminal
OS10(config)# interface ethernet 1/1/1
OS10(config-if-eth1/1/1)# switchport port-security
OS10(config-if-port-sec)# no disable
OS10(config-if-port-sec)# mac-learn limit 100
OS10(config-if-port-sec)# mac-move allow
OS10(config-if-port-sec)# end
OS10# write memory
MAC アドレス移動違反アクションの構成]
[論システムが、のポートセキュリティインターフェイスをじてすでにした MAC アドレスと MAC アドレス
をポートセキュリティインターフェイスでした場合、デフォルトでは、MAC アドレス移動違反とみなされます。MAC
ドレス移動違反アクションを構成できます。また、ポート セキュリティインターフェイス MAC アドレスを移動できるよ
うにシステムを構成することもできます。
[構成]
違反原因となった MAC アドレスを表示するには、log オプションを使用します。また、システムはパケットをドロップしま
す。
OS10(config-if-port-sec)#mac-move violation log
MAC アドレス移動違反したときにパケットをドロップするには、drop オプションを使用します。
OS10(config-if-port-sec)#mac-move violation drop
OS10 セキュリティのベスト プラクティス 11
MAC 移動違反時に、MAC アドレスをしたのインターフェイスをシャット ダウンするには、shutdown-original オプ
ションを使用します。
OS10(config-if-port-sec)#mac-move violation shutdown-original
のインターフェイスによってすでにされている MAC アドレスをしたインターフェイスをシャット ダウンするに
は、shutdown-offending オプションを使用します。
OS10(config-if-port-sec)#mac-move violation shutdown-offending
のインターフェイスと、問題のあるインターフェイスのをシャット ダウンするには、 shutdown-both オプションを
使用します。
OS10(config-if-port-sec)#mac-move violation shutdown-both
[有かつ行中のポート セキュリティ機能確認]
すべてのインターフェイスでポート セキュリティがになっているかどうかを確認するには、のコマンドを使用します。この
コマンドにより、ポート セキュリティ機能のステータスにする情報表示されます。個別のインターフェイスにする詳細
するには、特定のインターフェイスを指定します。
OS10# show switchport port-security interface erthernet 1/1/1
Global Port-security status : Enabled
Interface name : ethernet1/1/1
Port Security : Enabled
Port Status : Up
Mac learn limit : 100
MAC-learn-limit-Violation action : Log
Sticky : Disabled
Mac-move-allow : Not Allowed
Mac-move-violation action : shutdown-both
Aging : Enabled
Total MAC Addresses : 10
Secure static MAC Addresses : 0
Sticky MAC Addresses : 10
Secure Dynamic MAC addresses : 0
管理プレーン
これらの設定は、OS10 のサービス、設定構成サービスに適用されます。
役割ベースのアクセス制御
役割ベースのアクセス制御(RBACにより、アクセスと認可制御できます。定義された役割づいて、ユーザーに
えられます。ユーザーによるシステムへの適切なアクセスを許可するために、ジョブ機能づいてユーザーの役割作成しま
す。ユーザーにてることができる役割 1 だけで、くのユーザーに役割てることができます。ユーザーの
役割により、ログインにユーザーが認証および承認されます。
AAA ログイン認証
[論:認証承認、アカウンティングAAAサービスにより、不正アクセスからネットワークが保護されます。AAA は、シス
テムにアクセスするユーザーにするアクセス制御一元化された手段です。
[構成]
OS10(config)# aaa authentication login {console | default} local
OS10(config)# exit
OS10# write memory
consoleコンソール ログインの認証方法構成します。
defaultSSH および Telnet ログインの認証方法構成します。
localusername password role コマンドで構成されたローカル ユーザー、パスワード、役割エントリーを使用しま
す。
12 OS10 セキュリティのベスト プラクティス
フォールバック オプションを使用した AAA ログイン認証化]
[論フォールバック オプションを使用した AAA 認証構成により、認証時耐久性提供されます。1 つの方法障害
した場合、システムは認証方法使用します。
[構成]
OS10(config)# aaa authentication login {console | default} {local | group radius | group
tacacs+}
OS10(config)# exit
OS10# write memory
consoleコンソール ログインの認証方法構成します。
defaultSSH および Telnet ログインの認証方法構成します。
localusername password role コマンドで構成されたローカル ユーザー、パスワード、役割エントリーを使用しま
す。
group radiusradius-server host コマンドで構成された RADIUS サーバーを使用します。
group tacacs+tacacs-server host コマンドで構成された TACACS+サーバーを使用します。
メソッド リストにある認証方法は、構成された順序作動します。
コマンドへの AAA アカウンティングの化]
[論コマンドへの AAA アカウンティングにより、Telnet SSH などのコンソールとリモートするログインおよ
びコマンド情報されます。
[構成]
OS10(config)# aaa accounting commands all {console | default} {start-stop | stop-only | none}
[logging] [group tacacs+]
OS10(config)# exit
OS10# write memory
commands allユーザーによって入力されたすべてのコマンドをします。RADIUS アカウンティングでは、このオプショ
ンはサポートされません。
consoleコンソール OS10 セッションで、すべてのユーザー認証とログイン、またはすべてのユーザー入力コマンド
します。
defaultTelnet SSH などによるリモート OS10 セッションで、すべてのユーザーの認証とログイン、またはすべて
のユーザー入力コマンドをします。
start-stopプロセスの開始時開始通知送信し、プロセスの終了時停止通知送信します。
stop-onlyプロセスが終了したときに、停止通知のみを送信します。
noneアカウンティング通知送信されません。
loggingSyslog のすべてのアカウンティング通知をログにします。
group tacacs+:最初到達可能 TACACS+サーバーのすべてのアカウンティング通知をログにします。
[認証イベントにする AAA アカウンティングの化]
[論:認証イベントにする AAA アカウンティングにより、Telnet SSH などのコンソールとリモートするログ
インおよびコマンド情報されます。
[構成]
OS10(config)# aaa accounting exec {console | default} {start-stop | stop-only | none}
[logging] [group tacacs+]
OS10(config)# exit
OS10# write memory
consoleコンソール OS10 セッションで、すべてのユーザー認証とログイン、またはすべてのユーザー入力コマンド
します。
defaultTelnet SSH などによるリモート OS10 セッションで、すべてのユーザーの認証とログイン、またはすべて
のユーザー入力コマンドをします。
start-stopプロセスの開始時開始通知送信し、プロセスの終了時停止通知送信します。
stop-onlyプロセスが終了したときに、停止通知のみを送信します。
noneアカウンティング通知送信されません。
loggingSyslog のすべてのアカウンティング通知をログにします。
group tacacs+:最初到達可能 TACACS+サーバーのすべてのアカウンティング通知をログにします。
メソッド リストにある認証方法は、構成された順序作動します。
OS10 セキュリティのベスト プラクティス 13
AAA 再認証またはモードの化]
[論ユーザーがリソースにアクセスできないようにしたり、ユーザーができないタスクをしたり、認証方法またはサ
ーバーの更時にログによるユーザーの再認証要求したりすることができます。
[構成]
OS10(config)# aaa re-authenticate enable
RADIUS 認証構成]
[論従来 RADIUS ベースのユーザー認証 UDP してされ、安全通信のために MD5 メッセージダイジェスト アル
ゴリズムが使用されます。RADIUS ユーザー認証交換のセキュリティをするため、RFC 6614 では、トランスポート レイヤー
キュリティTLSプロトコルを使用して RADIUS 定義します。RADIUS over TLS は、認証交換全体 TLS 保護し、セキ
ュリティをします。
[構成]
OS10(config)# radius-server host {hostname | ip-address} tls security-profile profile-name
[auth-port port-number] key {0 authentication-key | 9 authentication-key | authentication-key}
OS10(config)# exit
OS10# write memory
hostnameRADIUS サーバーのホスト入力します。
ip-addressRADIUS サーバーの IPv4A.B.C.Dまたは IPv6x:x:x:x::xアドレスを入力します。
tls security-profile profile-nameRADIUS サーバーでの TLS 認証使用するために、スイッチ X.509v3 証明書
使用するためのセキュリティ プロファイルを入力します。
key 0 authentication-keyプレーン テキストで認証キーを入力します。最大 42 文字です。
key 9 authentication-key:暗化形式認証キーを入力します。最大 128 文字です。
authentication-keyプレーン テキストで認証入力します。最大 42 文字です。キーの 0 入力する必要はありませ
ん。
auth-port port-numberオプションサーバーで認証用使用される UDP ポート 065535 入力します。
デフォルトは 1812 です。
key authentication-keyオプションサーバーのデバイスを認証するための認証キーを入力します。最大 42 文字
す。デフォルトは radius_secure です。
RADIUS 認証再試行構成]
[論OS10 RADIUS 認証要求再送する構成します。不要再試行回避するには、さい構成します。
[構成]
OS10(config)# radius-server retransmit retries
OS10(config)# exit
OS10# write memory
retries:再試行回 0100 入力します。
TACACS+認証構成]
[論TACACS+サーバーからの認証待機するために使用するグローバル タイムアウトを構成します。待機時間くな
るのをぐため、さい構成します。
[構成]
OS10(config)# tacacs-server host {hostname | ip-address} key {0 authentication-key | 9
authentication-key | authentication-key} [auth-port port-number]
OS10(config)# exit
OS10# write memory
hostnameRADIUS サーバーのホスト入力します。
ip-addressRADIUS サーバーの IPv4A.B.C.Dまたは IPv6x:x:x:x::xアドレスを入力します。
0 authentication-keyプレーン テキストで認証キーを入力します。最大 42 文字です。
9 authentication-key:暗化形式認証キーを入力します。最大 128 文字です。
authentication-keyプレーン テキストで認証入力します。最大 42 文字です。キーの 0 入力する必要はありませ
ん。
auth-port port-numberオプションサーバーで認証用使用される UDP ポート 065535 入力します。
デフォルトは 1812 です。
14 OS10 セキュリティのベスト プラクティス
authentication-keyオプションサーバーのスイッチを認証するために使用する認証キーを入力します。最大 42 文字
です。デフォルトは radius_secure です。
TACACS+認証タイマーの構成]
[論TACACS+サーバーからの認証待機するために使用するグローバル タイムアウトを構成します。待機時間くな
るのをぐため、さい構成します。
[構成]
OS10(config)# tacacs-server timeout seconds
OS10(config)# exit
OS10# write memory
secondsTACACS+サーバーからの認証待機するために使用されるタイムアウト時間を、11000 入力します。
RBAC 構成表示]
システムで構成された RBAC 表示するには、のコマンドを使用します。
OS10# show running-configuration aaa
aaa authentication login default group radius local
aaa authentication login console local
アクセス ルール
安全なアクセス ルールを構成します。
リモート システム アクセスにして SSH のみをにする
[論OS10 のデフォルトでは、SSH のみがリモート システム アクセスになっています。Telnet プロトコルは安全では
ないため、Dell EMC は、Telnet サーバーをにしないことをします。
メモ: SSH サーバーをにしていた場合は、再度有にし、Telnet サーバーをにします。リモート システム アクセスに
は、 SSH 使用します。
[構成]
OS10(config)# ip ssh server enable
OS10(config)# ip ssh server max-auth-tries 4
OS10(config)# no ip telnet server enable
OS10(config)# exit
OS10# write memory
SSH アクセス制御化]
[論アクセス リストを使用してスイッチへの SSH をフィルタリングします。
[構成]
OS10(config)# ip access-list permit10
OS10(config-ipv4-acl)# permit ip 172.16.0.0 255.255.0.0 any
OS10(config-ipv4-acl)# exit
OS10(config)# line vty
OS10(config-line-vty)# ip access-class permit10
OS10(config-line-vty)# exit
OS10(config)# exit
OS10# write memory
EXEC セッション タイムアウトの構成]
[論デフォルトでは、EXEC タイムアウトは構成されていません。EXEC モードへの不正アクセスを防止するには、タイムアウ
インターバルを構成します。
[構成]
OS10(config)# exec-timeout timeout-value
OS10(config)# exit
OS10# write memory
timeout-value:現在のセッションをするまでの、システムアクティブな指定します03600
OS10 セキュリティのベスト プラクティス 15
コンカレント ログイン セッションの制限]
[論:同じユーザー ID 1 のスイッチのアクティブ セッション無制限にならないようにするため、コンソールとリモ
ート制限します。
[構成]
OS10(config)# login concurrent-session limit-number
OS10(config)# exit
OS10# write memory
limit-number:任意のユーザーがコンソールまたは仮想端末回線使用できるコンカレント セッションの指定します1
12
ユーザーのロックアウトの確認]
[論指定されたのログイン試行失敗したに、ユーザーが特定時間にわたってシステムにログ インできないようにシ
ステムを構成します。
[構成]
OS10(config)# password-attributes max-retry number lockout-period minutes
OS10(config)# exit
OS10# write memory
max-retry numberオプションユーザーがロック アウトされるまでの、したログイン試行失敗最大回を、016
構成します。
lockout-period minutesオプションログイン試行失敗最大回超過した場合に、そのユーザー ID がシステムに
アクセスすることを禁止する時間 043,200 設定します。
ログイン統計化]
[論ログインに成功した失敗した役割、ユーザーが最後にログ インした時間などのユーザー ログイン
表示するには、ログインが成功したにログイン統計にします。ログイン統計にしたshow login
statistics {all | user}コマンドを使用してユーザーのログイン情報表示できます。
[構成]
OS10(config)# login-statistics enable
OS10(config)# exit
OS10# write memory
バナー ルール
ユーザーがシステムにログ インする前後に、メッセージを表示します。これらのメッセージにより、法律上をユーザーに
えたり、ユーザーが使用ポリシーに同意したものとみなしたりすることができます。
ログイン バナーの化]
[論ログイン バナーは、ユーザーがシステムへのログ インを試行したときにユーザーに表示されます。
[構成]
OS10(config)# banner login %
DellEMC S4148U-ON login
Enter your username and password
%
OS10(config)# exit
OS10# write memory
ログイン バナーの化]
[論ログイン バナーは、ユーザーがシステムにログ インした表示されます。
[構成]
OS10(config)# banner motd %
DellEMC S4148U-ON login
Enter your username and password
%
16 OS10 セキュリティのベスト プラクティス
OS10(config)# exit
OS10# write memory
SNMP ルール
Simple Network Management ProtocolSNMPへのアクセス制限により、SNMP 使用するのデバイスのセキュリティが向上
ます。
[特定 SNMP コミュニティーへの/みアクセスの禁止]
[論または SNMP コミュニティーへの/みアクセスを禁止して、不正なエンティティーがデバイス
をリモートで操作できないようにします。
[構成]
OS10(config)# no snmp-server community community_string {ro | rw}
OS10(config)# exit
OS10# write memory
ACL なしの SNMP へのアクセスを禁止]
[論ACL 構成されていない場合 SNMP コミュニティー文字列つユーザーはでもシステムにアクセスでき、
える可能性があります。できるステーションの許可されたグループのみがシステムへの SNMP アクセスを
るように、ACL 定義して適用します。
[構成]
OS10(config)# snmp-server community name {ro | rw} acl acl-name
OS10(config)# exit
OS10# write memory
OS10(config)# ip access-list snmp-read-only-acl
OS10(config-ipv4-acl)# permit ip 172.16.0.0 255.255.0.0 any
OS10(config-ipv4-acl)# exit
OS10(config)# snmp-server community public ro acl snmp-read-only-acl
OS10(config)# exit
OS10# write memory
SNMP v3 構成]
[論SNMP v2 または認証をサポートしていません。Dell EMC Networking は、SNMP リソースへの安全なアクセスを
サポートする SNMP v3 使用することをします。
[構成]
SNMP エンジン ID 構成します。snmp-server engineID [local engineID] [remote ip-address {[udp-port
port-number] remote-engineID}]
local engineIDスイッチのローカル SNMP エージェントを識別するエンジン ID を、オクテットのコロンりの
入力します。最大 27 文字です。
remote ip-addressローカル SNMP エージェントにアクセスするリモート SNMP デバイスの IPv4 または IPv6 アドレ
スを入力します。
udp-port port-numberリモート デバイスの UDP ポート 065535 入力します。
remote-engineIDリモート デバイス SNMP エージェントを識別するエンジン ID を、0x および 16 文字列
入力します。
SNMP 表示構成します。
OS10(config)# snmp-server view view-name oid-tree [included | excluded]
view-name/み、または通知ビューの名前入力します。最大 32 文字です。
oid-treeビューが 12 オクテットのドット形式まる SNMP オブジェクト ID 入力します。
includedオプションビューに MIB ファミリーをめます。
excludedオプションMIB ファミリーをビューから除外します。
SNMP グループを構成します。
OS10(config)# snmp-server group group-name v3 security-level [read view-name] [write view-
name] [notify view-name]
OS10 セキュリティのベスト プラクティス 17
group-nameグループの名前入力します。最大 32 文字です。
v3 security-levelSNMPv3 では、オプションで SNMP メッセージのユーザー認証うことができます。
snmp-server user コマンドで構成します。
security-levelSNMPv3 のみSNMPv3 ユーザーのセキュリティ レベルを構成します。
authSNMP メッセージでユーザーを認証します。
noauthユーザーの認証 SNMP メッセージのいません。メッセージをプレーン テキストで送信します。
privユーザーの認証SNMP メッセージのまたはいます。
access acl-nameオプションIPv4 または IPv6 アクセス リストの名前入力して、スイッチで受信した SNMP リクエ
ストをフィルタリングします。最大 16 文字です。
read view-nameオプションビューの名前入力します。最大 32 文字です。
write view-nameオプション/みビューの名前入力します。最大 32 文字です。
notify view-nameオプション)通知ビューの名前入力します。最大 32 文字です。
SNMP ユーザーを構成します。
OS10(config)# snmp-server user user-name group-name security-model localized auth sha auth-
password priv aes priv-password
OS10(config)# exit
OS10# write memory
user-nameユーザーの名前入力します。最大 32 文字です。
group-nameユーザーがしているグループの名前入力します。最大 32 文字です。
security-modelSNMP メッセージのセキュリティ レベルを設定する SNMP バージョンを入力します。
3SNMPv3 は、SNMP メッセージのユーザー認証います。
authSNMPv3 のみユーザーに送信される SNMPv3 メッセージにユーザー認証キーをめます。
shaSHA アルゴリズムを使用して認証キーを生成します。
auth-password:暗された文字列入力します。
privユーザーに送信される SNMPv3 メッセージの構成します。
aesAES 128 ビット アルゴリズムを使用してメッセージをします。
priv-password:暗された文字列入力します。
localizedローカライズされたキーの形式 SNMPv3 認証キーおよび/またはプライバシー キーを生成します。
されている SNMP ルールのチェック
OS10# show running-configuration snmp
!
snmp-server community public ro acl snmp-read-only-acl
コントロール プレーン
コントロール プレーンには、モニタリング、ルート テーブルのアップデート、システムの動的操作まれます。
システム クロック ルール
これらのシステム クロック ルールにより、デバイスの時刻とタイムスタンプの設定されます。
タイムゾーンを協定世界時(UTC設定]
[論デフォルトでは、システムのタイム ゾーンは UTC 設定されています。デフォルトのタイム ゾーンがされた場合は、
UTC 設定します。システム タイム ゾーンを UTC 設定すると、なるタイム ゾーンきる問題のトラブルシューティング
容易になります。
[構成]
OS10(config)# clock timezone standard-timezone UTC
OS10(config)# exit
OS10# write memory
18 OS10 セキュリティのベスト プラクティス
ログ ルール
ログを使用して、エラーや情報通知、セキュリティ監査、ネットワーク フォレンジックをうことができます。
コンソールでのログの化]
[論コンソールへのログにし、ログ メッセージがシステム パフォーマンスに影響しないように、重大度重要
制限します。
[構成]
OS10(config)# logging console enable
OS10(config)# logging console severity log-crit
OS10(config)# exit
OS10# write memory
TLS での Syslog サーバーへのログの化]
[論Syslog サーバーへのログをにし、TLS 保護します。
[構成]
OS10(config)# logging server {hostname | ipv4–address | ipv6–address} tls [port-number]
[severity severity-level] [vrf {management | vrf-name]
OS10(config)# exit
OS10# write memory
ipv4–address | ipv6–addressオプションログ サーバーの IPv4 または IPv6 アドレスを入力します。
tls port-numberオプションリモート ログ サーバーの指定したポート165535に、TCPUDPTLS 使用
して Syslog メッセージを送信します。
severity-levelオプションログしきい重大度設定します。
log-emergシステムは使用できません。
log-alert:即時のアクションが必要です。
log-crit:危
log-errエラー
log-warning:警告
log-notice:正常だが重要態(デフォルト
log-info:情報メッセージ
log-debugデバッグ メッセージ
vrf {management | vrf-name}オプション管理 VRF インスタンスまたは設定 VRF インスタンスのログ サーバー
構成します。
X.509v3 PKI 証明書構成詳細については、Dell EMC SmartFabric OS10
ユーザー
ガイド
』をしてください。
[監査ログの化]
[論スイッチでのユーザー アクティビティーと構成監視するには、監査ログをにします。sysadmin
secadmin 役割でのみ、監査ログの表示、クリアをうことができます。
[構成]
監査ログを構成します。
OS10(config)# logging audit enable
OS10(config)# exit
OS10# write memory
監査ログを表示します。
show logging audit [reverse] [number]
reverse エントリーを最新のイベントから表示します。
number:指定した監査ログ エントリー ユーザーを 165535 表示します。
[有なログ ルールの表示]
OS10# show running-configuration logging
!
logging audit enable
OS10 セキュリティのベスト プラクティス 19
NTP ルール
Network Time ProtocolNTPは、分散タイム サーバーとクライアントのセットでの計時同期し、大規模なネットワーク
での時間分布調整します。NTP クライアントは、正確時間測定する NTP サーバーと同期します。
[信できる NTP サーバーの構成]
[論:信できる NTP サーバーと時間同期するようにシステムを構成します。
[構成]
OS10(config)# ntp server ntp1-server-ip-address
OS10(config)# exit
OS10# write memory
ntp1-server-ip-addressNTP サーバーの IPv4 アドレスを A.B.C.D 形式入力するか、IPv6 アドレスを A::B 形式入力しま
す。
[信できるセカンダリー NTP サーバーの構成]
[論:信できるセカンダリー NTP サーバーと時間同期するようにシステムを構成します。
[構成]
OS10(config)# ntp server ntp2-server-ip-address
OS10(config)# exit
OS10# write memory
ntp1-server-ip-addressNTP サーバーの IPv4 アドレスを A.B.C.D 形式入力するか、IPv6 アドレスを A::B 形式入力しま
す。
NTP 認証構成]
[論NTP 認証とそれに対応するできるキーは、できるタイム ソースを NTP パケットの交換可能
にします。NTP 認証では、メッセージ ダイジェスト 5MD5アルゴリズムが使用されます。キーは、NTP タイム ソースに送信
される同期パケットにまれています。
[構成]
OS10(config)# ntp authentication-key number {sha1 | sha2-256} key
OS10(config)# ntp master {2–10}
OS10(config)# exit
OS10# write memory
number:認証キー 14294967295 入力します。
sha1SHA1 使用するように設定します。
sha2-256sha2-256 使用するように設定します。
[使用されている NTP 認証表示]
システムで構成されている NTP 認証表示するには、のようにします。
OS10# show running-configuration ntp
!
ntp authenticate
ntp authentication-key 345 md5 0 5A60910FED211F02
ntp server 1.1.1.1 key 345
ntp trusted-key 345
ntp master 7
...
ループバック ルール
ループバック インターフェイスは仮想インターフェイスです。物理インターフェイスとはなり、ループバック インターフェイ
スは手動削除しないりダウンしません。このプロパティは、デバイスの識別安定性のためのセキュリティと整合性提供
ます。
ループバック インターフェイスの構成]
[論システムののサービスで使用できるループバック インターフェイスを構成します。
20 OS10 セキュリティのベスト プラクティス
/