傀儡師の館.Python

ProCurve Switch 2610-24/12PWR の Flash のアップデートをしたのだが、リリースドキュメントの中に Enforcing Switch Security という項目があった。そこでは、デフォルトの設定でセキュリティに影響がある項目として次のものが上げられている。ということで、ProCurve スイッチのセキュリティを高める設定をしてみる。

1. Telnet
   
2. Web-browser interface
   
3. SNMP access
   
4. Front-Panel access
   

Telnet を無効にする

デフォルトの状態では、デフォルトの状態ではパスワードなしなので、コンソールケーブルで接続するとパスワードなしでアクセスできるし、telnet 等でも同様。ローカルの Operator と Manager のパスワードを設定すれば、telnet 経由のアクセスも同様にそのパスワードでアクセスできるようになる。

けれども、ネットワークを生のパスワードが流れることになるので、セキュリティ上は好ましくない。ということで、telnet を禁止するには、CLI から次のコマンドを入力する。

Switch (config) # no telnet-server

これで、telnet 経由のアクセスを禁止できる。

SSH を使えるようにするには、「crypto key generate ssh rsa 」または「crypto key generate ssh dsa」で SSH 用の鍵を生成して、「ip ssh」で SSH 接続を有効にしておく必要がある。

HTTP を無効にする

デフォルトで HTTP 経由でウェブブラウザから操作できる。これも、セキュリティ上、パスワードがネットワークを流れてしまうので停止する。

Switch (config)# no web-management

「web-management ssl」 で SSL は使えるようにすることもできる。ちなみに「web-management plain-text」だと通常の HTTP。次のようなメッセージが出る場合は、「crypto host-cert generate self-signed」で、サーバ証明書を作ってやる必要がある（とりあえず self-signed でオレオレ認証の場合）。Web インターフェイスの Security タブ、SSL のあたりから設定してもいいかもしれない。

https cannot be enabled with no certificate present. To install a

self-signed certificate,                                         

  * Use 'crypto key generate...' to install RSA key; then

  * Use 'crypto host-cert generate...' to install certificate.

SNMP のアクセス制限

デフォルトの状態で、かつコミュニティ名を public と private 等で使っていると、セキュリティがないに等しい状態。加えて、この状態だと、スイッチを乗っ取ることもできてしまう（ローカルユーザやそのパスワードが書かれている MIB の hpSwitchAuth にアクセスすればよい）。これを防ぐには、まず、次のコマンドで、該当箇所にアクセスできないようにする。

Switch (config)# snmp-server mib hpswitchauthmib excluded

さらに、ProCurve は、SNMP v1, 2c, 3 に対応しているので、セキュリティが確保しやすい v3 を使うことにする（デフォルトでは v1,2 でアクセスできる状態）。

ただし、SNMP v1, 2 のみ対応しているツール類は使えなくなる。とはいえ、無償で使える TWSNMPマネージャ なども v3 に対応しているから、いいやと。HP の ProCurve Network Manager (PCM) とか、HP MIB Browser とかも当然、SNMP v3 に対応している。

SNMP v3 を有効にするには次のコマンドを使う。

Switch(config)# snmpv3 enable

そこで対話的にパスワードなどを設定できる。これは長くなるので別の機会にまとめる。とりあえず initial というユーザが作られる。snmp restrict-access が云々のところは n にしておくと、SNMP v1, 2 は読み込みの権限だけになる。「snmpv3 only」で SNMP v3 のみ有効になる。

フロントパネルからの物理的アクセスの制限

ProCurve はフロントパネルにあるボタンを押すと、スイッチのパスワードをクリアしたり、リブートしたり、あるいはスイッチの設定自体をクリアすることができる。本来、スイッチは物理的にセキュリティが確保された場所に置かれているはず、というのがデフォルトの設定。

物理的に管理者以外でもアクセスできる場所にスイッチが置かれている場合、やられてしまうと困る。これをできないようにしたいという場合は、「no front-panel-security 無効にしたいもの」のコマンドを使う。ただし、工場出荷時の設定に戻すことができないようにして、パスワードもクリアできないようにしたあと、パスワードを忘れてしまうと、HP のサポートに電話をしなければ復旧できないので注意。現状の設定は「show front-panel-security」で確認できる。

アクセスできる IPアドレスの制限

Authorized IP Managers の設定を行うと、どのネットワークあるいはホストから telnet や SSH、Web ブラウザ、あるいは SNMP のアクセスを許可するかを指定することができる。管理者の端末以外の IP アドレスを含まないようにするのが安全だが、自分のどこからでもアクセスできるようにしておきたい（Operator レベルで設定や状態の確認をしたい）とかいうのであれば、できるだけ狭い範囲のサブネットを指定するか、IP アドレスの指定のあとにさらに 「access manager」か「access operator」を指定する。Operator の範囲を広く、manager の範囲はできるだけ狭くとかする。

Switch (config) # ipauthorized-managers 192.168.1.10 255.255.255.255

あるいは、

Switch (config) # ip authorized-managers 192.168.1.0 255.255.255.0

セキュアな管理用の VLANの設定

Secure Management VLAN の設定を行うと、さらに安全性を高めることができる。

そもそも、スイッチの管理インターフェイスに通常のユーザが接続できるネットワークを使ってしまうことがよろしくない。管理用のネットワークのために別の VLAN を用意すればよいというのが Secure Management VLAN。Authorized IP Managers の設定よりさらに厳しいアクセス制限がかけられる。

Secure Management VLAN に設定された VLAN へは、その他の VLAN からアクセスすることができなくなる。その逆に、Secure Management VLAN から他の VLAN へ ping をうったりすることはできる。

Switch (config) # management-vlan 1

これで、VLAN 1 からのみ、スイッチの管理インターフェイスにアクセスできるようになる。SNMP などのトラフィックも、この VLAN 上で流せばいい。その他の VLAN から SNMP 関連の攻撃をかけることができなくなる。また、SNMP のトラフィックが他のトラフィックに邪魔されることもないので管理上も好ましいと思う。

RADIUS 認証を使ったアクセスの制限

スイッチにアクセスしたときのユーザ認証を、スイッチ本体のローカルユーザを使うのではなく、RADIUS を使ってやる。コンソール接続や、telnet、SSH、FTP/SFTP/SCP など、それぞれ設定が行える。Solaris 10 で RADIUS サーバを動かす (1) や Solaris 10 で RADIUS サーバを動かす (2) 802.1X を参照。

TACACS+ 認証を使ったアクセスの制限

スイッチにアクセスしたときのユーザ認証に RADIUS ではなく TACACS+ を使うことも可能らしいが、TACACS+ は使ったことがないので、よく分からない。そのうち試す。

その他、Web 認証と MAC 認証とか、ポートセキュリティとか、あれこれ書かれているが、とりあえず、長くなったのでここまで。