Cisco IOS セキュリティ

CiscoIOSのACLの設定方法をまとめます。ping,tracerouteのプロトコル理解、ルーティングプロトコルの仕様、ワイルドカードの特殊な指定方法など、やや高度は内容が多めです。もともとはCiscoCCIE向けの学習コンテンツでし...

object-groupは、ACL設定でホストやポートをグループ管理できる機能です。CiscoIOSでの使用頻度は低いですが、一般的なFirewall製品ではよく見られる機能です。

reflecxiveACLとは戻り方向を許可する特殊なACLです。今日ではFirewall製品などで何も意識しなくても設定できてしまう機能ですが、仕様理解のために一度は実際に手を動かしてみてるのは良い学習になります。

LockandKeyはログイン認証が成功した直後のみアクセスを許可する特殊なACLです。認証が成功した後に、一定時間のみ特定ホストからの通信を許可したい場合に使用します

CBACは、文字通りcontextに基づいたアクセス制御を行う機能です。ACLではport番号に基づく単純なアクセス制御しかできませんが、この機能を使う事によってLayer7の情報に基づくアクセス制御が可能になります。

TCPinterceptはTCPを覗き見し、synfloodを回避する手段のひとつです。watchmodeとinterceptmodeが存在しますが、ここではCPU使用率の低いwatchmodeについて紹介します。

TCPinterceptはTCPを覗き見し、synfloodを回避する手段のひとつです。watchmodeとinterceptmodeが存在しますが、代理応答する事で内部を保護するinterceptmodeについて紹介します。

CiscoIOSFirewallは"ipinspect"コマンドを用いて設定する片方向の通信を許可する機能です。ここでは基本的な設定について説明します。

CiscoIOSFirewallは"ipinspect"コマンドを用いて設定する片方向の通信を許可する機能です。ここでは、やや複雑な設定であるsynflood対策について動作確認します。

Zone-BasedPolicyFirewall(ZFW)は、一般的なFirewall製品と同様、片方向の通信を許可したりZoneを定義したりする事ができる機能です。

ControlPlaneProtection(CPPr)とはContorlPlaneを防御する機能で、ControlPlanePolicingよりもより柔軟な機能が使用できます。

ControlPlanePolicing(CoPP)とControlPlaneProtection(CPPr)は、ネットワーク機器のCPUを守る機能です。何も対策を立てない状況ですと、フラグメントされたパケットを大量に送付する等の方法を用い...

ICMPとはネットワークを制御するためのプロトコルです。疎通確認で使用するping,tracerouteは、ICMPを利用した仕組みのひとつです。このページでは、ICMP,ping,tracerouteに関する深い知識とよくある誤解について...

TrafficExportとはパケットをコピーして、指定したMACアドレスに転送する機能です。いわば、ルータ版SPANと考えて差し支えありません。ただし、この機能を使用するとCPUが大幅に上昇するので、実践ではお勧めできません。

DAIとは、arpを覗き見する事によって管理対象ではないホストの接続を拒否します。dhcpsnoopingと併用し、DHCPによってアドレスが割り当てられていないホストからのarprequestを遮断する機能です。

802.1xは認証プロトコルのひとつで、接続されたホストが認証されるかどうかをRADIUSなどの認証サーバに問い合わせます。なお、CCIE試験ではサーバは存在しないため、スイッチ機器の設定のみが試験範囲となります。